全面风险管理与内控

相关推荐

全面风险管理与内控

风险管理真不是风险管理部门一家的事情，特别是跨专业的公司层面风险，会涉及不同流程不同业务职能部门。风险管理/内控/财务/审计部门利用风险监控/分析/管理系统的支撑，建立风险信息沟通、协调控制、协同监督的风险管控机制，现成风险治理的合力，真正有效防控风险。

全面风险与内控的十大管理界面/区别（远光软件-李俊风险管控系统应用项目实践总结）

1、目标设定要求不同

全面风险管理：负责企业战略、经营目标的具体设定

内部控制：不负责设定具体经营目标，只对目标的制定过程进行评价

2、风险管理侧重不同

全面风险管理：重点在于建立对风险的防控机制，重大决策机制

内部控制：重点在于保证财务及相关业务信息报告的真实性、合规性

3、针对风险领域不同

全面风险管理：重点关注战略层面、财务及核心业务层面

内部控制：重点关注财务层面

4、针对风险事项不同

全面风险管理：专项管理、例外/突发事项管理为主（针对非常规风险）

内部控制：日常管理、例行/常规事项管理为主（针对常规风险）

5、面对的管理问题不同

全面风险管理：解决不确定性问题

内部控制：解决确定性问题（风险已能充分认知及应对）

6、风险应对保障不同

全面风险管理：依靠公司所有管理资源，不仅要解决“正确地做事”，还要解决“做正确的事”

内部控制：立足于流程管理中的风险控制，解决的是“正确地做事”

7、风险决策思路不同

全面风险管理：全面考虑风险（损失、机会）影响（使决策趋于理性）

内部控制：着重考虑风险负面（损失）影响（使决策趋于保守）

8、风险决策方式不同

全面风险管理：半或非程序化决策（专家化）

内部控制：程序化决策（可自动化）

9、风控信息披露目的不同

全面风险管理：提升投资人及利益相关方信心（风控能力）

内部控制：满足投资人及利益相关方信息对称需求

10、风险管理价值关注不同

全面风险管理：关注绩效与风控能力的平衡、结果好坏内部控制：关注执行有效、结果真实

全面风险管理与内部控制的联系与区别2017-05-09 17:15 | #2楼

当今社会，关于全面风险管理与内部控制的讨论有很多。有人认为二者是包含关系，又有人认为它们是相互独立的。为了探讨这个问题，我们首先来看一下COSO报告中二者的概念以及框架：

内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适应的法律相符合提供一种合理的保证。

——COSO《内部控制的整体框架》 1992

全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主题目标的实现提供合理的保证。

——COSO《企业风险管理—整合框架》 2004

由上述内容可以看出它们有以下共同点：

1、它们都明确是一个“过程”，不是静态的结果，而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普

遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。

2、它们都是为企业目标的实现提供合理的保证。

3、它们都由企业的董事会、管理层和其他人员实施，都受人的影响。

4、全面风险管理有四大目标，其中经营目标、报告目标、合规目标与内部控制的目标相重合。

5、二者的组成要素有五大重合，即控制环境、风险评估、控制活动、信息与沟通、监督。虽然内部控制的组成要素中不明确包含目标设定、事件识别、风险对策，但是这些要素其实都蕴含其中。风险识别与风险评估的先决条件就是制定企业目标和具体业务活动目标。而事件识别与风险识别又有异曲同工之妙。因此二者的组成要素实则是重合的。

由上述五点可以看出，全面风险管理与内部控制既有横向交叉也有纵向交融，二者并不是相互独立的：

一、全面风险管理包含内部控制。COSO委员会提出的《企业风险管理整合框架》（2004）中明确指出，企业全面风险管理包含内部控制；内部控制是全面风险管理不可分割的一部分；内部控制是风险管理的一种方式，全面风险管理比内部控制范围广得多。

二、内部控制是全面风险管理的必要环节。英国Turnbull委员会（2017）认为，全面风险管理对于企业目标的实现具有重要意义，公司的内部控制系统在全面风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。对于企业所面临的大部分的运营风险，内部控制是必要的。

虽然二者有着紧密的联系，但全面风险管理与内部控制并不是完全相同的，它们仍有这样那样的区别：

一、两者活动范围不同。全面风险管理的范围更广。首先，它比内部控制多了个战略目标。其次，目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行

评估。

二、两者的范畴不一致。全面风险管理贯穿于事前预测、事中控制和事后整改，而内部控制仅通过事中控制和事后整改以实现目标。内部控制只是管理的一项职能，是企业整体管管理的有机组成部分。

三、两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在COSO委员会的内部控制框架中，没有区分风险和机会。

四、两者对风险的对策不一致。全面风险管理框架引入了风险管理哲学、风险偏好等新内容，在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，这些内容都是内部控制框架中没有的。

【全面风险管理与内控】相关文章：

风险管理计划07-24

内控管理制度03-21

风险管理制度04-25