企业风险管理与内部控制(2)

　　风险管理作为企业的一项管理活动，产生于20世纪50年代的美国，当时美国一些大公司发生的重大损失使公司的高层决策者开始认识到风险管理的重要性。在那时，风险管理是企业管理的一个重要组成部分，主要涉及的是对企业纯粹风险的管理。这一特征是和那时企业经营环境相对简单，因而纯粹风险给企业经营带来的影响最为严重以及通过保险手段可以对纯粹风险进行有效管理是密切相关的。 
　　20世纪80年代后，企业的经营环境开始发生了巨大变化，以价格风险、利率风险、汇率风险等为代表的财务风险开始给企业带来巨大的威胁，使得企业开始寻求规避财务风险的工具。但企业在这方面的努力仅限于一些孤立的实践活动，并没有形成完整的理论和方法体系。反而在金融机构中，由于所经营的金融产品带来的各种风险加剧，逐步形成了针对金融机构的相对完整而系统的金融风险管理体系，其针对的对象和内容都与传统风险管理有很大不同。 
　　到20世纪末，随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂，开始出现了将企业的所有风险，包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期，并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起，形成一个崭新的概念——全面风险管理。 
　　全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 
　　三、COSO风险管理框架 
　　近年来，许多公司关注企业风险管理，他们对企业风险管理框架的需求日益增加。2001年，COSO委托普华永道设计一种能被企业管理层用来评估和改善企业风险管理的框架。在这一时期，美国出现了包括安然公司在内的一系列公司财务丑闻，使投资者蒙受了巨大的损失。之后，要求改善公司治理结构和提高风险管理能力的呼声日益高涨。2002 年美国通过了萨班斯——奥克斯利法案（Sarbanes——Oxley Act of 2002），其中的 404 条款要求上市公司管理当局对内部控制的有效性进行披露报告，同时也要求注册会计师对上市公司内部控制的效果进行审计。正是在这一背景下，COSO于 2004 年 10 月发布了《企业风险管理——整合框架》的报告。 
　　（一）风险管理的定义
　　COSO对其定义为：“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。” 
　　ERM框架对内部控制的定义明确了以下内容：1.是一个过程；2.被人影响；3.应用于战略制定；4.贯穿整个企业的所有层级和单位；5.旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；6.合理保证；7.为了实现各类目标。对比COSO1992年的定义，ERM概念要细化得多。由于新COSO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。
　　（二）风险管理的目标
　　ERM认为风险管理的目标有：战略目标——与使命相关联并支撑其使命；经营目标——有效和高效率地利用其资源；报告目标——报告的可靠性；合规性目标——企业经营符合相关法律法规的规定。 
　　ERM整体框架中除了经营目标和合规性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表，包括中期和简要财务报表以及从这些财务报表中摘出的数据，如利润分配数据”；新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”，该目标涵盖了企业的所有报告。除此之外，新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。