第一篇:內部控制與企業全面風險管理的區別和聯系
現代理論界對內部控制的定義各不相同,但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制的定義。該組織認為:企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。
依據COSO委員會 2003年7月完成的《全面風險管理框架》定義:企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。
聯系:1)全面風險管理涵蓋了內部控制。COSO2003年7月公布了全面風險管理框架的征求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統。從時間先后和內容上來看,全面風險管理是對內部控制的拓展和延伸。
(2)內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對于企業所面臨的大部分運營風險,或者說對于在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。
從國際國內發展趨勢來看,隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
(1)兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事后和過程的控制來實現其自身的目標;而全面風險管理則貫穿于管理過程的各個方面,控制的手段不僅體現在事中和事后的控制,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多于內部控制。
(2)兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。兩者最明顯的差異在于內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,特別是對目標和戰略計劃制定當中的風險進行評估。
(3)兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中,把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”(將產生正面影響的事件視為機會),將風險與機會區分開來;而在,COSO委員會的內部控制框架中,沒有區分風險和機會。
(4)兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利于企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前臺決策流程。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
第二篇:全面風險管理與內部控制的聯系與區別
全面風險管理與內部控制的聯系與區別
(一)全面風險管理與內部控制的含義
1.1內部控制
早在上世紀70年代中期,作為美國“水門事件”調查結果,立法者和監管團體開始對內部控制問題給予高度重視。為了制止美國公司向外國政府官員行賄美國國會于1977年通過了“國外腐敗實務法案”。該法案除了反腐敗條款外,還包含要求公司管理層加強會計內部控制的條款,成為美國在公司內部控制方面的第一個法案。
1992年,COSO委員會(Committee of Sponsoring Organization of Treadway Commission)出版了COSO報告《內部控制的整體框架》,被認為是有關內部控制的里程碑式的文件。
《內部控制的整體框架》中COSO將內部控制定義為內部控制是由一個企業董事會、管理人員和其他職員實施的一個過程。其目的是為提高經營活動的效果和效率、確保財務報告的可靠性、促使與可適用的法律相符合提供一種合理的保證。
內部控制包括五大要素:
? 控制環境Control Environment:為控制創造條件; ? 風險評估Risk Assessment:有的放矢,實現目標; ? 控制活動Control Activities:實施控制行為;
? 信息與溝通Information and Communication:貫穿于過程中; ? 監督Monitoring:保證沿正確軌跡,合理校正。
1.2全面風險管理
安然(Enron)事件等一系列令人矚目的企業丑聞和失敗事件發生后,學界和業界呼吁新法律、法規和準則問世,來加強公司治理和風險管理。2003年7月,COSO發布《企業風險管理—整合框架》征求意見稿,2004年9月正式文本發表。
COSO指出,全面風險管理是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用于戰略制訂并貫穿于企業之中,用于識別那些可能影響主體的潛在事件,管理風險以使其在該主體的風險偏好之內,并為主體目標的實現提供合理的保證。
全面風險管理是三個維度的立體系統:
? 企業目標:戰略目標;經營目標;報告目標;合規目標。? 要素:內部環境;目標設定;事件識別;風險評估;風險對策;控制活動;信息和交流;監控。
? 企業的層級:整個企業;各職能部門;各條業務線及下屬子公司。
(二)全面風險管理與內部控制的聯系與區別
2.1全面風險管理與內部控制的聯系
從全面風險管理與內部控制的含義中,我們可以看出兩者有一下共同點: ? 全面風險管理與內部控制都是一個過程,這些過程都是滲透于企業的各項活動之中的。
? 全面風險管理與內部控制都具有目的性,有若干目標。這些目標都是確保企業各項經營目標的實現,都是為了維護企業的財產安全、保證企業的經濟效益。
? 全面風險管理與內部控制都是主體為實現目標提供合理的保證。? 全面風險管理與內部控制都是由一個主體的董事會、管理層和其他人員實施,要受到受人的影響。
? 內部控制的五大要素被完全包含在全面風險管理之中,兩者都強調控制環境、風險評估、控制活動、信息與溝通、監督。2.2全面風險管理與內部控制的區別 全面風險管理是內部控制的擴展,是內部控制的升級版,而內部控制是風險管理必不可少的一部分。兩者既有橫向交叉也有縱向交融。
2.2.1全面風險管理與內部控制的內涵不同。
全面風險管理,是對企業內部可能產生的各種風險進行識別、分析、評估、控制、監督,以最低成本實現最大的安全保障的過程。全面風險管理的目的是要及時發現風險、預測風險以及防止風險可能造成的不良影響,并設法把這種不良影響控制在最低的程度上。內部控制是由企業董事會、高管和全體員工共同實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。
2.2.2全面風險管理與內部控制涉及的范疇不同。
全面風險管理范圍要大于內部控制。全面風險管理體系包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統。內部控制是風險管理的重要環節而不是全部。
全面風險管理是貫穿于整個生產經營過程中的各個環節,尤其是在事前控制、事中控制和事后控制。內部控制是企業內部采取的風險管理流程規范,僅僅是管理的一項職能,只是對目標的制定過程進行評價,主要是通過事中與事后的控制來實現其自身的目標。
2.2.3全面風險管理與內部控制的執行方式不同。全面風險管理,注重防范和控制風險可能給企業造成損失和危害,同時把機會風險視為企業的特殊資源,通過對其管理,為企業創造價值,促進經營目標的實現。內部控制是企業內部采取的風險管理流程規范,它無法防范管理層非理性風險和凌駕于管理制度之上的決策風險,它所負責的只是事中和事后的控制。
2.2.4全面風險管理包含內部控制。
COSO《企業風險管理—整合框架》認為內部控制的出發點與最終目的都是為了控制和管理風險。這也是COSO委員會將《內部控制的整體框架》升級為《企業風險管理—整合框架》的根本原因。
全面風險管理與內部控制并不是相同的概念,其根本原因在于兩者的外延有所區別。
狹義而言,內部控制主要指財務的管理控制。COSO《內部控制的整體框架》提出之初就是以杜絕財務報告中舞弊的產生,并杜絕因為虛假的財務信息而導致的企業危機為導向制定的。除財務管理外,還加入了運營、戰略等諸多方面的管控內容。然而事實上,企業是存在于一個行業、一個大的經濟環境之中的。僅僅依靠內部的管理控制已不能滿足于企業發展的需要。在當前市場經濟條件下,外部經濟環境、市場狀況、法規政策的發展變化對于企業的影響也需要得到充分的重視。
企業全面風險管理不僅包含了內部控制內容,還將市場、法律等外部環境納入到了企業的經營管理控制的范圍中。相對于內部控制,企業全面風險管理從內部到外部,由整體層面制定風險戰略,構建管控體系,完善管理制度,優化流程和組織職能,為企業構建風險管理的長效機制,從根本上提升了企業經營管理的效率和效果。
參考文獻:
[1] 周兆生.內部控制與風險管理[J].審計與經濟研究, 2004, 19(4):46-49.[2] 張文峰.談全面風險管理與內部控制[J].商業會計, 2005(6):13-13.[3] 萬里霜.全面風險管理與內部控制的融合[J].統計與決策, 2009(9):177-178.[4] 路世誼.企業全面風險管理與內部控制[J].經濟研究參考, 2012(16):25-27.[5] 田至立.企業全面風險管理與內部控制[J].商情, 2013(37):20-20.[6] 周紅梅.淺析企業全面風險管理與內部控制[J].市場周刊:理論研究, 2013(4):59-61.
第三篇:內部控制與企業全面風險管理的區別和聯系
內部控制與企業全面風險管理的區別和聯系
近年來,盡管很多企業意識到全面風險管理,但是對內部控制和全面風險管理有清晰理解的卻不多,已經實施了內部控制與全面風險管理的企業則更少。建立和實施企業內部控制與風險管理體系是促進我國企業加強內部管理,防范重大風險,實現可持續發展的必然要求。下面我們就從COSO框架對內部控制和全面風險管理的定義來分析二者之間的區別與聯系。
1992年,COSO委員會提出的報告《內部控制——整合框架》指出“內部控制是由主體的董事會、管理層和其他員工實施的,旨在為經營的效率和有效性、財務報告的可靠性、遵循適用的法律法規等目標的實現提供合理保證的過程。”2004年,COSO委員會又發布了《企業風險管理——整合框架》,提出了“全面風險管理是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能影響主體的潛在事項、管理風險,以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。”
由此看出,內部控制和企業全面風險管理既有橫向交叉又有縱向融合,它們之間的聯系有:
1.內控或風險管理的根本作用都是維護投資者利益、保全企業資產,并創造新的價值。從理論上說,企業的內部控制是企業制度的組成部分,風險管理則是在新的技術與市場條件下對內控的自然擴展,在內控的基礎上增加了一個目標即戰略目標和三個要素:目標設定、事件識別、風險應對; 2.內控是企業風險管理的必要環節,在全面風險管理中扮演關鍵角色,內控應被管理者看作是范圍更廣的風險管理的必要組成部分,對于企業所面臨的運營風險,內控是必要的。
當然,二者也有些許不同,區別在于:
1.兩者目標不同。風險管理的目標相較于內部控制增加了一個戰略目標,戰略目標的制定是企業治理層面需要參與解決的問題,這表明風險管理屬于治理層次,而內部控制屬于企業管理層次;此外,風險管理把財務目標擴展為報告目標,不僅包括了財務報告目標,還包括了非財務類報告,彌補了內控目標體系重財務信息輕其他信息的缺陷;
2.兩者組成要素不同。相比起內控的五大要素,風險管理增加了“目標設定、事件識別和風險應對”三個因素,豐富了風險管理內容,體現了風險組合觀;
3.兩者的范疇不一致。內控僅僅是管理的一項職能,主要是通過事后和過程的控制來實現其自身的目標,而全面風險管理則貫穿于管理過程的各個方面,尤其是在事前制定目標時就充分考慮了風險的存在;
4.兩者的活動不一致。內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,而風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇等一系列活動; 5.兩者對風險的定義不同。全面風險管理框架將風險明確定義為“對企業財務目標產生的負面影響事件發生的可能性”,將正面影響視作機會,將風險和機會區分開來,而內部控制框架中,尚未區分風險和機會
6.兩者對風險對策不一致,全面風險框架引入風險偏好和風險容忍度。在風險度量的基礎上,有利于企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前臺決策流程等,從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有提出的。
綜上所述,我們可以得出的基本結論是內部控制與風險管理關系十分密切,風險管理是企業為了適應時代的變化,以內部控制為架構演變成另一種以達到某種目標的過程和方法。二者在要素、目標、含義等方面有很多聯系和相同的地方,既是獨立又有關聯的體系,是針對企業所不同的需求而演變成的兩種過程與目標。
第四篇:內部控制與風險管理的區別和聯系
內部控制與風險管理的區別和聯系
內部控制與風險管理理論的發展與演變過程
現代內部控制和風險管理理論的發展是一個逐步演變的過程,大致可以區分為內部控制制度、內部控制整體框架、風險管理框架三個階段。
(一)內部控制制度階段。1936年美國頒布了《獨立公共會計師對財務報表的審查》,首次定義了內部控制:“內部稽核與控制制度是指為保證公司現金和其他資產的安全,檢查賬簿記錄的準確性而采取的各種措施和方法”,此后美國審計程序委員會又經過了多次修改。1973年在美國審計程序公告55 號中,對內部控制制度的定義作了如下解釋:“內部控制制度有兩類:內部會計控制制度和內部管理控制制度,內部管理控制制度包括且不限于組織結構的計劃,以及關于管理部門對事項核準的決策步驟上的程序與記錄。會計控制制度包括組織機構的設計以及與財產保護和財務會計記錄可靠性有直接關系的各種措施。”
(二)內部控制整體框架階段。1992年9月,COSO委員會提出了報告《內部控制——整體框架》。該框架指出“內部控制是受企業董事會、管理層和其他人員影響,為經營的效率效果、財務報告的可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程。”1996年底美國審計委員會認可了COSO的研究成果,并修改相應的審計公告內容。
(三)風險管理框架階段。2004年COSO委員會發布《企業風險管理——整合框架》。企業風險管理整合框架認為“企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。”該框架拓展了內部控制,更有力、更廣泛地關注于企業風險管理這一更加寬泛的領域。風險管理框架包括了八大要素:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。
風險管理與內部控制關系研究回顧
在風險管理理論提出之后,理論界對內部控制與風險管理兩者之間的關系進行了不斷的研究。總體來說主要有以下三種觀點:
(一)第一種觀點認為內部控制包含風險管理。CICA(1998)將風險定義為,“一個事件或環境帶來不利后果的可能性”,闡明了風險管理與控制的關系:“當您在抓住機會和管理風險時,您也正在實施控制”。巴塞爾委員會發布的《銀行業組織內部控制系統框架》中指出,“董事會負責批準并定期檢查銀行整體戰略及重要制度,了解銀行的主要風險,為這些風險設定可接受的水平,確保管理層采取必要的步驟去識別、計量、監督以及控制這些風險……。”這里顯然是把風險管理的內容納入到了內部控制框架中。加拿大注冊會計師協會控制標準委員會(1999)認為,“控制應該包括風險的識別與減輕”,其中的風險不僅包括與實現特定目標相關的風險,而且還包括一般性的風險,如不能識別和利用機會,就不能使企業在面臨未預料到事件以及不確定信息時保持靈活性或彈性。
(二)第二種觀點認為風險管理包含內部控制。COSO委員會提出的《企業風險管理——整合框架》(2004)中明確指出,企業風險管理包含內部控制;內部控制是企業風險管理不可分割的一部分;內部控制是風險管理的一種方式,企業風險管理比內部控制范圍廣得多。英國Turnbull委員會(2005)認為,風險管理對于企業目標的實現具有重要意義,公司的內部控制系統在風險管理中扮演關鍵角色,內部控制應當被管理者看作是范圍更廣的風險管理的必要組成部分。
(三)第三種觀點認為內部控制就是風險管理。Blackburn(1999)認為,風險管理與
內部控制僅是人為的分離,而在現實的商業行為中,它們是一體化的。Laura F.Spira(2003)分析了內部控制是怎樣變為風險管理的,并指出,“將內部控制定義為風險管理強調與戰略制定的聯系,刻畫了內部控制作為組織支撐的特點,但是,它也掩蓋了一個不爭的事實:現在沒有人真正明自內部控制系統是什么。”
基于COSO報告下的內部控制與風險管理比較
現代理論界對內部控制與風險管理的定義各不相同,但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制與風險管理的定義。本文以COSO報告為基礎對內部控制與風險管理的聯系與區別進行研究。
(一)兩者的定義與內涵。1992年的COSO《內部控制整合框架》將內部控制定義為,“受董事會、管理層及其他人員影響的,為達到經營活動的效率和效果、財務報告的真實可靠性、遵循相關法律法規等目標提供合理保證而設計的過程。”它包括三個目標:與運營有關的目標,即確保企業的經營效率和效果;與財務報告有關的目標,即確保財務報告真實可靠;與法律法規的遵循有關的目標,即確保企業經營過程中遵守有關的法律法規。它由五個方面的要素組成:控制環境、風險評估、控制活動、信息與溝通、監控。其中控制環境是基礎、風險評估是依據、控制活動是手段、信息與溝通是載體、監控是保證。
2004年的COSO《風險管理整合框架》將風險管理定義為,“由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定有企業各個層次的活動,旨在識別影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理保證的過程。”風險管理的目標有四個:報告類目標、經營類目標、遵循性目標以及戰略目標。風險管理的組成要素有八個:內部環境、目的設定、事件識別、風險評估、風險對策、控制活動、信息與溝通和監控。
(二)兩者的比較
1、它們都是由“企業董事會、管理層以及其他人員共同實施的”,強調了全員參與的觀點,指出各方在內部控制或風險管理中都有相應的角色與職責。
2、它們都明確是一個“過程”,不是某種靜態的東西。其本身并不是一個結果,而是實現結果的一種方式。企業內部控制與風險管理都是滲透于企業各項活動中的一系列行動。這些行動普遍存在于管理者對企業的日常管理中,是企業日常管理所固有的。
3、它們都是為企業目標的實現提供合理的保證。設計合理、運行有效的內部控制與風險管理能夠向企業的管理者和董事會在企業各目標的實現上提供合理的保證。
4、風險管理的目標有四類,其中三類與內部控制相重合,即報告目標、經營目標和遵循性目標。但報告目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外發布的非財務類報告準確可靠。另外,風險管理增加了戰略目標,即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果,而且介入了企業戰略(包括經營目標)制定過程。
5、風險管理與內部控制的組成要素有五個方面是重合的,即(控制或內部)環境、風險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險應對三個要素。在重合的要素中,內涵也有所擴展,例如內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權利與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外,還包括風險管理哲學、風險偏好和風險文化三個新內容。在風險評估要素中,風險管理要求考慮內在風險與剩余風險,以期望值、最壞情形值或概率分布度量風險,考慮時間偏好以及風險之間的關聯作用。在信息
與溝通方面,風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理,規定了信息的深度與及時性等。
國內關于內部控制與全面風險管理的定義
(一)目前國內關于內部控制和全面風險管理的正式定義主要是財政部關于印發《企業內部控制規范——基本規范》和17項具體規范(征求意見稿)的通知以及國務院國資委發布的《中央企業全面風險管理指引》中有相關的表述。
財政部關于內部控制規范的《通知》中對內部控制的定義是:是指由企業董事會、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動:企業戰略;經營的效率和效果;財務報告及管理信息的真實、可靠和完整;資產的安全完整;遵循國家法律法規和有關監管要求。
國資委《指引》中關于全面風險管理的定義是:指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
(二)、國內關于內部控制和全面風險管理與COSO框架的差異
總體上來說,國內關于內部控制和全面風險管理的內容基本參照或遵從了COSO委員會《內部控制管理框架》和《全面風險管理框架》,但結合國內的實際情況和一些前沿的研究成果,國內對于內部控制和全面風險管理在各自領域都有不同程度的調整、拓展和延伸。
1、目標緯度:財政部關于內部控制的定義相對COSO委員會對內部控制定義在實現目標上有所拓展,增加了企業戰略目標和資產的安全完整目標。而在國資委全面風險管理的實現目標增加了“確保企業建立針對各項重大風險發生后的危機處理計劃,保護企業不因災害性風險或人為失誤而遭受重大損失。”另外,其他四個目標也與COSO全面風險管理四個目標在表述上有所差異,使之更適應我國企業經營管理表述習慣或者更具體而易于理解。從這個角度來說,特別是內部控制實現目標的拓展使得其與全面風險管理實現目標差異不大。
2、要素緯度:財政部內部控制《通知》形式上借鑒了COSO 報告5要素框架,同時在內容上體現了風險管理8要素框架的實質;國資委全面風險管理《指引》中則沒有明確指出是5要素還是8要素,但通過風險管理基本流程將全面風險管理的一些要素融合到流程中,從實質來說,也體現的是8要素的COSO全面風險管理框架。
國內關于內部控制與全面風險管理運用的一些誤區
(一)把內部控制與全面風險管理體系的建設理解為建章立制。其實從COSO框架的定義中,我們可以看出它們都被明確為是一個“過程”,不能當作某種靜態的東西,如制度文件、技術模型等,也不是單獨或額外的活動,如檢查評估等,最好是內置于企業日常管理過程中,作為一種常規運行的機制來建設。
(二)內部控制體系和全面風險管理體系是相互獨立的。建設內部控制和全面風險管理體系都是一個系統工程,兩者在內涵上也有一定重合,企業需要綜合考慮自身業務特點、發展階段、信息技術條件、外部環境要求等,確定選擇合適的管理體系和建設重點。比如,在監管嚴格的金融業或涉及人民生命健康的制藥與醫療行業,風險管理的迫切性更強,企業以風險管理主導內部控制可能更方便。而在另一些企業,為了符合信息披露中內部控制報告的要求,企業以內部控制系統為主導、兼顧風險管理可能更適合。
(三)內部控制和全面風險管理的作用被夸大。有些企業對內部控制和風險管理體系的建設寄有過高期望,他們希望內部控制和風險管理可以確保企業的成功、確保財務報告的可靠性和法律法規的遵循性。而實際上無論多么先進的內部控制和風險管理體系都只能為企業相關目標的實現提供合理的而非絕對的保證。
(四)內部控制與全面風險管理理念在企業實踐落地難。由于新的管理理念和方法的引進,與國內企業原有的管理體系和觀點存在較多的差異和差距,目前這些理念和方法還更多的處于導入階段,大多數企業管理人員還不能在這些框架和概念與企業的日常經營管理行為和語言之間建立直接的聯系。
注冊企業風險管理師職業資格證書,黃海,手機號:***群:145861613
第五篇:內部控制與風險管理的區別
內部控制與風險管理的區別
內部控制的目標包括:企業戰略,經營的效率和結果,財務報告及管理信息的真實、可靠和完整,資產的安全完整,遵循國家法律法規和有關監管要求。
最重要的是,基本規范在形式上借鑒了COSO報告內部控制5要素框架,同時在內容上體現了其風險管理8要素框架的實質,構建了以內部環境為重要基礎、以風險評估為重要環節、以控制措施為重要手段、以信息溝通為重要條件、以內部監督為重要保證的5要素框架。上述要素相互聯系、相互促進,構成一個
統一的企業內部控制框架。
企業所面臨的環境是不確定的,企業家的基本職能是管理風險。無論從目的、目標,還是從要素來看,內部控制的根本功能是風險管理。
內部控制的目的是在合理的范圍內保證企業基本目標的實現。盈利是企業生存和發展的基礎。作為一種盈利性組織,企業的根本目標是盈利。如果不能盈利,就連自身的生存都難“保證”,其他目標無從談起。天有不測風云。不確定性意味著,機會與風險并存。如果說機會代表盈利的可能,風險則代表虧損的可能。二者不過是一枚硬幣的兩面。風險種類很多,如宏觀、市場、技術、金融、財務、法律等各種風險。
有的風險可以保險,有的是不可保險的。在這種情況下,要想“保證”盈利,就必須管理風險。內部控制就是一種風險管理機制。其中,風險評估的功能是識別、分析、評價風險,控制措施的功能是處理、防范、化解風險,而內部監督則是對整個過程進行監控。巧婦難為無米之炊。要想識別、處理風險,就必須收集、傳遞、溝通、應用信息,就要進行信息溝通,為風險管理提供事實依據。上述要素密切
相關,體現為風險的識別、處理、反饋。
總之,風險管理是一個完整的過程。在這個過程中,內部控制的各個要素分別處于不同階段。其中,風險評估、信息溝通處于認識階段;控制措施、內部監督處于實踐階段,而內部環境則構成制度基礎。
點擊咨詢 