浅析全面风险管理与内部控制的关系.docx

《浅析全面风险管理与内部控制的关系.docx》由会员分享，可在线阅读，更多相关《浅析全面风险管理与内部控制的关系.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、浅析全面风险管理与内部控制的关系 浅析全面风险管理与内部限制的关系 一、内部限制和全面风险管理在COSO框架中的定义 现代理论界对内部限制的定义各不相同，但被普遍接受的定义是国际权威机构美国的COSO委员会对内部限制的定义。COSO于2004 年发布了企业风险管理整合框架，在该框架的附录C中指出，“内部限制被涵盖在企业风险管理之内，是其不行分割的一部分”。 该组织认为：企业内部限制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的精确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而供应合理保证的过程。在COSO委员会的内部限制管理框架中，把内部限制活动分成五大组成部分，即：限

2、制环境、风险评估、限制活动、信息与沟通和监督评审。 在多年的管理实践中，人们意识到一个企业内部不同部门或不同业务的风险，有的会相互叠加放大，有的则相互抵消削减。因此，风险的考虑不能仅仅从某项业务、某个部门的角度动身，必需依据风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险管理。 依据COSO委员会 2003年7月完成的全面风险管理框架定义：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事务，并根据企业的风险偏好管理风险，为企业目标的实现供应合理的保证。该框架有三个维度，第一维是企业的目标；其

3、次维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目标有4个，即战略目标、经营目标、报告目标和合规目标。其次维全面风险管理要素有8个，即内部环境、目标设定、事务识别、风险评估、风险对策、限制活动、信息和沟通、监控。第三个维度是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。全面风险管理框架三个维度的关系是：全面风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必需从以上8个方面进行风险管理。 二、内部限制与全面风险管理的联系 1.全面风险管理涵盖了内部限制。COSO2003年7月公布了全面风险管理框架的征求看法稿中明确地指

4、出全面风险管理体系框架包括内控作为一个子系统。全面风险管理除包括内部限制的3个目标之外，还增加了战略目标；全面风险管理的8个要素除了包括内部限制的全部5个要素之外，还增加了目标设定、事务识别和风险对策3个要素。从时间先后和内容上来看，全面风险管理是对内部限制的拓展和延长。 2.内部限制是全面风险管理的必要环节。内部限制的动力来自企业对风险的相识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的全部业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外很多法律法规的合规要求。因此，满意内部限制系统的要求也是企业风险管理体系建立应当达到的基本状

5、态。 3.内部限制是风险管理的重要手段。内部限制是风险管理的重要手段体现在以下三个方面：第一，采纳内部限制措施可以处理大部分风险。就一般工业企业而言，除实行保险等措施外，大部分风险都可以通过实行内部限制措施来解决，而这也正是我们所熟识的，如内部牵制措施、预算限制、实物限制、运营分析等。假如主要通过外包方案或者外部的其他力气来解决风险，其比采纳内部限制限制措施的成本会高许多。其次，可以实行内部限制和其他措施联合解决的部分风险。内部限制措施可能只能在肯定程度上解决某项详细风险，或者说仅采纳内部限制措施还不能使风险保持在可以承受的范围内，因此必需协同其他措施进行联合管理，如外汇风险、被收购的风险、税

6、务风险等，以税务风险为例，企业聘请中介机构代为申报纳税，或者由中介机构对企业税务申报状况出具审核报告，从而削减税务合规性风险。第三，对于完全实行内部限制以外恶其他措施解决的风险在实务中特别少见。 三、内部限制与全面风险管理的差异 1.两者的范畴不一样。内部限制仅是管理的一项职能，主要是通过事后和过程的限制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，限制的手段不仅体现在事中和事后的限制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部限制。 2.两者的活动不一样。全面风险管理的一系列详细活动并不都是内部限制要做的。目前所提倡的

7、全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部限制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的限制活动、信息与沟通活动和监督评审与缺陷的订正等工作。两者最明显的差异在于内部限制不负责企业经营目标的详细设立，而只是对目标的制定过程进行评价，特殊是对目标和战略安排制定当中的风险进行评估。 3.两者对风险的定义不一样。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事务发生的可能性”（将产生正面影响的事务视为机会），将风险与机会区分开来；而在COSO委员会的

8、内部限制框架中，没有区分风险和机会。 4.两者对风险的对策不一样。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一样，增长、风险与回报相联系，进行经济资本安排及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部限制框架中没有的，也是其所不能做到的。 四.与内部限制相比，全面风险管理在范围与内容上的扩大 简洁地看，相对于内部限制框架而言，新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险

9、偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的须要，新框架还要求企业设立一个新的部门风险管理部。新的风险管理框架比起内部限制框架，无论在内容还是范围上都有所扩大和提高，详细表现在： 1.提出一个新的观念风险组合观 在单独考虑如何实现企业各个目标的过程中，企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外，更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并实行措施使企业所担当的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总

10、风险可以超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。 2增加一类目标战略目标，并扩大了报告目标的范畴 内部限制框架将企业的目标分为三类经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部限制框架中的定义相同，财务报告目标的界定则有所区分。内部限制框架中的财务报告目标只与公开披露的财务报表的牢靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的全部报告，既包括内部报告，也包括外部报告；既包括企业内部管理者运用的报告，也包括向外部供应的报告；既包括法定报告，也包括向其他利益相关者年的非法定报告；既包括

11、财务信息，也包括非财务信息。 此外，企业风险管理框架比内部限制框架增加了一个目标战略目标。该目标的层次比其他三个目标更高。战略目标来源于企业的任务或对将来的预期，经营、报告和合法目标都与其相关。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。 3针对风险度量提出两个新概念风险偏好和风险容忍度 风险管理框架是针对企业目标实现过程中所面临的风险，对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标的过程中情愿接受的风险的数量。一般从定性的角度将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。此外，企业也可以采纳定量的方法对风险偏

12、好进行衡量，反映企业的目标、收益与风险之间的关系并进行权衡。企业的风险偏好与企业的战略干脆相关，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来。不同的战略给企业带来的风险也不同，在企业战略制定阶段就进行风险管理，就是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一样的战略。 风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现的过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。将风险限制在风险容忍度之内能够在更

13、大程度上保证企业的风险被限制在风险偏好的范围内，也就能够从更高程度上保证企业目标的实现。 4增加了三个风险管理要素，对其他要素的分析更加深化，范围上也有所扩大 企业风险管理框架新增了三个风险管理要素“目标制定”、“事项识别”和“风险反应”。此外，针对企业将管理的重心移至风险管理，风险管理框架更加深化地阐述了其他要素的内涵，并扩大了相关要素的范围。 （1）目标制定:在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。 （2）事项识别:企业风险管理和内部限制框架都承认风险来自于企业内、外部各种因素，而且可能在企业

14、的各个层面上出现，并且应依据对实现企业目标的潜在影响来确认风险。但是，企业风险管理框架深化探讨了潜在事项的概念，认为潜在事项是指来自于企业内部和外部资源的，可能影响企业战略的执行和目标的实现的一件或者一系列偶发事项。存在潜在的主动影响的事项代表机遇，而存在潜在负面影响的事项则称为风险。企业风险管理框架采纳一系列技术来识别有关事项并考虑有关事项的起因，对企业过去和将来的潜在事项以及事项的发生趋势进行计量。 （3）风险反应:企业风险管理框架提出对风险的四种反应方案规避、削减、共担和接受风险。作为风险管理的一部分，管理者应比较不同反应方案的潜在影响，并且在接受的残存风险应在企业风险容忍度范围内的假设

15、下，考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后，企业管理者应从总体的角度考虑企业选择的全部风险反应方案组合后对企业的总体影响。 （4）限制环境:在限制环境要素上，企业风险管理框架更干脆、更广泛地关注风险是如何影响企业的风险文化，无论是明确地还是无意地影响。企业的风险文化是企业员工共有的看法、价值、目标和行动的集合，它表明企业是如何相识风险的。 （5）风险评估:内部限制框架和企业风险管理框架都强调对风险的评估，评估特定风险发生的可能性和风险的潜在影响，但企业风险管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采纳简洁算术平均数、最差的

16、情形下的估计值或者事项的分布等技术来分析。最好能够找到与风险相关的目标一样的计量单位进行计量，将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标相一样，假如可能，时间基准也应与可观测到的数据相一样。企业风险管理框架还要求留意相互关联的风险，确定一件单一的事项如何为企业带来多重的风险。 （6）信息和沟通:企业风险管理框架扩大了企业信息和沟通的构成内容，认为企业的信息应包括来自过去、现在和将来潜在事项的数据。历史数据可以使企业将实际的经营成果与目标、安排和预期相比较，以深化了解企业在过去不断改变的市场条件下是如何经营的。现在状况的数据可以向企业管理者供应更多重要的信息，而将来潜在事

17、项的数据和潜在的影响因素可以帮助完成对信息的分析。企业的信息系统的基本职能应以时间序列的形式收集、捕获数据，其收集数据的具体程度则视企业风险识别、评估和反应的须要而定，并保证将风险维持在风险偏好的范围内。此外，由于各管理层是企业风险管理（或者内部限制）的组成部分，并为企业的风险管理（或者内部限制）供应信息，因此，两个框架对不同管理层的地位和责任都比较关注。但相对于内部限制框架，企业风险管理框架提出设立新的风险管理部门并规定了风险管理员的地位和职责，同时扩大了董事会的职责。 研1310 蔡烨路 132060461 浅析全面风险管理与内部限制的关系 全面风险管理与内部限制的关系 全面风险管理与内部限制的联系与区分 胡文霞 全面风险管理与内部限制【风险管理】 全面风险管理与企业内部限制 浅析企业内部限制与风险管理 风险管理与内部限制 内部限制与风险管理 风险管理与内部限制 内部限制与风险管理 本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第12页 共12页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页