全面风险管理与内部控制的联系与区别

全面风险管理与内部控制的联系与区别（一）全面风险管理与内部控制的含义1.1内部控制早在上世纪70年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控制问题给予高度重视。为了制止美国公司向外国政府官员行贿美国国会于1977年通过了“国外腐败实务法案”。该法案除了反腐败条款外，还包含要求公司管理层加强会计内部控制的条款，成为美国在公司内部控制方面的第一个法案。1992年，COSO委员会(Committee of Sponsoring Organization of Treadway Commission)出版了COSO报告内部控制的整体框架，被认为是有关内部控制的里程碑式的文件。内部控制的整体框架中COSO将内部控制定义为内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适用的法律相符合提供一种合理的保证。内部控制包括五大要素： 控制环境Control Environment：为控制创造条件； 风险评估Risk Assessment：有的放矢，实现目标； 控制活动Control Activities：实施控制行为； 信息与沟通Information and Communication：贯穿于过程中； 监督Monitoring：保证沿正确轨迹，合理校正。1.2全面风险管理安然(Enron)事件等一系列令人瞩目的企业丑闻和失败事件发生后，学界和业界呼吁新法律、法规和准则问世，来加强公司治理和风险管理。2003年7月，COSO发布企业风险管理整合框架征求意见稿，2004年9月正式文本发表。COSO指出，全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主体目标的实现提供合理的保证。全面风险管理是三个维度的立体系统： 企业目标：战略目标；经营目标；报告目标；合规目标。 要素：内部环境；目标设定；事件识别；风险评估；风险对策；控制活动；信息和交流；监控。 企业的层级：整个企业；各职能部门；各条业务线及下属子公司。（二）全面风险管理与内部控制的联系与区别2.1全面风险管理与内部控制的联系从全面风险管理与内部控制的含义中，我们可以看出两者有一下共同点： 全面风险管理与内部控制都是一个过程，这些过程都是渗透于企业的各项活动之中的。 全面风险管理与内部控制都具有目的性，有若干目标。这些目标都是确保企业各项经营目标的实现，都是为了维护企业的财产安全、保证企业的经济效 益。 全面风险管理与内部控制都是主体为实现目标提供合理的保证。 全面风险管理与内部控制都是由一个主体的董事会、管理层和其他人员实施，要受到受人的影响。 内部控制的五大要素被完全包含在全面风险管理之中，两者都强调控制环境、风险评估、控制活动、信息与沟通、监督。2.2 全面风险管理与内部控制的区别全面风险管理是内部控制的扩展，是内部控制的升级版，而内部控制是风险管理必不可少的一部分。两者既有横向交叉也有纵向交融。2.2.1全面风险管理与内部控制的内涵不同。全面风险管理，是对企业内部可能产生的各种风险进行识别、分析、评估、控制、监督，以最低成本实现最大的安全保障的过程。全面风险管理的目的是要及时发现风险、预测风险以 及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。内部控制是由企业董事会、高管和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。2.2.2全面风险管理与内部控制涉及的范畴不同。全面风险管理范围要大于内部控制。全面风险管理体系包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。内部控制是风险管理的重要环节而不是全部。全面风险管理是贯穿于整个生产经营过程中的各个环节，尤其是在事前控制、事中控制和事后控制。内部控制是企业内部采取的风险管理流程规范，仅仅是管理的一项职能，只是对目标的制定过程进行评价，主要是通过事中与事后的控制来实现其自身的目标。2.2.3全面风险管理与内部控制的执行方式不同。全面风险管理，注重防范和控制风险可能给企业造成损失和危害，同时把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。内部控制是企业内部采取的风险管理流程规范，它无法防范管理层非理性风险和凌驾于管理制度之上的决策风险，它所负责的只是事中和事后的控制。 2.2.4全面风险管理包含内部控制。COSO企业风险管理整合框架认为内部控制的出发点与最终目的都是为了控制和管理风险。这也是COSO委员会将内部控制的整体框架升级为企业风险管理整合框架的根本原因。全面风险管理与内部控制并不是相同的概念，其根本原因在于两者的外延有所区别。狭义而言，内部控制主要指财务的管理控制。COSO内部控制的整体框架提出之初就是以杜绝财务报告中舞弊的产生，并杜绝因为虚假的财务信息而导致的企业危机为导向制定的。除财务管理外，还加入了运营、战略等诸多方面的管控内容。然而事实上，企业是存在于一个行业、一个大的经济环境之中的。仅仅依靠内部的管理控制已不能满足于企业发展的需要。在当前市场经济条件下，外部经济环境、市场状况、法规政策的发展变化对于企业的影响也需要得到充分的重视。企业全面风险管理不仅包含了内部控制内容，还将市场、法律等外部环境纳入到了企业的经营管理控制的范围中。相对于内部控制，企业全面风险管理从内部到外部，由整体层面制定风险战略，构建管控体系，完善管理制度，优化流程和组织职能，为企业构建风险管理的长效机制，从根本上提升了企业经营管理的效率和效果。参考文献：1 周兆生. 内部控制与风险管理J. 审计与经济研究, 2004, 19(4):46-49.2 张文峰. 谈全面风险管理与内部控制J. 商业会计, 2005(6):13-13.3 万里霜. 全面风险管理与内部控制的融合J. 统计与决策, 2009(9):177-178.4 路