企业内部控制与风险管理关系与研究

内容提要

企业内部控制与风险管理在人们的认识上有很大差别,在实际的经营过程中，风险管理与内部控制是密不可分的，一直以来内部控制与风险管理是关系密切又容易混淆的两个概念,它们之间有区别也有联系,既不能将两者完全隔离开来,也不能简单地将它们等同起来,有必要从演进视角对两者进行深入研究。本文引用美国COSO委员会关于内部控制及风险管理的两个报告以及相关研究,分析比较内部控制与风险管理的联系与区别,对两者间的从属进行探讨。

关键词：内部控制风险管理 COSO报告

目录

一、内部控制与风险管理的定义 (1)

（一）内部控制的定义 (1)

（二）风险管理的定义 (2)

二、内部控制与风险管理两者的联系 (3)

（一）内部控制与风险管理的相同点 (3)

（二）内部控制与风险管理的联系 (3)

三、内部控制与风险管理两者的区别 (4)

(一) 两者内涵不同 (4)

（二）两者的职能不同 (5)

四、对内部控制与风险管理的关系研究 (5)

（一）现时世界对两者关系的观点 (5)

（二）对两者关系的理解与观点 (6)

五、完善内部控制与风险管理的建议 (6)

（一）设置全面风险管理内部控制组织体系 (6)

（二）强化各关键环节风险控制,制定风险管理解决预案 (6)

（三）构建先进的风险管理信息系统,实现风险预警 (7)

参考文献 (7)

企业内部控制与风险管理关系与研究

近年来,企业风险管理与内部控制在许多专业文献中提及,对于二者的区别和联系也一直是争论的热点话题,但对其异同仍未达成共识,正确地把握两者之间的关系,对干完善企业管理理论,推动经营管理水平的提高具有极其重要的意义。美国COSO委员会在1992年发布了《内部控制-整合框架》报告（1994 年又提出了该报告的修改篇），2004年又发布了《企业风险管理-整合框架》报告。COSO这两个框架报告分别对内部控制和风险管理理论进行了详细阐述，并对实践提出了指导性意见。从这两个报告看，COSO 提出的内部控制和风险管理这两个概念有着十分密切的联系，但又存在明显的不同。本文旨在根据这两个框架报告对两者的异同进行分析。

一、内部控制与风险管理的定义

(一)内部控制的定义

内部控制是指一个单位为了实现其经营目标，保护资产的安全完整．保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。

1992年9月，COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。而该报告提出了内部控制的五大要素：

1．内部环境。是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。

2．风险评估。是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

3．控制措施。是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。

4．信息与沟通。是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实

施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。

5．监督检查。是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。

（二）风险管理的定义

风险管理：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。

2004年COSO委员会发布《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

1．内部环境

内部环境包含了组织的风格，它确定了组织人员如何看待和处理风险的基础，是其他要素的基础内部环境具体包括风险管理哲学风险偏好董事会诚实度和道德价值观组织结构胜任能力人力资源政策与实务权责分配。

2．目标设定

在管理层辨别影响其目标实现的潜在事项之前，必须有目标企业风险管理要求管理层设定目标，选择的目标需要能够支持组织的使命并与组织使命相一致，同时与其风险偏好相一致。

3．事项识别

即识别那些影响组织目标实现的内外部事项，并区分为风险和机会机会将被考虑进管理层的战略或目标设定过程中。

4．风险评估

必须对风险加以分析，考虑其发生的可能性以及影响，并作为确定这些风险应如何加以管理的基础应当对固有风险和残存风险加以评估。

5．风险应对

管理层应在不同的风险应对（包括回避接受降低分担风险）中做出选择，从而采取一系列与组织的风险容忍度（risk tolerances）和风险偏好相一致的行动。

6．控制活动

应建立相关的政策和程序，以确保风险应对策略得到有效的执行控制活动通常包括两个要素：确定应从事何种活动的政策执行政策的程序。

7．信息与沟通

应当按照特定的格式和时间框架来识别捕捉相关信息，并加以传递沟通，从而使人们1董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究，2009,（11） .