企业风险管理整体框架

内部控制理论与实务的发展
内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架、风险管理框架五个阶段。

1、内部牵制
相互核对是此阶段内部控制的主要内容，设定岗位分离是内控的主要方式，这在漫长的几千年内被认为是一种最实用的控制方法。

2、内部控制制度
1936年美国颁布了《独立公共会计师对财务报表的审查》，首次定义了内部控制：“内部稽核与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法”，此后美国审计程序委员会又经过了多次修改。

1973年在美国审计程序公告55号中，对内部控制制度的定义作了如下解释：“内部控制制度有两类：内部会计控制制度和内部管理控制制度，内部管理控制制度包括，不仅限于组织结构的计划，以及关于管理部门对事项核准的决策步骤上的程序与记录。

会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。

”但是会计界对内部控制人为分为二部分会计控制和管理控制，遭到了企业实务界的反对。

3、内部控制结构
1988年美国审计准则委员会发布的第55号审计准则公告《财务报表审计中内部控制结构的考虑》，较大幅度地修改了对内部控制的定义。

内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，内部控制由三个要素组成：内控环境、会计制度和控制程序。

4、内部控制整体框架
1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会(由于该委员的委员长是J.C.Treadway ,故又称为Treadway Committee)，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。

基于该委员会的建议，成立COSO委员会（Committee of Sponsoring Organization of the Treadway Committee,美国虚假财务报告全国委员会的发起组织委员会），专门研究内部控制问题。

1992年9月，COSO委员会提出了报告《内部控制——整体框架》（1994年进行了增补），即COSO内部控制框架。

该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。

” COSO内部控制框架所述内容如下图1：
图1：COSO内部控制框架
1996年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。

（1）内部控制整体框架基本内容介绍
COSO内部控制框架不是唯一的内部控制框架,其他类似框架中最著名的是加拿大注册会计师公会所属的控制基准委员会COCO，于1995年11月发行《控制指导纲要》。

COCO提出了—种更精简、更具动态，使用更多管理术语的内部控制基本架构。

COCO报告从四个方面：目的、承诺、能力、监督与学习，提出20项控制基准。

但是COSO 内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第 404 条款的“最终细则”也明确表明 COSO 内部控制框架可以作为评估企业内部控制的标准。

作为纽约证交所上市的公司，需要按照法案要求，引进COSO 内部控制框架，整合现有内部控制，满足法案的要求。

COSO 内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示，如图2，图3。

图2：COSO 内部控制的整体框架
控 制 环 境
信通沟息监 督
信息沟
通控制活动风险评估
图3 COSO 内部控制的整体框架
（2）内部控制整体框架五大要素
①控制环境
控制环境是所有其他组成要素的基础，包括了以下要素：
●诚信和道德价值观；
●致力于提高员工工作能力及促进员工职业发展的承诺；
●董事会和审计委员会。

包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性；
●管理层的理念和经营风格；
●组织结构。

包括了定义授权和责任的关键领域以及建立适当的报告流程；
●权限及职责分配。

经营活动的权限和权责分配以及建立报告关系和授权协议。

它包括了：
a) 被激励主动发现问题并解决问题以及被授予权限的程度；
b) 也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策；
c) 确保所有人理解公司目标。

每个人知道他的行为与目标实现的关联和贡献的重要程度。

7) 人力资源政策及程序。

②风险评估
首先，风险评估的前提条件是设立目标。

只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。

设立目标是管理过程重要的一部分。

尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。

其次，识别与上述目标相关的风险。

再次，评估上述被识别风险的后果和可能性。

一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。

最后，针对风险的结果，考虑适当的控制活动。

③控制活动
控制活动指为确保管理层指示得以执行，削弱风险的政策（做什么）和程序（如何做）。

它们有助于保证采取必要措施来管理风险以实现企业目标。

控制活动贯穿于企业的所有层次和部门。

它们包括一系列不同的活动，如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。

④信息与沟通
相关的信息必须以一种能使人们行使各自职能的形式和时限被识别、掌握和沟通。

信息系统不仅处理内部资料，而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。

有效的交流还必须广泛的进行，涉及机构的各个方面。

所有人员都要从高级管理层获得清楚的信息，他们必须明白各自在内部控制制度中的作用，明白个人的行为如何与他人的工作相联系。

他们必须有自下而上传递重要信息的方法。

顾客、供应商、监管者和股东这样的外界之间也必须有有效的沟通。

⑤监督
一个评估系统在一定时期运行质量的过程。

这一过程通过持续的监控行为、独立的评估或两者的结合来实现。

持续的监控行为发生在经营的过程中。

它包括日常管理和监管行为。

独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。

内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。

5、企业风险管理——整合框架
（1）企业风险管理——整合框架基本内容介绍
2001年，COSO委托普华永道开发一个对于管理当局评价和改进他们所在组
织的企业风险管理的简便易行的框架，2004年9月《企业风险管理——整合框架》正式文本发布。

企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。

尽管风险框架不打算、也的确没有取代内部控制框架，但风险管理框架文本中指出风险管理框架将内部控制框架涵盖在其中。

（2）企业风险管理——整合框架五大要素
COSO的《企业风险管理－整体框架》提出企业风险管理由8个相互关联的要素构成，它们源自管理当局的经营方式，并与管理过程整合在一起，这8个要素包括：
①内部环境
内部环境是组织内人员如何看待风险、对待风险的态度。

包括风险管理理念、风险承受能力、正直和道德价值观及工作环境。

内部环境为企业中的人们如何看待风险和着手控制风险确立了基础。

②目标设定
只有先制定目标，管理层才能识别影响目标实现的事件。

企业风险管理确保管理层参与目标制定流程，确保所选择的目标不仅和企业使命方向一致，支持企业的使命，而且与其风险承受能力相符。

③事项识别
必须识别影响企业目标实现的内外事件，分清风险和机会。

管理层制定战略或目标时应考虑到机会，机会被追溯到管理当局的战略或目标制定过程。

④风险评估
要对识别的风险进行分析，以便确定管理的依据。

风险与可能被影响的目标相关联。

既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。

⑤风险对策
管理层选择风险应对方式，包括规避、接受、降低或分担并制定一套措施把风险控制在企业的风险容忍度和风险承受能力之内。

⑥控制活动
制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。

⑦信息与沟通
企业的各个层级都需要借助信息来识别、评估和应对风险。

有效信息沟通的外延比较广泛，包括企业内信息的上传、下达和平行流动。

⑧监督
整个企业风险管理处于监控之下，必要时还会进行修正。

这种方式能够动态地反映风险管理状况，并使之根据条件的要求而变化。

监控通过持续的管理活动、对企业风险管理进行单独评价或者两者的结合来完成。

企业风险管理整体框架有3个维度：第一维是企业目标；第二维是全面风险管理要素；第三维是企业的各个层级。

它们之间的关系如图4所示：
图4 企业风险管理要素与企业目标和组织结构的关系6、企业内部控制各阶段的比较
表1 内部控制各阶段的特征比较
表2 内部控制框架、风险管理框架与管理活动的关系
7、内部控制与企业风险管理关系
内部控制与企业风险管理有着十分紧密的联系，COSO报告认为，内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制，无论在理论上还是在实践上，企业风险管理都比内部控制更有力。