【正文】 圖來表示，以準確反映授權方式和報告關系。設置合理的組織結構，有助于建立良好的內部環(huán)境。在大多數情況下，領導者都會根據具體的情況采取多種領導方式的組合策略，但不管怎樣，這些組合通常也帶有明顯的個人風格。在組織專業(yè)能力較強，任務復雜多變，組織成員與管理者之間具有一定程度的信任感的情況下，民主化的領導方式有利于發(fā)揮專業(yè)人員的專業(yè)優(yōu)勢，同時也利于統(tǒng)一意見，鼓舞士氣。在一些任務比較特別，完成任務的過程中成員自主性較強，成員本身的責任感和專業(yè)能夠保證其獨立完成工作，管理者和員工之間具備充分的信任感的情況下，可以采用自由放任式的領導方式。③領導方式的分類領導風格和領導方式密不可分，領導方式因人而異，也因組織而異。關系驅動型是指領導者更加注重通過理順組織關系，通過溝通和協(xié)調來調動成員的工作積極性和能動性來完成組織任務。任務驅動型是指領導著重考慮任務的分解、落實，相應地，在領導的過程中，領導者更傾向于應用權威進行命令式的指揮和根據目標隨時進行強有力的控制。在組織中，領導風格與領導方式體現了組織的管理理念和經營風格，即一個組織對風險的態(tài)度、對財務的態(tài)度、決策方式和溝通方式等。在這個因素中，領導的風格是一個非常重要的因素。（1）管理的理念、方式和風格管理當局在建立一個有力的內部環(huán)境中起著關鍵的作用，風險管理只要得到高層的重視才能取得成功，如果主要領導人濫用職權，或者不相容職務串通舞弊，風險管理必然失效。內部環(huán)境包括以下要素：●誠信和職業(yè)道德價值觀；●管理層的理念和經營風格以及思想和作風；●組織結構（包括治理結構）；●權力和責任的劃分（授權和分配責任的方法）；●人力資源政策和實務；●人員的勝任能力。IIA實務標準詞匯表指出，“控制環(huán)境指董事會和管理層對組織風險管理重要性的態(tài)度及行動。這里我認為把“內部環(huán)境”改為“風險管理環(huán)境”更恰當，因為“內部環(huán)境”從字面上來看讓人感覺風險管理面臨的風險及其需要考慮的環(huán)境僅僅局限于內部。組織的內部環(huán)境不僅影響組織戰(zhàn)略和目標的設定、業(yè)務活動的組織和對風險的識別、評估和反應，還影響組織控制活動、信息和溝通系統(tǒng)以及監(jiān)控活動的設計和執(zhí)行。它決定了一個組織的管理基調，提供組織紀律與架構，塑造組織文化，并影響著員工的控制意識。組織的內部環(huán)境主要是指企業(yè)風險管理的環(huán)境，是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構，在企業(yè)風險管理的建立與實施中發(fā)揮著基礎性作用。 概念和作用所謂內部環(huán)境就是對組織風險管理的建立和實施有重大影響的因素的統(tǒng)稱，是建立、加強或削弱特定政策和程序效率發(fā)生影響的各種因素的統(tǒng)稱。（一）內部環(huán)境 即使是站在某一特定的業(yè)務部門的角度來看待風險管理，所有的要素也都應作為基準包含在內。企業(yè)的風險管理要有效，則其設計必須包括所有的要素并得到執(zhí)行。總之，企業(yè)風險管理是一個過程，企業(yè)風險管理的有效性是某一時點的一個狀態(tài)或條件。(8)設計合理、運行有效的風險管理能夠向組織的管理者和董事會在組織各目標的實現上提供合理的保證。風險管理的目的并非將風險降低到零，也并非將風險控制的越低越好，而是在考慮企業(yè)風險偏好的前提下，設計風險管理的模式和策略，從而達到企業(yè)風險管理的目的——將風險控制在企業(yè)可以接受的風險偏好范圍內。風險偏好主要指對待風險的態(tài)度，具體指組織愿意承受的風險水平。 這里在考慮分目標時，鼓勵分析人員不要孤立地考慮問題，而是將分目標放在組織整體上來進行考慮，這樣判斷標準就非常清晰明確，從面上看點就更加全面，而不是管中窺豹，只見一斑，見樹木而不見森林。企業(yè)的風險管理應考慮組織內所有層面的活動，從組織總體的活動(如戰(zhàn)略計劃和資源分配)到業(yè)務部門的活動 (如市場部、人力資源部)，再到業(yè)務流程(如生產過程和新客戶信用復核)。（6）該風險管理過程應該應用于組織內部每個層次和部門，組織管理者對組織所面臨的風險應有一個總體層面上的風險組合觀。一個組織為實現其戰(zhàn)略目標而制定戰(zhàn)略，并將戰(zhàn)略分解成相應的子目標，再將子目標層層分解到業(yè)務部門、行政部門和各生產過程。(5)該過程可用于組織的戰(zhàn)略制定。(4)企業(yè)風險管理是一個由人參與的過程，涉及一個組織各個層次的員工。它隨著組織的目標的變化而變化，隨著面臨環(huán)境的變化而變化等等，這個過程不是僵化的，就象中國古語“世移時移，變法亦矣！”，這個世界唯一不變的是變化，否則就是刻舟求劍，緣木求魚。這里和風險管理的定義一樣，強調風險管理也是一個過程，是動態(tài)的，組織經營管理環(huán)境的變化必然要求風險管理適應環(huán)境變化的要求，風險管理不僅僅是在某個特定時間里執(zhí)行的政策和程序，不僅僅是一種工具，而是組織內部的各部門連續(xù)運作。這里是一個非常明顯的進步，這種進步不僅僅在于提出“風險管理框架針對一類或幾類相互獨立但又存在重疊的目標”風險管理的目標也是實現多個目標，這里的關鍵區(qū)別在于直接明確風險管理的終極目標是促進組織目標的實現，這就揭示了風險管理的目的，為風險管理指明了方向，同時這也是判斷風險管理成功失敗的唯一的標準，即風險管理能否有效促進組織目標的實現。如果將風險管理看成是一個目標，就會為建立而建立，就會本末倒置，流于形式。這些行動普遍存在于管理者對組織的日常管理中，是組織日常管理所固有的。 (1)企業(yè)的風險管理是一個過程，其本身并不是一個結果，而是實現結果的一種方式。該定義強調： 這是一個廣義的風險管理定義，適用于各種類型的組織、行業(yè)和部門。二、企業(yè)風險管理的定義《企業(yè)風險管理——整合框架》（簡稱ERM框架）指出，“全面風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項、管理風險，以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證”。COSO發(fā)布《企業(yè)風險管理——整合框架》的目的與當初發(fā)布風險管理框架的目的相似，是由于實務界存在對統(tǒng)一的概念性指南的需要。，該框架是在1992年COSO委員會頒布的內部控制框架基礎上，吸收各方風險管理研究成果基礎上提出的，是內部控制整體框架的延伸和擴展，一經推出，就迅速得到了推廣。在此期間出現了安然公司破產事件、美國國會2002年出臺了《2002公眾公司會計改革和投資者保護法案》（薩班斯——奧克斯利法案），該法案是繼美國《1933年證券法》、《1934年證券交易法》以來又一部具有里程碑意義的法律，該法案強調了公司內部控制的重要性，從管理層、內部審計以及外部審計等幾個層面對公司內部控制做了具體規(guī)定，并設置了問責機制和相應的懲罰措施，成為繼20世紀30年代美國經濟危機以來，政府制定的涉及范圍最廣、處罰最嚴厲的公司法律。第二章 《企業(yè)風險管理——整合框架》基本理論一、《企業(yè)風險管理——整合框架》（簡稱ERM框架）的頒布1992年COSO發(fā)布的《內部控制——整合框架》雖然被許多企業(yè)采用，但理論界和實務界紛紛提出改進建議，認為其對風險強調不夠，使得內部控制無法與企業(yè)風險管理相結合。2001年，COSO委托普華永道開發(fā)一個對于管理層評價和改進他們所在組織的企業(yè)內部控制的簡便易行的框架。2004年，Treadway 委員會下屬的發(fā)起組織委員會(COSO)發(fā)布了《企業(yè)風險管理——整合框架》（ERM） 本人認為COSO發(fā)布的《企業(yè)風險管理——整合框架》，具有較強的理論可取性和實踐可行性，不但涵蓋了內部控制整體框架的全部內容，而且有了更多的創(chuàng)新，必將全面替代COSO發(fā)布的內部控制整合框架，所以本書按照COSO發(fā)布的《企業(yè)風險管理——整合框架》來闡述。這個框架的顯著變化是將內部控制上升至全面風險管理的高度來認識。COSO希望新框架能夠成為組織董事會和管理者的一個有用工具，用來衡量組織的管理團隊處理風險的能力，并希望該框架能夠成為衡量企業(yè)風險管理是否有效的一個標準。企業(yè)全面風險管理指貫穿整個組織的具有結構性、一致性和持續(xù)性的過程，以識別、評估、決定如何應對及報告影響組織目標實現的機遇和威脅。 該定義直接關注組織目標的實現，并且為衡量企業(yè)風險管理的有效性提供了基礎。 企業(yè)的風險管理是滲透于組織各項活動中的一系列行動。它僅是一種工具，是實現目標的工具而已。(2)企業(yè)全面風險管理框架針對一類或幾類相互獨立但又存在重疊的目標，目的在于組織目標的實現。（3）企業(yè)的風險管理是一個過程，一個系統(tǒng)的持續(xù)的動態(tài)過程。是一個發(fā)現風險、處理風險、發(fā)現新風險、處理新風險的循環(huán)往復過程。同時，也強調風險管理是一個全面的系統(tǒng)過程，他不僅僅限于對某一事項和情況的處理，而是滲透到組織的每個方面，只有把風險管理嵌入到組織日常的管理過程中，才能發(fā)揮風險管理機制的作用。定義一方面強調風險的管理不是高高在上，由組織的上層和董事會來實施并承擔責任的，而是組織內每一個人的責任，強調人人有責任和義務參與風險管理，雖然參與的方式有所不同；另一方面也說明每一個員工所做的每一件事和每一份努力都和組織目標的實現、和風險的控制有直接的關系，培養(yǎng)員工的參與感，樹立員工的主人翁意識和歸屬感，發(fā)自內心地關心企業(yè)的風險管理。 組織目標可以分為不同的層次，戰(zhàn)略目標是組織最高層次的目標，它與組織的預期和任務相聯(lián)系并支持預期和任務的實現。在制定戰(zhàn)略時，管理者應考慮與不同的戰(zhàn)略相關聯(lián)的風險。 一個組織必須從全局、從總體層面上考慮組織的各項活動。組織是一個整體，有一個整體總目標，雖然總目標分成很多分目標，但是分目標和總目標的實現不是矛盾的，而是統(tǒng)一的，分目標的實現有利于總目標的實現，否則，分目標就是失敗的。(7)該過程是用來識別可能對組織造成潛在影響的事項并在組織風險偏好的范圍內管理風險。不同組織，同一組織的不同領導人，其風險偏好各不相同，在不同的風險偏好下，風險管理的策略也不相同。一方面強調風險管理可以提供保證；另一方面也強調在完美的風險管理也不可能提供絕對的保證，任何情況下，風險都很難降到零，所以，風險管理只能提供合理的保證，迷信或片面夸大風險管理的效果是不恰當的。決定一個企業(yè)的風險管理是否有效是基于對風險管理要素設計和執(zhí)行是否正確的評估基礎上的一個主觀判斷。企業(yè)風險管理可以從一個組織的總體來認識，也可以從一個單獨的部門或多個部門的角度來認識。三、企業(yè)風險管理框架的構成要素 企業(yè)風險管理框架分為內部環(huán)境、目標制定（設定）、事項識別、風險評估、風險反應（風險應對）、控制活動、信息和溝通、監(jiān)控等八個相互關聯(lián)的要素，各要素貫穿在組織的管理過程之中。 任何組織的風險管理都存在于一定的環(huán)境之中，環(huán)境的好壞直接決定組織其他控制能否實施或實施的效果。內部環(huán)境反映了董事會、管理層、業(yè)主和其他人員等對待控制（控制對于組織的重要性）的態(tài)度、認識和行動。它是其他控制因素的基礎，為風險管理界定紀律和結構。這里的內部環(huán)境和控制環(huán)境相比，外延進一步擴大，這意味著在考慮風險管理時，不但考慮直接因素，還要考慮間接因素，一句話，考慮影響風險管理的全部環(huán)境。內部環(huán)境的組成鑒于很多教材和觀點依然以COSO的五要素整合框架為最權威的框架，關于內部環(huán)境的很多說法在很多方面和控制環(huán)境基本可以換用。內部環(huán)境為實現風險管理制度的主要目標提供規(guī)范和組織架構?！背艘酝猓瑑炔凯h(huán)境還應該包括董事會和審計委員會、發(fā)展戰(zhàn)略、內部審計、企業(yè)文化、外部影響（影響本組織業(yè)務的各種外部關系，例如由銀行指定代理人的檢查）等。這里主要考慮：管理當局對待風險態(tài)度和控制風險的方法；依靠文件化的政策、業(yè)績指標以及報告體系等與關鍵經理人員溝通；為實現組織目標，組織對管理的重視程度；管理當局對會計報表所持的態(tài)度和采取的行動；對現有可選擇的會計準則和會計數值估計所持有的謹慎或冒進態(tài)度。①領導風格定義領導風格（Leadership styles）指一個組織中的管理者對經營管理的態(tài)度和處理事情的習慣做法。②領導風格的分類根據組織條件和領導人的風格，可以把領導風格區(qū)分為任務驅動型和關系驅動型兩類。這種領導風格比較適宜于任務分工明確，組織穩(wěn)定，內部關系清晰簡單的組織狀況。這一風格更多地適宜于任務分工要求較強的協(xié)作關系，技術性強，組織中專業(yè)人士較多，人際關系相對復雜的組織條件。一般地，根據組織的特征和管理者個人的偏好不同，領導方式可以分為自由放任式、民主式、結構化式和體貼式等。在組織士氣不振或分工不明確，環(huán)境復雜不利和目標難以達到的情況下，通過體貼員工，鼓勵他們達到目標的方式就是體貼式。在任務比較確定并且較為穩(wěn)定的組織中，統(tǒng)稱采用機構式的領導方式，按部就班地領導成員完成任務。（2）組織結構 組織結構是指組織計劃、協(xié)調和控制經營活動的整體框架。一個公司的組織結構包含①確定組織的形式和性質，包括確認相關的管理職能和報告關系； ②為每個內部機構劃分責任權限的制定辦法。具體應考慮：組織結構的合適性，及其提供管理機構所需信息的溝通能力；各主管人員所負責任的適當性；按照主管人員所擔負的責任，判斷其是否具備足夠的知識及豐富的經驗；當環(huán)境改變時，機構配合改變其組織結構的程度；員工，尤其是負責管理及監(jiān)督職能的員工人數的充足程度。組織的管理者也是內部環(huán)境的一部分，其職責是建立企業(yè)風險管理理念（風險管理哲學、理念或態(tài)度）及冒險的“欲望”，確定組織的風險偏好，營造組織的風險文化，并將企業(yè)的風險管理和相關的初步行動結合起來。比如，如果董事會和管理層對風險的態(tài)度是非常保守的，那么組織有可能只選擇在一些風險非常低的領域里投資，當然收益也可能相對較低。這兩個機構應當負責批準并定期審查整個經營戰(zhàn)略和重大政策；理解經營的主要風險，確定這些風險的可接受水平，保證高層管理者采取必要步驟，識別、衡量、評審和控制風險；批準機構的結構；并確保高層管理者不斷評審風險管理系統(tǒng)的有效性。強調對于組織內的全部活動要合理有效地分配職責和權限，并為執(zhí)行任務和承擔職責的機構成員特別是關鍵崗位的人員，提供和配備所需的資源并確保他們的經驗和知識與職責權限相匹配，要使所有員工知道：他們的工作行為、職責擔負形式和認可方式與達成組織目標的聯(lián)系。具體執(zhí)行時需要①計劃；②比較（實際與預算、實際與計劃）；③調查差異、采取糾正措施。(6)內部審計內部審計是組織自我評估的一種活動，它通過協(xié)助管理當局監(jiān)督其他控制政策和程序來促進好的內部環(huán)境的建立。內部審計必須獨立于被審計部門，并且直接向董事