企业风险管理与内部控制(3)

　　（三）风险管理的控制要素
　　1994年COSO报告《内部控制——整体框架》中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展，将其演变为八个要素，即增加了控制环境内部化；目标作为要素；风险要素的扩展。 
　　主要有：1.内部环境——内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。2.目标设定——必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。3.事项识别——必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会应被反馈到管理当局的战略或目标制订过程中。4.风险评估——通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。5.风险应对——管理当局选择风险应对、回避、承受、降低或者分担风险，采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。6.控制活动——制订和执行政策与程序以帮助确保风险应对得以有效实施。7.信息与沟通——确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。8.监控——对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。 
　　（四）相关角色和任务的变化
　　新老COSO报告都将组织的董事会、管理层、内部审计等职员看成是内部控制框架中的相关责任人。董事会制订战略，管理、指引和核查一些特殊交易和政策。董事会既是内部控制的因素，也是企业风险管理的重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色，即担负总体责任，企业风险管理的成功与否在很大程度上依赖于董事会，董事会需要批准组织的风险偏好。 
　　在ERM框架中，管理层必须识别目标和战略方案，并将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标，并与企业的总体目标相联系。一旦设定了目标，管理层就需要识别影响风险的事项、评估风险并采取控制措施。 
　　在ERM框架中，内部审计人员在监督和评价成果方面承担重要任务。他们要协助管理层和董事会监督、评价、检查、报告风险。对于内审人员来说，最大的挑战是在ERM中扮演何种角色，很多内审人员可能被要求提供ERM的教育和训练，甚至“处理企业风险管理过程”。但是，新报告认为：内审人员并不对建立ERM体系承担主要责任。内审人员职责的另一个变化是原来对CFO和内审委员会负责，现在可能要对CFO、内审委员会和风险主管负责。 
　　在ERM框架中，新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，并可能是风险管理委员会的成员之一。 
　　四、内部控制与风险管理的关系 
　　从新的COSO框架对企业内部控制的完善来看，企业内部控制逐渐呈现与风险管理靠拢和一体化的趋势，即以风险管理为主导，建立适应企业风险管理战略的新的内部控制，从内部控制走向风险管理。 
　　风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响，并设法把不良影响控制在最低的程度。内部控制就是企业内部采取的风险管理，内部控制制度的制定依据主要是风险，在某些极端情况下甚至完全由风险因素来决定。风险越大，越有必要设置适当的内部控制措施，风险相当大时，还要设置多重内部控制措施。而且做好内部控制是做好风险管理的前提。一家企业只有从加强内部控制做起，通过风险意识的提高，尤其是提高企业中处于关键地位的中、高层管理人员的风险意识，才能使企业安全运行，否则，处于失控状态的企业最终将被激烈竞争的市场经济大潮淹灭。