浅析全面风险管理与内部控制的关系.pdfVIP

浅析全面风险管理与内部控制的关系 一、内部控制和全面风险管理在 COSO框架中的定义 现代理论界对内部控制的定义各不相同， 但被普遍接受的定义是国际权威机 构美国的 COSO委员会对内部控制的定义。 COSO于 2004 年发布了《企业风险管 理——整合框架》 ，在该框架的附录 C 中指出，“内部控制被涵盖在企业风险管理 之内，是其不可分割的一部分” 。 该组织认为： 企业内部控制是由企业董事会、 经理层以及其他员工共同实施 的，为财务报告的准确性、 经营活动的效率与效果、 相关法律法规的遵循等目标 的实现而提供合理保证的过程。在 COSO委员会的《内部控制管理框架》中，把 内部控制活动分成五大组成部分，即：控制环境、风险评估、控制活动、信息与 交流和监督评审。 在多年的管理实践中，人们意识到一个企业内部不同部门或不同业务的风 险，有的会相互叠加放大，有的则相互抵消减少。因此，风险的考虑不能仅仅从 某项业务、 某个部门的角度出发， 必须根据风险组合的观点， 从贯穿整个企业的 角度看风险，即要实行全面风险管理。 依据 COSO委员会 2003 年 7 月完成的《全面风险管理框架》定义：企业风 险管理是一个过程， 是由企业的董事会、 管理层以及其他人员共同实施的， 应用 于战略制定及企业各个层次的活动， 旨在识别可能影响企业的各种潜在事件， 并 按照企业的风险偏好管理风险， 为企业目标的实现提供合理的保证。 该框架有三 个维度，第一维是企业的目标； 第二维是全面风险管理要素； 第三维是企业的各 个层级。第一维企业的目标有 4 个，即战略目标、经营目标、报告目标和合规目 标。第二维全面风险管理要素有 8 个，即内部环境、目标设定、事件识别、风险 评估、风险对策、 控制活动、 信息和交流、 监控。第三个维度是企业的各个层级， 包括整个企业、 各职能部门、 各条业务线及下属各子公司。 《全面风险管理框架》 三个维度的关系是： 全面风险管理的 8 个要素都是为企业的四个目标服务的； 企 业各个层级都要坚持同样的四个目标； 每个层次都必须从以上 8 个方面进行风险 管理。 二、内部控制与全面风险管理的联系 1. 全面风险管理涵盖了内部控制。 COSO2003年 7 月公布了全面风险管理框 架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。 全面风险管理除包括内部控制的 3 个目标之外， 还增加了战略目标； 全面风险管 理的 8 个要素除了包括内部控制的全部 5 个要素之外， 还增加了目标设定、 事件 识别和风险对策 3 个要素。从时间先后和内容上来看， 全面风险管理是对内部控 制的拓展和延伸。 2. 内部控制是全面风险管理的必要环节。 内部控制的动力来自企业对风险的 认识和管理， 对于企业所面临的大部分运营风险， 或者说对于在企业的所有业务 流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维 持充分的内控系统也是国内外许多法律法规的合规要求。 因此，满足内部控制系 统的要求也是企业风险管理体系建立应该达到的基本状态。 3. 内部控制是风险管理的重要手段。 内部控制是风险管理的重要手段体现在 以下三个方面：