中山大学企业内控与风险管理

近年来，尽管很多企业意识到全面风险管理，但是对内部控制和全面风险管理有清晰理解的却不多，已经实施了内部控制与全面风险管理的企业则更少。建立和实施企业内部控制与风险管理体系是促进我国企业加强内部管理，防范重大风险，实现可持续发展的必然要求。下面我们就从COSO框架对内部控制和全面风险管理的定义来分析二者之间的区别与联系。

1992年，COSO委员会提出的报告《内部控制——整合框架》指出“内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。”2004年，COSO委员会又发布了《企业风险管理——整合框架》，提出了“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”

由此看出，内部控制和企业全面风险管理既有横向交叉又有纵向融合，它们之间的联系有：

1. 内控或风险管理的根本作用都是维护投资者利益、保全企业

资产，并创造新的价值。从理论上说，企业的内部控制是企业制度的组成部分，风险管理则是在新的技术与市场条件下对内控的自然扩展，在内控的基础上增加了一个目标即战略目标和三个要素：目标设定、事件识别、风险应对；

2. 内控是企业风险管理的必要环节，在全面风险管理中扮演关

键角色，内控应被管理者看作是范围更广的风险管理的必要组成部分，对于企业所面临的运营风险，内控是必要的。 当然，二者也有些许不同，区别在于：

1. 两者目标不同。风险管理的目标相较于内部控制增加了一个战略目标，战略目标的制定是企业治理层面需要参与解决的问题，这表明风险管理属于治理层次，而内部控制属于企业管理层次；此外，风险管理把财务目标扩展为报告目标，不仅包括了财务报告目标，还包括了非财务类报告，弥补了内控目标体系重财务信息轻其他信息的缺陷；

2. 两者组成要素不同。相比起内控的五大要素，风险管理增加了“目标设定、事件识别和风险应对”三个因素，丰富了风险管理内容，体现了风险组合观；

3. 两者的范畴不一致。内控仅仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，尤其是在事前制定目标时就充分考虑了风险的存在；

4. 两者的活动不一致。内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，而风险管理包含了风险管理目标和战略的设定、风险评估方法的选择等一系列活动；

5. 两者对风险的定义不同。全面风险管理框架将风险明确定义为“对企业财务目标产生的负面影响事件发生的可能性”，将正

面影响视作机会，将风险和机会区分开来，而内部控制框架中，尚未区分风险和机会

6. 两者对风险对策不一致，全面风险框架引入风险偏好和风险容忍度。在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有提出的。

综上所述，我们可以得出的基本结论是内部控制与风险管理关系十分密切，风险管理是企业为了适应时代的变化，以内部控制为架构演变成另一种以达到某种目标的过程和方法。二者在要素、目标、含义等方面有很多联系和相同的地方，既是独立又有关联的体系，是针对企业所不同的需求而演变成的两种过程与目标。

企业内部控制与风险管理区别2017-05-09 20:05 | #2楼

从英国巴林银行、美国安然公司、世通公司到雷曼兄弟等国际知名公司相继暴露出严重的财务失败事件，加强公司治理、内部控制和风险管理的呼声愈来愈高。

在我国，风险管理是企业管理中一个相对薄弱的环节，风险意识不强、风险管理工作薄弱，是企业发生重大风险事件的重要原因。2017年6月，国资委制定并发布了《中央企业全面风险管理指引》，对于建立健全风险管理长效机制，推动风险管理工作具有一定的意义。2017年6月财政部发布企业内部控制基本规范，强调企业应当建立实施风险评估程序。然而，在我国企业内部控制与风险管理，尚存在许多问题，在工作实践中，就内部控制与风险管理的关系，多种观点并存。有的认为风险管理包括内部控制，有的认为内部控制包括风险管理，还有的认为内部控制就是风险管理。

《中山大学企业内控与风险管理》全文内容当前网页未完全显示，剩余内容请访问下一页查看。