企业风险管理的特征汇总十篇

时间：2023-10-10 10:02:31

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇企业风险管理的特征范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

企业风险管理的特征

篇（1）

关键词企业风险管理发展历程展望

随着我国改革开放层次加深，范围更广，市场经济发展飞速的同时，受到的国际市场冲击以及市场经济本身的不稳定性都会导致市场经济主体――企业生存风险的产生。对于任何事物来说不确定性和风险对于其生存与发展都具有重要影响作用。为了能够在激烈的市场竞争中发展壮大，企业必须重视风险管理，只有完善的风险管理制度才能够使得企业化险为夷，避开各种市场风险，甚至是做到险中求胜，抓住机遇加快发展。

一、企业风险管理基本介绍

追溯历史，我们会发现风险管理在我国历史悠久，风险管理思想最早产生于夏朝，主要是用于天灾人祸下的粮食储备制度。国外学者于二十世纪三十年代提出风险管理概念，认为风险管理重点是“风险”以及“管理”。迄今为止，最经典的风险管理定义就是威廉姆斯（Williams）在其著作《风险管理与保险》中为风险管理做的定义，即：以组织目标为依据，以最小费用运用风险识别、风险评估、风险应对以及风险控制措施解决企业所面临的的中风险危机的管理过程就是企业风险管理。国内学者也对风险管理进行了各种定义，总结归纳，作者认为所谓风险管理就是企业对所面临的的风险及时预测、及时评估其对企业运行的影响，然后依据影响的范围和程度，设计出风险应对方案，以期在风险中企业受到的损害最低，获得的利润最大。

二、我国企业风险管理发展历程

风险管理发展的历程划分并不统一，但是学术界共同认为风险管理真正意义的开始阶段应该是二十世纪三十年代的美国，并且于六十年展成为现代化管理手段，而风险管理全球性的普遍应用则是二十世纪七十年代，九十年代风险管理整体概念得到极大的发展。

对于我国企业风险管理发展历程的划分，国内学者亦各有不同观点，例如，国内学者王农跃、严复海等将企业风险管理划分为三个阶段，依据时间顺序依次是：传统企业风险管理――现代企业风险管理――全面企业风险管理。作者在深入研究众学者的理论成果的基础上，结合我国企业风险管理实践活动发展情况认为我国企业风险管理发展历程可以分为两个阶段，即：财务以及保险风险管理阶段和企业整体风险管理阶段。

1.财务以及保险风险管理阶段

财务以及保险风险管理阶段时间基本为20世纪30年代初至20世纪90年代初，这个阶段也是我国企业风险管理思想萌芽形成阶段，风险管理涉及的企业管理内容主要是企业财务风险和可保风险。这个阶段概括起来有以下几个特征。

首先，模型化的定量研究是这个阶段风险管理研究的主要方法。此阶段代表性理论著作成果是国外学者赫尔其和梅尔于20世纪60年代初期出版的《企业风险管理》，书中将数理统计技术和概率论引入企业风险管理研究中，标志着企业风险管理的研究逐步趋向于专门化和系统化。

其次，此阶段风险管理研究由美国扩展至世界各地。这个阶段也是我国引入风险管理研究的最初阶段。全球越来越多的国家的企业开始重视风险管理的重要作用，并且将风险管理与营运管理、战略管理定位企业管理的三大主体。

再次，非金融工商企业开始重视风险管理研究的作用。风险管理的最初起源于保险行业，后来迅速为证券行业、投资行业、银行业等金融行业所采纳并加以发展。但是20世纪50年代由于著名公司通用汽车公司发生火灾事故引发非金融工商企业对于风险管理的重视，风险管理研究在非金融工商企业界迅速发展。

最后，财务风险和可保风险是这个阶段风险管理研究的主要内容，企业应对风险的主要手段是保险。虽然这个阶段风险管理风险管理已经得到了非金融工商界的重视，但是风险管理的研究领域主体依旧是金融保险业，这也就是的了风险管理研究多多少少都带有金融保险的行业特性。例如，20世纪60年代Beaver发表的论文《财务比率与失败预测》中基本就是采用金融保险行业的数据进行分析；20世纪70年代初期，Scholes和Black联合发表的风险管理理论研究资料基本都是金融期权定价相关理论。

这一阶段我国企业风险管理的发展历程附属于世界企业风险管理发展阶段。虽然起步比较晚，但是基本发展特征与国外相似，但是也具有一定的缺点，主要有：企业战略与风险管理不相配，风险管理没有放到企业发展战略地位；没有独立的风险管理部门，风险管理基本由内部审计、会计、财务管理部门分别进行，风险管理主观性较强；风险管理的研究基本是独立进行，没有考虑到市场是持续、动态变化的，企业仅仅从某一片面、单一层面上进行风险管理的研究，缺乏全局性和整体性的考虑。

这一阶段，我国风险管理比较经典的代表作是20世纪90年代初香港保险总部出版的《风险管理手册》和20世纪80年代初台湾学者宋明哲所著的《风险管理》。

2.企业整体风险管理阶段

20世纪90年代世界政治和经济环境发生巨大变化，世界各国银行个体倒闭最终引发拉美部分国家金融动荡、亚洲金融危机、墨西哥金融危机等较大金融整体风险动荡，促使风险管理由财务和保险局部领域扩展至企业整体层面的风险管理研究，每个企业都在寻求建立完善的全面风险管理体系。

受世界金融动荡的影响，我国风险管理研究阶段也由财务和保险局部风险管理开始拓展至企业整体风险管理体系的研究上。整体风险管理体系的建立需要在旧的风险管理方法和技术基础上进行各种创新工作，不断协调企业各方利益，全面考虑风险的影响因素，通过有效的风险组合做到整体风险的规避，实现企业最大利润。与财务风险和可保风险阶段相比，这个阶段基本特征有以下几点。

首先，企业风险管理更加职责化，并且形成连续性风险管理制度。这个阶段我国企业设置独立风险管理部门，建立了具体的风险管理机制，这样企业风险管理不再是管理层主观意愿，而是企业管理职责组成部分，风险管理更加连续化。

其次，模型化的风险管理研究模式转变为框架标准化风险管理研究模式。在参照国外企业风险管理的有效理论的基础上，国务院国资委于2006年制定了《中央企业全面风险管理指引》，《中央企业全面风险管理指引》是我国第一个风险管理框架，具有一定的权威性，对于企业进行框架标准化风险管理研究具有重要指引意义。

最后，风险管理更加注重企业整体风险组合的研究管理。这个阶段企业不再仅仅局限于对企业财务风险的管理，更加注重企业各个部门风险整体的应对。例如，在应对市场造成的产品风险时，财务风险以及各种产品市场风险相结合，制定最佳生产计划应对市场风险，保证企业在风险中获得最大经济效益。

三、我国企业风险管理发展展望

综合我国企业风险管理发展历程以及经济发展水平，作者认为我国企业风险管理发展趋势主要有：

首先，企业风险管理目标将由传统被动风险处理向风险预防、风险转嫁以及风险价值利用转变，企业风险管理活动重点向风险开发、风险利用和风险经营转变。

其次，企业风险管理中母公司从外部以股东身份对子公司进行各种风险管理标准会得到完善。由于母公司与子公司之间的委托理论以及两权分离理论，目前关于企业内部风险管理的系统标准很少有涉及到母公司对于子公司的各种风险管理条例，所以如何进一步完善作为股东身份的母公司对于子公司的各种风险管理标准将会是我国企业风险管理发展的一个新方向。

再次，企业风险管理研究的主流趋势将会是企业整体层面风险管理体系，也就是企业集成风险管理以及风险管理绩效评价的研究。随着我国市场经济进一步成熟，市场开放度更加深层次以及全方位，各种国内外市场风险的冲击必然使得根据企业管理战略目标制定企业集成风险管理目标的集成风险管理将会受到企业的重视。与传统风险管理不容，集成风险管理具有明确的目标体系，总目标与企业战略目标相吻合，各级企业部门根据本部门职能对总目标进行分解，得出本部门具体的子目标，各级目标具有鲜明的层次性，形成树状目标体系图。与此同时，风险管理成本效益等的绩效考核也会日益成为各企业以及理论研究者重视的内容。

最后，未来我国企业风险管理研究的主体不再是单个的学者，各种经济组织或者政府将成为企业风险管理的研究主体。就像区域经济组织合作是经济全球化必经之路一样，我国各个行业要得到极大的发展，合作式经济组织必然会日益成为企业之间共赢的必然手段，所以风险管理不会再局限于某个企业，经济组织整体风险管理会逐渐成为风险管理的研究主体。另外对市场经济起引导以及宏观控制的政府也会参与整体市场经济风险管理的研究，因为经济全球化中的各种冲击，要想我国市场经济顺利规避各种风险，企业风险最小化，离不开政府的宏观控制。

结语：总之，企业风险管理对于企业规避风险，快速发展壮大具有重要意义，我们要在了解企业风险管理发展历程的基础上做好对未来企业风险管理的正确预测，科学合理借助风险管理解决企业运行中各环节遇见的风险，或者在市场风险中做好企业展战略决策。

篇（2）

Abstract：Since COSO issued“Enterprise Risk Management-Integrated Framework”，COSO-ERM framework has become the standard of enterprise risk management，but as some financial institutions broke in the Subprime Crisis，the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era，developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework，the objective of enterprise risk management is shifted from the company（shareholders）to maximize the interests to maximize the interests of corporate stakeholders，and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital，risk management elements，structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.

Key Words：enterprise risk management，economic capital，risk management elements，sustainability risk management

中图分类号：F830 文献标识码：A 文章编号：1674-2265（2012）06-0009-05

风险管理理论已有五十年的发展历史，已成为指导企业经营管理不可或缺的重要思想。2004年COSO颁布《企业风险管理——整合框架》后，COSO—ERM框架很快成为风险管理的核心标准，企业风险管理首次拥有了一个系统的分析框架。但是，发生于2007年的次贷危机，动摇了人们对COSO框架的信心，风险管理该如何实施成为后危机时代风险管理理论必须回答的问题。王稳（2010）提出了一个新的企业风险管理分析框架，以经济资本、风险管理要素、结构性金融工具和可持续风险管理作为企业风险管理的核心内容，为后危机时代的风险管理提供了一个可参考的框架思路。本文在这个分析框架的基础上，系统梳理了已有文献对风险管理框架和内容的论述。

篇（3）

一、问题提出

由于各种不确定性因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。我国从2005年施行的内部审计具体准则第16号―《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。然而，我国内部审计在风险管理中应用的现状却并不令人乐观。根据调查存在以下问题：(1)内部审计人员对风险及风险管理不甚了解。28.05％的被调查内部审计人员认为风险不会影响企业价值，7.32％的被调查内部审计人员竟认为风险会增加企业价值。内部审计人员对风险的不了解，限制了内部审计对风险和风险管理的关注，制约了内部审计在风险管理中的应用。另外，内部审计人员缺乏风险管理知识，对于风险管理的先进理论―全面风险管理不甚熟悉。8.54％的被调查的内部审计人员没听说过“全面风险管理”，只有3.66％的被调查的内部审计人员熟悉“全面风险管理”。缺乏先进的风险管理理论，又从何谈起协助管理人员进行风险管理。(2)内部审计的独立性不足。内部审计部门只有独立于其它职能部门，才能独立、客观、公正地发挥其职能。62.32％的被调查单位的内部审计部门都是独立设置的，这在一定程度上保证了内部审计的独立性。但同时也应注意到内部审计的独立性还不足。56.53％的被调查单位的内部审计隶属于行政正职或分管副职，而只有19.82％的被调查单位的内部审计隶属于董事会、监事会或者审计委员会等层次比较高的部门。内部审计独立性的不足，影响了内部审计在风险管理中应有作用的发挥。(3)内部审计人员结构不合理。我国内部审计的人员结构比较单一，绝大部分是会计、审计人员。在被调查的内部审计人员中，48.43％出身于会计专业，27.99％出身于审计专业，只有10.13％出身于管理专业，以及0.74％出身于计算机专业。人员结构不合理，使得内部审计难以履行监控风险管理的职能，更别说为风险管理提供咨询服务。(4)内部审计范围狭小。内部审计人员结构的不合理，导致了内部审计范围的狭小。在被调查单位中，69.57％经常进行财务收支审计，66.67％经常进行经济效益审计，72.46％经常进行经济责任审计，只有7，25％曾经开展过风险管理审计，没有一家单位对风险管理经常进行审计。(5)内部审计方法落后。内部审计在开展审计业务时，使用的审计方法比较落后。66.67％的被调查单位采用账项基础内部审计24.64％的被调查单位采用控制基础内部审计，只有8.69％采用风险基础内部审计。审计方法的落后严重制约着内部审计在风险管理中的应用。

二、我国企业内部审计风险管理的意义及定位

(一)企业内部审计风险管理的意义主要体现在以下方面：(1)有利于进一步改进公司治理。不同的经济学观点对公司治理问题具有不同的解释，但无论是契约理论提及的不完备契约，还是信息经济学提及的信息不对称，或是委托理论提出的问题，其实质都属于风险问题，都是使企业目标元法实现的各种可能性事件。而针对这些可能性事件的管理，即风险管理，可以被认为是公司治理的核心。而从内部审计来看，通过加强对风险管理的评估和咨询，为审计委员会、董事会提供真实有力的报告证据，使股东和潜在利益相关者获得尽可能充分的信息。这自然增加了内部审计的服务职能一改进公司治理。因此，内部审计与风险管理的有效结合必将进一步改进公司治理，提高企业管理效率。(2)内部审计自身生存和发展的渴求。内部审计对风险管理的介入，使内部审计在企业中成为一个特别重要的角色，也将其在企业中的作用推向了一个新水平。同时，内部审计采用关注风险的审计方法，其报告更容易被接受，管理部门也更容易理解内部审计存在的价值，它可以帮助内部审计渡过正在影响整个职业的价值危机(Value Crisis)。正因为如此，IIA才一直积极倡导内部审计参与风险管理，把风险管理作为内部审计的重要领域直接写入了内部审计的定义。(3)内部审计参与风险管理的独特优势。内部审计部门处于企业董事会的下属位置，是不直接参与经营活动的高层次监督部门，因而在企业风险管理中具有独特的优势。第一，能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑，而各业务部门由于其局限性很难做到这一点。但内部审计部门不从事具体业务活动，独立于业务管理部门，这使得它们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。第二，控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人。其通过对长期计划与短期现实的调节，可以调控、指导企业的风险管理策略。第三，内部审计部门的建议更易引起重视。尽管许多大型企业设有风险管理部门，但它属于管理部门的一个职能部门，向总经理负责和报告，不具有独立性，其意见有时会屈服于管理当局的压力。例如其风险管理部门对某投资项目分析后发现风险太大不适合投资，而总经理好大喜功，他会力促项目的实施，这使得风险管理部门的作用受到限制。而内部审计部门独立于管理部门，其风险评估的意见可以直接报告给董事会，这自然会加强管理当局对内部审计部门意见的重视程度。(4)能保证审计目标与企业目标相契合。传统内部审计通常采用“控制-风险÷目标”的路线，即直接测试内部控制，考虑内部控制是否有效，而风险的太小仅用于表明控制的薄弱与健全环节，从而实现防弊或兴利的目标。其结果是不断向管理层建议增加控制点或加强控制，随着时间的推移，控制点会越来越多，审计业务越来越繁琐缓慢，甚至出现多余控制阻碍各项程序正常运转的情况，因而无法与企业目标直接相关联，导致内部审计无法证明其价值所在。内部审4t@与风险管理后，采取的是“目标一风险_控制”的路线，首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险，确定审计风险水平和审计重点，提出风险防范和控制建议，最后通过后续审计，测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险。内部审计的咨询职能充分体现内部审计的能动性及增值目标，并且将事后的反馈

扩展到内部控制建立前及实施时的协助与促进，帮助管理层对风险管理进行持续改进与完善，保证审计目标与企业目标相契合。

(二)内部审计风险管理的定位　coso报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法规)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动)，在企业的四个层次开展(企业级、部门级、事业单位级、分公司级)。内部审计在这一框架中作为监控活动存在，即由内审机构对企业风险管理进行独立评估。内部审计师协会(IIA)在2004年9月的《内部审计在企业风险管理中的角色》意见书也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证，以帮助确信关键商业风险被正确管理及内控系统有效运转。因此，内部审计在企业风险管理框架中首要角色是监督者，包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准，内部审计的服务种类可以划分为保证服务和咨询服务，前者是一种独立评价的活动，后者是提供建议及咨询的活动。在企业风险管理中，内部审计的本质特征并不发生改变，因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外，内部审计还可提供咨询服务，包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应，内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的，而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议；在组织实施风险管理的初期，内部审计能够发挥很大的协调作用，甚至直接担任项目经理；而当企业风险管理逐步成熟，运作稳定以后，内部审计就从建议者、协调者转化成监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色，报告关系层次越高，独立性越强，内部审计就越能够从全局和战略角度参与企业风险管理；反之，则从局部和流程角度参与企业风险管理。(图1)说明了组织风险管理水平和报告关系对内部审计角色定位的影响。为保证独立性和客观性，内部审计并不对建立企业风险管理体系承担主要责任，风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、质询和支持，但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动。内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外，在实践中，应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责，就应认为与此有关领域的审计客观性受到了损害，内部审计不能就其负责协调和指导的风险管理事项提供保证服务。

三、我国企业内部审计风险管理的思考

篇（4）

由于各种不确定性因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此，无论是国际内部审计师协会对内部审计的定义，还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。

一、企业风险及风险管理的内涵

进行企业风险管理审计，必须明确企业风险及风险管理的内涵。否则，企业风险管理审计便无从谈起。

1企业风险的实质

首先，风险产生于不确定性因素的存在，如果企业运行的内外环境是确定的，则不存在企业风险。其次，企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说，我们更注重企业的运行结果，对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此，可以认为，企业风险则是企业运行结果偏离期望结果的可能性。笔者认为，企业目标是企业期望达到的一种结果状态，但由于相关因素的持续不断的变化，企业目标的实现存在不确定性。因此，企业风险可以描述为企业目标不能得以实现的可能性。

2企业风险的划分

企业风险可以按多种标准进行分类。笔者认为，既然将风险定义为企业目标不能得以实现的可能性，那么，企业风险可以按照企业目标的不同层次来理解和划分，并可将其相应划分为：

（1）企业的战略风险是指企业战略目标不能实现的可能性，主要包括：由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险；由于企业的具体战略选择失误而带来的风险，包括企业经营领域的选择风险、企业并购风险等。

（2）企业日常经营管理风险是指企业具体经营目标不能实现的可能性，又可以划分为企业经营环节的作业链风险，如企业供、产、销等环节的风险；企业的人事风险，如由于人员任用、授权、业绩评价等方面的缺陷带来的风险；企业的信息风险，如企业信息系统风险等。

（3）财务风险。狭义一般是指由于企业筹措资金而形成的风险，并主要是指企业由于举债而形成的风险，也可称之为筹资风险。按照本文对风险的定义，即企业目标不能实现的可能性，则企业的财务风险是指企业财务活动目标不能得以实现的可能性，包括筹资风险、资金投放的风险及企业其他财务活动风险，我们可以称之为广义的财务风险。

3企业风险管理

COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程，它由董事会、管理当局和其他人员执行，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在风险容量之内，并为主体目标的实现提供合理保证。”

我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”

从上述对风险管理的解释可以看出，企业风险管理的最终目标是为企业目标的实现提供合理的保证。

二、企业风险管理审计的目标

对企业风险管理进行监督和评价是现代内部审计发展的结果，企业风险管理审计的目标取决于对企业内部审计的功能定位。

从西方企业内部审计的产生和发展过程来看，内部审计是随着经济的发展，企业内部管理层次的增多和控制范围的扩大，基于企业内部经济管理与监督的需要而产生的，并随着管理的需要而不断发展。随着内部审计的不断发展，内部审计的目标也在不断地变化，其中以国际内部审计师协会（IIA）对内部审计所下定义的变化最具有代表性。国际内部审计师协会（IIA）理事会指出内部审计是一种独立、客观的保证和咨询活动，其目的是增加组织的价值和改善组织的经营。

我国的内部审计不是在企业内部管理需要的动因下发展起来的，而是在政府的要求下，在国家审计部门的推动下建立起来的。1993年国家审计署成立，为了尽快建立和完善审计体系，补充刚刚复兴的国家审计力量的不足，政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展，企业内部审计越来越受到各方面的重视，对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出：内部审计是组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。

从内部审计的发展过程可以看出，企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于：通过内部审计机构和人员对企业风险管理过程的了解，审查并评价其适当性和有效性，提出改进建议，促进企业目标的实现。

三、企业风险管理审计的内容

风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价，也可对职能部门的风险管理进行审查与评价。因此，笔者认为企业风险管理审计应当包括以下方面的内容：

（一）风险管理机制的审查与评价

企业的风险管理机制是企业进行风险管理的基础，良好的风险管理机制是企业风险管理是否有效的前提。因此，内部审计部门或人员需要审查以下方面，以确定企业风险管理机制的健全性及有效性。包括：

1审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点，在全体员工参与合作和专业管理相结合的基础上，建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整，并通过健全的制度来明确相互之间的责、权、利，使企业的风险管理体系成为一个有机整体。

2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。

3审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险，因此，风险管理的首要工作是建立风险预警系统，即通过对风险进行科学的预测分析，预计可能发生的风险，并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势，从对因素变化的动态中分析预测企业可能发生的风险，进行风险预警。

（二）风险识别的适当性及有效性审查

风险识别是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容：

1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析，风险识别是关键性的第一步。

2审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后，运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类，并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是：采取一定的方法分析风险因素、风险的性质以及潜在后果。

需要注意是，风险管理的理论和实务证明没有任何一种方法的功能是万能的，进行风险识别方法的适当性审查和评价时，必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。

（三）风险评估方法的适当性及有效性审查

内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时，内部审计人员应当充分了解风险评估的方法，并对管理层所采用的风险评估方法的适当性和有效性进行审查。

内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：

（1）已识别的风险的特征；

（2）相关历史数据的充分性与可靠性；

（3）管理层进行风险评估的技术能力；

（4）成本效益的考核与衡量等。

3审查风险评估方法应当遵循的原则

内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：

（1）定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；

（2）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；

（3）定量方法一般情况下会比定性方法提供更为客观的评估结果。

（四）风险应对措施适当性和有效性审查

内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。

内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：

篇（5）

一、企业风险及风险管理的内涵

进行企业风险管理审计，必须明确企业风险及风险管理的内涵。否则，企业风险管理审计便无从谈起。

1 企业风险的实质

2 企业风险的划分

3 企业风险管理

从上述对风险管理的解释可以看出，企业风险管理的最终目标是为企业目标的实现提供合理的保证。

二、企业风险管理审计的目标

对企业风险管理进行监督和评价是现代内部审计发展的结果，企业风险管理审计的目标取决于对企业内部审计的功能定位。

三、企业风险管理审计的内容

（一）风险管理机制的审查与评价

1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点，在全体员工参与合作和专业管理相结合的基础上，建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整，并通过健全的制度来明确相互之间的责、权、利，使企业的风险管理体系成为一个有机整体。

2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。

3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险，因此，风险管理的首要工作是建立风险预警系统，即通过对风险进行科学的预测分析，预计可能发生的风险，并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势，从对因素变化的动态中分析预测企业可能发生的风险，进行风险预警。

（二）风险识别的适当性及有效性审查

1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析，风险识别是关键性的第一步。

2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后，运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类，并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是：采取一定的方法分析风险因素、风险的性质以及潜在后果。

（三）风险评估方法的适当性及有效性审查

内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：

（1）已识别的风险的特征；

（2）相关历史数据的充分性与可靠性；

（3）管理层进行风险评估的技术能力；

（4）成本效益的考核与衡量等。

3 审查风险评估方法应当遵循的原则

内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：

（1）定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；

（2）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；

（3）定量方法一般情况下会比定性方法提供更为客观的评估结果。

（四）风险应对措施适当性和有效性审查

篇（6）

一、企业风险及风险管理的内涵

进行企业风险管理审计，必须明确企业风险及风险管理的内涵。否则，企业风险管理审计便无从谈起。

1企业风险的实质

2企业风险的划分

3企业风险管理

从上述对风险管理的解释可以看出，企业风险管理的最终目标是为企业目标的实现提供合理的保证。

二、企业风险管理审计的目标

对企业风险管理进行监督和评价是现代内部审计发展的结果，企业风险管理审计的目标取决于对企业内部审计的功能定位。

三、企业风险管理审计的内容

（一）风险管理机制的审查与评价

2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。

（二）风险识别的适当性及有效性审查

1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析，风险识别是关键性的第一步。

（三）风险评估方法的适当性及有效性审查

内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：

（1）已识别的风险的特征；

（2）相关历史数据的充分性与可靠性；

（3）管理层进行风险评估的技术能力；

（4）成本效益的考核与衡量等。

3审查风险评估方法应当遵循的原则

内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：

（1）定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；

（2）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；

（3）定量方法一般情况下会比定性方法提供更为客观的评估结果。

（四）风险应对措施适当性和有效性审查

内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。

内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：

篇（7）

【关键词】内部审计；风险管理；参与原因；运作过程

内部审计准则第16号具体准则——风险管理审计，明确了内部审计人员要对组织内部控制中的风险管理状况进行审查与评价，表明风险管理已成为内部审计发展的重要方向。该项具体准则明确：风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。

一、内部审计参与企业风险管理的原因

(一)企业的集团化发展，要求内部审计参与风险管理

近年来，随着全球经济金融一体化程度的加深，企业面临的经营环境日趋复杂，经营风险大大增加，内部审计必须对企业经营资源运动的合标性进行全程跟踪审计，把减少企业面临的风险作为企业实现目标的关键。内部审计目前已由外在介入型逐步发展为内在融入型，渗透到企业经营管理的各方面、经济活动的各环节。它已成为强化管理的促进者、提高效能的推动者、风险前瞻的岸望者、价值增值的倡导者。因此，内部审计参与企业的风险管理也就成为企业发展必然的内在需求。

(二)内部审计的自身发展要求参与企业风险管理

1.内部审计的定义包含了风险管理内容

内部审计是采用一种系统化、规范化的方法，来对机构进行风险管理、控制和监督过程进行评价，进而提高它们的效率，帮助机构实现目标。从中不难看出，内部审计的范围已延伸到风险管理，认为只有在风险管理框架中实施的内部审计才能称之为风险管理审计，“评价和改善风险管理”成为了内部审计的重要工作领域，它拓展了内部审计的广度和深度，是对内部审计的重新定位。

2.风险管理赋予了内部审计在企业中新的地位和作用

随着内部审计定位和角色的不断改变，内部审计已成为企业的诊断师，由于在经营中风险的必然存在性，使得任何企业都必须面对风险，并利用一切手段去避免、降低它所带来的影响和后果。内部审计对风险管理的介入，将会使内部审计在企业中成为一个极其重要的角色，能够站在第三者的角度去帮助企业更好地把握经营的方向，并将其在企业中的作用推向一个新水平。

3.内部审计与风险管理的目标是一致的

从风险管理的定义看，风险管理就是通过对面临的各种风险的认识、估测、评价，准确把握各种不确定性，采取恰当的方法，用最低的成本获得最高的安全保障，将损失降至最低水平。它的目标是直接服务于企业的经营目标的。

从内部审计的定义看，内部审计的目的是为企业增加价值并提高企业的运营效率。内部审计部门经过收集资料、识别并评价风险的过程之后，能够对企业的运营提出富有价值的见解，从而被企业管理者采纳，因此可以借此消除各种减值因素，包括风险因素、控制漏洞、治理缺陷等，还可以将这些有价值的信息应用于经营管理活动，从而达到企业增值的目的。由此可见，风险管理与内部审计在其目标上是相一致的。

(三)内部审计参与企业风险管理具有独立性、综合性和连续性的优势

1.独立性优势

内部审计不参与企业具体的业务经营活动，因此不对各项业务管理中出现的问题承担直接责任，其相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层，具有相对客观的基础。

2.综合性优势

内部审计在企业管理中是一个综合性部门，其审计范围覆盖着企业经营的各个方面，掌握的信息是多方面的。企业的风险潜藏在各个方面，风险管理需要从全局角度对风险的影响大小、轻重缓急进行综合评估，协调各方面风险管理的行动。内部审计具有从全局考虑分析判断风险的综合性优势，对企业风险管理进行的系统性、专业性监督检查和评价，权衡企业实施风险防范和效益成本的利弊，在风险与收益比较中研究风险管理的定位。

3.连续性优势

内部审计部门及人员由于长期在企业内部工作，对企业所面临的风险更为了解，对风险的各种影响因素更便于做深入的调查，对企业风险的转化影响、风险管理措施效果等更便于进行连续的跟踪，对风险管理进行循环的连续性监控，而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验，会对不断深化企业风险管理和节约管理成本产生重要影响。内部审计人员作为企业员工，是最终利益的相关者，他们会对企业风险管理的效果和建立风险管理的长效机制更具有责任感。

二、内部审计参与企业风险管理的运作过程

(一)内部审计在企业风险管理中的定位

内部审计与风险管理是你中有我、我中有你、相互依存、联动发展的紧密关系。企业在制订风险管理方案时，应将内部审计作为风险管理的第一道防线，由内部审计对整个风险管理流程进行评估和监控，但内部审计在企业风险管理的建立与防范中，主要责任是对整个风险管理过程进行认定，并评价其充分性与有效性，向管理层报告并提出管理建议，以此来保证风险管理的有效性。因此，内部审计在企业风险管理框架中的首要角色是监督者;其次才是咨询服务者，它承担了咨询者、协调者、建议者的角色。

当然，内部审计在企业风险管理中的角色是一个逐步变化的过程。在企业缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议，即建议者;在企业实施风险管理的初期，内部审计能够发挥很大的协调作用，此即协调者;而当企业风险管理逐步成熟、运作稳定以后，内部审计就转化为监督者和咨询者。

(二)内部审计在企业风险管理中的作用

1.能够客观地对企业整体风险管理进行检查与评价

从风险的形成与影响后果等特性，不难看出风险在企业内部具有感染性、传递性、不对称性等特征，如一个部门造成的风险或者疏于风险管理，可能会传递到其他部门，最终要由整个企业承担。因此，有些部门可能会出现缺失道德风险，而这种风险不是由它们来承担行为责任。又如，采购部门为节约采购成本，会忽视对材料规格、型号、质量方面的检查，这种暗藏的风险会在生产车间或者销售部门反映出来，最终给企业造成损失。因此，对风险的认识、防范和控制等需要从全局考虑。

内部审计由于不参与企业经营的具体业务活动，它是独立于业务管理部门的，因而它可以从企业的全局出发、从客观的角度对各种风险进行识别，将风险评估的意见直接报告给董事会或经营管理层，提高管理层对内部审计意见的重视程度，保证其他管理部门及时采取有效措施控制风险，从而达到企业的高效运营。

2.能够以咨询顾问身份协助管理层建立风险管理制度

内部审计在企业尚未建立风险管理的过程中，应积极向管理层提出建立风险管理过程的相关建议。如果企业尚未建立风险管理过程，内部审计人员应该提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化，使风险意识贯穿于企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具，以提醒管理层注意到目标、风险、控制的关系，帮助管理层将生产经营与风险管理更好地结合;内部审计可以通过咨询服务的方式协助企业建立风险管理系统。

3.能够指导企业的风险管理策略，防止控制过度或不足的缺陷

内部审计是内部控制的再控制，企业根据目标和所能承受的风险，制定内部控制制度，内部审计人员对现代内部控制的评估焦点在于强调风险并评估具体的风险管理活动。控制过度容易导致效率不高，控制不足容易导致舞弊行为的产生。内部审计部门处于企业的董事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人，并通过对长期计划与短期实现的调节，指导企业的风险管理策略。

4.能够发挥反馈作用，对企业的风险管理产生预警作用

由于风险是面向未来的，是直接与企业的战略及经营目标相关联的，因此以风险为出发点和核心的内部审计，能够以事后的反馈延伸到事前以及事中，从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标，并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进，帮助管理层对风险管理进行持续改进与完善，产生预警功能，从而达到内部审计在企业管理控制系统中的反馈作用。

(三)内部审计参与企业风险管理的方式方法

1.转变观念，将风险管理作为内部审计的重要工作

内部审计应由过去的控制导向审计向现代风险导向审计过渡，由被动地承受审计风险，到主动地控制审计风险，将工作程序转向“确定目标、评估风险、管理风险”。内部审计部门要把参与风险管理写入内部审计工作制度，明确内部审计人员应当关心企业所面临的风险，根据风险评估思路开展对内部控制的评估，使审计报告将目前的控制与策略计划和风险评估连接进来，有效地管理企业风险。

2.要把企业风险管理融入日常审计项目中

企业风险存在于企业经营管理的各个方面，在一次审计中对企业面临的各种风险进行全面的检查和评价是不可能的，因此内部审计须在每一次的日常审计项目中，增强风险意识，引入风险审计的观念和方法，充分揭示和评价企业特定审计范围内存在的风险，使企业管理者对此风险给予重视并采取措施化解和控制。比如，内部审计部门开展的经济责任审计，企业经营负责人在任期内发生的重大投资、债务重组、重点工程建设等活动会对今后产生重大影响，任期内发生的经济纠纷或重要的管理缺陷也不一定会在其任期内体现，对此，内部审计就应作出必要的风险评价，一方面划清前后任的经济责任，一方面帮助企业采取必要的措施防患于未然。

3.要对企业的风险管理机制进行监督检查

当一个企业建立了风险管理机制，其规章制度是否得到有效执行，是需要进行监督检查的。内部审计就是对风险管理的再监督或再管理，是其参与风险管理的一种重要形式。内部审计可以实施各种专项检查，监督检查企业相关风险管理的各个风险控制点，评价预防风险的各项工作是否到位、评价降低风险的有关措施是否有效、评价风险的变化程度等等，从而对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析，发现和反映企业风险管理中的缺陷，如风险管理责任不清、部门间协调不足、风险防范资源不足等。

4.要加强对内部审计人员的督导

为提高审计工作质量，内部审计机构负责人需根据审计工作的具体情况建立内部审计督导制度，对审计人员的工作进行指导、监督和复核，明确各级人员的责任，同时必须强调督导是贯穿于审计项目的全过程的，它包括对审计方案的制订及修订、审计程序的实施、审计工作底稿的编制、审计证据的收集、审计报告的撰写等。内部审计机构负责人应采取必要的措施，尽可能减少内部审计人员在风险管理工作中的主观判断行为，在督导工作中要遵循重要性、谨慎性和客观性原则。

篇（8）

一、COSO背景

COSO委员会是由美国注册会计师协会( AICPA )、美国会计学会( AAA )、财务经理人协会( FEI )、内部审计师协会( IIA )和管理会计师协会( IMA )共同发起并出资组成的民间组织。该组织的宗旨在于通过商业伦理、有效的内部控制和公司治理提高财务报告质量。COSO的研究成果在美国以及全球会计、审计和证券界产生了深远影响，其中的一些概念和原理被写入了教科书，成为研究人员经常引用的经典；而且，随同报告的实务指南也为单位组织建立内部管理架构提供了十分有益的帮助，成为评价单位组织内部控制的标准。（柳木华 . 2006）。迄今为止，COSO委员会共了五部研究报告。

1987年，COSO了《反欺诈性财务报告全国委员会报告》，报告对财务欺诈的研究和分析没有简单地局限于独立审计师的查错作用，而是密切关注企业法律、金融和其他咨询顾问在财务欺诈中的角色，分析了企业经理班子价值观念和会计、内审与审计委员会的作用，触及了政府管制(包括SEC)和大学会计课程设置是否充分有效等问题。报告分别向公众公司、注册会计师、SEC以及其他法律部门、教育部门等提出了约100条建议。1996年，COSO发表了《金融衍生工具使用中的内部控制问题》，该报告模型认为，“风险管理过程需要理解实体的目标和经营活动，识别市场风险和测度承担的风险，然后决定是否使用衍生产品将风险降低到可以承受的水平。只要简单的忽略与衍生产品有关的部分并代之以其他合适的降低风险行为，这个过程就具有普遍性”。报告为衍生工具用户建立、评估和改善内部控制，提供了指导性建议。1999年，COSO利用1987-1997年欺诈性财务报告公司样本，在归纳其公司特征、控制环境特征、欺诈特征的基础上，了《欺诈性财务报告-1987至1997：美国公众公司分析》。报告探讨了三个欺诈高发行业――信息技术、保健和金融服务业的欺诈特点，发现三个行业的欺诈手段存在显著差异，如信息技术业最常见的欺诈手段是收入欺诈，而金融服务业最常见的手段是资产欺诈和资产盗用，并且研究了财务报告欺诈与公司治理之间的关系，发现欺诈样本公司与其所在行业标准相比，具有相当弱的公司治理机制。20 世纪在经历了70年代一连串财务失败和可疑的商业行为相继爆发后，国际社会又出现了更耸人听闻的以金融机构破产为代表的财务失败事件，给纳税人最终带来超过1 500亿美元的成本。为能有效遏制这种愈演愈烈的会计舞弊活动，1992年，COSO在进行了深入研究之后了一份关于内部控制的纲领性文件，即《内部控制――整体框架》，它标志着内部控制理论与实践进入了整体框架的阶段。报告提出了内部控制的五个重要组成要素：控制环境、风险评估、控制活动、信息及沟通与监督，深化了内部控制的理念和应用。COSO报告一经便得到了业界的认可与采纳，并在世界范围内产生了广泛影响。2001年以来，以安然、世通等为代表的一些美国大公司，因财务信息造假等行为而相继倒闭破产，震撼了美国的资本市场，引起了世界的极大反响。在国际社会对改善公司治理与加强风险管理的呼声日益高涨的背景下，2004年9月，COSO委员会结合《萨班斯一奥克斯利法案》的相关要求，颁布了一个概念全新的报告：《企业风险管理――整体框架》（ERM）。框架的出台顺应了各方需求，与1992年的《内部控制――整体框架》相比，在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破，对企业风险管理做出了更为详尽的阐述。ERM并没有取代《内部控制――整体框架》，而是基于并将其融入其中，全面推进了内部控制标准的发展。

二、COSO企业风险管理整体框架概要

COSO为企业风险管理确立了一个可普遍接受的概念，为各组织识别风险和实施风险管理提供了理论基础。ERM框架认为：“企业风险管理是一个过程，是由企业的董事会、经理层和其他员工共同参与，应用于企业战略制定和企业内部各个层次和部门的、贯穿整个企业，旨在识别影响组织的潜在事件，为组织目标的实现提供合理的保证”。企业风险管理是由人参与的过程而并非结果，企业必须将风险管理融入在日常的经营管理之中，并涉及企业的每个员工。风险管理能够识别对企业造成影响的潜在风险，能在一定程度上帮助企业实现合理的既定目标。

企业风险管理包含八个相互关联的要素：

（一）内部环境

内部环境是其他风险管理要素的基础，它由《内部控制――整体框架》要素中的“控制环境”演变而来，但包含了更为丰富的内容，如风险文化和风险偏好、管理哲学和经营风险、权力和责任分配、实践操守和价值观等。

（二）目标设定

ERM框架认为，企业的管理层在评估风险之前必须确立目标，并针对不同的目标分析相应的风险，这样管理当局才能识别影响目标实现的潜在事项。企业的目标可以分成四类：1.战略目标。与企业的使命相一致，是较高层次的目标；2.经营目标。与企业经营的效果与效率相关，旨在使企业能够有效地使用资源；3.报告目标。企业组织报告的可靠性，分为对内报告和对外报告，涉及财务和非财务信息；4.遵循目标。即企业经营是否遵循相关的法律法规。

（三）事件识别

指识别影响事件的内外部因素。潜在的事项，对企业可能有正面影响，也可能有负面影响。识别风险旨在于抓住机遇，或者在风险评估和应对阶段弥补风险对企业的影响。

（四）风险评估

是决定如何管理风险的基础，风险得到识别后，就需要对风险进行分析评估，这样，管理层就能根据被识别风险的重要程度来进行规划和组织，使通过风险管理这个过程识别和分析风险，并采取减弱风险影响的行动来管理风险。风险评估可根据不同的风险目标确定相应的风险评估方法，主要为定量分析和定性分析相结合的方法。

（五）风险对策

是在评估了相关的风险之后，所做出的应对、控制、转移、补偿风险的各种策略和措施。通常将风险对策分为规避风险、减少风险、共担风险和接受风险等四类。企业应在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事件发生的可能性和事项对企业的影响，并设计和执行风险应对方案。COSO认为，有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。

（六）控制活动

是有助于保证风险应对方案得到执行的相关政策和程序。管理当局应对企业所有系统进行控制，包括对信息系统的控制，通常控制活动和风险评估过程是联系在一起的。

（七）信息与沟通

信息是沟通的基础，沟通必须满足不同团体和个人的期望。企业内部和外部的信息必须以一定的方式进行确认和传递，以保证员工各自职责的执行和企业风险管理的有效运行。

（八）监督

COSO将监督作为评估企业风险管理质量过程的一个部分，即评估风险管理要素的内容和运行，以及评价某一时期执行质量的一个过程。该过程包括持续监督、个别评估或者两者的结合。

企业风险管理的八个要素是一个有机整体。风险管理不只是一个直线的过程，而是一个多元化的相互作用的过程。各要素之间的关系是：内部环境是企业风险管理的基础，为企业风险管理所有其他要素的运行提供了平台和组织结构；企业目标的制定，是风险管理的起点，是其他步骤的躯动力量；在企业目标已定的前提下，企业需要对影响目标的风险进行事件识别，进而对识别事件进行风险评估，风险评估驭动风险反应，影响控制活动；信息与沟通和监督贯穿于企业风险管理的全过程，并且可对其他各个组成要素进行修正（吴永澎 . 2006）。

三、COSO企业风险管理框架对内部控制标准的发展

（一）丰富了内部控制的内涵

COSO在《内部控制――整体框架》中将内部控制定义为一个受董事会、经理层和其他人员影响的过程，提出内部控制是为了实现三个目标，即：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。该定义明确了以下要点：内部控制是一个过程；内部控制是一个受人影响的过程；内部控制为了实现三个目标；内部控制过程的设计是为了提供实现内部控制目标的合理保证。这个定义比较宽泛，从某些角度来说，也存在一些片面性。而新的ERM框架则更加明确了对风险管理和保护资产概念的运用，并将纠正错误的管理行为明确地列为控制活动之一。ERM框架在原《内部控制――整体框架》所明确的要点基础上，进一步明确了以下内容：即，内部控制应用于战略制定；内部控制贯穿整个企业的所有层级和单位；内部控制旨在识别影响组织的事件并在组织的风险偏好范围内管理风险。由于ERM框架提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体，同时又涵盖了内部控制所有合理的内容。

（二）发展了内部控制的目标

针对《内部控制――整体框架》对企业战略管理方面关注不够的缺陷，ERM在目标中增加了一个新的目标――“战略目标”。使企业在追求短期利益的同时，从战略高度关注企业的长远目标和可持续发展。该目标的层次比其他三个目标更高。风险管理既应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。特定的战略目标虽然可以通过不同的战略来实现，然而不同的战略目标会给企业带来不同的风险。战略制定和风险偏好存在直接关系，在考虑达到战略目标的具体目标时，管理当局要鉴别与战略选择相关的风险，并且要考虑对这些风险的应对措施的运用（吴永澎. 2006）。此外，ERM整体框架还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告将财务报告的可靠性界定为“编制可靠的公开财务报表，包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”，该目标涵盖了企业的所有报告。

（三）拓展了内部控制的要素

COSO在《内部控制――整体框架》中提出了五个要素：即控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展，将其演变为八个要素。引入了风险偏好、风险容忍度和风险文化等概念，将原有的“控制环境”扩展为“内部环境”。这一修改使企业关注的范围不再局限于控制方面，而是从更宽阔的视野，以及更综合、更直接的角度考虑各种因素对风险的影响。并且将原有的“风险评估”要素发展为“事件识别”、“风险评估”和“风险反应”。这不只是对原“风险评估”进行的简单细化，而是意味着企业风险意识的增强和主动地管理风险。也就是企业风险管理综合框架强调应对所有事件，包括正面事件和负面事件进行综合识别，并且应将其以适当的组合方式加以看侍，并通过对固有风险和剩余风险的综合评价做出适当的风险应对措施，以减少经营偏差的发生及相关成本和损失，有利于企业抓住机会，及时调整策略，避免资源浪费，实现经营获利目标。

（四）明确了内部控制的责任关系

ERM框架认为，组织的每个成员都应对企业风险管理承担责任，并进一步划分了责任主体的等级：董事会在风险管理中扮演更加重要的角色――负总体责任，并被要求变得更加谨慎。企业风险管理的成功与否主要依赖于董事会，因为董事会需要批准组织的风险偏好；在企业风险管理中，CEO负有首要责任，并应对所有权负责，其他经理人员则起支持作用；风险部门管理者，财务部门管理者和内部审计人员等负有关键性责任；其他的企业人员负有按确定的指示和协议执行企业风险管理的责任。另外，企业外部利益相关者如客户、卖主、商业伙伴、外部审计师、监督者和财务分析师经常提供影响企业风险管理的有用信息。虽然他们并不为企业风险管理负责，但却是企业实施风险管理必须考虑的因素。

（五）创新了内部控制的风险观念

ERM 框架指出，企业风险管理的基本假设是，每一主体存在的目的是为其所有者创造价值。所有主体都面临不确定性，管理层的挑战就是确定在其为所有者创造价值的过程中，须在多大程度上接受不确定性。ERM把事件区分为风险和机会，事件可能有消极的影响、积极的影响或两者兼有。消极影响事件意味着风险，它妨碍价值创造或削弱现存价值；积极影响事件可以抵销消极影响或意味着机会。机会是一种可能性，即事件将会发生并积极影响目标实现、支持价值创造或价值保持。一个组织必须识别影响其目标实现的内、外部事件，区分哪些是风险、哪些是机会。管理当局要密切注意各层级的风险，并采取积极的管理措施。内部控制的目的不应是消极控制或防范风险，而是要主动管理风险。风险管理能使管理层有效地处理不确定性及与之相关的风险和机会，增进创造价值的能力，并在追求主体目标的过程中有效地配置资源，实现价值最大化。

【参考文献】

[1] 贾国军，李阳，杨秀玲. “从美国COSO报告的发展,看我国内部控制体系的完善”. 财会研究，2006.11.

[2] 宋怡萱，张翩. “COSO企业风险管理整体框架解析”.财会通讯，2006.3.

[3] 陈秧秧. “COSO《企业风险管理综合框架》简介”. 财会通讯，2005.2.

篇（9）

国资委《中央企业全面风险管理指引》中提到的风险是指“未来的不确定性对企业实现其经营目标影响”。它突出了以下几个方面的特性：风险具有未来性；风险具有不确定性。风险是未来失误发生的不确定性。不确定性是是客观的，不以人的意志为转移，不能控制，但是却是可预测的，并且这种不确定性又与概率相关，并且有时也可能形成有利结果；企业风险与企业经营目标紧密相关性。企业经营目标与企业风险成正比例。风险对实现企业的经营目标有好处，也可能有坏处，具有双面性；企业风险又具有机会和威胁的统一性。企业风险是中性的，既包含威胁，也包含机会。也可以讲它具有“损益性”，既可带来损失，也可获得利益。

二、企业全面风险管理的内涵

全面风险管理是将企业生产经济中可能发生的各种风险因素控制在自身可以接受范围内。企业全面风险管理内涵：全面风险管理是一个过程，它持续地作用于企业，渗透于企业整个经营管理活动中；全面风险管理由企业中各个层级的人员共同完成，需要企业各个层级的员工从企业经营目标的角度认识风险，在企业总体风险管理解决方案的部署下，履行自己的职责和权限来开展风险管理行动；全面风险管理应用企业战略决策，在制定时管理层应考虑与不同战略方案相关的风险；全面风险管理贯穿整个企业，应用于企业总部、职能部门事业部、分（子）企业等各级机构；全面风险管理的目的在于识别企业的潜在风险，并把风险控制在企业可以接受范围内。

三、全面风险管理的内容

全面风险管理主要内容包括以下几项：影响经营目标实现的因素及事项都是全面风险管理的内容，企业应采取具体措施并实施有效的防范举措，规避风险；全面风险管理内容贯穿于生产经营的全过程。全面风险管理的基本流程要贯穿于生产经营的全过程，确保企业经营总目标的实现；积极培育企业良好的风险管理文化；提升企业风险管理的管控能力。具体包括：协调风险容量与战略、增进风险管理的应对策略、抑减经营意外和损失、识别与管控企业的各级风险、提升企业的整体应对能力、改善企业资源配置，充分利用资本。

四、全面风险管理的目标

企业风险管理总体目标是为企业实现其经营目标提供合理的保证，也是为了保证企业经营目标的实现，将企业目标面临的重大风险得到有效管控，企业系统地辨识、衡量、排序并管控各级风险。确保将企业风险控制在与企业总体目标相适应并可承受的范围内；确保有关法律法规在企业贯彻执行；提高企业经营活动的效率和效果；确保风险防范及危机处理机制，保护企业免遭重大损失；形成良好的风险管理文化，强化企业全体员工的风险管理意识。

五、企业内部控制与全面风险管理关系

企业的内部控制针对企业经营管理中的程序性风险，通过对控制点的设置，实现经营管理的管控，确保企业重大风险准确评估和有效防范。全面风险管理是内部控制体系的延伸，通过实施风险防控，监控预警，实现对企业重大风险进行有效的防范，从而提升企业内部控制水平。全面风险管理开展的好坏决定于企业董事会，需要企业管理层的全力配合。全面风险管理帮助企业形成准确的战略决策。全面风险管理在企业管理的各环节中实现，而不仅仅是为了合规的要求，主要在于创效。

六、企业风险管理的具体实践经验。

全面风险管理是一项需要全员参与的工作，为确保全面风险管理工作顺利推进，企业首先完善了覆盖所有部门的风险管理工作组织体系，确定并完善了基层单位的风险信息员网络，设置了专（兼）职风险管理工作的岗位人员，明确了风险管理工作的岗位职能和责任、业务范围、工作流程、管理策略和应对的制定、监督和改进措施。

其次是企业于每年年初组织各部门参照往年风险事件，通过交流研讨完成了对本年度风险事件的采集，企业对风险事件进行辨识评估，最终确定企业本年度风险事件库。

篇（10）

受美国2002年出台的萨班斯――奥克斯利法案（以下简称SOX法案）的影响，我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求，完善内部控制体系、完成内控评估报告。同时，随着经济全球化的深入，企业遭受产品市场、要素市场和金融市场的价格冲击越来越大，各类风险产生的扩张效应和联动效应越来越严重。因此，内部控制和风险管理成为现代企业重点关注的课题。

本文将在回顾内部控制和风险管理理论发展的基础上，探讨二者之间的关系，并结合宝钢在内控体系建设和风险管理方面的最佳实践，提出整合的风险管理框架设想，以期对我国企业的内控体系和风险管理体系建设提供借鉴。

一、内部控制、风险管理的理论发展及其关系

（一）内部控制理论的发展

20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后，美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序，以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中，把内部控制活动分成五大组成部分，即：控制环境、风险评估、控制活动、信息与交流和监督评审。

2002年，美国成立的上市公司会计监管委员会（简称PCAOB）明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架，有些国家和地区在参照该框架的基础上建立了自己的内控体系。

我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求，在理论体系上和COSO内控框架一脉相承。

（二）风险管理理论的发展

企业风险管理理论发展大致分为三个阶段。第一阶段：以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段：以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展，公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制；1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段：以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明，仅靠内部控制难以实现企业的最终目标。为此，COSO于2004年9月出台了《COSO企业全面风险管理整合框架》（简称ERM），提出了由三个维度构成的风险管理整合框架。

我国国务院国资委于2006年《中央企业全面风险管理指引》（以下简称《指引》），标志着我国中央企业建立全面风险管理体系工作的启动。

（三）内控体系建设与全面风险管理工作的联系和作用

全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一，而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益，而这正是全面风险管理应该达到的基本状态。此外，内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用，具体体现在以下两个层面：

1.在理论框架层面，完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系；而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。

2.在推进工作的步骤层面，从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看，以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设，在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备，可为公司未来开展全面风险管理打下较为完善的基础。

至于差异，从二者的框架结构看，全面风险管理除包括内部控制的三个目标之外，还增加了战略目标；全面风险管理的八个要素除了包括内部控制的全部五个要素之外，还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看，内部控制仅是管理的一项职能，而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险，侧重于财务和运营；而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险，侧重于战略、市场、法律等领域。

二、宝钢在内控体系建设领域的实践

宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程，推广管理标准。2007年3月，由公司总经理担任组长的内控评审项目开始启动。

内控项目工作范围包括宝钢股份总部以及下属分子公司，资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程，梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上，逐步建立宝钢股份上市公司内部控制体系，编制公司流程内控手册，形成公司全面的内控改进点报告，建立公司层面基本内控体系。并在前期工作的基础上，开展内控体系的自我评估工作，形成公司内控自我评估报告。

在项目实施过程中，公司组织了多场内控培训会，形成了全员内控的企业文化。同时，公司对发现的内控薄弱点狠抓落实整改，并对各单位的问题汇总报告进行整理；评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析，就同类问题开展自查自纠，以形成辐射效应。此外，宝钢股份还将内控评审项目和常规审计工作相结合，在内部审计工作中跟踪检查问题的整改情况。

三、宝钢在风险管理领域的实践

宝钢从2007年开始全力推进全面风险管理体系建设，这既是资本市场的要求，也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是：围绕宝钢的战略目标，在企业管理的各个环节和经营过程中执行风险管理流程，培育良好的风险管理文化，使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面：

（一）以法人治理为基础，建设风险管理的组织体系

完善的法人治理是风险管理重要的内部环境，也是风险管理体系建设的起点和保障，而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业，在完善董事会试点的过程中优化董事会成员结构，建立外部董事制度，不断完善董事会运作机制，初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。

同时，宝钢按照国资委《指引》的要求，构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设：总部各职能部门和各子公司作为风险管理的第一道防线，是所管业务风险的责任者，公司明确了其各自相应的职责。第二道防线建设：总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”，由系统运行改善部作为风险管理的综合管理部门，对全面风险管理的日常工作进行协调和推进。第三道防线建设：审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价，及时发现流程中存在的问题，提出内控完善的建议。

（二）与管控模式相结合，制定风险管理策略和流程

宝钢采取的是“战略控制型”的管控模式，即总部通过对策略性、全局性业务进行管控来确保战略意图的实现，对于具体执行性业务则授权给各子公司来执行，以确保整体运作效率和响应速度。

因此，宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点，通过推进风险管理文化建设、推动内控系统优化，确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施，建立并不断完善风险管理体系。各子公司则结合自身产业特征，从防范运营风险的角度出发，重点推进四项工作：1.建立风险管理的组织体系和工作机制；2.对重大风险进行识别和评估，形成重大风险清单，确定风险管理的重点领域；3.针对重大风险涉及的重要业务流程和重大事件，评估、完善内控体系，并落实为工作规范，制定管理制度，形成内控手册；4.针对可能发生重大突发事件的业务领域，建立预警机制，制定应急预案。

（三）建立了财务预警指标体系，使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警

在应急预案方面，在总部和子公司层面编制了一系列应急预案，提高宝钢处置突发事件、保障公共安全的能力，最大程度地预防和减少突发事件及其造成的损害。

四、整合的风险管理框架设想

通过长期的工作实践和思考分析，笔者认为：企业的风险管理工作需要和企业管理的多方面相结合，构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合，还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如图1所示：

（一）风险管理系统应与公司治理系统进行整合

风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会（IIA）指出，企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中，高管和风险主管应当直接承担风险管理的责任，董事会则应积极参与增值型的风险管理活动，如在风险管理的过程中对管理层进行指导、授权和监督等活动。

（二）风险管理系统应与公司战略管理系统相整合

风险管理功能与公司战略管理功能相耦合，主要体现在图2所示的战略管理全过程中：

将战略管理系统与风险管理系统相整合，有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界，并为风险管理提供政策；而战略管理则为风险管理提供资源与支持。公司实施不同的战略，会引起不同的风险，也应采取不同的风险应对措施。因此，不同的战略模式将会导致在不同的领域配置风险管理的资源。

企业战略管理的最终目标是为了实现企业价值的持续增长，企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开，该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值，必须具有高效、快捷和质量可靠的业务流程，这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径，企业风险管理也应遵循这一路径而展开。

总之，整合的风险管理框架应该是由公司治理层面确定风险管理的政策；由高管确定风险管理的偏好；由战略管理层确定风险管理流程、文件和模型；在应用和基础设施层面配备相应自动控制装置，以促进事件的自动处理和报告的自动生成，并使用分析工具对这些事件及其组合与公司政策的相关性进行分析，为决策者提供风险应对的信息。

【主要参考文献】

［1］张谏忠，吴轶伦.内部控制自我评价在宝钢的运用［J］.会计研究，2005，（2）.

［2］吴轶伦.内部控制自我评价［J］. 上海财经大学学报，2004,（4）.

［3］吴轶伦.内部审计职能的发展与风险管理模式的建设［J］. 冶金财会，2006,（3）.

［4］方红星.内部控制审计组织效率［J］.会计研究，2002,（7）.

［5］课题研究组.内部会计控制规范操作实务［M］.中国商业出版社，2001.

［6］阎达五，宋建.双元控制主体构架下现代企业会计控制的新思考［J］.会计研究，2000,（3）.

［7］朱荣恩、贺欣.内部控制框架的新发展――企业风险管理框架［J］.审计研究， 2003，（6）.

［8］金或日方 ,李若山,徐明磊. COSO报告下的内部控制新发展［J］.会计研究，2005，（2）.

［9］严晖.风险导向内部审计整合框架研究［M］.中国财政经济出版社，2004.

［10］宋夏云.现代风险导向审计模式的背景分析与理论创新［J］.中国审计，2005.

［11］胡春元.审计风险研究［M］.东北财经大学出版社， 1997.

［12］吴轶伦.内部审计的风险管理模式［J］.上海审计，2006,（1）.

［13］郑石桥等.现代企业内部控制系统［M］.立信会计出版社，2000.

［14］张国康等.内部控制制度［M］.立信会计出版社，2003.

［15］课题组.现代企业内控制度：概念界定与设计思路［J］.会计研究，2001,（11）.

［16］ Arthur A. Thompson.Jr and A.J.Strickland Ш，段盛华等译，战略管理.中国财政经济出版社，2005.

［17］ Robert S. Kaplan and David P. Norton,刘俊勇等译.战略地图.广东经济出版社，2005.

［18］ Larry F. Konrath, Auditing: A risk analysis approach, 5th edition, South-Western.

上一篇: 有趣的课外阅读下一篇: 跨境电商企业税收筹划