论文--风险管理与内部控制联系与区别.docVIP

浅谈企业内部控制与风险管理 ? 当今社会， 关于全面风险管理与内部控制的讨论有很多。 有人认为二者是包 含关系， 又有人认为它们是相互独立的。 为了探讨这个问题， 我们首先来看一下 COSO 报告中二者的概念以及框架： ? 内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其 目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适应 的法律相符合提供一种合理的保证。 ? —— COSO 《内部控制的整体框架》 ? 1992? 全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实 施，应用于战略制订并贯穿于企业之中，用于识别那些可能影响主体的潜在事 件，管理风险以使其在该主体的风险偏好之内，并为主题目标的实现提供合理 的保证。 ? —— COSO 《企业风险管理—整合框架》 ? 2004? ?? ? 由上述内容可以看出它们有以下共同点： ? 1 、它们都明确是一个 “过程” ， 不是静态的结果， 而是实现结果的一种方式。 企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。 这些行动普 内部控制要素： ? 1 、控制环境（内部环境文化） ? ? ? ? 管理哲学、管理风格、 ? ? ? ? 管理方式 ? 2 、风险识别与评估 ? ? ? ? 设立企业目标、具体目标 ? ? ? ? 识别与分析内、外部风险 ? ? ? 认识不确定性 ? ? ? ? 调整政策、工作程序 ? 3 、控制活动 ? ? ? ? 制定、执行、核实 ? 4 、信息与沟通 ? 5 、监督 ? ? ? 管理部门 ? 内部审计部门 ? 全面风险管理的三个维度： ? 1 、企业目标： ? ? ? ? 战略目标、经营目标 ? ? ? ? 报告目标、合规目标 ? 2 、要素： ? ? ? ? 内部环境、目标设定、 ? ? ? ? 事件识别、 风险评估、 风险对策、 ? ? ? ? 控制活动、 ? ? ? ? 信息和交流 ? ? ? ? 监控 ? 3 、企业层级： ? ? ? ? 整个企业 ? ? ? ? 各职能部门 ? ? ? ? 各条业务线及下属子公司 ? ? -?2?-? 遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。 ? 2 、它们都是为企业目标的实现提供合理的保证。 ? 3 、它们都由企业的董事会、管理层和其他人员实施，都受人的影响。 ? 4 、全面风险管理有四大目标，其中经营目标、报告目标、合规目标与内部 控制的目标相重合。 ? 5 、二者的组成要素有五大重合，即控制环境、风险评估、控制活动、信息 与沟通、监督。虽然内部控制的组成要素中不明确包含目标设定、事件识别、风 险对策， 但是这些要素其实都蕴含其中。 风险识别与风险评估的先决条件就是制 定企业目标和具体业务活动目标。 而事件识别与风险识别又有异曲同工之妙。 因 此二者的组成要素实则是重合的。 ? 由上述五点可以看出，全面风险管理与内部控制既有横向交叉也有纵向交 融，二者并不是相互独立的： ? 一、全面风险管理包含内部控制。 COSO 委员会提出的《企业风险管理整合 框架》 （ 2004 ）中明确指出，企业全面风险管理包含内部控制；内部控制是全面 风险管理不可分割的一部分； 内部控制是风险管理的一种方式， 全面风险管理比 内部控制范围广得多。 ? 二、内部控制是全面风险管理的必要环节。英国 Turnbull 委员会（ 2005 ） 认为， 全面风险管理对于企业目标的实现具有重要意义， 公司的内部控制系统在 全面风险管理中扮演关键角色， 内部控制应当被管理者看作是范围更广的风险管 理的必要组成部分。对于企业所面临的大部分的运营风险，内部控制是必要的。 ? 虽然二者有着紧密的联系，但全面风险管理与内部控制并不是完全相同的， 它们仍有这样那样的区别： ? 一、两者活动范围不同。 全面风险管理的范围更广。 首先， 它比内部控制多 了个战略目标。 其次， 目前所提倡的全面风险管理包含了风险管理目标和战略的 设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报 告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动， 如对风险的评估和由此实施的控制活动、 信息与交流活动和监督评审与缺陷的纠 正等工作。 两者最明显的差异在于内部控制不负责企业经营目标的具体设立， 而 只是对目标的制定过程进行评价， 特别是对目标和战略计划制定当中的风险进行 ? -?3?-? 评估。 ? 二、两者的范畴不一致。 全面风险管理贯穿于事前预测、 事中控制和事后整 改， 而内部控制仅通过事中控制和事后整改以实现目标。 内部控制只是管理的一 项职能，是企业整体管管理的有机组成部分。 ? 三、两者对风险的定义不一致。在 COSO 委员会的全面风险管理框架中，把 风