一、企業(yè)風險管理框架的提出

　　2004年，美國Treadway委員會下屬贊助委員會（COSO）在內部控制框架概念的基礎上，提出了企業(yè)風險管理（Enterprise Risk Management，ERM）的概念，使內部控制的研究發(fā)展到一個新的階段。COSO這樣定義企業(yè)風險管理，企業(yè)風險管理是一個過程，受企業(yè)董事會、管理當局和其他員工的影響，包括內部控制及其在戰(zhàn)略和整個公司的應用。旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規(guī)的遵循提供合理保證。COSO認為，ERM為公司董事會提供了有關企業(yè)所面臨的重要風險，以及如何進行風險管理方面的信息，并進一步提出企業(yè)風險管理由內部環(huán)境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監(jiān)督等8個方面組成。

　　1.內部環(huán)境（Internal Environment）。企業(yè)的內部環(huán)境是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構，也為ERM的其他組成因素提供了框架。其中特別是管理當局的風險偏好，決定了公司對可能出現的預料之外的事件的態(tài)度，管理當局和董事會必須明確戰(zhàn)略及其執(zhí)行過程中的風險和回報。

　　2.目標設定（Objective Setting）。即管理層必須基于目標來識別成功的潛在因素。根據企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標并在企業(yè)內層層分解和落實。其中，其他相關目標是指除戰(zhàn)略目標之外的其他目標，其制定應與企業(yè)的戰(zhàn)略相聯系。管理者必須首先確定企業(yè)的目標。才能夠確定對目標的實現有潛在影響的事項，而企業(yè)風險管理就是提供給企業(yè)管理者一個適當的過程，既能夠幫助制定企業(yè)的目標，又能夠將目標與企業(yè)的任務或預期聯系在一起，并且保證制定的目標與企業(yè)的風險偏好相一致。

　　3.事件辨別（Event Identification）。在對企業(yè)目標、戰(zhàn)略和計劃以及對企業(yè)所處的內部和外部環(huán)境都有深刻了解的基礎上，企業(yè)風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件，事件辨別的基礎是將可能的風險與環(huán)境進行對比。這一步要求綜合運用各種專業(yè)知識，盡可能地了解企業(yè)當前或將來的環(huán)境和經營情況。

　　4.風險評估（Risk Assessment）。一般用可能性（概率）和影響結果兩個維度度量風險，前者是一定的負面影響事件發(fā)生的可能性；后者是假設事件發(fā)生，對經營、財務報告以及戰(zhàn)略產生影響的可能結果，潛在影響一般以對經營、數量、金錢損失以及戰(zhàn)略目標可能造成的損失進行計算。風險評估的過程中根據不同的情況，采用定性、定量以及相結合的方法，若可以獲取充足的數據，一般采用定量的評估方法；若潛在的可能性及影響結果都較小，或者無法獲得數據，則一般采取定性的評估方法。

　　5.風險反應（Risk Response）。企業(yè)對每一個重要的風險及其對應的回報進行評價和平衡，結果取決于成本效益分析以及企業(yè)的風險偏好。而平衡的反應包括接受、規(guī)避或緩和這些風險，后者又包括風險分離、風險轉換或者減少（包括通過控制活動）等形式。風險反應是企業(yè)風險管理的整體重要組成部分。

　　6.控制活動（Control Activities）?？刂苹顒邮枪芾懋斁衷O計的政策和程序，為執(zhí)行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業(yè)績復核、資產安全、職責分離等方法。

　　7.信息和交流（Information and Communication）。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息，與財務信息一樣，風險信息必須以一定的形式和框架進行交流，使員工、管理層以及董事履行各自的責任。風險評估的信息系統(tǒng)可以產生定期或“例外基礎”的時時報告，報告使用趨勢指標、業(yè)績矩陣及運營或財務成果的形式，這些報告能夠引導出及時的決策。在公司層次，必須對各種數據和信息流進行加工，形成關于公司風險組合輪廓的統(tǒng)一觀點，以利于交流。通常存在自上而下式、平行式和自下而上式三種有效的交流形式。自上而下式是管理當局向員工傳遞風險信息；平行式是部門之間的信息交流和傳遞；自下而上式是一線員工向管理層匯報風險信息。員工的風險信息交流方面的意識是風險管理環(huán)境的重要組成部分，應鼓勵員工就其意識到的重要風險與管理層進行交流，管理當局應當重視員工的意見。

　　8.監(jiān)督（Monitor）。與內部控制一樣，企業(yè)應通過持續(xù)的監(jiān)督和獨立的評價活動，監(jiān)督企業(yè)風險管理的有效性。持續(xù)監(jiān)督以日常經營中發(fā)生的事件和交易為對象，包括管理當局和專門的監(jiān)督人員的活動。獨立評價一般以定期檢查計劃為基礎，或者以日常監(jiān)督中發(fā)現的意外為起點，由于在獨立調查、風險評估和報告方面具備能力、技巧和經驗，內部審計師是提供獨立評價的合適人選。

　　二、企業(yè)風險管理與內部控制的融合

　　自1992年美國COSO委員會提出《內部控制框架》報告（簡稱COSO報告）以來，該內部控制框架已經被世界上許多企業(yè)所采用，但理論界和實務界紛紛對內部控制框架提出一些改進建議，強調內部控制框架的建立應與企業(yè)的風險管理相結合。新的企業(yè)風險管理框架就是在1992年的研究成果——《內部控制框架》報告的基礎上，結合《SOX法案》在報告方面的要求，進行擴展研究得到的。通過比較，我們可以發(fā)現，企業(yè)風險管理的定義采用了1992年內部控制框架定義的模式，認為企業(yè)風險管理與內部控制同樣是一個程序，它不是靜態(tài)的，而是處于不斷的調整和變化之中，以適應組織環(huán)境的變化。

　　企業(yè)風險管理除包括內部控制的三個目標之外，還增加了戰(zhàn)略目標，并擴大了報告目標的范疇。內部控制框架將企業(yè)的目標分為經營的效率和效果、財務報告的可靠性和現行法規(guī)的遵循。企業(yè)風險管理框架也包含三個類似的目標，但是比內部控制框架增加了一個目標——戰(zhàn)略目標。該目標的層次比其他三個目標更高。企業(yè)的風險管理在應用于實現企業(yè)其他三類目標的過程中，也應用于企業(yè)的戰(zhàn)略制定階段。

　　另外，企業(yè)風險管理的8個要素除了包括內部控制的全部5個要素之外，還增加了目標設定、事件辨別和風險反應三個要素，由于對象不同，風險管理更加針對組織面臨的“風險”，增加這三個要素，拓展了概念的深度和廣度。因此，風險管理框架建立在內部控制框架的基礎上，內部控制框架則是企業(yè)風險管理必不可少的一部分。

　　內部控制與風險管理的融合很早就引發(fā)了人們的關注，經過長期的爭論和實踐，人們對二者關系的認識不斷深化，逐漸認識到將兩者關系隔離的分析方法是不可取的，內部控制與風險管理只有相融合，才能實現最佳效果。COSO企業(yè)風險管理概念的提出，將風險管理與內部控制的融合大大地向前推動了一步，這種融合必將極大地推進內部控制和內部審計的發(fā)展。

　　三、風險管理對內部審計的影響

　　內部控制向風險管理領域擴展，對內部審計的發(fā)展產生了深遠影響，這種影響集中體現在風險基礎內部審計的產生。由于各國實務各不相同，尚未形成統(tǒng)一的最佳做法，國際內部審計師協(xié)會目前還沒有標準的風險基礎審計定義，IIA的職業(yè)問題委員會認為，風險基礎審計關注的焦點是組織對所面臨影響其目標實現的風險作出的反應，與其他形式的審計不同，這種審計的出發(fā)點是風險，而非控制，其目的在于為風險管理提供獨立保證，并在必要時加以引導和改進，審計業(yè)務的范圍和優(yōu)先次序應由組織所面臨的風險所決定。

　　風險基礎內部審計的特征可以總結為以下幾點：

　　第一，風險基礎內部審計不僅關注風險管理，同時也是風險管理的重要組成部分。公司針對風險管理功能，設立一個分部，配置一位風險經理，內部審計人員建立風險評估模式，內部審計工作成為企業(yè)風險管理的一個組成部分，整個審計工作根植于以未來為導向的風險分析。

　　第二，內部審計的方法不再是強調確認和測試控制的完整性，而是強調確認經營風險并測試這些風險是否得到有效管理，由交易事項和對政策的遵循，轉變?yōu)閷δ繕?、?zhàn)略和風險管理程序的關注，“控制是否適當且有效”雖然仍被關注，但已不是關鍵。

　　第三，內部審計的反應方式不再是反應式的、事后的、不連續(xù)的監(jiān)控，從以交易為基礎轉變?yōu)橐赃^程為基礎，對組織戰(zhàn)略計劃的創(chuàng)新也由觀察者轉變?yōu)閰⑴c者。

　　第四，內部審計在組織中扮演的角色不再是獨立的評價者，更是風險管理與公司治理的集合者，內部審計人員應就戰(zhàn)略規(guī)劃、企業(yè)并購、合資經營、戰(zhàn)略聯盟及環(huán)境保護等重大問題，及時、客觀、獨立地提供咨詢。

　　最后，內部審計的建議不再是強化控制、強調成本效益配比以及提高控制的效率和效果，而是風險規(guī)避、風險轉移和風險控制，通過有效的風險管理提高組織整體管理的效率和效果。