内部控制与企业风险管理关系浅析

1、内部控制与企业风险管理关系浅析一、前言 在实际工作中，许多人认为企业内部掌握和风险管理就是一回事，内部掌握做的好，企业风险管理也就做好了。孰不知两者是存在差别及联系的。要想做好企业风险管理及内部掌握工作，必需清晰的熟悉两者的关系。结合国际上对内部掌握与风险管理的权威定义,对内部掌握与风险管理的关系,代表性观点有两种: 第一种观点,认为风险管理包含内部掌握。例如：企业风险管理-整合框架中明确指出风险管理包含内部掌握;内部掌握是企业风险管理不可分割的一部分。内部掌握是风险管理的一种方式,企业风险管理比内部掌握范围广得多。英国Turnbull委员会(20XX)认为,风险管理对于企业目标的实现具有重要

2、意义,公司的内部掌握系统在风险管理中扮演关键角色,内部掌握应当被管理者看作是范围更广的风险管理的必要组成部分。 第二种观点,认为内部掌握包含风险管理。根据施控主体的不同,可将掌握分为内部掌握和外部掌握。内部掌握-整体框架中将风险评估作为企业内部掌握的一个组成要素,实际上就是将风险管理包含在内部掌握的范围之内。加拿大CoCo报告(1995)将风险定义为"一个事件或环境带来不利后果的可能性",阐明白风险管理与掌握的关系："当您在抓住机会和管理风险时,您也正在实施掌握。"该报告认为,风险评估和风险管理是掌握的关键要素。 那么两者的区分与联系毕竟是怎样呢？文章通

3、过对COSO委员会在1992年和20XX年颁布的内部掌握-整体框架和企业风险管理-整合框架进行细致比较，得出内部掌握制度建设将呈现以风险为导向的趋势。 二、内部掌握与风险管理的区分 1. 两者在内涵与边界上的区分 企业风险管理与内部掌握之所以简单引起混淆,主要原因还在于人们对两者内涵与边界熟悉不清楚,审计界和管理界对企业风险管理与内部掌握各自有各自的理解。内部掌握从概念形成到框架确立始终围围着会计与审计这个核心,因而有着明显的会计与审计的印迹。内部掌握概念最早产生于早期的审计标准制订者。1936年,美国注册会计师协会(AICPA)在其发布的注册会计师对财务报表的审计文告中,第一次明确地提出应考

4、虑审查"内部掌握"的要求。尽管如此,美国注册会计师协会审计程序委员会在其发布的审计程序文告第29号(1958年)中仍将内部掌握明确表述为"包括会计掌握和管理掌握",直至1997年美国注册会计师协会发布审计准则公告第78号才正视内部掌握系统,实际而全面接受了COSO报告的内容,并认同内部掌握要素包括风险评估要素。但实际上在其主流意识与看法中,仍旧认为内部掌握的主要目的是核对、检查、纠错和防弊,其根本目标还是鉴证财务报告的真实与公允,最终的结果自然是减轻审计人员的法律责任。即使考虑风险也仅仅是经营风险(如操作风险等),而不情愿涉及财务风险(如信用风险等)。

5、自20世纪70年月起,风险导向审计好像成为主流的审计模式,但最初审计人员所理解的风险导向审计,其目的主要是为了更大限度地掌握审计风险,而不是为了揭示财务报表所反映的公司面临的风险。其对风险的评估更多是对经营管理活动中突出的风险点的查找和评估,目的是建议经营管理人员针对这些风险点实施必要的掌握。 2. 两者的职能定位不全都 内部掌握仅是管理的一项职能,主要是通过事后和过程的掌握来实现其自身的目标;而风险管理则贯穿于管理过程的各个方面,掌握的手段不仅体现在事中和事后的掌握,更重要的是在事前制定目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部掌握。 3. 企业风险管理

6、与内部掌握在框架与内容上的区分 3.1 增加一个主要目标，活动范围不全都 内控框架中明确指出内部掌握的主要目标有三类,即经营目标、财务报告目标、合规目标。风险框架中则提出风险管理要为主体的四类目标服务,包括战略目标、经营目标、报告目标及合规目标。不难发觉,后者比前者多了一个战略目标。这就意味着企业在制定战略目标时需要考虑企业风险因素的影响。而内部掌握却很少涉及影响整体的战略目标设定问题 3.2 提出并引入一个全新理念与两个创新概念 （1） 风险组合管理。内部掌握对风险的考虑大都是单个种类、单笔业务、单个部门的,而企业风险管理基于风险源自一个主体的不同业务、不同部门、不同层次,它们有的叠加放大,

7、有的抵消削减。因此我们应当主见从企业整个层面上考虑风险,应当将不同层次及不同来源的风险汇合为整体风险,树立风险组合管理观,对组织的全部风险供应一个整体上的解决框架。 （2） 风险偏好与风险容忍度。企业风险管理框架引入了风险偏好、风险容忍度等创新概念。风险偏好(风险容量)是一个主体在谋求价值及其增值过程中所情愿担当的广泛意义上的风险数量。它反映了企业的风险管理理念,进而影响主体的文化和经营风格,并形成内部环境的组成部分。风险容忍度与主体的目标相关,是相对于实现一项详细目标而言的可以接受的偏离程度。风险偏好、风险容忍度的确定是目标设定的前提。 4. 是两者对风险的识别不全都 在风险框架中,把风险明

8、确定义为"对企业的目标产生负面影响的事件发生的可能性"(将产生正面影响的事件视为机会),将风险与机会区分开来;而在内控框架框架中,没有区分风险和机会。 5. 企业风险管理与内部掌握在技术与方法上的区分 在风险评估要素方面,企业风险管理整合框架、企业风险管理应用技术针对风险大小的定量、度量提出了多种技术方法,包括VaR、风险现金流量、风险收益、损失分布、事后检验等概率技术和敏感性分析、情景分析、压力测试、设定基准等非概率技术。为风险评估供应了前提条件和技术保障,有利于企业的发展战略与风险偏好保持全都,有利于精确合理地测算经济资本并平衡风险与收益,从而帮助治理层与管理层实现企业

9、风险管理的各个主要目标,而这些内容都是内部掌握框架中没有提及的,也是内部掌握难以做到或达成的。 三、内部掌握与风险管理存在必定联系 第一,内部掌握与风险管理的本质目标是全都的,COSO委员会将内部掌握和风险管理都定义为"由一个组织的董事会、管理当局及其他员工实施的一个过程",其本质都是为了增加组织的价值而服务的。 第二,内部掌握是全面风险管理的必要环节,内部掌握的动力来自企业对风险的熟悉和管理。 第三,全面风险管理涵盖了内部掌握。在企业风险管理-整合框架中,风险管理除包括内部掌握的三个目标之外,还增加了战略目标;风险管理的八个要素除了包括内部掌握的五个要素之外,还增加了目标

10、设定、事件识别和风险对策三个要素。明显,风险管理概念外延更广。 四、结语 从新的COSO框架对企业内部掌握的完善来看,企业内部掌握渐渐呈现与风险管理靠拢和一体化的趋势,即以风险管理为主导,风险管理的目的是要防止风险、准时地发觉风险、并设法把不良影响掌握在最低的程度。内部掌握就是企业内部采取的风险管理。做好内部掌握是做好风险管理的前提。风险管理是内部掌握概念的自然延伸。在新技术和市场的推动下,内部掌握走向风险管理。例如,在计算机网络和金融衍生工具市场存在的条件下,企业可以运用金融衍生工具防范因汇率和利率波动给企业带来的财务风险。内部掌握是企业防范风险的日常运行功能与结构,包括确保财务信息的真实牢靠、遵守相关的法律法规等。内部掌握和风险管理各有侧重。内部掌握侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。 尽管风险管理与内部掌握有内在的联系,但现实中的内部掌握应用水平与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相