新世纪伊始，在以保护投资者利益为中心的会计改革和与此相关的内部控制的发展方面，其广度和深度就令世人所瞩目、震撼了全世界。其中最突出的表现是相互联系着的萨班斯法案和COSO风险管理综合框架两个制度的通过和公布。本文的宗旨是通过对上述两个制度的简介和述评，既能使我们了解到国际上有关内部控制与风险管理的最新进展，又能从中提出我国企业风险管理的政策建议，进而完善现代企业制度。

　　一、 萨班斯法案与内部控制强制性的披露
　　从2001年的12月起，以安然、世通等公司为代表的一些美国大型公司，因财务信息造假等行为而相继倒闭破产，震撼了美国的资本市场，彻底击破了美国号称是最完善资本市场的神话，也引起了世界的极大反响,人们在问:美国怎么啦？为了恢复投资者对证券市场的信心和进一步规范资本市场的运行，从而保证经济健康和持续的发展，美国的国会和政府痛定思痛，以前所未有的速度，于2002年7月25日通过了《2002年萨班斯——奥克斯利法案》(以下简称之《法案》)。该《法案》中的最大举措是设立公众公司会计监督委员会，故又称之为“公众公司会计改革与投资者保护法案”。法案的第一句话是：“遵守证券法律以提高公司披露的准确性和可靠准，从而保护投资者及其他目的。”布什总统认为，该法案是自罗斯福总统以来美国商业界影响最为深远的改革法案。
　　该法案在结构上共分为11章。第1至第6章主要涉及对会计职业及公司行为的监管，包括的主要内容有：1、建立一个独立的“公众公司会计监督委员会”，对上市公司审计进行监管；2、通过合伙人强制轮换制度等来提高审计的独立性；3、对公司高管人员的行为进行限定以及改善公司治理结构等措施，以增进公司报告的责任；4、加强公司财务报告的披露；5、通过增加拨款和雇员等来提高SEC的执法能力等等。而余下的第8至第11章，则主要是提高了对公司高管及白领犯罪的刑事责任。比如，为强化公司高管层对财务报告的责任，要求公司的高管必须对财务报告的真实性进行宣誓，并就提供不实财务报告设定了10年或20年的刑事责任。
　　在该法案中，要求最严、执行成本最高的条款，是其中的404条款。404条款要求首席执行官和首席财务官，对上市公司的财务呈报内部控制的有效性进行评估并报告。这一报告包含在公司按年度递交给证券交易委员会的年报中。也就是在今后上市公司年报中，还必须包括有关财务呈报内部控制的三个内容：第一，管理当局对企业财务呈报内部控制的年度报告。该报告的内容又有：关于管理当局建立和维护适合企业财务呈报内部控制的责任报告；管理当局用于评价企业财务呈报内部控制有效性的方法框架的报告；管理当局对到最近财务年末为止的财务呈报内部控制的有效性进行评价；还要有一个声明，即会计事务所(包含对公司年报中的财务报表进行审计的机构)已经对管理当局的财务呈报内部控制有效性评价意见签发签证的报告，等等。第二，会计师事务所的审计报告，包含提供审计人员对管理当局财务呈报内部控制评价意见的审计报告。第三，财务呈报内部控制的变动，即对于任何重大地影响、或可以合理预期将会重大地影响企业财务呈报内部控制的任何变动，都应予披露。
　　同时，为了配合404条款的执行，还采取了其他相关措施。如美国证券交易委员会通过制定规则，具体规定公司执行萨班斯——奥克斯利法案404条款的要求；再如，公众公司监管委员会，通过制定第2号审计准则，为注册会计师提供内部控制审计指南；又如，COSO委员会制定标准体系，作为管理当局和注册会计师进行财务呈报内部控制评价的基础，等等。
　　可见，萨班斯法案对财务呈报内部控制发展和重要影响在于：以法律的形式对财务呈报内部控制的建立、持续运行、有效评估和披露做出了强制性的规定；还明确了违反《法案》的法律责任，为内部控制在企业的实施提供了强有力的法律保障，其目的是保证财务呈报的真实性和可靠性。这些必然会给企业内部控制的理论与实务的发展产生了积极的影响，这将在后面的有关问题中述及。当然，也应当看到，由于《法案》是应安然等财务丑闻的爆发而出台的，主要的着眼点还是防止财务欺诈的财务报告的内部控制，而非企业全面的内部控制，因此也就缺乏整体性。

　　二、 COSO《企业风险管理——整体框架》与内部控制标准的发展
　　实践上，内部控制标准体系，是管理当局和注册会计师完成
　　财务呈报内部控制有效性评价基础。在美国，内部控制经历了几个阶段发展，其中由COSO委员会于1992年制定的内部控制综合框架，是至今管理当局和注册会计师在财务呈报内部控制有效性评价方面的基础和主要根据之一。然而，世上的万事万物总是发展与变化的。20世纪80年代以后，全球经济一体化及资本市场一体化进程不断地加速，其结果是：它在产生了巨大的商机的同时，又使经济所面临环境的不确定性因素不断增加，使我们面临着新的风险。例如,据有关资料显示，1985年以后美国每年倒闭上百家银行，其中1988年和1989年每年达200多家。特别是1997年爆发的亚洲金融危机，其危害之大、涉及面之广可谓历史罕见。世界范围内商业银行的接连倒闭，引起了各国的高度重视。也就是凤险及凤险管理巳成为公司治理各方参与者关注的内容，也成为会计职业界关注的焦点之一。特别是进入21世纪，经济全球化、科技日新月异和竞争的白热化等所引发的不确定性，更加使得风险无处不在、无时不有，从而也使风险管理成为企业管理的重要组成部分。同时，这期间还发生了一系列的财务丑闻事件和经济案件，也使得随后出现的法律、法规、各种各样准则和制度都在强调公司内部控制和凤险管理， 如上一个问题所介绍的《法案》便是其中一个十分重要的制度。COSO委员会顺应了这一历史潮流，在1992年《内部控制——整体框架》的基础上，于2004年9月29日正式发布了《企业风险管理——整体框架》(ERM)。ERM总共分为两部分：第一部分包括“基本框架”和经理人员要览。基本框架定义了企业风险管理，并描述了原则和概念，为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理有效性指南；经理人员要览则是一个指导首席执行官、其他高级管理人员、董事会和监管者的高度概括性文件。第二部分是应用技术，举列说明在应用框架的各个要素过程中的有用技术。
　　COSO委员提出，企业风险管理是企业董事会、管理层和其他员工共同参与的一个过程。它用于企业的战略制定和企业各个部门和各项经营活动，用于确认可能影响企业的潜在事项，并在其风险偏好(指一个企业在追求价值最大化的同时所愿意接受的风险数量。企业通常采用定性方法分析风险偏好，将风险偏好分为高、中、低三类；或者采用定量方法分析风险偏好，反映出企业的成长性、收益性和风险目标，并在三个目标之间进行平衡。风险偏好与企业战略直接相关)范围内管理风险，从而对企业目标实现提供合理保证。一般地认为，如果按照管理者的经营方式进行划分，企业风险管理包括八个相互关联的组成要素，即：
1、内部环境。是组织基调，是其他风险管理要素的基础，即为组织内的人员如何认识和对侍风险提供基础。其构成要素很丰富，主要的有：风险管理哲学、风险文化、董事会、诚信和道德观、能力承诺、管理哲学和经营风险、风险偏好、组织结构、杈力和责任分配、人力资源政策与实践，等等。
　　2、目标设定。企业风险管理必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业的目标可以分成四类，即：战略目标、经营目标、报告目标和合规目标。企业这些目标既相互区别，又相互重叠，可以明确不同的需要。
　　3、事件识别。指识别影响事件的内外部因素。事项识别技术既针对过去，又针对未来。替在的事项，对企业可能有正面影响，也可能有负面影响，或者两种影响同时存在。潜在负面影响的事项是风险，管理者应对其评估和建立应对方案。正面影响则是机会，之所以要识别就是为了抓住机遇；或者是为了明确其在风险评估和应对阶段弥补风险对企业影响，即衡量利害得失。
　　4、评估风险。使企业了解替在事项对企业的正面影响和负面影响，以及是如何影响企业目标的实现等。评估的方法通常是定性分析技术和定量分析技术的组合。一般是先确定固有风险(指管理者在没有采取任何会改变风险发生的可能性、或影响措施情况下，企业所面临的风险)的应对方案，再用评估技术确定企业的剩余风险(采取了有关风险管理措施后应存在的风险)。
　　5、应对风险。一般地说来，风险的应对可分为规避风险、减少风险、共担风险和接受风险等四类。应根据它来制定不同方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事件发生的可能性和事项对企业的影响，并设计和执行风险应对方案。
　　6、控制活动。指有助于保证风险应对方案得到执行相关政策和程序。管理当局应对企业所有系统进行控制，包括对信息系统的控制。
　　7、信息与沟通。来自企业内部和外部的信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。广义的沟通包括企业内自上而下、自下而上及横向沟通，还包括将相关信息与企业外部相关方的有效沟通和交换，为企业风险管理的运行提供重要信息。
　　8、监督。指评估风险管理要素的内容和运行，以及评价某一时期的执行质量的一个过程。目前有二种监督方式，即持续监督和个别评估。通常又是二者结合使用。
　　许多人都认为，这八个要素之间的关系是：内部环境是企业风险管理的基础，为企业风险管理所有其他要素的运行提供了平台和组织结构；企业目标的制定，则是风险管理的起点，是其他步骤的躯动力量；在企业目标己定的前提下，企业需要对影响目标的风险进行事件识别，进而对识别事件进行凤险评估，风险评估驱动风险反应，影响控制活动；信息与沟通和监督贯穿于企业风险管理的整个过程，并对前面的各个组成耍素进行修正。很明显，企业风险管理不只是一个直线的过程，即一个组成部分只会对下一个组成部分产生影响，而是一个多元化的相互作用、环环相扣的过程。或者说，几乎任何组成部分都能够并将会影响另一个部分。因此，可以这样说，企业风险管理的八个组成部分所体现的是一个动态的过程，是一个有机整体。
　　重要的问题在于，从内部控制综合框架到企业风险管理综合框架，它们之间有什么样的区别和突破？根据大家的理解，ERM将内部控制与凤险管理相互融合，使内部控制理论向前迈出了一大步。也就是说，后者不只是对前者的局部修补或简单的改良，而是在理念上有着本质的不同。从整体上看，在ERM的内容摘要中，明确指出了内部控制是企业风险管理不可分刈的部分，ERM涵盖了内部控制，但又不是对内部控制框架的取代，从而构建了一个更强有力的概念和管理工具。具体说来，主要的体现有以下几点：
　　第一， 从“控制环境”到“内部环境”虽是两字之差，但这一修改却使得企业关注的范围不再局限于控制方面，而是从更宽阔的视野，以及更综合、更直接地考虑各种因素对风险影响。
　　第二， 针对内部控制整体框架对企业战略管理方面关注不够的缺陷，目标制定中增加了“战略日标”，使企业在追求短期利益的同时，从战略高度关注企业的长远目标和可持续发展。特定的战略目标虽然可以通过不同的战略来实现，然而不同的战略目标会给企业带来不同的凤险。因此，战略制定和风险偏好存在直接关系。在考虑到达到战略目标的具体目标时，管理当局要鉴别与战略选择相关的凤险，并且要考虑对这些凤险的应对措施的运用。如果与某个战略相关的凤险和企业风险偏好不相一致，那么，企业的战略就应当修正，使企业处于凤险偏好之内。
　　第三， 将“风险评估”扩展为“事件识别”、“凤险评估”和“风险反应”，这不只只是对原“风险评估”进行简单细化，而是意味着企业风险意识日益增强和积极主动地管理风险。也就是企业风险管理综合框架强调应对所有事件，既包括正面事件和负面事件进行综合识别，并且应将其以适当的组合方式加以看侍，而后通过对固有风险和剩余风险的综合评价做出适当的风险应对措施。这样，一方面可以减少经营偏差的发生及相关成本和损失；另一方面，有利于企业抓住机会(正面事件)，及时调整策略，以达到经营和获利目标，避免资源浪费。
　　第四， 强调了内部审计人员的作用。ERM中指出，内部审计
　　人员在企业风险管理的监控中占有重要地位。内部审计人员通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告，并提出建议来帮助管理者、董事会或审计委员会，以咨询顾问的身份介入风险管理的过程。这也相应地促进了内部审计理论与实务的发展。目前，风险导向型内部审计概念的提出就是例证。
　　理所当然，由于风险管理综合框架有了许多新的突破，这也就给我们的风险管理工作提出了新的要求。

　　三、 对我国企业风险管理政策与实务的几点启示
　　昨天是今天的起点。我们的昨天究竟是一个什么样子呢？20世纪90年代中后期，我国的有关部门，如财政部、中国人民银行、保监会、证券会、中注协先后颁布了许多相关的法律、法规、准则，明确了企事业单位内部控制制度建设的目标、原则、内容、方法和监督检查等，从而期望建立相应内部管理和内部控制制度。但其效果又是如何呢？总体上看，有相当多的企业在许多地方存在着较大的不足，重点是认识不到位，措施也不得力。接照大家的概括，就认识上的不足而言，其主要的有：
　　第一，有些企业的领导和管理人员认为，内部控制的有效性之所以不明显，仅仅把其归结为是因惩罚的力度不够，即：内部控制=惩罚；
　　第二，误以为企业的内部资产控制，就是内部控制；
　　第三，更多的人认为，内剖控制只不过是一堆堆供查阅的手册而已。
　　至于措施不得力的具体表现主要的也有：
　　第一，内部环境不尽如人意。前面提到过，内部环境包括董事会、企业文化、管理者的品性和管理理念、风险管理哲学、诚信和道德观、组织结构，等等。我国多数企业不重视内部控制环境的改善，从而出现了内部控制环境紊乱的现象，如：董事会的不懂事使得其在内部控制方面未起到应有作用；高层管理者控制意识淡薄，有的甚至参与违规违法的活动；员工素质不高、企业文化缺失；组织结构不合理，公司治理不科学，等等。正是由于内部环境各要素设有理顺，造成了企业内部控制基础薄弱；
　　第二，目标设定不尽合理，有的根本就没有设定。如2004年12月四川长虹上市10年来首次预告亏损，主要的是由于对单一项应收账款——美国APEX公司的坏账准备引起的。1998年至2004年APEX公司已经累积拖欠长虹4.67亿美元货款，2004年底对该应收账一次性地计提坏账准备3亿美元，从而导致了亏损。如果企业一开始就对企业的应收账款授信额度、信用政策等管理设定了目标，并设立了相应的控制机制，就不可能恶化到如此地步，或者就不可能出现这一状况；
　　第三，风险管理缺失。即没有对企业面临的风险设置专门机构进行辨认、评估和管理。如中航油虽聘请了国际“四大”会计师事务所之一的安永会计师事务所，制定了《风险管理手册》，其中明确规定损失超过500万美元时，必须报告董事会，并立即采取止损措施等。而当时的负责人陈久林在进行处理期货头寸的过程中，这些规定的流程被视为形式，预先设定的风险管理体系设有发挥任何作用。可见，风险管理制度虽然重要，但它抵抗不了风险，真正的执行才是最重要的。
　　第四， 控制活动不到位。在ERM中强调要通过控制活动的设置，以保证风险管理框架实施的可行性。但我国相当多的企业几乎不存在控制活动；即便有，在真正需要时，也起不到应有的作用，名存实亡。如：2004年12月1日的“创维事件”，是董事会主席黄宏生由于涉嫌通过贪污手法诈骗及挪用公司资金而引起的；半个月以后，“伊利事件”是董事长郑俊怀等5位高管人员因涉嫌挪用公款、谋取私利而被逮捕。诸如此类的事件还很多，举不胜举。据说，逃到境外贪官就有几百人，涉嫌的金额好几百个亿。之所以它们能得手，其共同的原因是对资金的控制不到位，这也说明了现在的许多企业对控制活动的设定和执行是多么的薄弱。
　　第五， 信息沟通不顺畅。我国企业时有出现信息沟通不顺畅的情况，使企业造成职责未履行而蒙受损失。如原郑州亚细亚集团不只是信息沟通不顺畅，而是成为管理人员的活简，政出多门，说变就变。现在回过头来看，郑州亚细亚集团的失败也就不足为奇了。
　　第六， 监督体系不健全。我国内部控制系统中，虽然也有四大监督的关口，即：内部控制的自我检冽、会计控制、内部审计监督、外部审计监督等。这些关口作用发挥得如何，从媒体的披露中就可见一斑了。
　　我国内部控制所存在的问题，究其原因是多方面的。那么，如何不断地加以完善，并在我国的企业也推行全面的风险管理呢？在我们看来，尽管每个企业全面风险管理的具体做法，不可能完全一致，但也有共性。也就是无论是萨班斯法案404条款所带来的强大国际影响，还是COSO委员会的风险管理综合框架对内部控制综合框架的发展和完善，这一切对今后我国企业风险管理的政策与实务都有着重要的启示与借鉴的作用。接照大家的认识，主要的有：
　　第一， 培育健康的风险管理文化是企业推行全面风险管理的基础。前面说过，现阶段仍有相当多的同志，仍将风险管理简单理解为人的职业道德意识，将防范由职业道德造成的违法违规风险当作为风险管理的核心内容和主耍矛盾，这是对风险管理的一种误解。在这一错误的理解下，造成了员工设有风险意识，风险管理更多地是作为一种口号而存在。产生这一现象的重要原因是企业设有建立健康的风险管理文化。历史与现实的经验均告诉我们，良好的风险管理文化是企业文化的重要部分，其主要的内容包含企业的风险管理理念、风险控制行为、风险道德标准和风险管理环境等因素，反映了一个企业的价值观，影响着它的经营风格。因此，在企业风险管理文化的建设中，要倡导和强化“全员的风险管理意识”，要通过各种的途径将风险管理理念传递给每一个员工，内化为员工的职业态度和工作习惯，在整个企业形成一种风险控制的文化氛围，形成一种风险防范的道德评价和职业环境，以确保企业在当今高风险的环境中，能够敏锐地感知风险、分析风险和防范风险。当然，良好的凤险管理文化不是一朝一夕之功，而必须经历一个长期的培养过程。在这一过程中，关健的是要董事会的承诺、管理层的推进、老员工的垂范，以及企业在日常的经营活动中长期不懈地坚持。
　　第二， 建立良好的组织结构，这是推行全面风险管理的组织保障。企业组织结构是指为企业提供计划、执行、控制和监督职能的整体框架。建立完善的组织结构有利于应对内外部环境变化给企业带来的影响。这其中为主要考虑的是组织结构的适当性和顺畅性，以及精简高效并具有弹性。具体要解次决这样的几个问题，即：一是管理度的问题，也就是一个人究竟管理、监督几个单位才合适；二是结构中的层级问题，究竟设儿层管理为好；三是各层次的工作岗位如何划分才是最佳；四是各单位职责与杈限的科学划分，等等。这里还应当强调的是要设立专门的风险管理部门，以便对风险进行辨别、评估和管理。
　　第三， 必须明确制定企业风险管理的目标和政策。明确的目标是企业风险管理的前提，而清晰的政策是企业风险的基础。企业的目标体系主要包括战略目标、经营目标、报告目标和监管目标四大目标体系。在战略目标确定基础上，根据战略目标没计各项业务的经营目标，制定明确的报告目标，提出监管目标，以保证经营目标的实现、报告目标的准确性和监管目标的有效性。在这一过程中，十分重要的是，要将科学的目标体系转变成为易于理解、执行的科学风险管理政策体系。也就是各级管理部门负责制定清晰、统一的凤险管理政策，主要的包括信用风险管理政策、市场风险管理政策、操作风险管理政策等等，提高风险管理制度的系统性和可操作性。
　　第四， 树立科学的风险应对策略观，以企业价值最大化为原则，综合地运用各种应对策略。企业的风险应包括凤险回避、风险减低、风险分担、风俗习惯承受等几种主要分法。我们要树立科学的风险应对策观。也就是企业要从整体层面来分析风险影响效果，耍以企业价值最大化为原则来选择具体的应对策略，其中十分重要的是要评估成本效益比。对那些不能承受的风险，企业要主动回避；对于那些可以采取措施降低、分担的风险，企业要综合运用管理措施和保险方法管理；而对于风险敞口不大的低概率业务，选择风险承受也是一种积极的风险管理方式。
　　第五， 拓展内部审计的责杈，保证企业全面风险管理的监控体系的正常运行建立凤险管理的后评价和持续改进机制是监控的主要内容。企业内部审计部门要在独立于经营管理层、直接对董事会直接负责基础上，扩展其责杈，通过持续的监控活动、个别评价、或者二者的结合，来实现对风险管理的评价，并对发现的问题及时采取措施作出优化，以完善全面风险管理体系的后评价和持续的改进机制。必须改变现在审计部门主要职能仍关注那些本应该由业务部门管理的事，如差旅费标准执行情况、结算的差错等那些属于细小的操作性错误。相反，重点应关注各个风险管理构成要素是否能够在全面风险管理体系中正常运行，业务流程是否能够满足防范风险的需要，各种量化管理的内部模型是否有效等。只有这样，才能促进全面风险管理体系不断改进，并逐步实现规范化、定期化、制度化。
　　关于启示就简单地讲了以上五点。最后，我还想指出，2002年以后内部控制又成为热门的话题，这预示着它是管理者和企业成功的必经之路，也使得能否应用内部控制制度成为是真假企业家的一个分水岭 。但是考虑列内部控制专业性强、涉及面广的特点，企业在设计和评价内部控制的时候，可以借鉴内部审计外包的模式，实行内部控制外包。因篇幅的关系，可以外包的理由及应注意的事项，就不再详述了。
　　参考文献
　　1、 黄为娥．内部控制理论的新发展及其对我国启示．
　　厦门大学硕士学位论文．2006．
　　2、 陈汉文、吴益兵、李荣、许真臻.萨班斯法案404条款：
　　后续进展[J].会计研究，2005，（2）：82-86．
　　3、 金彧昉、李若山、徐明磊.COSO报告下的内部控制新发
　　展[J].会计研究，2005,(2)：32－38.
　　4、 梁春满、陈静.现代商业银行内控：追求稳健发展德自我
　　平衡[M]. 北京:中国金融出版社,2000.
　　5、 陆晓明.银行风险管理的方向——全面风险管理（续）
　　[J]．国际金融研究， 1999，(9):36-39.
　　6、 吴水澎、陈汉文、邵贤弟.企业内部控制理论的发展与启
　　示[J].《会计研究》.2000，（5）：2-8.