内部控制等相关理论与概念的阐释

　　第二章 内部控制等相关理论与概念的阐释

　　第一节 基本概念

　　一、内部控制

　　目前，理论界、企业界在表述内部控制上各不相同，大多数认同美国 COSO委员会对内部控制的定义，认为：企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素：控制环境、风险评估、控制活动、信息与沟通与监督。

　　二、风险管理

　　风险是指未来的不确定性对企业实现其既定目标的影响，风险管理是当企业面临市场开放、法规解禁、产品创新，均使变化波动程度提高，连带增加经营的风险性。良好的风险管理有助于降低决策错误之几率、避免损失之可能、相对提高企业本身之附加价值。

　　2004 年 10 月，美国 COSO 委员会在《企业风险管理--整合框架》中对风险管理框架的定义是：“企业风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证”。

　　第二节 风险管理与内部控制管理的主要区别

　　事实上，一个企业中的各职能部门、各个岗位之间存在着不同的风险要素，这些风险要素不是各自独立存在的，有时会出现相互叠加而放大，有时则会相互抵消而减少，风险要素带来的损失消失了。为此，我们对待企业内部控制管理不能单一地对某个部门、某项业务的风险识别进行考虑，必须采取风险组合的观点，用全局的眼光识别风险源，科学分析风险要素，合理评价可能造成的影响，进而推行全面风险管理，采取可行的措施有效规避、转移和自留风险，让有利的风险要素发挥出正面的作用，让有危险的风险要素可能带来的损失降至最低。

　　一、主要内容不同

　　首先，风险管理活动包含了内部控制管理所关注的内容，只是内部控制侧重于负责管理过程中的重要活动，是事中和事后的控制，比如对风险源的识别和评估，由此而采取的控制措施，以及实施信息沟通、监督与纠偏等工作。其次，风险管理过多地强调拟定的管理目标、选择的评价方法、任命组织人员，以及制定相关的工作流程等活动，从事前预测分析开始布控。企业管理目标的制定是两者最大的不同之处，内部控制只是对目标的制定和执行过程进行客观评价，风险管理则广泛的多。

　　二、侧重点不同

　　从内部控制和风险管理活动内容上看，两者同为企业管理的一项基本管理职能，内部控制管理侧重于通过对管理过程与对事后的控制达到预定的目标；风险管理则更多地涉及到过程管控的各个环节，不仅强调事前制定管理目标，事中与事后还进行有效控制，更多的是在事前决策时就充分考虑各种风险要素的存在，通过分析与评价有针对性地制定科学的风险防范措施。风险管理对企业管理应达到的目标远大于内部控制对目标的期望值。

　　三、管理措施不同

　　风险管理是引入了风险偏好、风险容忍度、风险对策等概念，在实施风险度量的基础上将风险管理理念引入到内部控制的各个环节中，既对企业的中长期发展战略目标与风险偏好一致性有利，有助于企业的可持续发展变成现实，也有利于企业执行层落实全面风险管理的各项目标，汇集多种管理要求实现企业的宏伟蓝图。风险管理强调较多的是对活动的预控措施，内部控制管理则注重事中、事后的管控措施。

　　第三节 风险管理与内部控制管理的主要联系

　　一、风险管理涵盖了内部控制管理的的基本内容

　　风险管理是一门致力于研究风险要素发生的规律和风险管理控制技术的学科。2013 年，美国的《内部控制--整合框架》和相关说明性文件明确指出内部控制是风险管理体系的一个子项，提出风险管理目标除内部控制的全部目标外还有企业的战略目标，并且新增了目标设定、事件识别、风险对策等三个要素。

　　通过内部控制和风险管理的发展历程分析，不论从时间顺序还是从内容上分析，风险管理都是对内部控制的进一步拓展和延伸，通过社会实践活动进一步丰富的内部控制理论。

　　二、内部控制管理是风险管理过程中的必要环节

　　内部控制是实施风险管理必要的、行之有效的办法，所有业务工作流程中的风险都可通过内部控制得到合理地防范，发挥出应有的作用。企业对风险的认识也是推行内部控制的主要动力，企业面临的大多数生产经营风险，遇到的多种不确定因素，以及企业所有业务流程中的风险要素都体现了内部控制管理的重要性。因此，企业开展风险管理活动，运用科学的方法组织风险识别、风险评价，有针对性制定防范风险的措施，采取行之有效的管理措施满足内部控制管理目标的要求，也是企业建立健全风险管理下内部控制管理体系应达到的目标要求。

　　总之，通过梳理内部控制和风险管理的历史演变过程分析，人们对风险管理的认识较晚，但风险管理与内部控制在社会实践活动的作用下融合成一个整体是个必然的发展趋势，是深化内部控制理论的研究成果，是企业内部控制管理适应社会实践活动的客观需要。

　　第四节 《中央企业全面风险管理指引》的阐释

　　2006 年 6 月，国资委根据《企业国有资产监督管理暂行条例》的要求出台了《中央企业全面风险管理指引》，提出了在企业内部开展全面风险管理的指导意见，不仅借鉴了美国的《企业风险管理--整合框架》等的国家风险管理标准，英国等国家和地区的相关规定，还综合考虑了我国的相关法律法规和企业发展的实际情况，明确了企业实施内部控制管理的指导原则、目标、内容，为完善国有资产的监管力度，有效防范企业风险，着力降低风险可能带来的损失具有示范指导作用。

　　一、企业风险与全面风险管理的概念

　　《指引》中的企业风险是指未来的不确定性对企业实现其经营目标的影响，指出企业内部面临的一级风险主要有战略风险、市场风险、运营风险、财务风险、法律风险等要素，每一项风险要素下又有若干个二级、三级风险要素。风险有多种分类方式，以企业风险能否为企业带来盈利等机会为标志，企业风险又可为纯粹风险和机会风险，对风险要素有了更深地认识。

　　《指引》中详细阐述了全面风险管理的概念，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

　　二、《中央企业全面风险管理指引》的主要内容

　　《指引》全文 10 章共 70 条，包括三大部分 8 个方面内容，表述了全面风险管理所涉及的管理要素，针对不同的风险要素采取不同解决方案。全面风险管理的内容见（表二）。

　　企业实施全面风险管理后，除收集国内外企业因风险管理失控蒙受损失的案例外，还应当收集与本企业有关的其他风险信息，具体内容见（表三）。