在了解COSO之后,接下來跟著高頓網校FRM小編來了解一下全面風險管理和企業(yè)內部控制有什么區(qū)別吧。什么是全面風險管理
所謂全面風險管理,是指企業(yè)圍繞總體經營目標,通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng),從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。全面風險管理是一個全新的概念,目前主要應用于企業(yè)管理領域,所以以下都圍繞企業(yè)管理進行闡述。
說到風險管理,有個概念是必須要提到的,即企業(yè)內部控制。在實踐中有很多企業(yè)不能真正理解全面風險管理與內部控制的區(qū)別和聯(lián)系,要么將兩者完全隔離開來,要么只是簡單地將它們等同起來。那么它們有什么聯(lián)系和差異呢?國際上基本上是接受了美國COSO(全國虛假財務報告委員會的發(fā)起人委員會)2004年發(fā)布的《企業(yè)風險管理——整合框架》(國內也有譯作《全面風險管理框架》的)對兩者的闡釋。
二者聯(lián)系
(1)全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內控,將之作為一個子系統(tǒng)。
(2)內部控制是全面風險管理的必要環(huán)節(jié)。內部控制的動力來自企業(yè)對風險的認識和管理,對于企業(yè)所面臨的大部分運營風險,或者說對于在企業(yè)的所有業(yè)務流程之中的風險,內控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時,維持充分的內控系統(tǒng)也是國內外許多法律法規(guī)的合規(guī)要求。因此,滿足內部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。內部控制與全面風險管理的差異為 ?。?)兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事后和過程的控制來實現(xiàn)其自身的目標,而全面風險管理則貫穿于管理過程的各個方面,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多于內部控制。
(2)兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。全面風險管理包含了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以后的重要活動,如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者最明顯的差異在于內部控制不負責企業(yè)經營目標的具體設立,而只是對目標的制定過程進行評價,特別是對目標和戰(zhàn)略計劃制定當中的風險進行評估。
(3)兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致,增長、風險與回報相聯(lián)系,進行經濟資本分配及利用風險信息支持業(yè)務前臺決策流程等,從而幫助董事會和高級管理層實現(xiàn)全面風險管理的四項目標。這些內容都是現(xiàn)行的內部控制框架所不能做到的。
從國際國內發(fā)展趨勢來看,隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統(tǒng)一。