一、內部控制與全面風險管理概念界定
內部控制在發展過程中經歷了內部牽制、內部控制系統、內部控制結構、內部控制整合框架四個階段。COSO於1992年9月發佈的《內部控制——整合框架》中對內部控制做出定義:“內部控制是由主體的董事會、管理層和其他員工實施的,旨在爲經營的效率和有效性、財務報告的可靠性、遵循使用的法律法規等目標的實現提供合理保證的過程”。隨後,COSO於2004年9月發佈了《企業風險管理——整合框架》,提出全面風險管理的概念:“全面風險管理是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用於戰略制定並貫穿於企業之中,旨在識別可能影響主體的潛在事項、管理風險,以使其在該主體的風險容量之內,併爲主體目標的實現提供合理保證”。
二、內部控制與全面風險管理關係
(一)現階段對於內部控制與全面風險管理有三種代表性觀點。
第一種觀點,內部控制包含風險管理。在內部控制框架中,風險評估被納入五個構成要素,就是將風險管理包含在了內部控制之中。因此在抓住機會和管理風險時,也在實施控制。
第二種觀點,內部控制即爲風險管理。內部控制與風險管理日益融合。英國學者馬修雷奇在2004年提出,內部控制系統與風險管理系統已經逐漸變爲同一事物。
第三種觀點,內部控制包含於風險管理。《企業風險管理——整合框架》將內部控制上升至全面風險管理的高度來認識。全面風險管理是對內部控制的拓展及延伸。
(二)內部控制與全面風險管理的區別。
1.範疇不同。從內部控制框架以及全面風險管理框架包含的內容上看,後者較前者增加了目標制定、風險識別和風險應對三個管理要素。以此強調對於企業經營風險的關注與控制,新增的三要素與風險評估共同構成了風險管理的完整過程。內部控制框架在設計之初主要是針對企業的財務情況而制定,較少考慮到企業風險以及經營目標的制定,其管理範圍小於全面風險管理。
2.風險應對不同。風險偏好和風險容忍度的概念被加入全面風險管理框架中。要求企業在制定經營戰略時要考慮到既定收益以及在實現經營目標時可以接受的差異及風險的程度和數量。全面風險管理框架還要求企業管理層以風險組合的方式考慮風險,站在企業整體的角度,制定合適的戰略目標。
3.執行方式不同。內部控制是全面風險管理的必要組成部分,企業在進行全面風險管理時必須要進行內部控制,但全面風險管理中的`很多部分不需要進行內部控制的。內部控制僅侷限於事中和事後的控制,只是管理的一項職能。全面風險管理框架指出其應貫穿於戰略制定、分解和執行過程始終,不僅要求進行事中和事後對於管理經營的控制,更着眼於事前對於風險的預見性及考慮,將其納入制定戰略目標的影響因素。
(三)內部控制與全面風險管理的聯繫。
1.實施主體及目的一致。從COSO對於二者的定義可以看出,內部控制與全面風險管理的實施者均爲一個主體的董事會、管理層和其他員工,並涉及組織中各層級人員的活動。並且內部控制與全面風險管理的本質目的一致,旨在爲企業經營的效率提供保障,維護企業的安全。
2.內部控制是全面風險管理的重要部分,全面風險管理是內部控制的延伸。全面風險管理框架八要素中,包括了內部控制框架的全部五個要素,並在其基礎上,對於風險管理進行補充及完善,使得全面風險管理框架與內部控制相互融合作用,並趨向統一化。
三、企業全面風險管理建設趨勢
現階段,我國的風險管理還處於初步發展階段,其運用還主要停留在銀行、保險及證券等金融行業中。
一個現代化企業,開展全面風險管理應實現以下幾個總體目標:(1)確保將風險控制在與總體目標相適應並可承受的範圍內;(2)確保內外部,尤其是企業與股東之間實現真實、可靠的資訊溝通;(3)確保遵守有關法律法規;(4)確保企業有關規章制度和爲實現經營目標而採取重大措施的貫徹執行,保障經營管理的有效性,提高經營活動的效率和效果,降低實現經營目標的不確定性;(5)確保企業建立針對各項重大風險發生後的危機處理計劃,保護企業不因災害性風險或人爲失誤而遭受重大損失。本文由教育大論文下載中心整理
全面風險管理是一個涉及多方面的系統工程,由此構建的企業全面風險管理框架應該是一個多維、立體、連續的管理方案和過程。
企業全面風險管理結構的構成要素:
第一維度(上面維度)是目標體系,包括四類目標:戰略(Stntegic)目標、經營(operations)目標、報告(reporting)目標、合規(compliance)目標。
第二維度(正面維度)是管理要素,包括八個相互關聯的構成要素:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、資訊與溝通、監控。
第三維度(側面維度)是主體單元,包括最高管理層、部門、業務單元、分支機構四個層面。
企業應本着從實際出發,務求實效的原則,以對重大風險、重大事件的管理和重要流程的內部控制爲重點,開展全面風險管理工作。企業開展全面風險管理工作應與其他管理工作緊密結合,把風險管理的各項要求融入企業管理和業務流程中。