企業風險管理的特征匯總十篇

時間：2023-10-10 10:02:31

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇企業風險管理的特征范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

企業風險管理的特征

篇（1）

關鍵詞企業風險管理發展歷程展望

隨著我國改革開放層次加深，范圍更廣，市場經濟發展飛速的同時，受到的國際市場沖擊以及市場經濟本身的不穩定性都會導致市場經濟主體――企業生存風險的產生。對于任何事物來說不確定性和風險對于其生存與發展都具有重要影響作用。為了能夠在激烈的市場競爭中發展壯大，企業必須重視風險管理，只有完善的風險管理制度才能夠使得企業化險為夷，避開各種市場風險，甚至是做到險中求勝，抓住機遇加快發展。

一、企業風險管理基本介紹

追溯歷史，我們會發現風險管理在我國歷史悠久，風險管理思想最早產生于夏朝，主要是用于天災人禍下的糧食儲備制度。國外學者于二十世紀三十年代提出風險管理概念，認為風險管理重點是“風險”以及“管理”。迄今為止，最經典的風險管理定義就是威廉姆斯（Williams）在其著作《風險管理與保險》中為風險管理做的定義，即：以組織目標為依據，以最小費用運用風險識別、風險評估、風險應對以及風險控制措施解決企業所面臨的的中風險危機的管理過程就是企業風險管理。國內學者也對風險管理進行了各種定義，總結歸納，作者認為所謂風險管理就是企業對所面臨的的風險及時預測、及時評估其對企業運行的影響，然后依據影響的范圍和程度，設計出風險應對方案，以期在風險中企業受到的損害最低，獲得的利潤最大。

二、我國企業風險管理發展歷程

風險管理發展的歷程劃分并不統一，但是學術界共同認為風險管理真正意義的開始階段應該是二十世紀三十年代的美國，并且于六十年展成為現代化管理手段，而風險管理全球性的普遍應用則是二十世紀七十年代，九十年代風險管理整體概念得到極大的發展。

對于我國企業風險管理發展歷程的劃分，國內學者亦各有不同觀點，例如，國內學者王農躍、嚴復海等將企業風險管理劃分為三個階段，依據時間順序依次是：傳統企業風險管理――現代企業風險管理――全面企業風險管理。作者在深入研究眾學者的理論成果的基礎上，結合我國企業風險管理實踐活動發展情況認為我國企業風險管理發展歷程可以分為兩個階段，即：財務以及保險風險管理階段和企業整體風險管理階段。

1.財務以及保險風險管理階段

財務以及保險風險管理階段時間基本為20世紀30年代初至20世紀90年代初，這個階段也是我國企業風險管理思想萌芽形成階段，風險管理涉及的企業管理內容主要是企業財務風險和可保風險。這個階段概括起來有以下幾個特征。

首先，模型化的定量研究是這個階段風險管理研究的主要方法。此階段代表性理論著作成果是國外學者赫爾其和梅爾于20世紀60年代初期出版的《企業風險管理》，書中將數理統計技術和概率論引入企業風險管理研究中，標志著企業風險管理的研究逐步趨向于專門化和系統化。

其次，此階段風險管理研究由美國擴展至世界各地。這個階段也是我國引入風險管理研究的最初階段。全球越來越多的國家的企業開始重視風險管理的重要作用，并且將風險管理與營運管理、戰略管理定位企業管理的三大主體。

再次，非金融工商企業開始重視風險管理研究的作用。風險管理的最初起源于保險行業，后來迅速為證券行業、投資行業、銀行業等金融行業所采納并加以發展。但是20世紀50年代由于著名公司通用汽車公司發生火災事故引發非金融工商企業對于風險管理的重視，風險管理研究在非金融工商企業界迅速發展。

最后，財務風險和可保風險是這個階段風險管理研究的主要內容，企業應對風險的主要手段是保險。雖然這個階段風險管理風險管理已經得到了非金融工商界的重視，但是風險管理的研究領域主體依舊是金融保險業，這也就是的了風險管理研究多多少少都帶有金融保險的行業特性。例如，20世紀60年代Beaver發表的論文《財務比率與失敗預測》中基本就是采用金融保險行業的數據進行分析；20世紀70年代初期，Scholes和Black聯合發表的風險管理理論研究資料基本都是金融期權定價相關理論。

這一階段我國企業風險管理的發展歷程附屬于世界企業風險管理發展階段。雖然起步比較晚，但是基本發展特征與國外相似，但是也具有一定的缺點，主要有：企業戰略與風險管理不相配，風險管理沒有放到企業發展戰略地位；沒有獨立的風險管理部門，風險管理基本由內部審計、會計、財務管理部門分別進行，風險管理主觀性較強；風險管理的研究基本是獨立進行，沒有考慮到市場是持續、動態變化的，企業僅僅從某一片面、單一層面上進行風險管理的研究，缺乏全局性和整體性的考慮。

這一階段，我國風險管理比較經典的代表作是20世紀90年代初香港保險總部出版的《風險管理手冊》和20世紀80年代初臺灣學者宋明哲所著的《風險管理》。

2.企業整體風險管理階段

20世紀90年代世界政治和經濟環境發生巨大變化，世界各國銀行個體倒閉最終引發拉美部分國家金融動蕩、亞洲金融危機、墨西哥金融危機等較大金融整體風險動蕩，促使風險管理由財務和保險局部領域擴展至企業整體層面的風險管理研究，每個企業都在尋求建立完善的全面風險管理體系。

受世界金融動蕩的影響，我國風險管理研究階段也由財務和保險局部風險管理開始拓展至企業整體風險管理體系的研究上。整體風險管理體系的建立需要在舊的風險管理方法和技術基礎上進行各種創新工作，不斷協調企業各方利益，全面考慮風險的影響因素，通過有效的風險組合做到整體風險的規避，實現企業最大利潤。與財務風險和可保風險階段相比，這個階段基本特征有以下幾點。

首先，企業風險管理更加職責化，并且形成連續性風險管理制度。這個階段我國企業設置獨立風險管理部門，建立了具體的風險管理機制，這樣企業風險管理不再是管理層主觀意愿，而是企業管理職責組成部分，風險管理更加連續化。

其次，模型化的風險管理研究模式轉變為框架標準化風險管理研究模式。在參照國外企業風險管理的有效理論的基礎上，國務院國資委于2006年制定了《中央企業全面風險管理指引》，《中央企業全面風險管理指引》是我國第一個風險管理框架，具有一定的權威性，對于企業進行框架標準化風險管理研究具有重要指引意義。

最后，風險管理更加注重企業整體風險組合的研究管理。這個階段企業不再僅僅局限于對企業財務風險的管理，更加注重企業各個部門風險整體的應對。例如，在應對市場造成的產品風險時，財務風險以及各種產品市場風險相結合，制定最佳生產計劃應對市場風險，保證企業在風險中獲得最大經濟效益。

三、我國企業風險管理發展展望

綜合我國企業風險管理發展歷程以及經濟發展水平，作者認為我國企業風險管理發展趨勢主要有：

首先，企業風險管理目標將由傳統被動風險處理向風險預防、風險轉嫁以及風險價值利用轉變，企業風險管理活動重點向風險開發、風險利用和風險經營轉變。

其次，企業風險管理中母公司從外部以股東身份對子公司進行各種風險管理標準會得到完善。由于母公司與子公司之間的委托理論以及兩權分離理論，目前關于企業內部風險管理的系統標準很少有涉及到母公司對于子公司的各種風險管理條例，所以如何進一步完善作為股東身份的母公司對于子公司的各種風險管理標準將會是我國企業風險管理發展的一個新方向。

再次，企業風險管理研究的主流趨勢將會是企業整體層面風險管理體系，也就是企業集成風險管理以及風險管理績效評價的研究。隨著我國市場經濟進一步成熟，市場開放度更加深層次以及全方位，各種國內外市場風險的沖擊必然使得根據企業管理戰略目標制定企業集成風險管理目標的集成風險管理將會受到企業的重視。與傳統風險管理不容，集成風險管理具有明確的目標體系，總目標與企業戰略目標相吻合，各級企業部門根據本部門職能對總目標進行分解，得出本部門具體的子目標，各級目標具有鮮明的層次性，形成樹狀目標體系圖。與此同時，風險管理成本效益等的績效考核也會日益成為各企業以及理論研究者重視的內容。

最后，未來我國企業風險管理研究的主體不再是單個的學者，各種經濟組織或者政府將成為企業風險管理的研究主體。就像區域經濟組織合作是經濟全球化必經之路一樣，我國各個行業要得到極大的發展，合作式經濟組織必然會日益成為企業之間共贏的必然手段，所以風險管理不會再局限于某個企業，經濟組織整體風險管理會逐漸成為風險管理的研究主體。另外對市場經濟起引導以及宏觀控制的政府也會參與整體市場經濟風險管理的研究，因為經濟全球化中的各種沖擊，要想我國市場經濟順利規避各種風險，企業風險最小化，離不開政府的宏觀控制。

結語：總之，企業風險管理對于企業規避風險，快速發展壯大具有重要意義，我們要在了解企業風險管理發展歷程的基礎上做好對未來企業風險管理的正確預測，科學合理借助風險管理解決企業運行中各環節遇見的風險，或者在市場風險中做好企業展戰略決策。

篇（2）

Abstract：Since COSO issued“Enterprise Risk Management-Integrated Framework”，COSO-ERM framework has become the standard of enterprise risk management，but as some financial institutions broke in the Subprime Crisis，the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era，developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework，the objective of enterprise risk management is shifted from the company（shareholders）to maximize the interests to maximize the interests of corporate stakeholders，and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital，risk management elements，structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.

Key Words：enterprise risk management，economic capital，risk management elements，sustainability risk management

中圖分類號：F830 文獻標識碼：A 文章編號：1674-2265（2012）06-0009-05

風險管理理論已有五十年的發展歷史，已成為指導企業經營管理不可或缺的重要思想。2004年COSO頒布《企業風險管理——整合框架》后，COSO—ERM框架很快成為風險管理的核心標準，企業風險管理首次擁有了一個系統的分析框架。但是，發生于2007年的次貸危機，動搖了人們對COSO框架的信心，風險管理該如何實施成為后危機時代風險管理理論必須回答的問題。王穩（2010）提出了一個新的企業風險管理分析框架，以經濟資本、風險管理要素、結構性金融工具和可持續風險管理作為企業風險管理的核心內容，為后危機時代的風險管理提供了一個可參考的框架思路。本文在這個分析框架的基礎上，系統梳理了已有文獻對風險管理框架和內容的論述。

篇（3）

一、問題提出

由于各種不確定性因素，企業面臨著各種風險，能否對風險進行有效的管理和控制，是企業能否生存發展的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。我國從2005年施行的內部審計具體準則第16號―《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。然而，我國內部審計在風險管理中應用的現狀卻并不令人樂觀。根據調查存在以下問題：(1)內部審計人員對風險及風險管理不甚了解。28.05％的被調查內部審計人員認為風險不會影響企業價值，7.32％的被調查內部審計人員竟認為風險會增加企業價值。內部審計人員對風險的不了解，限制了內部審計對風險和風險管理的關注，制約了內部審計在風險管理中的應用。另外，內部審計人員缺乏風險管理知識，對于風險管理的先進理論―全面風險管理不甚熟悉。8.54％的被調查的內部審計人員沒聽說過“全面風險管理”，只有3.66％的被調查的內部審計人員熟悉“全面風險管理”。缺乏先進的風險管理理論，又從何談起協助管理人員進行風險管理。(2)內部審計的獨立性不足。內部審計部門只有獨立于其它職能部門，才能獨立、客觀、公正地發揮其職能。62.32％的被調查單位的內部審計部門都是獨立設置的，這在一定程度上保證了內部審計的獨立性。但同時也應注意到內部審計的獨立性還不足。56.53％的被調查單位的內部審計隸屬于行政正職或分管副職，而只有19.82％的被調查單位的內部審計隸屬于董事會、監事會或者審計委員會等層次比較高的部門。內部審計獨立性的不足，影響了內部審計在風險管理中應有作用的發揮。(3)內部審計人員結構不合理。我國內部審計的人員結構比較單一，絕大部分是會計、審計人員。在被調查的內部審計人員中，48.43％出身于會計專業，27.99％出身于審計專業，只有10.13％出身于管理專業，以及0.74％出身于計算機專業。人員結構不合理，使得內部審計難以履行監控風險管理的職能，更別說為風險管理提供咨詢服務。(4)內部審計范圍狹小。內部審計人員結構的不合理，導致了內部審計范圍的狹小。在被調查單位中，69.57％經常進行財務收支審計，66.67％經常進行經濟效益審計，72.46％經常進行經濟責任審計，只有7，25％曾經開展過風險管理審計，沒有一家單位對風險管理經常進行審計。(5)內部審計方法落后。內部審計在開展審計業務時，使用的審計方法比較落后。66.67％的被調查單位采用賬項基礎內部審計24.64％的被調查單位采用控制基礎內部審計，只有8.69％采用風險基礎內部審計。審計方法的落后嚴重制約著內部審計在風險管理中的應用。

二、我國企業內部審計風險管理的意義及定位

(一)企業內部審計風險管理的意義主要體現在以下方面：(1)有利于進一步改進公司治理。不同的經濟學觀點對公司治理問題具有不同的解釋，但無論是契約理論提及的不完備契約，還是信息經濟學提及的信息不對稱，或是委托理論提出的問題，其實質都屬于風險問題，都是使企業目標元法實現的各種可能性事件。而針對這些可能性事件的管理，即風險管理，可以被認為是公司治理的核心。而從內部審計來看，通過加強對風險管理的評估和咨詢，為審計委員會、董事會提供真實有力的報告證據，使股東和潛在利益相關者獲得盡可能充分的信息。這自然增加了內部審計的服務職能一改進公司治理。因此，內部審計與風險管理的有效結合必將進一步改進公司治理，提高企業管理效率。(2)內部審計自身生存和發展的渴求。內部審計對風險管理的介入，使內部審計在企業中成為一個特別重要的角色，也將其在企業中的作用推向了一個新水平。同時，內部審計采用關注風險的審計方法，其報告更容易被接受，管理部門也更容易理解內部審計存在的價值，它可以幫助內部審計渡過正在影響整個職業的價值危機(Value Crisis)。正因為如此，IIA才一直積極倡導內部審計參與風險管理，把風險管理作為內部審計的重要領域直接寫入了內部審計的定義。(3)內部審計參與風險管理的獨特優勢。內部審計部門處于企業董事會的下屬位置，是不直接參與經營活動的高層次監督部門，因而在企業風險管理中具有獨特的優勢。第一，能夠客觀地、從全局的角度管理風險。風險在企業內部具有感染性、傳遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔，而是會傳遞到其他部門，最終可能使整個企業陷入困境。因此對風險的認識和防范、控制需要從全局考慮，而各業務部門由于其局限性很難做到這一點。但內部審計部門不從事具體業務活動，獨立于業務管理部門，這使得它們可以從全局出發、從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。第二，控制、指導企業的風險策略。由于內部審計部門處于企業的董事會、總經理和各職能部門之間的位置，內部審計人員能夠充當企業長期風險策略與各種決策的協調人。其通過對長期計劃與短期現實的調節，可以調控、指導企業的風險管理策略。第三，內部審計部門的建議更易引起重視。盡管許多大型企業設有風險管理部門，但它屬于管理部門的一個職能部門，向總經理負責和報告，不具有獨立性，其意見有時會屈服于管理當局的壓力。例如其風險管理部門對某投資項目分析后發現風險太大不適合投資，而總經理好大喜功，他會力促項目的實施，這使得風險管理部門的作用受到限制。而內部審計部門獨立于管理部門，其風險評估的意見可以直接報告給董事會，這自然會加強管理當局對內部審計部門意見的重視程度。(4)能保證審計目標與企業目標相契合。傳統內部審計通常采用“控制-風險÷目標”的路線，即直接測試內部控制，考慮內部控制是否有效，而風險的太小僅用于表明控制的薄弱與健全環節，從而實現防弊或興利的目標。其結果是不斷向管理層建議增加控制點或加強控制，隨著時間的推移，控制點會越來越多，審計業務越來越繁瑣緩慢，甚至出現多余控制阻礙各項程序正常運轉的情況，因而無法與企業目標直接相關聯，導致內部審計無法證明其價值所在。內部審4t@與風險管理后，采取的是“目標一風險_控制”的路線，首先確認企業目標或某項交易的目標，然后分析對這些目標產生影響的風險，確定審計風險水平和審計重點，提出風險防范和控制建議，最后通過后續審計，測定風險是否得到有效防范和控制。這樣審計建議可以直接針對企業實現目標過程中面臨的主要問題和風險。內部審計的咨詢職能充分體現內部審計的能動性及增值目標，并且將事后的反饋

擴展到內部控制建立前及實施時的協助與促進，幫助管理層對風險管理進行持續改進與完善，保證審計目標與企業目標相契合。

(二)內部審計風險管理的定位　coso報告指出企業風險管理有四個目標(實現戰略、高效運作、客觀報告、遵守法規)、八個要素(內部環境、目標設定、事件識別、風險評估、風險反應、控制活動、信息溝通、監控活動)，在企業的四個層次開展(企業級、部門級、事業單位級、分公司級)。內部審計在這一框架中作為監控活動存在，即由內審機構對企業風險管理進行獨立評估。內部審計師協會(IIA)在2004年9月的《內部審計在企業風險管理中的角色》意見書也認為內部審計關于企業風險管理的核心角色是就組織風險管理的有效性向董事會提供客觀保證，以幫助確信關鍵商業風險被正確管理及內控系統有效運轉。因此，內部審計在企業風險管理框架中首要角色是監督者，包括對風險管理流程的評估和保證服務、對風險評估準確性的保證服務、對關鍵風險報告的評估和對關鍵風險管理的評估。按IIA的標準，內部審計的服務種類可以劃分為保證服務和咨詢服務，前者是一種獨立評價的活動，后者是提供建議及咨詢的活動。在企業風險管理中，內部審計的本質特征并不發生改變，因而它可以擔任的角色也是基于這兩種服務衍生而來的。除了作為監督者所提供的保證服務外，內部審計還可提供咨詢服務，包括促進對風險的識別和評估、指導和協調風險管理活動、加強對風險的報告、保持和發展風險管理框架、支持建立風險管理、參與制定風險管理戰略等。與此相適應，內部審計承擔了咨詢者、協調者、建議者角色。內部審計在企業風險管理中的角色不是一成不變的，而是一個逐步變化和延續發展過程。在組織缺乏風險管理程序的情況下，內部審計可以向管理層提出建立企業風險管理的建議；在組織實施風險管理的初期，內部審計能夠發揮很大的協調作用，甚至直接擔任項目經理；而當企業風險管理逐步成熟，運作穩定以后，內部審計就從建議者、協調者轉化成監督者和咨詢者。內部審計的報告關系也會影響其在企業風險管理中的角色，報告關系層次越高，獨立性越強，內部審計就越能夠從全局和戰略角度參與企業風險管理；反之，則從局部和流程角度參與企業風險管理。(圖1)說明了組織風險管理水平和報告關系對內部審計角色定位的影響。為保證獨立性和客觀性，內部審計并不對建立企業風險管理體系承擔主要責任，風險管理責任應由管理層承擔。內部審計可以對企業風險管理提供建議、質詢和支持，但不能設定風險容忍度、強制實行風險管理流程、對風險提供管理保證、對風險問題進行決策和對風險實施管理職責的行動。內部審計對于企業風險管理的責任應當在審計章程中寫明并經審計委員會批準。此外，在實踐中，應注意處理保證服務和咨詢服務的關系。只要內部審計執行的任務涉及履行管理職責，就應認為與此有關領域的審計客觀性受到了損害，內部審計不能就其負責協調和指導的風險管理事項提供保證服務。

三、我國企業內部審計風險管理的思考

篇（4）

由于各種不確定性因素，企業面臨著各種風險，能否對風險進行有效的管理和控制，是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此，無論是國際內部審計師協會對內部審計的定義，還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。

一、企業風險及風險管理的內涵

進行企業風險管理審計，必須明確企業風險及風險管理的內涵。否則，企業風險管理審計便無從談起。

1企業風險的實質

首先，風險產生于不確定性因素的存在，如果企業運行的內外環境是確定的，則不存在企業風險。其次，企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說，我們更注重企業的運行結果，對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此，可以認為，企業風險則是企業運行結果偏離期望結果的可能性。筆者認為，企業目標是企業期望達到的一種結果狀態，但由于相關因素的持續不斷的變化，企業目標的實現存在不確定性。因此，企業風險可以描述為企業目標不能得以實現的可能性。

2企業風險的劃分

企業風險可以按多種標準進行分類。筆者認為，既然將風險定義為企業目標不能得以實現的可能性，那么，企業風險可以按照企業目標的不同層次來理解和劃分，并可將其相應劃分為：

（1）企業的戰略風險是指企業戰略目標不能實現的可能性，主要包括：由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險；由于企業的具體戰略選擇失誤而帶來的風險，包括企業經營領域的選擇風險、企業并購風險等。

（2）企業日常經營管理風險是指企業具體經營目標不能實現的可能性，又可以劃分為企業經營環節的作業鏈風險，如企業供、產、銷等環節的風險；企業的人事風險，如由于人員任用、授權、業績評價等方面的缺陷帶來的風險；企業的信息風險，如企業信息系統風險等。

（3）財務風險。狹義一般是指由于企業籌措資金而形成的風險，并主要是指企業由于舉債而形成的風險，也可稱之為籌資風險。按照本文對風險的定義，即企業目標不能實現的可能性，則企業的財務風險是指企業財務活動目標不能得以實現的可能性，包括籌資風險、資金投放的風險及企業其他財務活動風險，我們可以稱之為廣義的財務風險。

3企業風險管理

COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程，它由董事會、管理當局和其他人員執行，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在風險容量之內，并為主體目標的實現提供合理保證。”

我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理，是對影響組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”

從上述對風險管理的解釋可以看出，企業風險管理的最終目標是為企業目標的實現提供合理的保證。

二、企業風險管理審計的目標

對企業風險管理進行監督和評價是現代內部審計發展的結果，企業風險管理審計的目標取決于對企業內部審計的功能定位。

從西方企業內部審計的產生和發展過程來看，內部審計是隨著經濟的發展，企業內部管理層次的增多和控制范圍的擴大，基于企業內部經濟管理與監督的需要而產生的，并隨著管理的需要而不斷發展。隨著內部審計的不斷發展，內部審計的目標也在不斷地變化，其中以國際內部審計師協會（IIA）對內部審計所下定義的變化最具有代表性。國際內部審計師協會（IIA）理事會指出內部審計是一種獨立、客觀的保證和咨詢活動，其目的是增加組織的價值和改善組織的經營。

我國的內部審計不是在企業內部管理需要的動因下發展起來的，而是在政府的要求下，在國家審計部門的推動下建立起來的。1993年國家審計署成立，為了盡快建立和完善審計體系，補充剛剛復興的國家審計力量的不足，政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展，企業內部審計越來越受到各方面的重視，對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出：內部審計是組織內部的一種獨立客觀的監督和評價活動，它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。

從內部審計的發展過程可以看出，企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于：通過內部審計機構和人員對企業風險管理過程的了解，審查并評價其適當性和有效性，提出改進建議，促進企業目標的實現。

三、企業風險管理審計的內容

風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價，也可對職能部門的風險管理進行審查與評價。因此，筆者認為企業風險管理審計應當包括以下方面的內容：

（一）風險管理機制的審查與評價

企業的風險管理機制是企業進行風險管理的基礎，良好的風險管理機制是企業風險管理是否有效的前提。因此，內部審計部門或人員需要審查以下方面，以確定企業風險管理機制的健全性及有效性。包括：

1審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點，在全體員工參與合作和專業管理相結合的基礎上，建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整，并通過健全的制度來明確相互之間的責、權、利，使企業的風險管理體系成為一個有機整體。

2審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序，以確保風險管理的有效性。

3審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險，因此，風險管理的首要工作是建立風險預警系統，即通過對風險進行科學的預測分析，預計可能發生的風險，并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢，從對因素變化的動態中分析預測企業可能發生的風險，進行風險預警。

（二）風險識別的適當性及有效性審查

風險識別是指對企業面臨的，以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序，對風險識別過程進行審查與評價，重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容：

1審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析，風險識別是關鍵性的第一步。

2審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后，運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類，并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是：采取一定的方法分析風險因素、風險的性質以及潛在后果。

需要注意是，風險管理的理論和實務證明沒有任何一種方法的功能是萬能的，進行風險識別方法的適當性審查和評價時，必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。

（三）風險評估方法的適當性及有效性審查

內部審計人員應當實施必要的審計程序，對風險評估過程進行審查與評價，并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時，內部審計人員應當充分了解風險評估的方法，并對管理層所采用的風險評估方法的適當性和有效性進行審查。

內部審計人員應當對管理層所采用的風險評估方法進行審查，并重點考慮以下因素：

（1）已識別的風險的特征；

（2）相關歷史數據的充分性與可靠性；

（3）管理層進行風險評估的技術能力；

（4）成本效益的考核與衡量等。

3審查風險評估方法應當遵循的原則

內部審計人員在評價風險評估方法的適當性和有效性時，應當遵循以下原則：

（1）定性方法的采用需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性；

（2）在風險難以量化、定量評價所需數據難以獲取時，一般應采用定性方法；

（3）定量方法一般情況下會比定性方法提供更為客觀的評估結果。

（四）風險應對措施適當性和有效性審查

內部審計人員應當實施適當的審計程序，對風險應對措施進行審查。

內部審計人員在評價風險應對措施的適當性和有效性時，應當考慮以下因素：

篇（5）

一、企業風險及風險管理的內涵

進行企業風險管理審計，必須明確企業風險及風險管理的內涵。否則，企業風險管理審計便無從談起。

1 企業風險的實質

2 企業風險的劃分

3 企業風險管理

從上述對風險管理的解釋可以看出，企業風險管理的最終目標是為企業目標的實現提供合理的保證。

二、企業風險管理審計的目標

對企業風險管理進行監督和評價是現代內部審計發展的結果，企業風險管理審計的目標取決于對企業內部審計的功能定位。

三、企業風險管理審計的內容

（一）風險管理機制的審查與評價

1 審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點，在全體員工參與合作和專業管理相結合的基礎上，建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整，并通過健全的制度來明確相互之間的責、權、利，使企業的風險管理體系成為一個有機整體。

2 審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序，以確保風險管理的有效性。

3 審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險，因此，風險管理的首要工作是建立風險預警系統，即通過對風險進行科學的預測分析，預計可能發生的風險，并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢，從對因素變化的動態中分析預測企業可能發生的風險，進行風險預警。

（二）風險識別的適當性及有效性審查

1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析，風險識別是關鍵性的第一步。

2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后，運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類，并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是：采取一定的方法分析風險因素、風險的性質以及潛在后果。

（三）風險評估方法的適當性及有效性審查

內部審計人員應當對管理層所采用的風險評估方法進行審查，并重點考慮以下因素：

（1）已識別的風險的特征；

（2）相關歷史數據的充分性與可靠性；

（3）管理層進行風險評估的技術能力；

（4）成本效益的考核與衡量等。

3 審查風險評估方法應當遵循的原則

內部審計人員在評價風險評估方法的適當性和有效性時，應當遵循以下原則：

（1）定性方法的采用需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性；

（2）在風險難以量化、定量評價所需數據難以獲取時，一般應采用定性方法；

（3）定量方法一般情況下會比定性方法提供更為客觀的評估結果。

（四）風險應對措施適當性和有效性審查

篇（6）

一、企業風險及風險管理的內涵

進行企業風險管理審計，必須明確企業風險及風險管理的內涵。否則，企業風險管理審計便無從談起。

1企業風險的實質

2企業風險的劃分

3企業風險管理

從上述對風險管理的解釋可以看出，企業風險管理的最終目標是為企業目標的實現提供合理的保證。

二、企業風險管理審計的目標

對企業風險管理進行監督和評價是現代內部審計發展的結果，企業風險管理審計的目標取決于對企業內部審計的功能定位。

三、企業風險管理審計的內容

（一）風險管理機制的審查與評價

2審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序，以確保風險管理的有效性。

（二）風險識別的適當性及有效性審查

1審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析，風險識別是關鍵性的第一步。

（三）風險評估方法的適當性及有效性審查

內部審計人員應當對管理層所采用的風險評估方法進行審查，并重點考慮以下因素：

（1）已識別的風險的特征；

（2）相關歷史數據的充分性與可靠性；

（3）管理層進行風險評估的技術能力；

（4）成本效益的考核與衡量等。

3審查風險評估方法應當遵循的原則

內部審計人員在評價風險評估方法的適當性和有效性時，應當遵循以下原則：

（1）定性方法的采用需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性；

（2）在風險難以量化、定量評價所需數據難以獲取時，一般應采用定性方法；

（3）定量方法一般情況下會比定性方法提供更為客觀的評估結果。

（四）風險應對措施適當性和有效性審查

內部審計人員應當實施適當的審計程序，對風險應對措施進行審查。

內部審計人員在評價風險應對措施的適當性和有效性時，應當考慮以下因素：

篇（7）

【關鍵詞】內部審計；風險管理；參與原因；運作過程

內部審計準則第16號具體準則——風險管理審計，明確了內部審計人員要對組織內部控制中的風險管理狀況進行審查與評價，表明風險管理已成為內部審計發展的重要方向。該項具體準則明確：風險管理是對影響組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。

一、內部審計參與企業風險管理的原因

(一)企業的集團化發展，要求內部審計參與風險管理

近年來，隨著全球經濟金融一體化程度的加深，企業面臨的經營環境日趨復雜，經營風險大大增加，內部審計必須對企業經營資源運動的合標性進行全程跟蹤審計，把減少企業面臨的風險作為企業實現目標的關鍵。內部審計目前已由外在介入型逐步發展為內在融入型，滲透到企業經營管理的各方面、經濟活動的各環節。它已成為強化管理的促進者、提高效能的推動者、風險前瞻的岸望者、價值增值的倡導者。因此，內部審計參與企業的風險管理也就成為企業發展必然的內在需求。

(二)內部審計的自身發展要求參與企業風險管理

1.內部審計的定義包含了風險管理內容

內部審計是采用一種系統化、規范化的方法，來對機構進行風險管理、控制和監督過程進行評價，進而提高它們的效率，幫助機構實現目標。從中不難看出，內部審計的范圍已延伸到風險管理，認為只有在風險管理框架中實施的內部審計才能稱之為風險管理審計，“評價和改善風險管理”成為了內部審計的重要工作領域，它拓展了內部審計的廣度和深度，是對內部審計的重新定位。

2.風險管理賦予了內部審計在企業中新的地位和作用

隨著內部審計定位和角色的不斷改變，內部審計已成為企業的診斷師，由于在經營中風險的必然存在性，使得任何企業都必須面對風險，并利用一切手段去避免、降低它所帶來的影響和后果。內部審計對風險管理的介入，將會使內部審計在企業中成為一個極其重要的角色，能夠站在第三者的角度去幫助企業更好地把握經營的方向，并將其在企業中的作用推向一個新水平。

3.內部審計與風險管理的目標是一致的

從風險管理的定義看，風險管理就是通過對面臨的各種風險的認識、估測、評價，準確把握各種不確定性，采取恰當的方法，用最低的成本獲得最高的安全保障，將損失降至最低水平。它的目標是直接服務于企業的經營目標的。

從內部審計的定義看，內部審計的目的是為企業增加價值并提高企業的運營效率。內部審計部門經過收集資料、識別并評價風險的過程之后，能夠對企業的運營提出富有價值的見解，從而被企業管理者采納，因此可以借此消除各種減值因素，包括風險因素、控制漏洞、治理缺陷等，還可以將這些有價值的信息應用于經營管理活動，從而達到企業增值的目的。由此可見，風險管理與內部審計在其目標上是相一致的。

(三)內部審計參與企業風險管理具有獨立性、綜合性和連續性的優勢

1.獨立性優勢

內部審計不參與企業具體的業務經營活動，因此不對各項業務管理中出現的問題承擔直接責任，其相對超脫的地位是保持審計獨立性的內在基礎。內部審計通過實施審計檢查程序發表的審計意見可以直達企業的管理高層，具有相對客觀的基礎。

2.綜合性優勢

內部審計在企業管理中是一個綜合性部門，其審計范圍覆蓋著企業經營的各個方面，掌握的信息是多方面的。企業的風險潛藏在各個方面，風險管理需要從全局角度對風險的影響大小、輕重緩急進行綜合評估，協調各方面風險管理的行動。內部審計具有從全局考慮分析判斷風險的綜合性優勢，對企業風險管理進行的系統性、專業性監督檢查和評價，權衡企業實施風險防范和效益成本的利弊，在風險與收益比較中研究風險管理的定位。

3.連續性優勢

內部審計部門及人員由于長期在企業內部工作，對企業所面臨的風險更為了解，對風險的各種影響因素更便于做深入的調查，對企業風險的轉化影響、風險管理措施效果等更便于進行連續的跟蹤，對風險管理進行循環的連續性監控，而且內部審計長期參與企業風險管理所掌握的風險管理信息和經驗，會對不斷深化企業風險管理和節約管理成本產生重要影響。內部審計人員作為企業員工，是最終利益的相關者，他們會對企業風險管理的效果和建立風險管理的長效機制更具有責任感。

二、內部審計參與企業風險管理的運作過程

(一)內部審計在企業風險管理中的定位

內部審計與風險管理是你中有我、我中有你、相互依存、聯動發展的緊密關系。企業在制訂風險管理方案時，應將內部審計作為風險管理的第一道防線，由內部審計對整個風險管理流程進行評估和監控，但內部審計在企業風險管理的建立與防范中，主要責任是對整個風險管理過程進行認定，并評價其充分性與有效性，向管理層報告并提出管理建議，以此來保證風險管理的有效性。因此，內部審計在企業風險管理框架中的首要角色是監督者;其次才是咨詢服務者，它承擔了咨詢者、協調者、建議者的角色。

當然，內部審計在企業風險管理中的角色是一個逐步變化的過程。在企業缺乏風險管理程序的情況下，內部審計可以向管理層提出建立企業風險管理的建議，即建議者;在企業實施風險管理的初期，內部審計能夠發揮很大的協調作用，此即協調者;而當企業風險管理逐步成熟、運作穩定以后，內部審計就轉化為監督者和咨詢者。

(二)內部審計在企業風險管理中的作用

1.能夠客觀地對企業整體風險管理進行檢查與評價

從風險的形成與影響后果等特性，不難看出風險在企業內部具有感染性、傳遞性、不對稱性等特征，如一個部門造成的風險或者疏于風險管理，可能會傳遞到其他部門，最終要由整個企業承擔。因此，有些部門可能會出現缺失道德風險，而這種風險不是由它們來承擔行為責任。又如，采購部門為節約采購成本，會忽視對材料規格、型號、質量方面的檢查，這種暗藏的風險會在生產車間或者銷售部門反映出來，最終給企業造成損失。因此，對風險的認識、防范和控制等需要從全局考慮。

內部審計由于不參與企業經營的具體業務活動，它是獨立于業務管理部門的，因而它可以從企業的全局出發、從客觀的角度對各種風險進行識別，將風險評估的意見直接報告給董事會或經營管理層，提高管理層對內部審計意見的重視程度，保證其他管理部門及時采取有效措施控制風險，從而達到企業的高效運營。

2.能夠以咨詢顧問身份協助管理層建立風險管理制度

內部審計在企業尚未建立風險管理的過程中，應積極向管理層提出建立風險管理過程的相關建議。如果企業尚未建立風險管理過程，內部審計人員應該提請管理層注意這種情況，并同時提出建立風險管理過程的相關建議。內部審計可以通過開展風險管理培訓培育企業風險管理文化，使風險意識貫穿于企業的各個層面;內部審計可以利用其專業優勢開發適合企業特點的自我評估工具，以提醒管理層注意到目標、風險、控制的關系，幫助管理層將生產經營與風險管理更好地結合;內部審計可以通過咨詢服務的方式協助企業建立風險管理系統。

3.能夠指導企業的風險管理策略，防止控制過度或不足的缺陷

內部審計是內部控制的再控制，企業根據目標和所能承受的風險，制定內部控制制度，內部審計人員對現代內部控制的評估焦點在于強調風險并評估具體的風險管理活動。控制過度容易導致效率不高，控制不足容易導致舞弊行為的產生。內部審計部門處于企業的董事會、總經理和各職能部門之間的位置，內部審計人員能夠充當企業長期風險策略與各種決策的協調人，并通過對長期計劃與短期實現的調節，指導企業的風險管理策略。

4.能夠發揮反饋作用，對企業的風險管理產生預警作用

由于風險是面向未來的，是直接與企業的戰略及經營目標相關聯的，因此以風險為出發點和核心的內部審計，能夠以事后的反饋延伸到事前以及事中，從而達到更高效率的控制。內部審計的咨詢職能充分體現了內部審計的能動性及增值目標，并且將事后的反饋擴展到內部控制建立前以及實施時的協助與促進，幫助管理層對風險管理進行持續改進與完善，產生預警功能，從而達到內部審計在企業管理控制系統中的反饋作用。

(三)內部審計參與企業風險管理的方式方法

1.轉變觀念，將風險管理作為內部審計的重要工作

內部審計應由過去的控制導向審計向現代風險導向審計過渡，由被動地承受審計風險，到主動地控制審計風險，將工作程序轉向“確定目標、評估風險、管理風險”。內部審計部門要把參與風險管理寫入內部審計工作制度，明確內部審計人員應當關心企業所面臨的風險，根據風險評估思路開展對內部控制的評估，使審計報告將目前的控制與策略計劃和風險評估連接進來，有效地管理企業風險。

2.要把企業風險管理融入日常審計項目中

企業風險存在于企業經營管理的各個方面，在一次審計中對企業面臨的各種風險進行全面的檢查和評價是不可能的，因此內部審計須在每一次的日常審計項目中，增強風險意識，引入風險審計的觀念和方法，充分揭示和評價企業特定審計范圍內存在的風險，使企業管理者對此風險給予重視并采取措施化解和控制。比如，內部審計部門開展的經濟責任審計，企業經營負責人在任期內發生的重大投資、債務重組、重點工程建設等活動會對今后產生重大影響，任期內發生的經濟糾紛或重要的管理缺陷也不一定會在其任期內體現，對此，內部審計就應作出必要的風險評價，一方面劃清前后任的經濟責任，一方面幫助企業采取必要的措施防患于未然。

3.要對企業的風險管理機制進行監督檢查

當一個企業建立了風險管理機制，其規章制度是否得到有效執行，是需要進行監督檢查的。內部審計就是對風險管理的再監督或再管理，是其參與風險管理的一種重要形式。內部審計可以實施各種專項檢查，監督檢查企業相關風險管理的各個風險控制點，評價預防風險的各項工作是否到位、評價降低風險的有關措施是否有效、評價風險的變化程度等等，從而對進一步改進風險管理提出意見。內部審計還可以對已經顯現甚至出現損失的風險進行檢查分析，發現和反映企業風險管理中的缺陷，如風險管理責任不清、部門間協調不足、風險防范資源不足等。

4.要加強對內部審計人員的督導

為提高審計工作質量，內部審計機構負責人需根據審計工作的具體情況建立內部審計督導制度，對審計人員的工作進行指導、監督和復核，明確各級人員的責任，同時必須強調督導是貫穿于審計項目的全過程的，它包括對審計方案的制訂及修訂、審計程序的實施、審計工作底稿的編制、審計證據的收集、審計報告的撰寫等。內部審計機構負責人應采取必要的措施，盡可能減少內部審計人員在風險管理工作中的主觀判斷行為，在督導工作中要遵循重要性、謹慎性和客觀性原則。

篇（8）

一、COSO背景

COSO委員會是由美國注冊會計師協會( AICPA )、美國會計學會( AAA )、財務經理人協會( FEI )、內部審計師協會( IIA )和管理會計師協會( IMA )共同發起并出資組成的民間組織。該組織的宗旨在于通過商業倫理、有效的內部控制和公司治理提高財務報告質量。COSO的研究成果在美國以及全球會計、審計和證券界產生了深遠影響，其中的一些概念和原理被寫入了教科書，成為研究人員經常引用的經典；而且，隨同報告的實務指南也為單位組織建立內部管理架構提供了十分有益的幫助，成為評價單位組織內部控制的標準。（柳木華 . 2006）。迄今為止，COSO委員會共了五部研究報告。

1987年，COSO了《反欺詐性財務報告全國委員會報告》，報告對財務欺詐的研究和分析沒有簡單地局限于獨立審計師的查錯作用，而是密切關注企業法律、金融和其他咨詢顧問在財務欺詐中的角色，分析了企業經理班子價值觀念和會計、內審與審計委員會的作用，觸及了政府管制(包括SEC)和大學會計課程設置是否充分有效等問題。報告分別向公眾公司、注冊會計師、SEC以及其他法律部門、教育部門等提出了約100條建議。1996年，COSO發表了《金融衍生工具使用中的內部控制問題》，該報告模型認為，“風險管理過程需要理解實體的目標和經營活動，識別市場風險和測度承擔的風險，然后決定是否使用衍生產品將風險降低到可以承受的水平。只要簡單的忽略與衍生產品有關的部分并代之以其他合適的降低風險行為，這個過程就具有普遍性”。報告為衍生工具用戶建立、評估和改善內部控制，提供了指導性建議。1999年，COSO利用1987-1997年欺詐性財務報告公司樣本，在歸納其公司特征、控制環境特征、欺詐特征的基礎上，了《欺詐性財務報告-1987至1997：美國公眾公司分析》。報告探討了三個欺詐高發行業――信息技術、保健和金融服務業的欺詐特點，發現三個行業的欺詐手段存在顯著差異，如信息技術業最常見的欺詐手段是收入欺詐，而金融服務業最常見的手段是資產欺詐和資產盜用，并且研究了財務報告欺詐與公司治理之間的關系，發現欺詐樣本公司與其所在行業標準相比，具有相當弱的公司治理機制。20 世紀在經歷了70年代一連串財務失敗和可疑的商業行為相繼爆發后，國際社會又出現了更聳人聽聞的以金融機構破產為代表的財務失敗事件，給納稅人最終帶來超過1 500億美元的成本。為能有效遏制這種愈演愈烈的會計舞弊活動，1992年，COSO在進行了深入研究之后了一份關于內部控制的綱領性文件，即《內部控制――整體框架》，它標志著內部控制理論與實踐進入了整體框架的階段。報告提出了內部控制的五個重要組成要素：控制環境、風險評估、控制活動、信息及溝通與監督，深化了內部控制的理念和應用。COSO報告一經便得到了業界的認可與采納，并在世界范圍內產生了廣泛影響。2001年以來，以安然、世通等為代表的一些美國大公司，因財務信息造假等行為而相繼倒閉破產，震撼了美國的資本市場，引起了世界的極大反響。在國際社會對改善公司治理與加強風險管理的呼聲日益高漲的背景下，2004年9月，COSO委員會結合《薩班斯一奧克斯利法案》的相關要求，頒布了一個概念全新的報告：《企業風險管理――整體框架》（ERM）。框架的出臺順應了各方需求，與1992年的《內部控制――整體框架》相比，在內部控制的內涵、目標、要素以及內部控制責任承擔等層面有了全新的突破，對企業風險管理做出了更為詳盡的闡述。ERM并沒有取代《內部控制――整體框架》，而是基于并將其融入其中，全面推進了內部控制標準的發展。

二、COSO企業風險管理整體框架概要

COSO為企業風險管理確立了一個可普遍接受的概念，為各組織識別風險和實施風險管理提供了理論基礎。ERM框架認為：“企業風險管理是一個過程，是由企業的董事會、經理層和其他員工共同參與，應用于企業戰略制定和企業內部各個層次和部門的、貫穿整個企業，旨在識別影響組織的潛在事件，為組織目標的實現提供合理的保證”。企業風險管理是由人參與的過程而并非結果，企業必須將風險管理融入在日常的經營管理之中，并涉及企業的每個員工。風險管理能夠識別對企業造成影響的潛在風險，能在一定程度上幫助企業實現合理的既定目標。

企業風險管理包含八個相互關聯的要素：

（一）內部環境

內部環境是其他風險管理要素的基礎，它由《內部控制――整體框架》要素中的“控制環境”演變而來，但包含了更為豐富的內容，如風險文化和風險偏好、管理哲學和經營風險、權力和責任分配、實踐操守和價值觀等。

（二）目標設定

ERM框架認為，企業的管理層在評估風險之前必須確立目標，并針對不同的目標分析相應的風險，這樣管理當局才能識別影響目標實現的潛在事項。企業的目標可以分成四類：1.戰略目標。與企業的使命相一致，是較高層次的目標；2.經營目標。與企業經營的效果與效率相關，旨在使企業能夠有效地使用資源；3.報告目標。企業組織報告的可靠性，分為對內報告和對外報告，涉及財務和非財務信息；4.遵循目標。即企業經營是否遵循相關的法律法規。

（三）事件識別

指識別影響事件的內外部因素。潛在的事項，對企業可能有正面影響，也可能有負面影響。識別風險旨在于抓住機遇，或者在風險評估和應對階段彌補風險對企業的影響。

（四）風險評估

是決定如何管理風險的基礎，風險得到識別后，就需要對風險進行分析評估，這樣，管理層就能根據被識別風險的重要程度來進行規劃和組織，使通過風險管理這個過程識別和分析風險，并采取減弱風險影響的行動來管理風險。風險評估可根據不同的風險目標確定相應的風險評估方法，主要為定量分析和定性分析相結合的方法。

（五）風險對策

是在評估了相關的風險之后，所做出的應對、控制、轉移、補償風險的各種策略和措施。通常將風險對策分為規避風險、減少風險、共擔風險和接受風險等四類。企業應在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事件發生的可能性和事項對企業的影響，并設計和執行風險應對方案。COSO認為，有效的風險管理是管理者的選擇能使企業風險發生的可能性和影響都落在風險的容忍度內。

（六）控制活動

是有助于保證風險應對方案得到執行的相關政策和程序。管理當局應對企業所有系統進行控制，包括對信息系統的控制，通常控制活動和風險評估過程是聯系在一起的。

（七）信息與溝通

信息是溝通的基礎，溝通必須滿足不同團體和個人的期望。企業內部和外部的信息必須以一定的方式進行確認和傳遞，以保證員工各自職責的執行和企業風險管理的有效運行。

（八）監督

COSO將監督作為評估企業風險管理質量過程的一個部分，即評估風險管理要素的內容和運行，以及評價某一時期執行質量的一個過程。該過程包括持續監督、個別評估或者兩者的結合。

企業風險管理的八個要素是一個有機整體。風險管理不只是一個直線的過程，而是一個多元化的相互作用的過程。各要素之間的關系是：內部環境是企業風險管理的基礎，為企業風險管理所有其他要素的運行提供了平臺和組織結構；企業目標的制定，是風險管理的起點，是其他步驟的軀動力量；在企業目標已定的前提下，企業需要對影響目標的風險進行事件識別，進而對識別事件進行風險評估，風險評估馭動風險反應，影響控制活動；信息與溝通和監督貫穿于企業風險管理的全過程，并且可對其他各個組成要素進行修正（吳永澎 . 2006）。

三、COSO企業風險管理框架對內部控制標準的發展

（一）豐富了內部控制的內涵

COSO在《內部控制――整體框架》中將內部控制定義為一個受董事會、經理層和其他人員影響的過程，提出內部控制是為了實現三個目標，即：經營的效果和效率、財務報告的可靠性、法律法規的遵循性。該定義明確了以下要點：內部控制是一個過程；內部控制是一個受人影響的過程；內部控制為了實現三個目標；內部控制過程的設計是為了提供實現內部控制目標的合理保證。這個定義比較寬泛，從某些角度來說，也存在一些片面性。而新的ERM框架則更加明確了對風險管理和保護資產概念的運用，并將糾正錯誤的管理行為明確地列為控制活動之一。ERM框架在原《內部控制――整體框架》所明確的要點基礎上，進一步明確了以下內容：即，內部控制應用于戰略制定；內部控制貫穿整個企業的所有層級和單位；內部控制旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險。由于ERM框架提出了風險偏好、風險容忍度等概念，使得ERM的定義更加明確、具體，同時又涵蓋了內部控制所有合理的內容。

（二）發展了內部控制的目標

針對《內部控制――整體框架》對企業戰略管理方面關注不夠的缺陷，ERM在目標中增加了一個新的目標――“戰略目標”。使企業在追求短期利益的同時，從戰略高度關注企業的長遠目標和可持續發展。該目標的層次比其他三個目標更高。風險管理既應用于實現企業其他三類目標的過程中，也應用于企業的戰略制定階段。特定的戰略目標雖然可以通過不同的戰略來實現，然而不同的戰略目標會給企業帶來不同的風險。戰略制定和風險偏好存在直接關系，在考慮達到戰略目標的具體目標時，管理當局要鑒別與戰略選擇相關的風險，并且要考慮對這些風險的應對措施的運用（吳永澎. 2006）。此外，ERM整體框架還將“財務報告的可靠性”發展為“報告的可靠性”。原COSO報告將財務報告的可靠性界定為“編制可靠的公開財務報表，包括中期和簡要財務報表，以及從這些財務報表中摘出的數據，如利潤分配數據”。新報告則將報告拓展到“內部的和外部的”、“財務的和非財務的報告”，該目標涵蓋了企業的所有報告。

（三）拓展了內部控制的要素

COSO在《內部控制――整體框架》中提出了五個要素：即控制環境、風險評估、控制活動、信息和溝通、監督。ERM框架對這五個要素進行了深化和拓展，將其演變為八個要素。引入了風險偏好、風險容忍度和風險文化等概念，將原有的“控制環境”擴展為“內部環境”。這一修改使企業關注的范圍不再局限于控制方面，而是從更寬闊的視野，以及更綜合、更直接的角度考慮各種因素對風險的影響。并且將原有的“風險評估”要素發展為“事件識別”、“風險評估”和“風險反應”。這不只是對原“風險評估”進行的簡單細化，而是意味著企業風險意識的增強和主動地管理風險。也就是企業風險管理綜合框架強調應對所有事件，包括正面事件和負面事件進行綜合識別，并且應將其以適當的組合方式加以看侍，并通過對固有風險和剩余風險的綜合評價做出適當的風險應對措施，以減少經營偏差的發生及相關成本和損失，有利于企業抓住機會，及時調整策略，避免資源浪費，實現經營獲利目標。

（四）明確了內部控制的責任關系

ERM框架認為，組織的每個成員都應對企業風險管理承擔責任，并進一步劃分了責任主體的等級：董事會在風險管理中扮演更加重要的角色――負總體責任，并被要求變得更加謹慎。企業風險管理的成功與否主要依賴于董事會，因為董事會需要批準組織的風險偏好；在企業風險管理中，CEO負有首要責任，并應對所有權負責，其他經理人員則起支持作用；風險部門管理者，財務部門管理者和內部審計人員等負有關鍵性責任；其他的企業人員負有按確定的指示和協議執行企業風險管理的責任。另外，企業外部利益相關者如客戶、賣主、商業伙伴、外部審計師、監督者和財務分析師經常提供影響企業風險管理的有用信息。雖然他們并不為企業風險管理負責，但卻是企業實施風險管理必須考慮的因素。

（五）創新了內部控制的風險觀念

ERM 框架指出，企業風險管理的基本假設是，每一主體存在的目的是為其所有者創造價值。所有主體都面臨不確定性，管理層的挑戰就是確定在其為所有者創造價值的過程中，須在多大程度上接受不確定性。ERM把事件區分為風險和機會，事件可能有消極的影響、積極的影響或兩者兼有。消極影響事件意味著風險，它妨礙價值創造或削弱現存價值；積極影響事件可以抵銷消極影響或意味著機會。機會是一種可能性，即事件將會發生并積極影響目標實現、支持價值創造或價值保持。一個組織必須識別影響其目標實現的內、外部事件，區分哪些是風險、哪些是機會。管理當局要密切注意各層級的風險，并采取積極的管理措施。內部控制的目的不應是消極控制或防范風險，而是要主動管理風險。風險管理能使管理層有效地處理不確定性及與之相關的風險和機會，增進創造價值的能力，并在追求主體目標的過程中有效地配置資源，實現價值最大化。

【參考文獻】

[1] 賈國軍，李陽，楊秀玲. “從美國COSO報告的發展,看我國內部控制體系的完善”. 財會研究，2006.11.

[2] 宋怡萱，張翩. “COSO企業風險管理整體框架解析”.財會通訊，2006.3.

[3] 陳秧秧. “COSO《企業風險管理綜合框架》簡介”. 財會通訊，2005.2.

篇（9）

國資委《中央企業全面風險管理指引》中提到的風險是指“未來的不確定性對企業實現其經營目標影響”。它突出了以下幾個方面的特性：風險具有未來性；風險具有不確定性。風險是未來失誤發生的不確定性。不確定性是是客觀的，不以人的意志為轉移，不能控制，但是卻是可預測的，并且這種不確定性又與概率相關，并且有時也可能形成有利結果；企業風險與企業經營目標緊密相關性。企業經營目標與企業風險成正比例。風險對實現企業的經營目標有好處，也可能有壞處，具有雙面性；企業風險又具有機會和威脅的統一性。企業風險是中性的，既包含威脅，也包含機會。也可以講它具有“損益性”，既可帶來損失，也可獲得利益。

二、企業全面風險管理的內涵

全面風險管理是將企業生產經濟中可能發生的各種風險因素控制在自身可以接受范圍內。企業全面風險管理內涵：全面風險管理是一個過程，它持續地作用于企業，滲透于企業整個經營管理活動中；全面風險管理由企業中各個層級的人員共同完成，需要企業各個層級的員工從企業經營目標的角度認識風險，在企業總體風險管理解決方案的部署下，履行自己的職責和權限來開展風險管理行動；全面風險管理應用企業戰略決策，在制定時管理層應考慮與不同戰略方案相關的風險；全面風險管理貫穿整個企業，應用于企業總部、職能部門事業部、分（子）企業等各級機構；全面風險管理的目的在于識別企業的潛在風險，并把風險控制在企業可以接受范圍內。

三、全面風險管理的內容

全面風險管理主要內容包括以下幾項：影響經營目標實現的因素及事項都是全面風險管理的內容，企業應采取具體措施并實施有效的防范舉措，規避風險；全面風險管理內容貫穿于生產經營的全過程。全面風險管理的基本流程要貫穿于生產經營的全過程，確保企業經營總目標的實現；積極培育企業良好的風險管理文化；提升企業風險管理的管控能力。具體包括：協調風險容量與戰略、增進風險管理的應對策略、抑減經營意外和損失、識別與管控企業的各級風險、提升企業的整體應對能力、改善企業資源配置，充分利用資本。

四、全面風險管理的目標

企業風險管理總體目標是為企業實現其經營目標提供合理的保證，也是為了保證企業經營目標的實現，將企業目標面臨的重大風險得到有效管控，企業系統地辨識、衡量、排序并管控各級風險。確保將企業風險控制在與企業總體目標相適應并可承受的范圍內；確保有關法律法規在企業貫徹執行；提高企業經營活動的效率和效果；確保風險防范及危機處理機制，保護企業免遭重大損失；形成良好的風險管理文化，強化企業全體員工的風險管理意識。

五、企業內部控制與全面風險管理關系

企業的內部控制針對企業經營管理中的程序性風險，通過對控制點的設置，實現經營管理的管控，確保企業重大風險準確評估和有效防范。全面風險管理是內部控制體系的延伸，通過實施風險防控，監控預警，實現對企業重大風險進行有效的防范，從而提升企業內部控制水平。全面風險管理開展的好壞決定于企業董事會，需要企業管理層的全力配合。全面風險管理幫助企業形成準確的戰略決策。全面風險管理在企業管理的各環節中實現，而不僅僅是為了合規的要求，主要在于創效。

六、企業風險管理的具體實踐經驗。

全面風險管理是一項需要全員參與的工作，為確保全面風險管理工作順利推進，企業首先完善了覆蓋所有部門的風險管理工作組織體系，確定并完善了基層單位的風險信息員網絡，設置了專（兼）職風險管理工作的崗位人員，明確了風險管理工作的崗位職能和責任、業務范圍、工作流程、管理策略和應對的制定、監督和改進措施。

其次是企業于每年年初組織各部門參照往年風險事件，通過交流研討完成了對本年度風險事件的采集，企業對風險事件進行辨識評估，最終確定企業本年度風險事件庫。

篇（10）

受美國2002年出臺的薩班斯――奧克斯利法案（以下簡稱SOX法案）的影響，我國所有赴美上市及計劃赴美上市的企業必須按照美國監管機構的要求，完善內部控制體系、完成內控評估報告。同時，隨著經濟全球化的深入，企業遭受產品市場、要素市場和金融市場的價格沖擊越來越大，各類風險產生的擴張效應和聯動效應越來越嚴重。因此，內部控制和風險管理成為現代企業重點關注的課題。

本文將在回顧內部控制和風險管理理論發展的基礎上，探討二者之間的關系，并結合寶鋼在內控體系建設和風險管理方面的最佳實踐，提出整合的風險管理框架設想，以期對我國企業的內控體系和風險管理體系建設提供借鑒。

一、內部控制、風險管理的理論發展及其關系

（一）內部控制理論的發展

20世紀70年代中期的“水門事件”引起了美國立法者和監管團體對內部控制問題的重視。美國國會于1977年通過的《反國外腐敗法》是美國在公司內部控制方面的第一個法案。1980年后，美國COSO委員會將“內部控制”定義為“一個組織設計并實施的一個程序，以便為達到該組織的經營目標提供合理保障”。在COSO委員會制定的內部控制框架中，把內部控制活動分成五大組成部分，即：控制環境、風險評估、控制活動、信息與交流和監督評審。

2002年，美國成立的上市公司會計監管委員會（簡稱PCAOB）明確采用了COSO內控框架作為內控評價的標準體系。許多國家和地區的資本市場也采用了COSO內控框架，有些國家和地區在參照該框架的基礎上建立了自己的內控體系。

我國在2005年先后出臺了《上交所上市公司內部控制指引》和《深交所上市公司內部控制指引》兩個文件。上述兩個文件參照了美國SOX法案的要求，在理論體系上和COSO內控框架一脈相承。

（二）風險管理理論的發展

企業風險管理理論發展大致分為三個階段。第一階段：以“安全和保險”為特征的風險管理。100多年前航運企業風險管理的主要措施就是通過保險把風險轉移給保險公司。第二階段：以“內部控制和控制純粹風險”為特征的風險管理。隨著工業革命的發展，公司對業務管理和流程方面的內部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內部會計控制；1992年的《COSO內部控制綜合框架》提出以財務管理為主線的內部控制系統。第三階段：以“風險管理戰略與企業總體發展戰略緊密結合”為特征的全面風險管理。風險管理實踐表明，僅靠內部控制難以實現企業的最終目標。為此，COSO于2004年9月出臺了《COSO企業全面風險管理整合框架》（簡稱ERM），提出了由三個維度構成的風險管理整合框架。

我國國務院國資委于2006年《中央企業全面風險管理指引》（以下簡稱《指引》），標志著我國中央企業建立全面風險管理體系工作的啟動。

（三）內控體系建設與全面風險管理工作的聯系和作用

全面風險管理與內部控制既相互聯系又存在差異。企業的內部控制體系是企業全面風險管理體系中重要的組成部分之一，而內控體系建設的動力則來自企業對風險的認識和管理。良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益，而這正是全面風險管理應該達到的基本狀態。此外，內控體系建設與全面風險管理工作的開展之間具有緊密的聯動作用，具體體現在以下兩個層面：

1.在理論框架層面，完整的內控體系包括依據COSO內控整體框架開展內部控制的評審體系以及內控自我評估體系；而目前國內外較為認可的企業風險管理理論框架是COSO企業風險管理整體框架。這兩個框架在理論基礎上具有繼承性和發展性。

2.在推進工作的步驟層面，從國內大型國有企業集團開展內部控制和風險管理的推進步驟來看，以內控先行、再逐步開展全面風險管理的做法是符合我國國情的。通過內控體系建設，在組織架構的完善、人員經驗的積累、內控流程的記錄等方面做好準備，可為公司未來開展全面風險管理打下較為完善的基礎。

至于差異，從二者的框架結構看，全面風險管理除包括內部控制的三個目標之外，還增加了戰略目標；全面風險管理的八個要素除了包括內部控制的全部五個要素之外，還增加了目標設定、事件識別和風險對策三個要素。從二者的實質內容看，內部控制僅是管理的一項職能，而全面風險管理貫穿于管理過程的各個方面。內部控制主要通過防范性的視角去降低企業內部可控的各種風險，側重于財務和運營；而全面風險管理強調通過前瞻性的視角去積極應對企業內外各種可控和不可控的風險，側重于戰略、市場、法律等領域。

二、寶鋼在內控體系建設領域的實踐

寶鋼股份是寶鋼集團的核心子公司。公司從2005年增資擴股后就著重于梳理內部流程，推廣管理標準。2007年3月，由公司總經理擔任組長的內控評審項目開始啟動。

內控項目工作范圍包括寶鋼股份總部以及下屬分子公司，資產規模和銷售收入合計占整個寶鋼股份合并報表范圍的80%以上。評審涉及寶鋼股份12大業務流程，梳理了各類大小流程300多個。在對12大流程風險控制點辨識的基礎上，逐步建立寶鋼股份上市公司內部控制體系，編制公司流程內控手冊，形成公司全面的內控改進點報告，建立公司層面基本內控體系。并在前期工作的基礎上，開展內控體系的自我評估工作，形成公司內控自我評估報告。

在項目實施過程中，公司組織了多場內控培訓會，形成了全員內控的企業文化。同時，公司對發現的內控薄弱點狠抓落實整改，并對各單位的問題匯總報告進行整理；評審項目組還組織各單位把相關流程發現的內控薄弱點和自身的業務進行對比分析，就同類問題開展自查自糾，以形成輻射效應。此外，寶鋼股份還將內控評審項目和常規審計工作相結合，在內部審計工作中跟蹤檢查問題的整改情況。

三、寶鋼在風險管理領域的實踐

寶鋼從2007年開始全力推進全面風險管理體系建設，這既是資本市場的要求，也是寶鋼自身發展的需要。寶鋼集團有限公司董事會確定的全面風險管理的總體目標是：圍繞寶鋼的戰略目標，在企業管理的各個環節和經營過程中執行風險管理流程，培育良好的風險管理文化，使風險管理機制成為寶鋼經營管理各個環節的有機組成部分。公司具體實施情況包括以下幾個方面：

（一）以法人治理為基礎，建設風險管理的組織體系

完善的法人治理是風險管理重要的內部環境，也是風險管理體系建設的起點和保障，而董事會建設則是法人治理的核心。寶鋼作為國資委所屬中央企業中首批董事會試點企業，在完善董事會試點的過程中優化董事會成員結構，建立外部董事制度，不斷完善董事會運作機制，初步形成了出資人、決策機構、監督機構和經營層之間各負其責、協調運轉、有效制衡的治理機制。

同時，寶鋼按照國資委《指引》的要求，構建了業務部門、風險管理部門和內部審計機構三道防線。第一道防線建設：總部各職能部門和各子公司作為風險管理的第一道防線，是所管業務風險的責任者，公司明確了其各自相應的職責。第二道防線建設：總部層面成立由分管副總經理擔任組長的“全面風險管理體系建設領導小組”，由系統運行改善部作為風險管理的綜合管理部門，對全面風險管理的日常工作進行協調和推進。第三道防線建設：審計部負責對風險管理體系的建設情況及工作效果進行客觀、獨立的監督評價。對各單位內部控制的合理性、完整性、有效性、可靠性作出評價，及時發現流程中存在的問題，提出內控完善的建議。

（二）與管控模式相結合，制定風險管理策略和流程

寶鋼采取的是“戰略控制型”的管控模式，即總部通過對策略性、全局性業務進行管控來確保戰略意圖的實現，對于具體執行性業務則授權給各子公司來執行，以確保整體運作效率和響應速度。

因此，寶鋼的風險管理體系分集團公司和各子公司兩個層面推進。集團公司以兼并重組、子公司管控和輔業改制等重大決策、重要業務和流程的風險管理為重點，通過推進風險管理文化建設、推動內控系統優化，確定重大風險的應對策略、完善重大風險預警和報告機制、強化風險管理的檢查監督機制等措施，建立并不斷完善風險管理體系。各子公司則結合自身產業特征，從防范運營風險的角度出發，重點推進四項工作：1.建立風險管理的組織體系和工作機制；2.對重大風險進行識別和評估，形成重大風險清單，確定風險管理的重點領域；3.針對重大風險涉及的重要業務流程和重大事件，評估、完善內控體系，并落實為工作規范，制定管理制度，形成內控手冊；4.針對可能發生重大突發事件的業務領域，建立預警機制，制定應急預案。

（三）建立了財務預警指標體系，使得財務風險以及可能造成的損失可以通過財務指標的計算和分析得到量化和預警

在應急預案方面，在總部和子公司層面編制了一系列應急預案，提高寶鋼處置突發事件、保障公共安全的能力，最大程度地預防和減少突發事件及其造成的損害。

四、整合的風險管理框架設想

通過長期的工作實踐和思考分析，筆者認為：企業的風險管理工作需要和企業管理的多方面相結合，構建整合的企業風險管理系統。這不僅要考慮和內控體系的融合，還必須與企業公司治理、戰略管理等系統相整合。企業風險管理整合系統如圖1所示：

（一）風險管理系統應與公司治理系統進行整合

風險管理功能與公司治理功能相耦合和良性互動是風險管理系統與公司治理系統整合的目標。美國內部審計師協會（IIA）指出，企業風險管理的本質是“通過管理影響企業目標實現的不確定性來創造、保護和增強股東價值”。而公司治理則是董事會為了維護公司利害相關者的利益而對管理層提供指導、授權和監督的過程。整合風險管理與公司治理就是在公司治理框架中加入風險管理的角色。在這種拓展的公司治理框架中，高管和風險主管應當直接承擔風險管理的責任，董事會則應積極參與增值型的風險管理活動，如在風險管理的過程中對管理層進行指導、授權和監督等活動。

（二）風險管理系統應與公司戰略管理系統相整合

風險管理功能與公司戰略管理功能相耦合，主要體現在圖2所示的戰略管理全過程中：

將戰略管理系統與風險管理系統相整合，有利于以較低的成本順利實現企業的戰略目標。公司治理確定企業風險管理的范圍和邊界，并為風險管理提供政策；而戰略管理則為風險管理提供資源與支持。公司實施不同的戰略，會引起不同的風險，也應采取不同的風險應對措施。因此，不同的戰略模式將會導致在不同的領域配置風險管理的資源。

企業戰略管理的最終目標是為了實現企業價值的持續增長，企業價值創造路徑應圍繞“股東價值客戶價值業務流程核心資源”這一路徑展開，該路徑表明企業長期股東價值的增長來自于客戶價值的增長。企業要獲得長期穩定的客戶價值，必須具有高效、快捷和質量可靠的業務流程，這些業務流程的價值創造能力又依賴于企業核心資源的研究與開發。這也是企業價值鏈的形成路徑，企業風險管理也應遵循這一路徑而展開。

總之，整合的風險管理框架應該是由公司治理層面確定風險管理的政策；由高管確定風險管理的偏好；由戰略管理層確定風險管理流程、文件和模型；在應用和基礎設施層面配備相應自動控制裝置，以促進事件的自動處理和報告的自動生成，并使用分析工具對這些事件及其組合與公司政策的相關性進行分析，為決策者提供風險應對的信息。

【主要參考文獻】

［1］張諫忠，吳軼倫.內部控制自我評價在寶鋼的運用［J］.會計研究，2005，（2）.

［2］吳軼倫.內部控制自我評價［J］. 上海財經大學學報，2004,（4）.

［3］吳軼倫.內部審計職能的發展與風險管理模式的建設［J］. 冶金財會，2006,（3）.

［4］方紅星.內部控制審計組織效率［J］.會計研究，2002,（7）.

［5］課題研究組.內部會計控制規范操作實務［M］.中國商業出版社，2001.

［6］閻達五，宋建.雙元控制主體構架下現代企業會計控制的新思考［J］.會計研究，2000,（3）.

［7］朱榮恩、賀欣.內部控制框架的新發展――企業風險管理框架［J］.審計研究， 2003，（6）.

［8］金或日方 ,李若山,徐明磊. COSO報告下的內部控制新發展［J］.會計研究，2005，（2）.

［9］嚴暉.風險導向內部審計整合框架研究［M］.中國財政經濟出版社，2004.

［10］宋夏云.現代風險導向審計模式的背景分析與理論創新［J］.中國審計，2005.

［11］胡春元.審計風險研究［M］.東北財經大學出版社， 1997.

［12］吳軼倫.內部審計的風險管理模式［J］.上海審計，2006,（1）.

［13］鄭石橋等.現代企業內部控制系統［M］.立信會計出版社，2000.

［14］張國康等.內部控制制度［M］.立信會計出版社，2003.

［15］課題組.現代企業內控制度：概念界定與設計思路［J］.會計研究，2001,（11）.

［16］ Arthur A. Thompson.Jr and A.J.Strickland Ш，段盛華等譯，戰略管理.中國財政經濟出版社，2005.

［17］ Robert S. Kaplan and David P. Norton,劉俊勇等譯.戰略地圖.廣東經濟出版社，2005.

［18］ Larry F. Konrath, Auditing: A risk analysis approach, 5th edition, South-Western.

上一篇: 有趣的課外閱讀下一篇: 跨境電商企業稅收籌劃