风险与内控区别.docx

一、国际战场的恩怨起源 1992年COSO发布的《企业内部控制-整合框架》，作为在全球企业内部控制领域的集大成者，面对21世纪初美国公众企业一系列的财务造假事件，被美国证监会采用作为美国资本市场公众企业的合规框架而名声大噪，同时，也被全球各个国家参考和借鉴形成了本国的企业内部控制管理框架。 但是COSO通过分析这一系列的企业经营失败的案例，发现纯粹从建立和维护一个健全、有效的内部控制体系，还不足以防范这些失败案例的再次发生，因为有些失败的因素超出了内部控制的范畴。所以，COSO考虑需要从更高的层面建立一个体系来指导企业如何能够更好的保护企业价值、实现企业目标。所以，时隔12年之后，2004年COSO发布了《企业风险管理-整合框架》。从名字上可以看出，从企业内部控制到风险管理，COSO的本意表明后者要比前者定位更高一些、范围更广一些，COSO在正式文件中也阐明：企业风险管理包含了内部控制，从两者的框架包含的内容也能得出这样的结论。 通过观察两个体系的框架图，我们可以看出两者何等的相似，显然是同出一门、同宗同源的，这也为日后全球范围的包含与被包含之争埋下了隐患。企业风险管理框架只是在要素和目标层面多出了几个内容，但一眼望去还是那个经典的“立方体”。 COSO组织以内部控制框架而全球闻名，而一个以财务、审计为主要背景的5家发起机构组成的COSO，起草企业风险管理领域的文件却不一定是其优势所在，因为从“控制”向“管理”的跨越有可能超出了其驾驭能力。但不管如何，由于COSO在内部控制领域的至高声誉，其随便一个动作就会引起全球的一阵骚动，这也凸显了一个平台的重要性。 在COSO发布其ERM框架之前，其实很早之前全球范围内已经出现了泛风险管理、企业层面风险管理的概念和理念，但是只是在局部和小范围应用和传播，并没有被全面的普及和推广。 借助COSO的影响力，2004年COSO的ERM框架确实对企业风险管理理念的广泛传播起到了非常积极的推动意义。但同时，2004年的“立方体”框架如同一个牢笼，也困住了企业风险管理放荡不羁、追求自由的翅膀。 二、中国战场的恩怨起源 国际上战事未结，中国的战役却已打响，而中国战场的发展应该是全球中最离奇、最精彩的那一个。中国企业风险管理实践的全面展开是以2006年国务院国资委发布的《中央企业全面风险管理指引》为标志，而企业内部控制实践的全面展开是以财政部2008年发布的《企业内部控制基本规范》为标志。 从时间线上来看，国际上两个文件的发布中间是经历了12年探索和思考的时间，而中国只用了2年；从顺序上讲，国际上是先发布企业内部控制框架，又发展到的企业风险管理，而中国顺序正好相反。2008年发布的企业内部控制基本规范参考了COSO 1992年的内部控制框架，而2006年发布的企业风险管理框架确实中国自创的一套，这也为这个战场增添了一些新的不确定性。 2006年，我们中国的央企、地方国企和部分大型企业开始风风火火进行企业风险管理体系的建设，如我们之前文章中说的那样，企业内部控制是企业的一套基本功体系，2006年在我们中国企业还未全面强化基本功的情况下，就吃了一粒“十全大补丸”，导致虚火很旺。 风险管理推行了5年之后，2011年开始，中国企业又大规模的进行了企业内部控制体系的建设，这之后又进入了企业风险管理和内部控制的整合阶段，再之后是两个体系和各企业管理子体系的整合阶段。 三、企业风险管理的最新发展，推动了战事走向终结 2017年9月，按照预定时间，COSO组织推迟了一年发布了新版企业风险管理框架，这次的框架的变动如此之大，并没有对原有的框架进行修补，而是直接抛弃了2004年的立方体风险管理框架，挣破了立方体“牢笼”的企业风险管理，又重获自由。新框架强调风险管理不是一项独立的活动，应该和企业管理活动密切融合。 2017年COSO新版企业风险管理框架 而文件中也提及了风险管理和内部控制的关系，为了避免前期混战的持续，厘清双方的关系，这次的风险管理框架中，没有提及任何和控制关于的话题，而将其都留给了内部控制体系，以此算是给两个体系做一个切割，希望双方不再有纷争、西线再无战事。 2018年2月，ISO组织也发布了更新版的ISO31000风险管理标准文件，也有一些新的指导原则和导向的变化。这两份文件我们公众号写过几十篇系列解读，有需要请查看，在此就不展开论述了。 四、企业风险管理和内部控制的七大本质差异点 因为亲历了全程，所以每个阶段都会留有一些思考和体会，回应开头关于业界对于两者的区别和联系，结合最新的理论发展，我们来总结和展望一下两者的本质异同点： 1、执行力度不同 内部控制强制性：对于企业内部控制而言，从发展源头上来看，是由外部监管机构强制执行的，特别是针对公众公司，企业内部控制有效性更是必须要保证的； 风险管理自愿性：风