中山大學企業(yè)內控與風險管理

近年來，盡管很多企業(yè)意識到全面風險管理，但是對內部控制和全面風險管理有清晰理解的卻不多，已經(jīng)實施了內部控制與全面風險管理的企業(yè)則更少。建立和實施企業(yè)內部控制與風險管理體系是促進我國企業(yè)加強內部管理，防范重大風險，實現(xiàn)可持續(xù)發(fā)展的必然要求。下面我們就從COSO框架對內部控制和全面風險管理的定義來分析二者之間的區(qū)別與聯(lián)系。

1992年，COSO委員會提出的報告《內部控制——整合框架》指出“內部控制是由主體的董事會、管理層和其他員工實施的，旨在為經(jīng)營的效率和有效性、財務報告的可靠性、遵循適用的法律法規(guī)等目標的實現(xiàn)提供合理保證的過程�！�2004年，COSO委員會又發(fā)布了《企業(yè)風險管理——整合框架》，提出了“全面風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能影響主體的潛在事項、管理風險，以使其在該主體的風險容量之內，并為主體目標的實現(xiàn)提供合理保證。”

由此看出，內部控制和企業(yè)全面風險管理既有橫向交叉又有縱向融合，它們之間的聯(lián)系有：

1. 內控或風險管理的根本作用都是維護投資者利益、保全企業(yè)

資產，并創(chuàng)造新的價值。從理論上說，企業(yè)的內部控制是企業(yè)制度的組成部分，風險管理則是在新的技術與市場條件下對內控的自然擴展，在內控的基礎上增加了一個目標即戰(zhàn)略目標和三個要素：目標設定、事件識別、風險應對；

2. 內控是企業(yè)風險管理的必要環(huán)節(jié)，在全面風險管理中扮演關

鍵角色，內控應被管理者看作是范圍更廣的風險管理的必要組成部分，對于企業(yè)所面臨的運營風險，內控是必要的。 當然，二者也有些許不同，區(qū)別在于：

1. 兩者目標不同。風險管理的目標相較于內部控制增加了一個戰(zhàn)略目標，戰(zhàn)略目標的制定是企業(yè)治理層面需要參與解決的問題，這表明風險管理屬于治理層次，而內部控制屬于企業(yè)管理層次；此外，風險管理把財務目標擴展為報告目標，不僅包括了財務報告目標，還包括了非財務類報告，彌補了內控目標體系重財務信息輕其他信息的缺陷；

2. 兩者組成要素不同。相比起內控的五大要素，風險管理增加了“目標設定、事件識別和風險應對”三個因素，豐富了風險管理內容，體現(xiàn)了風險組合觀；

3. 兩者的范疇不一致。內控僅僅是管理的一項職能，主要是通過事后和過程的控制來實現(xiàn)其自身的目標，而全面風險管理則貫穿于管理過程的各個方面，尤其是在事前制定目標時就充分考慮了風險的存在；

4. 兩者的活動不一致。內部控制不負責企業(yè)經(jīng)營目標的具體設立，而只是對目標的制定過程進行評價，而風險管理包含了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇等一系列活動；

5. 兩者對風險的定義不同。全面風險管理框架將風險明確定義為“對企業(yè)財務目標產生的負面影響事件發(fā)生的可能性”，將正

面影響視作機會，將風險和機會區(qū)分開來，而內部控制框架中，尚未區(qū)分風險和機會

6. 兩者對風險對策不一致，全面風險框架引入風險偏好和風險容忍度。在風險度量的基礎上，有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，增長、風險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風險信息支持業(yè)務前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風險管理的4項目標。這些內容都是內部控制框架中沒有提出的。

綜上所述，我們可以得出的基本結論是內部控制與風險管理關系十分密切，風險管理是企業(yè)為了適應時代的變化，以內部控制為架構演變成另一種以達到某種目標的過程和方法。二者在要素、目標、含義等方面有很多聯(lián)系和相同的地方，既是獨立又有關聯(lián)的體系，是針對企業(yè)所不同的需求而演變成的兩種過程與目標。

企業(yè)內部控制與風險管理區(qū)別2017-05-09 20:05 | #2樓

從英國巴林銀行、美國安然公司、世通公司到雷曼兄弟等國際知名公司相繼暴露出嚴重的財務失敗事件，加強公司治理、內部控制和風險管理的呼聲愈來愈高。

在我國，風險管理是企業(yè)管理中一個相對薄弱的環(huán)節(jié)，風險意識不強、風險管理工作薄弱，是企業(yè)發(fā)生重大風險事件的重要原因。2017年6月，國資委制定并發(fā)布了《中央企業(yè)全面風險管理指引》，對于建立健全風險管理長效機制，推動風險管理工作具有一定的意義。2017年6月財政部發(fā)布企業(yè)內部控制基本規(guī)范，強調企業(yè)應當建立實施風險評估程序。然而，在我國企業(yè)內部控制與風險管理，尚存在許多問題，在工作實踐中，就內部控制與風險管理的關系，多種觀點并存。有的認為風險管理包括內部控制，有的認為內部控制包括風險管理，還有的認為內部控制就是風險管理。

《中山大學企業(yè)內控與風險管理》全文內容當前網(wǎng)頁未完全顯示，剩余內容請訪問下一頁查看。

筆者認為，風險管理與內部控制是兩個不同的概念范疇，在企業(yè)管理中，二者同時存在并相互依存，存在著必然的內在聯(lián)系，而不是相互包含的關系，更不是簡單等同關系。

什么是內部控制和風險管理

企業(yè)內部控制是以專業(yè)管理制度為基礎，以防范風險、有效監(jiān)管為目的，通過全方位建立過程控制體系、描述關鍵控制點和以流程形式直觀表達生產經(jīng)營業(yè)務過程而形成的管理規(guī)范。內部控制包括控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五個相互聯(lián)系的要素。

風險管理又名危機管理，是指生產過程中，風險管理部門對可能遇到的各種風險因素進行識別、分析、評估，以最低成本實現(xiàn)最大的安全保障的過程（風險管理是一個過程，由風險的識別、量化、評價、控制、監(jiān)督等過程組成）。

內部控制與風險管理的不同

內部控制與風險管理的主要區(qū)別在于，目的不同、目標不同、作用不同和發(fā)揮作用的環(huán)境不同。

第一、風險管理的目的是要及時地發(fā)現(xiàn)風險、預測風險以及防止風險可能造成的不良影響，并設法把這種不良影響控制在最低的程度上。而內部控制是企業(yè)內部采取的風險管理流程規(guī)范，僅僅是管理的一項職能，只是對目標的制定過程進行評價，主要是通過事后和過程的控制來實現(xiàn)其自身的目標。 第二、風險管理工作，注重防范和控制風險可能給企業(yè)造成損失和危害，

同時把機會風險視為企業(yè)的特殊資源，通過對其管理，為企業(yè)創(chuàng)造價值，促進經(jīng)營目標的實現(xiàn)。而內部控制則是以專業(yè)管理制度為基礎，實施的遵循性控制活動，它無法防范管理層非理性風險和凌駕于管理制度以上的決策風險。 第三、企業(yè)開展全面風險管理工作是與其他管理工作緊密結合，在綜合考慮內部環(huán)境和外部環(huán)境的情況下，把風險管理的要求融入企業(yè)管理和業(yè)務流程中。而內部控制則是在內部環(huán)境下，根據(jù)國家有關法律法規(guī)和企業(yè)章程，建立的公司治理結構和議事規(guī)則。風險管理是以應有的風險意識開展企業(yè)管理的各項工作，內部控制是開展各項工作應遵循的操作規(guī)范。

第四、全面風險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。內部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。

內部控制與風險管理的內在聯(lián)系

從內部控制和風險管理的結構說，風險管理與內部控制的組成要素有五個方面是重合的，即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。兩者存在著不可分離的內在聯(lián)系。

第一、內部控制的最重要目的之一就是防范風險，沒有風險防范這一既重要又明確的目的，內部控制的存在就大打折扣，至少發(fā)揮作用的空間會受到極大的限制。

第二、風險分為內部風險和外部風險，企業(yè)的內部風險普遍存在于生產經(jīng)營的各個環(huán)節(jié)，如何識別、評估、分析風險，實施風險解決方案，必須采取一定的措施，風險信息的取得是實施風險管理的前提，收集不到風險信息，風險管理就無從談起。而內部控制是通過全方位建立過程控制體系、描述關鍵控制點和以流程形式直觀表達生產經(jīng)營業(yè)務過程而形成的管理規(guī)范。內部控制這種嵌入式的工作方式，恰好為風險信息的收集提供了極大的方便，可見內部控制是作為風險管理的一種重要手段而存在的。

第三、風險管理是指生產過程中，風險管理部門對可能遇到的各種風險因素進行識別、分析、評估，以最低成本實現(xiàn)最大的安全保障的過程。從其過程看，風險得到控制是其最終目的，這恰是內部控制的最基本的作用所在�？梢妼嵤╋L險管理離不開內部控制這一強有力的工具。

第四、無論是內部控制還是風險管理，是一個全員全程參與的過程，實施內部控制和參與風險管理的主體是一致的，過程是一致的，它們的最終目的也是一致的。當我們在管理風險時,也正在實施控制，筆者認為這是一個協(xié)調統(tǒng)一的機制。

如何開展內部控制和風險管理工作

如何實施內部控制進行有效的風險管理，是擺在我們面前的首要任務。 第一、要創(chuàng)造良好的控制環(huán)境，注重建立具有風險意識的企業(yè)文化。在企業(yè)風險管理過程中，每一位員工要樹立“風險無處不在”的理念，應當知道個人職責對公司風險有怎樣的影響，以及在公司內部的作用和責任與他人有怎樣的關系，這是企業(yè)風險管理的一個重要方面，也是充分有效開展風險管理工作進行的前提。

第二、要有強烈的風險意識和內控責任。風險管理的起點是風險識別，是進行有效風險管理的基礎和關鍵。我們有責任對企業(yè)面臨的各種風險進行識別，然后將風險進行分類，并追溯導致風險產生的各種因素。在全面風險管理框架下，風險識別的目標，就是要廣泛、持續(xù)地收集與本企業(yè)風險和風險管理相關的內部、外部初始信息，發(fā)現(xiàn)企業(yè)面臨的各種風險。

第三、要充分利用內控規(guī)范并使其得到不斷地優(yōu)化。內控規(guī)范是根據(jù)管理制度和操作流程，征求相關責任崗位意見的基礎上制定的，使用內控規(guī)范是責任崗位執(zhí)行人的本分，嚴格執(zhí)行內控規(guī)范，使每項業(yè)務得到恰當處理，這樣既提高了工作效率，又合理保障了企業(yè)整體目標的實現(xiàn)。

筆者認為，內部控制與風險管理是體制與機制的關系，僅有內部控制這個體制，而無風險管理的意識，則內控管理就是空架子，缺乏靈魂。有了風險管理意識，而無內部控制框架，則風險管理就失去了科學的管理手段，也易形成風險管理目標的缺失。

作者：高存忠

【中山大學企業(yè)內控與風險管理】相關文章：

企業(yè)員工風險管理研究04-19

企業(yè)內控體系建設與企業(yè)HR管理改進09-25

從內控著手全面提升企業(yè)管理11-30

加強企業(yè)內控管理的意義09-25

內控制度風險評估報告09-25

增強風險管控意識提升內控管理效率09-25

基于財務風險管理的內控體系建設09-25

以風險防控為導向的內控管理體系實踐09-25

企業(yè)內控采購管理制度09-25

大學內控風險評估報告（精選13篇）03-13