内部控制与风险管理关系的探讨

辽宁大学本科毕业论文内部控制与风险管理关系的探讨 作 者张万博学 院商学院专 业会计学（注册会计师专门化）年 级2010学 号100608206指导教师尹波老师答辩日期成 绩 摘 要从“亚细亚现象”到中航油事件，从巴林银行破产到安然公司倒闭，企业风险管理逐步进入人们的视野，掀起一阵热潮。当今社会，随着科学技术和经济全球化的发展，企业之间竞争越来越激烈，人们对资产的安全，公司的核心竞争力，以及风险的防范更加重视，对内部控制和风险管理的认识也上升到一个新的高度。从1992年COSO内部控制整体框架到2004年COSO委员会颁布的企业风险管理整体框架，内部控制与风险管理容易混淆，两者之间有联系也有区别。因此，从理论和实践相结合的角度探讨内部控制与风险管理的关系成为当务之急。本篇文章在COSO内部控制整体框架和企业风险管理整体框架的基础上，从历史回顾的角度研究内部控制与风险管理理论的演进过程，研究内部控制与风险管理理论的内涵和意义，具体分析探讨内部控制与风险管理之间的联系与区别，指出内部控制与风险管理将逐步走向融合。以此来帮助企业防范风险，提高经营效果与效率，促进资产保值与增值。本文包括以下五个部分：第一部分，选题背景与研究综述。介绍选题背景与国内外对内部控制与风险管理两个理论的关系的文献综述和理论成就。第二部分，内部控制与风险管理的理论基础，同时提出现代企业风险管理所面临的问题。介绍内部控制与风险管理理论的发展历程以及内涵和现实意义。第三部分，内部控制与风险管理的区别。表现在内部控制与风险管理两者的要素、目标范围、活动职能、对风险的理解以及风险应对策略几个方面。第四部分，内部控制与风险管理的联系。体现在共同要素、实施主体、适用范围、实施目的以及都需要成本控制几个方面。第五部分，从上文内部控制及风险管理的区别和联系中，对企业应如何正确把握内部控制与风险管理的关系进行系统的归纳、分析和总结，提出应对方案，得出结论：两者在经济全球化的大趋势下会最终走向统一和融合。关键词：内部控制 风险管理 关系 COSO11 ABSTRACTFrom Asia to China Aviation Oil incident phenomenon,and from Bahrain Bank bankruptcy to the Enron Croporation closing down,enterprise risk management gradually gose into peoples vision,setting off a huge craze.Nowadays,with the development of science and technology and economic globalization,competition is getting more and more intense.People pay more attention to the safety of assets,the companys core competitiveness and guard against the risk.And people have a new height understanding of internal control and risk management.From Internal Control Integrated Framework in 1992 published by COSO to Enterprise Risk Management Framework published in 2004,its very easy to confuse internal control and risk management,they both have similarities and differences.Therefore,exploring the relationship between internal control and risk management from the combination of theory and practice angle has become a pressing matter of the moment.This artical is based on Internal Control Integrated Framework and Enterprise Risk Management Framework published by COSO,researching the evolution process of internal control and risk management from the angle of history and studying the connotation and significance.Analysing the similarities and differences between them,and that they will eventually lead to fusion.In order to help enterprises to guard against risks and improve the operational effciency and effectiveness and promote asset value preservation and appreciation.This thesis includes the following four parts:Firstly, the summary of background and research topics,it includes the research background and domestic and foreign literature reviews and theoretical achievements to the relationship between internal control and risk management theory.Secondly,it introduces the basic theory of internal control and risk management,and their development process and connotation and practical significance.Thirdly,it introduces the differences between the internal control and risk management,including element,target range,activity,understanding of risk and risk response strategies.Fourthly,it introduces the similarities between the internal control and risk management,including the implemenation main body,scope,objective and are needed in cost control.And analysing and summarying the relationship between them.Key words: internal control;risk management;relationship;COSO目 录一、导论1（一）选题背景与研究思路1（二）国内外文献综述和研究回顾2二、内部控制与风险管理的理论基础及面临问题3（一）内部控制基本理论及控制要素3（二）风险管理基本理论5（三）现代企业风险管理所面临问题5三、分析内部控制与风险管理的区别6（一）内部控制与风险管理的要素构成不同6（二）内部控制与风险管理的目标范围不同6（三）内部控制与风险管理的活动职能不同7（四）内部控制与风险管理对风险的定义不同7（五）内部控制与风险管理对风险的应对策略不同7四、分析内部控制与风险管理的联系8（一）内部控制与风险管理有共同要素8（二）内部控制与风险管理的实施目的相同8（三）内部控制与风险管理的实施主体相同8（四）内部控制与风险管理的适用范围一致9（五）内部控制与风险管理都需要成本控制9五、企业应如何正确把握内部控制与风险管理的关系9主要参考文献11致 谢12内部控制与风险管理关系的探讨内部控制和风险管理，作为现代管理理论的重要组成部分，在实践中得到了不断的发展，日趋完善且越发受到企业和社会的关注。我国在研究内部控制与风险管理关系上仍处在一个较新的领域。在经济全球化和信息全球化的大趋势下，随着风险种类的增加、范围的扩大，企业面临更大的挑战。本文在COSO COSO委员会,Committee of Sponsoring Organizations of The Treadway Commission,简称COSO.全美反舞弊性财务报告委员会发起组织。1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。内部控制整体框架和企业风险管理整体框架的基础上通过研究内部控制与风险管理的要素、涵义、目标，试图探究两者之间的关系，使其更好的帮助企业抵御风险，提高竞争力。一、 导论现今社会，经济全球化和信息全球化的趋势已逐步加深，“风险”一词逐渐走进人们的视野。随着风险的种类不断增加，风险的范围越来越广泛，风险的不确定性增强，防范风险的难度加大，带给企业新的挑战。风险已经成为了现今社会人们关注的焦点。（一）选题背景与研究思路1985年5月，郑州亚细亚商场正式成立，并在短时间内获得消费者的极大认同，以后三年营业额居河南首位，称为“亚细亚现象”。然而，不到十年，竟然亏损倒闭一蹶不振。原因竟是9年来从未进行过一次全面的审计，内部控制失效、缺乏监督、信息不畅等等原因带来的巨大风险使得这个郑州的“商界航母”沉没。震惊国内外市场的中航油事件，中航油新加坡公司由于错误地判断油价走势，交易策略失败以及陈久霖的投机行为，造成了5.5亿美元的巨额亏损，使得一个大型国有企业瞬间毁灭，背后原因竟是缺乏有效的内部控制和风险管理机制。由于一个操作员的未经授权交易和一个长达两年没有被内部审计发现的掩盖失误的账号，使得一个有着233年经营史的并在欧洲金融界有着举足轻重地位的老牌商业银行巴林银行破产，甚至消失在金融界的视野中，实际上体现着内部控制体制的漏洞和缺陷。以上的案例中内部控制的缺失竟给企业带来如此大的风险，让企业面临亏损甚至破产倒闭。究其原因，大多数是因为人们对风险的认识不足，风险管理意识薄弱，企业内部控制缺失或失效，内部控制体系不完善造成的，它严重影响了财务信息的真实性，威胁着企业资产的安全，甚至关乎到企业生死存亡。对此，人们不由得疑惑：内部控制的缺失对企业的风险管理带来如此大的灾难，那么内部控制与风险管理之间究竟存在怎样的关系？企业的内部控制是否等同于风险管理？或是内部控制包含风险管理？分析研究这些问题有利于明确两者之间的关系和发展趋势，充分完善内部控制制度，提高企业风险管理的水平，提高企业经营效率和竞争力。本文在COSO内部控制整体框架和企业风险管理整体框架的基础上，借鉴国内外关于内部控制与风险管理的文献综述，通过对内部控制与风险管理基本理论的要素、涵义、目标与框架的研究，提出内部控制与风险管理在要素、目标范围、活动职能、对风险的理解和风险应对策略几方面的区别，以及在共同要素、实施主体、适用范围、实施目的、成本控制要求等方面的联系，对两者的关系进行分析和归纳总结。（二）国内外文献综述和研究回顾国务院国有资产监督管理委员会于2006年印发的中央企业全面风险管理指引围绕全面风险管理目标，通过涵盖风险辨识、风险分析、风险评价在内的风险评估和依据风险偏好、风险容忍度等制定的风险策略，建立健全风险管理系统和内部控制系统，明确了内部控制方案是解决风险管理的有效措施。2007年出台的企业内部控制（征求意见稿），表明“内部控制必须向风险控制发展”。2008年和2010年财政部等五部委联合发布企业内部控制基本规范和企业内部控制配套指引进一步告诉企业什么是内部控制，以及如何通过内部控制来提高风险管理水平的一系列问题。赵国、黄溶冰（2007）从概念演进的视角，运用比较分析的方法，认为内部控制与风险管理虽然经历了不同的发展阶段，但在COSO于2004年颁布的企业风险管理整体框架中实现了融合。陈志军（2009）关于内部控制与风险管理的关系研究，认为“内部控制的产生与发展来源于风险，内部控制是风险管理的重要手段”。李雪琴、蒋海燕（2009）认为内部控制在经营过程中能够规避常见的风险，却无法承担、转嫁风险，两者并不等同。通过数年的研究，内部控制与风险管理的关系代表观点归纳起来有三种：第一种观点认为风险管理包含内部控制。持有此种观点的人们认为风险管理的范围要远远大于内部控制，内部控制只是局限于保险层面和财务层面，比较单一，而风险管理能够涉及更广泛的领域，诸如政治、法律、体育、公共安全、银行等方面，更加深刻和复杂。南非King Report（2002）认为，风险管理将内部控制作为控制风险的一种措施，是比内部控制更为复杂的一个过程，涵盖的内容更加广泛，更有现代化意义。此外，内部控制只是达成风险管理目标的一种重要的实现形式，是风险管理的有效手段之一，风险管理框架是基于内部控制框架提出的，表明内部控制框架涵盖在风险管理框架之中。第二种观点认为内部控制包含风险管理。持有此种观点的人们认为风险具有不确定性并且不以人的意志为转移，始终存在着的风险若不实施有效控制必定会造成一定的经济损失和不良影响。内部控制的有效实施既是为了防范风险，也能帮助企业提高效率，增强竞争力。此外企业内部控制的要素之一是风险评估，它随着风险的变化不断调整策略。因此风险管理是内部控制的一个组成部分。加拿大注册会计师协会控制标准委员会（1999）认为，“控制应该包括风险的识别与减轻”，说明减轻风险是内部控制的一个控制手段和实施目的，风险管理在内部控制的内容之中。第三种观点认为内部控制就是风险管理。清华大学陈关亭教授（2012）认为，内部控制与风险管理同质异版，都为企业“趋利避害”，是企业的免疫系统，两者是等价的。在公司治理中，风险管理只是比内部控制更加突出战略层的内涵，两者无明确的划分界限，外延延伸正在走向一体。Matthew Leitch（2004）认为，两者系统之间没有明显差异，将会一体化，两者在变为同一事物。二、内部控制与风险管理的理论基础及面临问题我国对内部控制与风险管理的关系研究仍处在较新的领域，理论界和实务界对其也有着各种各样的看法，但总体上两者是紧密相连不可分割的。所以本文将以内部控制与风险管理两者的理论基础为切入点，进一步剖析两者之间的区别与联系及面临的问题。（一）内部控制基本理论及控制要素随着经济的发展，企业所有权与经营权分离之后，为了提高经营效率和效果以及满足企业制度管理和公司治理的需求，内部控制成了必然的产物。内部控制基本理论的演进也经历了几个阶段。1.内部控制发展历程（1）内部牵制阶段（20世纪40年代之前）内部牵制阶段是内部控制发展的萌芽期，是内部控制的初级形式。柯氏会计词典中定义内部牵制：“以提供有效的组织和经营，并防止错误和其他非法业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。”也就是说，内部牵制是通过账务记录、账务核对以及组织上部门的职责分工来避免私自挪用财产，起到差错防弊和相互牵制的目的。（2）内部控制制度阶段（20世纪40年代至70年代）内部控制制度是在内部牵制理论基础上的发展。1949年，AICPA AICPA,American Institute of Certified Public Accountants,美国注册会计师协会。它是美国全国性会计职业组织，也是世界上最大的会计师专业协会，在全球128个国家与地区拥有近37万名会员。所属的审计程序委员会发布内部控制一种协调制度要素及其对管理当局和独立审计人员的重要性报告明确定义了内部控制，是内部控制制度的开端。1958年10月，其又发布审计程序公告第29号重新将内部控制划分为内部会计控制和内部管理控制，但割裂了内部控制的完整性不便于有效实施。1972年，其在审计准则公告第1号中更加明确的阐述了两者包涵的范围，使其目标更加明确。（3）内部控制结构阶段（20世纪80年代至90年代）在系统管理理论这一新的管理概念的基础上，1988年，AICPA发布的审计准则公告第55号指出内部控制结构由“控制环境、会计系统、控制程序”三要素组成，也称为“三点论”。它不再区分内部会计控制和内部管理控制两个概念，保持了内部控制完整性，并突出强调了对内部控制制度实施效果有重大影响的控制环境这一要素的重要地位，推动了内部控制的发展。（4）内部控制整体框架阶段（20世纪90年代以后）随着信息技术的发展，公司体系的完善，内部控制越来越受到人们的重视。1992年，COSO委员会发布了纲领性文件内部控制整体框架，备受业内推崇的同时在全球得到了广泛推广，成为内部控制发展的里程碑，具有深远影响。COSO报告提出内部控制要素为“控制环境、风险评估、控制活动、信息与沟通、监控”这五个，已构成了内部控制体系，但对风险的强调还略有不足，没能将内部控制与风险管理结合起来。（5）风险管理框架（21世纪初至今）在经济全球化和信息全球化大背景下，内部控制职能的变化引发了内部控制理论的逐步完善。2004年，COSO委员会的研究报告企业风险管理整体框架明确了企业风险管理包括“内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督”八个相关联的要素，将企业经营与管理的理念融合到一起，并指出“内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制。”也意味着内部控制向风险管理的逐步过渡。2.内部控制内涵、要素及意义内部控制是以“控制环境、风险评估、控制活动、信息与沟通、监控”五要素组成，从事前、事中、事后对企业经营过程进行预测、防范、监督，从而使企业遵循法律法规，提供会计完整的信息披露，为资产安全提供保障，促进资源合理配置， 提高经营能力和水平，促进企业长远发展和社会效益最大化。内部控制是防范和抵御风险的长效机制。一个企业若缺乏内部控制或者内部控制失效，就容易出现管理不当、滥用职权的漏洞，造成经济损失甚至破产。中航油事件的例子很好的说明了这一点，在控制环境上中航油的管理者独断专行，董事会职能缺失，风险文化欠缺，控制活动中存在严重的暗箱操作行为，衍生品风险管理机制尚不健全，一旦出现问题没有及时的应对补救措施，都体现着内部控制基本制度形同虚设、执行不畅。这样的情况下，风险管理更是无从谈起。内部控制就是通过构建良好的企业内部控制环境，包括管理者的经营哲学和员工整体素质的提高，评估风险并实施监控来发现并纠正出现的问题和弊端，以此降低风险可能对企业造成的损失，使企业更好的完成经营目标和发展战略。（二）风险管理基本理论现今社会，由于激烈的市场竞争和金融经济的不稳定性，风险始终伴随着企业，企业为了生存和发展，以及有优势地立足于社会，必须认识风险并加强对风险的有效管理。关于“风险”一词的由来，普遍说法是远古时期渔民们出海前祈祷风平浪静，因为“风”这种具有极大的不确定性和不稳定性的自然现象会让他们身处“险”境。而经过数百年的演进，“风险”一词远远超过了原有的狭义概念，在保险、经济、金融、安全等多个领域中被赋予更加深层次的内涵。由于风险的发生往往会造成诸多不利的后果和影响，所以在经营管理中为了避免不必要的损失，需要采取措施约束人们的行为。由此引发了从认识风险、判断风险到规避风险、防范风险的一系列活动，这就是风险管理，即对“未来具有不确定性的结果”这些风险活动进行的管理，从而能够将风险降至最低，实现企业价值最大化，从而实现企业的目标。（三）现代企业风险管理所面临问题对于风险的管理，我国古代就有应用。远古时期，原始人通过制造石器和木器来防御野兽的攻击，既保障了生命安全，也提高了生产的效率。1637年，天工开物一书中记载了：“初见煤端时，毒气灼人，有将巨竹凿去中节，尖锐其末。插入炭中，其毒烟从竹中透上。”以此方法避免矿内瓦斯带来的危险，风险意识和风险管理的实践从那时起就已经萌生。在四大文明古国时期，通过损失分摊的方法降低风险，经过长期的不断的实践，演变为今天的全面风险管理。纵观国外，1720年，世界上第一家保险公司在伦敦成立，是传统风险管理阶段在实践中的一个开端，表明人们已经开始学着对风险进行有效地管理。20世纪50年代，“风险管理”一词被提出后广为传播，当时主要应用于保险领域。风险管理逐渐成为独立的学科。20世纪90年代，随着股票市场“黑色星期五”带来的金融震荡，以及随后的巴林银行破产为管理风险敲响警钟，企业风险管理标准诞生，进入了现代风险管理阶段。如今，“911”袭击事件和安然公司倒闭，政府和公众对风险管理的关注度日益提升，加之风险管理随着多年的实践趋于规范化、标准化、科学化，全球迎来了全面风险管理阶段。三、分析内部控制与风险管理的区别内部控制与风险管理的目标最终都是为了防范风险，获取利益和价值的最大化。但是纵观上述对内部控制与风险管理基本理论与内涵的阐释与分析，不难看出内部控制与风险管理之间并不完全重合，通过对比分析，两者在要素、目标范围、职能活动、对风险的定义和风险应对策略上有显著不同。（一）内部控制与风险管理的要素构成不同如表一，从要素构成的角度看，风险管理在内部控制“控制环境、风险评估、控制活动、信息与沟通、监控”的基础上，还添加了“目标设定、风险识别、风险对策”三个要素。将内部控制起基础作用的控制环境改为了内部环境，突出强调了内部环境在整个风险管理系统中的重要作用，除了内部控制要求的员工素质与能力、经营风格与管理哲学等，还增加了风险文化和管理哲学几个方面。将监控改为了监督，体现了从内部控制制度的监测到监督其是否真正发生作用的方向转变。新增加的三个要素体现了风险管理的主动性更强，有明确的目标，并针对目标的设定通过概率分布和时间价值从事前预测会遇到什么风险，怎么防范风险，更加注重风险的有效管理而非简单的规避。表一 内部控制和风险管理要素和目标的区别要 素目 标内部控制风险管理内部控制风险管理控制环境内部环境经营目标经营目标风险评估风险评估报告目标报告目标控制活动控制活动合规目标合规目标信息与沟通信息与沟通战略目标监控监督目标设定风险识别风险对策（二）内部控制与风险管理的目标范围不同除了内部控制与风险管理共同的经营、报告、合规类三大目标，2004年COSO企业风险管理整体框架增添了一个新的目标：战略目标。它站在管理者的角度上将对风险的防范提升到公司战略的高度，以适应经济全球化和信息全球化下激烈的市场竞争和动荡的经济形势。从目标范围上看，内部控制更加注重经营风险，即高管层注重对战略实施阶段的风险。而风险管理则更注重战略风险，即董事会对战略决策和制定阶段的风险，将风险管理由问责管理层转向了问责董事会。增加了战略目标之后，企业在经营管理的过程中能够更好的从全球经济的大局出发来制定战略发展目标，达成更好的企业使命和愿景，形成更好的企业声誉和社会价值最大化。（三）内部控制与风险管理的活动职能不同内部控制与风险管理在活动职能上不同，内部控制主要对事中、事后发生的风险进行控制和管理，为的是扫除实现目标过程中遇到的障碍，并未从风险的本身着手，没有系统的研究和衡量风险的大小、风险的种类、风险带来的影响程度的大小以及能否将风险转化为机遇来增加企业的资源利用和价值。而风险管理在对风险的研究上做的更好，它渗透在企业运行的各个环节和层面，更注重事前环节，在目标设定上就是以风险已然存在作为假设前提的，通过VAR VAR,Value at Risk,一般被称为“风险价值”或“在险价值”，指在一定的置信水平下，某一金融资产或证券组合在未来特定的一段时间内的最大可能损失。、敏感性分析 敏感性分析是投资项目的经济评价中常用的一种研究不确定性的方法，它在确定性分析的基础上，进一步分析不确定性因素对投资项目的最终经济效果指标的影响及影响程度。、压力测试 压力测试，stress testing,指将整个金融机构或资产组合置于某一特定的极端市场情况下，测试其在关键市场变量突变的压力下的表现状况，看是否能经受得起这种市场的突变。等手段衡量风险的强弱、影响力，更有助于管理风险的目标的实现，有利于增加企业价值。（四）内部控制与风险管理对风险的定义不同从字面上看，内部控制强调的是企业内部系统中存在的风险，忽视了外部环境。而风险管理的涵盖面更加广泛，企业风险管理整体框架中定义风险为“对企业的目标产生负面影响的事件发生的可能性”，它不仅包括内部的，也包括外部的，除去了“正面影响”给企业带来的机会和收益，对风险定义的更加具体和准确。内部控制中提到的风险评估主要是针对经营风险、财务风险、合规风险，而风险管理中提到的风险识别和风险对策还包括战略风险、商誉风险、信息风险，以及对企业风险文化的塑造，更明确了风险和机会的界限，增加了企业的潜在收益。内部控制中仅包括规避和防范企业不可承受的可能造成巨大经济损失的风险，然而风险管理中还包括企业可承受风险，对可承受风险的分析和衡量能够尽最大的努力降低企业可能会面临的一切风险，将风险造成的损失降至为零，更好的完成企业的四个目标。（五）内部控制与风险管理对风险的应对策略不同在风险的应对策略上，内部控制仅停留在认识风险的阶段，对风险缺乏有效的分析评估和管理。风险管理则通过风险管理框架新引入的风险偏好、风险容忍度等工具，在数学、统计学等多学科的帮助下对风险进行系统的评估和衡量，并且更全面地研究了风险的组织体系、管理信息系统、管理策略等方面。从新增的要素“风险识别、风险对策”上不难看出风险管理更好的让企业的管理者在风险的管理上化被动为主动，迎接风险给企业带来的一个个挑战。四、分析内部控制与风险管理的联系内部控制与风险管理之间既有区别又有联系，两者在某种程度上来说是密不可分的。行之有效的内部控制制度提高了风险管理水平，而风险管理的有效实施又必须依靠执行强有力的内部控制手段。本文从两者的共有要素、实施目的、实施主体、适用范围和成本控制要求等角度阐释两者之间的必然联系。（一）内部控制与风险管理有共同要素内部控制整体框架和企业风险管理整体框架是COSO于1992和2004年针对上市公司出现的诸多管理漏洞和滥用职权的弊端造成严重经济损失的后果而研究提出的纲领性文件，受到了全球的广泛关注。虽然风险管理框架是对内部控制框架的修改和补充，但从要素上看，作为内部控制基础的“控制环境”，风险认识和评价阶段的“风险评估”，贯穿系统整体的“信息与沟通”，以及管理和实践阶段的“控制活动、监督”这五大要素仍然是重合的，这说明两者的核心内容相同。（二）内部控制与风险管理的实施目的相同内部控制与风险管理的目的都是在构建良好的内部环境的基础上，参照对可能遇到的风险的评估结果，采取有效的控制活动防范风险，而不是减少风险，完成企业的经营、财务报告准确、遵循法律法规三大目标。企业通过内部控制和风险管理的实现来约束和规范企业员工的权限、资金的使用，使资产保值增值，提高社会公信力和企业声誉，让企业于激烈的竞争中立于不败之地。这是两者的共同目的。（三）内部控制与风险管理的实施主体相同从制定战略决策和目标的董事会，到对战略进行实施的管理层，再到执行这些分解目标和分解指令的普通员工，都是实施内部控制与风险管理的主体。尽管每个层次的角色分工和相应的职责履行不同，但是两者都是体现的全员共同参与，共同实施，来保障企业人、财、物和资金资源的充分利用和合理配置，将风险控制在企业可接受的范围内。董事会对下属部门进行如何防范风险和提高效率的业务指导，下属部门和员工对实施的结果向董事会汇报并接受董事会监督，整个流程中无论是单个人还是业务部门，都对控制和防范风险承担着一定的责任。（四）内部控制与风险管理的适用范围一致内部控制与风险管理的适用范围，即适用对象基本一致都是企业的各个层级主体，包括分公司、子公司、业务部门、业务单元等。它们都需要执行企业内部控制和风险管理的相关业务流程，以确保各个子系统抵御风险功能的完备。所谓业务流程，正说明两者都是一个“过程”，它们渗透在企业日常管理活动的方方面面，是一种长效机制，是实现防范风险、提高企业竞争力的一种实现形式，是过程而非简单的结果。（五）内部控制与风险管理都需要成本控制在内部控制和风险管理的有效实施后会收到明显的效果，企业的损失少了，效率提高了，竞争力强了，但是两者都需要考虑成本的控制和优化问题。在内部控制和风险管理的实施过程中，会产生一定的费用和损耗。例如，内部控制的设计、实施、监督和评价过程消耗的人力、物力、财力等资源，风险管理的事前、事中、事后的预测、防范风险的成本，以及发生风险承担的资源损耗。内部控制和风险管理的共同之处在于，企业对两者的投入越高，相应的制度建立也就越加完善，对风险防范的力度就越大，相应的成本也就越高，企业负担就越重。但是投入多少才是最合适的呢?在既节约成本又能实施有效控制和风险管理的情况下是最合理的，因此两者都需要对成本进行控制和优化，这样能够帮助企业节约资源，节省开销，提升价值。五、企业应如何正确把握内部控制与风险管理的关系科技发展日新月异，经济全球化的趋势愈加明显，伴随着企业实践产生的传统的内部控制思想很难抵御金融经济震荡、市场风险瞬息万变给企业带来的风险和挑战，不能满足企业生存发展需要。内部控制思想对企业事项风险采取的应对措施不明确，尤其是高风险事项难以有效控制，这会导致内部控制的失败。“三聚氰胺”、“塑化剂”、“瘦肉精”这些事件产生的负面影响严重损害了公众利益和企业形象，引发了公众对食品安全问题的担忧以及企业对风险管理的重视。巴林银行破产和中航油巨亏事件也都为我们敲响了风险管理的警钟。内部控制失效、内部控制体系不健全等一系列问题要求我国应对内部控制实施调整和理论创新，结合我国的具体国情，从实际出发，构建新的框架。全面风险管理框架的应用正是制度上的一个提升和飞跃。它使我国比照西方先进的管理模式和经营经验，更加重视对风险的管理，明确控制与管理之间的界限，实行新的风险管理方法，逐步缩小与发达国家的差距。总体来看，内部控制与风险管理是辩证统一的关系。一方面，内部控制是风险管理的基础环节和重要手段，风险管理是内部控制发展的一个新方向和新阶段，是更加符合经济和社会发展需要的。两者的目的都是是为了减低和防范风险，利用社会有限的资源为利益方谋求更大的价值，完成企业目标和愿景。风险管理的有效实施离不开内部控制这一重要手段，而企业若要成功地防范风险，提高竞争力以立足于世界企业之林，又必须推动内部控制向风险管理的方向转变，只有两者更好的结合才会实现最大的效用。另一方面，内部控制与风险管理的侧重点不同，内部控制在财务报告方面起主导作用，风险管理则在战略角度的影响更为深远。内部控制对风险的探究和评估尚有不足，企业的内部控制失效体现在管理层风险意识淡薄、内部控制体制不完善使得内部控制流于形式，存在诸多漏洞和弊端。将风险管理的思想融入到传统的内部控制思想中，能够使其由“控制”风险向“管理”风险转变，变被动为主动，变消极为积极，以此弥补内部控制抗风险能力低、实施过程不灵活等不足，全面提高风险防范能力，以适应现实和当前多变的经济环境的需要。风险管理框架的出台是对内部控制框架缺陷的弥补，使其更好的发挥作用，两者是相互补充相