全面风险管理与内部控制的联系与区别
(一)全面风险管理与内部控制的含义
1.1内部控制
早在上世纪70年代中期,作为美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给予高度重视。为了制止美国公司向外国政府官员行贿美国国会于1977年通过了“国外腐败实务法案”。该法案除了反腐败条款外,还包含要求公司管理层加强会计内部控制的条款,成为美国在公司内部控制方面的第一个法案。
1992年,COSO委员会(Committee of Sponsoring Organization of Treadway Commiion)出版了COSO报告《内部控制的整体框架》,被认为是有关内部控制的里程碑式的文件。
《内部控制的整体框架》中COSO将内部控制定义为内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适用的法律相符合提供一种合理的保证。
内部控制包括五大要素:
控制环境Control Environment:为控制创造条件; 风险评估Risk Aement:有的放矢,实现目标; 控制活动Control Activities:实施控制行为;
信息与沟通Information and Communication:贯穿于过程中; 监督Monitoring:保证沿正确轨迹,合理校正。
1.2全面风险管理
安然(Enron)事件等一系列令人瞩目的企业丑闻和失败事件发生后,学界和业界呼吁新法律、法规和准则问世,来加强公司治理和风险管理。2003年7月,COSO发布《企业风险管理—整合框架》征求意见稿,2004年9月正式文本发表。
COSO指出,全面风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,用于识别那些可能影响主体的潜在事件,管理风险以使其在该主体的风险偏好之内,并为主体目标的实现提供合理的保证。
全面风险管理是三个维度的立体系统:
企业目标:战略目标;经营目标;报告目标;合规目标。 要素:内部环境;目标设定;事件识别;风险评估;风险对策;控制活动;信息和交流;监控。
企业的层级:整个企业;各职能部门;各条业务线及下属子公司。
(二)全面风险管理与内部控制的联系与区别
2.1全面风险管理与内部控制的联系
从全面风险管理与内部控制的含义中,我们可以看出两者有一下共同点: 全面风险管理与内部控制都是一个过程,这些过程都是渗透于企业的各项活动之中的。
全面风险管理与内部控制都具有目的性,有若干目标。这些目标都是确保企业各项经营目标的实现,都是为了维护企业的财产安全、保证企业的经济效益。
全面风险管理与内部控制都是主体为实现目标提供合理的保证。 全面风险管理与内部控制都是由一个主体的董事会、管理层和其他人员实施,要受到受人的影响。
内部控制的五大要素被完全包含在全面风险管理之中,两者都强调控制环境、风险评估、控制活动、信息与沟通、监督。 2.2全面风险管理与内部控制的区别 全面风险管理是内部控制的扩展,是内部控制的升级版,而内部控制是风险管理必不可少的一部分。两者既有横向交叉也有纵向交融。
2.2.1全面风险管理与内部控制的内涵不同。
全面风险管理,是对企业内部可能产生的各种风险进行识别、分析、评估、控制、监督,以最低成本实现最大的安全保障的过程。全面风险管理的目的是要及时发现风险、预测风险以及防止风险可能造成的不良影响,并设法把这种不良影响控制在最低的程度上。内部控制是由企业董事会、高管和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
2.2.2全面风险管理与内部控制涉及的范畴不同。
全面风险管理范围要大于内部控制。全面风险管理体系包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。内部控制是风险管理的重要环节而不是全部。
全面风险管理是贯穿于整个生产经营过程中的各个环节,尤其是在事前控制、事中控制和事后控制。内部控制是企业内部采取的风险管理流程规范,仅仅是管理的一项职能,只是对目标的制定过程进行评价,主要是通过事中与事后的控制来实现其自身的目标。
2.2.3全面风险管理与内部控制的执行方式不同。 全面风险管理,注重防范和控制风险可能给企业造成损失和危害,同时把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。内部控制是企业内部采取的风险管理流程规范,它无法防范管理层非理性风险和凌驾于管理制度之上的决策风险,它所负责的只是事中和事后的控制。
2.2.4全面风险管理包含内部控制。
COSO《企业风险管理—整合框架》认为内部控制的出发点与最终目的都是为了控制和管理风险。这也是COSO委员会将《内部控制的整体框架》升级为《企业风险管理—整合框架》的根本原因。
全面风险管理与内部控制并不是相同的概念,其根本原因在于两者的外延有所区别。
狭义而言,内部控制主要指财务的管理控制。COSO《内部控制的整体框架》提出之初就是以杜绝财务报告中舞弊的产生,并杜绝因为虚假的财务信息而导致的企业危机为导向制定的。除财务管理外,还加入了运营、战略等诸多方面的管控内容。然而事实上,企业是存在于一个行业、一个大的经济环境之中的。仅仅依靠内部的管理控制已不能满足于企业发展的需要。在当前市场经济条件下,外部经济环境、市场状况、法规政策的发展变化对于企业的影响也需要得到充分的重视。
企业全面风险管理不仅包含了内部控制内容,还将市场、法律等外部环境纳入到了企业的经营管理控制的范围中。相对于内部控制,企业全面风险管理从内部到外部,由整体层面制定风险战略,构建管控体系,完善管理制度,优化流程和组织职能,为企业构建风险管理的长效机制,从根本上提升了企业经营管理的效率和效果。
参考文献:
[1] 周兆生.内部控制与风险管理[J].审计与经济研究, 2004, 19(4):46-49.[2] 张文峰.谈全面风险管理与内部控制[J].商业会计, 2005(6):13-13.[3] 万里霜.全面风险管理与内部控制的融合[J].统计与决策, 2009(9):177-178.[4] 路世谊.企业全面风险管理与内部控制[J].经济研究参考, 2012(16):25-27.[5] 田至立.企业全面风险管理与内部控制[J].商情, 2013(37):20-20.[6] 周红梅.浅析企业全面风险管理与内部控制[J].市场周刊:理论研究, 2013(4):59-61.
