1.1　內(nèi)部控制的歷史演進

人類自從有了社會分工，就必須有群體活動，有了群體活動，就有了一定意義上的控制。在公元前3000多年以前，內(nèi)部控制的思想就已經(jīng)在人們的日常經(jīng)濟生活中得以運用。內(nèi)部控制的歷史可以追溯到遠古文明時期對公共資金的管理，從古埃及、古希臘、古羅馬的歷史沉跡中均可發(fā)現(xiàn)，中國《周禮》中也有記述；而早期西方的議會控制，我國的御史制度，亦均屬于內(nèi)控制度的演變。經(jīng)過人類歷史的漫長發(fā)展，現(xiàn)代內(nèi)部控制作為一個完整概念，于20世紀40年代首次被提出。此后，內(nèi)部控制理論不斷完善，逐漸被人們了解和接受。具體來說，內(nèi)部控制理論和實務(wù)經(jīng)歷了大致五個發(fā)展階段。

1.1.1　內(nèi)部牽制階段

早在公元前3600年以前的美索不達米亞文明時期，就已經(jīng)出現(xiàn)了內(nèi)部控制的初級形式。例如，經(jīng)手錢財者要為付出款項提供付款清單，并由另一記錄員將這些清單匯總報告。

15世紀末，隨著資本主義經(jīng)濟的初步發(fā)展，內(nèi)部牽制也發(fā)展到了一個新的階段，以在意大利出現(xiàn)的復(fù)式記賬方法為標志，內(nèi)部牽制制度漸趨成熟。18世紀產(chǎn)業(yè)革命以后，企業(yè)規(guī)模逐漸擴大，公司制企業(yè)開始出現(xiàn)，特別是公司內(nèi)部稽核制度因收效顯著而為各大企業(yè)紛紛效仿。20世紀初期，因激烈的競爭，一些企業(yè)逐步摸索出一些組織調(diào)節(jié)、制約和檢查企業(yè)生產(chǎn)活動的辦法。基本上是以查錯防弊為目的，以職務(wù)分離和交互核對為方法，以錢、賬、物等為主要針對事項，這也是現(xiàn)代內(nèi)部控制理論中有關(guān)組織控制、職務(wù)分離控制的雛形。

關(guān)于內(nèi)部牽制的概念，《科勒會計詞典》認為，“內(nèi)部牽制是指以提供有效的組織和經(jīng)營，并防止錯誤和其他非法業(yè)務(wù)發(fā)生的業(yè)務(wù)流程設(shè)計。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業(yè)務(wù)權(quán)力的方式進行組織上的責(zé)任分工，每項業(yè)務(wù)通過正常發(fā)揮其他個人或部門的功能進行交叉檢查或交叉控制”。

內(nèi)部牽制的最初形式和基本形態(tài)是以不相容職務(wù)分離為主要內(nèi)容的流程設(shè)計。其目的比較單一，即保證財產(chǎn)物資的安全和完整，防止貪污、舞弊。盡管隨著經(jīng)濟社會的發(fā)展，內(nèi)部控制日益超越內(nèi)部牽制的范疇，但內(nèi)部牽制的基本理念在內(nèi)部控制中仍然發(fā)揮著重要作用。

這一階段的不足之處，在于人們還沒有意識到內(nèi)部控制的整體性，只強調(diào)內(nèi)部牽制機能的簡單運用，還不夠系統(tǒng)和完善。作為一種管理制度，內(nèi)部牽制基本上不涉及會計信息的真實性和工作效率的提高問題，因此其應(yīng)用范圍和管理作用都比較有限。到20世紀40年代末期，生產(chǎn)的社會化程度空前提高，股份有限公司迅速發(fā)展，市場競爭進一步加劇。西方國家紛紛以法律的形式要求企業(yè)披露會計信息，這樣對會計信息的真實性就提出了更高的要求。因此，傳統(tǒng)的內(nèi)部牽制制度已經(jīng)無法滿足企業(yè)管理和會計信息披露的需要，現(xiàn)代意義上的內(nèi)部控制的產(chǎn)生已經(jīng)成為一種必然。

1.1.2　內(nèi)部控制制度階段

20世紀40年代至70年代初，內(nèi)部控制制度的概念在內(nèi)部牽制思想的基礎(chǔ)上產(chǎn)生，它是傳統(tǒng)的內(nèi)部牽制思想與古典管理理論相結(jié)合的產(chǎn)物，是在社會化大生產(chǎn)、企業(yè)規(guī)模擴大、新技術(shù)的應(yīng)用，以及股份制公司形式出現(xiàn)等因素的推動下形成的。

1949年，美國注冊會計師協(xié)會（AICPA）所屬的審計程序委員會發(fā)表了一份題為《內(nèi)部控制：系統(tǒng)協(xié)調(diào)的要素及其對管理部門和獨立公共會計師的重要性》的特別報告，首次正式提出了內(nèi)部控制的權(quán)威性定義，即“內(nèi)部控制包括組織機構(gòu)的設(shè)計和企業(yè)內(nèi)部采取的所有協(xié)調(diào)方法和措施，旨在保護資產(chǎn)、檢查會計信息的準確性和可靠性，提高經(jīng)營效率，促進既定管理政策的貫徹執(zhí)行”，從而形成了內(nèi)部控制制度思想。由于審計人員認為該定義的含義過于寬泛，因此AICPA于1953年在其頒布的《審計程序說明第19號》中，對內(nèi)部控制定義作了正式修正，并將內(nèi)部控制按照其特點分為會計控制和管理控制兩個部分。1958年，美國審計程序委員會又發(fā)布了第29號審計程序公報《獨立審計人員評價內(nèi)部控制的范圍》，也將內(nèi)部控制分為內(nèi)部會計控制和內(nèi)部管理控制，其中前者涉及與財產(chǎn)安全和會計記錄的準確性、可靠性有直接聯(lián)系的所有方法和程序；后者主要是與貫徹管理方針和提高經(jīng)營效率有關(guān)的所有方法和程序，由此內(nèi)部控制進入“制度二分法”，即“二要素”階段。

1972年，美國審計準則委員會（ASB）在《審計準則公告第1號》中，重新并且更加明確地闡述了內(nèi)部會計控制和內(nèi)部管理控制的定義。內(nèi)部管理控制包括（但不限于）組織規(guī)劃及與管理當(dāng)局進行經(jīng)濟業(yè)務(wù)授權(quán)的決策過程有關(guān)的程序和記錄；內(nèi)部會計控制包括（但不限于）組織規(guī)劃、保護資產(chǎn)安全，以及與財務(wù)報表可靠性有關(guān)的程序和記錄。

這一階段的內(nèi)部控制被正式納入制度體系中，同時管理控制成為內(nèi)部控制的一個重要組成部分。但在實踐中，審計人員發(fā)現(xiàn)很難確切區(qū)分會計控制和管理控制，而且后者對前者其實有很大影響，無法在審計時完全忽略。

1.1.3　內(nèi)部控制結(jié)構(gòu)階段

進入20世紀80年代，資本主義發(fā)展的黃金階段以及隨后到來的滯脹促使西方國家對內(nèi)部控制的研究進一步深化，人們對內(nèi)部控制的研究重點逐步從一般含義向具體內(nèi)容深化。

1988年，美國AICPA發(fā)布《審計準則公告第55號》，并規(guī)定從1990年1月起取代1972年發(fā)布的《審計準則公告第1號》。這個公告首次以“內(nèi)部控制結(jié)構(gòu)”的概念代替“內(nèi)部控制制度”，明確“企業(yè)內(nèi)部控制結(jié)構(gòu)包括為提供取得企業(yè)特定目標的合理保證而建立的各種政策和程序”。該公告認為，內(nèi)部控制結(jié)構(gòu)由下列三個要素組成：

（1）控制環(huán)境。控制環(huán)境是指對建立、加強或削弱特定政策與程序的效率有重大影響的各種因素。包括管理者的思想和經(jīng)營作風(fēng)；組織結(jié)構(gòu)；董事會及其所屬委員會，特別是審計委員會的職能；確定職權(quán)和責(zé)任的方法；管理者監(jiān)控和檢查工作時所使用的控制方法；影響企業(yè)業(yè)務(wù)的各種外部關(guān)系；等等。

（2）會計制度。會計制度是指為確認、歸類、分析、登記和編報各項經(jīng)濟業(yè)務(wù)，明確資產(chǎn)與負債的管理責(zé)任而規(guī)定的各種方法；對各項經(jīng)濟業(yè)務(wù)及時和適當(dāng)?shù)姆诸悾宰鳛榫幹曝攧?wù)報表的依據(jù)；將各項經(jīng)濟業(yè)務(wù)按照適當(dāng)?shù)呢泿艃r值計價，以便列入財務(wù)報表；確定經(jīng)濟業(yè)務(wù)發(fā)生的日期，以便按照會計期間進行記錄；在財務(wù)報表中恰當(dāng)?shù)乇硎鼋?jīng)濟業(yè)務(wù)及對有關(guān)的內(nèi)容進行揭示。

（3）控制程序。控制程序是指企業(yè)為保證目標的實現(xiàn)而建立的政策和程序；明確各個人員的職責(zé)分工；賬簿和憑證的設(shè)置、記錄與使用，以保證經(jīng)濟業(yè)務(wù)活動得到正確的記載；資產(chǎn)及記錄的限制接觸；已經(jīng)登記的業(yè)務(wù)及其記錄與復(fù)核；等等。

此時的內(nèi)部控制融會計控制和管理控制于一體，從“制度二分法”階段步入了“結(jié)構(gòu)分析法”階段，即“三要素階段”。這是內(nèi)部控制發(fā)展史上的一次重要改變。內(nèi)部控制結(jié)構(gòu)階段對于內(nèi)部控制發(fā)展的貢獻主要體現(xiàn)在兩個方面。其一，首次將控制環(huán)境納入內(nèi)部控制的范疇。因為人們在管理實踐中逐漸認識到，控制環(huán)境不應(yīng)該是內(nèi)部控制的外部因素，而應(yīng)該作為內(nèi)部控制的一個組成部分來考慮，尤其是管理層的風(fēng)險意識及其對風(fēng)險控制的態(tài)度，是充分有效的內(nèi)部控制體系得以建立和運行的基礎(chǔ)和有力保障。其二，不再區(qū)分會計控制和管理控制，而統(tǒng)一以要素來表述。因為人們發(fā)現(xiàn)內(nèi)部會計控制和管理控制在實踐中其實是相互聯(lián)系、難以分割的。

1.1.4　內(nèi)部控制整合框架階段

1992年9月，COSO2發(fā)布了著名的《內(nèi)部控制——整合框架》（Internal Control-Inte-grated Framework），并于1994年進行了修訂。這一報告已經(jīng)成為內(nèi)部控制領(lǐng)域最為權(quán)威的文獻之一。該報告系內(nèi)部控制發(fā)展歷程中的一座重要里程碑，其對內(nèi)部控制的發(fā)展所作出的貢獻可以用三句話十二個字概括：“一個定義、三項目標、五個要素”。

“一個定義”是指該報告對內(nèi)部控制下了一個迄今為止最為權(quán)威的定義：“內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層及其他員工實施的，旨在為營運的效率和效果、財務(wù)報告的可靠性、相關(guān)法律法規(guī)的遵循性等目標的實現(xiàn)提供合理保證的過程。”

“三項目標”是指內(nèi)部控制具有三項目標，包括經(jīng)營目標、報告目標和合規(guī)目標。由此可見，財務(wù)報告的可靠性并不是內(nèi)部控制唯一的目標。換言之，內(nèi)部控制不等于會計控制。

“五個要素”是指該報告將內(nèi)部控制的組成部分分為相互獨立而又相互聯(lián)系的五個要素：控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)控，如圖1-1所示。

這五個要素的內(nèi)涵及其在內(nèi)控整體框架中的作用解釋如下：

（1）控制環(huán)境。控制環(huán)境主要指企業(yè)內(nèi)部的文化、價值觀、組織結(jié)構(gòu)、管理理念和風(fēng)格等。這些因素是企業(yè)內(nèi)部控制的基礎(chǔ)，將對企業(yè)內(nèi)部控制的運行及效果產(chǎn)生廣泛而深遠的影響。

（2）風(fēng)險評估。風(fēng)險評估是指識別和分析與實現(xiàn)目標相關(guān)的風(fēng)險，并采取相應(yīng)的行動措施加以控制。這一過程包括風(fēng)險識別和風(fēng)險分析兩個部分。

（3）控制活動。控制活動是指企業(yè)對所確認的風(fēng)險采取必要的措施，以保證企業(yè)目標得以實現(xiàn)的政策和程序。一般來說，與內(nèi)部控制相關(guān)的控制活動包括職務(wù)分離、實物控制、信息處理控制、業(yè)績評價等。

（4）信息與溝通。信息與溝通是指為了使管理者和員工能夠完好地行使職權(quán)和完成任務(wù)，企業(yè)各個部門及員工之間必須溝通與交流相關(guān)的信息。這些信息既有外部的信息，也有內(nèi)部的信息。

（5）監(jiān)控。監(jiān)控是指評價內(nèi)部控制的質(zhì)量，也就是評價內(nèi)部控制制度的設(shè)計與執(zhí)行情況，包括日常的監(jiān)督活動和專項評價等。通過定期或不定期地對內(nèi)部控制的設(shè)計與執(zhí)行情況進行檢查和評估，與有關(guān)人員就內(nèi)部控制有效與否進行交流，并提出整改意見，以保證內(nèi)部控制隨著環(huán)境的變化而不斷改進。

同以往的內(nèi)部控制理論及研究成果相比，COSO的報告提出了許多有價值的新觀點：

（1）明確對內(nèi)部控制的“責(zé)任”。該報告認為，不僅僅是管理部門、內(nèi)部審計委員會或董事會，組織中的每一個人都對內(nèi)部控制負有責(zé)任。

（2）強調(diào)內(nèi)部控制應(yīng)該與企業(yè)的經(jīng)營管理過程相結(jié)合。內(nèi)部控制是企業(yè)經(jīng)營過程的一部分，與經(jīng)營過程結(jié)合在一起，而不是凌駕于企業(yè)的基本活動之上。

（3）強調(diào)內(nèi)部控制是一個“動態(tài)過程”。內(nèi)部控制是一個發(fā)現(xiàn)問題、解決問題，發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的過程。

（4）強調(diào)“人”的重要性。只有人才可能制定企業(yè)的目標，并設(shè)置內(nèi)部控制的機制。反過來，內(nèi)部控制也影響著人的行為。

（5）強調(diào)“軟控制”的作用。軟控制主要是指那些屬于精神層面的事物，如高級管理階層的管理風(fēng)格、管理哲學(xué)、企業(yè)文化、內(nèi)部控制意識等。

（6）強調(diào)風(fēng)險意識。管理階層必須密切注意各層級的風(fēng)險，并采取必要的管理措施防范風(fēng)險。

（7）糅合了管理與控制的界限。在COSO的報告中，控制已不再是管理的一部分，管理和控制的職能與界限已經(jīng)模糊了。

（8）強調(diào)內(nèi)部控制的分類及目標。COSO的報告將內(nèi)部控制目標分為三類，即經(jīng)營效率、效果性目標，會計信息可靠性目標，以及法律法規(guī)遵循性目標。

由于COSO的報告提出的內(nèi)部控制理論和體系集內(nèi)部控制理論和實踐發(fā)展之大成，因此在業(yè)內(nèi)備受推崇，已經(jīng)成為世界通行的內(nèi)部控制權(quán)威標準，被國際和各國審計準則制定機構(gòu)、銀行監(jiān)管機構(gòu)和其他方面的機構(gòu)所采納。

為應(yīng)對新世紀、新階段的內(nèi)部控制建設(shè)工作，2013年5月，COSO發(fā)布了修訂版的《內(nèi)部控制——整合框架》，并提議于2014年12月15日以后用該框架取代1992年發(fā)布的框架。與1992年的框架相比，新框架保持不變的主要方面包括：內(nèi)部控制的核心定義；內(nèi)部控制仍然包括3個目標和5個要素；有效的內(nèi)部控制必須具備全部5個要素；在設(shè)計、執(zhí)行內(nèi)部控制和評價其有效性的過程中，判斷仍然起重要作用。新框架發(fā)生重大變化的主要方面則包括：關(guān)注的商業(yè)和經(jīng)營環(huán)境發(fā)生了變化；擴充了經(jīng)營和報告目標；將支撐5個要素的基本概念提煉成原則；針對經(jīng)營、合規(guī)和新增加的非財務(wù)報告目標提供了補充的方法和實例。

1.1.5　企業(yè)風(fēng)險管理整合框架階段

2001年12月，美國最大的能源公司之一——安然公司，突然申請破產(chǎn)保護，此后上市公司和證券市場丑聞不斷，特別是2002年6月的世界通信公司會計丑聞事件，“徹底打擊了投資者對資本市場的信心”（美國國會報告，2002）。美國國會和政府通過加速制定新的法律加強對金融、會計、審計的監(jiān)管，并于2002年7月30日由時任美國總統(tǒng)的小布什簽署出臺了《2002年公眾公司會計改革和投資者保護法案》（簡稱《薩班斯法案》，也稱《SOX法案》）。《薩班斯法案》強調(diào)了公司內(nèi)部控制的重要性，從管理者、內(nèi)部審計及外部審計等幾個層面對內(nèi)部控制作了具體規(guī)定，并設(shè)置了問責(zé)機制和相應(yīng)的懲罰措施，成為繼20世紀30年代美國經(jīng)濟危機以來，政府制定的涉及范圍最廣、處罰措施最嚴厲的公司法律。

【案例1-1】

《薩班斯奧克斯利法案》大限在即，中國公司沖刺3

2006年，在美國上市的中國企業(yè)正為達到當(dāng)?shù)匾豁棁栏竦谋O(jiān)管要求而沖刺。《薩班斯奧克斯利法案》（簡稱《薩班斯法案》），這項被美國總統(tǒng)布什稱作“自羅斯福總統(tǒng)以來美國商業(yè)界影響最為深遠的改革法案”讓很多企業(yè)大傷腦筋。本來，美國證券交易委員會（SEC）為外國公司設(shè)定《薩班斯法案》404條款（簡稱“404條款”）的生效日期是2005年7月15日，后來因為眾多公司反映時間過于緊張，而推遲一整年。

2006年7月15日，旨在加強上市公司監(jiān)管的404條款就要對在美國上市的外國公司生效，這當(dāng)然包括了在美國上市的70多家中國公司。為遵循404條款：首先，公司應(yīng)制定內(nèi)部控制詳細目錄，確定內(nèi)部控制是否充分；其次，公司被要求記錄控制措施評估方式，以及未來將被用于彌補控制缺陷的政策和流程；再次，公司必須對內(nèi)控的有效性進行測試，以確保控制措施和補救手段起到預(yù)期作用；最后，管理層必須將前述三個階段的各項活動情況整理成一份正式的報告。

該法案的產(chǎn)生將使得中國在美上市的企業(yè)受到以下沖擊：

第一，也是最重要的沖擊是，中國企業(yè)在美上市的維持成本將大幅飆升。根據(jù)國際CFO組織對美國321家本土上市企業(yè)的調(diào)查，這些企業(yè)在第一年實施404條款的平均成本超過460萬美元，包括35000小時的內(nèi)部人工投入，以及130萬美元的軟件費用、外部顧問費用和額外審計費用。因此相關(guān)機構(gòu)預(yù)測，中國在美上市企業(yè)僅在第一年內(nèi)執(zhí)行《薩班斯法案》的費用就將高達2億美元。

第二，以《薩班斯法案》為依據(jù)，針對中國在美上市公司的集體訴訟案件數(shù)量極有可能攀升。迄今為止，已經(jīng)有中國人壽、中航油、UT斯達康、前程無憂網(wǎng)、空中網(wǎng)、網(wǎng)易、中華網(wǎng)等中國企業(yè)被美國投資者提起集體訴訟。這些企業(yè)的一些行為被投資者認為違背了證券法或證券交易法。一旦《薩班斯法案》開始實施，投資者除了繼續(xù)在證券法或證券交易法的框架下對中國企業(yè)提起訴訟外，還能同時在《薩班斯法案》的框架下對中國企業(yè)提起訴訟。一方面，中國企業(yè)被提起訴訟的可能性和敗訴的可能性將會增大；另一方面，中國企業(yè)一旦被判敗訴，相應(yīng)的賠償額將會大幅上升。

顯然，404條款大大加強了公司治理的結(jié)構(gòu)和運作機制，這對于公司而言是一個很大的轉(zhuǎn)變，包括文化上的轉(zhuǎn)變和公司治理操作上的轉(zhuǎn)變。對于中國公司尤其如此。中國公司的公司治理觀念是不強的，比如，它們不習(xí)慣被很多的部門來監(jiān)控著。梁文昭認為，從短期來看，加強公司治理是降低效率的，但是從長遠來看，這是確保公司朝著一個更加健康的機制發(fā)展的保證，日后，這方面的制度優(yōu)勢將逐漸地顯露出來。

其實，自1992年COSO的報告發(fā)布以來，理論界和實務(wù)界紛紛對該框架提出改進建議，認為其對風(fēng)險強調(diào)不夠，使得內(nèi)部控制無法與企業(yè)風(fēng)險管理相結(jié)合。為此在2001年，COSO開展了一個項目，委托普華永道（PricewaterhouseCooPers）開發(fā)一個對于管理當(dāng)局評價和改進他們所在組織的企業(yè)風(fēng)險管理的簡便易行的框架。而后來安然、世通會計丑聞所催生的《薩班斯法案》更是凸顯了一個更加注重企業(yè)風(fēng)險管理框架的必要性和緊迫性。終于在2004年9月，COSO在借鑒以往有關(guān)內(nèi)部控制研究報告的基本精神的基礎(chǔ)上，結(jié)合《薩班斯法案》在財務(wù)報告方面的具體要求，發(fā)表了新的研究報告——《企業(yè)風(fēng)險管理框架》（EnterPrise Risk Management Framework, ERM框架）。該框架指出，“全面風(fēng)險管理是一個過程，它由一個主體的董事會、管理當(dāng)局和其他人員實施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風(fēng)險以使其在該主體的風(fēng)險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證”。這一階段的顯著變化是將內(nèi)部控制上升至全面風(fēng)險管理的高度來認識。

基于這一認識，COSO提出了戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標等四類目標，并指出風(fēng)險管理包括八個相互關(guān)聯(lián)的構(gòu)成要素：內(nèi)部環(huán)境、目標設(shè)定、事項識別、風(fēng)險評估、風(fēng)險應(yīng)對、控制活動、信息與溝通、監(jiān)控。根據(jù)COSO的這份研究報告，內(nèi)部控制的目標、要素與組織層級之間形成了一個相互作用、緊密相連的有機統(tǒng)一體系；同時，對內(nèi)部控制要素的進一步細分和充實，使內(nèi)部控制與風(fēng)險管理日益融合，拓展了內(nèi)部控制。企業(yè)風(fēng)險管理整合框架如圖1-2所示。

相對于《內(nèi)部控制——整合框架》，ERM框架的創(chuàng)新在于：

第一，從目標上看，ERM框架不僅涵蓋了內(nèi)部控制框架中的經(jīng)營性、財務(wù)報告可靠性和合法性三個目標，而且新提出了一個更具管理意義和管理層次的戰(zhàn)略管理目標，同時還擴大了報告的范疇。關(guān)于戰(zhàn)略管理目標，企業(yè)風(fēng)險管理應(yīng)貫穿于戰(zhàn)略目標的制定、分解和執(zhí)行過程，從而為戰(zhàn)略目標的實現(xiàn)提供合理保證。報告范疇的擴大則表現(xiàn)在內(nèi)部控制框架中的財務(wù)報告目標只與公開披露的財務(wù)報表的可靠性相關(guān)，而ERM框架中的財務(wù)報告范圍有很大的擴展，覆蓋了企業(yè)編制的所有報告。

第二，從內(nèi)容上看，ERM框架除了包括內(nèi)部控制整體框架中的五個要素外，還增加了目標制定、風(fēng)險識別和風(fēng)險應(yīng)對三個管理要素。目標制定、風(fēng)險識別、風(fēng)險評估與風(fēng)險應(yīng)對四個要素環(huán)環(huán)相扣，共同構(gòu)成了風(fēng)險管理的完整過程。此外，對原有要素也進行了深化和拓展，如引入了風(fēng)險偏好和風(fēng)險文化，將原有的“控制環(huán)境”改為“內(nèi)部環(huán)境”。

第三，從概念上看，ERM框架提出了兩個新概念——風(fēng)險偏好和風(fēng)險容忍度。風(fēng)險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風(fēng)險的數(shù)量。企業(yè)的風(fēng)險偏好與企業(yè)的戰(zhàn)略目標直接相關(guān)，企業(yè)在制定戰(zhàn)略時，應(yīng)考慮將該戰(zhàn)略的既定收益與企業(yè)的管理者風(fēng)險偏好結(jié)合起來。風(fēng)險容忍度是指在企業(yè)目標實現(xiàn)過程中對差異的可接受程度，是企業(yè)在風(fēng)險偏好的基礎(chǔ)上設(shè)定的，在目標實現(xiàn)過程中對差異的可接受程度和可容忍限度。

第四，從觀念上看，ERM框架提出了一個新的觀念——風(fēng)險組合觀。企業(yè)風(fēng)險管理要求企業(yè)管理者以風(fēng)險組合的觀念看待風(fēng)險，對相關(guān)的風(fēng)險進行識別并采取措施使企業(yè)所承擔(dān)的風(fēng)險在風(fēng)險偏好的范圍內(nèi)。對企業(yè)中的每個單位而言，其風(fēng)險可能在該單位的風(fēng)險容忍度范圍內(nèi)，但從企業(yè)總體來看，總風(fēng)險可能超過企業(yè)總體的風(fēng)險偏好范圍。因此，應(yīng)從企業(yè)整體的角度評估風(fēng)險。

需要說明的是，ERM框架的產(chǎn)生雖然晚于《內(nèi)部控制——整合框架》，但是它并不是要完全替代《內(nèi)部控制——整合框架》。在企業(yè)管理實踐中，內(nèi)部控制是基礎(chǔ)，風(fēng)險管理只是建立在內(nèi)部控制基礎(chǔ)之上的，具有更高層次和綜合意義的控制活動。如果離開良好的內(nèi)部控制系統(tǒng)，所謂的風(fēng)險管理只能是一句空話。