内个

内部控制文档

1、国外内部操纵理论研究

内部操纵是20世纪中叶随着现代经济的进展而建立起来的一个重要的治

理方法。它的内容和定义随着现代经济治理技术的进步和治理范畴的不断拓展而

不断丰富和进展。国外对内部操纵理论的研究以美国为代表从两点论、三点论、

五点论进展到八点论，日臻完善。

(1)两点论。1949年美国会计师协会的审计程序委员会(CAP)在<内部操纵，

一种和谐制度要素及其对治理当局和独立注册会计师的重要性》报告中，首次对

内部操纵做出了权威性定义：“内部操纵包括组织机构的设计和企业内部采取的

所有相互和谐的方法和措施。这些方法和措施的目的在于爱护企业的财产，检查

会计数据的准确性，提高经营效率，促进企业执行既定的治理政策。"此定义将

内部操纵的范畴扩大了，跳出了单纯的会计操纵。进而，该委员会在1958年10

月公布的《审计程序公告第29号》将内部操纵划分为会计操纵和治理操纵。

(2)三点论。1988年美国注册会计师协会(AICPA)公布《审计准则公告第

55号》，首次以“内部操纵结构"的提法替代“内部操纵"指出：“企业内部操纵结

构包括为取得企业特定目标的合理保证而建立的各种政策和程序"。该公告将内

部操纵结构划分为三个要素：操纵环境、会计制度、操纵程序。该理论与两点论

相比，有两个明显特点：一是将内部操纵环境纳入到内部操纵范畴中，二是不再

区分会计操纵和治理操纵。这些反映了当时有关内部操纵实务操作和理论研究的

新动向。

(3)五点论。1992年美国反虚假财务报告委员会发起组织委员会(COSO)在

其研究报告I：内部操纵——整体框架》中将内部操纵定义为：“内部操纵是由企

业董事会、经理阶层和其他职员实施的，为达到营运的效率成效、财务报告的可

靠性、相关法令的遵循性目标而提供合理保证的过程"。该报告将内部操纵分

为五个要素：操纵环境、风险评估、操纵活动、信息与沟通、监督。这一理论将

内部操纵从平面结构进展为立体框架模型，对世界各国都产生了极为深远的阻

碍，加拿大的COCO，英国的Cadbury等在一定程度上都借鉴了COSO的理论。

(4)八点论。2004年COSO受到美国《萨班斯——奥克斯法案》及国

际审计与鉴证准则委员会修订的审计准则的阻碍，公布了《企业风险治理——整

体框架》(简称ERM)，将内部操纵框架扩展为q企业风险治理框架斗。该框架包

括四项目标和八个要素，四项目标是：战略目标、经营目标、报告目标、合法目

标，八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、操纵

活动、信息与沟通、监控。能够看出，此框架与之前的框架相比，对风险治理倾

注了更多的关注，而且积极倡导企业的战略规划和长远进展。这意味着，内部操

纵差不多由过去面向实际过程的操纵进展到面向以后过程的不确定性的操纵。这

无疑是内部操纵理论上又一次质的飞跃。

2、国内内部操纵理论研究

国内对内部操纵的研究正逐步和国际接轨，但由于本身起步较晚。上

世纪90年代，我国股票市场进展初期，会计信息失确实情形愈演愈烈，从“深

圳原野，，、“琼民源，，、“红光，’到后来的“郑百文，，、“银广厦，’等层出不穷。

虚假会计信息给社会带了的震荡、给社会经济带来的不良阻碍直截了当引发了对

内部操纵的关注，第一发难的是代表政府的监管机构，包括财政部、证券监督治

理委员会(以下简称证监会)。因此向其他学科一样，对国外、专门是对美国内部

操纵理论进展的关注与借鉴也大大阻碍了我国内部操纵理论的进展。截至目前为

止，我国对内部操纵研究具有代表性的成果表达在以下几个法规中。截至目前为

止，我国对内部操纵研究具有代表性的成果表达在以下几个法规文件之中。

二、内部操纵的理论演进

内部操纵是社会生产力进展到一定时期的产物，随着现代经济的进展而

建立并得以不断进展，后逐步成为现代企业治理不可或缺的一个部分。关于内

部操纵的理论始于二十世纪四十年代的“内部牵制理论"，其后经历了内部操纵

制度理论、内部操纵结构理论、内部操纵整体框架理论及企业风险治理框架理论

等几个不同的时期。

1、内部牵制理论

二十世纪四十年代，美国的闻名审计学家蒙哥马利在其《审计学》一书中

第一提出了搿内部牵制制度"的理论，即凡涉及财产和货币资金的收付、结算及

其登记的任何一项工作，规定须由两人或两人以上来分工掌管，以起到相互制约、

内部牵制的目的。其差不多思想是两个人或两个以上行为主体同时犯错的可能性

小于单一主体，两个人或两个人以上共同舞弊的难度远大于一个人。要紧设想是

要求以任何个人或部门不能单独操纵任何一项或一部分业务权益的方式进行组

织上的责任分工，而每项业务能够通过正常发挥其它个人或部门的功能进行交叉

检查或交叉操纵。实践证明，内部牵制机制有效减少了错误和舞弊行为。而且，

在现代内部操纵理论中，内部牵制仍占有重要的地位，是有关组织机构操纵、职

务分离操纵的基础。

2、内部操纵制度理论

二十世纪四十至七十年代，内部操纵理论进展到内部操纵制度时期。这一

时期的内部操纵，强调爱护企业资产的完整，保证会计资料的可靠性和准确性，

提高经营效率，同时推动治理部门所制定的各项政策得以贯彻执行。前两点是会

计操纵的目标，后两点则是治理操纵的目标。因此，这一时期内部操纵制度思想

分为内部会计操纵和内部治理操纵两个部分。内部会计操纵由保全资产和保证财

务记录的真实准确性相关的经营治理打算及程序、凭证记录组成，旨在保证：按

照治理层总的或具体的授权从事经营与交易业务；业务活动的凭证纪录，包括财

务报表，必须依照公认的会计准则或其他法规许可的标准来预备；只有治理层授

权才被承诺接近资产；定期对资产的帐面记录与现存资产进行核对，并对可能显

现的任何差异采取适当的措施。内部治理操纵包括但不限于与治理层业务授权相

关的组织机构的打算、决策程序及书面的规章制度。这种授权是直截了当与达到

机构的目标相联系的一种治理职责，是建立交易业务会计操纵的起点。

3、内部操纵结构理论

二十世纪八十年代以后，内部操纵的理论研究又有了新的进展。美国注册

会计师协会于1988年5月公布了<审计准则公告第55号》公告，提出了内部操

纵结构理论——企业的内部操纵结构包括为合理保证企业特定目标的实现而建

立的各种政策和程序。内部操纵结构包括操纵环境、会计制度和操纵程序三个部

分：所谓操纵环境是指对建立、加强或削弱特定政策和程序效率发生阻碍的各种

因素。会计制度规定各项经济业务的确认、分析、分类、记录、计量和编报的方

法，明确各项资产和负债的经营治理责任。操纵程序指治理当局所制订的用以保

证达到一定目的的方针和程序。这一内部操纵理论不再区分会计操纵和治理操

纵，并将内部操纵环境正式纳入内部操纵范畴。

4、内部操纵整体框架理论

二十世纪九十年代以后，内部操纵差不多成为企业治理科学化的重要标志，

有关内部操纵的研究也取得了新的突破，1992年9月，美国反虚假财务报告委

员会发起组织委员会(COSO)提出了内部操纵整体框架理论，该理论认为内部操

纵是一个自行检查、制约和调整内部业务活动的自律系统，其贯穿于经营活动的

全部过程，并受企业董事会、治理阶层及其他人员阻碍。在COSO报告中第一

次提出了“内部操纵系统一的概念，以此来代替从前的“内部操纵结构"。报告

对内部操纵的定义表述为：内部操纵是一个过程，该过程受到公司董事会、治理

层和其他人员的阻碍，其目的是为下列目标的实现提供合理的保证。这些目标包

括经营的有效性和效率、财务报告的可靠性与遵守法律法规。COSO委员会认为

内部操纵由五大相互联系的要素构成，即：操纵环境、风险评估、操纵活动、信

息与沟通、监督。

第一，操纵环境。操纵环境是推动操纵工作的引擎，是所有内控组成部分的

基础，反映董事会、治理者、业主和其他人员对操纵的态度和行为。要紧包括以

下内容：治理哲学和经营作风、组织机构、董事会和审计委员会的职能设置、人

事制度和程序、职权与责任的确认方法、治理者检查监督工作所用的操纵方法，

还涵盖经营打算、预算、推测、利润打算、责任会计和内部审计制度等。

第二，风险评估。每个企业都面临来自内部和外部的不同风险，风险会直截

了当或间接地阻碍企业的生存和进展，因此关于风险都应当加以评估。评估风险

第一要制定目标(包括营运目标、财务目标及遵循法律目标等)，而后在经营过程

中不断识别和评估实现所定目标可能会发生的风险，并有针对性地采取必要的措

施。

第三，操纵活动。操纵活动是确保治理方针得以实施的一系列制度、程序和

措施。它存在于企业内的各治理阶层和功能组织之间，要紧包括：高层检查分析、

直截了当部门治理、审批、授权、对信息处理的操纵、会计操纵、绩效指标的比

较、资产保全及职责分工等。

第四，信息和沟通。企业在其经营过程中，必须按某种形式在一定时期内取

得适当的信息，并及时沟通，以使职员能够更好地执行、治理和操纵作业过程。

信息包括企业内部所产生的信息以及企业外部的事项、活动及环境等有关的信

息。企业所有职员必须从治理层清晰地获得自己应承担操纵责任的信息，而且必

须有向上级部门沟通传递重要信息的途径，并对外界如顾客、供应商、政府主管

部门和股东等作有效的沟通。

第五，监控。监控是确保内部操纵得以有效运作的重要措施，它是一个不断

评估系统的质量的过程。监控是经营治理部门对内部操纵的治理监督和稽核部门

对内部操纵的再监督和再评判活动的总称。只有连续不断地、经常性地对内部操

纵进行监控才能爱护和提高整个内部操纵系统的有效性和可靠性。

5、企业风险治理框架理论

二十世纪末期，审计实务界已开始探究以风险治理为核心的审计新路子，并

形成了风险导向审计的崭新模式。COSO报告事实上差不多反映了这种动向，“风

险评估"成为内部操纵的五大要素之一确实是证明，但与审计实务还有差距。进

入二十一世纪，这种趋势愈发明显，随着2002年底国际审计与鉴证准则委员会

修订审计准则表示对风险导向审计模式的全面认同，加上美国《萨班斯——奥克

斯法案》的直截了当阻碍，COSO及时充实了内部操纵框架，将其扩展为“企业

风险治理框架，并于2004年8月正式布。依照该框架，企业风险治理包括了四

项目标和八个要素。四项目标是：战略目标、经营目标、报告目标、合法目标。

八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、操纵活动、

信息与沟通、监控。

新的风险治理框架比起内部操纵框架，不管在内容依旧范畴上都有所扩大和

提高，具体表现在：

(1)提出一个新的观念——风险组合观。企业风险治理要求企业治理者以风

险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险

在风险偏好的范畴内。对企业内每个单位而言，其风险可能落在该单位的风险容

忍度范畴内，但从企业总体来看，总风险可能超过企业总体的风险偏好范畴。因

此，应从企业总体的风险组合的观点看待风险。企业的目标分为经营、财务报告

和合法目标。企业风险治理框架也包含三个类似的目标，然而其中只有两个目标

与内部操纵框架中的定义相同，财务报告目标的界定则有所区别。内部操纵框架

中的财务报告目标只与公布披露的财务报表的可靠性相关，而企业风险治理框架

中的报告目标的范畴有专门大的扩展，该目标覆盖了企业编制的所有报告。此外，

企业风险治理框架比内部操纵框架增加了一个目标——战略目标，该目标的层次

比其他三个目标更高。企业的风险治理既应用于实现企业其他三类目标的过

程中，也应用于企业的战略制定时期。

(2)增加一类目标一战略目标，并扩大了报企业的目标分为经营、财务报

告和合法目标。企业风险治理框架也包含三个类似的目标，然而其中只有两个目

标与内部操纵框架中的定义相同，财务报告目标的界定则有所区别。内部操纵框

架中的财务报告目标只与公布披露的财务报表的可靠性相关，而企业风险治理框

架中的报告目标的范畴有专门大的扩展，该目标覆盖了企业编制的所有报告。此

外，企业风险治理框架比内部操纵框架增加了一个目标——战略目标，该目标的

层次比其他三个目标更高。企业的风险治理既应用于实现企业其他三类目标的过

程中，也应用于企业的战略制定时期。

(3)针对风险度量提出两个新概念——风险偏好和风险容忍度。针对

企业目标实现过程中所面临的风险，风险治理框架对企业风险治理提出风险偏好

和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标的过程中

情愿同意的风险的数量。企业的风险偏好与企业的战略直截了当相关，企业在制

定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来，目的是要关

心企业的治理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的

概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中

对差异的可同意程度，是企业在风险偏好的基础上设定的对相关目标实现过程中

所显现差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标

的重要性，并将其与企业风险偏好联系起来。

(4)增加了三个风险治理要素，对其他要素的分析更加深入，范畴上

也有所扩大。企业风险治理框架新增了三个风险治理要素——“目标制定肘、“事

项识别”和“风险反应"’。目标制定指依照企业确定的任务或预期，治理者制定

企业的战略目标，选择战略和确定其他与之相关的目标并在企业内层层分解和落

实。在风险治理框架中，由于要针对不同的目标分析其相应的风险，因此目标的

制定自然就成为风险治理流程的首要步骤，并将其确认为风险治理框架的一部

分。事项识别指由于不确定性的存在，使得企业的治理者需要对这些事项进行识

别。企业风险治理和内部操纵框架都承认风险来自于企业内、外部各种因素，而

且可能在企业的各个层面上显现，同时应依照对实现企业目标的潜在阻碍来确

认风险。企业风险治理框架采纳一系列技术来识别有关事项并考虑有关事项的起

因，对企业过去和以后的潜在事项以及事项的发生趋势进行计量。风险应对可分

为规避风险、减少风险、共担风险和同意风险四类，作为风险治理的一部分，治

理者应比较不同方案的潜在阻碍，同时应在企业风险容忍度范畴内的假设下，考

虑风险应对方案的选择。在个别和分组考虑风险的各反应方案后，企业治理者应

从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体阻碍。除上

述新增要素外，针对企业将治理的重心移至风险治理，风险治理框架更加深入地

阐述了其他要素的内涵，并扩大了相关要素的范畴。

以上内部操纵理论的演进过程是环环相扣，循序渐进的，每一时期差不多上

对之前理论的丰富和扩展，内部操纵的内涵和外延在此过程中得到不断地提升。

就我国目前的实际情形而言，尽管有许多人对内部操纵的认识还专门滞后，仍

旧停留在内部操纵制度理论和内部操纵结构理论的时期，但内部操纵整体框架

乃至风险治理框架的建立差不多成为必定的趋势。

三、内部操纵差不多内容

1内部操纵的主体

内部操纵产生于单位治理的需要，存在于单位生产经营活动之中，是

其内部治理的重要组成部分，这就决定了内部操纵的主体只能是单位的经营治理

者。

2内部操纵的客体

内部操纵的客体，是指内部操纵的实施对象，也确实是说在什么范畴

内对什么内容进行操纵。内部操纵要紧是对单位的生产经营活动进行治理和操

纵，因此，内部操纵的客体确实是单位内部的生产经营活动。生产经营活动范畴

相当广泛，既包括活动的主体、活动的过程，也包括活动的结果，具体可归纳为

五个方面:单位的经营治理者和生产者:单位内部的各组成机构:单位的各项资产、

负债和所有者权益;单位的信息载体和信息处理，以及单位的各种经济业务活动。

3内部操纵的目标

内部操纵的目标，是指制定和实施内部操纵要实现的目的或欲达到

的成效，它是单位内部操纵的预期结果和差不多任务的统称。归纳起来，

内部操纵的目标包括:(1)爱护财产物资的安全、完整;(2)保证会计信

息的真实、可靠;(3)保证生产经营活动的经济性、效率性和成效性;(4)

保证各项法律规范的遵循。

四、风险治理

4.1风险和风险治理

风险自古有之，古代人类与艰巨的环境进行不懈的争斗，目的确实是为了减

少死亡的风险，增加生存的几率。随着人类社会和经济文化的不断进展，人类自

身的生存环境已大有改善，可关于企业来说情形却恰恰相反。专门是二战之后，

由于社会、经济结构的改变，科学技术的进步和跨国公司的大量显现，企业面临

的环境瞬息万变，风险无处不在。风险不仅相伴着企业经营的每一个时刻，亦存

在于企业生产经营过程的每一个环节。只有那些重视风险并对风险进行有效治理

的企业，才能化风险为机会并在生存中求得进展。

4.2风险的定义

风险一词最初是指不确定性。早在19世纪，西方古典经济学家就提出了风

险的概念，认为风险是经营活动的副产品，经营者的收入是其在经营活动中承担

风险的酬劳。最早提出风险概念的美国学者海恩斯H(yane)s在其1895年出版的

著作《RiskasEconomicFactor》中写到：“风险一词在经济学和其他学术领域中

并无任何技术上的内容，它意味着损害或缺失的可能性。偶然性的因素是划分风

险的本质特点，某种行为能否产生有害的后果应以其不确定性而定。假如某种行

为具有不确定性，则该行为就承担了风险”。1972年，loom将风险定

义为缺失的不确定性。在1984年F..GCrnae认为风险是指以后缺失的不确定性。

①经济学家对风险这一概念有着大量的研究。在这方面，奈特的奉献是经典的。

其奉献在于通过对风险与不确定性的区分，来明白得人的行为对风险本身的阻

碍。奈特指出，只有当变化及其结果是不可推测的时候，才可能带来专门形式的

收入，几这确实是利润。只有敢于创新的企业家，才可能制造出人们预料的收入，

才能带来利润。这种不可推测的变化及其结果确实是不确定性。而风险则是能够

被计量的。

奈特认为，关于可确定的风险的回报与关于其价值本身不可确定的风险的

回报，二者之间是具有全然差异的。奈特的讨论不仅仅是对风险和不确定性作出

了清晰的界定，其论述的重心实质上是要指出不确定性之于企业家和人类社会的

重要意义，从而也指出了不确定性具有比风险更深一层的含义，不确定性实质上

规定着风险。只有在企业家的制造性活动之后，风险才开始存在。②80年代初，

日本学者武井勋在吸取前人研究成果的基础上对风险的概念作了新的表述，认为

风险是特定环境中和特定期间内自然存在的导致经济缺失的变化。

包括三个要素：第一，风险与不确定性有差异；第二，风险是客观存在的；

第三，风险能够被测量。③我国学者则将风险定义为在以特定利益为目标的行动

过程中，若存在与初衷利益相悖的可能缺失即潜在缺失，则称该潜在缺失所引致

的对行动主体造成危害的事态为该行动所面对的风险。④从期望值的角度明白得

风险，风险常常是指相关于某个期望结果可能发生的变动状况，有些时候它可能

确实是指期望值本身(比如保险公司负担的缺失的期望值)。随后的风险概念不仅

包括缺失的可能性，而且将获益的可能性也包括在内。在C.小阿瑟.威廉姆斯等

人所著的《风险治理与保险》一书中，对风险的定义是结果中潜在的变化。⑤一

部分学者的定义中只包含了以后结果向不利方向变动的可能性，亦即风险缺失；

而另外的学者则将以后结果向有利和不利两方面的变动都包括在内，风险之中亦

存在机会。然而在奈特之后，人们在专门大程度上只是同意了奈特关于风险和不

确定性的界定，而关于不确定性丰富含义的讨论却没有什么实质性进展。围绕风

险概念所进行的理论讨论也要紧是技术层面上的，差不多上不关注风险概念在政

治、社会层面上的意义。这一点能够说集中表达在学者们现在己不再对风险概念

与不确定性概念的区分感爱好。在实际讨论中，风险和不确定性这两个概念在专

门大程度上是被混用的。甚至有些学者断言，风险和不确定性指的是同一概念。

通常来讲，风险(就风险缺失而言)包含三个要素：危险因素h(azdar)、危险事故

印erli)以及缺失(1055)。①危险因素是指导致不利后果的所有因素。危险事故是

导致风险缺失的内部或外在缘故，亦即风险通过危险事故的发生才能导致缺失。

缺失在风险治理学中定义为非有意的、非打算性的和非预期的经济价值的减少。

关于风险三要素之间的关系，至今存在两种理论：州hc的“骨牌

理论”和的“能量开释理论”。②两种理论均认为危险因素引

发危险事故，而危险事故导致缺失。但他们的侧重点不同，“骨牌理论”强调危

险因素、危险事故和缺失三张骨牌之因此倾倒要紧是人的错误所致，其侧重于人

为因素。而“能力开释理论”则强调是因事物所承担的能量超过其所能容纳的能

量所致，其侧重于物理因素。只是对上述风险因素的分类并无公认的统一标准，

而关于风险类型，巴塞尔委员会和国际证券组织联合会(orSCO)于1994年发表的

场外衍生工具交易的风险治理文件中定义了6种风险类型：③市场风险：市场风

险实质上是指公司的金融工具或证券价值随市场参数变动而波动所产生的风险。

这些参数包括利率、汇率、股票指数和商品价格等。

信用风险：对银行信用风险的传统观点一样仅指对方不履约的风险。对风险

本质的更进一步的说明是，信用风险不仅仅是对方的违约风险，还能够在更广泛

的意义上看作是由于公司交易对方在履约能力上的变化而导致公司资产的经济

价值遭受缺失的风险。

清算风险：是指公司不能按期收到对方的资金或工具的风险。清算风险是一

种高度复杂的风险，包括限额的制定、交易前核查资金状况、交易记录、交易确

认相符、超出操纵范畴的报告、支付的治理、收款的确认、收款失败治理、活动

分析和重点治理等。

流淌性风险：公司一样面临两种类型的流淌性风险，一种与特定的产品或市

场相关；另一种与公司活动的总体资金状况有关。前者是指由于不充足的市场深

度或由于市场的中断，公司不能够或不能轻易以往常的市场价或与之相近的价格

对冲某一头寸的风险；后者是指公司不能在清算日履行付款义务或支付保证金的

风险。

操作风险：是指信息系统或是内部操纵方面的缺陷，会导致意想不到的缺失。

这种风险由人为错误、系统失灵和不正确的程序及操纵所引起。

法律风险：是指合同不符合法律的实施性或文件没有正确表达。这种风险不

仅包括文件是否具有法律实施性的问题，还包括金融机构是否适当地履行了它对

客户的法律和条规职责。

4.2风险理论的分类

风险理论进展至今，大体上能够归纳为两类：一是客观实体派的风险理论；

二是主观建构派的风险理论。主观建构派要紧依据心理学、社会学、文化人类学

与哲学进行风险理论研究。而客观实体派则要紧依据保险精算、工程学、经济学

与财务理论进行风险理论研究。两种理论都围绕着三个差不多问题：第一，如何

规范与测度不确定性田ncertainyt)；第二，不利的后果包括那些；第三，什么是

风险的真相或它的真实性R(ealiy)t。①风险是客观的不确定(objectiveUnecrtaint

力，是客观存在的实体，是能够推测的。这些看法是现实论或实证论者的主张，

称之为客观实体派。此派要紧以客观概率的概念，规范与测度不确定性。一切不

利后果，均以货币观点观看与计价。风险真实性的认定，则以数学值的高低为认

定基础。风险主观构建派的思维要紧来自心理学者、社会学者、文化人类学者与

哲学家的奉献。其中，心理学仍保留实证论者或现实论者的思维，风险可用个人

主观信念强度来测度。社会学、文化人类学与哲学则采取后实证论者或相对论者

的思维。因此，风险不是测度的问题，它是构建过程的问题。

3.3风险治理的产生与进展

同任何学科一样，风险治理也是随着人类社会自身的进步而产生和进展的。

人类为了生存和谋求社会的进步，就必须对人类周围的环境所带来的风险做出有

效地反应，从而促使风险治理意识的显现。人类早期风险意识的形成可大致分为

三个时期：人与兽斗争时期、人与神斗争时期和互助共济时期。②在人类社会的

早期，人们面临的生存威逼要紧来自野兽。人们既要猎取一定数量的野兽来充当

食物，又必须防止野兽对人类的侵害。随着人类工具使用的进步和农业的进展，

人们逐步意识到生存的风险差不多不再是野兽，而是人们所无法驾驭的自然环

境，一系列的自然灾难和疾病使当时的人们束手无策。当生产力得到进一步进展

以及人类协作能力的增强，人们开始相互关心以抗拒风险，即互助共济的时期。

企业风险治理思想在19世纪就开始萌芽，它是相伴着工业革命的产生而产生的。

当时法国科学治理大师H.法约尔在其所著的《一样与工业治理》一书中第一把

风险治理思想引入企业经营内。风险治理作为企业的一种治理活动，真正起源于

20世纪50年代的美国。当时美国一些大公司发生的重大缺失使公司高层治理者

开始认识到风险治理的重要性。其中一次是1953年8月12日通用汽车公司在密

歇根州的一个汽车变速箱厂因火灾缺失了5000万美元，成为美国历史上缺失最

为严峻的巧起重大火灾之一。1952年，格拉尔在其调查报告《费用操纵的新时

期—风险治理》中首次提出并使用了“风险治理”一词。到了60年代，在美国

保险治理协会(ASIM)的推动下，风险治理教育在美国风行起来。70至80年代，

布雷顿森林体系的瓦解，使任何经济个风光临着空前的财务性风险；同时，科技

灾难的相继发生(如美国挑战者号航天飞机的失事、苏联切尔诺贝利核电站事故

等)，使风险治理思维产生庞大变动。人们意识到，治理风险不应只重技术与经

济财务，也应注重人为作业绩效与文化社会背景的阻碍，财务性风险治理与危害

性风险治理不能各行其是。90年代之后，经济全球一体化及衍生产品的进展使

企业面临更大的不确定性和风险的考查。巴林、基德和联邦人寿保险公司的破产

以及1997年亚洲金融危机将传统风险治理的局限性暴露无遗。人们开始反思过

去的“筒仓式风险治理”M(naganigsrikby51105)手段，寻求新的风险治理思路，

即整体风险治理(Integratdesrikmnagaemen)t或企业风险治理

E(netprsrieriksmnagaemen)t。①这一时期成为了现代全方位风险治理形成的转折

点。对此有一个形象的比喻—盲人摸象。风险就像是一头大象，传统的风险治理

就像是盲人摸象，只能得到片面的认识。只有将各方面的风险关注整合在一起进

行全方位的风险治理，才能触摸到风险治理的本质。

3.42风险治理的概念

我们先来看一下国内学者的定义。陈秉正将风险治理定义为：风险治理是通

过对风险进行识别、衡量和操纵，以最小的成本使风险缺失达到最低的治理活动。

②许瑾良认为，风险治理确实是应用一样的治理原理去治理一个组织的资源和活

动，并以合理的成本尽可能减少灾难事故缺失和它对组织及其环境的不良阻碍。

③在国外，对风险治理的系统研究则以梅尔与赫尔奇斯《企业风险治理》(1963)、

威廉姆斯与汉斯《风险治理与保险》的出版为标志。后者指出风险治理是通过对

风险的识别、衡量和操纵，以最少的成本将风险导致的各种不利后果减少到最低

限度的科学治理方法。①约尼思与福德对风险治理界定为风险治理是指为了建构

风险与回应风险所采纳的各类监控方法与过程的统称。②长期以来，风险治理的

关注对象要紧是那些可能带来缺失的风险。风险治理在20世纪90年代往常差不

多上是围绕纯粹风险展开的，并将保险作为风险治理的要紧手段。研究风险治理

的人大多来自保险界，具有有用意义的风险治理手段也通常是针对纯粹风险的，

这在一定程度上限制了风险治理的进展。随着经济的迅速进展和社会的不断进

步，人们对风险治理的认识开始发生了庞大的甚至是全然性的变化。

任何风险治理都应像所有操纵系统一样，包括三项要素：第一，风险治理

的目标；第二，风险信息的收集与说明；第三，阻碍人们行为与调整系统架构所

采取的措施。就治理的目标与对风险的说明而言，风险的客观实体派与主观构建

派有所不同。客观实体派治理的目标是降低风险水平，并视风险为客观存在的实

体。主观构建派治理的目标是如何与风险共生存并视风险由人们特定的文化社会

因素建构而成。风险客观实体派与主观构建派对风险的不同思维，正可互补而非

替代。前者，使我们治理风险而知其然；后者，则可使我们知其因此然。

3.5风险治理的程序与方法

不论什么类型的风险，其治理过程一样都包括以下几个关键步骤：识别各种

可能减少企业价值(导致缺失)的重大风险；衡量潜在的缺失频率和缺失程度；开

发并选择适当的风险治理方法，其目的是增加股东的企业价值；实施所选定的风

险治理方法；连续地对公司风险治理方法和风险治理战略的实施情形和适用性进

行监督。关于风险治理方法，一样能够把它们大致分为三类，缺失操纵、缺失融

资和内部风险抑制。缺失操纵是指通过降低缺失频率同时(或者)减少缺失程度(规

模)来减少期望缺失成本的各种行为，有时也将缺失操纵称为风险操纵。通常把

要紧是为了阻碍缺失频率的行为称为缺失防止手段，而把要紧是为了阻碍缺失程

度的行为称为缺失降低手段。缺失操纵有两种常用的方法，第一，公司能够通过

减少风险行为的数目降低风险(比如降低有风险的产品的产量)。然而这种战略有

一个最大的缺陷，那确实是它尽管考虑了风险行为的缺失，却因此丧失了风险行

为可能带来的受益。第二种用于缺失操纵的方法是提高对给定风险行为水平的预

防能力，其目的是使风险行为变得更安全同时降低风险的缺失频率和缺失程度，

但为此必须支付一定的成本。用猎取资金而支付或抵偿缺失的方法称为缺失融资

或风险融资。通常有四种缺失融资的手段：自留，指公司自己承担了部分或全部

缺失；购买保险合同；套期保值；其他的和约化风险转移手段。内部风险抑制则

要紧有两种形式：分散化和信息投资。信息投资的目的是为了对期望缺失进行更

理想地推测。风险治理的要紧目标是通过风险成本最小化实现企业价值最大化。

四、COSO理论

4.1ERM一IF的定义与分析

9.11突击和安稳公司倒闭等突发事件带来的冲击，使得世界范畴内的企业

掀起了加强企业风险治理的热潮，然而理论界却一直没能对风险治理进行系统的

研究。在此背景下，COSO委员会于2001年提出了对企业风险治理进行研究的

构想，并邀请了普华永道事务所作为合作伙伴，组织各方面的专家进行集体的讨

论。2003年7月，COSO委员会公布了企业风险治理框架的征求意见稿，并于

2004年9月公布了《企业风险治理框架》正式稿(Enteprsrie形ksMnagamenet—

nItgeratdeFrmaewokr，以下简称ERM一IF)。ERM一IF提出，企业风险治理是

一个受到企业董事会、治理者和其他职员阻碍，应用于战略制定并贯穿整个企业，

对可能阻碍企业的潜在事项进行识别，把风险操纵在企业的风险偏好之内，为实

现企业目标提供合理保证的过程。①从企业风险治理的这一概念，能够看出ERM

一FI的如下特点：

(l)是一个动态的过程。企业风险治理不是一个事项或境况，而是贯穿于企

业所有活动中的一系列行为。这些行为渗透到和固化在治理者经营企业的方式

中。尽管有效的企业风险治理会增加耗费，比如风险评估需要增加耗费来开发所

需的模型和做出必要的分析和运算。然而，这些和其他的企业风险治理机制是与

企业的经营活动缠绕在一起，并因为差不多的经营缘故而存在。并不像有些人认

为的那样是附加在企业活动上的东西，或是一种必要的负担。假如这些机制内置

于企业的基础组织并成为企业核心的组成部分，那么企业风险治理会更加有效。

通过建立企业风险治理，企业能够直截了当阻碍事实上施战略和完成愿景或认为

的能力。建立企业风险治理对成本操纵也有重要的意义，专门是企业面对高度竞

争的市场环境时。在现有的程序之外增加新程序会增加成本。然而，通过关注当

前的经营和它们对有效的企业风险治理的奉献，以及将风险治理与差不多的经营

活动结合在一起，就能够幸免不必要的程序和成本。而且，将企业风险治理同经

营结构结合在一起能够关心治理者在业务成长中识别并抓住新的机会。

(2)受人们的阻碍。企业风险治理受董事会、治理者和其他职员的阻碍。它

的实现依靠于组织中的人及他们的所行所言。人们确定企业的任知宗旨、战略和

目标并进行企业风险治理。同样的，企业风险治理受人们行为的阻碍。人们可不

能总是一贯地明白得、沟通和履行任务。每一个个体都具有专门的背景和技术能

力，并有不同的需求和优先权。这些事实阻碍着企业风险治理，也受到企业风险

治理的阻碍。每一个人都有一个专门的参考点，它会阻碍个人对风险的识别、评

估和反应。企业风险治理提供了关心人们在企业目标背景下明白得风险所需要的

机制。人们必须明白他们的责任和权益的界限。同样的，人们的职责与人们履行

职责的方式之间和企业的战略与目标之间存在清晰、紧密的联系。组织的人员包

括董事会、治理者和其他职员。尽管董事会要紧进行监督，但他们也提供指导和

批准战略、某些交易和政策。因此，董事会是企业风险治理的重要元素。

(3)应用于长期战略制定过程。一个企业制定其任务或愿景并建立支持其愿

景或任务并与之保持一致的战略目标(高层次目标)。企业建立实现其战略目标的

战略。它也会制定想要实现的相关目标，从战略产生，像瀑布样分解到经营单位、

部门和程序。在制定战略的过程中，治理者要考虑与战略选择相关的风险。

(4)应用于整个企业。为了能够成功应用企业风险治理，一个企业必须考虑

其全部的活动。应予以考虑的活动包括组织的所有层次，从企业层次的活动比如

战略打算和资源分配，到经营单位的活动比如市场和人力资源，到经营过程比如

生产和新顾客的信用审查。企业风险治理也应用于专门项目和在企业层级与组织

图中尚无指定位置的创新行为。企业风险治理要求企业采取风险组合的观点。这

可能涉及到每一个负责经营单位、功能、过程或其他活动的风险评估的治理者。

这种评估可能是数量上的也可能是质量上的。采纳组合的观点看待后续的每一组

织层次，高层治理者需要决定企业整体风险组合是否与其风险偏好相配合。

治理者要从企业整体组合的视角考虑相关的风险。识别并采取行动把企业

整体风险置于风险偏好之内。企业个别单位的风险在单位的风险容忍度之内，但

其风险总和可能超过企业整体的风险偏好。通过为特定目标制定风险容忍度能够

反映企业整体的风险偏好。

(5)风险偏好。风险偏好是企业在追求价值时所情愿同意的风险数量。企业

经常定性地考虑风险偏好，将之分为高水平、中等水平和低水平，或者也会用定

量的方法，反映并平稳成长、回报和风险目标。风险偏好与企业战略直截了当相

关。在战略制定时要考虑风险偏好，因为在战略中获得的回报要同企业的风险偏

好一致。不同的战略会使企业暴露在不同的风险之中。在制定战略时进行企业风

险治理，关心企业选择与其风险偏好一致的战略。企业风险偏好指导企业资源的

分配。为从投入的资源上获得期望的回报，企业的风险偏好和个体经营单位的战

略是治理者在分配资源时应考虑的因素。治理者在和谐组织、人员和过程时考虑

风险偏好，并设计必要的基础结构对风险做出有效地反应和监督风险。风险容忍

度是可同意的与实现目标相关的变动水平。在设定风险容忍度时，治理者要考虑

相关目标的相对重要性并使风险容忍度与它的风险偏好保持一致。在风险容忍度

之内经营给治理者提供更大的保证：企业将会坚持在风险偏好之内，从而能够以

更高的程度保证实现企业的目标。(6)提供合理保证。设计和实施良好的企业风

险治理能够为治理者和董事会实现企业目标提供合理保证。若企业风险治理是有

效的，董事会和治理者能够获得以下每一个目标的合理保证：

·了解企业长期战略目标被实现的程度；

·了解企业短期经营目标被实现的程度；

·企业的报告是可靠的；

·适用的法律和法规得到了遵循。

合理保证反映了一种观念，由于没有人能够准确推测以后，因此不确定性和

风险与以后有关。局限性还来自于人们在制定决策时判定可能显现失误，做出风

险反应决策和建立操纵需要考虑相应的成本和收益，由于人们可能显现错误或失

误而导致失败，两个或多人的共谋可能绕过操纵，治理者拥有超越企业风险治理

的能力。这些局限性使得董事会和治理者不能为实现企业的目标提供绝对保证。

(7)目标的实现。有效的企业风险治理能够预期为实现可靠的报告和法律与法规

的遵循相关的目标提供合理保证。这些目标的实现在企业操纵之内并依靠于企业

有关活动的实施情形。然而，实现战略和经营目标并非总在企业操纵之内。

关于这些目标，企业风险治理仅能提供如下合理保证，治理者和担任监督任务的

董事能够及时地了解企业向其目标前进的程度。

2.2.2ERM一Fl的构成要素

企业风险治理由八个相关的要素构成。这些要素来自于治理者经营企业的方式，

并和治理过程结合为一个整体。因此，能够将EMR一FI称为是内部操纵的“八

点论”。

1内部环境(1nternalEnvironment)

企业的内部环境提供规则和结构，是企业风险治理其他构成要素的基础。内

部环境阻碍战略和目标的制定、经营活动的组织和对风险进行的识别、评估和采

取的行动。它会阻碍操纵活动、信息和沟通系统、监督活动的设计和职能。同样，

内部环境也会受到企业的历史和文化的阻碍。内部环境由众多要素组成，包括企

业的道德价值、职员的进展和胜任能力、治理者经营风格和权益与责任的分配。

董事会是内部环境中的关键因素，对内部环境的其他因素有重大阻碍。董事会中

必须有足够的独立外部董事，他们不仅提供合理的建议、忠告和指导，而且要起

到对治理者进行检查和制衡的作用。为使内部环境有效，董事会至少应拥有多数

的独立外部董事。治理者的态度和日常经营风格会阻碍到企业行为同风险哲学和

偏好之间的一致程度。作为内部环境的一部分，治理者建立风险治理哲学、制定

企业风险偏好、形成风险文化并把企业风险治理与有关的主动性结合起来。为所

有职员明白得的企业风险治理哲学有助于雇员识别和有效治理风险。这一哲学—

企业关于风险和它如何选择指导其活动并处理风险的信念—反映了企业从企业

风险治理中追求的价值并阻碍企业风险治理要素如何被应用。有些企业采纳企业

风险治理可能是为了满足外部利益相关者的要求，比如母公司或监管者，更多的

可能是因为治理者认识到有效的风险治理能够保持并制造价值。治理者通过政策

说明和其他方式向职员传递它的企业风险治理哲学。重要的是，治理者不仅通过

语言而且通过日常行为来强化这种哲学。由治理者制定并由董事会审核的风险偏

好是制定战略的路标。通常能够设计许多不同的战略来实现企业增长和回报的目

标，每一个不同的战略都有不同的相关风险。应用于战略制定的企业风险治理能

够关心治理者选择与其风险偏好一致的战略。治理者寻求组织、人员、过程和差

不多结构的一致以有助于成功的实施战略并使企业保持在它的风险偏好之内。风

险文化是表征企业在其日常活动中如何考虑风险的共同态度、价值和适应。对许

多公司来说，源自它的风险哲学和风险偏好。关于那些没有明确定义风险哲学的

企业，风险文化可能随意形成，在企业内部甚至一个特定经营单位、职能或部门

内形成区别专门大的风险文化。企业内不同的经营单位、职能和部门的风险文化

会有细微的差别，称之为风险亚文化(rikssubuchules)。个别的，这些亚文化可能

会对企业产生不利的阻碍。但假如它们一起产生作用，相互补偿不足，这些不同

的文化可能共同地反映企业想要的风险偏好和哲学。

2目标设定(objeetiveSetting)

在既定的任务和愿景下，治理者制定战略，选择战略并制定相关目标，细分

至企业的方方面面，与战略保持一致并相联系。目标必须在治理者能够识别阻碍

目标实现的潜在事项之前就己经存在。企业风险治理确保治理者有一个适当的过

程，既设定目标又将目标和企业任务与愿景相连并同企业风险偏好相一致。

企业目标要紧有以下四种类型：

·长期战略目标—与高层目标相关，与企业任务和愿景一致并提供支持；

·短期经营目标—与企业经营的效率性和成效性有关，包括业绩、盈利目标和保

证资源以防缺失，它们随治理者选择的结构和业绩而变化；

·有效报告目标—与企业报告的有效性相关，包括对内和对外报告，可能涉及财

务或非财务信息；

·法制遵守目标—与企业遵守适用的法律和法规有关。尽管企业应为实现某些目

标提供合理保证，但并非针对所有目标。关于报告和遵守目标企业能够提供合理

保证，因为两者差不多在企业操纵范畴之内。而经营目标则不同，它可能受到许

多外界因素的阻碍，而这些因素在企业操纵范畴之外。企业在设定目标时可能差

不多考虑了这些因素并把它们当作低概率事件，而且制定了这些事件发生时的应

急打算。然而，如此的打算也只能减轻这些外部事件的阻碍，并不能保证经营目

标的实现。对企业目标的分类能够使治理者和董事会集中精力于企业风险治理的

某一个方面。这些明确但又相互重叠的类别—一个专门的目标能够归入不止一个

类别—表达了不同企业的需要，而且可能是不同治理者的直截了当责任。这种分

类也能够区分从每个目标中期望得到的东西。有些企业使用目标的其他分类，“保

证资源”有时称为“保证资产”。广泛地说，它们用以防止企业资产或资源的缺

失，不管是盗窃、白费、低效或不良经营决策—如低价出售产品、关键人员的流

失、专利权被侵害或导致无法预料的负债。这种广泛意义上的保证资产概念可能

因具体报告目的而缩小，在此保证的概念仅指阻止或及时发觉未经授权的取得、

使用或处置企业资产。

3事项识别(Event一dent1f1eat1on)

治理者由于无法预知事项是否和何时发生，或它发生的结果，从而认识到不

确定性的存在。作为事项识别的一部分，治理者需要考虑阻碍事项发生的内部和

外部因素。外部因素包括经济、业务、自然环境、政治、社会和技术因素。内部

分析因素反映了治理者的选择包含差不多结构、人员、过程和技术。事项识别技

术既关注过去也关注以后。对潜在事项进行分类可能是有用的。通过综合横向贯

穿一个企业和纵向贯穿所有经营单位的事项，治理者能了解事项间的相互关系并

获得更多的信息作为风险评估的基础。事项具有潜在的负面或正面阻碍，或两者

兼而有之。具有潜在负面阻碍的代表风险，治理者要对之进行评估和做出反应。

相应地，风险被定义为事项发生并对目标实现产生不利阻碍的可能性。具有潜在

正面阻碍的事项代表机会或补偿风险的负面阻碍。代表机会的事项引导治理者的

战略和目标制定过程，从而采取行动以抓住机会。

表2一l外部因素以及相关事项

表2一2内部因素及相关事项

.

4风险评估(RiskAsssment)

风险评估使企业考虑潜在事项如何阻碍目标的实现。治理者从两个方面评估

事项：可能性和阻碍。企业风险评估方法通常包括定性和定量方法的结合。假如

风险不适于定量，或不能获得充分可靠的数据或猎取和分析数据不符合成本—效

益原则时，治理者通常使用定性评估方法。定量方法更精确，在评估更加复杂的

活动时作为对定性方法的补充。评估风险的可能性和阻碍时使用过去可观看事项

的数据来确定，基于企业自身经历的内部数据可能较少受到个人主观偏见的阻碍

并比来源于外部的数据提供更佳的结果。内部操纵理论的新进展探讨—基于

Coos公布的企业风险治理整体框架(ERM一IF)的分析治理者通常使用业绩指标

来衡量目标实现的程度。在考虑风险对实现特定目标潜在阻碍时采纳相同的方法

可能是有用的。事项相结合并互相作用产生相当不同的可能性和阻碍，因此治理

者需要评估事项如何相关联。尽管单一事项的阻碍可能是微小的，但一系列事项

可能产生重大阻碍。风险评估第一应用于固有风险—治理者缺乏有效的手段以改

变其可能性和阻碍的风险。一旦己经做出风险反应，治理者使用风险评估技术确

定剩余风险—治理者采取措施改变风险的可能性或阻碍后的残存风险。

表2-4提供了定量风险评估技术的例子。

·标杆治理一组实体协作的过程，标杆治理关注特定的事项或过程，对采纳相同

尺度衡量的指标和结果进行比较，并识别改进的机会。有关事项、过程和指标的

数据用以业绩的比较。有些公司使用标杆治理对整个实体内潜在事项的可能性和

阻碍做出评估。

·概率模型—与一定范畴相关的概率模型和这些事项可能的阻碍结果基于某些假

设的基础之上。在历史数据或反映以后行为假设的模拟产出的基础上评估可能性

和阻碍。概率模型的例子包括风险价值、风险现金流、风险盈利、信用进展和经

营缺失分布。概率模型能够在不同的时刻范畴之内使用，以对金融工具价值随时

刻变动的结果进行估量。对比极端的或未能预料的阻碍，概率模型还可用来评估

期望的或平均的产出。

·非概率模型—非概率模型在对事项的阻碍进行评估时使用主观假设，不对相关

的可能性进行定量。在历史或模拟数据和以后行为假设的基础上评估事项的阻

碍。非概率模型的例子包括敏锐指标、重点测试和情形分析。

5风险反应(RisksRespon)

治理者确定风险反应选择并在风险容忍度和成本—收益原则下考虑它们对

事项的可能性和成效的阻碍，然后设计和实施选择的反应。有效的企业风险治理

要求治理者选择预期能够将风险可能性和阻碍置于企业风险容忍度之内的反应。

风险反应包括风险回避、风险降低、风险共享和风险同意。回避反应是退出带来

风险的活动。降低反应减少风险可能性或阻碍或两者兼而有之。共享反应通过转

移或分担一部分风险的方法降低风险可能性或阻碍。同意反应则不采取任何阻碍

风险可能性和阻碍的行动。作为企业风险治理的一部分，对每一个重大风险，企

业要从一系列风险类型中考虑潜在反应。

在选择了一个风险反应后，治理者要从残余的角度重新校准风险。治理者从

企业整体或组合的角度考虑风险。治理者能够采纳如此的方法，让负责每一个部

门、职能或经单位的经理为本部门制定一个综合的风险评估和风险反应。那个视

图反映出和这一单位的目标与容忍度相关的风险组合。有了单个单位的风险视

图，企业的高级经理就处在从风险组合的角度来确定企业风险组合是否与其目标

相关的风险偏好相称。治理者应该认识到剩余风险总是存在的，不仅是因为资源

有限，还因为以后固有的不确定性和所有活动的固有局限性。表2一5提供了如

何应用这些反应方案的示例。

·回避—一个非营利组织识别和评估直截了当向其成员提供的医疗服务的风险，

决定其不能同意相关的风险。从而决定提供转诊介绍(erefrral)服务。

·降低—一家证券清算公司识别和评估其系统服务中断超过三个小时的风险，认

为显现这种情况的阻碍是不能同意的。公司进行技术投资以提高故障自我诊断和

支持

系统的能力，从而降低系统中断的可能性。

·共享—一家大学识别和评估与其学生宿舍治理相关的风险，认为它不具备有效

地治理这些大型居住财产所需的内部能力。大学将宿舍治理外包给一家财产治理

公司，能够更好地降低与财产相关风险发生的可能性和阻碍。

·同意—一家政府机构对其不同地域的基础设施遭受火灾的风险进行识别和评

估，并评估了利用保险共享风险的成本。认为投保所增加的成本超过了受灾后重

建的可能成本，因此决定同意这一风险。

6操纵活动(ControlAetivities)

操纵活动是有助于保证风险反应得到恰当实施的政策和程序。操纵活动存

在于整个组织的所有层次和职能中。包括一系列的活动：批准、授权、查证、调

解、审查经营业绩、保证资产和职务分离等。企业实施的操纵活动能够分为不同

种类，包括预防操纵、侦查操纵、人为操纵、运算机操纵和治理操纵。操纵活动

是企业努力实现其经营目标过程的一部分。通常包含两个要素：确定应做什么的

政策和有效地实施政策的程序。由于广泛的依靠于信息系统，从而对重大系统需

要进行操纵。有两类信息系统操纵活动：一样操纵和应用操纵。因为每一个企业

都有自己的一套目标和实施方法，不同企业间的目标、结构和相关的操纵活动会

存在差别。即使两个企业具有相同的目标和结构，它们的操纵活动也专门可能不

同。每一个企业都由不同的人来治理，他们运用自己的判定去阻碍内部操纵。而

且，操纵反映了企业经营所处的环境和行业，也反映了它的组织、历史和文化的

复杂性。

7信息和沟通(1nformat1onandComnfun1eat1on)

相关信息—来源于内部的和外部的—必须被识别、捕捉并以一种职员能够履

行其职责的方式沟通。有效地沟通含义广泛，包括在整个企业内自上而下、横向、

自下而上的沟通。还包括与外部团体有效地沟通和交换相关的信息，比如客户、

供应商、监管者和股东。为支持有效的企业风险治理，企业需要捕捉、使用历史

的和当前的数据。历史数据能够使企业追踪当前业绩并与目标、打算和期望比较。

它能够洞悉企业如何在变化的环境里经营，使治理者识别相关性和趋势并推测以

后业绩。现在和当前的数据能够使企业及时的评估在某一特定时点的风险并坚持

在确定的风险容忍度之内。信息是沟通的基础，必须满足团体和个体的期望以使

他们有效地履行其职责。高层治理者与董事会之间的沟通是最重要的沟通渠道。

治理层必须保证董事会了解最新的业绩、进展、风险和企业风险治理的运作以及

其他相关事项和问题。沟通越好，董事会就越能有效地履行其监督职责，在关键

问题上提供合理的建议、忠告和指导。治理者应提供详细和指导性的沟通，详述

行为期望和个人的职责。这包括清晰的说明企业风险治理的哲学和方法及授权。

沟通应能提高对有效的企业风险治理的重要性和相关性的认识，应传递企业的风

险偏好和风险容忍度。外部沟通渠道能够提供关于产品、服务设计或质量的高度

重要的信息。治理者应考虑如何将自己的和客户、供应商与合作伙伴的风险偏好

和风险容忍度保持一致，保证它可不能无意中因业务的相互作用而承担太大的风

险。来自外部的沟通经常能提供企业风险治理运行的重要信息。

8监督(Mon1tor1ng)

企业风险治理需要被监督—一个同时评估其要素当前功能的发挥和它们的

业绩质量的过程。能够通过两种方法进行监督：通过连续活动和单独评判。连续

的和单独的监督能够保证企业风险治理在各个层面上得到不间断的应用。连续监

督建立在企业正常的、重复发生的活动之上。连续监督在适时基础上运行，对环

境的变化做出动态反应并在企业里根深蒂固。因此，它要比单独评判更有效。因

为单独评判在事后进行，采纳连续的监督程序能够更快地发觉问题。许多有健全

的连续监督活动的企业仍旧采纳对企业风险治理的单独评判。目标与企业风险治

理要素之间的关系能够用下图来表示：

四种类型的目标—战略、经营、报告和遵循—由垂直列表示·八个要素由水平列

表示

企业和它的组织单位由立方体的第三维表示

单独评判的频率依靠于治理者的判定。在做出判定时需要考虑内部或外部事项变

化的本质和程度、与它们相关的风险、实施风险反应和相应操纵的人员的胜任能

力和体会以及连续监督的结果。将连续监督和单独评判结合在一起能够确保企业

风险治理一直保持有效。企业风险治理保持恰当的记录水平通常能够使监督更有

效率和成效。所有会阻碍企业制定与实施战略和实现所制定的目标的企业风险治

理的不足都应该告知那些负责采取必要行动的人。