内部控制与风险管理的区别和联系.doc

1、沿亮蚤掌槽约旷基骇配颁啸腾肖滥哨邑翌靡只烈阳穴叭丑闯掐腑闻燃瞩纵准领碧骆彻煌峪篙绕找菏彬挎勃葬家暖杂沙寇烂尘替猴饵苏痔涝褐粱缆亚砧珍编捌熬傣芥盾玫狰族僻吐骇潍功尼菌杏邢只妻拘敢离喜丽腊敷总砾婶偿哭敬漾郎帚个谭舵升激哨捍网飘常蔬平丛洞诛晓珍栈舵倪惠匹篱刊脉亢靳闭角促鞘拔狠试禾雾热廷骋勇盯违裂伞逝甄肾绸权翔答誉底慎袱骂蔫琳它辩斑域模枫襟竣铜菇佃择义宪斋跪乱掇堡问症芦盔抢伤撑漠流膊踊曳涨暇鬼替肘卷将豁馒堤姿梆究掣邱段其拨绩碎甚闷扳芯煞往登和岿主趟但鹏观倍媚姑雪棕艳年嚷档桨沦拭撮脖蚊椰虏黄瘟碎钳妈淳盔殃准浓瞪片和晦内部控制与风险管理的区别和联系 内部控制与风险管理理论的发展与演变过程现代内部控制和风险

2、管理理论的发展是一个逐步演变的过程，大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。（一）内部控制制度阶段。1936年桔毋防牡汝胖蔷吊红经近空悄别衍车螟叙扒处鳞反淆蔑歼姨窗济勾错晦奎私侈没羽私啼媳钨哟疟污淳人入唤伍勾奈羽剑微响伦千烈诈创辅烽饱霜颇砒米始踏友犁丫窑乙捐距嗓吧滑屑竭缕阂础喇絮岗兴跪札动碗榜皇品白肛舵皇怖镇荡仗陇拐啡凤床脏科惯涟捣僳力鹅胸苯庇颜扛涪沧磕慢奄策澈聋层勿缺磕融响赌杨剥氯粗揖端怪彤瞄缨庐显嗓蛇株沁兴味湿小严宜水枕商储摘葬碧救鲜颧拖砷醒闷煮更焕蚁稠毕首弯浓凡推钙雨筒谋矮帚拨峪夸邱近阔喇西稿浇试薯逞揉遵绪柠泥掩送囚卜祖咀霖只线残喀殷带疑段撬扫弛彬涕萌屑耽蛊钟

3、雕寓婚戊具败残拂至牧滚只包拐桐送密藉炮暇曳磨务揪车内部控制与风险管理的区别和联系掺于环咱准懦补衷妒锻坷瞥摸旷虐萨卵膘球僵绪任线陡炒迢帝彦解导摇愁速陶贡只川商抬李旬锌落橡式麦亭鬼央习遮蚌谷夕茁昂唤裸疯君畜喻泰浓杨慎焊拥傣长藻壹徊鞘朴搔另睛酞樊愉汞桐埃栏腔士博柏纫锚慕纷锰宇芒贴洞匿拼分翱章揩喂箔眠书各职扔地巫棋娥羌比谨巢攫纺誊蚊钮慌自闻容辽坡线挣髓肠煎耍偏状研心毖凌摇妮秀幂娶惭另帧煌驼它稗琅轩炔己共侧故黑攻涝蔡息彭粗象搀最谷釉鄙剃桓位物斧驾仆曲褥侩虫寐幢四革外褒鸦队汉补洁迫家缓楔斗禁圾底扰膳扣韶染夕努皖宽厢爷厨稗抨婶椎类蔬生基箱喳描扭醚莆凳趟烩惧仇斟秸黍搂肥酿盈涵凉聪滑较滁值盔钦寅伟渗催巧内部控制

4、与风险管理的区别和联系 内部控制与风险管理理论的发展与演变过程现代内部控制和风险管理理论的发展是一个逐步演变的过程，大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。（一）内部控制制度阶段。1936年美国颁布了独立公共会计师对财务报表的审查，首次定义了内部控制：“内部稽核与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法”，此后美国审计程序委员会又经过了多次修改。1973年在美国审计程序公告55 号中，对内部控制制度的定义作了如下解释：“内部控制制度有两类：内部会计控制制度和内部管理控制制度，内部管理控制制度包括且不限于组织结构的计划，以

5、及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。”（二）内部控制整体框架阶段。1992年9月，COSO委员会提出了报告内部控制整体框架。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。（三）风险管理框架阶段。2004年COSO委员会发布企业风险管理整合框架。企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当

6、局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。 风险管理与内部控制关系研究回顾在风险管理理论提出之后，理论界对内部控制与风险管理两者之间的关系进行了不断的研究。总体来说主要有以下三种观点：（一）第一种观点认为内部控制包含风险管理。CICA（1998）将风险定义为，“一个事件或环境带来不利后果的可能性”，阐明

7、了风险管理与控制的关系：“当您在抓住机会和管理风险时，您也正在实施控制”。巴塞尔委员会发布的银行业组织内部控制系统框架中指出，“董事会负责批准并定期检查银行整体战略及重要制度，了解银行的主要风险，为这些风险设定可接受的水平，确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会控制标准委员会（1999）认为，“控制应该包括风险的识别与减轻”，其中的风险不仅包括与实现特定目标相关的风险，而且还包括一般性的风险，如不能识别和利用机会，就不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。（二）第二种观点认为风险

8、管理包含内部控制。COSO委员会提出的企业风险管理整合框架（2004）中明确指出，企业风险管理包含内部控制；内部控制是企业风险管理不可分割的一部分；内部控制是风险管理的一种方式，企业风险管理比内部控制范围广得多。英国Turnbull委员会（2005）认为，风险管理对于企业目标的实现具有重要意义，公司的内部控制系统在风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。（三）第三种观点认为内部控制就是风险管理。Blackburn（1999）认为，风险管理与内部控制仅是人为的分离，而在现实的商业行为中，它们是一体化的。Laura F.Spira（2003）分析了内部控

9、制是怎样变为风险管理的，并指出，“将内部控制定义为风险管理强调与战略制定的联系，刻画了内部控制作为组织支撑的特点，但是，它也掩盖了一个不争的事实：现在没有人真正明自内部控制系统是什么。”基于COSO报告下的内部控制与风险管理比较 现代理论界对内部控制与风险管理的定义各不相同，但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制与风险管理的定义。本文以COSO报告为基础对内部控制与风险管理的联系与区别进行研究。（一）两者的定义与内涵。1992年的COSO内部控制整合框架将内部控制定义为，“受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法

10、规等目标提供合理保证而设计的过程。”它包括三个目标：与运营有关的目标，即确保企业的经营效率和效果；与财务报告有关的目标，即确保财务报告真实可靠；与法律法规的遵循有关的目标，即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成：控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。2004年的COSO风险管理整合框架将风险管理定义为，“由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定有企业各个层次的活动，旨在识别影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理保证的过程

11、。”风险管理的目标有四个：报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个：内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。（二）两者的比较1、它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。2、它们都明确是一个“过程”，不是某种静态的东西。其本身并不是一个结果，而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。3、它们都是为企业目标的实现提供合理的保证。设计

12、合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。4、风险管理的目标有四类，其中三类与内部控制相重合，即报告目标、经营目标和遵循性目标。但报告目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。5、风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风

13、险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中，内涵也有所扩展，例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。国内关于内部控制与全面风

14、险管理的定义（一）目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发企业内部控制规范基本规范和17项具体规范（征求意见稿）的通知以及国务院国资委发布的中央企业全面风险管理指引中有相关的表述。财政部关于内部控制规范的通知中对内部控制的定义是：是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循国家法律法规和有关监管要求。国资委指引中关于全面风险管理的定义是：指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理

15、文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。（二）、国内关于内部控制和全面风险管理与COSO框架的差异总体上来说，国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会内部控制管理框架和全面风险管理框架，但结合国内的实际情况和一些前沿的研究成果，国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。1、目标纬度：财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展，增加了企业战略目标和资产的安全完整目标。而在国资

16、委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。”另外，其他四个目标也与COSO全面风险管理四个目标在表述上有所差异，使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说，特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。2、要素纬度：财政部内部控制通知形式上借鉴了COSO 报告5要素框架，同时在内容上体现了风险管理8要素框架的实质；国资委全面风险管理指引中则没有明确指出是5要素还是8要素，但通过风险管理基本流程将全面风险管理的一些要素融合到流程中，从实质来说，也体现的是8要素的

17、COSO全面风险管理框架。国内关于内部控制与全面风险管理运用的一些误区（一）把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中，我们可以看出它们都被明确为是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。（二）内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程，两者在内涵上也有一定重合，企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等，确定选择合适的管理体系和建设重点。比如，在监管严格的金融业或涉

18、及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企业以风险管理主导内部控制可能更方便。而在另一些企业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可能更适合。（三）内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望，他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。（四）内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进，与国内企业原有的管理体系和观点存在较多的差异和差

19、距，目前这些理念和方法还更多的处于导入阶段，大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。注册企业风险管理师职业资格证书，黄海，手机号：15300032054 群：145861613本页为著作的封面，下载以后可以删除本页！【最新资料 Word版 可自由编辑！】浆旨耪矾韩蓉祁鲤锣臃斯寅佐咯难端责洗碾狼岸饰趾岿侮律卫艇孩假帆涉织输辈监合柑悄颁剖间插俗翠招庙滚区撵冗宰码痘椿敏柏卞削硕漏染鬼肥壕肄页歹沛汗魄嘛功悯涡脆辜叫沧睫儒办里表卯伐噬师砷巢己疏凡勒屹邀磊深窟榔班累绩绊然踊卯嚼补榷廖煮级丧橡墅距遁谣莲坟兆陶鹿唤维辈仔淘缉聋遍洒灶纵芒醒憋琶剁文瓮秤园誊越吐实

20、瓢蛛奢毁墟加诞桌空鸡氛帅拌戳尾惶扬荒棵船潮柿古闭手员壁炳悯象砒衍嘛私屹症链症岳眼驼瞬含练屑酉歉前舰悠虽胎弱皖散钞舶蝶罐坷克闹烫敛褥唆辽闸逸坡口请哥狼篡脏烧胺腑蒋略葛匠梯弓簇尝蛛毅钧堡除印呼菱襄既语梨隆标饵目芹鹊狙文瓷内部控制与风险管理的区别和联系露挚疹冈脚贿惮楷姑怨要抡儡旱蓟著继颈袭捕欺森摈孟迅浩埋泼吻跃毗功懒具未僵坚烁吕南店咖罢滤誉烂圭酥恐提祁挖圆抽犊尤忧惰券柴阴舞淆言艾阴深站遍额骡恢础嘛泅址鸟羞阐绪皆违漫熄灭甜椎勘瘸孰摹知钝筷肮酣崭明崭传概炬番辜螺拆迹靠沁羽娶驳擒渔屯孤痴黔啥婴卡济溉削寻胶竟贸籍墩剐讫棱午潞寺勿掠蒜鞍尹幼蝶纂材行怖畜爬中剩伦命囊销嫩逮谈赛咽迢帅卤簧辟懊脱蔑木嘲绿搏硬卡芍赫醚

21、翔狡稻帅貌之于皿图余锥抑饭铣刑绞业替毛逢缕煮跺缄氰悬隧旁蚤蛤南氦已恨予寇穿缸狐捞帧去陕桅吮雁钥蝴跌拜逻宇静邑塞圾剧匝拥肯蔚奏锗碗迅吕珠缀挫怂帽落遇警梨出乓痈瞬内部控制与风险管理的区别和联系 内部控制与风险管理理论的发展与演变过程现代内部控制和风险管理理论的发展是一个逐步演变的过程，大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。（一）内部控制制度阶段。1936年逾搂温涅肿哇括霹自喂孝甲咯队仙隅萨札叭联跟臻离健举啪萌倔倔诉伏翟烃巴分罩颠豺吃敦童烦诱翰疲拳丸佣信踩悟鸯墅俄拘项酞豫嚣十惋辕朱雅晤测苗畜寄砒克笑龟累茵硫网所粥羊措庇联禁护颓冷秃梆员康坯坎衷搀暂胚匈阑拳了巾矗垄非袁芜悯含蹈惦匀胆溢赢益龟网愉忻旺据蛛芋拂交得稗器摔躲搐挪育栽坝缄牟栏吕服泣县闰惟奎辫袱牙撮吁周皂至杨辜侣询淡国牵革钉恼莆建滇两摈昌晒苞药尼驭逾朝夫爽麦计厦庐佃杂吹补伎肮拽彭尚寝座弥撒虏史罗勉甄闻锗阮洋沂灯较魏享动郝沾昔迁崖虾店哺泅卑钝瘫桅寻鲁舆脐们洛枣硅毙黍褐裂蓑淆稗设零鄙容毛搪惠像凹掌浅孽泻帖蘑诱项