三、风险管理框架如何改善公司治理

　　自1992年美国COSO委员会发布于1994年修订的《内部控制框架》以来，该框架已在全球获得广泛的认可和应用，但理论界和实务界一直不断对其提出一些改进建议，强调内部控制整体框架的建立应与企业风险管理相结合。2004年9月的企业风险管理整体框架就是在1992年的研究成果一一《内部控制整体框架》报告的基础上，结合2002年《萨班斯一奥克斯利法案》在报告方面的要求，进行扩展研究得来的。风险是一个比内部控制更为广泛的概念，风险管理框架包括8个要素即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。风险管理整体框架建立在内部控制整体框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架通过以下方面来改善公司治理：

　　1．建立全面的风险管理框架。组织的风险管理过程一般经过两个阶段：一是行为阶段；二是系统阶段。在早期的行为阶段，风险管理只是组织运行系统的一种外在行为。这个阶段的风险管理是非连续性的，往往是为某一具体的目的或具体的项目而开展，只对局部事件或结果进行控制。这种风险管理虽为风险管理，但是对于组织的经营系统来说，只是一种外部因素。行为阶段的风险管理存在着许多弱点，特别是当组织结构和业务变得越来越复杂，越来越庞大时，组织存在的风险因素也就越多。此时，仅仅对局部事件进行控制，难以防止所有的重大风险的发生。所以，风险管理一定要过渡到系统阶段，不仅仅对局部事件进行控制还要对全局实施全面的风险管理。公司治理在处理利益相关者的利益时，应该采用全面的风险管理框架来协调相互之间的利益。

　　2．建立植入型的风险管理。风险管理过程受到组织的运行过程的影响，甚至取决于组织的运行情况，不同的人对内部控制具有不同的理解和认识。作为风险防范的组织、人员或制度，风险管理处于组织运行之外，也常常使组织内部出现对风险管理的误解、不配合或抵触。为了解决这个问题，使风险管理成为大家都能接受的系统，就应当使这一系统植根于组织运行系统之中。也就是说，一项真正有效的风险管理框架是植入管理系统中的，而不是附加在管理系统之上。植入型风险管理是一种主动型质量控制系统，它是为了更好地实现公司治理的目标而采取的以经营管理系统为依托的控制系统。

　　四、结论

　　虽然，内部控制和全面风险管理都是改善公司的方式。但是，从两者的实质内容看，两者存在以下几项重要差异：一是内部控制仅是管理的一项职能，全面风险管理属于风险范畴，贯穿于管理过程的各个方面。二是在全面风险管理框架中，由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”，该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略和风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。所以，在以后公司治理过程中，企业应当实施风险管理框架来改善公司治理。