风险管理和内部控制的组成

基于COSO报告下的内部控制和风险管理比较。

现代理论界对内部控制和风险管理有不同的定义，但被广泛接受的定义是国际权威机构美国COSO委员会对内部控制和风险管理的定义。本文根据COSO报告研究了内部控制和风险管理之间的联系和差异。

（1）两者的定义和内涵。1992年，COSO《内部控制整合框架》将内部控制定义为受董事会、管理层等人员的影响，为实现经营活动的效率和效果而设计的过程。财务报告的真实性和可靠性。遵循相关法律法规等目标，提供合理保障。它包括三个目标:确保企业经营效率和效果的目标；与财务报告相关的目标是确保财务报告的真实性和可靠性；遵循与法律法规相关的目标，即确保企业经营过程中遵守相关法律法规。它由控制环境、风险评估、控制活动、信息与沟通、监控五个要素组成。控制环境是基础。风险评估是基础。控制活动是手段。信息和沟通是载体。监控是保证。

2004年，COSO《风险管理整合框架》将风险管理定义为企业董事会、管理等人员共同实施的活动，旨在识别影响企业的各种潜在事件，影响企业的各种潜在事件，根据企业的风险偏好管理风险，为企业目标的实现提供合理的保障。风险管理有四个目标：报告目标、商业目标、遵循目标和战略目标。风险管理的组成要素有八个：内部环境、目的设置、事件识别、风险评估、风险对策、控制活动、信息沟通和监控。

(2)两者的比较。

1.由企业董事会、管理层等人员共同实施，强调全体员工参与的观点，指出各方在内部控制或风险管理中具有相应的作用和责任。

2.他们都知道这是一个过程，而不是一些静态的东西。它本身并不是一个结果，而是一种实现结果的方式。企业内部控制和风险管理是一系列渗透到企业活动中的行动。这些行动通常存在于管理者对企业的日常管理中，这是企业日常管理中固有的。

3.它们都为企业目标的实现提供了合理的保障。合理的设计。有效的内部控制和风险管理可以为企业管理者和董事会的实现提供合理的保障。

4.风险管理有四个目标，其中三个与内部控制相一致，即报告目标业务目标和遵循目标。但是，报告目标已经扩大，这不仅包括财务报告的准确性，而且还要求所有内部和外部非财务报告的准确性和可靠性。此外，风险管理还增加了与企业愿景或使命相关的战略目标。这意味着风险管理不仅保证了业务的效率和效果，而且还涉及到企业战略（包括业务目标）的制定过程。

5.风险管理和内部控制的组成部分有五个方面，即（控制或内部）环境。风险评估。控制活动。信息和沟通。监督。这些重叠是由大多数重叠的目标和相似的实现机制决定的。风险管理增加了三个要素：目标设置。事件识别和风险响应。在重叠因素中，内涵也有所扩大，如内部控制环境，包括诚实、正直的性格和道德价值观。员工素质和能力。董事会和审计委员会。管理哲学和商业风格。组织结构。权利和责任的分配。人力资源政策和实践。除上述七个方面外，风险管理的内部环境还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估因素中，风险管理要求考虑内部风险和剩余风险，以及期望值。最坏情况值或概率分布风险，以及过去的风险分析。

定义内部控制和全面风险管理。

（1）目前，国内对内部控制和综合风险管理的正式定义主要是财政部关于发布《企业内部控制规范-基本规范》和17项具体规范（草案）的通知，以及国务院国有资产监督管理委员会发布的《中央企业综合风险管理指南》。

《财政部关于内部控制规范的通知》对内部控制的定义是指由企业董事会、管理层和全体员工共同实施的一系列控制活动：企业战略、经营效率和效果、财务报告和管理信息的真实性、可靠性和完整性、资产的安全性和完整性；遵守国家法律法规和有关监管要求。

国有资产监督管理委员会《指导意见》对综合风险管理的定义是：指企业培养良好的风险管理文化，建立健全风险管理体系，包括风险管理策略、风险财务管理措施、风险管理组织职能体系、风险管理信息系统和内部控制系统，围绕总体经营目标实施风险管理的基本流程，为实现风险管理的总体目标提供合理的保障。

(2).内部控制与综合风险管理与COSO框架的区别。

一般来说，国内内部控制和综合风险管理基本参考或遵循COSO委员会内部控制管理框架和综合风险管理框架，但结合国内实际情况和一些前沿研究成果，国内内部控制和综合风险管理在各自领域有不同程度的调整。扩展和扩展。

1.目标纬度：与COSO委员会相比，财政部对内部控制的定义扩大了内部控制的定义，增加了企业战略目标和资产的安全和完整目标。国有资产监督管理委员会综合风险管理的实现目标增加了确保企业在重大风险发生后建立危机处理计划，保护企业免受灾害性风险或人为错误的重大损失。此外，其他四个目标也不同于COSO综合风险管理的四个目标，使其更适应中国企业管理的表达习惯或更具体、更容易理解。从这个角度来看，特别是内部控制目标的扩大，使其与综合风险管理目标的实现没有太大区别。

2.元素纬度：财政部内部控制通知借鉴了COSO报告5元素框架，反映了风险管理8元素框架的本质；国有资产监督管理委员会综合风险管理指南没有明确指出是5元素还是8元素，但通过风险管理的基本过程将部分综合风险管理元素整合到过程中，本质上也反映了8元素的综合风险管理框架。

国内对内部控制和综合风险管理的应用存在一些误解。

（1）将内部控制和综合风险管理体系的建设理解为规章制度的建立。事实上，从COSO框架的定义中，我们可以看到它们都被明确地视为一个过程，而不是一些静态的东西，如系统文件。技术模型等，不是单独或额外的活动，如检查和评估，最好内置在企业的日常管理过程中，作为一种常规的运行机制。

（2）内部控制系统和综合风险管理系统相互独立。内部控制和综合风险管理体系的建设是一个系统工程，两者在内涵上也有一定的重叠。企业需要综合考虑自身的业务特点。发展阶段。信息技术条件。外部环境要求等，以确定合适的管理体系和建设重点。例如，在严格监管的金融业或涉及人民生命和健康的制药和医疗行业，风险管理更加紧迫，企业以风险管理为主导的内部控制可能更加方便。在其他企业中，为了满足信息披露中内部控制报告的要求，企业以内部控制系统为主。考虑到风险管理可能更合适。

（3）夸大了内部控制和综合风险管理的作用。一些企业对内部控制和风险管理体系的建设寄予厚望。他们希望内部控制和风险管理能够确保企业的成功。确保财务报告的可靠性和法律法规的遵守性。事实上，无论内部控制和风险管理体系多么先进，都只能为企业相关目标的实现提供合理的保障，而不是绝对的保障。