中山大学企业内控与风险管理

相关推荐

中山大学企业内控与风险管理

近年来，尽管很多企业意识到全面风险管理，但是对内部控制和全面风险管理有清晰理解的却不多，已经实施了内部控制与全面风险管理的企业则更少。建立和实施企业内部控制与风险管理体系是促进我国企业加强内部管理，防范重大风险，实现可持续发展的必然要求。下面我们就从COSO框架对内部控制和全面风险管理的定义来分析二者之间的区别与联系。

1992年，COSO委员会提出的报告《内部控制——整合框架》指出“内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。”2004年，COSO委员会又发布了《企业风险管理——整合框架》，提出了“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”

由此看出，内部控制和企业全面风险管理既有横向交叉又有纵向融合，它们之间的联系有：

1. 内控或风险管理的根本作用都是维护投资者利益、保全企业

资产，并创造新的价值。从理论上说，企业的内部控制是企业制度的组成部分，风险管理则是在新的技术与市场条件下对内控的自然扩展，在内控的基础上增加了一个目标即战略目标和三个要素：目标设定、事件识别、风险应对；

2. 内控是企业风险管理的必要环节，在全面风险管理中扮演关

键角色，内控应被管理者看作是范围更广的风险管理的必要组成部分，对于企业所面临的运营风险，内控是必要的。当然，二者也有些许不同，区别在于：

1. 两者目标不同。风险管理的目标相较于内部控制增加了一个战略目标，战略目标的制定是企业治理层面需要参与解决的问题，这表明风险管理属于治理层次，而内部控制属于企业管理层次；此外，风险管理把财务目标扩展为报告目标，不仅包括了财务报告目标，还包括了非财务类报告，弥补了内控目标体系重财务信息轻其他信息的缺陷；

2. 两者组成要素不同。相比起内控的五大要素，风险管理增加了“目标设定、事件识别和风险应对”三个因素，丰富了风险管理内容，体现了风险组合观；

3. 两者的范畴不一致。内控仅仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，尤其是在事前制定目标时就充分考虑了风险的存在；

4. 两者的活动不一致。内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，而风险管理包含了风险管理目标和战略的设定、风险评估方法的选择等一系列活动；

5. 两者对风险的定义不同。全面风险管理框架将风险明确定义为“对企业财务目标产生的负面影响事件发生的可能性”，将正

面影响视作机会，将风险和机会区分开来，而内部控制框架中，尚未区分风险和机会

6. 两者对风险对策不一致，全面风险框架引入风险偏好和风险容忍度。在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有提出的。

综上所述，我们可以得出的基本结论是内部控制与风险管理关系十分密切，风险管理是企业为了适应时代的变化，以内部控制为架构演变成另一种以达到某种目标的过程和方法。二者在要素、目标、含义等方面有很多联系和相同的地方，既是独立又有关联的体系，是针对企业所不同的需求而演变成的两种过程与目标。

企业内部控制与风险管理区别2017-05-09 20:05 | #2楼

从英国巴林银行、美国安然公司、世通公司到雷曼兄弟等国际知名公司相继暴露出严重的财务失败事件，加强公司治理、内部控制和风险管理的呼声愈来愈高。

在我国，风险管理是企业管理中一个相对薄弱的环节，风险意识不强、风险管理工作薄弱，是企业发生重大风险事件的重要原因。2017年6月，国资委制定并发布了《中央企业全面风险管理指引》，对于建立健全风险管理长效机制，推动风险管理工作具有一定的意义。2017年6月财政部发布企业内部控制基本规范，强调企业应当建立实施风险评估程序。然而，在我国企业内部控制与风险管理，尚存在许多问题，在工作实践中，就内部控制与风险管理的关系，多种观点并存。有的认为风险管理包括内部控制，有的认为内部控制包括风险管理，还有的认为内部控制就是风险管理。

《中山大学企业内控与风险管理》全文内容当前网页未完全显示，剩余内容请访问下一页查看。

笔者认为，风险管理与内部控制是两个不同的概念范畴，在企业管理中，二者同时存在并相互依存，存在着必然的内在联系，而不是相互包含的关系，更不是简单等同关系。

什么是内部控制和风险管理

企业内部控制是以专业管理制度为基础，以防范风险、有效监管为目的，通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。

风险管理又名危机管理，是指生产过程中，风险管理部门对可能遇到的各种风险因素进行识别、分析、评估，以最低成本实现最大的安全保障的过程（风险管理是一个过程，由风险的识别、量化、评价、控制、监督等过程组成）。

内部控制与风险管理的不同

内部控制与风险管理的主要区别在于，目的不同、目标不同、作用不同和发挥作用的环境不同。

第一、风险管理的目的是要及时地发现风险、预测风险以及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。而内部控制是企业内部采取的风险管理流程规范，仅仅是管理的一项职能，只是对目标的制定过程进行评价，主要是通过事后和过程的控制来实现其自身的目标。第二、风险管理工作，注重防范和控制风险可能给企业造成损失和危害，

同时把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。而内部控制则是以专业管理制度为基础，实施的遵循性控制活动，它无法防范管理层非理性风险和凌驾于管理制度以上的决策风险。第三、企业开展全面风险管理工作是与其他管理工作紧密结合，在综合考虑内部环境和外部环境的情况下，把风险管理的要求融入企业管理和业务流程中。而内部控制则是在内部环境下，根据国家有关法律法规和企业章程，建立的公司治理结构和议事规则。风险管理是以应有的风险意识开展企业管理的各项工作，内部控制是开展各项工作应遵循的操作规范。

第四、全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

内部控制与风险管理的内在联系

从内部控制和风险管理的结构说，风险管理与内部控制的组成要素有五个方面是重合的，即控制环境、风险评估、控制活动、信息与沟通、监督。两者存在着不可分离的内在联系。

第一、内部控制的最重要目的之一就是防范风险，没有风险防范这一既重要又明确的目的，内部控制的存在就大打折扣，至少发挥作用的空间会受到极大的限制。

第二、风险分为内部风险和外部风险，企业的内部风险普遍存在于生产经营的各个环节，如何识别、评估、分析风险，实施风险解决方案，必须采取一定的措施，风险信息的取得是实施风险管理的前提，收集不到风险信息，风险管理就无从谈起。而内部控制是通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。内部控制这种嵌入式的工作方式，恰好为风险信息的收集提供了极大的方便，可见内部控制是作为风险管理的一种重要手段而存在的。

第三、风险管理是指生产过程中，风险管理部门对可能遇到的各种风险因素进行识别、分析、评估，以最低成本实现最大的安全保障的过程。从其过程看，风险得到控制是其最终目的，这恰是内部控制的最基本的作用所在。可见实施风险管理离不开内部控制这一强有力的工具。

第四、无论是内部控制还是风险管理，是一个全员全程参与的过程，实施内部控制和参与风险管理的主体是一致的，过程是一致的，它们的最终目的也是一致的。当我们在管理风险时,也正在实施控制，笔者认为这是一个协调统一的机制。

如何开展内部控制和风险管理工作

如何实施内部控制进行有效的风险管理，是摆在我们面前的首要任务。第一、要创造良好的控制环境，注重建立具有风险意识的企业文化。在企业风险管理过程中，每一位员工要树立“风险无处不在”的理念，应当知道个人职责对公司风险有怎样的影响，以及在公司内部的作用和责任与他人有怎样的关系，这是企业风险管理的一个重要方面，也是充分有效开展风险管理工作进行的前提。

第二、要有强烈的风险意识和内控责任。风险管理的起点是风险识别，是进行有效风险管理的基础和关键。我们有责任对企业面临的各种风险进行识别，然后将风险进行分类，并追溯导致风险产生的各种因素。在全面风险管理框架下，风险识别的目标，就是要广泛、持续地收集与本企业风险和风险管理相关的内部、外部初始信息，发现企业面临的各种风险。

第三、要充分利用内控规范并使其得到不断地优化。内控规范是根据管理制度和操作流程，征求相关责任岗位意见的基础上制定的，使用内控规范是责任岗位执行人的本分，严格执行内控规范，使每项业务得到恰当处理，这样既提高了工作效率，又合理保障了企业整体目标的实现。

笔者认为，内部控制与风险管理是体制与机制的关系，仅有内部控制这个体制，而无风险管理的意识，则内控管理就是空架子，缺乏灵魂。有了风险管理意识，而无内部控制框架，则风险管理就失去了科学的管理手段，也易形成风险管理目标的缺失。

作者：高存忠

【中山大学企业内控与风险管理】相关文章：