关于什么是内部控制,1992年,COSO在进行专门研究后提出《内部控制——整体框架》专门报告,并在两年后的修订稿中形成了在全球范围内被普遍接受的内部控制标准。该报告将内部控制定义为:“内部控制是受企业董事会、管理层和其他职员的影响,目的在于取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。”
对比COSO在《企业风险管理——整合框架》中对“企业风险管理”的定义(见问题2),我们不难发现,风险管理建立在内部控制框架基础上,是内部控制概念在新技术和市场条件下的自然延伸。
按照COSO框架,风险管理与内部控制的联系在于:风险管理涵盖了内部控制,COSO框架中明确地指出全面风险管理体系框架包括内部控制活动,将之作为一个子系统;同时,内部控制是全面风险管理的必要环节,是风险管理不可分割的一部分。
从差异性角度分析,风险管理与内部控制的主要不同在于:
(1)侧重点不同:内部控制侧重于制度层面,通过规章制度规避风险;风险管理则更侧重交易层面,通过市场化的自由竞争或市场交易规避风险。典型的内部控制是为保证资金安全和会计信息的真实可靠,会计控制是其核心;而典型的风险管理则关注特定业务中与战略选择或经营决策相关的风险与收益的比较,贯穿于管理过程的各个方面。
(2)管理幅度不同:风险管理包含风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动;而内部控制负责风险管理过程中及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。内部控制主要强调事中和事后的管理活动;风险管理除了对事中和事后进行管理,还会在事情开展之前进行风险的辨识和评估,并制订出相应的应对方案。
(3)对风险的对策不一致:全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,帮助董事会和高级管理层实现全面风险管理的目标。这些内容是内部控制框架所无法提供的。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
