内部控制与风险管理的区别和联系 内部控制与风险管理理论的发展与演变过程 现代内部控制和风险管理理论的发展是一个逐步演变的过程, 制度、内部控制整体框架、风险管理框架三个阶段。 (一) 内部控制制度阶段。1936年美国颁布了《独立公共 会计师对财务报表的审查》, 首次定义了内部控制: 内部稽核与控制制度是指为保证公司现金和其他资产的安全,检查 账簿记录的准确性而采取的各种措施和方法 ”,此后美国审计程序委员会又经过了多次修改。 内部控制制 大致可以区分为内部控制 1973年在美国审计程序公告 55号中,对内部控制制度的定义作了如下解释: 度有两类:内部会计控制制度和内部管理控制制度, 内部管理控制制度包括且不限于组织结 会计控制制度包括组 ” 构的计划,以及关于管理部门对事项核准的决策步骤上的程序与记录。 织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。 (二) 内部控制整体框架阶段。1992年9月,COSO委员会提出了报告 《内部控制一一 整体框架》。该框架指出 内部控制是受企业董事会、管理层和其他人员影响,为经营的效 率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。 年底美国审计委员会认可了 COSO的研究成果,并修改相应的审计公告内容。 (三) 一一整合框架》。 企业风险管理整合框架认为 企业风险管理是一个过程,它由一个主体的董事会、管理当局 和其他人员实施,应用于战略制订并贯穿于企业之中, 旨在识别可能会影响主体的潜在事项, ”该框架拓 风险管理框架 管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。 展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。 监控。 风险管理与内部控制关系研究回顾 在风险管理理论提出之后,理论界对内部控制与风险管理两者之间的关系进行了不断的 研究。总体来说主要有以下三种观点: (一) CICA( 1998)将风险定义为, 第一种观点认为内部控制包含风险管理。一个事 当您在抓住机会和管理 风险管理框架阶段。 2004年COSO委员会发布《企业风险管理 ”1996 包括了八大要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息 与沟通、件或环境带来不利后果的可能性 ”,阐明了风险管理与控制的关系: 风险时,您也正在实施控制 ”。巴塞尔委员会发布的《银行业组织内部控制系统框架》中指 出,董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些 风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风 险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会 控制标准委员会(1999)认为,控制应该包括风险的识别与减轻 ”,其中的风险不仅包括与 实现特定目标相关的风险, 而且还包括一般性的风险, (二) COSO委员会提出的《企业风险管理一一 如不能识别和利用机会, 就不能使企 第二种观点认为风险管理包含内部控制。业在面临未预料到事件以及不确定信息时保持灵活性或弹性。 整合框架》(2004)中明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不 可分割的一部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。 英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内 部控制系统在风险管理中扮演关键角色, 内部控制应当被管理者看作是范围更广的风险管理 的必要组成部分。 (三)第三种观点认为内部控制就是风险管理。 分析了内部控制是怎样变为风险管理的,并指出, Blackburn (1999)认为,风险管理与 Laura F.Spira (2003) 将内部控制定义为风险管理强调与战略 制定的内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。 联系,刻画了内部控制作为组织支撑的特点,但是,它也掩盖了一个不争的事实:现 在没有人真正明自内部控制系统是什么。 ” 基于 COSO 报告下的内部控制与风险管理比较 现代理论界对内部控制与风险管理的定义各不相同, 但被普遍接受的定义是国际权威 机构美国的 COSO 委员会对内部控制与风险管理的定义。本文以 COSO 报告为基础对内部 控制与风险管理的联系与区别进行研究。 (一) 部控制定义为, “受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的真实可 靠性、遵循相关 法律 法规等目标提供合理保证而设计的过程。 ”它包括三个目标:与运营有 关的目标, 即确保企业的经营效率和效果; 与财务报告有关的目标, 即确保财务报告真实可 靠;与法律法规的遵循有关的目标, 即确保企业经营过程中遵守有关的法律法规。 它由五个 方面的要素组成:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基 础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。 2004 年的 COSO 《风险管理整合框架》将风险管理定义为, “由企业的董事会、管理层 以及其他人员共同实施的, 应用于战略制定有企业各个层次的活动, 旨在识别影响企业的各 种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。 ” 风险管理的目标有四个: 报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的 组成要素有八个:内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息 与沟通和监控。 (二) 两者的比较 1、 它们都是由 “企业董事会、管理层以及其他人员共同实施的 ”,强调了全员参与的观 点,指出各方在内部控制或风险管理中都有相应的角色与职责。 2、 它们都明确是一个 “过程”,不是某种静态的东西。其本身并不是一个结果,而是实 现结果的一种方式。 企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。 些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。 3、 它们都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风 险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。 4、 风险管理的目标有四类,其中三类与内部控制相重合,即报告目标、经营目标和遵 循性目标。 但报告目标有所扩展, 它不仅包括财务报告的准确性, 还要求所有对内对外发布 的非财务类报告准确可靠。 另外, 风险管理增加了战略目标, 即与企业的远景或使命相关的 高层次目标。 这意味着风险管理不仅仅是确保经营的效率与效果, 而且介入了企业战略 (包 括经营目标)制定过程。 5、 风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风 险评估、控制活动、 信息与沟通、监督。 这些重合是由它们目标的多数重合及实现机制相似 决定的。风险管理增加了目标设定、 事件识别和风险应对三个要素。在重合的要素中, 内涵 也有所扩展, 例如内部控制环境包括诚实正直品格及道德价值观、 员工素质与能力、 董事会 与审计委员会、 管理 哲学 与经营风格、组织结构、 权利与责任的分配、 人力资源政策和实践 等七个方面。风险管理的 “内部环境 ”除包括上述七个方面外,还包括风险管理哲学、 风险偏 好和风险文化三个新内容。 在风险评估要素中, 风险管理要求考虑内在风险与剩余风险, 以 期望值、 最坏情形值或概率分布度量风险, 考虑时间偏好以及风险之间的关联作用。 的深度与及时性等。 在信息 与沟通方面, 风险管理强调了过去、 现在以及关于未来的相关数据的获取与分析处理, 规定 了信息这 两者的定义与内涵。 1992年的COSO《内部控制整合框架》将内 本文来源:https://www.wddqw.com/doc/c26678b0148884868762caaedd3383c4ba4cb418.html