企業風險管理及內部控制關系

前言：尋找寫作靈感？中文期刊網用心挑選的企業風險管理及內部控制關系，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：企業風險管理與內部控制是兩個不同的概念，但同時二者有著密切的聯系。深入理解企業風險管理及內部控制的本質，全面探討二者在各方面的區別，對實踐中正確掌握二者之間的關系，進而指導企業更好的進行經營管理具有十分重要的意義。

關鍵詞：風險管理；內部控制

一、企業風險管理與內部控制的概念比較

美國COSO委員會1992年的《內部控制整體框架》是用于指導企業進行內部控制的指導文件。2004年，COSO委員會出臺了新的COSO報告———《企業風險管理整體框架》，拓寬了內部控制的含義，同時對企業風險管理進行了詳細的說明?！镀髽I風險管理整體框架》中對企業風險管理的定義為“由企業的董事會、管理層和其他員工共同參與，應用于企業戰略制定和企業內部各個層次和部門的，貫穿整個企業旨在識別影響組織的潛在事件，為組織目標的實現提供合理的保證”?！秲炔靠刂普w框架》將內部控制定義為“由企業董事會、經理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的大成而提供合理保證的過程”。在這兩個《框架》的基礎上，可以從企業風險管理與內部控制概念的定義、主要目標以及構成要素等幾方面做如下比較：

（一）企業風險管理與內部控制的定義

比較二者的定義可以看出二者的相同點有：企業風險管理與內部控制的實施主體相同，都需要企業的決策、管理以及執行各方階層的參與，而不是企業某一層級的特權；風險管理與內部控制的最終目的都是為企業的平穩運行保駕護航，為企業戰略目標實現提供合理保障。細分之下，二者也存在一些不同之處：內部控制更強調財務方面的可靠性以及企業管理的效率提升，而風險管理除了主要財務報告的可靠性之外更一步確保企業非財務信息的準確真實；內部控制只針對企業內部，風險管理則同時兼顧內部和外部風險。

（二）企業風險管理與內部控制主要目標

《企業風險管理整體框架》中指出風險管理服務的目標為戰略目標，經營目標，報告目標以及合規目標；《內部控制整體框架》中則提到內部控制的主要目標為經營目標，財務報告目標，合規目標[1]?？梢钥闯觯L險管理與內部控制的最終目標基本相近，二者間最明顯的區別是風險管理比內部控制多了一個戰略目標。內部控制注重在經營過程中為了實現目標采取的一種控制的管理職能，保障日?；顒硬幻撾x目標軌跡，而風險管理更側重事前預測和發現，但也不忽略事后采取相應的措施，使損失降到最低；企業風險管理是包括內外風險的全面管理，既關心由于組織結構、制度變革、人員變換等導致的內部風險，又關心由于外部政治經濟、自然環境等引起的外部風險，而內部控制則是在企業內部環境的基礎上進行風險的評估和監控，范圍相對狹窄。

（三）企業風險管理與內部控制的構成要素

內部控制包括五個組成要素：控制環境、風險評估、控制活動、信息與溝通、監督，而風險管理的構成要素為八個：內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監督檢查。通過以上比較可以看出，企業風險管理拓展了內部控制中的“風險評估”要素，將其演化為目標設定、事項識別、風險評估及風險應對。這四個要素是圍繞企業戰略目標而增加的內容。

（四）企業風險管理與內部控制的實現方法

內部控制主要對公司內部管理制度進行定性分析，設計指導性的對策，而風險管理則是側重量的分析，通過定量分析來評估風險發生的可能性是多少和對企業影響程度大小。內部控制和企業風險管理從不同的兩個方面對企業經營進行管理，相對內部控制評定的方法，企業風險管理會更加準確地判斷出風險的大小。

二、風險管理與內部控制的關系

（一）傳統理論觀點

從上一節的討論中可以看出，企業風險管理與內部控制的概念十分相似，二者的目標與構成要素也有很大部分的重疊，在理論應用中十分容易出現混淆。剖析過去對企業風險管理與內部控制關系的研究，目前對二者的關系問題有以下三種主流觀點：1．內部控制是風險管理的一部分：《企業風險管理整合框架》中明確指出：“內部控制是企業風險管理不可分割的一部分”。《框架》是定義企業風險管理的權威參考之一，因此在理論研究中，將內部控制劃入風險管理范圍內的觀點被廣泛接受；2.內部控制包括風險管理：不同于美國COSO委員會，加拿大COSO委員會在其報告中指出：“風險評估和風險管理是內部控制的關鍵要素”；3.內部控制與風險管理本質上是相同的：英國特恩布爾報告認為健全的內部控制制度必須建立在對公司所面臨風險全面、綜合分析的基礎上。

（二）風險管理與內部控制的關系

具體到在理論實踐應用中，常更傾向于實踐第三種觀點：即內部控制與風險管理本質相同，二者在指導企業管理中相輔相成，共同為實現企業的戰略目標服務。如今以風險為導向的內部控制機制在實踐中已經得到普遍認可，有力的說明了風險管理與內部控制的可兼容性。1.風險管理體系是內部控制的前提：不同于內部控制，風險管理是管理活動，設定企業的戰略目標并圍繞這一目標對環境存在的風險進行評估，是其開展管理過程的前提。而內部控制框架中沒有企業戰略目標這一要素，風險評估的標準沒有明確與企業戰略目標掛鉤，其特定目標是維護企業的經營和效率、財務報告的可靠性及經營活動的合法合規性，這些目標服務于實現價值創造和企業戰略的終極目標。2.內部控制體系依賴于風險管理體系：內部控制體系的關注重點在財務方面，在實現內部控制的過程中，自身的風險需要其他管理體系加以識別和評估。風險管理體系除關注財務外，同時強調其他方面的管理，并且可以對內部控制體系自身的風險進行防范，建立完善的風險應對體系。3.內部控制與企業風險管理是有機的整體：二者的目標都是為了實現企業的平穩健康發展，二者雖然側重點不同，但在實現企業戰略目標方面相輔相成，是一個有機的整體——內部控制與企業風險管理是公司內部環境與外部環境兩個方面管控風險的不同框架。企業所處的市場及社會環境的不斷變化，企業面對的風險是一個動態概念，經常處于變化之中，只有把握風險管理先機，才能收到實效，及時掌握盡可能真實、準確的經濟動態信息。而動態風險管理過程的順利實現必須依賴于內部控制，在內部控制的有效框架下對企業內部存在的風險進行治理，而對于內部控制無法掌握的外部環境，應在風險管理的框架下及時采取有效措施，內外雙管齊下，避免企業運行偏離原定目標。

三、建立基于企業風險管理整合框架的內部控制體系

建立基于企業風險管理整合框架的內部控制體系，即在風險管理的基礎上，科學設計內部控制制度，為實現企業目標提供合理的保障。首先，所有的經營活動必須在不觸犯相關法律法規的前提下進行，將兩者管理方法結合應用，使企業健康快速發展。其次，為了實現企業目標，內部控制必須確保企業內部業務流程的順利進行，有效地執行每個業務環節。最后，內部控制通過對風險的識別、評估、找到行之有效的方法，在管理過程中將兩者進行融合。以啟明信息技術股份有限公司為例[3]，通過生產生活中經驗的積累，啟明信息技術股份有限公司建立了完備的基于企業風險管理的內部控制體系：一方面在實施風險控制時，通過將風險管理工作落實到內部控制制度上，來提高企業風險評估的水平，另一方面通過內部控制來優化企業的管理功能，從而更好的進行風險管理，分析制定風險管理方案。通過將企業風險管理與內部控制相結合，企業最大化的實現了對風險的防范，提高了經營管理效率。在新的復雜的市場經濟環境下，企業面臨巨大的內外部各類風險，以風險管理為導向的內部控制管理模式會更利于企業的發展。內部控制和企業風險管理在企業管理中起著等同的重要作用，因此在企業風險管理整合框架的基礎上，建立完善的內部控制體系，從而使企業更好地實現企業目標，以增強企業的抗風險能力，將是未來風險管理與內部控制融合發展的方向。

參考文獻

[1]朱大華.企業風險管理與內部控制的關系與應用[J].財會通訊,2012，(26):46-48.

[2]郭艷萍,齊樂,付學超.內部控制與企業風險管理整合框架探究[J].前沿,2014，(zc):142-145.

作者:劉彬 單位:潤華集團股份有限公司