內部控制與風險管理大華德律會計師事務所程銀春

二〇〇九年三月內部控制與風險管理大華德律會計師事務所程銀春1一、全球內部控制制度的標準和立法1985年美國為了遏制日益猖獗的會計舞弊活動，成立了一個反財務舞弊委員會，調查導致會計舞弊活動的原因，并提出了解決方案。該方案強調了內部控制的重要性，建議要求所有的上市公司都應該在其年報中提供內部控制報告。報告內容包括承認管理當局對財務報告和內部控制負有責任，并討論這些責任的履行情況，在反財務舞弊委員會結束其使命以后，該委員會的五個發起組織聯合成立了一個新的委員會——反財務舞弊委員會的發起組織委員會（簡稱COSO）。它由美國公共注冊會計師協會、美國會計協會、國際會計協會、國際財務管理人員協會、內部審計協會、國際會計協會聯合發起。COSO繼續研究并于1992年發布了一份關于內部控制的綱領性文件，即《內部控制—整體框架》。COSO提出的報告得到了美國聯邦儲備局、美國證券交易委員會、巴塞爾委員會等監管機構或國際組織的認可與采納，其中的許多定義、建議及思想被吸收到立法與規則的制定中，在全世界范圍內產生了廣泛影響。一、全球內部控制制度的標準和立法1985年美國為2一、全球內部控制制度的標準和立法2001年年底以來，美國爆發了以安然、世通、施樂等公司財務舞弊案為代表的會計丑聞，重創了美國資本市場和經濟，同時也集中暴露了美國公司在內部控制上存在的問題。美國國會和政府加速通過了《薩班斯法案》（簡稱SOX法案）。該法案對美國《1933年證券法》、《1934年證券交易法》作了不少修改，在會計職業監管、公司治理、證券市場監管等方面作出了許多新的規定。美國總統布什在簽署“SOX法案”的新聞發布會上稱“這是自羅斯福總統以來美國商業界影響最為深遠的改革法案”。一、全球內部控制制度的標準和立法2001年年底以3二、國內內部控制制度的建設

在國內，銀廣廈、中航油、藍天股份等內部控制失敗的案例同樣令人觸目驚心，越來越多的業內人士認識到企業自身的內部控制制度、監督管理系統的有效性是防范舞弊行為的關鍵。在全球提高公司透明度、重新審視公司治理結構的風暴中，對于國內企業來說，借鑒國際通用的內部控制框架及國際最佳實踐經驗，構建一套系統化、標準化、可審計、可持續改進的內部控制系統已經迫在眉睫：1、2000年中國證監會發布《公開發行證券公司信息披露編報規則》1、3、5號；2、2001年1月，證監會發布《證券公司內部控制指引》；3、2001年6月22日，財政部發布《內部會計控制規范——基本規范》（試行）和《內部會計控制規范——貨幣資金》（試行）；4、2001年10月證監會發布《關于做好證券公司內部控制評審工作的通知》；二、國內內部控制制度的建設在國內，銀廣廈、中航油、4二、國內內部控制制度的建設5、2002年財政部發布獨立審計實務公告《內部控制審核》；6、2002年2月中國注冊會計師協會發布《內部控制審核指導意見》；7、2004年8月銀監會《商業銀行內部控制評價試行辦法》；8、2005年4月1日國資委《關于在國有重點企業加強法律風險防范的倡議書》；9、2005年11月，證監會發布《關于提高上市公司質量的意見》；10、2006年1月，證監會發布《證券公司風險控制指標管理辦法》；11、2006年2月，中國注冊會計師協會發布《中國注冊會計師執業準則》；12、2006年6月，上海證券交易所發布《上海證券交易所上市公司內部控制指引》；13、2006年6月，國資委《中央企業全面風險管理指引》；二、國內內部控制制度的建設5、2002年財政部發布獨立審計實5二、國內內部控制制度的建設14、2007年3月，財政部印發《企業內部控制規范——基本規范》和17項具體規范（征求意見稿）；15、2008年6月，財政部、證監會、審計署、銀監會和保監會聯合發布《企業內部控制基本規范》，同時還發布《企業內部控制應用指引》和《企業內部控制評價指引》征求意見稿。二、國內內部控制制度的建設14、2007年3月，財政部印發《6三、企業的風險管理（一）企業風險的概念企業風險，指未來的不確定性對企業實現其經營目標的影響。（二）企業風險的類型1、戰略風險①宏觀經濟政策和經濟運行情況、本行業狀況、產業政策②科技進步、技術創新③市場或服務需求④戰略合作⑤客戶、供應商及主要競爭對手⑥經營發展戰略計劃的制定依據、投融資計劃、經營目標三、企業的風險管理（一）企業風險的概念7三、企業的風險管理2、財務風險①負債及償債能力②現金流及資金周轉情況③流動資產的占用及企業信用能力④預算支出情況⑤盈利能力⑥主要會計政策⑦財務核算內部控制的薄弱環節三、企業的風險管理2、財務風險8三、企業的風險管理3、市場風險①產品或服務的價格及供求關系②能源及主要原材料的供應、價格變化③主要客戶及供應商的企業信用狀況變化④稅收政策、匯率變化⑤市場占有率變化及替代品影響4、運營風險①產品結構及新產品開發②營銷策略及新市場開發③企業的管理架構及管理層能力三、企業的風險管理3、市場風險9三、企業的風險管理④管理環節的內控薄弱環節⑤道德風險⑥監督和提交、改善管理的能力5、法律風險①政治、法律環境②新法律法規及政策③員工的素質及道德觀念④重大協議或承諾⑤法律糾紛⑥知識產權三、企業的風險管理④管理環節的內控薄弱環節10三、企業的風險管理（三）企業的全面風險管理1、企業的全面風險管理的概念指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。三、企業的風險管理（三）企業的全面風險管理11三、企業的風險管理2、風險管理的基本流程①收集風險管理的初始信息；②進行風險評估；③制定風險管理策略；④提出和實施風險管理解決方案；⑤風險管理的監督和改進。三、企業的風險管理2、風險管理的基本流程12四、內部控制與風險管理的比較內部控制與風險管理有著密切聯系，內部控制是風險管理的一部分。權威的有關企業風險管理的相關標準為美國COSO于2003年出臺的《企業風險管理框架》。COSO對內部控制與風險管理的定義及其組成要素分別是：內部控制：企業內部控制是由企業董事會、經理層以及其他員工共同實施的，為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。它包括五個方面的組成要素：控制環境、風險評估、控制活動、信息與溝通、監督。風險管理：企業風險管理是一個過程，是由企業的董事會、管理層以及其他人員共同實施的，應用于戰略制定及企業各個層次的活動，旨在識別可能影響企業的各種潛在事件，并按照企業的風險偏好管理風險，為企業目標的實現提供合理的保證。它有八個組成要素：內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。四、內部控制與風險管理的比較內部控制與風險管理有著13四、內部控制與風險管理的比較從COSO的兩份報告來看，企業風險管理與內部控制有以下相似或不同之處：第一，它們都是由“企業董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。第二，它們都明確是一個“過程”，不能當作某種靜態的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置于企業日常管理過程中，作為一種常規運行的機制來建設。第三，它們都是為企業目標的實現提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發布的非財務類報告準確可靠。另外，風險管理增加了戰略目標，即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果，而且介入了企業戰略（包括經營目標）制定過程。四、內部控制與風險管理的比較從COSO的兩份報告來14四、內部控制與風險管理的比較第四，風險管理與內部控制的組成要素有五個方面是重合的，即（控制或內部）環境、風險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中，內涵也有所擴展，例如，內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外，還包括風險管理哲學、風險偏好（riskappetite）和風險文化三個新內容。在風險評估要素中，風險管理要求考慮內在風險與剩余風險，以期望值、最壞情形值或概率分布度量風險，考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面，風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理，規定了信息的深度與及時性等。四、內部控制與風險管理的比較第四，風險管理與內部15四、內部控制與風險管理的比較第五，風險管理提出了風險組合與整體風險管理（integratedriskmanagement）的新觀念。《企業風險管理框架》借用現代金融理論中的資產組合理論，提出了風險組合與整體管理的觀念，要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露，以統籌考慮風險對策，防止分部門分散考慮與應對風險，如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門，并考慮到風險事件之間的交互影響，防止兩種傾向：一是部門的風險處于風險偏好可承受能力之內，但總體效果可能超出企業的承受限度，因為個別風險的影響并不總是相加的，有可能是相乘的；二是個別部門的風險暴露超過其限度，但總體風險水平還沒超出企業的承受范圍，因為事件的影響有時有抵消的效果。此時，還有進一步承受風險，爭取更高回報與成長的空間。按照風險組合與整體管理的觀點，需要統一考慮風險事件之間以及風險對策之間的交互影響，統籌制定風險管理方案。四、內部控制與風險管理的比較第五，風險管理提出了16五、內部控制與風險管理的內在聯系

企業制度的發展演進與風險相關。有限責任制度的確立是企業組織從業主制或合伙制走向現代股份公司制的關鍵步驟，它使股東的家產與企業的財產及企業的經濟責任相互獨立，股東的變換不再影響企業的信用能力，為股權交易擴大了范圍并增加了流動性，從而降低了投資風險并促進了企業融資，造就了今天巨型的股份公司。為了使股權交易與股東變換不影響企業經營的連續性，也為了使資本與經營能力實現更優的組合，企業的所有權與經營權在現代企業中高度分離開來，由此也帶來了新的風險，即職業經營者有可能不履行其受托責任而損害股東的利益。另外，有限責任也有可能誘使企業從事風險過高的項目而損害債權人利益。因為在有限責任下，潛在的收益主要由企業（股東）獲得，而失敗即破產的風險則主要由債權人承擔。上述風險不是市場化的，可以由市場競爭自發約束或市場交易提供避險，如產品質量或自然災害等，但是機制問題，屬于組織或交易中的代理問題，需要規則與制度進行規范。這些制度包括企業治理中的責任制度，如財務報告、內部控制及審計等。五、內部控制與風險管理的內在聯系企業17五、內部控制與風險管理的內在聯系內部控制或風險管理的根本作用都是維護投資者利益、保全企業資產,并創造新的價值。從理論上說,企業的內部控制是企業制度的組成部分,是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經營層操縱報表與欺詐,保護公司的財產安全,遵守法律以維護公司的名譽以及避免招致經濟損失等。內部控制的歷史起源更早,其要求更為基本,更容易或適合上升到立法層次。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。C0SO在《企業風險管理框架》中談到風險管理的意義時是這樣論述的:“企業風險管理應用于戰略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增長及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別管理風險,五、內部控制與風險管理的內在聯系內部控制或風險管18五、內部控制與風險管理的內在聯系

為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化。”“風險”是指個人或組織在作出選擇后遭受不利后果的可能性。風險正是機會的對應物。顯然,這些已經認識到企業的存在是為股東或利害相關者(針對非盈利性組織等)創造價值的,而價值創造不僅是被動的資產安全等,還應包括機會的利用。另外,對股東價值的威脅也不僅來自經營者會計舞弊等內部因素,還包括來自市場的風險等。

五、內部控制與風險管理的內在聯系為多種風險提供整體的對19五、內部控制與風險管理的內在聯系技術及市場條件的新進展，推動了內部控制走向風險管理。在先進的信息技術條件下，會計記錄實現了電子控制、實時更新，使傳統的查錯與防弊的會計控制顯得過時。然而，風險往往是由交易或組織創新造成的，這些創新來源于新興的市場實踐，如安然公司將能源交易大量發展成類似金融衍生品的交易。另一方面，環境保護及消費者權益保護的加強，都強化了企業的社會責任，若一有不慎，企業就可能遭受來自商品市場或資本市場的懲罰，表現為企業的品牌價值或資本市場上的市值貶損。因此，企業需要一種日常運行的功能與結構來防范風險，包括遵守法律與法規，確保投資者對財務信息的信任以及保證經營效率等。因此，從維護與促進價值創造這一根本功能來看，風險管理與企業內部控制的目標是一致的，只是在新的技術與市場條件下，為了更有效地保護投資者利益，需要在內部控制的基礎上發展更主動、更全面的風險管理。五、內部控制與風險管理的內在聯系技術及市場條件的20六、從內部控制走向風險管理有一種爭論，即風險管理包含內部控制，或內部控制包含風險管理。實際上風險管理與內部控制之間有重合與聯系的地方。誰的范圍更大，可能要隨著時間、技術、市場條件、法律以及監管實踐的發展而不同，例如，在內部控制發展的早期，市場上風險管理的工具與技術條件都不充分（如計算機系統、統計學理論、數量模型、對沖工具與保險等），這時內部控制包含（替代）風險管理功能是很自然的。即使在同一個時代，不同的行業各自的側重點也可能不相同，例如，在監管嚴格的金融業或涉及人民生命健康的制藥與醫療行業，風險管理的迫切性更強，企業以風險管理主導內部控制可能更方便。而在另一些企業，為了符合信息披露中內部控制報告的要求，企業以內部控制系統為主導、兼顧風險管理可能更適合。六、從內部控制走向風險管理有一種爭論，即風險管理21六、從內部控制走向風險管理

正因為內部控制與風險管理有內在的聯系，各國分別以不同的方式逐步將內部控制與風險管理聯系起來。2004年1月8日，我國有關方面舉辦了“商業銀行風險管理與內部控制論壇”，這表明我國銀行業也開始將內部控制與風險管理聯系起來。在實際的經營過程中，風險管理與內部控制是密不可分的。在規則制定或立法過程中，需要考慮的是范圍與管制的強度，范圍越大，管制的要求就會越弱。對于其核心問題，如財務報告的準確可靠，最適合以立法的形式來約束，而其他更寬泛的內容則可能更適合于規則及指南。在企業內部的不同層次，風險管理與內部控制的主導性相對次序也可能不同，例如，從企業的戰略風險依次到經營風險、財務風險，最后到財務報告，風險管理與內部控制的相對重要性應該各有不同。在戰略風險方面，風險管理應該發揮主導作用，內部控制起到配合作用。這一角色逐步逆轉，到財務報告層次，應該是內部控制發揮主導作用，風險管理起到配合作用。六、從內部控制走向風險管理正因為內部控22六、從內部控制走向風險管理盡管風險管理與內部控制有內在的聯系，但現實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較，例如，銀行業的授信管理或市場（價格）風險管理如匯率、利率風險等。典型的內部控制是指會計控制、審計活動等，一般局限于財務相關部門。它們的共同點都是低水平、小范圍，只局限于少數職能部門，并沒有滲透或應用于企業管理過程和整個經營系統，因此，有時看上去風險管理與內部控制還是相互獨立的兩件事。隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。六、從內部控制走向風險管理盡管風險管理與內部控制有23謝謝！謝謝！24內部控制與風險管理大華德律會計師事務所程銀春

二〇〇九年三月內部控制與風險管理大華德律會計師事務所程銀春25一、全球內部控制制度的標準和立法1985年美國為了遏制日益猖獗的會計舞弊活動，成立了一個反財務舞弊委員會，調查導致會計舞弊活動的原因，并提出了解決方案。該方案強調了內部控制的重要性，建議要求所有的上市公司都應該在其年報中提供內部控制報告。報告內容包括承認管理當局對財務報告和內部控制負有責任，并討論這些責任的履行情況，在反財務舞弊委員會結束其使命以后，該委員會的五個發起組織聯合成立了一個新的委員會——反財務舞弊委員會的發起組織委員會（簡稱COSO）。它由美國公共注冊會計師協會、美國會計協會、國際會計協會、國際財務管理人員協會、內部審計協會、國際會計協會聯合發起。COSO繼續研究并于1992年發布了一份關于內部控制的綱領性文件，即《內部控制—整體框架》。COSO提出的報告得到了美國聯邦儲備局、美國證券交易委員會、巴塞爾委員會等監管機構或國際組織的認可與采納，其中的許多定義、建議及思想被吸收到立法與規則的制定中，在全世界范圍內產生了廣泛影響。一、全球內部控制制度的標準和立法1985年美國為26一、全球內部控制制度的標準和立法2001年年底以來，美國爆發了以安然、世通、施樂等公司財務舞弊案為代表的會計丑聞，重創了美國資本市場和經濟，同時也集中暴露了美國公司在內部控制上存在的問題。美國國會和政府加速通過了《薩班斯法案》（簡稱SOX法案）。該法案對美國《1933年證券法》、《1934年證券交易法》作了不少修改，在會計職業監管、公司治理、證券市場監管等方面作出了許多新的規定。美國總統布什在簽署“SOX法案”的新聞發布會上稱“這是自羅斯福總統以來美國商業界影響最為深遠的改革法案”。一、全球內部控制制度的標準和立法2001年年底以27二、國內內部控制制度的建設

在國內，銀廣廈、中航油、藍天股份等內部控制失敗的案例同樣令人觸目驚心，越來越多的業內人士認識到企業自身的內部控制制度、監督管理系統的有效性是防范舞弊行為的關鍵。在全球提高公司透明度、重新審視公司治理結構的風暴中，對于國內企業來說，借鑒國際通用的內部控制框架及國際最佳實踐經驗，構建一套系統化、標準化、可審計、可持續改進的內部控制系統已經迫在眉睫：1、2000年中國證監會發布《公開發行證券公司信息披露編報規則》1、3、5號；2、2001年1月，證監會發布《證券公司內部控制指引》；3、2001年6月22日，財政部發布《內部會計控制規范——基本規范》（試行）和《內部會計控制規范——貨幣資金》（試行）；4、2001年10月證監會發布《關于做好證券公司內部控制評審工作的通知》；二、國內內部控制制度的建設在國內，銀廣廈、中航油、28二、國內內部控制制度的建設5、2002年財政部發布獨立審計實務公告《內部控制審核》；6、2002年2月中國注冊會計師協會發布《內部控制審核指導意見》；7、2004年8月銀監會《商業銀行內部控制評價試行辦法》；8、2005年4月1日國資委《關于在國有重點企業加強法律風險防范的倡議書》；9、2005年11月，證監會發布《關于提高上市公司質量的意見》；10、2006年1月，證監會發布《證券公司風險控制指標管理辦法》；11、2006年2月，中國注冊會計師協會發布《中國注冊會計師執業準則》；12、2006年6月，上海證券交易所發布《上海證券交易所上市公司內部控制指引》；13、2006年6月，國資委《中央企業全面風險管理指引》；二、國內內部控制制度的建設5、2002年財政部發布獨立審計實29二、國內內部控制制度的建設14、2007年3月，財政部印發《企業內部控制規范——基本規范》和17項具體規范（征求意見稿）；15、2008年6月，財政部、證監會、審計署、銀監會和保監會聯合發布《企業內部控制基本規范》，同時還發布《企業內部控制應用指引》和《企業內部控制評價指引》征求意見稿。二、國內內部控制制度的建設14、2007年3月，財政部印發《30三、企業的風險管理（一）企業風險的概念企業風險，指未來的不確定性對企業實現其經營目標的影響。（二）企業風險的類型1、戰略風險①宏觀經濟政策和經濟運行情況、本行業狀況、產業政策②科技進步、技術創新③市場或服務需求④戰略合作⑤客戶、供應商及主要競爭對手⑥經營發展戰略計劃的制定依據、投融資計劃、經營目標三、企業的風險管理（一）企業風險的概念31三、企業的風險管理2、財務風險①負債及償債能力②現金流及資金周轉情況③流動資產的占用及企業信用能力④預算支出情況⑤盈利能力⑥主要會計政策⑦財務核算內部控制的薄弱環節三、企業的風險管理2、財務風險32三、企業的風險管理3、市場風險①產品或服務的價格及供求關系②能源及主要原材料的供應、價格變化③主要客戶及供應商的企業信用狀況變化④稅收政策、匯率變化⑤市場占有率變化及替代品影響4、運營風險①產品結構及新產品開發②營銷策略及新市場開發③企業的管理架構及管理層能力三、企業的風險管理3、市場風險33三、企業的風險管理④管理環節的內控薄弱環節⑤道德風險⑥監督和提交、改善管理的能力5、法律風險①政治、法律環境②新法律法規及政策③員工的素質及道德觀念④重大協議或承諾⑤法律糾紛⑥知識產權三、企業的風險管理④管理環節的內控薄弱環節34三、企業的風險管理（三）企業的全面風險管理1、企業的全面風險管理的概念指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。三、企業的風險管理（三）企業的全面風險管理35三、企業的風險管理2、風險管理的基本流程①收集風險管理的初始信息；②進行風險評估；③制定風險管理策略；④提出和實施風險管理解決方案；⑤風險管理的監督和改進。三、企業的風險管理2、風險管理的基本流程36四、內部控制與風險管理的比較內部控制與風險管理有著密切聯系，內部控制是風險管理的一部分。權威的有關企業風險管理的相關標準為美國COSO于2003年出臺的《企業風險管理框架》。COSO對內部控制與風險管理的定義及其組成要素分別是：內部控制：企業內部控制是由企業董事會、經理層以及其他員工共同實施的，為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。它包括五個方面的組成要素：控制環境、風險評估、控制活動、信息與溝通、監督。風險管理：企業風險管理是一個過程，是由企業的董事會、管理層以及其他人員共同實施的，應用于戰略制定及企業各個層次的活動，旨在識別可能影響企業的各種潛在事件，并按照企業的風險偏好管理風險，為企業目標的實現提供合理的保證。它有八個組成要素：內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。四、內部控制與風險管理的比較內部控制與風險管理有著37四、內部控制與風險管理的比較從COSO的兩份報告來看，企業風險管理與內部控制有以下相似或不同之處：第一，它們都是由“企業董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。第二，它們都明確是一個“過程”，不能當作某種靜態的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置于企業日常管理過程中，作為一種常規運行的機制來建設。第三，它們都是為企業目標的實現提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發布的非財務類報告準確可靠。另外，風險管理增加了戰略目標，即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果，而且介入了企業戰略（包括經營目標）制定過程。四、內部控制與風險管理的比較從COSO的兩份報告來38四、內部控制與風險管理的比較第四，風險管理與內部控制的組成要素有五個方面是重合的，即（控制或內部）環境、風險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中，內涵也有所擴展，例如，內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外，還包括風險管理哲學、風險偏好（riskappetite）和風險文化三個新內容。在風險評估要素中，風險管理要求考慮內在風險與剩余風險，以期望值、最壞情形值或概率分布度量風險，考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面，風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理，規定了信息的深度與及時性等。四、內部控制與風險管理的比較第四，風險管理與內部39四、內部控制與風險管理的比較第五，風險管理提出了風險組合與整體風險管理（integratedriskmanagement）的新觀念。《企業風險管理框架》借用現代金融理論中的資產組合理論，提出了風險組合與整體管理的觀念，要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露，以統籌考慮風險對策，防止分部門分散考慮與應對風險，如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門，并考慮到風險事件之間的交互影響，防止兩種傾向：一是部門的風險處于風險偏好可承受能力之內，但總體效果可能超出企業的承受限度，因為個別風險的影響并不總是相加的，有可能是相乘的；二是個別部門的風險暴露超過其限度，但總體風險水平還沒超出企業的承受范圍，因為事件的影響有時有抵消的效果。此時，還有進一步承受風險，爭取更高回報與成長的空間。按照風險組合與整體管理的觀點，需要統一考慮風險事件之間以及風險對策之間的交互影響，統籌制定風險管理方案。四、內部控制與風險管理的比較第五，風險管理提出了40五、內部控制與風險管理的內在聯系

企業制度的發展演進與風險相關。有限責任制度的確立是企業組織從業主制或合伙制走向現代股份公司制的關鍵步驟，它使股東的家產與企業的財產及企業的經濟責任相互獨立，股東的變換不再影響企業的信用能力，為股權交易擴大了范圍并增加了流動性，從而降低了投資風險并促進了企業融資，造就了今天巨型的股份公司。為了使股權交易與股東變換不影響企業經營的連續性，也為了使資本與經營能力實現更優的組合，企業的所有權與經營權在現代企業中高度分離開來，由此也帶來了新的風險，即職業經營者有可能不履行其受托責任而損害股東的利益。另外，有限責任也有可能誘使企業從事風險過高的項目而損害債權人利益。因為在有限責任下，潛在的收益主要由企業（股東）獲得，而失敗即破產的風險則主要由債權人承擔。上述風險不是市場化的，可以由市場競爭自發約束或市場交易提供避險，如產品質量或自然災害等，但是機制問題，屬于組織或交易中的代理問題，需要規則與制度進行規范。這些制度包括企業治理中的責任制度，如財務報告、內部控制及審計等。五、內部控制與風險管理的內在聯系企業41五、內部控制與風險管理的內在聯系內部控制或風險管理的根本作用都是維護投資者利益、保全企業資產,并創造新的價值。從理論上說,企業的內部控制是企業制度的組成部分,是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經營層操縱報表與欺詐,保護公司的財產安全,遵守法律以維護公司的名譽以及避免招致經濟損失等。內部控制的歷史起源更早,其要求更為基本,更容易或適合上升到立法層次。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。C0SO在《企業風險管理框架》中談到風險管理的意義時是這樣論述的:“企業風險管理應用于戰略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增長及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別管理風險,五、內部控制與風險管理的內在聯系內部控制或風險管42五、內部控制與風險管理的內在聯系

為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化。”“風險”是指個人或組織在作出選擇后遭受不利后果的可能性。風險正是機會的對應物。顯然,這些已經認識到企業的存在是為股東或利害相關者(針對非盈利性組織等)創造價值的,而價值創造不僅是被動的資產安全等,還應包括機會的利用。另外,對股東價值的威脅也不僅來自經營者會計舞弊等內部因素,還包括來自市場的風險等。

五、內部控制與風險管理的內在聯系為多種風險提供整體的對43五、內部控制與風險管理的內在聯系技術及市場條件的新進展，推動了內部控制走向風險管理。在先進的信息技術條件下，會計記錄實現了電子控制、實時更新，使傳統的查錯與防弊的會計控制顯得過時。然而，風險往往是由交易或組織創新造成的，這些創新來源于新興的市場實踐，如