企業風險管理的特征范例6篇

前言：中文期刊網精心挑選了企業風險管理的特征范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

企業風險管理的特征范文1

關鍵詞：企業風險管理；經濟資本；風險管理要素；可持續風險管理

Abstract：Since COSO issued“Enterprise Risk Management-Integrated Framework”，COSO-ERM framework has become the standard of enterprise risk management，but as some financial institutions broke in the Subprime Crisis，the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era，developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework，the objective of enterprise risk management is shifted from the company（shareholders）to maximize the interests to maximize the interests of corporate stakeholders，and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital，risk management elements，structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.

Key Words：enterprise risk management，economic capital，risk management elements，sustainability risk management

中圖分類號：F830 文獻標識碼：A 文章編號：1674-2265（2012）06-0009-05

風險管理理論已有五十年的發展歷史，已成為指導企業經營管理不可或缺的重要思想。2004年COSO頒布《企業風險管理——整合框架》后，COSO—ERM框架很快成為風險管理的核心標準，企業風險管理首次擁有了一個系統的分析框架。但是，發生于2007年的次貸危機，動搖了人們對COSO框架的信心，風險管理該如何實施成為后危機時代風險管理理論必須回答的問題。王穩（2010）提出了一個新的企業風險管理分析框架，以經濟資本、風險管理要素、結構性金融工具和可持續風險管理作為企業風險管理的核心內容，為后危機時代的風險管理提供了一個可參考的框架思路。本文在這個分析框架的基礎上，系統梳理了已有文獻對風險管理框架和內容的論述。

一、企業風險管理分析框架的演進

企業風險管理的特征范文2

「關鍵詞　企業風險　風險管理　風險管理審計

由于各種不確定性因素，企業面臨著各種風險，能否對風險進行有效的管理和控制，是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此，無論是國際內部審計師協會對內部審計的定義，還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。

一、企業風險及風險管理的內涵

進行企業風險管理審計，必須明確企業風險及風險管理的內涵。否則，企業風險管理審計便無從談起。

1 企業風險的實質

首先，風險產生于不確定性因素的存在，如果企業運行的內外環境是確定的，則不存在企業風險。其次，企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說，我們更注重企業的運行結果，對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此，可以認為，企業風險則是企業運行結果偏離期望結果的可能性。筆者認為，企業目標是企業期望達到的一種結果狀態，但由于相關因素的持續不斷的變化，企業目標的實現存在不確定性。因此，企業風險可以描述為企業目標不能得以實現的可能性。

2 企業風險的劃分

企業風險可以按多種標準進行分類。筆者認為，既然將風險定義為企業目標不能得以實現的可能性，那么，企業風險可以按照企業目標的不同層次來理解和劃分，并可將其相應劃分為：

（1）企業的戰略風險是指企業戰略目標不能實現的可能性，主要包括：由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險；由于企業的具體戰略選擇失誤而帶來的風險，包括企業經營領域的選擇風險、企業并購風險等。

（2）企業日常經營管理風險是指企業具體經營目標不能實現的可能性，又可以劃分為企業經營環節的作業鏈風險，如企業供、產、銷等環節的風險；企業的人事風險，如由于人員任用、授權、業績評價等方面的缺陷帶來的風險；企業的信息風險，如企業信息系統風險等。

（3）財務風險。狹義一般是指由于企業籌措資金而形成的風險，并主要是指企業由于舉債而形成的風險，也可稱之為籌資風險。按照本文對風險的定義，即企業目標不能實現的可能性，則企業的財務風險是指企業財務活動目標不能得以實現的可能性，包括籌資風險、資金投放的風險及企業其他財務活動風險，我們可以稱之為廣義的財務風險。

3 企業風險管理

COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程，它由董事會、管理當局和其他人員執行，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在風險容量之內，并為主體目標的實現提供合理保證?！?/p>

我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理，是對影響組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證?！?/p>

從上述對風險管理的解釋可以看出，企業風險管理的最終目標是為企業目標的實現提供合理的保證。

二、企業風險管理審計的目標

對企業風險管理進行監督和評價是現代內部審計發展的結果，企業風險管理審計的目標取決于對企業內部審計的功能定位。

從西方企業內部審計的產生和發展過程來看，內部審計是隨著經濟的發展，企業內部管理層次的增多和控制范圍的擴大，基于企業內部經濟管理與監督的需要而產生的，并隨著管理的需要而不斷發展。隨著內部審計的不斷發展，內部審計的目標也在不斷地變化，其中以國際內部審計師協會（IIA）對內部審計所下定義的變化最具有代表性。國際內部審計師協會（IIA）理事會指出內部審計是一種獨立、客觀的保證和咨詢活動，其目的是增加組織的價值和改善組織的經營。

我國的內部審計不是在企業內部管理需要的動因下發展起來的，而是在政府的要求下，在國家審計部門的推動下建立起來的。1993年國家審計署成立，為了盡快建立和完善審計體系，補充剛剛復興的國家審計力量的不足，政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展，企業內部審計越來越受到各方面的重視，對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出：內部審計是組織內部的一種獨立客觀的監督和評價活動，它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。

從內部審計的發展過程可以看出，企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于：通過內部審計機構和人員對企業風險管理過程的了解，審查并評價其適當性和有效性，提出改進建議，促進企業目標的實現。

三、企業風險管理審計的內容

風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價，也可對職能部門的風險管理進行審查與評價。因此，筆者認為企業風險管理審計應當包括以下方面的內容：

（一）風險管理機制的審查與評價

企業的風險管理機制是企業進行風險管理的基礎，良好的風險管理機制是企業風險管理是否有效的前提。因此，內部審計部門或人員需要審查以下方面，以確定企業風險管理機制的健全性及有效性。包括：

1 審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點，在全體員工參與合作和專業管理相結合的基礎上，建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整，并通過健全的制度來明確相互之間的責、權、利，使企業的風險管理體系成為一個有機整體。

2 審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序，以確保風險管理的有效性。

3 審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險，因此，風險管理的首要工作是建立風險預警系統，即通過對風險進行科學的預測分析，預計可能發生的風險，并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢，從對因素變化的動態中分析預測企業可能發生的風險，進行風險預警。

（二）風險識別的適當性及有效性審查

風險識別是指對企業面臨的，以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序，對風險識別過程進行審查與評價，重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容：

1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析，風險識別是關鍵性的第一步。

2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后，運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類，并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是：采取一定的方法分析風險因素、風險的性質以及潛在后果。

需要注意是，風險管理的理論和實務證明沒有任何一種方法的功能是萬能的，進行風險識別方法的適當性審查和評價時，必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。

（三）風險評估方法的適當性及有效性審查

內部審計人員應當實施必要的審計程序，對風險評估過程進行審查與評價，并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時，內部審計人員應當充分了解風險評估的方法，并對管理層所采用的風險評估方法的適當性和有效性進行審查。

內部審計人員應當對管理層所采用的風險評估方法進行審查，并重點考慮以下因素：

（1）已識別的風險的特征；

（2）相關歷史數據的充分性與可靠性；

（3）管理層進行風險評估的技術能力；

（4）成本效益的考核與衡量等。

3 審查風險評估方法應當遵循的原則

內部審計人員在評價風險評估方法的適當性和有效性時，應當遵循以下原則：

（1）定性方法的采用需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性；

（2）在風險難以量化、定量評價所需數據難以獲取時，一般應采用定性方法；

（3）定量方法一般情況下會比定性方法提供更為客觀的評估結果。

（四）風險應對措施適當性和有效性審查

內部審計人員應當實施適當的審計程序，對風險應對措施進行審查。

企業風險管理的特征范文3

【關鍵詞】 COSO報告；內部控制；風險管理

一、COSO背景

COSO委員會是由美國注冊會計師協會( AICPA )、美國會計學會( AAA )、財務經理人協會( FEI )、內部審計師協會( IIA )和管理會計師協會( IMA )共同發起并出資組成的民間組織。該組織的宗旨在于通過商業倫理、有效的內部控制和公司治理提高財務報告質量。COSO的研究成果在美國以及全球會計、審計和證券界產生了深遠影響，其中的一些概念和原理被寫入了教科書，成為研究人員經常引用的經典；而且，隨同報告的實務指南也為單位組織建立內部管理架構提供了十分有益的幫助，成為評價單位組織內部控制的標準。（柳木華 . 2006）。迄今為止，COSO委員會共了五部研究報告。

1987年，COSO了《反欺詐性財務報告全國委員會報告》，報告對財務欺詐的研究和分析沒有簡單地局限于獨立審計師的查錯作用，而是密切關注企業法律、金融和其他咨詢顧問在財務欺詐中的角色，分析了企業經理班子價值觀念和會計、內審與審計委員會的作用，觸及了政府管制(包括SEC)和大學會計課程設置是否充分有效等問題。報告分別向公眾公司、注冊會計師、SEC以及其他法律部門、教育部門等提出了約100條建議。1996年，COSO發表了《金融衍生工具使用中的內部控制問題》，該報告模型認為，“風險管理過程需要理解實體的目標和經營活動，識別市場風險和測度承擔的風險，然后決定是否使用衍生產品將風險降低到可以承受的水平。只要簡單的忽略與衍生產品有關的部分并代之以其他合適的降低風險行為，這個過程就具有普遍性”。報告為衍生工具用戶建立、評估和改善內部控制，提供了指導性建議。1999年，COSO利用1987-1997年欺詐性財務報告公司樣本，在歸納其公司特征、控制環境特征、欺詐特征的基礎上，了《欺詐性財務報告-1987至1997：美國公眾公司分析》。報告探討了三個欺詐高發行業――信息技術、保健和金融服務業的欺詐特點，發現三個行業的欺詐手段存在顯著差異，如信息技術業最常見的欺詐手段是收入欺詐，而金融服務業最常見的手段是資產欺詐和資產盜用，并且研究了財務報告欺詐與公司治理之間的關系，發現欺詐樣本公司與其所在行業標準相比，具有相當弱的公司治理機制。20 世紀在經歷了70年代一連串財務失敗和可疑的商業行為相繼爆發后，國際社會又出現了更聳人聽聞的以金融機構破產為代表的財務失敗事件，給納稅人最終帶來超過1 500億美元的成本。為能有效遏制這種愈演愈烈的會計舞弊活動，1992年，COSO在進行了深入研究之后了一份關于內部控制的綱領性文件，即《內部控制――整體框架》，它標志著內部控制理論與實踐進入了整體框架的階段。報告提出了內部控制的五個重要組成要素：控制環境、風險評估、控制活動、信息及溝通與監督，深化了內部控制的理念和應用。COSO報告一經便得到了業界的認可與采納，并在世界范圍內產生了廣泛影響。2001年以來，以安然、世通等為代表的一些美國大公司，因財務信息造假等行為而相繼倒閉破產，震撼了美國的資本市場，引起了世界的極大反響。在國際社會對改善公司治理與加強風險管理的呼聲日益高漲的背景下，2004年9月，COSO委員會結合《薩班斯一奧克斯利法案》的相關要求，頒布了一個概念全新的報告：《企業風險管理――整體框架》（ERM）?？蚣艿某雠_順應了各方需求，與1992年的《內部控制――整體框架》相比，在內部控制的內涵、目標、要素以及內部控制責任承擔等層面有了全新的突破，對企業風險管理做出了更為詳盡的闡述。ERM并沒有取代《內部控制――整體框架》，而是基于并將其融入其中，全面推進了內部控制標準的發展。

二、COSO企業風險管理整體框架概要

COSO為企業風險管理確立了一個可普遍接受的概念，為各組織識別風險和實施風險管理提供了理論基礎。ERM框架認為：“企業風險管理是一個過程，是由企業的董事會、經理層和其他員工共同參與，應用于企業戰略制定和企業內部各個層次和部門的、貫穿整個企業，旨在識別影響組織的潛在事件，為組織目標的實現提供合理的保證”。企業風險管理是由人參與的過程而并非結果，企業必須將風險管理融入在日常的經營管理之中，并涉及企業的每個員工。風險管理能夠識別對企業造成影響的潛在風險，能在一定程度上幫助企業實現合理的既定目標。

企業風險管理包含八個相互關聯的要素：

（一）內部環境

內部環境是其他風險管理要素的基礎，它由《內部控制――整體框架》要素中的“控制環境”演變而來，但包含了更為豐富的內容，如風險文化和風險偏好、管理哲學和經營風險、權力和責任分配、實踐操守和價值觀等。

（二）目標設定

ERM框架認為，企業的管理層在評估風險之前必須確立目標，并針對不同的目標分析相應的風險，這樣管理當局才能識別影響目標實現的潛在事項。企業的目標可以分成四類：1.戰略目標。與企業的使命相一致，是較高層次的目標；2.經營目標。與企業經營的效果與效率相關，旨在使企業能夠有效地使用資源；3.報告目標。企業組織報告的可靠性，分為對內報告和對外報告，涉及財務和非財務信息；4.遵循目標。即企業經營是否遵循相關的法律法規。

（三）事件識別

指識別影響事件的內外部因素。潛在的事項，對企業可能有正面影響，也可能有負面影響。識別風險旨在于抓住機遇，或者在風險評估和應對階段彌補風險對企業的影響。

（四）風險評估

是決定如何管理風險的基礎，風險得到識別后，就需要對風險進行分析評估，這樣，管理層就能根據被識別風險的重要程度來進行規劃和組織，使通過風險管理這個過程識別和分析風險，并采取減弱風險影響的行動來管理風險。風險評估可根據不同的風險目標確定相應的風險評估方法，主要為定量分析和定性分析相結合的方法。

（五）風險對策

是在評估了相關的風險之后，所做出的應對、控制、轉移、補償風險的各種策略和措施。通常將風險對策分為規避風險、減少風險、共擔風險和接受風險等四類。企業應在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事件發生的可能性和事項對企業的影響，并設計和執行風險應對方案。COSO認為，有效的風險管理是管理者的選擇能使企業風險發生的可能性和影響都落在風險的容忍度內。

（六）控制活動

是有助于保證風險應對方案得到執行的相關政策和程序。管理當局應對企業所有系統進行控制，包括對信息系統的控制，通?？刂苹顒雍惋L險評估過程是聯系在一起的。

（七）信息與溝通

信息是溝通的基礎，溝通必須滿足不同團體和個人的期望。企業內部和外部的信息必須以一定的方式進行確認和傳遞，以保證員工各自職責的執行和企業風險管理的有效運行。

（八）監督

COSO將監督作為評估企業風險管理質量過程的一個部分，即評估風險管理要素的內容和運行，以及評價某一時期執行質量的一個過程。該過程包括持續監督、個別評估或者兩者的結合。

企業風險管理的八個要素是一個有機整體。風險管理不只是一個直線的過程，而是一個多元化的相互作用的過程。 各要素之間的關系是：內部環境是企業風險管理的基礎，為企業風險管理所有其他要素的運行提供了平臺和組織結構；企業目標的制定，是風險管理的起點，是其他步驟的軀動力量；在企業目標已定的前提下，企業需要對影響目標的風險進行事件識別，進而對識別事件進行風險評估，風險評估馭動風險反應，影響控制活動；信息與溝通和監督貫穿于企業風險管理的全過程，并且可對其他各個組成要素進行修正（吳永澎 . 2006）。

三、COSO企業風險管理框架對內部控制標準的發展

（一）豐富了內部控制的內涵

COSO在《內部控制――整體框架》中將內部控制定義為一個受董事會、經理層和其他人員影響的過程，提出內部控制是為了實現三個目標，即：經營的效果和效率、財務報告的可靠性、法律法規的遵循性。該定義明確了以下要點：內部控制是一個過程；內部控制是一個受人影響的過程；內部控制為了實現三個目標；內部控制過程的設計是為了提供實現內部控制目標的合理保證。這個定義比較寬泛，從某些角度來說，也存在一些片面性。而新的ERM框架則更加明確了對風險管理和保護資產概念的運用，并將糾正錯誤的管理行為明確地列為控制活動之一。ERM框架在原《內部控制――整體框架》所明確的要點基礎上，進一步明確了以下內容：即，內部控制應用于戰略制定；內部控制貫穿整個企業的所有層級和單位；內部控制旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險。由于ERM框架提出了風險偏好、風險容忍度等概念，使得ERM的定義更加明確、具體，同時又涵蓋了內部控制所有合理的內容。

（二）發展了內部控制的目標

針對《內部控制――整體框架》對企業戰略管理方面關注不夠的缺陷，ERM在目標中增加了一個新的目標――“戰略目標”。使企業在追求短期利益的同時，從戰略高度關注企業的長遠目標和可持續發展。該目標的層次比其他三個目標更高。風險管理既應用于實現企業其他三類目標的過程中，也應用于企業的戰略制定階段。特定的戰略目標雖然可以通過不同的戰略來實現，然而不同的戰略目標會給企業帶來不同的風險。戰略制定和風險偏好存在直接關系，在考慮達到戰略目標的具體目標時，管理當局要鑒別與戰略選擇相關的風險，并且要考慮對這些風險的應對措施的運用（吳永澎. 2006）。此外，ERM整體框架還將“財務報告的可靠性”發展為“報告的可靠性”。原COSO報告將財務報告的可靠性界定為“編制可靠的公開財務報表，包括中期和簡要財務報表，以及從這些財務報表中摘出的數據，如利潤分配數據”。新報告則將報告拓展到“內部的和外部的”、“財務的和非財務的報告”，該目標涵蓋了企業的所有報告。

（三）拓展了內部控制的要素

COSO在《內部控制――整體框架》中提出了五個要素：即控制環境、風險評估、控制活動、信息和溝通、監督。ERM框架對這五個要素進行了深化和拓展，將其演變為八個要素。引入了風險偏好、風險容忍度和風險文化等概念，將原有的“控制環境”擴展為“內部環境”。這一修改使企業關注的范圍不再局限于控制方面，而是從更寬闊的視野，以及更綜合、更直接的角度考慮各種因素對風險的影響。并且將原有的“風險評估”要素發展為“事件識別”、“風險評估”和“風險反應”。這不只是對原“風險評估”進行的簡單細化，而是意味著企業風險意識的增強和主動地管理風險。也就是企業風險管理綜合框架強調應對所有事件，包括正面事件和負面事件進行綜合識別，并且應將其以適當的組合方式加以看侍，并通過對固有風險和剩余風險的綜合評價做出適當的風險應對措施，以減少經營偏差的發生及相關成本和損失，有利于企業抓住機會，及時調整策略，避免資源浪費，實現經營獲利目標。

（四）明確了內部控制的責任關系

ERM框架認為，組織的每個成員都應對企業風險管理承擔責任，并進一步劃分了責任主體的等級：董事會在風險管理中扮演更加重要的角色――負總體責任，并被要求變得更加謹慎。企業風險管理的成功與否主要依賴于董事會，因為董事會需要批準組織的風險偏好；在企業風險管理中，CEO負有首要責任，并應對所有權負責，其他經理人員則起支持作用；風險部門管理者，財務部門管理者和內部審計人員等負有關鍵性責任；其他的企業人員負有按確定的指示和協議執行企業風險管理的責任。另外，企業外部利益相關者如客戶、賣主、商業伙伴、外部審計師、監督者和財務分析師經常提供影響企業風險管理的有用信息。雖然他們并不為企業風險管理負責，但卻是企業實施風險管理必須考慮的因素。

（五）創新了內部控制的風險觀念

ERM 框架指出，企業風險管理的基本假設是，每一主體存在的目的是為其所有者創造價值。所有主體都面臨不確定性，管理層的挑戰就是確定在其為所有者創造價值的過程中，須在多大程度上接受不確定性。ERM把事件區分為風險和機會，事件可能有消極的影響、積極的影響或兩者兼有。消極影響事件意味著風險，它妨礙價值創造或削弱現存價值；積極影響事件可以抵銷消極影響或意味著機會。機會是一種可能性，即事件將會發生并積極影響目標實現、支持價值創造或價值保持。一個組織必須識別影響其目標實現的內、外部事件，區分哪些是風險、哪些是機會。管理當局要密切注意各層級的風險，并采取積極的管理措施。內部控制的目的不應是消極控制或防范風險，而是要主動管理風險。風險管理能使管理層有效地處理不確定性及與之相關的風險和機會，增進創造價值的能力，并在追求主體目標的過程中有效地配置資源，實現價值最大化。

【參考文獻】

[1] 賈國軍，李陽，楊秀玲. “從美國COSO報告的發展,看我國內部控制體系的完善”. 財會研究，2006.11.

[2] 宋怡萱，張翩. “COSO企業風險管理整體框架解析”.財會通訊，2006.3.

[3] 陳秧秧. “COSO《企業風險管理綜合框架》簡介”. 財會通訊，2005.2.

[4] 金小英，唐予華. “COSO風險管理報告內外部關系的解讀與啟示”. 財會通訊，2006.6.

企業風險管理的特征范文4

【關鍵詞】內部控制;風險管理;公司治理;戰略管理

受美國2002年出臺的薩班斯——奧克斯利法案(以下簡稱SOX法案)的影響，我國所有赴美上市及計劃赴美上市的企業必須按照美國監管機構的要求，完善內部控制體系、完成內控評估報告。同時，隨著經濟全球化的深入，企業遭受產品市場、要素市場和金融市場的價格沖擊越來越大，各類風險產生的擴張效應和聯動效應越來越嚴重。因此，內部控制和風險管理成為現代企業重點關注的課題。

本文將在回顧內部控制和風險管理理論發展的基礎上，探討二者之間的關系，并結合寶鋼在內控體系建設和風險管理方面的最佳實踐，提出整合的風險管理框架設想，以期對我國企業的內控體系和風險管理體系建設提供借鑒。

一、內部控制、風險管理的理論發展及其關系

(一)內部控制理論的發展

20世紀70年代中期的“水門事件”引起了美國立法者和監管團體對內部控制問題的重視。美國國會于1977年通過的《反國外腐敗法》是美國在公司內部控制方面的第一個法案。1980年后，美國COSO委員會將“內部控制”定義為“一個組織設計并實施的一個程序，以便為達到該組織的經營目標提供合理保障”。在COSO委員會制定的內部控制框架中，把內部控制活動分成五大組成部分，即:控制環境、風險評估、控制活動、信息與交流和監督評審。

2002年，美國成立的上市公司會計監管委員會(簡稱PCAOB)明確采用了COSO內控框架作為內控評價的標準體系。許多國家和地區的資本市場也采用了COSO內控框架，有些國家和地區在參照該框架的基礎上建立了自己的內控體系。

我國在2005年先后出臺了《上交所上市公司內部控制指引》和《深交所上市公司內部控制指引》兩個文件。上述兩個文件參照了美國SOX法案的要求，在理論體系上和COSO內控框架一脈相承。

(二)風險管理理論的發展

企業風險管理理論發展大致分為三個階段。第一階段:以“安全和保險”為特征的風險管理。100多年前航運企業風險管理的主要措施就是通過保險把風險轉移給保險公司。第二階段:以“內部控制和控制純粹風險”為特征的風險管理。隨著工業革命的發展，公司對業務管理和流程方面的內部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內部會計控制;1992年的《COSO內部控制綜合框架》提出以財務管理為主線的內部控制系統。第三階段:以“風險管理戰略與企業總體發展戰略緊密結合”為特征的全面風險管理。風險管理實踐表明，僅靠內部控制難以實現企業的最終目標。為此，COSO于2004年9月出臺了《COSO企業全面風險管理整合框架》(簡稱ERM)，提出了由三個維度構成的風險管理整合框架。

我國國務院國資委于2006年《中央企業全面風險管理指引》(以下簡稱《指引》)，標志著我國中央企業建立全面風險管理體系工作的啟動。

(三)內控體系建設與全面風險管理工作的聯系和作用

全面風險管理與內部控制既相互聯系又存在差異。企業的內部控制體系是企業全面風險管理體系中重要的組成部分之一，而內控體系建設的動力則來自企業對風險的認識和管理。良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益，而這正是全面風險管理應該達到的基本狀態。此外，內控體系建設與全面風險管理工作的開展之間具有緊密的聯動作用，具體體現在以下兩個層面:

1.在理論框架層面，完整的內控體系包括依據COSO內控整體框架開展內部控制的評審體系以及內控自我評估體系;而目前國內外較為認可的企業風險管理理論框架是COSO企業風險管理整體框架。這兩個框架在理論基礎上具有繼承性和發展性。

2.在推進工作的步驟層面，從國內大型國有企業集團開展內部控制和風險管理的推進步驟來看，以內控先行、再逐步開展全面風險管理的做法是符合我國國情的。通過內控體系建設，在組織架構的完善、人員經驗的積累、內控流程的記錄等方面做好準備，可為公司未來開展全面風險管理打下較為完善的基礎。

至于差異，從二者的框架結構看，全面風險管理除包括內部控制的三個目標之外，還增加了戰略目標;全面風險管理的八個要素除了包括內部控制的全部五個要素之外，還增加了目標設定、事件識別和風險對策三個要素。從二者的實質內容看，內部控制僅是管理的一項職能，而全面風險管理貫穿于管理過程的各個方面。內部控制主要通過防范性的視角去降低企業內部可控的各種風險，側重于財務和運營;而全面風險管理強調通過前瞻性的視角去積極應對企業內外各種可控和不可控的風險，側重于戰略、市場、法律等領域。

二、寶鋼在內控體系建設領域的實踐

寶鋼股份是寶鋼集團的核心子公司。公司從2005年增資擴股后就著重于梳理內部流程，推廣管理標準。2007年3月，由公司總經理擔任組長的內控評審項目開始啟動。

內控項目工作范圍包括寶鋼股份總部以及下屬分子公司，資產規模和銷售收入合計占整個寶鋼股份合并報表范圍的80%以上。評審涉及寶鋼股份12大業務流程，梳理了各類大小流程300多個。在對12大流程風險控制點辨識的基礎上，逐步建立寶鋼股份上市公司內部控制體系，編制公司流程內控手冊，形成公司全面的內控改進點報告，建立公司層面基本內控體系。并在前期工作的基礎上，開展內控體系的自我評估工作，形成公司內控自我評估報告。

在項目實施過程中，公司組織了多場內控培訓會，形成了全員內控的企業文化。同時，公司對發現的內控薄弱點狠抓落實整改，并對各單位的問題匯總報告進行整理;評審項目組還組織各單位把相關流程發現的內控薄弱點和自身的業務進行對比分析，就同類問題開展自查自糾，以形成輻射效應。此外，寶鋼股份還將內控評審項目和常規審計工作相結合，在內部審計工作中跟蹤檢查問題的整改情況。

三、寶鋼在風險管理領域的實踐

寶鋼從2007年開始全力推進全面風險管理體系建設，這既是資本市場的要求，也是寶鋼自身發展的需要。寶鋼集團有限公司董事會確定的全面風險管理的總體目標是:圍繞寶鋼的戰略目標，在企業管理的各個環節和經營過程中執行風險管理流程，培育良好的風險管理文化，使風險管理機制成為寶鋼經營管理各個環節的有機組成部分。公司具體實施情況包括以下幾個方面:

(一)以法人治理為基礎，建設風險管理的組織體系

完善的法人治理是風險管理重要的內部環境，也是風險管理體系建設的起點和保障，而董事會建設則是法人治理的核心。寶鋼作為國資委所屬中央企業中首批董事會試點企業，在完善董事會試點的過程中優化董事會成員結構，建立外部董事制度，不斷完善董事會運作機制，初步形成了出資人、決策機構、監督機構和經營層之間各負其責、協調運轉、有效制衡的治理機制。

同時，寶鋼按照國資委《指引》的要求，構建了業務部門、風險管理部門和內部審計機構三道防線。第一道防線建設:總部各職能部門和各子公司作為風險管理的第一道防線，是所管業務風險的責任者，公司明確了其各自相應的職責。第二道防線建設:總部層面成立由分管副總經理擔任組長的“全面風險管理體系建設領導小組”，由系統運行改善部作為風險管理的綜合管理部門，對全面風險管理的日常工作進行協調和推進。第三道防線建設:審計部負責對風險管理體系的建設情況及工作效果進行客觀、獨立的監督評價。對各單位內部控制的合理性、完整性、有效性、可靠性作出評價，及時發現流程中存在的問題，提出內控完善的建議。

(二)與管控模式相結合，制定風險管理策略和流程

寶鋼采取的是“戰略控制型”的管控模式，即總部通過對策略性、全局性業務進行管控來確保戰略意圖的實現，對于具體執行性業務則授權給各子公司來執行，以確保整體運作效率和響應速度。

因此，寶鋼的風險管理體系分集團公司和各子公司兩個層面推進。集團公司以兼并重組、子公司管控和輔業改制等重大決策、重要業務和流程的風險管理為重點，通過推進風險管理文化建設、推動內控系統優化，確定重大風險的應對策略、完善重大風險預警和報告機制、強化風險管理的檢查監督機制等措施，建立并不斷完善風險管理體系。各子公司則結合自身產業特征，從防范運營風險的角度出發，重點推進四項工作:1.建立風險管理的組織體系和工作機制;2.對重大風險進行識別和評估，形成重大風險清單，確定風險管理的重點領域;3.針對重大風險涉及的重要業務流程和重大事件，評估、完善內控體系，并落實為工作規范，制定管理制度，形成內控手冊;4.針對可能發生重大突發事件的業務領域，建立預警機制，制定應急預案。

(三)建立了財務預警指標體系，使得財務風險以及可能造成的損失可以通過財務指標的計算和分析得到量化和預警在應急預案方面，在總部和子公司層面編制了一系列應急預案，提高寶鋼處置突發事件、保障公共安全的能力，最大程度地預防和減少突發事件及其造成的損害。

四、整合的風險管理框架設想

通過長期的工作實踐和思考分析，筆者認為:企業的風險管理工作需要和企業管理的多方面相結合，構建整合的企業風險管理系統。這不僅要考慮和內控體系的融合，還必須與企業公司治理、戰略管理等系統相整合。企業風險管理整合系統:

(一)風險管理系統應與公司治理系統進行整合

風險管理功能與公司治理功能相耦合和良性互動是風險管理系統與公司治理系統整合的目標。美國內部審計師協會(IIA)指出，企業風險管理的本質是“通過管理影響企業目標實現的不確定性來創造、保護和增強股東價值”。而公司治理則是董事會為了維護公司利害相關者的利益而對管理層提供指導、授權和監督的過程。整合風險管理與公司治理就是在公司治理框架中加入風險管理的角色。在這種拓展的公司治理框架中，高管和風險主管應當直接承擔風險管理的責任，董事會則應積極參與增值型的風險管理活動，如在風險管理的過程中對管理層進行指導、授權和監督等活動。:

(二)風險管理系統應與公司戰略管理系統相整合

風險管理功能與公司戰略管理功能相耦合，主要體現在圖2所示的戰略管理全過程中:

將戰略管理系統與風險管理系統相整合，有利于以較低的成本順利實現企業的戰略目標。公司治理確定企業風險管理的范圍和邊界，并為風險管理提供政策;而戰略管理則為風險管理提供資源與支持。公司實施不同的戰略，會引起不同的風險，也應采取不同的風險應對措施。因此，不同的戰略模式將會導致在不同的領域配置風險管理的資源。

企業戰略管理的最終目標是為了實現企業價值的持續增長，企業價值創造路徑應圍繞“股東價值客戶價值業務流程核心資源”這一路徑展開，該路徑表明企業長期股東價值的增長來自于客戶價值的增長。企業要獲得長期穩定的客戶價值，必須具有高效、快捷和質量可靠的業務流程，這些業務流程的價值創造能力又依賴于企業核心資源的研究與開發。這也是企業價值鏈的形成路徑，企業風險管理也應遵循這一路徑而展開。

總之，整合的風險管理框架應該是由公司治理層面確定風險管理的政策;由高管確定風險管理的偏好;由戰略管理層確定風險管理流程、文件和模型;在應用和基礎設施層面配備相應自動控制裝置，以促進事件的自動處理和報告的自動生成，并使用分析工具對這些事件及其組合與公司政策的相關性進行分析，為決策者提供風險應對的信息。

【主要參考文獻】

[1]張諫忠，吳軼倫.內部控制自我評價在寶鋼的運用[J].會計研究，2005，(2).

[2]吳軼倫.內部控制自我評價[J].上海財經大學學報，2004，(4).

[3]吳軼倫.內部審計職能的發展與風險管理模式的建設[J].冶金財會，2006，(3).

[4]方紅星.內部控制審計組織效率[J].會計研究，2002，(7).

[5]課題研究組.內部會計控制規范操作實務[M].中國商業出版社，2001.

[6]閻達五，宋建.雙元控制主體構架下現代企業會計控制的新思考[J].會計研究，2000，(3).

[7]朱榮恩、賀欣.內部控制框架的新發展——企業風險管理框架[J].審計研究，2003，(6).

[8]金或日方，李若山，徐明磊.COSO報告下的內部控制新發展[J].會計研究，2005，(2).

[9]嚴暉.風險導向內部審計整合框架研究[M].中國財政經濟出版社，2004.

[10]宋夏云.現代風險導向審計模式的背景分析與理論創新[J].中國審計，2005.

[11]胡春元.審計風險研究[M].東北財經大學出版社，1997.

企業風險管理的特征范文5

【關鍵詞】審計 風險管理 問題 建議

隨著現代企業的復雜化和不確定性因素的增加，企業風險發生的頻率可能越來越高，造成的損失可能也越來越大。 因此，對企業風險進行管理就顯得尤為重要。審計是現代企業的“第三只跟睛”，內部審計作為企業的經濟監督部門必須關注風險，對于對風險管理的審查和評價是內部控制審計的重要內容之一。

1.正確認識現代企業風險管理審計

在經濟管理活動中，風險常常被定義為生產和經營的弊端、失誤或失敗帶來企業危機的可能性。風險管理是對影響企業的目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的控制過程，是企業內部控制的基本組成部分。風險管理旨在為企業目標的實現提供合理的保證。在風險客觀存在的情況下，防范風險、對風險進行管理已成為企業管理層、職能部門及企業員工上下關注的焦點。因此，需要內部審計人員運用風險管理方法和控制措施，對企業風險管理過程的充分性和有效性進行檢查、評價和報告，提出改進意見，這就是企業風險管理審計。實施現代企業風險管理審計，其重點應關注企業面臨的內、外部風險是否已得到充分、適當的確認，內部審計人員應當采用適當的審計程序收集足夠的證據，從總體上對風險管理過程的充分性以及所選擇風險管理方式的適當性發表意見。

風險管理過程充分與否，取決于風險管理過程是否著眼于如下五個主要目標，以及目標是否得到實現：

（1）找出業務戰略與活動領域的風險并進行優先排序。

（2）企業管理層已經確定了企業可以接受的風險水平，包括為實現企業戰略計劃而接受的風險。

（3）設計、實施了降低風險的活動，把風險降低并管理在上述可接受的水平。

（4）開展持續的監督活動，定期對風險和控制的有效性進行再評估，以管理風險。

（5）企業管理層定期收到風險管理過程的結果報告。

內部審計人員應實施必要的審計程序，對風險評估過程進行審查與評價。重點關注風險發生的可能性及風險對企業目標的實現產生影響的嚴重程度兩個因素。風險評估可以采用定性或定量的方法進行。同時，內部審計人員應當對管理層所采用的風險評估方法進行審查，并重點考慮以下因素：

（1）已識別風險的特征。

（2）相關歷史數據的充分性與可靠性。

（3）企業管理層進行風險評估的能力。

（4）成本效益的考核與衡量。

（5）其他相關因素。

2.現代企業風險管理審計中存在的問題

2.1 現代企業風險管理審計機制否健全，影響對企業風險管理審計作出公正評價。

內部審計是一個挑戰性很強的職業，它必須在變化的環境中不斷發展。面對不斷發展變化的環境，各企業管理層和內部審計部門的風險都相應增大，為現代企業風險管理審計工作提出更高的要求，使得內部審計部門識別風險，幫助企業管理層規避風險的難度增加，對內部審計機構及其人員的職業素質提出了更多的要求。而與之相適應的內部審計部門本身的建設在實際工作中滯后于現代企業風險管理步伐，難以對企業風險管理進行公正評價并提出改進建議。

2.2 企業內部控制系統不健全，導致無法開展企業風險管理審計工作。

企業內部審計部門對企業進行內部控制評價項目，可以協助企業管理層建立和執行風險管理和控制過程。通過進行內部控制評價，內部審計人員和企業管理層可以聯合收集有關控制程序是否運行良好，剩余風險嚴重程度等方面的信息，以協助企業管理層更好的管理風險。實施這一工作的前提是企業必須建立健全完善的內部控制系統，因為完善的內部控制系統是開展企業風險管理審計的基礎，而目前的實際狀況是有些企業并未建立或健全內部控制制度或內部控制系統，也有的企業內部控制落實情況差，難以發揮效應，導致企業風險管理審計工作無法開展。

2.3 企業管理層，在確定企業可接受風險水平時主觀獨斷，造成失誤或失敗，給企業帶來產生危機的可能性。

企業管理層不具備并保持履行風險管理職責的能力及特定的知識和技術，如在識別風險的過程中，一旦發現風險，企業管理層不能正確分析其可能產生的影響，不能正確判斷風險的重要性，分析風險存在的可能性，無法正確決定如何管理風險和采取管理措施，對風險程度的定性和定量分析不準確。由于上述問題的存在；影響內部審計部門對企業風險管理過程的充分性和有效性做出正確評價，并提出切實可行的改進意見。

3.關于開展現代企業風險管理審計的幾點建議

現代企業風險管理審計，必須在積極借鑒國內外企業風險管理審計經驗和教訓的基礎上，從嚴管理，不斷創新，積極探索市場經濟條件下，加強企業風險管理審計的措施。

3.1 現代企業風險管理需要與之匹配的現代內部審計。

從傳統的財務收支審計轉向為企業識別、防范風險服務，內部審計關注企業風險問題，標志著內部審計工作性質的轉折。內部審計職能已發展成為風險管理的候選人，它是“自然嵌入”組織結構，而不是外在因素，它有利于促進企業風險管理制度與政策的貫徹執行。為此，要健全企業內部風險管理審計機構，加強內部審計部門自身建設，增強處理風險的自信能力；增加內部審計人員的風險分析能力，促進和保持內部審計職能的專業水準，支持和開發以風險為基礎的審計技術方法；保持審計的獨立性和客觀性，充分發揮內部審計專業人才的作用，制定識別、分析和反饋風險的系統目標，以理想的方式實現控制和防范企業風險的目標，適應現代企業不斷發展的需要。

3.2 建立健全完善的內部控制系統，促進企業開展風險管理審計。

內部控制活動是執行企業管理層指令的有利保證，企業所有的運作層次和職能中都存在控制活動，企業風險管理與內部控制之間的關系是相互依存的：風險管理是內部控制的要素之一，通過實施企業內部控制加強風險管理，降低企業風險。而內部控制又是內部審計的直接對象，通過內部審計的檢查、評估而不斷促進內部控制的健全完善，進而將風險控制在企業可以接受的水平之下。因此，企業應建立科學、合理、規范的內部控制制度與內部控制系統，以促進企業開展風險管理審計，以協助企業管理層的工作，促進企業目標的實現。

3.3 在企業風險管理審計中，應注重各種效益與費用支出的分析。

嚴格核算企業風險管理成本和費用支出，促使企業風險 管理者用最經濟節約的方法為可能發生的風險做好準備，適 用最合適、最佳技術手段來降低風險管理成本，并開發相應的技術方法，通過盡可能低的管理成本達到最大的安全保障，取得控制風險的最佳效果。企業風險管理的目的在于避免可能發生的損失。企業風險管理的成本主要體現在執行成本、機會成本、聲譽成本及風險成本等方面。在選擇風險管理手段時，首先必須考慮的一個因素就是要在保證企業風險管理效率的條件下，盡可能將風險管理成本降到最低水平。內部審計部門應采取定量或定性的無法，同時考慮短期成本與長期社會成本問題，才能有效地、較準確地把握成本效益尺度。

3.4 建立良好的現代企業風險管理文化。

以風險為基礎的審計方法是從傳統的單一職能向風險管理全過程檢查發展，使企業發展的各種職能不再是孤立的，而是相互聯系的整體過程。內部審計部門應與企業管理層合作，共同建立良好的企業風險管理文化，支持企業合作伙伴共同處理和解決風險管理所要求的相應技術。

風險管理程序與政策是企業管理層制定的，內部審計部門要監督風險管理程序與政策的合理性、適應性和貫徹執行的有效性。這樣即可避免由于企業管理層，主觀獨斷而給企業帶來的風險，促進各項企業風險管理制度的落實?！糑H*2/3D〗

企業風險管理的特征范文6

關鍵詞：風險管理；內部控制；企業風險管理

Abstract：Risk management transited from disperse study of multiple fields to integrated framework of enterprise risk management in last fifty years. This paper summarizes the major views about traditional risk management theory，financial risk management theory，internal control theory and enterprise risk management theory，and reviews the future development tendency of risk management after the subprime crisis.

Key Words：risk management，internal control，enterprise risk management

中圖分類號：F830 文獻標識碼：A 文章編號：1674-2265（2011）02-0023-05

2007年次貸危機的爆發，各大金融機構的破產，使得風險管理再度成為理論界研究的熱點，雷曼兄弟、美林等公司都曾經是風險管理的先行者，但還是在危機面前走向了破產，那么究竟該如何進行風險管理呢？在回答這個問題之前，我們有必要回顧一下風險管理理論的演進與發展，從歷史的脈絡中來尋找企業風險管理的精要所在。

一、傳統風險管理理論

風險管理作為一門學科出現，是在二十世紀60年代中期。1963年梅爾和赫奇斯的《企業的風險管理》、1964年威廉姆斯和漢斯的《風險管理與保險》出版標志著風險管理理論正式登上了歷史的舞臺。他們認為風險管理不僅僅是一門技術、一種方法或是一種管理過程，而且是一門新興的管理科學，從此風險管理迅速發展，成為企業經營和管理中必不可少的重要組成部分。

傳統風險管理的對象主要是不利風險（也就是純粹風險），目的就是為了減少純粹風險對企業經營和可持續發展的影響；企業風險管理所采取的主要策略就是風險回避和風險轉移，保險則成為最主要的風險管理工具。

在這個階段，研究者的主要工作就是對風險管理對象的界定和區分，辨別出那些對企業只有不利影響的風險類型并著手解決，是傳統風險管理的重要思路。實踐中，純粹風險確實對企業的可持續經營具有很大的影響，特別是那些沒有預測到的純粹風險，往往會直接拖垮一個企業，而且企業對純粹風險的管理涉及到機會成本的問題，這更加需要企業在綜合權衡的基礎上做出風險管理決策（Gahin，1967），因此，純粹風險一直被當作風險管理的對象和目標。而具體的解決辦法，是以保險作為主要手段，通過購買保險來轉移那些影響企業的純粹風險，至于如何購買保險、購買什么樣的保險就屬于風險管理決策的范圍了，而不僅僅是一種技術手段，實際上，風險管理就是從保險行為中延伸出來的管理手段，因此，保險在這個時期的風險管理中具有重要的作用（Denenberg，1966）。

此外，這一時期風險管理的應用從企業擴展到了市政領域。Todd（1969）、Vaughan（1971）通過對美國九個州市政管理的調研發現，市政官員對風險管理的認識還十分薄弱，提出加強市政領域的風險管理是市政官員的重要職能，目的是保證市政財務預算免受意外災害的影響，以保持提供應有的市政服務的能力。

而這個階段風險管理理論的重要成就是實現了與主流經濟、管理學科的融合。風險管理方法論的提出無疑是最為重要的，1965年Hedges第一次提出了有關構建企業風險管理的方法論，界定了分析風險管理的觀察視角問題，指出風險管理往往存在著兩種不同的視角：一是基于首席財務官職位的財務政策視角，二是基于風險管理官職位的風險與保險視角，同時指出，保險是企業風險管理的重要工具，但是保險并不意味著風險管理的全部，從而將風險管理的范圍進一步拓展，并且明確了保險只是風險管理的一種工具，使得風險管理從方法論角度更為全面和完善。Close（1974）將風險管理與現代管理學中的復雜組織系統模型相結合，為風險管理學科的發展提供了更為主流的理論來源；Cummins（1976）將風險管理與傳統的企業理論相結合，運用現代經濟學的分析方法來確定風險管理的最優策略，從而使風險管理融入到金融市場理論中并成為金融學的一個重要領域。

二、金融風險管理理論

如果說傳統風險管理理論是為了解決純粹風險，那么金融風險管理就是為了應對投機風險的問題，是為了實現“風險最小條件下的收益最大，或是收益一定條件下的風險最小”目標，這是金融風險管理與傳統風險管理的最重要區別。

金融風險管理理論的重要組成部分，就是自二十世紀50年代開始發展起來的一系列現代微觀金融方法：Markowitz（1952）提出的資產組合理論為金融風險管理提供了有利的支撐，用統計學中的方差來度量風險， 用期望值來度量收益，并且首次在此基礎上研究了證券資產的投資組合問題，指出投資者的理性投資行為是以追求在相同風險下的收益最大化或在相同收益下的風險最小化為基礎；在此基礎上，Hart 和Jaffee（1974） 又提出了將銀行所有資產和負債視同為一種特定類型的證券組合來進行管理的理論框架， 根據該理論框架， 商業銀行的資產分布、貸款分布應形成一個合理的投資組合， 應避免風險過度集中；Sharpe（1964）提出的資本資產定價模型（CAPM）則是開創了現代風險資產定價理論的先河，提出了投資的回報與風險成正比的基本規律，即資產的期望報酬等于無風險利率加上風險調整后的收益率，揭示了在均衡條件下證券的期望收益率和市場風險之間的關系，證明了通過證券組合可以有效地分散和規避非系統風險，但是無法分散具有整體特征的系統性風險；因此，對于企業進行風險管理來說，每種業務的費用至少應等于資本的CAPM成本，從而可以確保投資的回報率經過風險調整后能夠實現最大化；Black和Scholes（1973）提出了著名的Black―Scholes期權定價模型，解決了期權定價問題，推動了金融衍生產品的迅速發展和現代金融風險管理市場的形成，為企業的風險管理提供了更為精確的工具，企業可以通過金融衍生工具市場的交易進行風險管理，既可以通過金融衍生品交易來轉移市場風險，也可以通過信用衍生品的交易來進行信用風險管理。這些理論的提出，使得風險管理突破了傳統模式下依靠保險轉移風險的思路，開始利用風險獲取收益，標志著風險管理理論開始向縱深發展。

這個階段風險管理的對象十分繁雜，但是影響最大的則是外匯風險。布雷頓森林體系的崩潰使得匯率的波動性明顯加大，原油價格的大幅上漲使得企業的生產成本難以控制，這些對于那些大型跨國公司來說影響都很大，其中外匯風險是最致命的，匯率的波動影響企業的已實現利潤、持有的金融資產的價值以及預期的收入，因此以企業的預期效用最大化為原則的風險管理，在具體策略和措施的實施中也受到企業的風險態度的影響：如果企業風險管理的目的是為了減少外匯風險敞口至零，那么企業將會采取分散化的財務策略；如果外匯風險僅僅是被看成另外一個必須考慮的風險變量的話，那么企業將會采取集中化的財務策略；同時，企業在管理外匯市場中的風險時往往采取不對稱的態度，即針對不同的貨幣，采取不同的管理行為和策略：在“軟”通貨中，企業會采取有利措施來抵消可能會帶來的未預期損失，相反在“硬”通貨中，企業偏向于保留部分正向敞口（Folks，1972；Rodriguez，1974、1978）。

金融風險管理的工具以ART為主，這是一種隨著資本市場和保險市場融合而出現的、綜合保險和衍生品兩者特點的風險轉移產品，是一系列非傳統風險轉移產品、風險工具和風險技術的總稱，一般分為用來防范傳統風險的非傳統風險工具和基于資本市場的風險管理工具（James Lam，2003）。其中，專屬保險公司是用來防范傳統風險的非傳統風險載體的重要方式，它可以為母公司提供稅收減免優惠，從而提升公司的盈利能力和市場價值（Davidson和Thornton，1987、1988；Wood、Glascock和Bigbee，1988）。而Ullrich（1992）的研究揭示了專屬保險公司的另外一個優勢，即提供給母公司更優先的成本優勢：相對于商業保險公司來說，專屬保險公司能夠為母公司而不是為商業保險公司提供儲備基金的投資收入；為母公司在手續費和利潤獲取方面實現成本減少；為母公司進入再保險市場提供方便以降低交易成本；通過提供有競爭力的保險業務而進化成母公司的利潤中心；協助母公司規避周期性的商業保險市場。

三、內部控制理論

實際上，內部控制理論是風險管理理論的重要分支，特別是2004年COSO頒布了《企業風險管理―整合框架》后，風險管理與內部控制的關系更為緊密，內部控制融入到企業風險管理（ERM）框架中。

（一）內部會計控制

內部會計控制是內部控制理論發展的第一個階段。Grady（1957）指出，內部會計控制就是一個綜合了組織的計劃和商業中運用的協調過程的制度，用于預防未預期到的或是錯誤的操作帶來的資產損失、檢查管理決策中用到的會計數據的準確性和客觀性、提升運營效率和鼓勵遵守已制定的政策等。Scott（1976）則認為，內部控制不應當被看成是一個人格因素，而是應當看成是一個經營和管理環境的函數，而且環境的一個重要因素是實際行為，而不是態度，因此內部控制更強調其管理本性。

美國注冊會計師協會（AICPA）是這個階段促進內部會計控制發展的重要力量，它的一系列公告和文件，如《SAP No.1》、《SAS No.1》和《SAS No.55》等，不僅對于推動內部會計控制的完善具有積極的作用，而且對于完善、發展的方向以及具體的業務操作等都提供了有價值的意見。

（二）內部控制整體框架

1992年COSO了《企業內部控制―整體框架》，第一次系統構建了企業的內部控制體系。COSO框架下的內部控制，更多的是基于獨立會計師的視角，明確指出，內部控制是由企業董事會、經理層以及其他員工影響實施的，旨在為財務報告的可靠性、經營效果和效率以及現行法規的遵循而提供合理保證的過程；同時提出了企業內部控制構成的概念，認為內部控制整體框架主要由控制環境、風險評估、控制活動、信息與溝通、監督五大要素組成，由此內部控制的概念完全突破了審計的局限，向企業全面管理控制的范疇發展。1994年COSO委員會又提出了《對外報告的修改篇》，增加了與保障資產安全有關的控制，從而進一步擴大了內部控制的范圍。

在COSO報告的基礎上，這一階段的研究對內控報告和內控信息披露格外重視，從而使得內控領域的研究更加具有整體化的色彩。內控報告對投資者加深對公司的全面了解具有積極作用，密切了投資者和公司之間的溝通聯系，強化了投資者對公司經營能力和競爭優勢的信任，增強了投資者對公司的信心（Willis，2000）；內控信息的披露也間接具有分辨公司好壞的功能，那些不敢提供內控報告的公司較之那些提供了內控報告的公司來說，往往會具有更差的財務表現，同時內控報告的公布使企業能夠彰顯自己的核心能力和競爭策略，以圖對投資者的決策施加影響，這也間接使得外部投資者能夠對公司的內部控制施加影響，從而使得內部控制的發展真正進入到了全面、綜合的階段（Mcmullen，1996；Newson，2002）。

這個時期，英國的內部控制理論發展也很迅速?？ǖ虏麍蟾妗⒐放鍫枅蟾?，以及作為綜合準則指南的特恩布爾報告堪稱英國內部控制研究史上的三大里程碑。1992年的卡德伯利報告以內部控制、財務報告質量以及公司治理之間的關系為前提，從財務角度入手并將內部控制置于公司治理的框架下，特別強調內部控制聲明的重要性，并且重視獨立的審計委員會對內部控制的意義，還第一次提出了實行獨立董事制度的觀點，在很多領域開創了英國內部控制和公司治理的先河。1998年的哈姆佩爾報告明確提出了內部控制的目的是保護資產的安全、保持正確的財務會計記錄、保證公司內部使用和向外部提供的財務信息的可靠性，認為董事對內部控制具有關鍵的作用，并且強調了“內部控制不局限于財務方面，而是應該包括更多的管理過程”的觀點。1999年的特恩布爾報告則是英國內部控制和公司治理研究的集大成者，為公司及董事會提供了具體的、頗具可行性的內部控制指引：高度重視董事會在內部控制中的地位和作用，包括制定正確的內部控制政策、對內部控制有效性的復核以及實行正確的風險管理政策等；尤為重要的是，該報告較早地認識到內部控制與風險管理的關系并且對公司管理層在風險控制和管理中的角色進行了分析與界定，從而為內部控制向全面風險管理的發展提供了初步的借鑒。

從上述內部控制理論的發展過程來看，內部控制理論的演進經歷了“平面―三維” 的過程：在內部會計控制階段，控制環境、控制活動和會計系統三要素構成了一個平面的控制系統；在內部控制整體框架中，控制環境、控制活動、風險評估、信息與溝通、監控五要素，則演變成了一個三維的控制系統。

四、企業風險管理理論

COSO的《Enterprise Risk Management ―Integrated Framework》，是一份具有劃時代意義的風險管理報告。它是在1992年《Internal Control―Integrated Framework》的基礎上，結合《薩班斯―奧克斯法案》在報告方面的要求進行擴展研究而最終形成的。該報告對企業風險管理（ERM）下了一個全新的、綜合的定義：“企業風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰略制定并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證”，并列出了風險管理的八要素：內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控，從而為企業風險管理提供了更為具體的思路。

學術界的研究很大一部分體現在企業風險管理與公司價值的關系上。Allayannis等（2001）分析了運用衍生品進行風險管理對企業價值的影響，運用托賓Q作為企業價值的替代變量，通過對1990―1995年間720家非金融企業運用外匯衍生品情況的研究，發現運用了外匯衍生品后，企業的價值呈現正增長的態勢，風險對沖的報酬對于那些在外匯領域具有風險敞口的企業來說，在統計和經濟意義上都具有重要影響，比那些同樣面臨外匯風險敞口卻不實行對沖的企業高大約4.87%的市場價值；而對于那些本身不具有外匯風險敞口，但是在經營中涉及到進出口業務的企業來說，衍生品對沖帶來的市場機制提升并不明顯。同時，還發現了有利的證據支持風險對沖能提升企業價值的假設。Hoyt和Liebenberg（2008）運用美國上市保險公司的資料數據，對2000―2004年期間共166家保險公司的經營情況進行了分析，得出的結論是，采用ERM的公司，其公司價值的增加具有較大的普遍性，這種價值的增加體現在公司特征上，表現在采用了ERM的公司往往規模更大，行業多樣化、國際化程度更高以及財務融資能力較強等；同時，本文的研究還發現，采用ERM的公司價值比未采用ERM的公司平均高出3.6%，且在統計和經濟意義的檢驗方面均為顯性，從而證明了ERM對提升公司價值的積極作用。Kallenberg（2007）分析了風險管理對于公司價值的影響，指出隨著世界經濟一體化的發展，風險管理和風險交流越來越成為企業經營的重要內容。他以ABB公司為例分析了開放的、直接的風險管理對于建立公司信譽和維護公司價值的重要意義，ABB公司的股價在2001―2002年間下跌了90%，其中50%是與石棉危機有關的。

對風險管理要素的研究也受到了學者們的關注。Andreas Muller（1999）分析ERM流程的角度是成本控制，他認為ERM包括風險剝離（risk stripping）、風險地圖（risk mapping）、風險組合和套期（risk packing and hedging）三個階段。Colquitt等（1999）以實證研究的方法分析了風險經理在ERM過程中的角色及作用。Lisa Meulbroek（2002）在傳統風險管理流程風險識別、風險衡量（可能性預測和后果評估）、風險策略制定和方法選擇的基礎上，提出了建立公司價值模型來提高風險管理能力的方法。CAS（2003）對ERM流程的分析注重了企業環境因素的影響，在傳統風險管理流程的基礎上，著重強調了環境分析的基礎性意義，提出了ERM流程包括環境分析、風險識別、風險量化、風險整合、風險優化和利用、風險控制與評估等步驟的循環。

對利益相關者與企業風險管理關系的研究是最近的一種趨勢。注重企業的社會責任、聲譽風險以及可持續發展在風險管理中的應用，逐漸將這些問題納入到企業風險管理的分析框架中，從而將風險管理的目的拓展到了利益相關者最大化方面。CAS―ERM報告（2003）就提到了企業風險管理的目的就是為了增加組織的利益相關者在短期和長期的價值；Marsiglia等（2005）、Forstmoser（2006）的研究分別從企業價值所面臨的社會責任和可持續性挑戰、企業聲譽風險的管理問題出發，來研究風險管理問題，從而將對企業風險管理的研究擴展到了一個新的領域。

五、展望與趨勢

始于2007年的次貸危機對風險管理提出了新的挑戰，未來的風險管理需要在以下兩個方面進行加強：

第一，企業破產風險的衡量問題。次貸危機中，很多金融機構的流動性是在極短時間內枯竭的，償付能力在幾個月中發生了根本性的變化，那么，以防范企業破產風險為直接動因的企業風險管理，該如何來衡量企業的破產風險呢？該使用什么工具來動態監控呢？

第二，風險管理工具的使用問題。本來作為風險管理工具的金融產品如CDS等，反而變成了導致企業破產的風險來源，本意是要分散、降低風險，結果反而集聚、惡化了風險，那么該如何來使用這些具有兩面性的工具呢？

參考文獻：

[1]Fikry S. Gahin，A Theory of Pure Risk Management in the Business Firm[J]，The Journal of Risk and Insurance， 1967，34（1）：121-129.

[2]Herbert S.Denenberg，J.Robert Ferrari，New Perspectives on Risk Management：The Search for Principles[J]， The Journal of Risk and Insurance，1966， 33（4）：647-661.

[3]J.David Cummins，Risk Management and the Theory of the Firm[J]，The Journal of Risk and Insurance，1976， 43（4）： 587-609.

[4]Harry Markowitz，Portfolio Selection[J]，The Journal of Finance，1952，7（1）：77-91.

[5]William F Sharpe，Capital Asset Prices：A Theory of Market Equilibrium under Conditions of Risk[J]，Journal of Finance，1964，19（3）：425-442.

[6]James Lam，Enterprise Risk Management：From Incentive to Controls[M].London：John Wiley and Sons，2003：88-91.

[7]Thomas Ullrich， Pooling Risks in a Captive Insurance Company[J]， The John Liner Review ， 1992， （6）： 41-49.

[8]Richard R. Scott，Attribution of Internal Control[J]，Journal of Black Studies， 1976，6（3）：. 277-290.

[9]George Allayannis，James Weston，The Use of Foreign Exchange Derivatives and Firm Market Value[J]， The Review of Financial Studies spring，2001， 14（1）： 243-276.

[10]Robert E. Hoyt，Andre P. Liebenberg，The Value of Enterprise Risk Management：Evidence from the U.S. Insurance Industry[R]，the Society of Actuaries， 2008.

[11]Kristian Kallenberg，The Role of Risk in Corporate Value：A Case Study of the ABB Asbestos Litigation[J]， Journal of Risk Research，2007，10（8）： 1007-1025.

[12]L.Lee Colquitt，Robert E. Hoyt，Ryan B.Lee，Integrated Risk Management and the Role of the Risk Manager[J]，Risk Management and Insurance Review， 1999，2（3）： 43-61.

[13]Lisa Meulbroek.Integrated Risk Management for the Firm：A Senior Management’s Guide[R]，Harvard Business School Working papers. 2002.

[14]Casualty Acturial Society Enterprise Risk Management Committee，Overview of Enterprise Risk Management[R].2003.