2023年浅析全面风险管理与内部控制的关系.docx

《2023年浅析全面风险管理与内部控制的关系.docx》由会员分享，可在线阅读，更多相关《2023年浅析全面风险管理与内部控制的关系.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2023年浅析全面风险管理与内部控制的关系 浅析全面风险管理与内部控制的关系 一、内部控制和全面风险管理在COSO框架中的定义 现代理论界对内部控制的定义各不相同，但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。COSO于2023 年发布了企业风险管理整合框架，在该框架的附录C中指出，“内部控制被涵盖在企业风险管理之内，是其不可分割的一部分”。 该组织认为：企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。在COSO委员会的内部控制管理框架中，把内部控制活动分成五大组成部

2、分，即：控制环境、风险评估、控制活动、信息与交流和监督评审。 在多年的管理实践中，人们意识到一个企业内部不同部门或不同业务的风险，有的会相互叠加放大，有的则相互抵消减少。因此，风险的考虑不能仅仅从某项业务、某个部门的角度出发，必须根据风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险管理。 依据COSO委员会 2023年7月完成的全面风险管理框架定义：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。该框架有三个维度，第一维是企业

3、的目标；第二维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目标有4个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。全面风险管理框架三个维度的关系是：全面风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。 二、内部控制与全面风险管理的联系 1.全面风险管理涵盖了内部控制。COSO2023年7月公布了全面风险管理框架的征求意见稿

4、中明确地指出全面风险管理体系框架包括内控作为一个子系统。全面风险管理除包括内部控制的3个目标之外，还增加了战略目标；全面风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定、事件识别和风险对策3个要素。从时间先后和内容上来看，全面风险管理是对内部控制的拓展和延伸。 2.内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。因此，满足内部控制系统的要求也是企业风险管理体系建立应该达

5、到的基本状态。 3.内部控制是风险管理的重要手段。内部控制是风险管理的重要手段体现在以下三个方面：第一，采用内部控制措施可以处理大部分风险。就一般工业企业而言，除采取保险等措施外，大部分风险都可以通过采取内部控制措施来解决，而这也正是我们所熟悉的，如内部牵制措施、预算控制、实物控制、运营分析等。如果主要通过外包方案或者外部的其他力量来解决风险，其比采用内部控制控制措施的成本会高很多。第二，可以采取内部控制和其他措施联合解决的部分风险。内部控制措施可能只能在一定程度上解决某项具体风险，或者说仅采用内部控制措施还不能使风险保持在可以承受的范围内，因此必须协同其他措施进行联合管理，如外汇风险、被收购

6、的风险、税务风险等，以税务风险为例，企业聘请中介机构代为申报纳税，或者由中介机构对企业税务申报情况出具审核报告，从而减少税务合规性风险。第三，对于完全采取内部控制以外恶其他措施解决的风险在实务中非常少见。 三、内部控制与全面风险管理的差异 1.两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。 2.两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目

7、前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。 3.两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在COS

8、O委员会的内部控制框架中，没有区分风险和机会。 4.两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。 四.与内部控制相比，全面风险管理在范围与内容上的扩大 简单地看，相对于内部控制框架而言，新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标

9、”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要，新框架还要求企业设立一个新的部门风险管理部。新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高，具体表现在： 1.提出一个新的观念风险组合观 在单独考虑如何实现企业各个目标的过程中，企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外，更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总

10、体来看，总风险可以超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。 2增加一类目标战略目标，并扩大了报告目标的范畴 内部控制框架将企业的目标分为三类经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告，既包括内部报告，也包括外部报告；既包括企业内部管理者使用的报告，也包括向外部提供的报告；既包括法定报告，也包括向其他利益相关者年的非法定报

11、告；既包括财务信息，也包括非财务信息。 此外，企业风险管理框架比内部控制框架增加了一个目标战略目标。该目标的层次比其他三个目标更高。战略目标来源于企业的任务或对未来的预期，经营、报告和合法目标都与其相关。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。 3针对风险度量提出两个新概念风险偏好和风险容忍度 风险管理框架是针对企业目标实现过程中所面临的风险，对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。一般从定性的角度将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。此外，企业也可以采用定量的方

12、法对风险偏好进行衡量，反映企业的目标、收益与风险之间的关系并进行权衡。企业的风险偏好与企业的战略直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来。不同的战略给企业带来的风险也不同，在企业战略制定阶段就进行风险管理，就是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。 风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现的过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。将风险控制在风险容忍度之

13、内能够在更大程度上保证企业的风险被控制在风险偏好的范围内，也就能够从更高程度上保证企业目标的实现。 4增加了三个风险管理要素，对其他要素的分析更加深入，范围上也有所扩大 企业风险管理框架新增了三个风险管理要素“目标制定”、“事项识别”和“风险反应”。此外，针对企业将管理的重心移至风险管理，风险管理框架更加深入地阐述了其他要素的内涵，并扩大了相关要素的范围。 （1）目标制定:在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。 （2）事项识别:企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且

14、可能在企业的各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。但是，企业风险管理框架深入探讨了潜在事项的概念，认为潜在事项是指来自于企业内部和外部资源的，可能影响企业战略的执行和目标的实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇，而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因，对企业过去和未来的潜在事项以及事项的发生趋势进行计量。 （3）风险反应:企业风险管理框架提出对风险的四种反应方案规避、减少、共担和接受风险。作为风险管理的一部分，管理者应比较不同反应方案的潜在影响，并且在接受的残存风险应在企业风险容忍度范

15、围内的假设下，考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后，企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。 （4）控制环境:在控制环境要素上，企业风险管理框架更直接、更广泛地关注风险是如何影响企业的风险文化，无论是明确地还是无意地影响。企业的风险文化是企业员工共有的态度、价值、目标和行动的集合，它表明企业是如何认识风险的。 （5）风险评估:内部控制框架和企业风险管理框架都强调对风险的评估，评估特定风险发生的可能性和风险的潜在影响，但企业风险管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采用简单算术平均

16、数、最差的情形下的估计值或者事项的分布等技术来分析。最好能够找到与风险相关的目标一致的计量单位进行计量，将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标相一致，如果可能，时间基准也应与可观测到的数据相一致。企业风险管理框架还要求注意相互关联的风险，确定一件单一的事项如何为企业带来多重的风险。 （6）信息和沟通:企业风险管理框架扩大了企业信息和沟通的构成内容，认为企业的信息应包括来自过去、现在和未来潜在事项的数据。历史数据可以使企业将实际的经营成果与目标、计划和预期相比较，以深入了解企业在过去不断变化的市场条件下是如何经营的。现在状况的数据可以向企业管理者提供更多重要的信息，而

17、未来潜在事项的数据和潜在的影响因素可以帮助完成对信息的分析。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据，其收集数据的详细程度则视企业风险识别、评估和反应的需要而定，并保证将风险维持在风险偏好的范围内。此外，由于各管理层是企业风险管理（或者内部控制）的组成部分，并为企业的风险管理（或者内部控制）提供信息，因此，两个框架对不同管理层的地位和责任都比较关注。但相对于内部控制框架，企业风险管理框架提出设立新的风险管理部门并规定了风险管理员的地位和职责，同时扩大了董事会的职责。 研1310 蔡烨路 132060461 浅析全面风险管理与内部控制的关系 全面风险管理与内部控制的关系 全面风险管理与内部控制的联系与区别 胡文霞 全面风险管理与内部控制【风险管理】 全面风险管理与企业内部控制 浅析企业内部控制与风险管理 风险管理与内部控制 内部控制与风险管理 风险管理与内部控制 内部控制与风险管理