内部控制与风险管理的区别和联系
区别:(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在,COSO委员会的内部控制框架中,没有区分风险和机会。
(4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程。这些内容都是内部控制框架中没有的,也是其所不能做到的。
联系:1)全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。
从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
内部控制
国外较为经典的是 ASB 对内部控制的定义。1972 年,美国审计准则委员会(ASB)所做的《审计准则公告》,该公告循着《证券交易法》的路线进行研究和讨论,对内部控制提出了如下定义:”内部控制是在一定的环境下,单位为了提高经营效率、充分有效地获得和使用各种资源,达到既定管理目标,而在单位内部实施的各种制约和调节的组织、计划、程序和方法。
延伸阅读
风险管理与内部控制协同表现为
风险管理与内部控制协同主要表现在三个方面:
1、企业内部控制以及风险管理的实现都需要各方的参与;
2、两者都贯穿于企业的整个日常经营管理活动当中;
3、两者的最终目的都是要实现企业的价值。
具体来看,企业的内部控制是包含在企业的风险管理当中的,属于风险管理的一个部分。企业的风险管理和企业的内部控制相比较起来,它是站在更高的战略层次上来分析问题的,比内部控制更加细化,能够更好地解决企业经营活动当中所出现的各种各样的风险问题。内部控制所发挥的主要作用则是体现在会计控制以及审计活动方面。随着内部控制以及风险管理的不断健全和完善,二者之间必定会相互交叉且相互融合,最终相互统一。
内部控制与全面风险管理有什么关系呢
内部控制与风险管理密不可分。风险管理是内部控制的核心,也是内部控制的目标,内部控制是管理风险的一种手段。因此在理解内部控制之前,首先要弄清楚企业有哪些风险,哪些是可以通过内部控制防范的,哪些是通过其他手段防范的。
首先,企业风险分类。
风险分类的方式有很多,跟内部控制联系在一起,可以把风险分为两大类:可控风险与不可控风险。不可控风险主要包括政策变更、自然灾害、宏观经济变化等。可控风险主要包括企业运营层面的风险。
内部控制一般来讲控制的是可控的风险,即运营层面的风险
。
从这里也可以看到,企业全面风险管理讲的是针对所有风险的管理,而内部控制讲的是针对可控风险的管理,这是内部控制与风险管理的区别和联系。
其次,内部控制的目标。
广义的风险是中性的概念,它既有可能给企业带来损失,也有可能给企业带来收益。因此,企业采取内部控制措施的时候,还需要把可控风险再进一步分类。
有的风险发生后,只能带来损失,因此这类风险就称之为“
危害性风险
”,比如煤矿坍塌、化工厂爆炸等。对于这类风险,内部控制的目标就是“
尽最大努力杜绝风险
”,彻底消除这类风险。因此这类内部控制的方案、手段比较复杂,成本很高。
有时候,企业在做内部控制方案的时候,会考虑成本与收益的问题。比如某类风险发生后带来的损失很少,但是采取控制措施的成本很高,可能企业觉得不划算,干脆就任由风险发生。
我的观点是,千里之堤毁于蚁穴,企业的风险都不是孤立的,尽管某个风险表面上带来的损失很小,但是这个风险很有可能关联到其他方面,这种潜在的影响有时候是无法估量的,或者说在当时是无法预料的。因此,既然已经看到了风险,就必须想办法控制,不留任何隐患。
继续。
还有的风险既有可能带来收益,也有可能带来损失,比如企业研发某项技术,研发成功就能带来巨大收益,研发失败就会导致前期投入打水漂。再比如企业营销广告,打广告有可能带来业绩增长,也有可能没有效果。这类风险就是“
不确定性的风险
”。
还有一类风险,叫做“
投机性风险
”,它的特点就是企业主动去承受一定风险,获取一定的收益,比如企业做一些投资项目。这也属于不确定性的风险,不过它对企业来说更有诱惑,被高收益所诱惑。
风险与收益是恋生兄弟,高风险高收益。对于不确定性的风险,内部控制的目标就是“
积极管理
”,使之往好的方向发展。
最后,内部控制如何去做?
明白了内部控制与风险的关系及内部控制的目标,就要采取一些措施去实现目标。说到内部控制的实施,书上讲了“五要素”,特别经典的说法。这里无可厚非,五要素已经非常全面的把内部控制的流程概括好了(我一般是对管理学教材的观点进行批判的,但是这里没得黑,五要素确实是全面)。
其实,按照五要素的要求,中规中矩的做风险管理,没错。在面对风险的时候,保持一颗敬畏的心,还是非常有必要的。根据我的理解,简单介绍一下五要素如何去实施。
第一,内部环境。
不管做什么事,一个有利的环境是必须的。内控的核心是制衡,就叫做令行禁止吧。古代行军打仗之前,都会颁布几项纪律。我们有三大纪律八项注意。这就是塑造一种氛围,让大家听话,这样以后再下达什么命令就容易执行了。如果一开始就一盘散沙,后面就控制不了局面了。
内部环境就是要塑造一种纪律性的氛围。各个管理机构、部门都要明确自己的职责,权力恰当分配,一切行动听指挥。
第二,风险评估。
包括识别风险、评估风险的影响、采用哪种应对方案。同时企业应该针对某项风险设置一个可承受度。为什么呢,因为上面提到过,风险与收益平衡,一点都不想承担风险,那么收益就没有了。
第三、控制活动。
就是一些具体的做法了。书上讲的很详细,此处不再赘述,可以看看书。这里要考虑上面提到过的一个原则:衡量控制措施的成本与防范风险带来的收益。控制措施可能有多种,当然是选择成本最小的那种,但是不能因为收益太小而不去控制。
第四、信息与沟通。
我觉得这一条用处最大的就是反舞弊。有些舞弊行为,有可能是几个人串通,做出一套完整的流程,外部的人根本发现不了。因此设立举报或投诉的机制,把这些隐蔽的舞弊行为挖掘出来。其实很多大案要案,不是外部检查出来的,而是内部举报的。
第五、监督。
就是看看内部控制措施有没有执行,执行的如何等等。监督,贵在独立和长效。独立不多说了。长效的意思是,建立长效机制,就是说这种监督不是一时的,而是持续的,不搞定期检查。
内部控制和风险管理有区别吗
内部控制和风险管理有区别,主要表现在:
1、内部控制和风险管理的目标不同
①内部控制的目标在于提高企业的经营效率。
②风险管理的目标就是要以最小的成本获取最大的安全保障。
2、内部控制和风险管理的作用不同
①内部控制作用在于保证会计信息的真实性和准确性、促进企业的有效经营等。
②风险管理的作用在于维持企业生产经营的稳定、提高企业的经济效益。
内部控制:
内部控制,是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。
风险管理:
风险管理又名危机管理,是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程。