企业内部控制与风险管理关系研究报告

目录一、内部控制与风险管理的定义……………………………………………………………1（一）内部控制的定义………………………………………………………………1（二）风险管理的定义………………………………………………………………2二、内部控制与风险管理两者的联系………………………………………………3（一）内部控制与风险管理的相同点………………………………………………3（二）内部控制与风险管理的联系…………………………………………………3三、内部控制与风险管理两者的区别………………………………………………4(一)两者内涵不同…………………………………………………………………4（二）两者的职能不同………………………………………………………………5四、对内部控制与风险管理的关系研究………………………………………………5（一）现时世界对两者关系的观点…………………………………………………5（二）对两者关系的理解与观点……………………………………………………6五、完善内部控制与风险管理的建议………………………………………………6（一）设置全面风险管理内部控制组织体系………………………………………6（二）强化各关键环节风险控制,制定风险管理解决预案…………………………6（三）构建先进的风险管理信息系统,实现风险预警………………………………7参考文献………………………………………………………………………………7企业内部控制与风险管理关系与研究近年来,企业风险管理与内部控制在许多专业文献中提及,对于二者的区别和联系也一直是争论的热点话题,但对其异同仍未达成共识,正确地把握两者之间的关系,对干完善企业管理理论,推动经营管理水平的提高具有极其重要的意义。美国COSO委员会在1992年发布了《内部控制-整合框架》报告（1994年又提出了该报告的修改篇），2004年又发布了《企业风险管理-整合框架》报告。COSO这两个框架报告分别对内部控制和风险管理理论进行了详细阐述，并对实践提出了指导性意见。从这两个报告看，COSO提出的内部控制和风险管理这两个概念有着十分密切的联系，但又存在明显的不同。本文旨在根据这两个框架报告对两者的异同进行分析。一、内部控制与风险管理的定义(一)内部控制的定义内部控制是指一个单位为了实现其经营目标，保护资产的安全完整．保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。1992年9月，COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。而该报告提出了内部控制的五大要素：企业内部控制与风险管理关系研究报告【最新资料，WORD文档，可编辑修改】1．内部环境。是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。2．风险评估。是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。3．控制措施。是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。4．信息与沟通。是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。5．监督检查。是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。（二）风险管理的定义1风险管理：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。2004年COSO委员会发布《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。1．内部环境内部环境包含了组织的风格，它确定了组织人员如何看待和处理风险的基础，是其他要素的基础内部环境具体包括风险管理哲学风险偏好董事会诚实度和道德价值观组织结构胜任能力人力资源政策与实务权责分配。2．目标设定在管理层辨别影响其目标实现的潜在事项之前，必须有目标企业风险管理要求管理层设定目标，选择的目标需要能够支持组织的使命并与组织使命相一致，同时与其风险偏好相一致。3．事项识别即识别那些影响组织目标实现的内外部事项，并区分为风险和机会机会将被考虑进管理层的战略或目标设定过程中。4．风险评估1董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究，2009,（11）.必须对风险加以分析，考虑其发生的可能性以及影响，并作为确定这些风险应如何加以管理的基础应当对固有风险和残存风险加以评估。5．风险应对管理层应在不同的风险应对（包括回避接受降低分担风险）中做出选择，从而采取一系列与组织的风险容忍度（risktolerances）和风险偏好相一致的行动。6．控制活动应建立相关的政策和程序，以确保风险应对策略得到有效的执行控制活动通常包括两个要素：确定应从事何种活动的政策执行政策的程序。7．信息与沟通应当按照特定的格式和时间框架来识别捕捉相关信息，并加以传递沟通，从而使人们可以履行其职责有效的沟通存在于较广泛的意义上，包括向下向上以及平行交互沟通。8．监控整个企业风险管理都应当加以监控，并根据需要做出调整监督可以通过持续性的管理活动单独评价或者二者同时来实现。二、内部控制与风险管理两者的联系内部控制与风险管理有必然的联系，COSO委员会在1992年提出了报告《内部控制——整体框架》，之后在2004年在内部控制的内容框架上发布了《企业风险管理——整合框架》，在这两份报告中可以看出两者之间的共同点。(一)内部控制与风险管理的相同点第一，它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。第二，它们都明确是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。第三，它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类，其中三类与内部控制相重合，即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。第四，风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中，内涵也有所扩展，例如，内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好（riskappetite）和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。（二）内部控制与风险管理的联系第一，内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama＆Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。C0SO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”第二，内部控制是全面风险管理的必要环节，内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出，内部控制是为了实现经济组织的管理目标而提供的一种合理保障，而真实的财务报告和有效益的经营也正是企业全面风险管理应该达到的基本状态。第三，技术及市场条件的新进展，推动了内部控制走向风险管理。在先进的信息技术条件下，会计记录实现了电子控制、实时更新，使传统的查错与防弊的会计控制显得过时。然而，风险往往是由交易或组织创新造成的，这些创新来源于新兴的市场实践，如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面，环境保护及消费者权益保护的加强，都强化了企业的社会责任，若一有不慎，企业就可能遭受来自商品市场或资本市场的惩罚，表现为企业的品牌价值或资本市场上的市值贬损。因此，企业需要一种日常运行的功能与结构来防范风险，包括遵守法律与法规，确保投资者对财务信息的信任以及保证经营效率等。因此，从维护与促进价值创造这一根本功能来看，风险管理与企业内部控制的目标是一致的，只是在新的技术与市场条件下，为了更有效地保护投资者利益，需要在内部控制的基础上发展更主动、更全面的风险管理。三、内部控制与风险管理两者的区别2(一)两者内涵不同1．目标体系不同风险管理框架的目标有四类，其中经营类目标和合规类目标与内部控制框架的目标基本重合。风险管理框架增加了战略目标，内部控制框架未提及该目标，战略目标的制定是企业治理层面要参与解决的问题，这表明风险管理属于企业治理层次，内部控制属于企业管理层次；风险管理框架把财务目标扩展为报告目标，报告目标不仅包括财务报告目标，还包括对内对外发布的