企业风险管理框架研究

企业风险管理框架研究
内部审计担负着监督信息真实性的重大责任，是确保受托责任有效履行的手段。

立足于企业风险管理框架（ERM）的创立，对其定义及深层内容进行剖析，分析我国企业风险管理的现状，提出企业建立风险管理框架的思路。

标签：内部审计；企业风险管理框架（ERM）；风险管理现状
企业风险管理是内部审计的高级阶段，是一个三维立体的由多变量共同决定的风险管理体系。

它通过自身目标的履行，要素的实施过程，来预测并弱化控制风险。

1 企业风险管理框架的深度分析
企业风险管理是一个过程，它持续地流动于主体之内；由组织中各个层级的人员实施；应用于战略制订；贯穿于企业，在各个层级和单元应用；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；能够向一个主体的管理当局和董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。

1.1 企业风险管理的目标
COSO报告将企业风险管理的目标归为：战略目标、经营目标、报告目标、合规目标。

第一，战略目标，规划了企业经营管理活动所必须长期坚持的有效愿景。

第二，经营目标，涉及到企业经营的效果与效率，包括业绩指标与盈利指标，旨在提高企业有效及高效地利用资源的能力。

第三，报告目标，该目标关注企业报告的可靠性，分为对内报告和对外报告，涉及财务和非财务信息。

第四、合规目标，这是最基础的目标，考察企业经营遵循相关的法律法规的情况。

其中，战略目标层次最高，它反映了管理者为努力实现利益相关者创造价值的目标而做出的选择。

1.2 企业风险管理的构成要素
企业风险管理包括八个互相关联的要素，这几个要素来自管理层经营企业的方式，并和管理流程整合在一起。

要素包括：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监控。

各要素相互关联，贯穿在企业的管理过程之中。

从宏观上看，内部环境是企业风险管理的基础，为企业风险管理的其他组成部分的顺利运行提供了平台。

目标设定是全面风险管理的起点，是其他要素的驱动力量。

在目标设定的前提下，对影响目标的风险进行事件识别，进而对识别的事项进行风险评估，风险评估驱动风险反应，影响控制活动，信息与沟通和监督贯穿于企业风险管理的整个过程，并对前面的各个组成要素进行修正。

这样，企
业风险管理就成为了一个多元化、多方向的、不断重复、相互作用动态的过程。

1.3 对企业风险管理框架的评析
认定一个主体的企业风险管理是否“有效”，除了目标制定上的正确性外，还要判断八个构成要素是否存在，且有效运行。

构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内。

在ERM框架中，内部审计人员在监督和评价内部控制及相关成果方面承担着重要任务。

他们必需协助管理层和董事会监督、评价、检查、报告和改革ERM 的运行情况。

对内审人员来说，最大的挑战莫过于在ERM中扮演何种角色。

笔者发现，其新增加了一个角色——风险主管或风险经理。

风险主管除了需要和其他管理人员一样，在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，成为风险管理委员会的成员之一。

可见，风险管理框架的运用对管理层进行了重新配置，加强了管理人员的风险意识，深化了内部控制，同时明确内部审计是风险管理的高层确认者、是对风险管理的再管理。

在研习ERM的过程中，笔者也在不断思考，ERM的建立无疑是社会发展的一大进步，但能否在ERM现有框架的基础上增加新的要素，比如增设人力资源要素、企业文化等无形要素变量，加入对管理人员的考评激励效果变量等，以使ERM框架更完整，更有效，能否在ERM框架的基础上打造出一个新ERM整合框架，将会成为一个新课题，需要我们深入探索。

2 我国企业风险管理现状分析
从总体说，国内企业对风险管理的意识还比较淡薄，视其为可有可无的事项，“中航油”失败的一个重要因素就是忽视了对风险管理的预测与调控，并未建立起健全有效的风险管理体系。

它虽然制定了《风险管理手册》，采用了先进的风险管理软件，设置了风险管理委员会，但是《风险管理手册》的内容本身引起歧义的地方很多，风险管理委员会也未尽到应有的责任。

中航油建立的风险管理体系实际上几乎只是一个漂亮的虚壳，风险管理机制并没有启动。

中航油失败的案例值得我们深思，这客观上促使我国要在现有的关于企业内部控制及审计准则的基础上建立一套比较系统的、完善的中国企业风险管理框架，来指引和规范当今企业的运营及长远发展。

但是，企业风险管理框架的构建与运行不是一蹴而就的，也不是单靠企业自身努力就可以达到的，需要政府相关政策的扶持和企业间成功经验的分享借鉴。

COSO制定的ERM框架虽具指导性，但可能并不适合各个国家的具体情况。

现今，一套由政府职能部门主持研究的，为各企业提供政策指引和技术支持的符合国际惯例的企业风险管理体系正呼之欲出，如果其顺利推行，这会在相当程度上改善企业的运行效率，减轻各企业的制度建设成本，使资金更有效的投入到企业拳头产品的建设中，提高盈利概率。

可喜的是，我国国资委2006年6月6日发布的《中央企业全面风险管理指引》正是为推进风险管理建设做出的有益尝试和
重大突破。

希望各企业针对自己的实际情况，不断完善自身的内部审计规范，在指引的指导下，阔步前进。

由于我国实行的是以公有制为主体，多种所有制经济共同发展的社会主义市场经济体制，国有经济、集体经济及混合所有制经济并存，体制结构较为复杂。

参照国资委2006年6月6日发布的《中央企业全面风险管理指引》，我们可以区分不同的经济体制，分别进行风险管理框架的构建。

（1）对国有经济建立风险管理框架的探讨。

对于大型的国有经济，实施风险管理框架的重点是应从完善公司法人治理结构入手。

一个良好的公司治理结构应当实现组织既定目标，维护股东的权益；确保利益相关者的合法权益，并且鼓励公司和利益相关者积极进行合作，保证及时准确的披露与公司有关的任何重大问题，包括财务状况、经营状况、所有权状况和公司治理状况的信息；确保董事会对公司的战略性指导和对管理人的有效监督，并确保董事会对公司和股东负责。

因此，完善的公司治理应该保持良好的内部控制制度，内部审计制度，双管齐下，按照合规性和效益性原则，全面建立风险管理框架体系。

重點要以国有企业改革为契机，建立现代企业制度，完善法人治理结构，强调国家作为出资者对企业的绝对控制权，以资本控制为纽带加强董事会、监事会在风险管理框架中的地位，建立健全管理机构，厘清权责分派体系，建立新型的激励约束机制。

此外，要重视运用现代网络信息技术和财务预警机制的建立。

还要注重对整个企业组织文化的培养及员工的继续教育与培训工作。

（2）对中小企业建立风险管理框架的探讨。

中小企业的数量很多，经济结构也较为复杂，总体上说，大部分中小企业以非国有企业为主。

其面临的主要问题有组织机构职责不明、家族管理制普遍；决策机制灵活性较大、战略意识模糊；人员素质较低等等。

因此，企业应从实施风险管理框架的最基础工作做起，规范相应的公司法规，厘清混乱的局面。

按照合规经营的要求建立内部控制框架，做到财产管理制度健全、会计信息真实，在此基础上，逐步按效益性要求建立风险管理框架。

此外，风险管理框架的建设与运行中需要大量高层管理者大力推动，因此中小型企业更应引进人才，注重培训，提高企业人员素质，特别是管理者的素质。

3 风险管理框架的展望前景
企业风险管理框架是一项综合性的、复杂的现代管理系统，短期内很难达到满意效果，需要在相当长的时期里不断摸索和实践。

现在已经施行风险管理框架的企业，如甲骨文公司，GOOGLE已经取得了较好的管理经营业绩。

这从实务中向我们昭示了建立风险管理框架的重要意义。

风险管理框架孕育于内部审计之中，更是内部审计发展的高阶段，在经历了时间和实践的检验后，必将以蓬勃的势头广阔发展。

参考文献
［1］劳伦斯.索耶（美），汤云为等译.现代内部审计实务［M］.北京：中国商业出版社，1990,（6）.
［2］方红星等译.企业风险管理—整合框架［M］.大连：东北财经大学出版社，2005.
［3］毛敏.风险管理框架下内部审计职业化的发展策略［J］.财会通讯（学术版）,2004，（12）.。