第七章 风险管理框架下的内部控制

第四节  内部控制评价与审计

一、内部控制评价

6.编报内部控制评价报告

《企业内部控制评价指引》要求，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门，即企业董事会或类似权力机构应当对内部控制评价报告的真实性负责。

企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。《企业内部控制应用指引》和《企业内部控制评价指引》只要求企业对控制缺陷尤其是重大缺陷作出说明，不涉及企业内部其他保密信息。

《企业内部控制评价指引》专门对内部控制评价报告进行了规范，要求企业在评价报告中至少披露以下内容：

（1）董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责；

（2）内部控制评价工作的总体情况，即概要说明；

（3）内部控制评价的依据，一般指《企业内部控制基本规范》、《企业内部控制评价指引》及企业在此基础上制定的评价办法；

（4）内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项；

（5）内部控制评价的程序和方法；

（6）内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷；

（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；

（8）内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。

【例题37·多选题】下列关于企业内部控制自我评价描述错误的有（    ）。

A.甲公司未建立定期的现金盘点程序属于设计缺陷

B.乙公司要求所有认定的内控缺陷向董事会报告

C.丙公司聘请一家会计事务所提供内控评价和内控审计服务

D.丁公司董事会对内控评价报告的真实性负责

【答案】BC

【解析】重大缺陷和重要缺陷的整改方案应向董事会（审计委员会）、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会（审计委员会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。一般缺陷：可以与企业管理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告，选项B错误。会计事务所不能同时提供内控评价和内控审计服务，选项C错误。

二、企业内部控制审计

（一）内部控制的审计要求

我国在20##年发布的《基本规范》中除了要求企业为其内部控制的设计与运行情况进行全面的评价、披露年度自我评价报告外，还要求上市公司和非上市大中型企业聘请符合资格的会计师事务所，根据规范及配套办法和相关执业准则，对企业财务报告内部控制的有效性进行审计并出具审计报告。会计师事务所及其签字的从业人员应当对发布的内部控制审计意见负责。上市公司聘请的会计师事务所应当具有证券、期货业务资格。

企业可聘请专业人员或会计师事务所提供有关咨询服务。应注意的是《基本规范》中表明为企业内部控制提供评价服务的会计师事务所，不得同时为同一企业提供内部控制审计服务。因此，管理层应在决策上注意有关规定及作出适当的安排。

（二）注册会计师的责任与角色

内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。一般情况下，如果企业的财务报表的年末日为12月31日，通常此日也会定为基准日为内部控制的有效性发表意见。

《审计指引》中重申建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。而在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师要在实施审计工作的基础上，获取充分、适当的证据，对内部控制的有效性发表意见并提供合理保证。

注册会计师应按照《审计指引》以及其他有关的审计准则的要求，计划和实施审计工作，评价控制缺陷，从而整合其对内部控制有效性的意见。注册会计师会对财务报告内部控制的有效性发表审计意见，如果在审计过程中注意到的非财务报告内部控制的重大缺陷，将会在其内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：

1.获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。

2.获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。

三、审计委员会在内部控制中的作用（★★）

（一）审计委员会与内部控制

《内控基本规范》第十三条要求企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

一般来说，审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的。

就内部控制而言，审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统。审计委员会还应批准年报中有关内部控制和风险管理的陈述。审计委员会亦会收到管理层关于企业内运作的内部控制系统的有效性的报告，以及内部或外聘审计师对控制所执行测试的结论的报告。

（二）审计委员会的履责方式

建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无须管理层出席。

（三）审计委员会与合规

审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。

（四）审计委员会与内部审计

确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。它应该核查内部审计的有效性，并批准对内部审计主管的任命和解聘，它还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任。审计委员会及内部审计师需要确保内部审计部门正在有效运行。它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。

内部审计师应具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。内部审计师的角色不断改变，这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当具有适当的教育背景或经验，以及与所承担的责任相匹配的组织技巧和技术。

【例题38·多选题】董事会属下的审计委员会在职能上对内部审计进行监督，通过对内部审计的复核，以此提高内部审计部门的独立性，使其工作范围不受管理当局的限制，并确保其审计结果受到足够的重视，进而提高内部审计的效率。下列选项中，属于审计委员会对内审部门进行复核范围的有（    ）。

A.在企业中的地位

B.工作的范围

C.职责划分

D.人员素质及训练情况

【答案】ABD

【解析】审计委员会需要确保内部审计部门正在有效运作。它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。

（五）向股东报告内部控制

审计委员会为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。此外，年报亦应为股东提供有关审计委员会的工作信息。审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。

【例题39·多选题】甲公司是一家非上市大型企业，为了提前实施《企业内部控制基本规范》，正在考虑设立审计委员会。下列各项关于甲公司设立审计委员会的具体方案内容中，正确的有（    ）。（20##年）

A.在董事会下设立审计委员会

B.审计委员会的主要活动之一是核查对外报告规定的遵守情况

C.确保充分有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作

D.审计委员会应每两年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告

【答案】ABC

【解析】本题考核的是审计委员会的相关内容。《内控规范》第十三条要求企业应当在董事会下设立审计委员会。所以，选项A正确；审计委员会的财务报告责任是核查对外报告规定的遵守情况，确保公司履行了对外报告义务。所以，选项B正确；确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。所以，选项C正确；审计委员会应每年对其权限及其有效性进行复核，所以，选项D错误。

【例题40·多选题】下列各项中，属于审计委员会的职责有（    ）。（20##年）

A.批准外聘会计师事务所的业务条款及审计服务的报酬

B.监察和评估内部审计职能在企业整体风险管理系统中的有效性

C.对重大的财务报告事项和判断进行复核

D.在内部审计完成后，依据有关工作目标、已实施审计程序、意见及建议编制审计报告

【答案】ABC

【解析】批准外聘审计师的业务条款及审计服务的报酬、监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性、结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核均属于审计委员会的职责。在内部审计完成后，依据有关工作目标、已实施审计程序、意见及建议编制审计报告属于内部审计师的职责。所以，选项A、B、C正确。

【例题41·多选题】某国有大型集团公司为加强内部控制建设，在董事会下设立审计委员会，并明确了审计委员会的职责权限。该集团公司有关审计委员会的下列做法中，正确的有（    ）。

A.集团公司独立董事和内部审计部门的负责人担任审计委员会成员

B.审计委员会负责检查集团公司内部控制建设及实施情况，并向董事会报告

C.审计委员会有督促集团公司建立畅通的投诉与举报途径的职责

D.审计委员会主席对内部控制的建立健全和有效实施负责

【答案】BC

【解析】内部审计部门的负责人不得担任审计委员会成员，选项A错误。审计委员会对内部控制的建立和实施情况进行监督检查，并向董事会报告，选项B正确。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的，选项C正确。董事会对内部控制的建立健全和有效实施负责，选项D错误。

第五节  风险管理、公司治理、内部控制三者的关系

在企业风险管理整合框架下，风险管理、内部控制、公司治理三者的关系可以从以下四个方面来体现。

一、管理范围的协调

风险管理整合框架下的内部控制是站在企业战略层面分析、评估和管理风险，是把对企业监督控制从细节控制提升到战略层面及公司治理层面。风险管理不仅仅关注内控建立，最主要的是关注内部控制运行与评价，从企业所有内外风险的角度为公司治理层、管理层持续改进内部控制设计和运行提供思路，风险管理比内部控制的范围要广泛得多。

二、前动与后动的平衡

在风险管理整合框架下的内部控制既包括提前预测和评估各种现存和潜在风险，从企业整体战略的角度确定相应的内控应对措施来管理风险，达到控制的效果，又包括在问题或事件发生后采取后动反应，积极采取修复性和补救性的行为。显然，在未发生风险负面影响前即采取措施，更能够根据事件或风险的性质，降低风险的损失，降低成本，提高整体管理效率。

三、治理、风险、控制的整合

在风险管理整合框架下的内部控制试图寻求一个有效的切入点使得内部控制真正作为组织战略管理的重要成分嵌入组织内部，提高组织对内部控制重要性的认同，并使得内控能为组织战略目标的实现做出更多的贡献。依照风险管理的整体控制思维，扩展内部控制的内涵和外延，将治理、风险和控制作为一个整体为组织目标的实现提供保证。这一整合的过程将克服原本内部控制实施过程中内部控制与管理脱节的问题，整个组织风险管理的过程也是内部控制实施的过程，内控不再被人为地从企业整个流程中分离出来，提高了内部控制与组织的整合性和全员参与性。

四、“从上到下”控制基础和“从下到上”风险基础执行模式的融合

在风险管理整合框架下的内部控制既体现内部控制从上到下的贯彻执行，也强调内部控制从下到上参与设计、反馈意见以及“倒逼”机制，即从上到下控制基础和从下到上风险基础的执行模式的融合。

风险管理框架下的内部控制（风险管理）既包括管理层以下的监督控制，又包括管理层以上的治理控制，按照内部控制五要素分析内部治理控制如下表所示。

风险管理框架下的公司内部治理控制

【例题42·多选题】在企业风险管理整合框架下，下列有关风险管理与内部控制二者关系的说法中，正确的有（    ）。

A.风险管理比内部控制的范围要广泛得多

B.内部控制是风险管理的重要手段

C.治理、风险和控制作为一个整体为组织目标的实现提供保证

D.实现了“从上到下”控制基础和“从下到上”风险基础执行模式的融合

【答案】ABCD

【解析】从风险管理、内部控制和公司治理三者的关系可以看出选项A、B、C、D均正确。

第二篇：《公司战略与风险管理》第七章 风险管理框架下的内部控制10

第七章 风险管理框架下的内部控制

第四节  内部控制评价与审计

一、内部控制评价

6.编报内部控制评价报告

《企业内部控制评价指引》要求，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门，即企业董事会或类似权力机构应当对内部控制评价报告的真实性负责。

企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。《企业内部控制应用指引》和《企业内部控制评价指引》只要求企业对控制缺陷尤其是重大缺陷作出说明，不涉及企业内部其他保密信息。

《企业内部控制评价指引》专门对内部控制评价报告进行了规范，要求企业在评价报告中至少披露以下内容：

（1）董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责；

（2）内部控制评价工作的总体情况，即概要说明；

（3）内部控制评价的依据，一般指《企业内部控制基本规范》、《企业内部控制评价指引》及企业在此基础上制定的评价办法；

（4）内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项；

（5）内部控制评价的程序和方法；

（6）内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷；

（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；

（8）内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。

【例题37·多选题】下列关于企业内部控制自我评价描述错误的有（    ）。

A.甲公司未建立定期的现金盘点程序属于设计缺陷

B.乙公司要求所有认定的内控缺陷向董事会报告

C.丙公司聘请一家会计事务所提供内控评价和内控审计服务

D.丁公司董事会对内控评价报告的真实性负责

【答案】BC

【解析】重大缺陷和重要缺陷的整改方案应向董事会（审计委员会）、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会（审计委员会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。一般缺陷：可以与企业管理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告，选项B错误。会计事务所不能同时提供内控评价和内控审计服务，选项C错误。

二、企业内部控制审计

（一）内部控制的审计要求

我国在20##年发布的《基本规范》中除了要求企业为其内部控制的设计与运行情况进行全面的评价、披露年度自我评价报告外，还要求上市公司和非上市大中型企业聘请符合资格的会计师事务所，根据规范及配套办法和相关执业准则，对企业财务报告内部控制的有效性进行审计并出具审计报告。会计师事务所及其签字的从业人员应当对发布的内部控制审计意见负责。上市公司聘请的会计师事务所应当具有证券、期货业务资格。

企业可聘请专业人员或会计师事务所提供有关咨询服务。应注意的是《基本规范》中表明为企业内部控制提供评价服务的会计师事务所，不得同时为同一企业提供内部控制审计服务。因此，管理层应在决策上注意有关规定及作出适当的安排。

（二）注册会计师的责任与角色

内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。一般情况下，如果企业的财务报表的年末日为12月31日，通常此日也会定为基准日为内部控制的有效性发表意见。

《审计指引》中重申建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。而在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师要在实施审计工作的基础上，获取充分、适当的证据，对内部控制的有效性发表意见并提供合理保证。

注册会计师应按照《审计指引》以及其他有关的审计准则的要求，计划和实施审计工作，评价控制缺陷，从而整合其对内部控制有效性的意见。注册会计师会对财务报告内部控制的有效性发表审计意见，如果在审计过程中注意到的非财务报告内部控制的重大缺陷，将会在其内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：

1.获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。

2.获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。

三、审计委员会在内部控制中的作用（★★）

（一）审计委员会与内部控制

《内控基本规范》第十三条要求企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

一般来说，审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的。

就内部控制而言，审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统。审计委员会还应批准年报中有关内部控制和风险管理的陈述。审计委员会亦会收到管理层关于企业内运作的内部控制系统的有效性的报告，以及内部或外聘审计师对控制所执行测试的结论的报告。

（二）审计委员会的履责方式

建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无须管理层出席。

（三）审计委员会与合规

审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。

（四）审计委员会与内部审计

确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。它应该核查内部审计的有效性，并批准对内部审计主管的任命和解聘，它还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任。审计委员会及内部审计师需要确保内部审计部门正在有效运行。它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。

内部审计师应具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。内部审计师的角色不断改变，这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当具有适当的教育背景或经验，以及与所承担的责任相匹配的组织技巧和技术。

【例题38·多选题】董事会属下的审计委员会在职能上对内部审计进行监督，通过对内部审计的复核，以此提高内部审计部门的独立性，使其工作范围不受管理当局的限制，并确保其审计结果受到足够的重视，进而提高内部审计的效率。下列选项中，属于审计委员会对内审部门进行复核范围的有（    ）。

A.在企业中的地位

B.工作的范围

C.职责划分

D.人员素质及训练情况

【答案】ABD

【解析】审计委员会需要确保内部审计部门正在有效运作。它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。

（五）向股东报告内部控制

审计委员会为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。此外，年报亦应为股东提供有关审计委员会的工作信息。审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。

【例题39·多选题】甲公司是一家非上市大型企业，为了提前实施《企业内部控制基本规范》，正在考虑设立审计委员会。下列各项关于甲公司设立审计委员会的具体方案内容中，正确的有（    ）。（20##年）

A.在董事会下设立审计委员会

B.审计委员会的主要活动之一是核查对外报告规定的遵守情况

C.确保充分有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作

D.审计委员会应每两年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告

【答案】ABC

【解析】本题考核的是审计委员会的相关内容。《内控规范》第十三条要求企业应当在董事会下设立审计委员会。所以，选项A正确；审计委员会的财务报告责任是核查对外报告规定的遵守情况，确保公司履行了对外报告义务。所以，选项B正确；确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。所以，选项C正确；审计委员会应每年对其权限及其有效性进行复核，所以，选项D错误。

【例题40·多选题】下列各项中，属于审计委员会的职责有（    ）。（20##年）

A.批准外聘会计师事务所的业务条款及审计服务的报酬

B.监察和评估内部审计职能在企业整体风险管理系统中的有效性

C.对重大的财务报告事项和判断进行复核

D.在内部审计完成后，依据有关工作目标、已实施审计程序、意见及建议编制审计报告

【答案】ABC

【解析】批准外聘审计师的业务条款及审计服务的报酬、监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性、结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核均属于审计委员会的职责。在内部审计完成后，依据有关工作目标、已实施审计程序、意见及建议编制审计报告属于内部审计师的职责。所以，选项A、B、C正确。

【例题41·多选题】某国有大型集团公司为加强内部控制建设，在董事会下设立审计委员会，并明确了审计委员会的职责权限。该集团公司有关审计委员会的下列做法中，正确的有（    ）。

A.集团公司独立董事和内部审计部门的负责人担任审计委员会成员

B.审计委员会负责检查集团公司内部控制建设及实施情况，并向董事会报告

C.审计委员会有督促集团公司建立畅通的投诉与举报途径的职责

D.审计委员会主席对内部控制的建立健全和有效实施负责

【答案】BC

【解析】内部审计部门的负责人不得担任审计委员会成员，选项A错误。审计委员会对内部控制的建立和实施情况进行监督检查，并向董事会报告，选项B正确。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的，选项C正确。董事会对内部控制的建立健全和有效实施负责，选项D错误。

第五节  风险管理、公司治理、内部控制三者的关系

在企业风险管理整合框架下，风险管理、内部控制、公司治理三者的关系可以从以下四个方面来体现。

一、管理范围的协调

风险管理整合框架下的内部控制是站在企业战略层面分析、评估和管理风险，是把对企业监督控制从细节控制提升到战略层面及公司治理层面。风险管理不仅仅关注内控建立，最主要的是关注内部控制运行与评价，从企业所有内外风险的角度为公司治理层、管理层持续改进内部控制设计和运行提供思路，风险管理比内部控制的范围要广泛得多。

二、前动与后动的平衡

在风险管理整合框架下的内部控制既包括提前预测和评估各种现存和潜在风险，从企业整体战略的角度确定相应的内控应对措施来管理风险，达到控制的效果，又包括在问题或事件发生后采取后动反应，积极采取修复性和补救性的行为。显然，在未发生风险负面影响前即采取措施，更能够根据事件或风险的性质，降低风险的损失，降低成本，提高整体管理效率。

三、治理、风险、控制的整合

在风险管理整合框架下的内部控制试图寻求一个有效的切入点使得内部控制真正作为组织战略管理的重要成分嵌入组织内部，提高组织对内部控制重要性的认同，并使得内控能为组织战略目标的实现做出更多的贡献。依照风险管理的整体控制思维，扩展内部控制的内涵和外延，将治理、风险和控制作为一个整体为组织目标的实现提供保证。这一整合的过程将克服原本内部控制实施过程中内部控制与管理脱节的问题，整个组织风险管理的过程也是内部控制实施的过程，内控不再被人为地从企业整个流程中分离出来，提高了内部控制与组织的整合性和全员参与性。

四、“从上到下”控制基础和“从下到上”风险基础执行模式的融合

在风险管理整合框架下的内部控制既体现内部控制从上到下的贯彻执行，也强调内部控制从下到上参与设计、反馈意见以及“倒逼”机制，即从上到下控制基础和从下到上风险基础的执行模式的融合。

风险管理框架下的内部控制（风险管理）既包括管理层以下的监督控制，又包括管理层以上的治理控制，按照内部控制五要素分析内部治理控制如下表所示。

风险管理框架下的公司内部治理控制

【例题42·多选题】在企业风险管理整合框架下，下列有关风险管理与内部控制二者关系的说法中，正确的有（    ）。

A.风险管理比内部控制的范围要广泛得多

B.内部控制是风险管理的重要手段

C.治理、风险和控制作为一个整体为组织目标的实现提供保证

D.实现了“从上到下”控制基础和“从下到上”风险基础执行模式的融合

【答案】ABCD

【解析】从风险管理、内部控制和公司治理三者的关系可以看出选项A、B、C、D均正确。