【正文】 第一篇：全面風險管理與內部控制的關系全面風險管理與內部控制的關系摘 要：內部控制是企業(yè)全面風險管理的基礎，同時內部控制也是全面風險管理不可或缺的重要組成部分。內部控制與全面風險管理之間既存在著聯(lián)系又有所不同，為了使企業(yè)能充分發(fā)揮內部控制和全面風險管理的作用，應該對兩者之間的關系有清楚的認識。本文主要介紹了全面風險管理和內部控制，以及二者之間的關系。關鍵詞：全面風險管理；內部控制；關系（一）內部控制內部控制是指企業(yè)為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規(guī)的遵守，由治理層、管理層和其他人員設計和執(zhí)行的政策和程序。關于內部控制的定義，COSO委員會經過相對較長時間的研究，于1992年發(fā)布了《內部控制——整體框架》，1994年形成正式文稿?！秲炔靠刂啤w框架》認為內部控制是為實現(xiàn)企業(yè)經營效率和效果、財務報告的可信性及相關法令的遵循等企業(yè)目標而提供合理保證的過程。內部控制的實施者為企業(yè)董事會、經理層和其他員工。內部控制是整個企業(yè)設計的系統(tǒng)，不是為了某個人或某個層級的人提出來的專門針對某個人或某個層級的人的制度。沒有人能脫離這一系統(tǒng)而獨立運作。管理層、董事會、內部審計和其他員工都應該對內部控制承擔責任。內部控制目標有三點，一是財務報告的可靠性。企業(yè)決策層要想在瞬息萬變的市場競爭中有效地管理經營企業(yè)，就必須及時掌握各種信息，以確保決策的正確性，并可以通過控制手段盡量提高所獲信息的準確性和真實性。因此，建立內部控制系統(tǒng)可以提高會計信息的正確性和可靠性。二是經營的效果和效率。內部控制系統(tǒng)通過確定職責分工，嚴格各種手續(xù)、制度、工藝流程、審批程序、檢查監(jiān)督手段等．可以有效地控制本單位生產和經營活動順利進行、防止出現(xiàn)偏差，糾正失誤和弊端，保證實現(xiàn)單位的經營目標。三是合規(guī)性。企業(yè)決策層不但要制定管理經營方針、政策、制度，而且要狠抓貫徹執(zhí)行。內部控制則可以通過袱定辦法，審核批準，監(jiān)督檢查等手段促使全體職工貫徹和執(zhí)行既定的方針、政策和制度，同時，可以促使企業(yè)領導和有關人員執(zhí)行國家的方針、政策．在遵守國家法規(guī)紀律的前提下認真貫徹企業(yè)的既定方針。企業(yè)建立與實施有效的內部控制，應當包括下列要素：一是內部環(huán)境。內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。二是風險評估。風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，合理確定風險應對策略。三是控制活動。控制活動是企業(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。四是信息與溝通。信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。五是內部監(jiān)督。內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。（二）全面風險管理所謂全面風險管理，是指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。2004年COSO委員會發(fā)布《企業(yè)風險管理——整合框架》。企業(yè)風險管理整合框架認為“企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現(xiàn)提供合理保證?！痹摽蚣芡卣沽藘炔靠刂?，更有力、更廣泛地關注于企業(yè)風險管理這一更加寬泛的領域。全面風險管理框架包括了八個要素：一是內部環(huán)境。管理當局確立關于風險的理念，并確定風險容量。所有企業(yè)的核心都是人(他們的個人品性，包括誠信、道德價值觀和勝任能力)以及經營所處的環(huán)境,內部環(huán)境為主體中的人們如何看待風險和著手控制風險確立了基礎。二是目標設定。必須先有目標，管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取恰當?shù)某绦蛉ピO定目標，并保證選定的目標支持主體的使命并與其相銜接，以及與它的風險容量相適應。三是事項識別。必須識別可能對主體產生影響的潛在事項，包括表示風險的事項和表示機會的事項，以及可能二者兼有的事項。機會被追溯到管理當局的戰(zhàn)略或目標制定過程。四是風險評估。要對識別的風險進行分析，以便確定管理的依據(jù)。風險與可能被影響的目標相關聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。五是風險應對。員工識別和評價可能的風險應對措施，包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應。六是控制活動。制定和實施政策與程序以確保管理當局所選擇的風險應對策略得以有效實施。七是信息與溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。八是監(jiān)控。整個企業(yè)風險管理處于監(jiān)控之下,必要時還會進行修正。這種方式能夠動態(tài)地反應風險管理狀況，并使之根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風險管理的單獨評價或者兩者的結合來完成。（三）全面風險管理與內部控制的關系談到風險管理，則一定會提到企業(yè)內部控制。在實踐中有很多企業(yè)不能真正理解全面風險管理與內部控制的區(qū)別和聯(lián)系，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。其實，兩者之間既有區(qū)別又有聯(lián)系。全面風險管理與內部控制的聯(lián)系：一是全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內部控制，將之作為一個子系統(tǒng)。二是內部控制是全面風險管理的必要環(huán)節(jié)。內部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務流程之中的風險，內控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統(tǒng)也是國內外許多法律法規(guī)的合規(guī)要求。因此，滿足內部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。全面風險管理與內部控制的區(qū)別：一是兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事后和事中的控制來實現(xiàn)其目標，而全面風險管理則貫穿于管理過程的各個階段，覆蓋了各個不同的環(huán)節(jié)，更重要的是在事前就對風險有了一定的預見性的考慮。而且，全面風險管理所要達到的目標多于內部控制。二是兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關戰(zhàn)略、報告程序及聘用管理人員等多個環(huán)節(jié)，而內部控制主要負責的是風險管理過程中間及其以后的重要活動，例如對風險的評估和，對財務報告的評估，信息與交流活動的監(jiān)督，對操作流程的不規(guī)范進行糾正等等。兩者最大的差別在于內部控制不負責企業(yè)經營目標的具體設立，而只是對目標的制定過程進行監(jiān)控和評價，尤其是對目標制定中的風險進行評估。三是兩者對風險的管理不一致。全面風險管理框架包括了風險偏好、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，促使企業(yè)發(fā)展戰(zhàn)略向風險偏好靠攏，根據(jù)資金投入、經營風險與利潤回報之間的聯(lián)系，進行經濟資本分配，幫助管理層實現(xiàn)全面風險管理的目標。這些功能都是內部控制框架能力范圍之外的。從目前企業(yè)的管理發(fā)展趨勢來看，企業(yè)的全面風險管理與內部控制管理已經交集密切，互相密不可分。通過上面的描述，我們可以看出，全面風險管理及內部控制實際上都是以保護企業(yè)的財產安全、保證企業(yè)的經營結果、實現(xiàn)企業(yè)的戰(zhàn)略目標為最終的目的。內部控制是全面風險管理的重要核心內容，而全面風險管理則在內部控制的基礎上升華擴散。概括的說，內部控制使得企業(yè)的日常經營管理流程更加規(guī)范、財務管理真正的有效實施，與此同時企業(yè)內部的規(guī)范性操作流程、財務管理控制也正是全面風險管理在企業(yè)實施的基本條件。第二篇：淺析全面風險管理與內部控制的關系淺析全面風險管理與內部控制的關系一、內部控制和全面風險管理在COSO框架中的定義現(xiàn)代理論界對內部控制的定義各不相同，但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制的定義。COSO于2004 年發(fā)布了《企業(yè)風險管理——整合框架》，在該框架的附錄C中指出，“內部控制被涵蓋在企業(yè)風險管理之內，是其不可分割的一部分”。該組織認為：企業(yè)內部控制是由企業(yè)董事會、經理層以及其他員工共同實施的，為財務報告的準確性、經營活動的效率與效果、相關法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程。在COSO委員會的《內部控制管理框架》中，把內部控制活動分成五大組成部分，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)督評審。在多年的管理實踐中，人們意識到一個企業(yè)內部不同部門或不同業(yè)務的風險，有的會相互疊加放大，有的則相互抵消減少。因此，風險的考慮不能僅僅從某項業(yè)務、某個部門的角度出發(fā)，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險，即要實行全面風險管理。依據(jù)COSO委員會 2003年7月完成的《全面風險管理框架》定義：企業(yè)風險管理是一個過程，是由企業(yè)的董事會、管理層以及其他人員共同實施的，應用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。該框架有三個維度，第一維是企業(yè)的目標；第二維是全面風險管理要素；第三維是企業(yè)的各個層級。第一維企業(yè)的目標有4個，即戰(zhàn)略目標、經營目標、報告目標和合規(guī)目標。第二維全面風險管理要素有8個，即內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。第三個維度是企業(yè)的各個層級，包括整個企業(yè)、各職能部門、各條業(yè)務線及下屬各子公司?！度骘L險管理框架》三個維度的關系是：全面風險管理的8個要素都是為企業(yè)的四個目標服務的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上8個方面進行風險管理。二、內部控制與全面風險管理的聯(lián)系。COSO2003年7月公布了全面風險管