全面风险管理与企业内部控制

《全面风险管理与企业内部控制》由会员分享，可在线阅读，更多相关《全面风险管理与企业内部控制（4页珍藏版）》请在金锄头文库上搜索。

1、全面风险管理与企业内部控制全面风险管理与企业内部控制说到风险管理，有个概念是必须要提到的，即企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系，要么将两者完全隔离开来，要么只是简单地将它们等同起来。那么它们有什么联系和差异呢？目前国际上基本上是接受了美国 COSO（全国虚假财务报告委员会的发起人委员会）2004 年发布的企业风险管理整合框架（国内也有译作全面风险管理框架的）对两者的阐释。 一、按一、按 COSO 框架框架，两者的联系为：，两者的联系为： （1）全面风险管理涵盖了内部控制。COSO 框架中明确地指出全面风险管理体系框架包括内控，将之作为一个子系统。 （

2、2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。因此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。 二、内部控制与全面风险管理的差异为：二、内部控制与全面风险管理的差异为： （1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，更重要的是在事前制订目标时就充分考虑了风险的存在。而且

3、，在两者所要达到的目标上，全面风险管理多于内部控制。 （2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。 （3）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、

4、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的内部控制框架所不能做到的。 从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。 三、内部控制与全面风险管理的产生和发展三、内部控制与全面风险管理的产生和发展 内部控制和风险管理的概念是在实践中逐步产生、发展和完善起来的。 在 20 世纪 30 年代，由于受到 192

5、91933 年的世界性经济危机的影响，美国约有 40左右的银行和企业破产，经济倒退了约 20 年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的内部控制和风险管理主要依赖保险手段。 1949 年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性的专题报告，第一次对内部控制做了权威性的定义。1955 年，美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。 20 世纪 70 年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控

6、制问题给以高度重视。为了制止美国公司向外国政府官员行贿，美国国会于 1977 年通过了“国外腐败实务法案（1977）”。该法案除了反腐败条款外，还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。1978 年，美国执业会计协会下面的柯恩委员会（Cohen Commission）提出报告，一是建议公司管理层在披露财务报表时，提交一份关于内控系统的报告；二是建议外部独立审计师对管理者内控报告提出审计报告。1980 年后，内部控制审计的职业标准逐渐成形。而且，这些标准逐渐得到了监管者和立法者的认可。 1970 年代以后，随着企业面临的风险复杂多样和风险费用的增

7、加，法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同时，日本也开始了风险管理研究。此后 20年来，美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983 年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了“101 条风险管理准则”，这是风险管理走向实践化的一个重要文件。1992 年 9 月，美国COSO 委员会发布了企业内部控制整合框架，这份框架此后被纳入政策和法规之中，并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。 1995 年由澳大利亚和新西兰联合制订的 AS/NZS 4360 明确定义了风险管理

8、的标准程序，这就是我们通常说的澳新 ERM 标准，这标志着第一个国家风险管理标准的诞生。 多年来，人们在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险管理。然而，尽管很多企业意识到全面风险管理，但是对全面风险管理有清晰理解的却不多，已经实施了全面风险管理的企业则更少。但 2001 年 11 月的美国安然公司倒闭案和 2002 年 6 月的世通公司财务欺诈案，加之其它一系列的会计舞弊事件，促使企业的风险管理问题受到全社会的

9、关注。2002 年 7 月，美国国会通过萨班斯法案（Sarbanes- Oxley 法案），要求所有在美国上市的公司必须建立和完善内控体系。萨班斯法案被称为是美国自 1934 年以来最重要的公司法案，在其影响下，世界各国纷纷出台类似的方案，加强公司治理和内部控制规范，加大信息披露的要求，加强企业全面风险管理。接着在 2004 年 9 月，COSO 发布企业风险管理整合框架（Enterprise Risk Management Integrated Framework），该框架拓展了内部控制，更加关注于企业全面风险管理这一更为宽泛的领域，并随之成为世界各国和众多企业广为接受的标准规范。 到目前为

10、止，世界上已有 30 几个国家和地区，包括所有资本发达国家和地区及一些发展中国家如马来西亚，都发表了对企业的监管条例和公司治理准则。在各国的法律框架下，企业有效的风险管理不再是企业的自发行为，而成为企业经营的合规要求。 四、内部控制与全面风险管理运用的一些误区四、内部控制与全面风险管理运用的一些误区 （1）把内部控制与全面风险管理体系的建设理解为建章立制。其实从 COSO 框架的定义中，我们可以看出它们都被明确为是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。 （2）内部控制体系

11、和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程，两者在内涵上也有一定重合，企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等，确定选择合适的管理体系和建设重点。比如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企业以风险管理主导内部控制可能更方便。而在另一些企业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可能更适合。在相关管理理论和实践不断发展变化的今天，有时候先做起来比争论更有意义。 （3）内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望，

12、他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。 （4）内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进，与国内企业原有的管理体系和观点存在较多的差异和差距，目前这些理念和方法还更多的处于导入阶段，大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。这造成了企业在这方面的理解有差异或者关注度不够，除非出现强制性的相关规范和要求。其实这些理念、概念的出现并不是说企业就缺乏这些，事实是理论来源于实践又高于

13、实践，这些理论的提出有助于我们将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。 编辑斯坦福大学研究院的企业全面风险管理框架斯坦福大学研究院的企业全面风险管理框架斯坦福大学研究院提出的是企业全面风险管理（CERM：Comprehensive Enterprises Risk Management）框架。 企业全面风险管理（CERM：Comprehensive Enterprises Risk Management）强调通过量化分析支撑下的决策分析，在决策层面上管控战略方向选择、重大业务决策等方面的风险。相形之下，COSO 风险管理框架以内控为中心，强调通过制度、流程和财务等手段，在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略，构建内控体系，完善风险管理制度，优化流程和组织职能，为企业构建风险管理的长效机制，从根本上提升风险管理的效率和效果，最终帮助企业实现风险管理的各项目标，包括： 建立包括风险识别、风险测评、风险应对和风险监控在内的企业风险管理体系 利用系统的、科学的方法对各类风险进行识别和分析 将风险应对措施落实到企业的制度、组织、流程和职能当中 形成企业风险管理战略，支持企业经营战略目标的实现 使所有企业利益相关人了解企业的风险，满足股东以及监管机构的要求