【正文】 用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現(xiàn)提供合理保證?！痹摽蚣芡卣沽藘炔靠刂疲辛?、更廣泛地關注于企業(yè)風險管理這一更加寬泛的領域。全面風險管理框架包括了八個要素：一是內部環(huán)境。管理當局確立關于風險的理念，并確定風險容量。所有企業(yè)的核心都是人(他們的個人品性，包括誠信、道德價值觀和勝任能力)以及經(jīng)營所處的環(huán)境,內部環(huán)境為主體中的人們如何看待風險和著手控制風險確立了基礎。二是目標設定。必須先有目標，管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取恰當?shù)某绦蛉ピO定目標，并保證選定的目標支持主體的使命并與其相銜接，以及與它的風險容量相適應。三是事項識別。必須識別可能對主體產(chǎn)生影響的潛在事項，包括表示風險的事項和表示機會的事項，以及可能二者兼有的事項。機會被追溯到管理當局的戰(zhàn)略或目標制定過程。四是風險評估。要對識別的風險進行分析，以便確定管理的依據(jù)。風險與可能被影響的目標相關聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。五是風險應對。員工識別和評價可能的風險應對措施，包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應。六是控制活動。制定和實施政策與程序以確保管理當局所選擇的風險應對策略得以有效實施。七是信息與溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。八是監(jiān)控。整個企業(yè)風險管理處于監(jiān)控之下,必要時還會進行修正。這種方式能夠動態(tài)地反應風險管理狀況，并使之根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風險管理的單獨評價或者兩者的結合來完成。（三）全面風險管理與內部控制的關系談到風險管理，則一定會提到企業(yè)內部控制。在實踐中有很多企業(yè)不能真正理解全面風險管理與內部控制的區(qū)別和聯(lián)系，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。其實，兩者之間既有區(qū)別又有聯(lián)系。全面風險管理與內部控制的聯(lián)系：一是全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內部控制，將之作為一個子系統(tǒng)。二是內部控制是全面風險管理的必要環(huán)節(jié)。內部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務流程之中的風險，內控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統(tǒng)也是國內外許多法律法規(guī)的合規(guī)要求。因此，滿足內部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。全面風險管理與內部控制的區(qū)別：一是兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事后和事中的控制來實現(xiàn)其目標，而全面風險管理則貫穿于管理過程的各個階段，覆蓋了各個不同的環(huán)節(jié)，更重要的是在事前就對風險有了一定的預見性的考慮。而且，全面風險管理所要達到的目標多于內部控制。二是兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關戰(zhàn)略、報告程序及聘用管理人員等多個環(huán)節(jié)，而內部控制主要負責的是風險管理過程中間及其以后的重要活動，例如對風險的評估和，對財務報告的評估，信息與交流活動的監(jiān)督，對操作流程的不規(guī)范進行糾正等等。兩者最大的差別在于內部控制不負責企業(yè)經(jīng)營目標的具體設立，而只是對目標的制定過程進行監(jiān)控和評價，尤其是對目標制定中的風險進行評估。三是兩者對風險的管理不一致。全面風險管理框架包括了風險偏好、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，促使企業(yè)發(fā)展戰(zhàn)略向風險偏好靠攏，根據(jù)資金投入、經(jīng)營風險與利潤回報之間的聯(lián)系，進行經(jīng)濟資本分配，幫助管理層實現(xiàn)全面風險管理的目標。這些功能都是內部控制框架能力范圍之外的。從目前企業(yè)的管理發(fā)展趨勢來看，企業(yè)的全面風險管理與內部控制管理已經(jīng)交集密切，互相密不可分。通過上面的描述，我們可以看出，全面風險管理及內部控制實際上都是以保護企業(yè)的財產(chǎn)安全、保證企業(yè)的經(jīng)營結果、實現(xiàn)企業(yè)的戰(zhàn)略目標為最終的目的。內部控制是全面風險管理的重要核心內容，而全面風險管理則在內部控制的基礎上升華擴散。概括的說，內部控制使得企業(yè)的日常經(jīng)營管理流程更加規(guī)范、財務管理真正的有效實施，與此同時企業(yè)內部的規(guī)范性操作流程、財務管理控制也正是全面風險管理在企業(yè)實施的基本條件。第三篇：淺析全面風險管理與內部控制的關系淺析全面風險管理與內部控制的關系一、內部控制和全面風險管理在COSO框架中的定義現(xiàn)代理論界對內部控制的定義各不相同，但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制的定義。COSO于2004 年發(fā)布了《企業(yè)風險管理——整合框架》，在該框架的附錄C中指出，“內部控制被涵蓋在企業(yè)風險管理之內，是其不可分割的一部分”。該組織認為：企業(yè)內部控制是由企業(yè)董事會、經(jīng)理層以及其他員工共同實施的，為財務報告的準確性、經(jīng)營活動的效率與效果、相關法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程。在COSO委員會的《內部控制管理框架》中，把內部控制活動分成五大組成部分，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)督評審。在多年的管理實踐中，人們意識到一個企業(yè)內部不同部門或不同業(yè)務的風險，有的會相互疊加放大，有的則相互抵消減少。因此，風險的考慮不能僅僅從某項業(yè)務、某個部門的角度出發(fā)，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險，即要實行全面風險管理。依據(jù)COSO委員會 2003年7月完成的《全面風險管理框架》定義：企業(yè)風險管理是一個過程，是由企業(yè)的董事會、管理層以及其他人員共同實施的，應用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。該框架有三個維度，第一維是企業(yè)的目標；第二維是全面風險管理要素；第三維是企業(yè)的各個層級。第一維企業(yè)的目標有4個，即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第二維全面風險管理要素有8個，即內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。第三個維度是企業(yè)的各個層級，包括整個企業(yè)、各職能部門、各條業(yè)務線及下屬各子公司?！度骘L險管理框架》三個維度的關系是：全面風險管理的8個要素都是為企業(yè)的四個目標服務的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上8個方面進行風險管理。二、內部控制與全面風險管理的聯(lián)系。COSO2003年7月公布了全面風險管理框架的征求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統(tǒng)。全面風險管理除包括內部控制的3個目標之外，還增加了戰(zhàn)略目標；全面風險管理的8個要素除了包括內部控制的全部5個要素之外，還增加了目標設定、事件識別和風險對策3個要素。從時間先后和內容上來看，全面風險管理是對內部控制的拓展和延伸。內部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務流程之中的風險，內控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統(tǒng)也是國內外許多法律法規(guī)的合規(guī)要求。因此，滿足內部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。內部控制是風險管理的重要手段體現(xiàn)在以下三個方面：第一，采用內部控制措施可以處理大部分風險。就一般工業(yè)企業(yè)而言，除采取保險等措施外，大部分風險都可以通過采取內部控制措施來解決，而這也正是我們所熟悉的，如內部牽制措施、預算控制、實物控制、運營分析等。如果主要通過外包方案或者外部的其他力量來解決風險，其比采用內部控制控制措施的成本會高很多。第二，可以采取內部控制和其他措施聯(lián)合解決的部分風險。內部控制措施可能只能在一定程度上解決某項具體風險，或者說僅采用內部控制措施還不能使風險保持在可以承受的范圍內，因此必須協(xié)同其他措施進行聯(lián)合管理，如外匯風險、被收購的風險、稅務風險等，以稅務風險為例，企業(yè)聘請中介機構代為申報納稅，或者由中介機構對企業(yè)稅務申報情況出具審核報告，從而減少稅務合規(guī)性風險。第三，對于完全采取內部控制以外惡其他措施解決的風險在實務中非常少見。三、內部控制與全面風險管理的差異。內部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現(xiàn)其自身的目標；而全面風險管理則貫穿于管理過程的各個方面，控制的手段不僅體現(xiàn)在事中和事后的控制，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內部控制。全面風險管理的一系列具體活動并不都是內部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者最明顯的差異在于內部控制不負責企業(yè)經(jīng)營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當中的風險進行評估。在COSO委員會的全面風險管理框架中，把風險明確定義為“對企業(yè)的目標產(chǎn)生負面影響的事件發(fā)生的可能性”（將產(chǎn)生正面影響的事件視為機會），將風險與機會區(qū)分開來；而在COSO委員會的內部控制框架中，沒有區(qū)分風險和機會。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，增長、風險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風險信息支持業(yè)務前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風險管理的4項目標。這些內容都是內部控制框架中沒有的，也是其所不能做到的。，全面風險管理在范圍與內容上的擴大簡單地看，相對于內部控制框架而言，新的COSO報告新增加了一個觀念、一個目標、兩個概念和三個要素，即“風險組合觀”、“戰(zhàn)略目標”、“風險偏好”和“風險容忍度”的概念以及“目標制定”、“事項識別”和“風險反應”要素。對應風險管理的需要，新框架還要求企業(yè)設立一個新的部門——風險管理部。新的風險管理框架比起內部控制框架，無論在內容還是范圍上都有所擴大和提高，具體表現(xiàn)在：―風險組合觀在單獨考慮如何實現(xiàn)企業(yè)各個目標的過程中，企業(yè)風險管理框架更看重風險因素。除單獨考慮各個風險因素之外，更有必要從總體的、組合的角度理解風險。企業(yè)風險管理要求企業(yè)管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施使企業(yè)所承擔的風險在風險偏好的范圍內。對企業(yè)內每個單位而言，其風險可能落在該單位的風險容忍度范圍內，但從企業(yè)總體來看，總風險可以超過企業(yè)總體的風險偏好范圍。因此，應從企業(yè)總體的風險組合的觀點看待風險。2．增加一類目標—戰(zhàn)略目標，并擴大了報告目標的范疇內部控制框架將企業(yè)的目標分為三類――經(jīng)營、財務報告和合法性目標。企業(yè)風險管理框架也包含三個類似的目標，但是其中只有兩個目標與內部控制框架中的定義相同，財務報告目標的界定則有所區(qū)別。內部控制框架中的財務報告目標只與公開披露的財務報表的可靠性相關，而企業(yè)風險管理框架中的報告目標的范圍有很大的擴展，該目標覆蓋了企業(yè)編制的所有報告，既包括內部報告，也包括外部報告；既包括企業(yè)內部管理者使用的報告，也包括向外部提供的報告；既包括法定報告，也包括向其他利益相關者年的非法定報告；既包括財務信息，也包括非財務信息。此外，企業(yè)風險管理框架比內部控制框架增加了一個目標——戰(zhàn)略目標。該目標的層次比其他三個目標更高。戰(zhàn)略目標來源于企業(yè)的任務或對未來的預期，經(jīng)營、報告和合法目標都與其相關。企業(yè)的風險管理在應用于實現(xiàn)企業(yè)其他三類目標的過程中，也應用于企業(yè)的戰(zhàn)略制定階段。3．針對風險度量提出兩個新概念—風險偏好和風險容忍度風險管理框架是針對企業(yè)目標實現(xiàn)過程中所面臨的風險，對企業(yè)風險管理提出風險偏好和風險容忍度兩個概念。從廣義上看，風險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險的數(shù)量。一般從定性的角度將風險偏好分為風險喜好、風險中性和風險厭惡三種類型。此外，企業(yè)也可以采用定量的方法對風險偏好進行衡量，反映企業(yè)的目標、收益與風險之間的關系并進行權衡。企業(yè)的風險偏好與企業(yè)的戰(zhàn)略直接相關，企業(yè)在制定戰(zhàn)略時，應考慮將該戰(zhàn)略的既定收益與企業(yè)的風險偏好結合起來。不同的戰(zhàn)略給企業(yè)帶來的風險也不同，在企業(yè)戰(zhàn)略制定階段就進行風險管理，就是要幫助企業(yè)的管理者在不同戰(zhàn)略間選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。風險偏好的概念是建立在風險容忍度概念基礎上的。風險容忍度是指在企業(yè)目標實現(xiàn)的過程中對差異的可接受程度，是企業(yè)在風險偏好的基礎上設定的對相關目標實現(xiàn)過程中所出現(xiàn)的差異的可容忍限度。在確定各目標的風險容忍度時，企業(yè)應考慮相關目標的重要性，并將其與企業(yè)風險偏好聯(lián)系起來。將風險控制在風險容忍度之內能夠在更大程度上保證企業(yè)的風險被控制在風險偏好的范圍內，也就能夠從更高程度上保證企業(yè)目標的實現(xiàn)。4．增加了三個風險管理要素，對其他要素的分析更加深入，范圍上也有所擴大企業(yè)風險管理框架新增了三個風險管理要素——“目標制定”、“事項識別”和“風險反應”。此外，針對企業(yè)將管理的重心移至風險管理，風險管理框架更加深入地闡述了其他要素的內涵，并擴大了相關要素的范圍。（1）目標制定:在風險管理框架中，由于要針對不同的目標分析其相應的風險，因此目標的制定自然就成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。（2）事項識別:企業(yè)風險管理和內部控制框架都承認風險來自于企業(yè)內、外部各種因素，而且可能在企業(yè)的各個層面上出現(xiàn)，并且應根據(jù)對實現(xiàn)企業(yè)目標的潛在影響來確認風險。但是，企業(yè)風險管理框架深入探討了潛在事項的概念，認為潛在事項是指來自于企業(yè)內部和外部資源的，可能影響企業(yè)戰(zhàn)略的執(zhí)行和目標的實現(xiàn)的一件或者一系列偶發(fā)事項。存在潛在的積極影響的事項代表機遇，而存在潛在負面影響的事項則稱為風險。企業(yè)風險管理框架采用一系列技術來識別有關事項并考慮有關事項的起因，對企業(yè)過去和未來的潛在事項以及事項的發(fā)生趨勢進行計量。（3）風險反應:企業(yè)風險管理框架提出對風險的四種反應方案――規(guī)避、減少、共擔和接受風險。作為風險管理的一部分，管理者應比較不同