第 2 章 风险管理的理论基础
2.1 风险及风险管理
2.1.1 风险的概念、特征及分类
(1)风险的概念对于风险,理论上还没有统一的定义,一般认为风险是指遭受各种损失的可能性。风险是一种差异结果,是在特定的时间和条件下,由于某种原因导致的预期的结果与实际结果之间的差异。风险是事件本身的不确定性,或者说某一不利事件发生的可能性。其中不确定性是指事前只知道采取行动后可能发生的结果,而难以知道发生的概率,或者均不知道,只能大概估测,因而风险是难以准确估量的。由风险的定义中可知,风险的界定是有一定条件的,一方面是要有不确定性,二是要产生损失的后果,二者缺其一就不能称之为风险,即确定会发生损失的事件和不能造成损失后果的不确定性事件都能界定为风险。
(2)风险的特征
①风险具有客观性。风险是客观存在于企业的生产经营过程中的,它存在于企业投资、融资、资金流转等环节,这种客观性是不以人的意志为转移的。企业要进行生产经营活动,就必然伴随着某种风险的存在,不管企业愿不愿意承担,但是这些风险是伴随着企业经营活动而客观存在的。
②风险具有不确定性。企业风险的形成与发生是一个复杂的过程,不是一蹴而就的,它是各种因素综合影响的结果。它的这种复杂性也决定了其不确定性,我们不能准确预见其发生,即使能预测,我们预测结果也会因为人类的预测能力有限性而发生各种偏差。同时,企业的风险也会受到各种内部条件或外部环境的影响而随时发生变化,这也增加了其不确定性。
③风险具有可控制性。虽然企业的风险的发生和发展是复杂的和不确定的,但是这并不代表事情的发生是不可控的。因为任何事情的发生都是有因可循的,所以只要能准确及时的找到风险发生的原因,我们就可以针对问题采取有效的措施进行预防,有意识的提前进行防范,这样就可以降低风险发生的可能性或减少风险带来的损失。
④风险具有相对性。众所周知,不同的风险对于不同的主体来说造成的影响是不同的,这取决于主体的风险承受能力,即风险承受能力大的企业受风险影响小,风险承受能力小的企业受风险影响大。企业的风险承受能力的大小跟众多因素都有关,比如企业的发展实力、企业拥有的资源、项目活动的地位等等。不同的决策者面对风险的态度和反应也是不同的,风险偏好者和风险厌恶者在面对风险时采取的经营策略和管理方法也是不同的,这都是风险的相对性的体现。
⑤风险具有危害性。风险总是会给企业带来危害的,无论这种危害是实际发生的还是潜在的,是可以量化的还是不可量化的,都会不同程度的影响企业经营活动的连续和经济效益的稳定。较大的风险不仅会影响企业的正常运营,甚至可能是企业陷入发展危机,进而危及企业的生存。
(3)风险的分类基于不同的研究范畴和管理风险目的,可以从不同的角度对风险进行分类,各种分类方法各具逻辑性和互补性。风险的分类通常会分为广义和狭义之分,常见的广义的分类主要有以下几种:
①按照风险带来的不同后果分为:纯风险和机会风险。
纯风险,顾名思义,就是指只会造成损失而不会带来任何益处的风险。就像自然灾害,一旦发生就会造成或大或小的损失,如果不发生只是不会造成损害,但是也绝对不会带来任何益处。纯风险的主要表现形式有社会和政治方面的风险。机会风险是指损失和收益可能并存的风险类型,即既有可能造成损失又有可能带来收益,最典型的风险就是投资带来的风险,投资决策本身就含有很大的风险性,如果一项投资决策成功就能带来巨大的收益,但是一旦决策失误就会造成极大的损失。由此可以看出,机会风险具有很大的诱惑力,虽然伴随着承担损失的可能性,但是又包含着极大的收益在里面,所以人们往往会被其带来的收益一叶障目,而忽视其潜在的风险,惨重的损失也往往就会在这时候发生。
纯风险和机会风险是有区别的,在外部条件相同的情况下,纯风险出现的概率是比较大的,并且会呈现出规律性,因此人们能够比较容易的掌握其出现的规律,从而利于规避与防范。但是机会风险的发生没有规律可循,不确定性极强,因此人们无法准确预测,因而无法及时的规避与防范。另一个方面,纯风险与机会风险是可以同时存在的,就像黄金所有人就会同时面临纯风险和机会风险,黄金的磨损造成损失就是纯风险,而其随经济形式发生的价值的升降就是机会风险。
②按照风险影响范围的大小分为:基本风险和特殊风险。
基本风险是指具有普遍性的风险,是对宏观经济整体或者大众人群起作用的风险,没有针对性,像自然灾害、通货膨胀等。基本风险具有影响范围大,后果严重的特点。特殊风险是指具有特殊针对性的风险,针对某一特定的组织或个体产生作用的风险,没有普遍性,像房屋失火等。特殊风险的影响范围要比基本风险小的多,但是后果严重性具有侧重性,对个体而言会很严重,而对大众或者整个经济来说可能就是微不足道的。
基本风险与特殊风险虽然有区别,但是有时候也是很难严格区分的,最典型的莫过于“9·11”事件。仅撞机这个行为而言,属于特殊风险应当说是顺理成章的,但是就其对美国和世界航空业、对美国人的心理乃至美国整个经济的影响却远远超过某些基本风险。而从恐怖主义的角度来说,则“9·11”事件应该属于基本风险。因此,基本风险与特殊风险的划分与界定是需要具体情况具体分析的。
③按照风险产生的不同原因可分为:自然风险、社会风险、经济风险等。
按照风险产生的不同原因可分为:自然风险、社会风险、经济风险、政治风险、技术风险等。其中,自然风险和技术风险是相对独立的,经济风险的界定存在一定争议,不同的学者具有不同的看法,有的学者还将金融风险从经济风险中单独划分出来作为一类风险。除此之外,由政治、经济和社会的相关性我们可以想到,经济风险、社会风险和政治风险也是存在一定联系的,相互影响相互交叉。
④其他风险。风险的类别除了以上几种以外,还可以按照其他的方式进行划分,比如按照风险发生的主体可以分为企业风险、公共风险和个体风险,按照风险的分布不同分为地区风险和行业风险,按照风险的分析主客观性分为客观风险和主观风险等。
狭义的风险分类即企业分类,企业具有行业特征,适用于某一行业的分类,对另外一个行业也可能就明显不适用,所以在选用行业风险分类上,没有绝对的对与错,只有合理与否。
2.1.2 风险管理概念、目标和原则
(1)风险管理概念关于风险管理的概念不同的人有不同的见解,至今仍未有统一标准的界定。
风险管理是督导和控制企业风险的所有协调性活动,是单位或者个人为了降低风险带来的损失后果而进行的决策的过程。通过风险识别和风险评估,然后选择最优的风险管理方式组合,对风险进行有效控制和妥善处理,从而达到最大化降低风险损害程度的目的。风险管理含义的具体内容包括:
①风险管理的对象是风险。
②风险管理的主体可以是任何组织和个人,包括个人、家庭、组织(包括营利性组织和非营利性组织)。
③风险管理的过程包括风险识别、风险评估、风险管理方案选择和风险管理效果评价等。
④风险管理的基本目标是以最小的成本收获最大的安全保障。
⑥风险管理成为一个独立的管理系统,并成为了一门新兴学科。
(2)风险管理目标企业的风险管理应该是一项目的明确的管理活动,否则没有任何实际效果,起不到任何实际作用,只会流于形式。
风险管理目标的确定不是随意的,一般要满足以下几个基本要求:首先,确保风险管理目标与企业总目标是相一致的,不能与企业总体目标背道而驰;其次,是目标的确定要充分考虑现实因素,即目标实现的可能性,要在可承受的范围之内,不能盲目形势;再次,目标必须是明确的,否则根本就不能具有针对性的进行风险管理方案选择与实施,更不能对管理效果实行客观衡量;最后,目标要有侧重性,从总体目标出发,根据阶段性目标的重要性确定侧重点,区分主次与先后,有层次的实现目标,提高风险管理的效率和保证目标的实现。
风险管理目标的实现,要与具体的风险事件相结合。一般情况下,风险管理的目标可以根据风险事件发生前后为界,分为损前目标和损后目标。
①损前目标。对任何企业来说,在风险事件发生前,风险管理的首要目标就是使损失最小化、减少不确定性和绩效最优化。风险管理首先要求达到的目的就是将不必要和可能产生的损失降低到最小,这是企业生存立足的根本;减少企业在追求目标过程中的不确定性,是企业谋求发展的根本,在发展过程中只有减少盲目性、规避不利因素企业才有可能求得发展;绩效最优化是企业发展壮大所追求的目标。
②损后目标。风险事件发生以后,企业首先想到的就是如何将实际损失降到最小,这时候实际损失能达到什么程度,取决于之前的风险应对计划的制定和之后具体风险应对措施的实施。其次,是保证企业正常运营的情况下,实现企业价值最大化。再次,事后损失的工作要始终围绕最不利于企业的情况开展,把企业的生存作为最基本目标,只有生存下来才能有以后的企业发展问题,该目标也是所有工作的基础。同时,信誉作为企业的一项无形资产应该得到企业的足够重视,在没有信誉的情况下,企业将在市场中失去竞争力,一个企业的良好发展离不开良好的信誉,这也是企业在发展过程中经营成果积累的反映。最后,在必要的时候还要承担相应的社会责任,维护社会效益的实现。
(3)风险管理原则工程监理企业风险管理目标的选择是众多因素综合影响的结果,目标的差异性也是由这些因素造成的,但是确定企业风险管理的目标需要遵循风险管理原则。
①与企业总目标保持一致原则。企业所有的管理运营活动都是以企业的总目标为出发点和落脚点的。风险管理不是独立于组织的主要活动和过程的单独的活动,是一般管理责任的一部分,也是日常管理以及所有项目管理和变革管理过程中不可缺少的部分,其目标必须要与企业的总目标保持一致。
②把握适度原则。在纷繁复杂的市场经济环境中,工程监理企业要想生存就要进行经营,在经营的过程中企业就会面临着来自诸多方面的显在的或隐藏的风险,虽然企业可以采取不同的措施来应对,比如回避、转移或者控制,这在一定程度上可以减小风险带来的不利影响,但是这终究会影响企业理想总体目标的实现。尽管如此,企业为了生存还是要在迎接挑战与冒着风险的情况下,投入一定的资源与成本,此时企业要结合自身发展的实际情况,量力而行,认真科学衡量自身的风险驾驭能力和压力承受能力,保持适度,避免出现物极必反的反作用。
③平衡投入产出比原则。工程监理企业面临的风险是多种多样的,同样的应对风险的措施也是多种多样的,此时在风险解决措施的选择上就要考虑到企业的
投入产出比。小投入大产出是每个企业经营追求的终极目标,通过最小的风险管理投入实现最大的风险管理产出是企业风险管理目标选择要遵循的首要原则,它反映了在风险管理中投入与产出平衡的重要性,如果投入远远大于产出,说明这种管理活动是失败的。值得注意的是,在企业的风险管理活动中,企业的投入是比较明显的,可以量化的;但是收到的效益就很难把握,一方面是因为风险管理活动的效益变现形式不定,甚至有的是隐含的,另一方面是风险管理活动的效益具有时间性,有的在短时间内无法直观体现。因此,做好风险管理活动的投产与产出的平衡工作也是不容忽视的。
④时刻保持重视原则。风险的发生虽然大多都是突发事件,但是这也需要一个积累的过程,由量到质是需要时间的。这就要求我们时刻保持警惕,在思想上时刻都要重视风险的发生,尽量做到防微杜渐。思想上重视的同时,行动上也不能懈怠,积极的收集企业中潜在的风险信息,通过认真的分析和科学的评估,争取合理规避各种风险的发生。在各项风险管理活动之后要善于总结风险管理工作汇总的经验,避免同样或类似的风险在以后再次发生,或者在遇到新的风险时能够提出科学合理的应对措施,使风险降到最低,保障企业价值最大化目标的实现。
⑤科学看待不确定性原则。风险本就是造成损失的不确定性,工程监理企业风险的不确定性是绝对的,确定性是相对的。因此,在企业的风险管理过程中要科学的看待这种不确定性,不管采取什么样的应对措施,也不管是什么样的投入产出比,要允许出现一定的不确定性,只要保证是尽了企业最大的努力,把损失降到最低即可。
⑥广泛参与原则。工程监理企业的风险管理不是一个人的事情,是与企业的利益相关者有关的。要想很好的完成企业的风险管理工作,这就需要大家的积极参与,尤其是企业的决策领导者适当、及时的参与,以保证风险管理工作切合实际和与时俱进。利益相关者的参与还能使其在风险管理中有适当的代表性,并使其观点在决定风险标准时得到考虑。同时,可以建立相应的激励机制对于积极参与风险管理的人员,都要给予一定的奖励,以调动大家的积极性和一切可以调动的力量来做好企业的风险管理工作。
⑦适时变动原则。工程监理企业风险具有不确定性,会受到企业内外部因素的影响,不是一成不变的,是适时变动的。随着企业内外部时间的发生、环境和知识的改变、监督和检查的执行,一些风险就会发生变化,有些风险则会消失,有些风险就会出现。因此,企业的风险管理活动也应该是动态的、适时变动的,循环往复的,应该持续不断的对变化保持敏感并适时做出反应。
2.2 风险管理过程和体系结构
2.2.1 风险管理过程
风险管理的过程、方法、技术和手段是企业实施风险管理所必须要掌握的要素和技能,缺乏其中任何一种要素,风险管理的实施就无从谈起。同时,风险管理是企业管理的有机组成部分,嵌入到文化和实践当中,切合企业的经营过程。
企业的风险管理是一个系统、完善和循环的过程,其基本的过程分解为风险识别、风险评价、风险对策决策、实施决策、检查五个步骤。
(1)风险识别风险识别是企业风险管理的第一个步骤,是指通过一定的方法和手段识别出企业中潜在的影响企业目标实现的因素,并对其进行仔细研究与实时跟踪,必要时还要对其可能造成的后果进行估计。
(2)风险评估风险评估是风险管理过程中量化的过程,对风险发生的可能性和可能造成的损失进行量化,这在风险识别与风险对策决策之间起到承前接后的桥梁作用。风险评估的结果主要是确定各种潜在风险发生可能性的估计,以及一旦发生可能造成后果的影响程度的估计。
(3)风险对策决策风险对策决策是根据不同风险进行不同风险对策的过程。一般地,人们在风险管理过程中最常用的风险对策有风险回避、风险自留、风险转移和损失控制四种,由于这些风险对策适用于不同的对象,因此最佳风险对策的组合要根据不同风险事件的风险评估结果来进行的。
(4)实施决策针对不同风险对风险对策做出决策以后,接下来就是要对决策落实到具体的计划和措施实施当中。例如针对企业潜在风险做出预防计划、应急计划等,这些都属于风险决策实施的过程。
(5)检查检查是在风险管理过程中至关重要的环节,要求实施检查企业各项风险决策的实施情况,并对其执行效果进行客观评价,以科学反应风险决策实施的有效性。
同时,在企业的经营环境发生变化是,要适时改变企业的现有风险管理方案,以适应企业经营的变化。另外,还需要不断的检查是否有遗漏的风险,或者随着发展是否出现了新的风险。如果出现了新的风险,那么就要开始新一轮的风险识别、风险评估和风险对策决策和实施。
2.2.2 风险管理体系结构
根据以上风险管理过程的介绍,可以画出风险管理管理体系的结构图。具体结构图如下:【1】
2.3 内部风险管理策略的选择
2.3.1 内部风险管理策略概念
内部风险管理策略是企业进行内部风险管理遵循的原则,企业根据自身发展状况和外部环境,以企业的发展战略为核心,确定企业的风险偏好类型、风险承受能力和风险管理标准,在风险规避、风险转移、风险承担、风险补偿等多项风险管理工具中选择适合的风险管理工具组合,并合理分配风险管理过程中需要的人力、物力和财力。
2.3.2 内部风险管理策略类型
内部风险管理策略的类型有很多种,例如风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等,但是归纳起来大致有以下几类:避免、保留、改善(又称改变风险特征,指减弱负面风险特征和增强正面风险特征)、转移和分担、移开风险源、风险应对等,另外针对某些特定风险,企业可能要使用几种策略的组合。
(1)避免风险面对风险,企业做的第一反应就是要判断哪些风险是可以接受的,哪些风险是要避免的。那些凡是与企业的总体战略目标不符的机遇或选择、与企业前进方向背道而驰的机会,有风险或者回报率不高的项目,或者企业现在还没有能力驾驭和控制的风险,企业都应该尽力的回避这些风险。规避风险的措施可以采用退出、出售、停止、禁止、限制、放弃、不接受或消除等,实现避免某些风险。
(2)保留风险企业对于那些不能避免而只能保留的风险,要做的就是对其进行不同程度的管控并且造成的损失有所准备。具体情况要分以下四种:对于发生可能性和影响都比较小的风险,企业只需要对其进行适时跟踪监控,并将其控制在可以承受的范围之内即可。但是当其发生概率和频率都提高时,就要对其采取一定的管制措施进行有效控制或者坚决处理。
对于发生可能性比较高但是影响较小的风险,企业一般会通过采取控制的方式将其控制在一定范围内,以减小其发生的可能性,在必要的情况下也会采取适当的控制措施。另一种处理方法就是自保,即提前准备好资金用以弥补风险造成的损失。
对于企业不得不承担的一些风险来说,虽然其为数不多的,但是是不随人的意志改变的,而且影响程度和发生可能性都比较大。对于这种类型的风险,企业通常会采取严格控制的风险管理策略,目的主要是控制其发生的可能性和影响程度,减小损失。另外,企业对于那些尚未有能力识别出来的风险,不得不保留,但是也不能无为,一般应该制定应急计划来对应随时出现的意外情况,同时根据估计的损失来安排企业的资金融通。
(3)转移风险企业进行转移的风险往往是发生可能性不大但是一旦发生就会造成巨额损失的风险,对此类风险进行转移以便以最小的成本换的最大的风险保障。根据上述我们可知,纯风险是只有损失不会带来任何收益的风险,因此企业转移出去的风险往往都是纯风险。企业转移风险的方法通常有合同转移、保险转移和金融衍生品转移等,在这些方式中企业可以根据风险选取其中一种方法转移风险,也可以选取几种方式的组合。企业如果没能够将风险全部转移,则必须要对剩余的风险进行识别,并能够对其进行有效的管理与控制。同时,企业在进行风险转移的过程中,也不能忽视了安排必要的应急计划来应对意外的发生,尽量保证损失的最小化。
(4)改变风险特征改变风险特征主要是针对企业的机会风险来说的,因为机会风险具有获利的可能性和空间,因此对此风险进行利用并争取尽量增大其获利空间。改变风险特征以更大程度的利用风险来进行获利,企业主要的方式有以下几种:一种是在引进新项目或者拓展新市场的过程中,增加风险管理技术支持,从而增加企业在项目管理过程中的获利能力;第二种是企业对于其有能力承担和控制的机会风险,可以加大其承担程度,甚至可以大胆采取更具有挑战性经营模式,以扩展其获利空间;第三种也是最常用的一种,即在了解相关机会风险的同时也把握其相应的盈利能力,随后通过调整对相应风险的控制水平和资本配置,以实现企业经营战略和方向的调整能够促进提高风险盈利能力的目的。
(5)分担风险分担风险,顾名思义,就是当企业没有达到单独承担承担某种风险的能力时,就要考虑与另一风险承担主体共担风险。分担风险的结果往往就是:机会与利益共享,风险与成本共担。分担风险的实现通常是是通过合约的方式保证实现的,合约中会规范两风险承担主体的机会共享和利益分配原则,同时也明确规定双方成本付出义务和风险承担义务。企业如何在共享机会和共担风险的过程中取得有利的地位,如何在分担过程中做到公平,不仅取决于双方在共享机会和共担风险中的地位,而且有赖于双方对于风险的识别技术,事先对企业潜在风险的了解与认识,同时也跟双方合作协议中签订的利益、成本和风险的分担比例都有十分密切的关系。
(6)风险应对对于那些无法预知、无法抗拒或者毫无应对准备的突发风险事件,企业只能是应对。鉴于此种情况的发生,企业应该事先制定一些应急计划来应对此种情况的发生,以减轻这种情况造成的损失。另外,企业预先制定的其他各类危机管理计划,也都是为了科学理性的应对危机和努力减小损失而做出的尝试。应对风险的措施除了上述的制定风险管理应急计划之外,还可以为可预见的风险事件做一些财务安排来进行补偿。除此之外,如果外界环境的剧烈变化给企业带来持久的风险,则企业也可以采取实施变革的方式,来应对外在环境的变化带来的不可抗拒的和不可控制的风险。
在实践中,企业进行风险管理时,一般会选择将几种风险策略进行组合,实践中,以实现风险管理有效性最大化。但是不管风险管理策略如何选择或者是组合,首先根据风险评估结果来判断对于风险是规避还是接受,进而选择具体的风险管理策略。
2.4 基于内部控制的风险管理
2.4.1 从内部控制走向企业风险管理。
一直以来,内部控制的研究与风险管理的研究是密不可分的,内部风险管理是风险管理的最新研究成果和阶段,也是内部控制的最新发展。1949 年美国会计师协会审计程序委员会最早提出了内部控制的概念,随后美国 COSO 委员会在1992 年颁布了《内部控制—整合框架》,其内部控制的体系架构是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成。而我国财政部在 2008 年发布了《企业内部控制基本规范》,充分借鉴了美国 COSO 委员会给出的内部控制的定义相关理论。风险管理的概念于二十世纪五十年代在美国兴起,COSO 委员会也在 2004 年最新发布了《企业风险管理—整合框架》,此时提出了全面风险管理的新概念,而风险管理体系架构的因素较以前更丰富,由原先内部控制的五要素充实为风险管理的八要素,这八要素分别为:内部环境、目标设定、风险识别、风险评估、风险对策、控制活动、信息和交流和监控。这充分体现了从企业内部控制走向企业风险管理的过程。
(1)经济和科学技术的全面发展促进企业内部控制走向风险管理经济全球化发展的同时也使得风险全球化,企业经营的外部环境发生了很大的变化,市场竞争越来越激烈,伴随着不确定性也增大,企业面临各方面风险的系数就会增大。其次,科学技术的发展使得整个世界的节奏都变快了,产品更新换代,人员频繁变动等,都增大了企业面临的风险。此时对企业的风险管理和防范能力提出了很高的要求,企业必须提高风险识别、风险评估和风险防范的能力,因此企业进行风险管理成为企业管理层面临的既重大又现实的问题,也是企业长久健康发展的迫切需要。
(2)企业自身的发展要求企业内部控制走向风险管理一般地,企业的终极目标是实现企业价值最大化,但是这是需要前提的,企业实现目标的前提就是企业要保证自身先有生存下去的能力,然后才能创造财富获取利润,从而实现企业价值最大化。生存是企业创造价值获取利润的前提,反之,获利也是企业生存和发展的动力。然而在如今纷繁复杂的市场经济中,企业的生存是不易的,需要企业管理层很好的应对各种各样的风险,诸如竞争、债务、营销、管理水平等。企业的风险管理能够使得企业能够有效地应对在经营过程中出现的各种不确定性,能更好的应对挑战与把握机遇,实现资源的有效配置和人员主观能动性最大程度的发挥,促进企业良性发展。因此,企业自身的良好发展需要进行有效的风险管理。
(3)各方利益相关者的利益协调要求企业内部控制走向风险管理从委托代理理论出发可知,现代企业制度存在所有者与经营者相分离的状况。从企业财务管理的自利原则出发可知,企业的各方利益相关者经济利益是不同的。此时,在企业的经营管理过程中就会出现各方利益不一致的现象,而风险是其中的各利益相关者利益冲突的重要原因。企业的所有者为了获取高收益会鼓励经营者投资经营高风险的项目,而高风险的项目会威胁到经营者和债权人的利益,经营者为了自己的利益不受损就会选择风险较小的项目,而此时又与所有者获取利益最大化的目标背道而驰。因此,企业的风险管理能够防范企业经营过程中的风险,协调企业各利益相关者的利益,以实现其利益最大化。
2.4.2 内部控制与风险管理的关系
如今国内外都有内部控制与风险管理的讨论,诸如 2004 年我国有关方面举办了“商业银行内部控制与风险管理论坛”,这表明我国银行开始将内部控制与风险管理结合起来。内部控制与风险管理存在很大的关系,有联系又有区别。
(1)内部控制与风险管理的实施主体相同企业内部控制和风险管理的实施主体都是公司的董事会、管理层以及其他人员,是由他们共同实施完成的。1992 年美国 COSO 委员会在提出的《内部控制—整合框架》中指出内部控制是由公司的董事会、管理层以及其他人员为实现运营效率和效益提高以及财务报告可靠的目标而实施的程序和法律法规。2004 年COSO 委员会在《全面风险管理—整合框架》中指出风险管理是由企业的董事会、管理层以及其它人员共同实施的识别影响企业的潜在风险为实现企业目标提供合理保证的过程。
(2)内部控制与风险管理的目标相同企业内部控制与风险管理的目标都是减小企业面临风险,保护投资者的利益,实现企业的价值。内部控制的最初目的是保证企业财务安全和会计信息的真实性,也是为了防范企业潜在的各种风险。而此时风险的防范就是风险管理,内部控制作为风险管理的重要环节,对企业风险管理的目标的实现有着重要的现实意义,二者都是为了实现企业价值最大化的目标。
(3)内部控制与风险管理相互影响风险管理的目标是发现潜在风险、预测风险造成的影响、防止风险发生并争取把风险影响降到最小。内部控制我们可以理解为企业为内部风险管理而采取的措施,内部控制的力度是由企业面临的风险大小决定的,风险越大越需要加强内部控制的力度,如果遇到重大风险,可能就会需要采取内部控制措施的组合。从这种角度上来说,内部控制作为风险管理的重要环节,又会直接影响企业风险管理的实现程度和效果。
(4)内部控制与风险管理有不同扩展程度企业的内部控制体系架构包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素,而企业风险管理体系架构的因素较企业内部控制体系架构更丰富,由内部控制的五要素充实为风险管理的八要素,这八要素分别为:内部环境、目标设定、风险识别、风险评估、风险对策、控制活动、信息和交流和监控。此时,企业的风险管理将内部控制活动提高到了战略层面,提高了对管理层管理行为的要求,也提高了对公司管理水平的要求。
(5)内部控制与风险管理有不同的侧重点一般地,内部控制的侧重点落脚于企业制度,通过规章制度来保证企业会计信息的真实性,其核心集中于企业的财务部门,尚未真正的渗透到企业的运营系统和企业的管理过程,此时企业的内部控制只是企业管理活动的一项内容。而风险管理侧重点落脚于市场交易,其关注的是风险管理的成本与收益之间的比较,这是其规避风险实现风险影响最小收益最大目标的体现。