内部控制和企业风险管理关系浅析.docVIP

内部控制和企业风险管理关系浅析 　　【摘要】：内部控制与企业风险管理是紧密相连的，如何正确的认识这两者的关系，无论对学术研究还是企业的经营管理实践，都具有现实意义。文章从内部控制、风险管理的概念出发，多视角分析了两者之间的区别与联系。文章认为深入探究企业风险管理与内部控制,真正理解它们的本质、主要区别, 才有利于正确把握两者间的关系,对于进一步完善企业管理理论,推动经营管理实践都具有极其重要的意义。 　　【关键词】：内部控制；风险管理 　　中图分类号：C93 文献标识码：A 文章编号：1002-6908(2008)0610091-02 　　 　　一、前言 　　 　　在实际工作中，很多人认为企业内部控制和风险管理就是一回事，内部控制做的好，企业风险管理也就做好了。孰不知两者是存在差别及联系的。要想做好企业风险管理及内部控制工作，必须清楚的认识两者的关系。结合国际上对内部控制与风险管理的权威定义,对内部控制与风险管理的关系,代表性观点有两种: 　　第一种观点,认为风险管理包含内部控制。例如：《企业风险管理--整合框架》中明确指出风险管理包含内部控制;内部控制是企业风险管理不可分割的一部分。内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多[1]。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。 　　第二种观点,认为内部控制包含风险管理。按照施控主体的不同,可将控制分为内部控制和外部控制。《内部控制--整体框架》中将风险评估作为企业内部控制的一个组成要素[2],实际上就是将风险管理包含在内部控制的范围之内。加拿大CoCo报告(1995)将风险定义为一个事件或环境带来不利后果的可能性,阐明了风险管理与控制的关系：当您在抓住机会和管理风险时,您也正在实施控制。该报告认为,风险评估和风险管理是控制的关键要素。 　　那么两者的区别与联系究竟是怎样呢？文章通过对COSO委员会在1992年和2004年颁布的《内部控制--整体框架》和《企业风险管理--整合框架》进行细致比较，得出内部控制制度建设将呈现以风险为导向的趋势。 　　 　　二、内部控制与风险管理的区别 　　 　　1. 两者在内涵与边界上的区别 　　企业风险管理与内部控制之所以容易引起混淆,主要原因还在于人们对两者内涵与边界认识不清晰,审计界和管理界对企业风险管理与内部控制各自有各自的理解。内部控制从概念形成到框架确立始终围绕着会计与审计这个核心,因而有着明显的会计与审计的印迹。内部控制概念最早产生于早期的审计标准制订者。1936年,美国注册会计师协会(AICPA)在其发布的《注册会计师对财务报表的审计》文告中,第一次明确地提出应考虑审查内部控制的要求[3]。尽管如此,美国注册会计师协会审计程序委员会在其发布的《审计程序文告第29号》(1958年)中仍将内部控制明确表述为包括会计控制和管理控制,直至1997年美国注册会计师协会发布《审计准则公告第78号》才正视内部控制系统,实际而全面接受了COSO报告的内容,并认同内部控制要素包括风险评估要素。但实际上在其主流意识与看法中,仍然认为内部控制的主要目的是核对、检查、纠错和防弊,其根本目标还是鉴证财务报告的真实与公允,最终的结果自然是减轻审计人员的法律责任。即使考虑风险也仅仅是经营风险(如操作风险等),而不愿意涉及财务风险(如信用风险等)。 　　自20世纪70年代起,风险导向审计似乎成为主流的审计模式,但最初审计人员所理解的风险导向审计,其目的主要是为了更大限度地控制审计风险,而不是为了揭示财务报表所反映的公司面临的风险[4]。其对风险的评估更多是对经营管理活动中突出的风险点的查找和评估,目的是建议经营管理人员针对这些风险点实施必要的控制。 　　2. 两者的职能定位不一致 　　内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制定目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。 　　3. 企业风险管理与内部控制在框架与内容上的区别 　　3.1 增加一个主要目标，活动范围不一致 　　《内控框架》中明确指出内部控制的主要目标有三类,即经营目标、财务报告目标、合规目标。《风险框架》中则提出风险管理要为主体的四类目标服务,包括战略目标、经营目标、报告目标及合规目标。不难发现,后者比前者多了一个战略目标。这就意味着企业在制定战略目标时需要考虑企业风险因素的影响。而内部控制却很少涉及影响整体的战略目标设定问题