登录|注册
大家都在搜:
首页>【财务会计合规】>内部控制>终于有人把内部控制与风险管理的关系讲清楚了
发表主题 回复

终于有人把内部控制与风险管理的关系讲清楚了

269查看

0回复

  • 热心网友
    30主题 30帖数

    级别:会计员

    发表于:2023-06-19 14:49:52

    风险管理与内部控制这二者的区别和联系一直是理论界和实务界争论的热点话题,且至今仍未达成共识。目前理论界对内部控制与风险管理的关系有三种不同的观点。
    第一种观点认为,内部控制包含风险管理。
    按照施控的主体,控制可分为内部控制和外部控制。1995年加拿大控制基准委员会(The Canadian Criteria of Control Board,COCO)认为:“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”,其中风险评估和风险管理是控制的关键要素。同时,该报告将风险定义为“一个事件或环境带来不利后果的可能性”,阐明了风险管理和内部控制的关系:“当你在把握机会和管理风险时,你也正在实施控制。”
    第二种观点认为,风险管理包含内部控制。
    2005年,英国Turnbull委员会(伦敦股票交易所委托英国特许会计师协会成立的,以Turnbull先生为主席,由董事长、总经理、财务经理、部门经理、外部审计人员、企业员工以及大学教授组成的委员会)认为,风险管理对企业目标的实现具有重要意义,企业的内部控制在风险管理中扮演关键角色,内部控制应当被管理者看作范围更广的风险管理的必要组成部分。2002年南非的《国王报告》(King Ⅱ Report)认为,传统的内部控制系统不能管理很多风险,例如政治风险、技术风险和法律风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更加复杂的过程。国内一些学者也认为,风险管理的内涵比内部控制更丰富,内部控制是风险管理的必要环节
    第三种观点是内部控制和风险管理的本质协调论。
    经济学家布莱克本认为,“风险管理和内部控制即使人为地分离,而在现实的商业化行为中,它们也是一体的”。还有学者分析了内部控制是怎样变为风险管理的,认为理论上风险管理和内部控制没有差异,这两个概念的外延正变得越来越广,正在转变为同一事物。




    内部控制与全面风险管理的联系




    1.全面风险管理涵盖了内部控制
    2003年7月美国COSO委员会发布的《企业全面风险管理框架(征求意见稿)》中明确指出全面风险管理体系框架包括内部控制,并将其作为一个子系统。在2004年美国COSO委员会发布的《企业风险管理整合框架》中也采用了这个观点。全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。一方面,内部控制既是风险管理的主要内容,又是风险管理的重要手段。也就是说,风险管理已经能够涵盖内部控制的所有内容,对风险进行处理和管理时,一个重要的策略选择就是健全内部控制,适当的内部控制能够降低企业所有风险至可接受的水平,但不能完全消灭所有的风险;另一方面,风险管理的最终目标与企业目标一致,在现代社会中,企业目标已经不仅仅是追求利润最大化、价值最大化,而是追求构建起一个和谐的内部控制机制,考虑所有利益相关者的利益,为此,改进和提高内部控制的效率和效果,也是风险管理的增值价值所在。
    2.内部控制是全面风险管理的必要环节
    内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内部控制系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内部控制系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。人们在考虑内部控制时,已经从会计系统角度发展到企业控制的操作层面,进而发展到涉及企业各个层面(整体层面和控制层面),但在这个演进过程中,授权、实物控制、职责分离等控制活动的合理内涵一直被强调和巩固,随后增加了风险的考虑,增加了以对治理层、管理层的约束等内容为主的企业整个层面的考虑。也就是说,风险管理继承了内部控制的合理内涵,内部控制也必然体现风险管理的理念。
    3.内部控制与风险管理的目的和结果
    从内部控制和风险管理的演进路径分析,内部控制和风险管理从不同的路径共同到达了全面风险管理的新阶段一是内部控制的研究者主要来自会计、审计和经济管理等学科领域,风险管理的研究者主要来自金融保险、安全工程、食品工程、项目管理、流行病学等学科领域。他们在不同的领域从不同的角度攀登到了全面风险管理这一新高地,从而将内部控制和风险管理的研究推向一个新阶段。二是内部控制和风险管理都是一个动态的过程,强调内部控制和风险管理应该与企业的经营管理过程相结合,并受人的因素的影响,强调“软控制”(即精神层面的内容,例如管理当局的风格和理念、企业文化等)的作用和风险意识,即不同企业的内部控制和风险管理都深深地打上了不同的企业文化的烙印。三是内部控制和风险管理均受目标驱动,并且明确组织中的每一个人都对内部控制和风险管理负有责任,而且由于内部控制的固有限制,内部控制和风险管理只能提供合理保证,而非绝对保证。



    内部控制与全面风险管理的差异




    1.两者的范畴不一致
    内部控制仅是管理职能中的一项内容,主要是通过事后和过程的控制来实现其自身的目标;全面风险管理则贯穿管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制定目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
    在目标上,总体来说,风险管理与内部控制的目标具体内容较为相似,但风险管理比内部控制多了一项战略目标,即高层次目标,与使命相关联并支撑其使命,这说明相对于内部控制,风险管理更注重从全局战略角度对整个企业未来可能发生的事件进行规划
    2.两者的活动不一致
    全面风险管理的一系列具体活动并不都是内部控制要做的。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理,以及报告程序等活动。内部控制所负责的则是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于,内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估
    3.两者对风险的定义不一致
    在美国COSO委员会发布的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”,将风险与机会区分开来;而在其发布的内部控制框架中,没有区分风险和机会。
    4.两者对风险的对策不一致
    全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的,也是它所不能做到的。



    风险管理框架下的内部控制




    尽管内部控制和风险管理实质上具有统一性,但风险管理毕竟是对内部控制的发展,两者的衔接凸显在从风险的视角理解和实践内部控制,即风险管理框架下的内部控制。
    1.平衡内部控制与风险管理的关系
    风险管理框架下的内部控制是站在企业战略层面分析、评估和管理风险,是把对企业监督控制从细节控制提升到战略层面及公司治理层面。风险管理不仅关注内部控制建立,最主要的是关注内部控制运行与评价,从企业所有内外风险的角度为公司治理层、管理层持续改进内部控制设计和运行提供思路,风险管理比内部控制的范围要大得多,如图1-2所示。图片图1-2风险管理范围
    2.前动与后动的平衡
    在风险管理框架下的内部控制既包括提前预测和评估各种现存和潜在风险,从企业整体战略的角度确定相应的内部控制应对措施来管理风险,达到控制的效果,又包括在问题或事件发生后采取后动反应,积极采取修复性和补救性的行为。显然,在未发生风险负面影响前就采取措施,更能够根据事件或风险的性质,降低风险的损失,降低成本,提高整体管理效率
    3.治理、风险、控制的整合
    风险管理框架下的内部控制试图寻求一个有效的切入点使得内部控制真正作为组织战略管理的重要成分嵌入组织内部,提高组织对内部控制重要性的认同,并使得内部控制能为组织战略目标的实现做出更多的贡献。依照风险管理的整体控制思维,扩展内部控制的内涵和外延,将治理、风险和控制作为一个整体为组织目标的实现提供保证。这一整合的过程将克服原本内部控制实施过程中内部控制与管理脱节的不足,整个组织风险管理的过程也是内部控制实施的过程,内部控制不再被人为地从企业整个流程中分离出来,提高了内部控制与组织的整合性和全员参与性。
    4.“从上到下”控制基础和“从下到上”风险基础的执行模式的融合
    一提到内部控制,人们往往认为是管理者制定出相应的规章制度来约束员工的。但风险管理框架下的内部控制既体现内部控制从上到下的贯彻执行,也强调内部控制从下到上参与设计、反馈意见以及倒逼机制,即从上到下控制基础和从下到上风险基础的执行模式的融合



    内部控制五要素与

    风险管理八要素的关系




    内部控制五要素包括控制环境、风险评估、控制活动、信息与沟通以及监督风险管理八要素包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控(见图1-3)。图1-3 内部控制五要素与风险管理八要素的关系
    相对于内部控制五要素,风险管理多了目标设定、事项识别和风险应对三个要素。比较而言,风险管理八要素主要有以下突出的地方:

    其一,风险管理中的内部环境扩展了控制环境的内涵,强调风险管理概念以及董事会的独立性
    其二,风险管理八要素更加强调风险评估在风险管理中的基础地位,将内部控制中的风险评估扩展为一个由四要素组成的过程——目标设定、事项识别、风险评估和风险应对。
    其三,风险管理扩展了信息与沟通要素,企业不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响。
    但是如果从内部控制五要素和风险管理八要素的内涵上来分析,我们看到了内部控制和风险管理的控制活动是一致的,不同的是风险管理将控制管理提前,侧重于围绕目标设定对风险的识别、评估和应对处理。如果能够站在战略层面拓展内部控制中“风险评估”的要素,把内部控制的对象扩展为风险,无论是内部控制的建设、设计、运行还是独立检查、评价都基于风险分析,内部控制和风险管理则基本上趋同了。
    分享
    关闭

    分享到微信朋友圈:

    微信扫一扫分享

    复制
    复制成功!

    回复

发表回复