1、全面風險管理與內部控制的關系摘要：內部控制是企業全面風險管理的基礎，同時內部控制也是全面風險管理 不可或缺的重要組成部分。內部控制與全面風險管理之間既存在著聯系又有所不 同，為了使企業能充分發揮內部控制和全面風險管理的作用，應該對兩者之間的關系有清楚的認識。本文主要介紹了全面風險管理和內部控制， 以及二者之間的 關系。關鍵詞:全面風險管理；內部控制；關系（一）內部控制內部控制是指企業為了合理保證財務報告的可靠性、經營的效率和效果以及 對法律法規的遵守，由治理層、管理層和其他人員設計和執行的政策和程序。關于內部控制的定義，COS（委員會經過相對較長時間的研究，于1992年發布了內 部控制整體框架

2、，1994年形成正式文稿。內部控制整體框架認 為內部控制是為實現企業經營效率和效果、財務報告的可信性及相關法令的遵循 等企業目標而提供合理保證的過程。 內部控制的實施者為企業董事會、 經理層和 其他員工。內部控制是整個企業設計的系統，不是為了某個人或某個層級的人提 出來的專門針對某個人或某個層級的人的制度。沒有人能脫離這一系統而獨立運 作。管理層、董事會、內部審計和其他員工都應該對內部控制承擔責任。內部控制目標有三點，一是財務報告的可靠性。企業決策層要想在瞬息萬變 的市場競爭中有效地管理經營企業， 就必須及時掌握各種信息，以確保決策的正 確性，并可以通過控制手段盡量提高所獲信息的準確性和真實性

3、。因此，建立內部控制系統可以提高會計信息的正確性和可靠性。 二是經營的效果和效率。內部 控制系統通過確定職責分工，嚴格各種手續、制度、工藝流程、審批程序、檢查 監督手段等可以有效地控制本單位生產和經營活動順利進行、防止出現偏差， 糾正失誤和弊端，保證實現單位的經營目標。三是合規性。企業決策層不但要制 定管理經營方針、政策、制度，而且要狠抓貫徹執行。內部控制則可以通過袱定 辦法，審核批準，監督檢查等手段促使全體職工貫徹和執行既定的方針、政策和制度，同時，可以促使企業領導和有關人員執行國家的方針、政策在遵守國家 法規紀律的前提下認真貫徹企業的既定方針。企業建立與實施有效的內部控制，應當包括下列要素

4、：一是內部環境。內部環境是企業實施內部控制的基礎，一般包括治理結構、 機構設置及權責分配、內部審計、人力資源政策、企業文化等。二是風險評估。風險評估是企業及時識別、系統分析經營活動中與實現內 部控制目標相關的風險，合理確定風險應對策略。三是控制活動。控制活動是企業根據風險評估結果，采用相應的控制措施， 將風險控制在可承受度之內。四是信息與溝通。信息與溝通是企業及時、準確地收集、傳遞與內部控制 相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。五是內部監督。內部監督是企業對內部控制建立與實施情況進行監督檢查， 評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。（二）全面風險管理

5、所謂全面風險管理，是指企業圍繞總體經營目標，通過在企業管理的各個 環節和經營過程中執行風險管理的基本流程， 培育良好的風險管理文化，建立健 全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能 體系、風險管理信息系統和內部控制系統， 從而為實現風險管理的總體目標提供 合理保證的過程和方法。2004年COS委員會發布企業風險管理一一整合框架。企業風險管理整 合框架認為“企業風險管理是一個過程，它由一個主體的董事會、管理當局和其 他人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛 在事項，管理風險以使其在該主體的風險容量之內， 并為主體目標的實現提供合 理保證

6、。”該框架拓展了內部控制，更有力、更廣泛地關注于企業風險管理這一 更加寬泛的領域。全面風險管理框架包括了八個要素：一是內部環境。管理當局確立關于風險的理念， 并確定風險容量。所有企業 的核心都是人（他們的個人品性，包括誠信、道德價值觀和勝任能力）以及經營所 處的環境，內部環境為王體中的人們如何看待風險和著手控制風險確立了基礎。二是目標設定。必須先有目標，管理當局才能識別影響目標實現的潛在事項。 企業風險管理確保管理當局采取恰當的程序去設定目標， 并保證選定的目標支持 主體的使命并與其相銜接，以及與它的風險容量相適應。三是事項識別。必須識別可能對主體產生影響的潛在事項，包括表示風險 的事項和表示

7、機會的事項，以及可能二者兼有的事項。機會被追溯到管理當局的 戰略或目標制定過程。四是風險評估。要對識別的風險進行分析，以便確定管理的依據。風險與 可能被影響的目標相關聯。既要對固有風險進行評估，也要對剩余風險進行評估， 評估要考慮到風險的可能性和影響。五是風險應對。員工識別和評價可能的風險應對措施，包括回避、承擔、 降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量 相適應。六是控制活動。制定和實施政策與程序以確保管理當局所選擇的風險應對 策略得以有效實施。七是信息與溝通。主體的各個層級都需要借助信息來識別、評估和應對風 險。廣泛意義的有效溝通包括信息在主體中向下、平行和向

8、上流動。八是監控。整個企業風險管理處于監控之下，必要時還會進行修正。這種方 式能夠動態地反應風險管理狀況， 并使之根據條件的要求而變化。監控通過持續 的管理活動、對企業風險管理的單獨評價或者兩者的結合來完成。（三）全面風險管理與內部控制的關系談到風險管理，則一定會提到企業內部控制。在實踐中有很多企業不能真正 理解全面風險管理與內部控制的區別和聯系， 要么將兩者完全隔離開來，要么只 是簡單地將它們等同起來。其實，兩者之間既有區別又有聯系。全面風險管理與內部控制的聯系：一是全面風險管理涵蓋了內部控制。 cos框架中明確地指出全面風險管理 體系框架包括內部控制，將之作為一個子系統。二是內部控制是全面

9、風險管理的必要環節。內部控制的動力來自企業對風 險的認識和管理，對于企業所面臨的大部分運營風險，或者說對于在企業的所有 業務流程之中的風險，內控系統是必要的、高效的和有效的風險管理方法。同時， 維持充分的內控系統也是國內外許多法律法規的合規要求。因此，滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。全面風險管理與內部控制的區別：一是兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事后 和事中的控制來實現其目標，而全面風險管理則貫穿于管理過程的各個階段， 覆 蓋了各個不同的環節，更重要的是在事前就對風險有了一定的預見性的考慮。而且，全面風險管理所要達到的目標多于內部控制

10、。二是兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控 制要做的。全面風險管理包含了選擇風險評估方法、 制定風險管理目標、制定相 關戰略、報告程序及聘用管理人員等多個環節， 而內部控制主要負責的是風險管 理過程中間及其以后的重要活動，例如對風險的評估和，對財務報告的評估，信 息與交流活動的監督，對操作流程的不規范進行糾正等等。兩者最大的差別在于 內部控制不負責企業經營目標的具體設立， 而只是對目標的制定過程進行監控和 評價，尤其是對目標制定中的風險進行評估。三是兩者對風險的管理不一致。全面風險管理框架包括了風險偏好、風險 對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上， 促使企業發展戰略向風險偏好靠攏，根據資金投入、經營風險與利潤回報之間的 聯系，進行經濟資本分配，幫助管理層實現全面風險管理的目標。 這些功能都是 內部控制框架能力范圍之外的。從目前企業的管理發展趨勢來看，企業的全面風險管理與內部控制管理已 經交集密切，互相密不可分。通過上面的描述，我們可以看出，全面風險管理及 內部控制實際上都是以