全面风险管理与内部控制的关系

1、全面风险治理与内部限制的关系摘 要：内部限制是企业全面风险治理的根底,同时内部限制也是全面风险管 理不可或缺的重要组成局部.内部限制与全面风险治理之间既存在着联系又有 所不同,为了使企业能充分发挥内部限制和全面风险治理的作用,应该对两者 之间的关系有清楚的熟悉.本文主要介绍了全面风险治理和内部限制,以及二 者之间的关系.关键词：全面风险治理；内部限制；关系1内部限制内部限制是指企业为了合理保证财务报告的可靠性、经营的效率和效果以 及对法律法规的遵守,由治理层、治理层和其他人员设计和执行的政策和程序. 关于内部限制的定义,COS委员会经过相对较长时间的研究,于1992年发布 了?内部限制整体框架

2、?,1994年形成正式文稿.?内部限制整体框 架?认为内部限制是为实现企业经营效率和效果、财务报告的可信性及相关法 令的遵循等企业目标而提供合理保证的过程.内部限制的实施者为企业董事会、 经理层和其他员工.内部限制是整个企业设计的系统,不是为了某个人或某个 层级的人提出来的专门针对某个人或某个层级的人的制度.没有人能脱离这一 系统而独立运作.治理层、董事会、内部审计和其他员工都应该对内部限制承 担责任.内部限制目标有三点,一是财务报告的可靠性.企业决策层要想在瞬息万 变的市场竞争中有效地治理经营企业,就必须及时掌握各种信息,以保证决策 的正确性,并可以通过限制手段尽量提升所获信息的准确性和真实

3、性.因此, 建立内部限制系统可以提升会计信息的正确性和可靠性.二是经营的效果和效 率.内部限制系统通过确定责任分工,严格各种手续、制度、工艺流程、审批 程序、检查监督手段等可以有效地限制本单位生产和经营活动顺利进行、防 止出现偏差,纠正失误和弊端,保证实现单位的经营目标.三是合规性.企业 决策层不但要制定治理经营方针、政策、制度,而且要狠抓贯彻执行.内部控 制那么可以通过袱定方法,审核批准,监督检查等手段促使全体职工贯彻和执行 既定的方针、政策和制度,同时,可以促使企业领导和有关人员执行国家的方 针、政策在遵守国家法规纪律的前提下认真贯彻企业的既定方针.企业建立与实施有效的内部限制,应当包括以

4、下要素：一是内部环境.内部环境是企业实施内部限制的根底,一般包括治理结构、 机构设置及权责分配、内部审计、人力资源政策、企业文化等.二是风险评估.风险评估是企业及时识别、系统分析经营活动中与实现内 部限制目标相关的风险,合理确定风险应对策略.三是限制活动.限制活动是企业根据风险评估结果,采用相应的限制举措, 将风险限制在可承受度之内.四是信息与沟通.信息与沟通是企业及时、准确地收集、传递与内部限制 相关的信息,保证信息在企业内部、企业与外部之间进行有效沟通.五是内部监督.内部监督是企业对内部限制建立与实施情况进行监督检查, 评价内部限制的有效性,发现内部限制缺陷,应当及时加以改良.2全面风险治

5、理所谓全面风险治理,是指企业围绕总体经营目标,通过在企业治理的各个 环节和经营过程中执行风险治理的根本流程,培育良好的风险治理文化,建立 健全全面风险治理体系,包括风险治理策略、风险理财举措、风险治理的组织 职能体系、风险治理信息系统和内部限制系统,从而为实现风险治理的总体目 标提供合理保证的过程和方法.2004年COS委员会发布?企业风险治理一一整合框架?.企业风险治理 整合框架认为“企业风险治理是一个过程,它由一个主体的董事会、治理当局 和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主 体的潜在事项,治理风险以使其在该主体的风险容量之内,并为主体目标的实 现提供合理保证

6、.该框架拓展了内部限制,更有力、更广泛地关注于企业风 险治理这一更加宽泛的领域.全面风险治理框架包括了八个要素：一是内部环境.治理当局确立关于风险的理念,并确定风险容量.所有企 业的核心都是人他们的个人品性,包括诚信、道德价值观和胜任水平以及经 营所处的环境,内部环境为主体中的人们如何看待风险和着手限制风险确立了基 础.二是目标设定.必须先有目标,治理当局才能识别影响目标实现的潜在事 项.企业风险治理保证治理当局采取恰当的程序去设定目标,并保证选定的目 标支持主体的使命并与其相衔接,以及与它的风险容量相适应.三是事项识别.必须识别可能对主体产生影响的潜在事项,包括表示风险 的事项和表示时机的事

7、项,以及可能二者兼有的事项.时机被追溯到治理当局 的战略或目标制定过程.四是风险评估.要对识别的风险进行分析,以便确定治理的依据.风险与 可能被影响的目标相关联.既要对固有风险进行评估,也要对剩余风险进行评 估,评估要考虑到风险的可能性和影响.五是风险应对.员工识别和评价可能的风险应对举措,包括回避、承当、 降低和分担风险.治理当局选择一系列举措使风险与主体的风险容限和风险容 量相适应.六是限制活动.制定和实施政策与程序以保证治理当局所选择的风险应对 策略得以有效实施.七是信息与沟通.主体的各个层级都需要借助信息来识别、评估和应对风 险.广泛意义的有效沟通包括信息在主体中向下、平行和向上流动.

8、八是监控.整个企业风险治理处于监控之下,必要时还会进行修正.这种方 式能够动态地反响风险治理状况,并使之根据条件的要求而变化.监控通过持 续的治理活动、对企业风险治理的单独评价或者两者的结合来完成.3全面风险治理与内部限制的关系谈到风险治理,那么一定会提到企业内部限制.在实践中有很多企业不能真 正理解全面风险治理与内部限制的区别和联系,要么将两者完全隔离开来,要 么只是简单地将它们等同起来.其实,两者之间既有区别又有联系.全面风险治理与内部限制的联系：一是全面风险治理涵盖了内部限制.COS框架中明确地指出全面风险治理 体系框架包括内部限制,将之作为一个子系统.二是内部限制是全面风险治理的必要环

9、节.内部限制的动力来自企业对风 险的熟悉和治理,对于企业所面临的大局部运营风险,或者说对于在企业的所 有业务流程之中的风险,内控系统是必要的、高效的和有效的风险治理方法. 同时,维持充分的内控系统也是国内外许多法律法规的合规要求.因此,满足 内部限制系统的要求也是企业风险治理体系建立应该到达的根本状态.全面风险治理与内部限制的区别：一是两者的范畴不一致.内部限制仅是治理的一项职能,主要是通过事后 和事中的限制来实现其目标,而全面风险治理那么贯穿于治理过程的各个阶段, 覆盖了各个不同的环节,更重要的是在事前就对风险有了一定的预见性的考虑. 而且,全面风险治理所要到达的目标多于内部限制.二是两者的

10、活动不一致.全面风险治理的一系列具体活动并不都是内部控 制要做的.全面风险治理包含了选择风险评估方法、制定风险治理目标、制定 相关战略、报告程序及聘用治理人员等多个环节,而内部限制主要负责的是风 险治理过程中间及其以后的重要活动,例如对风险的评估和,对财务报告的评 估,信息与交流活动的监督,对操作流程的不标准进行纠正等等.两者最大的 差异在于内部限制不负责企业经营目标的具体设立,而只是对目标的制定过程 进行监控和评价,尤其是对目标制定中的风险进行评估.三是两者对风险的治理不一致.全面风险治理框架包括了风险偏好、风险 对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的根底上, 促使企业开展战略向风险偏好靠拢,根据资金投入、经营风险与利润回报之间 的联系,进行经济资本分配,帮助治理层实现全面风险治理的目标.这些功能 都是内部限制框架水平范围之外的.从目前企业的治理开展趋势来看,企业的全面风险治理与内部限制治理已 经交集密切,互相密不可分.通过上面的描述,我们可以看出,全面风险治理 及内部限制实际上都