《全面风险管理与内部控制的关系.doc》由会员分享,可在线阅读,更多相关《全面风险管理与内部控制的关系.doc(4页珍藏版)》请在三一文库上搜索。
1、全面风险管理与内部控制的关系摘 要:内部控制是企业全面风险管理的基础,同时内部控制也是全面风险管 理不可或缺的重要组成部分。内部控制与全面风险管理之间既存在着联系又有 所不同,为了使企业能充分发挥内部控制和全面风险管理的作用,应该对两者 之间的关系有清楚的认识。本文主要介绍了全面风险管理和内部控制,以及二 者之间的关系。关键词:全面风险管理;内部控制;关系(1)内部控制内部控制是指企业为了合理保证财务报告的可靠性、经营的效率和效果以 及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。 关于内部控制的定义,COS(委员会经过相对较长时间的研究,于1992年发布 了内部控制整体
2、框架,1994年形成正式文稿。内部控制整体框 架认为内部控制是为实现企业经营效率和效果、财务报告的可信性及相关法 令的遵循等企业目标而提供合理保证的过程。内部控制的实施者为企业董事会、 经理层和其他员工。内部控制是整个企业设计的系统,不是为了某个人或某个 层级的人提出来的专门针对某个人或某个层级的人的制度。没有人能脱离这一 系统而独立运作。管理层、董事会、内部审计和其他员工都应该对内部控制承 担责任。内部控制目标有三点,一是财务报告的可靠性。企业决策层要想在瞬息万 变的市场竞争中有效地管理经营企业,就必须及时掌握各种信息,以确保决策 的正确性,并可以通过控制手段尽量提高所获信息的准确性和真实性
3、。因此, 建立内部控制系统可以提高会计信息的正确性和可靠性。二是经营的效果和效 率。内部控制系统通过确定职责分工,严格各种手续、制度、工艺流程、审批 程序、检查监督手段等可以有效地控制本单位生产和经营活动顺利进行、防 止出现偏差,纠正失误和弊端,保证实现单位的经营目标。三是合规性。企业 决策层不但要制定管理经营方针、政策、制度,而且要狠抓贯彻执行。内部控 制则可以通过袱定办法,审核批准,监督检查等手段促使全体职工贯彻和执行 既定的方针、政策和制度,同时,可以促使企业领导和有关人员执行国家的方 针、政策在遵守国家法规纪律的前提下认真贯彻企业的既定方针。企业建立与实施有效的内部控制,应当包括下列要
4、素:一是内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、 机构设置及权责分配、内部审计、人力资源政策、企业文化等。二是风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内 部控制目标相关的风险,合理确定风险应对策略。三是控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施, 将风险控制在可承受度之内。四是信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制 相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。五是内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查, 评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。(2)全面风险管
5、理所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个 环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立 健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织 职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目 标提供合理保证的过程和方法。2004年COS(委员会发布企业风险管理一一整合框架。企业风险管理 整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局 和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主 体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实 现提供合理保证。
6、”该框架拓展了内部控制,更有力、更广泛地关注于企业风 险管理这一更加宽泛的领域。全面风险管理框架包括了八个要素:一是内部环境。管理当局确立关于风险的理念,并确定风险容量。所有企 业的核心都是人(他们的个人品性,包括诚信、道德价值观和胜任能力)以及经 营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基 础。二是目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事 项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目 标支持主体的使命并与其相衔接,以及与它的风险容量相适应。三是事项识别。必须识别可能对主体产生影响的潜在事项,包括表示风险 的事项和表示机会
7、的事项,以及可能二者兼有的事项。机会被追溯到管理当局 的战略或目标制定过程。四是风险评估。要对识别的风险进行分析,以便确定管理的依据。风险与 可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评 估,评估要考虑到风险的可能性和影响。五是风险应对。员工识别和评价可能的风险应对措施,包括回避、承担、 降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容 量相适应。六是控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对 策略得以有效实施。七是信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风 险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流
8、动。八是监控。整个企业风险管理处于监控之下,必要时还会进行修正。这种方 式能够动态地反应风险管理状况,并使之根据条件的要求而变化。监控通过持 续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。(3)全面风险管理与内部控制的关系谈到风险管理,则一定会提到企业内部控制。在实践中有很多企业不能真 正理解全面风险管理与内部控制的区别和联系,要么将两者完全隔离开来,要 么只是简单地将它们等同起来。其实,两者之间既有区别又有联系。全面风险管理与内部控制的联系:一是全面风险管理涵盖了内部控制。COS(框架中明确地指出全面风险管理 体系框架包括内部控制,将之作为一个子系统。二是内部控制是全面风险管理
9、的必要环节。内部控制的动力来自企业对风 险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所 有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。 同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足 内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。全面风险管理与内部控制的区别:一是两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后 和事中的控制来实现其目标,而全面风险管理则贯穿于管理过程的各个阶段, 覆盖了各个不同的环节,更重要的是在事前就对风险有了一定的预见性的考虑。 而且,全面风险管理所要达到的目标多于内部控制。二是
10、两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控 制要做的。全面风险管理包含了选择风险评估方法、制定风险管理目标、制定 相关战略、报告程序及聘用管理人员等多个环节,而内部控制主要负责的是风 险管理过程中间及其以后的重要活动,例如对风险的评估和,对财务报告的评 估,信息与交流活动的监督,对操作流程的不规范进行纠正等等。两者最大的 差别在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程 进行监控和评价,尤其是对目标制定中的风险进行评估。三是两者对风险的管理不一致。全面风险管理框架包括了风险偏好、风险 对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,
11、促使企业发展战略向风险偏好靠拢,根据资金投入、经营风险与利润回报之间 的联系,进行经济资本分配,帮助管理层实现全面风险管理的目标。这些功能 都是内部控制框架能力范围之外的。从目前企业的管理发展趋势来看,企业的全面风险管理与内部控制管理已 经交集密切,互相密不可分。通过上面的描述,我们可以看出,全面风险管理 及内部控制实际上都是以保护企业的财产安全、保证企业的经营结果、实现企 业的战略目标为最终的目的。内部控制是全面风险管理的重要核心内容,而全 面风险管理则在内部控制的基础上升华扩散。概括的说,内部控制使得企业的 日常经营管理流程更加规范、财务管理真正的有效实施,与此同时企业内部的 规范性操作流程、财务管理控制也正是全面风险管理在企业实施的基本条件。