从中航油事件看企业风险管理

　　[内容摘要] 本文认为，最近发生在新加坡的中航油事件是企业内部控制失败的结果。在分析中航油事件过程中，作者通过借鉴2004年10月颁布的新COSO报告内容，从内部控制的八个要素角度，逐步剖析了中航油事件发生的根源与过程，为中国企业如何借鉴国际企业风险管理方法，作了一个初步尝试，同时，本文还介绍了新的企业风险管理框架颁布的背景、理论贡献及对我国企业的启示。

　　一、导言

　　中航油巨亏事件，对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景，该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件，也给我们提出了一个相同的问题：我们的企业到底出了什么问题？就在此时，国际著名的反虚假财务报告委员会（即Treaday委员会）于2004年年底，针对国际企业界频繁发生的高层管理人员舞弊现象，废除了沿用很久的企业内部控制报告，颁布了一个概念全新的COSO报告：即《企业风险管理——总体框架》（Enterprise Risk Management，简称ERM）。此报告虽然保留了部分传统内部控制的某些概念，但不论在框架上、还是在要素方面，均有相当大的突破。

　　在如此赞誉之下的新内部控制框架，它出台的背景与动机又是什么？其具体内容究竟是什么？它能为我国企业内部控制的改善带来什么意义？这是我们需要分析的内容。

　　二、COSO委员会新报告《企业风险管理——总体框架》解读

　　内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的，大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段（储稀梁，2004）。由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理协会（FEI）、国际内部审计师协会（IIA）和管理会计师协会（IMA）五大学会共同组成的Treadway委员会，于1992年发表，并于1994年修订的《内部控制——整体框架》报告，标志着内部控制理论与实践进入了整体框架的新阶段，并被世界上许多企业所采用。尽管如此，理论界和实务界还是认为该内部控制框架有些局限性，如对风险强调不够，使得内部控制无法与企业的风险管理相结合（朱荣恩，贺欣，2003）。2004年10月份发布的企业风险管理（Enterprise Risk Management，ERM）框架就是在1992年报告的基础上，结合《萨班斯一奥克斯法案》（Sarbanes—Oxley Act）的相关要求扩展研究得到的。与传统内部控制内容相比，新框架有了较多的变化。这些变化主要包括如下几个方面：

　　（一）企业风险管理对内部控制内涵的发展

　　1992年COSO报告对内部控制的定义是：“内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点：（1）是一个过程；（2）受人为影响；（3）为了达到三个目标；（4）合理保证。

　　这个定义尽管非常宽，但从某种角度来说，又比较模糊，存在某些片面性。故原COSO报告1992年出版后不久，就有声音批评该报告缺乏保障资产的概念。例如美国审计总署（GAO）认为，这个文件对于内部控制的重要性的强调还不够，它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯。鲍雪（Charles Bowsher）曾经说：“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信贷组合的有关内部控制的财务报告是没有任何用处的。”（Craig James L，1993）但当时的COSO主席罗伯特。L.梅（Robert L.May）则认为，保障资产的考虑更适合作为一种经营控制（Steven J Root，2004）。由于美国审计总署的影响巨大（例如可能使银行等认为COSO报告与其无关），如果COSO报告不根据其要求进行修改的话，从一开始就可能面临被抛弃的命运。最后妥协的结果是，在1994年修订后的报告上，提出了“保障资产的内部控制”的概念，即“预防未经授权的获得、使用或处理资产，…”。可见，这一概念是非常勉强地运用在内部控制框架中。而新的ERM框架非常明确了对保护资产概念的运用。

　　新报告认为“保护资产”或者“保护资源”是一个广义的概念，资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此，广义的“保护资产”目标范围集中为特定的报告目标，使得保护资产适用于所有未经授权的获得、使用、处置资产。

　　又如，内部控制与管理活动有什么区别？在原报告中并不清晰。有些对错误纠正的管理行为，并不包括在原有COSO报告的内部控制活动之中。而新的ERM框架已经将纠正错误的管理行为明确地列为控制活动之一。

　　ERM框架对内部控制的定义明确了以下内容：（1）是一个过程；（2）被人影响；（3）应用于战略制定；（4）贯穿整个企业的所有层级和单位；（5）旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；（6）合理保证；（7）为了实现各类目标。对比原来的定义，ERM概念要细化的多。由于新CO.SO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。同时，ERM又涵盖了内部控制所有合理的内容。

　　（二）企业风险管理对内部控制目标的发展

　　在1994年《内部控制——整体框架》中，内部控制有三个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的，包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”，该目标涵盖了企业的所有报告。

　　除此之外，新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

　　（三）企业风险管理对内部控制要素的发展

　　1994年COSO报告《内部控制——整体框架》中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展，将其演变为八个要素。例如，ERM框架引入风险偏好和风险文化，将原有的“控制环境”扩展为“内部环境”。又如，虽然内部控制整体框架和ERM框架都强调对风险的评估，但风险管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析（朱荣恩，贺欣，2003）。再如，由于原报告仅提出三个目标，因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息，这就对管理层将巨量的信息处理和精炼成可控的信息（actionable information）提出了挑战。

　　原COSO报告仅提出风险识别，但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”，并且引入了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个要素，使得原有的内控五要素发展为风险管理八要素。

　　（四）相关角色和任务的变化

　　新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中，董事会都提供管理、指引和核查。虽然董事主要提供监督，但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素，也是企业风险管理重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任，并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会，董事会需要批准组织的风险偏好。以前，当公司出现丑闻时，很多人问：“管理层怎么让这发生的”？现在，恐怕要问：“董事会怎么让这发生的”？（Dana R hermanson，2003）在新报告中，CEO必需识别目标和战略方案，并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标，并与企业的总体目标相联系（George Matyjewicz et al，2004）。一旦设定了目标，管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。

　　在ERM框架中，内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革ERM.对于内审人员来说，最大的挑战是在ERM中扮演何种角色？很多内审人员可能被要求提供ERM的教育和训练，甚至“处理企业风险管理过程”。但是，新报告认为：内审人员并不对建立ERM体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。（w.R.Kinveg，2003）内审人员职责的另一个变化是从原来对CFO和内审委员会负责，现在可能要对CFO、内审委员会和风险主管（risk officer，CFO）负责。

　　在ERM框架中，新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样，在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，并可能是风险管理委员会的成员之一。

　　三、以反虚假财务报告委员会的《企业风险管理——总体框架》来解读中航油事件

　　中国航油（新加坡）股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准，新加坡公司在取得中国航油集团公司授权后，自2003年开始做油品套期保值业务。在此期间，新加坡公司总裁陈久霖擅自扩大业务范围，从2003开始从事石油衍生品期权交易，同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了合同。陈久霖买了“看跌”期权，赌注每桶38美元，没想到国际油价一路攀升——2004年10月以后，新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同，中航油需向交易对方（银行和金融机构）支付保证金，每桶油价每上涨1美元，中航油新加坡公司要向这些银行支付5000万美元的保证金，其结果导致中航油现金流量枯竭，实际损失和潜在损失总计约5.54亿美元。（许俊，2004）

　　事实上，陈久霖这种石油期权投机交易，其股东方中航油集团公司是明令禁止的。国务院1998年8月1日《国务院关于进一步整顿和规范期货市场的通知》、2001年10月11日证监会发布的《国有企业境外期货套期保值业务管理制度指导意见》都明确规定了取得境外期货业务许可证的企业，在境外市场只能进行套期保值，不能进行投机业务。1999年6月2日国务院发布的《期货交易管理暂行条例》，也规定了国有企业的期货交易仅限于从事套期保值业务（且命令禁止场外交易），并要求期货交易总量应当与其同期现货交易量总量相适应。

　　然而，中航油从事以上交易时，一直未向中国航油集团公司报告，而且中国航油集团也没有发现。直到保证金支付问题难以解决、经营难以为继的情况下，新加坡公司才向中国航油集团公司紧急报告。即便如此，中航油公司也没有向集团公司说明实情。而且为了掩饰公司的违法行为，中航油开始向上级公司提供假账，2004年6月，中航油就已经在石油期货交易上面临3580万美元的潜在亏损。但公司仍然一意孤行，继续追加了错误方向“做空”资金，但在财务账面上没有任何显示。由于陈久霖在场外进行交易，集团通过正常的财务报表没有发现陈久霖的秘密，新加坡当地的监督机构也没有发现其有违规现象，因此，才使得中航油事件从一个并不很大的失误开始，酿成为石破天惊的大案、要案。根据上述中航油事件，我们对比ERM框架，认为有如下几个方面非常值得关注：

　　（一）关注企业风险比关注企业细节控制更为重要

　　ERM框架最大的变化，就是将企业内部控制更名为企业风险管理，这一变化是有特殊意义的。事实上，包括中航油公司在内，几乎所有的公司都有一大套管理制度。这些制度大到包括对外投资、小到包括差旅费报销等，应有尽有。因此，企业董事会与管理层认为，这些制度的贯彻与执行，就是内部控制的所有内容。其实，企业的管理资源是有限的、控制也是需要成本的。如果将企业主要精力放在所有细小的、或微不足道的控制上，往往会舍本求目，如有些企业在差旅费报销的规定上，长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会忽视企业重大风险。所以，ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，将风险管理作为内部控制的最主要内容，这是一个革命性的变化。事实上，中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业，说明该企业确实在细节方面的内部控制做得非常周到。但是，从事后暴露出的结果来看，恰恰是在经营风险管理上出了问题。所以，ERM框架要求董事会将主要精力放在风险管理上，而不是所有细节的控制上，是非常值得关注的变化。

　　（二）执行ERM框架比设计内部控制框架更为重要

　　应该说，任何一个公司都或多或少存在一定的内部控制，否则，公司是无法正常运行的。事实上，中航油公司本身也有一整套内部控制制度，为了追求制度的完美，他们还聘请了国际四大会计师事务所之一的安永会计师事务所制定了《风险管理手册》，在该手册中规定：损失超过500万美元，必须报告董事会，并立即采取止损措施等。然而，当陈久霖在处理期货头寸的过程中，这些规定的流程成为形式，设定的风险管理体系并没有发挥任何作用。由此可见，公司在设计内部控制时，是花了相当大的精力，而在如何保证实施制度方面，则缺乏应有的措施。这一点，ERM框架有明确指示。为了保证所设计的制度能够得到执行，在ERM框架中的第七与第八个要素中，再一次强调了通过控制活动的设置，建立独立的监督部门来保证框架实施的可行性。这二要素包括建立、实施某些程序，保证有效进行风险反应。控制活动在整个组织的各个层级和各种活动中都发生，包括对申请和一般信息技术的控制、组织控制、经营控制、人事控制、定期检查、设施和设备的控制等不同方法。而监督则指企业整个风险管理过程均应被监督，并且在必要时对所发现的偏离进行必要修正。或者通过正在实行的管理活动以及分别评价风险管理过程，双管齐下来监督其他要素的有效性。这些内容均是监督要素的核心。事实上，作为一个现代企业组织，最为忌讳的是，在开展业务过程中出现暗箱操作行为，这往往是发生舞弊的前奏。因此，将所有业务活动分离出授权、批准、执行、记录及监督，并将这些职能分别授于不同部分执行，形成一个相互牵制、相互制约的过程，是内部控制的精髓。从中航油事件来看，陈久霖作为一个管理人员，如果其有授权功能，按照控制活动原则，就不应有执行的功能。即使其有执行功能，按照控制活动原则，他就不应有检查与监督功能。

　　但是，在陈久霖越权从事石油金融衍生产品投机过程中，没有任何阻拦与障碍，而在事后还能一手摭天、隐瞒真实信息，足见该公司在职能分工方面，特别是控制活动与监督这两个要素存在严重问题。由于存在这些缺陷，所以就很难保证已有设计好的内部控制能够到执行。通常，在比较规范的海外公司中，为了保证内部控制的实施，一般来说，除了财务上必须既向公司总经理汇报，又应向董事会汇报外，还有一个不受总经理制约的内部审计委员会。通过这些机构的设置，以保证董事会不仅有知情权，还有干预权。使得公司的运作是以股东利益最大化为最终目的。所以，从中航油事件中我们得到这样一个教训，保证ERM框架的实施，比设计一个内部控制更为重要。

　　（三）注意ERM框架中的新要素：内部环境、目标设定及事件设别

　　对比传统的内部控制内容，新ERM有了四个要素方面的变化。这四个要素的变化，对重新认识中航油事件，可能有一定的借鉴意义。

　　1.将控制环境改变为内部环境

　　传统内部控制将第一要素定义为控制环境，而新ERM框架却将其改为内部环境，这一要素的变化体现了企业风险管理的范围更大了，应该关注的环境视野比过去更广了。在该新要素中，强调了内部环境包含了一个组织的气氛，形成一个组织的人员识别和看待风险的基础。内部环境主要包括：风险管理哲学和风险偏好；员工诚实性和道德观以及企业经营环境。内部环境要素确立了企业的风险文化，它既要认可预期发生的事项，也要认可未预期发生的事项。这与传统控制环境要素中只关注与控制有关的事项相比，有了更丰富的内涵。从中航油公司的内部环境来看，确实存在非常严重的问题。陈久霖败走狮城，技术层面的原因非常简单。但是深入挖掘，企业的内部环境起了很大的作用。作为创业性的管理层为主导的企业，经常会发生“挟企业过去优秀业绩，以令股东”的管理氛围。这样的企业文化、对待风险控制的态度，往往以管理层好恶为宗旨。中航油管理层在期货交易中，根本没有意识到风险，而是相信自己的判断：油价冲高后必然会落。而在事情完全败露以后，陈久霖还认为：“只要再有一笔钱，就能挺过去，就能翻身。”CEO如此看待风险，其独断专行之霸气，其企业内部环境之恶劣，可见一斑。而集团公司由于过于看重陈久霖过去为集团公司所做的贡献，因此，即使知道了陈久霖因场外期货交易发生了严重损失，不仅没有果断采取止损措施，减少亏损。反而通过出售部分股权，进一步融资再次进行投机，使中航油损失达到了天文数字。所以，极端的风险偏好、畸形的风险文化和畸形的管理结构体现了中航油极为恶劣的内部环境。因此，在考虑由创业性管理层建立起来的公司文化时，我们应该专门制定出一套符合中国国情的新企业文化，不然的话。类似于中航油事件的灾难还会发生。这是新的ERM给我们的启示。

　　2.目标设定及事件识别要素的创新

　　在传统内部控制定义中并没有这二个要素。但是，COSO报告在调查许多大公司舞弊案中发现，许多内部控制的失败，往往是在一开始确立公司目标时就已经铸定了。与此同时，公司在经营过程中，对什么事件应采取什么对策并不清晰，特别是高风险事项，也采用一般程序来处理，这也是导致公司内部控制失败的主要成因之一。所以，在新的ERM框架中，特别设置了这二个新要素。对比中航油事件，我们觉得，确实有独特的意义。

　　一般来说，公司在认识到影响其业绩的潜在事项之前，必须有一定的目标。ERM使得管理人员能适当的设立目标，并且使选择的目标能支持、连接企业的使命，并与其风险偏好相一致。该要素适用于管理层在确立目标时考虑风险战略。目标设立形成了一个组织风险偏好——从高处展望管理层和董事会将接受多大的风险。从中航油的发展史来看，从1997年起，在经历了两年亏损和两年休眠期后，恢复运营之后的中航油先后进行了两次战略转型：第一次转型是从一家船务经纪公司重新定位为以航油采购为主的贸易公司，第二次转型是从一个纯贸易型企业发展到以石油实业投资、国际石油贸易和进口航油采购为一体的工贸结合型的实体企业，成为以中国为依托的石油类跨国企业。2001年，在母公司支持下，中航油以中国航油垄断采购上的概念成功登陆新加坡资本市场。然而，中航油总裁陈久霖并不满足于单纯的油品现货贸易。在其推动下，中航油从上市伊始就开始涉足石油期货。在取得初步成功之后，中航油公司管理层在没有向董事会报告并取得批准的情况下，无视国家法律法规的禁止，擅自将企业战略目标移位于投机性期货交易，这种目标设立的随意性，以及对目标风险的藐视，最终将企业陷入惊涛骇浪之中。事实上，中航油集团最初在海外设立上市公司的初衷是非常明确的，就是为了取得一个价格相对平稳的国际油价。但是，这一目标最后却被陈久霖擅自改变为通过投机性场外交易来博击利差的主要手段。可见，目标的随意更改，导致了中航油最终受到毁灭性的打击。因此，在风险防范方面，目标设立起到非常大的作用。

　　其次，一个组织必须识别影响其目标实现的内、外部事项，区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险。可能有正面影响的事项代表了能抵消负面作用的机会，通过事项识别，能引导管理层战略或者目标始终能保持不被偏离。2002年中航油的年报显示其当年的投机交易盈利，2003年下半年，中航油进入石油期权交易市场，到年底也赚了钱。事实上，这正是事项识别中的机会与风险问题。

　　当我们看到该事项为公司赚取了大量利润的同时，应该清醒地认识到，该事项可能产生的巨大风险。从最后结果来看，中航油最终的巨亏也是因为期货交易。这里就涉及到企业应当如何正确区分机会和风险问题了。如果陈久霖能认清形势，在赚取巨额利润时，清醒地意识到可能产生的风险，或许中航油的历史会改写。因此，利用事项识别技巧（例如事项目录、流程分析、主要事项指针等）来区分机会和风险，显得十分重要。这也是新报告中符合时代要求的一个重要要素。

　　四、《企业风险管理——总体框架》对我国企业的借鉴意义

　　《企业风险管理——总体框架》对我国其他企业也有很多可供借鉴的地方。如近来发生的伊利股份、创维数码、四川长虹等失败案例或重大事件，或多或少都与企业风险管理缺失有关：2004年12月17日，内蒙古自治区检察院对内蒙古伊利实业股份公司董事长郑俊怀等5名高管人员的经济问题正式进行立案调查，其主要原因是郑俊怀等人在2000年和2001年间未经董事会同意，先后挪用1590万元和1400万元，分别给了呼和浩特华世商贸有限公司和启元有限责任公司用于经营。事后得知：华世商贸公司是伊利公司的第五大股东，它是由郑俊怀、杨桂琴等人以亲属名义注册的私人企业；而启元公司企业法人就是董事长郑俊怀。无独有偶，2004年1 1月30日，创维数码董事局主席黄宏生，无视公司外部股东利益，绕开现有的董事会，私自将上市公司款项打人自己创办的企业，因此涉嫌盗取公司资金4800多万元，被香港廉政公署拘捕。而老牌上市公司四川长虹则折戟国际市场——因其合作伙伴美国APEx家电进口公司拖欠4.6亿美元巨款而遭受巨大坏账损失，也使得舆论评价四川长虹风光不再。在该案例中，虽然APEX公司是长虹在美国最大的合作伙伴，但是在确定信用政策时，长虹考虑坏账风险的策略是令人难以理解的。因为，长虹是在A：PEX公司拖欠国内多家公司的巨额欠款情况下，还与其签订了巨额赊销合同，如果长虹有合理的内部控制制度，这些情况或许不会发生。

　　上述案例的发生，或是董事会功能缺失、或是有内部控制制度但在实际业务中没有得到应有执行、或是根本就没有制度。因此，认真学习ERM框架中的所有内容，并将其与企业经济业务紧密结合起来，我们认为对我国企业内部控制制度的重新调整，有一定借鉴意义，也为我们在当前环境下如何建立起一套适合中国国情的内部控制措施，提供了一个新的理论基础。例如，新框架要求，以后再发生类似高级管理人员舞弊问题时，不是问总经理在哪儿？而是要问董事会在哪儿？因此，发挥董事会在内部控制方面的作用是新框架中的一个重要内容。另外，企业风险管理要求高级管理人员将企业风险、而不是所有细节作为控制的主要对象，是新框架中又一主要变化。因此，我们应当关注COSO报告中有关ERM的新发展，这对我们建立一个科学的企业现代制度是大有裨益的。

　　主要参考文献

　　储稀梁 2004.COSO内部控制整体框架：背景、内容、理论贡献与启示，金融会计，6.

　　刘明辉 2004.加拿大规范企业内部控制的实践与特点。中国审计，6

　　许俊 2004.探密中航油事件：监督缺位下的巨额国有资产流失。转引自http://news.china.com/zh_cn/finance/11009723/20041203/1 1994126.html.

　　朱荣恩、贺欣 2003.内部控制框架的新发展——企业风险管理框架。审计研究，6.

　　Anonymous.　1999.　COSO releases landmark study on fraudulent financial reporting. Financial Executive.　Morristown： Vol. 15， Iss. 3.

　　Anonymous. Dec 2004. Enterprise Risk Management： New ERM Model Is Essential to Financial Reporting Controls. IOMA's Re port on Financial Analysis， Planning ＆ Repotting. New York： Vol. 04， Iss. 12

　　Scott， October 2004， COSO ERM Released， Internal Auditor

　　Benson， Tony. 1975. CHANGING NEEDS OF INDUSTRY. Accountancy. London： FEB. Vol. 86， Iss. 978； p. 66.

　　Christopher E Mandel. Dec 15， 2003. COSO gives a good start to implement ERM. Business Insurance. Chicago：。 Vol. 37， Iss. 50； p. 12.

　　Craig， James L. 1993， A call for leadership. The CPA Journal， ABI/INFORM Global； 4th pg. 6.

　　Dana R Hermanson， Nov/Dec 2003. THE IMPLICATIONS OF COSO S PROPOSED ERM FRAMEWORK， Internal Auditing； ABI/INFORM Global， p41 -43.

　　David Wood， Scott Randall. Nov 15， 2004. Implementing ERM requires integrated approach. Oil ＆ Gas Journal. Tulsa：。 Vol. 102， Iss. 43 ； p. 28.

　　Denise M English； Diane K Schooley； Mary F Alien， Mar/Apr 2004； 19， 2. THE PCAOB$ INTERNAL CONTROL PRACTIC ES ： A COSO - BASED REVIEW， Internal Auditing； ； ABI/INFORM Global， pg. 37.

　　Ellen M Heffes. May 2002. COSO Studies Enterprise Risks， Financial Executive. Morristown： Vol. 18， Iss. 3； p. 16.

　　Enterprise Risk Management- Integrated Framework， www. coso. org.

　　Frank C Minter， Feb 2002； 83， 8； Do you remember COSO？ Strategic Finance； ABI/INFORM Global， p. 8 ~ 9.

　　George Matyjewicz， James R D Arcangelo.　Oct 2004 Beyond Sarbanes - Oxley.　The Internal Auditor.　Ahamonte Springs： Vol. 61， Iss. 5； p. 67-71.

　　Kelley， Thomas P； Bowsher， Charles A， Jul 1994； The COSO report： A new addendum results in GAO endorsement， Journal of Accountancy； ABI/INFORM Global， pg. 18.

　　Larry White. Nov 2004. Management Accountants and Enterprise Risk Management. Strategic Finance. Montvale ： Vol. 86， Iss. 5； p. 6 ~7.

　　Michael Bradford. Aug 4， 2003. Framework offers guidance on ERM ； COSO： Enterprise risk tool. Business Insurance. Chicago ： Vol. 37， Iss. 31； p. 4.

　　W. R. Kinney， 2003. Auditing Risk Assessment and Risk Management Processes， Research Opportunities in Internal Auditing （ Altamonte Springs） FL： IIA Research Foundation， Steven J.Root.2004.年加强公司治理的内部控制，清华大学出版社。