全面风险管理与内部控制的联系与区别
当今社会,关于全面风险管理与内部控制的讨论有很多。有人认为二者是包含关系,又有人认为它们是相互独立的。为了探讨这个问题,我们首先来看一下COSO
报告
软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载
中二者的概念以及框架:
内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适应的法律相符合提供一种合理的保证。
——COSO《内部控制的整体框架》 1992
全面风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,用于识别那些可能影响主体的潜在事件,管理风险以使其在该主体的风险偏好之内,并为主题目标的实现提供合理的保证。
——COSO《企业风险管理—整合框架》 2004
由上述内容可以看出它们有以下共同点:
1、 它们都明确是一个“过程”,不是静态的结果,而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
2、 它们都是为企业目标的实现提供合理的保证。
3、 它们都由企业的董事会、管理层和其他人员实施,都受人的影响。
4、 全面风险管理有四大目标,其中经营目标、报告目标、合规目标与内部控制的目标相重合。
5、 二者的组成要素有五大重合,即控制环境、风险评估、控制活动、信息与沟通、监督。虽然内部控制的组成要素中不明确包含目标设定、事件识别、风险对策,但是这些要素其实都蕴含其中。风险识别与风险评估的先决条件就是制定企业目标和具体业务活动目标。而事件识别与风险识别又有异曲同工之妙。因此二者的组成要素实则是重合的。
由上述五点可以看出,全面风险管理与内部控制既有横向交叉也有纵向交融,二者并不是相互独立的:
1、 全面风险管理包含内部控制。COSO委员会提出的《企业风险管理整合框架》(2004)中明确指出,企业全面风险管理包含内部控制;内部控制是全面风险管理不可分割的一部分;内部控制是风险管理的一种方式,全面风险管理比内部控制范围广得多。
2、 内部控制是全面风险管理的必要环节。英国Turnbull委员会(2005)认为,全面风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在全面风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。对于企业所面临的大部分的运营风险,内部控制是必要的。
虽然二者有着紧密的联系,但全面风险管理与内部控制并不是完全相同的,它们仍有这样那样的区别:
1、 两者活动范围不同。全面风险管理的范围更广。首先,它比内部控制多了个战略目标。其次,目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
2、 两者的范畴不一致。全面风险管理贯穿于事前预测、事中控制和事后整改,而内部控制仅通过事中控制和事后整改以实现目标。内部控制只是管理的一项职能,是企业整体管管理的有机组成部分。
3、 两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。
4、 两者对风险的对策不一致。全面风险管理框架引入了风险管理哲学、风险偏好等新内容,在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策
流程
快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计
等,这些内容都是内部控制框架中没有的。
参考文献:
[1]钱黎 汪子林 张伟《浅论内部控制与风险管理的区别和联系》2009.9
[2]王寅入 《谈风险管理与内部控制的区别与联系》 上海国资2010.6
[3]冯皎 《浅谈内部控制和风险管理》 中国商界2009.8
内部控制要素:
控制环境(内部环境文化)
管理哲学、管理风格、
管理方式
风险识别与评估
设立企业目标、具体目标
识别与分析内、外部风险
认识不确定性
调整政策、工作程序
控制活动
制定、执行、核实
信息与沟通
监督
管理部门 内部审计部门
全面风险管理的三个维度:
企业目标:
战略目标、经营目标
报告目标、合规目标
要素:
内部环境、目标设定、
事件识别、风险评估、风险对策、
控制活动、
信息和交流
监控
企业层级:
整个企业
各职能部门
各条业务线及下属子公司
- 1 -