内部控制与风险管理的区别和联系

时间:2024.3.24

内部控制与风险管理的区别和联系

内部控制与风险管理理论的发展与演变过程

现代内部控制和风险管理理论的发展是一个逐步演变的过程,大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。

(一)内部控制制度阶段。19xx年美国颁布了《独立公共会计师对财务报表的审查》,首次定义了内部控制:“内部稽核与控制制度是指为保证公司现金和其他资产的安全,检查账簿记录的准确性而采取的各种措施和方法”,此后美国审计程序委员会又经过了多次修改。19xx年在美国审计程序公告55 号中,对内部控制制度的定义作了如下解释:“内部控制制度有两类:内部会计控制制度和内部管理控制制度,内部管理控制制度包括且不限于组织结构的计划,以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。”

(二)内部控制整体框架阶段。19xx年9月,COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”19xx年底美国审计委员会认可了COSO的研究成果,并修改相应的审计公告内容。

(三)风险管理框架阶段。20xx年COSO委员会发布《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

风险管理与内部控制关系研究回顾

在风险管理理论提出之后,理论界对内部控制与风险管理两者之间的关系进行了不断的研究。总体来说主要有以下三种观点:

(一)第一种观点认为内部控制包含风险管理。CICA(1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系:“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会发布的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会控制标准委员会(1999)认为,“控制应该包括风险的识别与减轻”,其中的风险不仅包括与实现特定目标相关的风险,而且还包括一般性的风险,如不能识别和利用机会,就不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。

(二)第二种观点认为风险管理包含内部控制。COSO委员会提出的《企业风险管理——整合框架》(2004)中明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的一部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。

(三)第三种观点认为内部控制就是风险管理。Blackburn(1999)认为,风险管理与

内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira(2003)分析了内部控制是怎样变为风险管理的,并指出,“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是,它也掩盖了一个不争的事实:现在没有人真正明自内部控制系统是什么。”

基于COSO报告下的内部控制与风险管理比较

现代理论界对内部控制与风险管理的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制与风险管理的定义。本文以COSO报告为基础对内部控制与风险管理的联系与区别进行研究。

(一)两者的定义与内涵。19xx年的COSO《内部控制整合框架》将内部控制定义为,“受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标:与运营有关的目标,即确保企业的经营效率和效果;与财务报告有关的目标,即确保财务报告真实可靠;与法律法规的遵循有关的目标,即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。

20xx年的COSO《风险管理整合框架》将风险管理定义为,“由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定有企业各个层次的活动,旨在识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。”风险管理的目标有四个:报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个:内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。

(二)两者的比较

1、它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。

2、它们都明确是一个“过程”,不是某种静态的东西。其本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。

3、它们都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。

4、风险管理的目标有四类,其中三类与内部控制相重合,即报告目标、经营目标和遵循性目标。但报告目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。

5、风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中,内涵也有所扩展,例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息

与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。

国内关于内部控制与全面风险管理的定义

(一)目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)的通知以及国务院国资委发布的《中央企业全面风险管理指引》中有相关的表述。

财政部关于内部控制规范的《通知》中对内部控制的定义是:是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。

国资委《指引》中关于全面风险管理的定义是:指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。

(二)、国内关于内部控制和全面风险管理与COSO框架的差异

总体上来说,国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》,但结合国内的实际情况和一些前沿的研究成果,国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。

1、目标纬度:财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展,增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。”另外,其他四个目标也与COSO全面风险管理四个目标在表述上有所差异,使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说,特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。

2、要素纬度:财政部内部控制《通知》形式上借鉴了COSO 报告5要素框架,同时在内容上体现了风险管理8要素框架的实质;国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素,但通过风险管理基本流程将全面风险管理的一些要素融合到流程中,从实质来说,也体现的是8要素的COSO全面风险管理框架。

国内关于内部控制与全面风险管理运用的一些误区

(一)把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中,我们可以看出它们都被明确为是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。

(二)内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程,两者在内涵上也有一定重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。

(三)内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望,他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。

(四)内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进,与国内企业原有的管理体系和观点存在较多的差异和差距,目前这些理念和方法还更多的处于导入阶段,大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。

注册企业风险管理师职业资格证书,黄海,手机号:153xxxxxxxx 群:145861613


第二篇:谈风险管理与内部控制的区别与联系


谈风险管理与内部控制的区别与联系

谈风险管理与内部控制的区别与联系

更多相关推荐:
内控与风险管理提升心得体会

众所周知,一个没有免疫系统、或免疫力偏低的生命体是不可能健康成长的,而内部控制就是企业“生命体”的免疫系统。因此,欲使邮政储蓄银行不断成长壮大,就必须在大力拓展各项业务的同时,更加有效地推进其自身免疫系统—内控…

关于内部控制与风险管理的内审培训心得

关于内部控制与风险管理的内审培训心得10月21号至22号到烟台接收为期2天的内部审计管理培训。山东财经大学的石贵泉教授进行了讲座。培训会上,石教授在会上主要针对内部控制与风险管理进行了深刻的剖析与讲解。内控制度…

内控与风险管理培训心得体会

内控与风险管理培训心得体会无论多么完美的内控制度,如果得不到有效的执行,也只能是聋子的耳朵——一种摆设而已。合规经营是企业稳健运行的内在要求,也是每一个员工必须履行的职责,同时也是保障自己切身利益的有力武器。通…

内部控制与全面风险管理工作年度总结

***公司***年内部控制与全面风险管理工作总结为规范***公司内部控制与全面风险管理工作,建立科学、有效的内部控制体系,以保证***公司经营活动安全稳健的运行,提高经营管理水平和风险防范能力,根据《***有限…

XXXX公司20xx年度企业风险管理与内部控制工作总结

XX公司20xx年度企业风险管理与内部控制工作总结20xx年以来XXXX在集团的正确领导和大力支持下按照集团公司企业风险管理与控制工作部署和指示要求着力抓好生产经营中的风险管理工作较好地化解了各种风险内部控制工...

大工13秋《内部控制与风险管理》大作业答案

大连理工大学网络教育学院内部控制与风险管理大作业网络教育学院内部控制与风险管理大作业学习中心福建安溪奥鹏专业工商企业管理年级20xx年秋季学号学生完成日期20xx年02月26日1大连理工大学网络教育学院内部控制...

大工15秋《内部控制与风险管理》毕业清考大作业

大连理工大学15秋内部控制与风险管理毕业清考大作业学习中心层次专升本专业会计学年级20xx年春季学号学生辅导教师完成日期20xx年10月20日大工15秋内部控制与风险管理毕业清考大作业题目三某企业仓库保管员负责...

大工14秋《内部控制与风险管理》大作业

大连理工大学网络教育学院内部控制与风险管理大作业网络教育学院内部控制与风险管理大作业学习中心专业专升本年级学号学生郑梦情完成日期1大连理工大学网络教育学院内部控制与风险管理大作业注意请从以下题目中任选其一作答题...

大工15秋内部控制与风险管理大作业答案

大连理工大学网络教育学院内部控制与风险管理大作业网络教育学院内部控制与风险管理大作业学习中心深圳市宝安区西乡成人文化技术学校奥鹏学习中心专业工商企业管理年级1209学号20xx07266649学生眭菊萍完成日期...

《公司战略与风险管理》100条总结

1公司目的是企业组织的根本性质和存在理由的直接体现p32经营哲学是公司为其经营活动方式所确立的价值观基本信念和行为准则是企业文化的高度概括p43公司目标是公司使命的具体化p54总体战略又称公司层战略p75在制订...

公司战略与风险管理学习心得

公司战略与风险管理学习心得我20xx年参加了注册会计师考试报考了公司战略与风险管理这门课最终取得了中华会计网校单科最高分的好成绩并获得了网校的奖学金除了我自身的努力外还要感谢网校老师的教导下面是我的一些学习经验...

公司战略与风险管理读书心得-徐文鑫

公司战略与风险管理读书心得财务部徐文鑫这段时间以来一直在看公司战略与风险管理一书本书是注册会计师全国统一考试的6门科目之一的教材本书6章分两部分分别为企业战略及企业风险部分在阅读的途中还作了部分习题以下是我的读...

内部控制与风险管理学习心得(9篇)