[內容摘要] 本文認為，最近發生在新加坡的中航油事件是企業內部控制失敗的結果。在分析中航油事件過程中，作者通過借鑒2004年10月頒布的新COSO報告內容，從內部控制的八個要素角度，逐步剖析了中航油事件發生的根源與過程，為中國企業如何借鑒國際企業風險管理方法，作了一個初步嘗試，同時，本文還介紹了新的企業風險管理框架頒布的背景、理論貢獻及對我國企業的啟示。

　　一、導言

　　中航油巨虧事件，對國內外相關各方都產生了重大沖擊和深遠影響。由于中航油的國企背景，該事件對我國的國家信用以及我國企業海外上市前景都產生了負面作用。與中航油事件幾乎同期發生在國內的伊利股份高管被拘風波、創維數碼董事局主席被捕以及金正數碼和深圳石化原董事長被捕等事件，也給我們提出了一個相同的問題：我們的企業到底出了什么問題？就在此時，國際著名的反虛假財務報告委員會（即Treaday委員會）于2004年年底，針對國際企業界頻繁發生的高層管理人員舞弊現象，廢除了沿用很久的企業內部控制報告，頒布了一個概念全新的COSO報告：即《企業風險管理——總體框架》（Enterprise Risk Management，簡稱ERM）。此報告雖然保留了部分傳統內部控制的某些概念，但不論在框架上、還是在要素方面，均有相當大的突破。

　　在如此贊譽之下的新內部控制框架，它出臺的背景與動機又是什么？其具體內容究竟是什么？它能為我國企業內部控制的改善帶來什么意義？這是我們需要分析的內容。

　　二、COSO委員會新報告《企業風險管理——總體框架》解讀

　　內部控制理論是隨著企業內控實踐經驗的豐富而逐漸發展起來的，大致經歷了內部牽制、內部控制系統、內部控制結構和內部控制整體框架四個理論階段（儲稀梁，2004）。由美國注冊會計師協會（AICPA）、美國會計學會（AAA）、財務經理協會（FEI）、國際內部審計師協會（IIA）和管理會計師協會（IMA）五大學會共同組成的Treadway委員會，于1992年發表，并于1994年修訂的《內部控制——整體框架》報告，標志著內部控制理論與實踐進入了整體框架的新階段，并被世界上許多企業所采用。盡管如此，理論界和實務界還是認為該內部控制框架有些局限性，如對風險強調不夠，使得內部控制無法與企業的風險管理相結合（朱榮恩，賀欣，2003）。2004年10月份發布的企業風險管理（Enterprise Risk Management，ERM）框架就是在1992年報告的基礎上，結合《薩班斯一奧克斯法案》（Sarbanes—Oxley Act）的相關要求擴展研究得到的。與傳統內部控制內容相比，新框架有了較多的變化。這些變化主要包括如下幾個方面：

　　（一）企業風險管理對內部控制內涵的發展

　　1992年COSO報告對內部控制的定義是：“內部控制是一個受到董事會、經理層和其他人員影響的過程，該過程的設計是為了提供實現以下三類目標的合理保證：經營的效果和效率、財務報告的可靠性、法律法規的遵循性。”內部控制的定義明確了四個要點：（1）是一個過程；（2）受人為影響；（3）為了達到三個目標；（4）合理保證。

　　這個定義盡管非常寬，但從某種角度來說，又比較模糊，存在某些片面性。故原COSO報告1992年出版后不久，就有聲音批評該報告缺乏保障資產的概念。例如美國審計總署（GAO）認為，這個文件對于內部控制的重要性的強調還不夠，它喪失了提高內部控制監督和評估的機會。美國前總審計長查爾斯。鮑雪（Charles Bowsher）曾經說：“對有效控制的最大需求可能是在信貸組合領域。……一份沒有絲毫談及信貸組合的有關內部控制的財務報告是沒有任何用處的。”（Craig James L，1993）但當時的COSO主席羅伯特。L.梅（Robert L.May）則認為，保障資產的考慮更適合作為一種經營控制（Steven J Root，2004）。由于美國審計總署的影響巨大（例如可能使銀行等認為COSO報告與其無關），如果COSO報告不根據其要求進行修改的話，從一開始就可能面臨被拋棄的命運。最后妥協的結果是，在1994年修訂后的報告上，提出了“保障資產的內部控制”的概念，即“預防未經授權的獲得、使用或處理資產，…”。可見，這一概念是非常勉強地運用在內部控制框架中。而新的ERM框架非常明確了對保護資產概念的運用。

　　新報告認為“保護資產”或者“保護資源”是一個廣義的概念，資產或資源的損失可能由于偷盜、浪費、無效率或錯誤的商業決策等。因此，廣義的“保護資產”目標范圍集中為特定的報告目標，使得保護資產適用于所有未經授權的獲得、使用、處置資產。

　　又如，內部控制與管理活動有什么區別？在原報告中并不清晰。有些對錯誤糾正的管理行為，并不包括在原有COSO報告的內部控制活動之中。而新的ERM框架已經將糾正錯誤的管理行為明確地列為控制活動之一。

　　ERM框架對內部控制的定義明確了以下內容：（1）是一個過程；（2）被人影響；（3）應用于戰略制定；（4）貫穿整個企業的所有層級和單位；（5）旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險；（6）合理保證；（7）為了實現各類目標。對比原來的定義，ERM概念要細化的多。由于新CO.SO報告提出了風險偏好、風險容忍度等概念，使得ERM的定義更加明確、具體。同時，ERM又涵蓋了內部控制所有合理的內容。

　　（二）企業風險管理對內部控制目標的發展

　　在1994年《內部控制——整體框架》中，內部控制有三個目標：經營的效果和效率、財務報告的可靠性和法律法規的遵循性。ERM整體框架中除了經營目標和合法性目標與內部控制整體框架相似以外，還將“財務報告的可靠性”發展為“報告的可靠性”。原COSO報告把財務報告的可靠性界定為“編制可靠的公開財務報表的，包括中期和簡要財務報表，以及從這些財務報表中摘出的數據，如利潤分配數據”。新報告則將報告拓展到“內部的和外部的”“財務的和非財務的報告”，該目標涵蓋了企業的所有報告。

　　除此之外，新COSO報告提出了一類新的目標——戰略目標。該目標的層次比其他三個目標更高。企業的風險管理在應用于實現企業其他三類目標的過程中，也應用于企業的戰略制定階段。

　　（三）企業風險管理對內部控制要素的發展

　　1994年COSO報告《內部控制——整體框架》中，提出了五個要素：控制環境、風險評估、控制活動、信息和溝通、監督。ERM框架對這五個要素進行深化和拓展，將其演變為八個要素。例如，ERM框架引入風險偏好和風險文化，將原有的“控制環境”擴展為“內部環境”。又如，雖然內部控制整體框架和ERM框架都強調對風險的評估，但風險管理框架建議更加透徹地看待風險管理，即從固有風險和殘存風險的角度來看待風險，對風險影響的分析則采用簡單算術平均數、最差情形下的估計值或者事項分布等技術來分析（朱榮恩，賀欣，2003）。再如，由于原報告僅提出三個目標，因此“信息與溝通”中的信息僅僅指與這三個目標相關的信息。而新的報告包括了與組織的各個階層、各類目標相關的信息，這就對管理層將巨量的信息處理和精煉成可控的信息（actionable information）提出了挑戰。

　　原COSO報告僅提出風險識別，但是并沒有區分風險和機會。ERM框架則將風險定義為“可能有負面影響的事項”，并且引入了風險偏好、風險容忍度等概念，將原有的風險評估這一要素，發展為目標設定、事項識別、風險評估和風險反應四個要素，使得原有的內控五要素發展為風險管理八要素。

　　（四）相關角色和任務的變化

　　新老COSO報告都將組織的董事會、管理層和內部審計和其他職員看成是相關責任人。在內部控制框架和ERM框架中，董事會都提供管理、指引和核查。雖然董事主要提供監督，但是也提供指導以及批準戰略、一些特殊交易和政策。董事會既是內部控制的重要因素，也是企業風險管理重要因素。ERM框架使董事會在企業風險管理方面扮演更加重要的角色——負總體責任，并且要求其變得更加警惕。企業風險管理的成功與否在很大程度上依賴于董事會，董事會需要批準組織的風險偏好。以前，當公司出現丑聞時，很多人問：“管理層怎么讓這發生的”？現在，恐怕要問：“董事會怎么讓這發生的”？（Dana R hermanson，2003）在新報告中，CEO必需識別目標和戰略方案，并且將其分類為戰略目標、經營目標、報告目標和遵循性目標四類。每一個業務單元、分部、子公司的領導也需要識別各自的目標，并與企業的總體目標相聯系（George Matyjewicz et al，2004）。一旦設定了目標，管理層就需要識別風險和影響風險的事項、評估風險并采取控制措施。

　　在ERM框架中，內部審計人員在監督和評價成果方面承擔重要任務。他們必需協助管理層和董事會監督、評價、檢查、報告和改革ERM.對于內審人員來說，最大的挑戰是在ERM中扮演何種角色？很多內審人員可能被要求提供ERM的教育和訓練，甚至“處理企業風險管理過程”。但是，新報告認為：內審人員并不對建立ERM體系承擔主要責任。還有文章提醒內審人員不要行使不匹配的職能。（w.R.Kinveg，2003）內審人員職責的另一個變化是從原來對CFO和內審委員會負責，現在可能要對CFO、內審委員會和風險主管（risk officer，CFO）負責。

　　在ERM框架中，新增加了一個角色——風險主管或風險經理。風險主管除了需要和其他管理人員一樣，在自己的職責范圍內建立起風險管理外，還要幫助其他經理人報告企業風險信息，并可能是風險管理委員會的成員之一。

　　三、以反虛假財務報告委員會的《企業風險管理——總體框架》來解讀中航油事件

　　中國航油（新加坡）股份有限公司是中國航空油料集團公司的海外控股公司。經國家有關部門批準，新加坡公司在取得中國航油集團公司授權后，自2003年開始做油品套期保值業務。在此期間，新加坡公司總裁陳久霖擅自擴大業務范圍，從2003開始從事石油衍生品期權交易，同日本三井銀行、法國興業銀行、英國巴克萊銀行、新加坡發展銀行和新加坡麥戈利銀行等在期貨交易場外，簽訂了合同。陳久霖買了“看跌”期權，賭注每桶38美元，沒想到國際油價一路攀升——2004年10月以后，新加坡公司所持石油衍生品盤位已遠遠超過預期價格。根據合同，中航油需向交易對方（銀行和金融機構）支付保證金，每桶油價每上漲1美元，中航油新加坡公司要向這些銀行支付5000萬美元的保證金，其結果導致中航油現金流量枯竭，實際損失和潛在損失總計約5.54億美元。（許俊，2004）

　　事實上，陳久霖這種石油期權投機交易，其股東方中航油集團公司是明令禁止的。國務院1998年8月1日《國務院關于進一步整頓和規范期貨市場的通知》、2001年10月11日證監會發布的《國有企業境外期貨套期保值業務管理制度指導意見》都明確規定了取得境外期貨業務許可證的企業，在境外市場只能進行套期保值，不能進行投機業務。1999年6月2日國務院發布的《期貨交易管理暫行條例》，也規定了國有企業的期貨交易僅限于從事套期保值業務（且命令禁止場外交易），并要求期貨交易總量應當與其同期現貨交易量總量相適應。

　　然而，中航油從事以上交易時，一直未向中國航油集團公司報告，而且中國航油集團也沒有發現。直到保證金支付問題難以解決、經營難以為繼的情況下，新加坡公司才向中國航油集團公司緊急報告。即便如此，中航油公司也沒有向集團公司說明實情。而且為了掩飾公司的違法行為，中航油開始向上級公司提供假賬，2004年6月，中航油就已經在石油期貨交易上面臨3580萬美元的潛在虧損。但公司仍然一意孤行，繼續追加了錯誤方向“做空”資金，但在財務賬面上沒有任何顯示。由于陳久霖在場外進行交易，集團通過正常的財務報表沒有發現陳久霖的秘密，新加坡當地的監督機構也沒有發現其有違規現象，因此，才使得中航油事件從一個并不很大的失誤開始，釀成為石破天驚的大案、要案。根據上述中航油事件，我們對比ERM框架，認為有如下幾個方面非常值得關注：

　　（一）關注企業風險比關注企業細節控制更為重要

　　ERM框架最大的變化，就是將企業內部控制更名為企業風險管理，這一變化是有特殊意義的。事實上，包括中航油公司在內，幾乎所有的公司都有一大套管理制度。這些制度大到包括對外投資、小到包括差旅費報銷等，應有盡有。因此，企業董事會與管理層認為，這些制度的貫徹與執行，就是內部控制的所有內容。其實，企業的管理資源是有限的、控制也是需要成本的。如果將企業主要精力放在所有細小的、或微不足道的控制上，往往會舍本求目，如有些企業在差旅費報銷的規定上，長達數十頁，極其繁瑣，表面上控制得很好，但浪費了許多管理資源，還會忽視企業重大風險。所以，ERM框架要求董事會與管理層將精力主要放在可能產生重大風險環節上，而不是所有細小環節上，將風險管理作為內部控制的最主要內容，這是一個革命性的變化。事實上，中航油公司曾在2003年被新加坡證券監督部門列為最具透明的企業，說明該企業確實在細節方面的內部控制做得非常周到。但是，從事后暴露出的結果來看，恰恰是在經營風險管理上出了問題。所以，ERM框架要求董事會將主要精力放在風險管理上，而不是所有細節的控制上，是非常值得關注的變化。

　　（二）執行ERM框架比設計內部控制框架更為重要

　　應該說，任何一個公司都或多或少存在一定的內部控制，否則，公司是無法正常運行的。事實上，中航油公司本身也有一整套內部控制制度，為了追求制度的完美，他們還聘請了國際四大會計師事務所之一的安永會計師事務所制定了《風險管理手冊》，在該手冊中規定：損失超過500萬美元，必須報告董事會，并立即采取止損措施等。然而，當陳久霖在處理期貨頭寸的過程中，這些規定的流程成為形式，設定的風險管理體系并沒有發揮任何作用。由此可見，公司在設計內部控制時，是花了相當大的精力，而在如何保證實施制度方面，則缺乏應有的措施。這一點，ERM框架有明確指示。為了保證所設計的制度能夠得到執行，在ERM框架中的第七與第八個要素中，再一次強調了通過控制活動的設置，建立獨立的監督部門來保證框架實施的可行性。這二要素包括建立、實施某些程序，保證有效進行風險反應。控制活動在整個組織的各個層級和各種活動中都發生，包括對申請和一般信息技術的控制、組織控制、經營控制、人事控制、定期檢查、設施和設備的控制等不同方法。而監督則指企業整個風險管理過程均應被監督，并且在必要時對所發現的偏離進行必要修正。或者通過正在實行的管理活動以及分別評價風險管理過程，雙管齊下來監督其他要素的有效性。這些內容均是監督要素的核心。事實上，作為一個現代企業組織，最為忌諱的是，在開展業務過程中出現暗箱操作行為，這往往是發生舞弊的前奏。因此，將所有業務活動分離出授權、批準、執行、記錄及監督，并將這些職能分別授于不同部分執行，形成一個相互牽制、相互制約的過程，是內部控制的精髓。從中航油事件來看，陳久霖作為一個管理人員，如果其有授權功能，按照控制活動原則，就不應有執行的功能。即使其有執行功能，按照控制活動原則，他就不應有檢查與監督功能。

　　但是，在陳久霖越權從事石油金融衍生產品投機過程中，沒有任何阻攔與障礙，而在事后還能一手摭天、隱瞞真實信息，足見該公司在職能分工方面，特別是控制活動與監督這兩個要素存在嚴重問題。由于存在這些缺陷，所以就很難保證已有設計好的內部控制能夠到執行。通常，在比較規范的海外公司中，為了保證內部控制的實施，一般來說，除了財務上必須既向公司總經理匯報，又應向董事會匯報外，還有一個不受總經理制約的內部審計委員會。通過這些機構的設置，以保證董事會不僅有知情權，還有干預權。使得公司的運作是以股東利益最大化為最終目的。所以，從中航油事件中我們得到這樣一個教訓，保證ERM框架的實施，比設計一個內部控制更為重要。

　　（三）注意ERM框架中的新要素：內部環境、目標設定及事件設別

　　對比傳統的內部控制內容，新ERM有了四個要素方面的變化。這四個要素的變化，對重新認識中航油事件，可能有一定的借鑒意義。

　　1.將控制環境改變為內部環境

　　傳統內部控制將第一要素定義為控制環境，而新ERM框架卻將其改為內部環境，這一要素的變化體現了企業風險管理的范圍更大了，應該關注的環境視野比過去更廣了。在該新要素中，強調了內部環境包含了一個組織的氣氛，形成一個組織的人員識別和看待風險的基礎。內部環境主要包括：風險管理哲學和風險偏好；員工誠實性和道德觀以及企業經營環境。內部環境要素確立了企業的風險文化，它既要認可預期發生的事項，也要認可未預期發生的事項。這與傳統控制環境要素中只關注與控制有關的事項相比，有了更豐富的內涵。從中航油公司的內部環境來看，確實存在非常嚴重的問題。陳久霖敗走獅城，技術層面的原因非常簡單。但是深入挖掘，企業的內部環境起了很大的作用。作為創業性的管理層為主導的企業，經常會發生“挾企業過去優秀業績，以令股東”的管理氛圍。這樣的企業文化、對待風險控制的態度，往往以管理層好惡為宗旨。中航油管理層在期貨交易中，根本沒有意識到風險，而是相信自己的判斷：油價沖高后必然會落。而在事情完全敗露以后，陳久霖還認為：“只要再有一筆錢，就能挺過去，就能翻身。”CEO如此看待風險，其獨斷專行之霸氣，其企業內部環境之惡劣，可見一斑。而集團公司由于過于看重陳久霖過去為集團公司所做的貢獻，因此，即使知道了陳久霖因場外期貨交易發生了嚴重損失，不僅沒有果斷采取止損措施，減少虧損。反而通過出售部分股權，進一步融資再次進行投機，使中航油損失達到了天文數字。所以，極端的風險偏好、畸形的風險文化和畸形的管理結構體現了中航油極為惡劣的內部環境。因此，在考慮由創業性管理層建立起來的公司文化時，我們應該專門制定出一套符合中國國情的新企業文化，不然的話。類似于中航油事件的災難還會發生。這是新的ERM給我們的啟示。

　　2.目標設定及事件識別要素的創新

　　在傳統內部控制定義中并沒有這二個要素。但是，COSO報告在調查許多大公司舞弊案中發現，許多內部控制的失敗，往往是在一開始確立公司目標時就已經鑄定了。與此同時，公司在經營過程中，對什么事件應采取什么對策并不清晰，特別是高風險事項，也采用一般程序來處理，這也是導致公司內部控制失敗的主要成因之一。所以，在新的ERM框架中，特別設置了這二個新要素。對比中航油事件，我們覺得，確實有獨特的意義。

　　一般來說，公司在認識到影響其業績的潛在事項之前，必須有一定的目標。ERM使得管理人員能適當的設立目標，并且使選擇的目標能支持、連接企業的使命，并與其風險偏好相一致。該要素適用于管理層在確立目標時考慮風險戰略。目標設立形成了一個組織風險偏好——從高處展望管理層和董事會將接受多大的風險。從中航油的發展史來看，從1997年起，在經歷了兩年虧損和兩年休眠期后，恢復運營之后的中航油先后進行了兩次戰略轉型：第一次轉型是從一家船務經紀公司重新定位為以航油采購為主的貿易公司，第二次轉型是從一個純貿易型企業發展到以石油實業投資、國際石油貿易和進口航油采購為一體的工貿結合型的實體企業，成為以中國為依托的石油類跨國企業。2001年，在母公司支持下，中航油以中國航油壟斷采購上的概念成功登陸新加坡資本市場。然而，中航油總裁陳久霖并不滿足于單純的油品現貨貿易。在其推動下，中航油從上市伊始就開始涉足石油期貨。在取得初步成功之后，中航油公司管理層在沒有向董事會報告并取得批準的情況下，無視國家法律法規的禁止，擅自將企業戰略目標移位于投機性期貨交易，這種目標設立的隨意性，以及對目標風險的藐視，最終將企業陷入驚濤駭浪之中。事實上，中航油集團最初在海外設立上市公司的初衷是非常明確的，就是為了取得一個價格相對平穩的國際油價。但是，這一目標最后卻被陳久霖擅自改變為通過投機性場外交易來博擊利差的主要手段。可見，目標的隨意更改，導致了中航油最終受到毀滅性的打擊。因此，在風險防范方面，目標設立起到非常大的作用。

　　其次，一個組織必須識別影響其目標實現的內、外部事項，區分哪些是風險、哪些是機會。可能有負面影響的事項代表了風險。可能有正面影響的事項代表了能抵消負面作用的機會，通過事項識別，能引導管理層戰略或者目標始終能保持不被偏離。2002年中航油的年報顯示其當年的投機交易盈利，2003年下半年，中航油進入石油期權交易市場，到年底也賺了錢。事實上，這正是事項識別中的機會與風險問題。

　　當我們看到該事項為公司賺取了大量利潤的同時，應該清醒地認識到，該事項可能產生的巨大風險。從最后結果來看，中航油最終的巨虧也是因為期貨交易。這里就涉及到企業應當如何正確區分機會和風險問題了。如果陳久霖能認清形勢，在賺取巨額利潤時，清醒地意識到可能產生的風險，或許中航油的歷史會改寫。因此，利用事項識別技巧（例如事項目錄、流程分析、主要事項指針等）來區分機會和風險，顯得十分重要。這也是新報告中符合時代要求的一個重要要素。

　　四、《企業風險管理——總體框架》對我國企業的借鑒意義

　　《企業風險管理——總體框架》對我國其他企業也有很多可供借鑒的地方。如近來發生的伊利股份、創維數碼、四川長虹等失敗案例或重大事件，或多或少都與企業風險管理缺失有關：2004年12月17日，內蒙古自治區檢察院對內蒙古伊利實業股份公司董事長鄭俊懷等5名高管人員的經濟問題正式進行立案調查，其主要原因是鄭俊懷等人在2000年和2001年間未經董事會同意，先后挪用1590萬元和1400萬元，分別給了呼和浩特華世商貿有限公司和啟元有限責任公司用于經營。事后得知：華世商貿公司是伊利公司的第五大股東，它是由鄭俊懷、楊桂琴等人以親屬名義注冊的私人企業；而啟元公司企業法人就是董事長鄭俊懷。無獨有偶，2004年1 1月30日，創維數碼董事局主席黃宏生，無視公司外部股東利益，繞開現有的董事會，私自將上市公司款項打人自己創辦的企業，因此涉嫌盜取公司資金4800多萬元，被香港廉政公署拘捕。而老牌上市公司四川長虹則折戟國際市場——因其合作伙伴美國APEx家電進口公司拖欠4.6億美元巨款而遭受巨大壞賬損失，也使得輿論評價四川長虹風光不再。在該案例中，雖然APEX公司是長虹在美國最大的合作伙伴，但是在確定信用政策時，長虹考慮壞賬風險的策略是令人難以理解的。因為，長虹是在A：PEX公司拖欠國內多家公司的巨額欠款情況下，還與其簽訂了巨額賒銷合同，如果長虹有合理的內部控制制度，這些情況或許不會發生。

　　上述案例的發生，或是董事會功能缺失、或是有內部控制制度但在實際業務中沒有得到應有執行、或是根本就沒有制度。因此，認真學習ERM框架中的所有內容，并將其與企業經濟業務緊密結合起來，我們認為對我國企業內部控制制度的重新調整，有一定借鑒意義，也為我們在當前環境下如何建立起一套適合中國國情的內部控制措施，提供了一個新的理論基礎。例如，新框架要求，以后再發生類似高級管理人員舞弊問題時，不是問總經理在哪兒？而是要問董事會在哪兒？因此，發揮董事會在內部控制方面的作用是新框架中的一個重要內容。另外，企業風險管理要求高級管理人員將企業風險、而不是所有細節作為控制的主要對象，是新框架中又一主要變化。因此，我們應當關注COSO報告中有關ERM的新發展，這對我們建立一個科學的企業現代制度是大有裨益的。

　　主要參考文獻

　　儲稀梁 2004.COSO內部控制整體框架：背景、內容、理論貢獻與啟示，金融會計，6.

　　劉明輝 2004.加拿大規范企業內部控制的實踐與特點。中國審計，6

　　許俊 2004.探密中航油事件：監督缺位下的巨額國有資產流失。轉引自 1994126.html.

　　朱榮恩、賀欣 2003.內部控制框架的新發展——企業風險管理框架。審計研究，6.

　　Anonymous.　1999.　COSO releases landmark study on fraudulent financial reporting. Financial Executive.　Morristown： Vol. 15， Iss. 3.

　　Anonymous. Dec 2004. Enterprise Risk Management： New ERM Model Is Essential to Financial Reporting Controls. IOMA's Re port on Financial Analysis， Planning ＆ Repotting. New York： Vol. 04， Iss. 12

　　Scott， October 2004， COSO ERM Released， Internal Auditor

　　Benson， Tony. 1975. CHANGING NEEDS OF INDUSTRY. Accountancy. London： FEB. Vol. 86， Iss. 978； p. 66.

　　Christopher E Mandel. Dec 15， 2003. COSO gives a good start to implement ERM. Business Insurance. Chicago：。 Vol. 37， Iss. 50； p. 12.

　　Craig， James L. 1993， A call for leadership. The CPA Journal， ABI/INFORM Global； 4th pg. 6.

　　Dana R Hermanson， Nov/Dec 2003. THE IMPLICATIONS OF COSO S PROPOSED ERM FRAMEWORK， Internal Auditing； ABI/INFORM Global， p41 -43.

　　David Wood， Scott Randall. Nov 15， 2004. Implementing ERM requires integrated approach. Oil ＆ Gas Journal. Tulsa：。 Vol. 102， Iss. 43 ； p. 28.

　　Denise M English； Diane K Schooley； Mary F Alien， Mar/Apr 2004； 19， 2. THE PCAOB$ INTERNAL CONTROL PRACTIC ES ： A COSO - BASED REVIEW， Internal Auditing； ； ABI/INFORM Global， pg. 37.

　　Ellen M Heffes. May 2002. COSO Studies Enterprise Risks， Financial Executive. Morristown： Vol. 18， Iss. 3； p. 16.

　　Enterprise Risk Management- Integrated Framework， www. coso. org.

　　Frank C Minter， Feb 2002； 83， 8； Do you remember COSO？ Strategic Finance； ABI/INFORM Global， p. 8 ~ 9.

　　George Matyjewicz， James R D Arcangelo.　Oct 2004 Beyond Sarbanes - Oxley.　The Internal Auditor.　Ahamonte Springs： Vol. 61， Iss. 5； p. 67-71.

　　Kelley， Thomas P； Bowsher， Charles A， Jul 1994； The COSO report： A new addendum results in GAO endorsement， Journal of Accountancy； ABI/INFORM Global， pg. 18.

　　Larry White. Nov 2004. Management Accountants and Enterprise Risk Management. Strategic Finance. Montvale ： Vol. 86， Iss. 5； p. 6 ~7.

　　Michael Bradford. Aug 4， 2003. Framework offers guidance on ERM ； COSO： Enterprise risk tool. Business Insurance. Chicago ： Vol. 37， Iss. 31； p. 4.

　　W. R. Kinney， 2003. Auditing Risk Assessment and Risk Management Processes， Research Opportunities in Internal Auditing （ Altamonte Springs） FL： IIA Research Foundation， Steven J.Root.2004.年加強公司治理的內部控制，清華大學出版社。