如何理解風險管理、內部控制、風險控制三者之間的關係?
個人認為風險管理&>內部控制&>風險控制。
風險管理屬於整體層面的分析評估研究。內部控制屬於風險管理的載體管理,即制度流程建設及規範。風險控制屬於常規業務(制度流程範圍內的)及特殊業務(制度流程範圍外的、或需要進行專項控制的)的深入的、有針對性的控制行為。但是理解還是比較片面,認識很淺。也不知道這樣理解對不對。
您好,我也糾結過這個問題。不過是關於僅僅是內部控制和全面風險管理。找過一些資料,覺得介紹的比較清楚的是* 董月超女士(中國礦業大學(北京)管理學院、中國石油天然氣集團公司財務資產部,郵政編碼:100007,電子郵箱:dyckeele@yahoo.com.cn)寫的一篇論文.我轉一下這篇文章。
標題:《從COSO框架報告看內部控制與風險管理的異同》(審計研究2009年4期)
董月超【摘 要】 風險管理是對內部控制的繼承與發展,兩者都強調了全員參與、運用相關技術手段,主動應對風險,對目標提供合理保證;但是風險管理包含了對戰略目標的管理,能夠直接產生效益,且強調風險的自然對沖。內部控制屬於企業管理範疇,風險管理屬於企業治理範疇。【關鍵詞】 風險 內部控制 風險管理美國COSO委員會在1992年發布了《內部控制-整合框架》報告(1994 年又提出了該報告的修改篇),2004年又發布了《企業風險管理-整合框架》報告。COSO這兩個框架報告分別對內部控制和風險管理理論進行了詳細闡述,並對實踐提出了指導性意見。從這兩個報告看,COSO提出的內部控制和風險管理這兩個概念有著十分密切的聯繫,但又存在明顯的不同。本文旨在根據這兩個框架報告對兩者的異同進行分析。一、風險管理概念是對內部控制概念的繼承和發展內部控制概念由來以久,但是直到20世紀80年代,美國爆發了儲蓄及信貸機構崩潰事件,財務醜聞發展到了極至,才使人們感到對內部控制的理解和研究還很不夠,於是1992年9月美國「反對虛假財務報告委員會」所屬的「內部控制專門研究委員會發起機構委員會」或稱「杜德威小組」(Committee of Sponsoring Organizations of the Treadway Commission,簡稱COSO委員會)對內部控制提出專題報告:《內部控制-整合框架》(以下簡稱內部控制框架),1994 年又提出了該報告的修改篇。《2002年上市公司會計改革和投資者保護法》(Sarbanes-Oxley Act of 2002,簡稱《薩奧法案》)則從法律角度明確了公共會計師的責任,也彌補了公共會計師對內部控制進行審計法律依據的不足。內部控制框架對內部控制的定義表述是:內部控制是一個過程,該過程受到公司董事會、管理層和其他人員的影響,其目的是為下列目標的實現提供合理保證。這些目標包括:經營的有效性和效率、財務報告的可靠性、法律法規的遵從性。該框架文件將內部控制的要素分為五個:控制環境、風險評估、控制活動、信息與溝通、監督。(內部控制框架示意圖如下)
此外,英國的Cadbury報告、加拿大的COCO報告、日本的《企業內部控制大綱》、南非的King報告、法國的Vienot報告和我國的《獨立審計具體準則第9號》、《內部審計具體準則第5號》等都從不同角度對內部控制進行了詮釋。內部控制框架得到了廣泛的認可,美國公共監督委員會(Public Oversight Board,POB)不僅專門為此文件發布了推薦公告,還建議證券交易委員會(Securities and Exchange Commission,SEC)要求上市公司在其包含年度財務報表的公司年報中,提交管理層對與財務報告有關的企業內部控制系統有效性聲明,並將內部控制框架預設為評價企業內部控制有效性的標準。SEC沒有否認COSO內控框架的先進性,但迄今為止,SEC並沒有採納將內部控制框架作為內部控制強制性標準的建議。筆者認為SEC沒有把該框架作為內部控制強制性標準的主要原因如下。①該框架中給予財務報告目標的重視程度顯然是不太合適的,職業經理人、廣大股東實際上很難接受財務報告的可靠性要比其他公開信息更重要的看法。在現實的實務操作和企業管理中,財務報告也沒有該框架中描述得那麼重要,實際上不充分的財務報告和財務報告程序一般不會導致企業失敗;②作為一個主要有財務、會計、審計領域人員組成的COSO委員會,並沒有將其調查、研討以及收集到的相關意見同內部控制框架一起公佈於眾,而上述人士在滿足公眾利益和自身利益間有明顯的衝突;③該框架以董事會和管理層能充分了解企業經營目標得以實現、財務報告編報可靠、法律法規得以遵守作為判斷內部控制有效性的依據,這樣的依據顯然不充分。綜合以上原因,若用內部控制框架作為評價內部控制有效性的法定標準,就會使企業忽略上述不足,帶來風險,也就是說該框架無法給股東帶來超額回報。為最大限度規避上述不足,給股東帶來超額回報,COSO委員會在2004年發布了《企業風險管
理—整合框架》(以下簡稱風險管理框架)。該框架對風險管理的定義表述是:風險管理是一個過程,它由公司董事會、管理層以及其他員工執行,適用於公司戰略的制定和整個公司範圍,用來識別可能對公司產生影響的潛在事項,並將風險控制在企業可以承受的水平以內,為公司目標的實現提供合理保證。這些目標包括四類:戰略目標、運營目標、報告目標、合規目。該框架文件把風險管理的要素分為八個:內部環境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監督(風險管理框架示意圖如下)。 內部控制、風險管理的起源、發展與繼承示意圖如下:二、內部控制與風險管理概念的相同點
1.對參與主體要求相同兩者都要求「企業董事會、管理層以及其他人員共同實施」,這既明確了參與主體,也強調了全員參與。參與各方角色與職責分工基本相同:董事會負責制定風險管理戰略目標,風險所有權歸高級管理層,剩餘風險歸執行管理層,風險的識別、評估、減輕和監督歸運營層。內部控制和風險管理都要求企業所有員工從立足長遠、著眼全局的高度出發,全過程、全方位參與。2.都對企業實現目標提供合理保證
兩者都不是萬能的,都有自己固有的局限性,因此兩者都提出「提供合理保證」。「合理保證」的提法是出於受託責任和義務的考慮,同時這個提法也為不道德行為或管理失誤的抗辯以及對內部控制和風險管理進行再監督提供了依據。實際上人類活動所取得成就的局限性決定了「合理而非絕對」的事實存在。例如,從影響企業目標實現的外部因素來看,兩者都不能左右外部監管者的政策,不能左右競爭對手的行為和客觀經濟條件的變化等等;從影響企業目標的內部因素來看,內部勾結合謀、管理層故意違規以及由於人、財、物等物質資源的約束限制造成內部控制和風險管理措施不健全等,都會影響內部控制和風險管理的效率和效果。3.都強調要主動應對風險兩者都是企業調動和利用自身資源積極主動應對風險的行為,都明確了風險管控的責任、方式、方法以及關注的重點等內容,都對企業可能發生的損失或面臨的機遇,在事前、事中進行管理控制,或者在事後進行補救、修正、改進等,並主動建立風險預警機制等;兩者都是連環不間斷的動態連續管理過程,而不是簡單的靜態制度文件、技術模型和檢查評估等斷續工作,同時兩者又都是融入企業日常管理過程中的常規運行體系。這些內容不同於以往任何被動接受或者被動防禦風險的策略。4.都需要運用多種技術和方法兩者都是集管理學、經濟學、審計學、會計學、統計學等等學科於一體的邊緣學科,這就需要在實際工作中綜合借鑒、開發繼承多學科的技術方法。比如在內部控制和風險管理過程中經常用到的壓力測試、蒙特卡洛分析、統計抽樣、非統計抽樣、跟單測試、健全性測試、符合性測試、實質性測試、綜合評價方法、流程圖等就分別來自不同的學科,並且有些技術方法還根據需要賦予了新的內涵,所以兩者都具有專業性。三、內部控制與風險管理概念存在的不同1.目標體系不同風險管理框架的目標有四類,其中經營類目標和合規類目標與內部控制框架的目標基本重合。
風險管理框架增加了戰略目標,內部控制框架未提及該目標,戰略目標的制定是企業治理層面要參與解決的問題,這表明風險管理屬於企業治理層次,內部控制屬於企業管理層次;風險管理框架把財務目標擴展為報告目標,報告目標不僅包括財務報告目標,還包括對內對外發布的所有非財務類報告,這既擴大了目標範圍,也彌補了內部控制目標體系因明顯受到公共會計師影響而造成的重財務信息輕其他信息的缺陷。2.組成要素不同風險管理框架增加了「目標設定、事件識別和風險反應」三個要素,「控制環境」要素也改成了「內部環境」。「目標設定、事件識別和風險反應」不僅豐富和完善了風險管理內容,還體現了風險組合觀;「內部環境」要素內容除包括「控制環境」要素內容外,還增加了風險管理哲學、風險偏好等內容;在名稱相同的要素中,風險管理框架對相關內容都進行了補充和提升,具體體現為:「風險評估」要素除包含內部控制框架中該要素的全部內容外,還考慮了企業內在風險與剩餘風險,以期望值、最壞情形值或概率分布度量風險、風險偏好以及風險對沖等;「信息與溝通」要素中,信息部分強調了獲取與分析處理以往、現在及潛在未來事件數據的重要性,同時指出信息的深度以滿足企業識別、評估和應對風險並將其維持在風險承受度範圍內的需要為準;溝通部分強調並申明:在正常報告之外應有替代溝通渠道。3.產生效益的方式不同從內部控制框架的目標體系和定義不難看出,內部控制是在企業經營權與所有權分離的條件下對股東和利益相關者的利益保護機制,也就是說內部控制是對純粹風險的防控,不直接產生效益,而是最大可能地避免股東和利益相關者的損失來保護其利益,規避威脅。風險管理框架指出: 「企業風險管理應用於戰略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增長及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別與管理企業交叉風險,為多種風險提供整體的對策,捕捉機遇以使資本的利用合理化。」這表明風險管理不僅要保護資產安全和規避一切威脅,還包括積極利用和創造一切可能的機會為股東和利益相關者創造價值。4.風險管理理念不同
內部控制是對單個風險進行管理或者說是根據業務單元的劃分來管理風險。風險管理則借用現代金融理論中的資產組合等理論,引入了整體風險管理、風險偏好、風險容量、風險對策、風險組合觀、風險對沖、風險承受度、風險管理目標和戰略的設定等概念和方法。可以說,風險管理是基於風險度量和風險兩重性的基礎上對風險的管理,這種管理理念有利於保障企業風險管理措施與發展戰略、風險偏好相一致,風險管理與價值回報相聯繫,也有利於企業內部資源合理配置以支持董事會和高級管理層實現風險管理目標。風險管理要求從企業整體層面上總體把握分散於內部各業務單元的風險,統籌風險事件之間的相互影響,綜合考慮風險對策,並防止兩種傾向:一是每個業務單元的風險處於其獨自的風險承受度之內,但總體風險水平卻超出企業的風險承受度;二是個別業務單元的風險超過其風險承受度,但總體風險水平並沒超出企業的承受範圍。風險管理要求按照風險組合與整體管理的思路,綜合考慮風險事件之間以及風險對策之間的交互影響,統籌制定風險管理方案,這些內容都是內部控制做不到的。5.涵蓋範圍不同風險管理的涵蓋範圍超出了內部控制的涵蓋範圍。風險管理包含了風險管理目標、企業戰略及經營目標的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理,以及報告程序等活動。內部控制的業務範圍是風險管理業務鏈條中間及後面的部分業務活動,並不負責企業經營目標的具體制定,而是對目標的制定過程進行評價和評估。綜上所述,我們可以看出風險管理的決策是確定內部控制重點的依據,而一個強有力的內部控制是實現有效風險管理的基礎,內部控制的動力來自企業對風險的認識和管理,內部控制屬於企業的管理範疇而風險管理則屬於企業的治理範疇。主要參考文獻:史蒂文·J·魯特著,劉霄侖主譯.2004.超越COSO—強化公司治理的內部控制[M].北京:中信出版社.The Committee of Sponsoring Organizations of the Treadway Commisson, 1992, Internal Control-Integrated Framework, Jersey City, NJ.COSO.
The Committee on Law and accounting, 1994, Management Reports on Internal Control A Legal Perspective, The Business Lawyer, February. COSO, 1994, 「Addendum to Reporting to External Parties」, Internal Control-Integrated Framwork, Jersey City, NJ.COSO. COSO, 2004, Enterprise Risk Management — Integrated Framework,JerseyCity,NJ.COSO.老實說啊,如果把這幾個概念分得清楚,會有什麼影響嗎?從理論上說,風險管理大,僅僅是從理論上。從出身上看,國資委出一個,財政部出一個,自演自唱好多年,要糅合吧還扭扭捏捏。從實務上看,風險管理從項目投資上更加靠譜些,也僅此而已;但內控的空間更大,彈性更大。從發展上看,內控還沒咋起來呢,風險管理更不知道在哪。
不請自來,首答。每個企業有不同的發展目標,在實現目標的過程中有很多不確定性因素,這種不確定性就是風險。首先,要辨識影響企業目標達成的種種風險;其次,對種種風險進行評估,並根據企業的風險承受度,採取應對措施,應對措施包括有風險承受(就是不採取措施控制此風險)、風險分擔(將風險分擔給其他第三方)、風險轉移(將風險轉移給第三方)、風險規避(就是不從事這業務了)、風險控制(採取控制措施去降低風險,降低到企業可承受的範圍內)、風險對沖,等等。
再次,企業決定要對此風險進行管理,就採取內部控制的方式進行,也就是內部控制是實現風險控制的落地手段。
最後,還要對種種風險進行監控。好了,針對題目回答。風險管理,就是包括了風險辨識、評估、應對、監控等等一系列的動作。風險控制,就是風險應對策略的其中一種,就是為了降低風險到企業風險承受範圍內。內部控制,就是實現風險控制的落地手段,當然不僅僅包括流程和制度的規範,也包括了職責分離、業務授權、分權等方式。不恰當的地方,請指正。題主有疑問,可私信我。以上。內部控制是低頭看路,風險管理是抬頭拉車。風險控制應該是被包含於內部控制和風險管理。
我是這麼理解的。風險管理:企業在發展過程中,可能會遇到各種各樣的問題,這些問題也可稱為是風險。公司要想順序發展,就要對風險進行系統的識別、分析和應對。這就是風險管理。
風險控制:是風險管理的一個環節。
內部控制:風險可分為可控風險和不可控風險,也可分為內部風險和外部風險。針對可控的內部風險,如果進行識別、分析和應對,就是內部控制。我以為,風險控制是風險管理的其中一種策略是無異議的,內部控制也應該屬於風險管理的範疇。但是風險控制和內部控制,互相應不存在大小的問題。
風險控制是一種風險的應對處置策略,而內部控制則是一套體系。從某種意義上來說,內部控制相當於小一圈的風險管理。目前的主導思想都認為風險管理包含內部控制,這是從這兩個名詞明確指出的包含內容的相關範圍來說的。但是還有一種思想認為風險管理是等同於內部控制的,這個就是從個人理解層面來說的,有點偏主觀。根據coso發布的整體框架中可以看到風險評估是內部控制的一個因素。
風險管理的策略有很多,控制只是其中之一,而內部控制又只是控制的一個領域。不過,COSO不斷擴大內部控制的外延,感覺控制和內部控制的區分已經很模糊了。
私以為:
內部控制是範圍最小的,是為了滿足風險控制的要求和落實風險管理而進行的風險分支控制。風險控制是風險管理的一部分,管理涵蓋分析,判斷,控制,預警和處理等多個層級的措施。風險管理是企業管理的一大課題,涉及方方面面。一般來看以我所在的行業主要有:道德風險,操作風險,聲譽風險,市場風險,信用風險和信息技術風險。以上述內容而言,在各個方面都存在風險控制手段和內部控制要求,還有其他很多流程上的,制度上的規定。風險管理最高境界是防患於未然,最好的手段是制度控制和嚴格執行,獨立監督。
簡言之,風險管理&>風險控制&>內部控制。推薦閱讀:
※互聯網金融公司的風險控制部門的日常工作?
※作為審計人員,在盡職財務調查、內控審計中如何實現有效的訪談?
※銀行貸後管理的系統是什麼樣子的?
※P2P網貸平台如何進行風險控制?
※信用評分到底有什麼用途?