01什么是內(nèi)部控制和風險管理

　　◆ 目標體系不同

　　風險管理框架的目標有四類，其中經(jīng)營類目標和合規(guī)類目標與內(nèi)部控制框架的目標基本重合。

　　風險管理框架增加了戰(zhàn)略目標，內(nèi)部控制框架未提及該目標，戰(zhàn)略目標的制定是企業(yè)治理層面要參與解決的問題，這表明風險管理屬于企業(yè)治理層次，內(nèi)部控制屬于企業(yè)管理層次;風險管理框架把財務(wù)目標擴展為報告目標，報告目標不僅包括財務(wù)報告目標，還包括對內(nèi)對外發(fā)布的所有非財務(wù)類報告，這既擴大了目標范圍，也彌補了內(nèi)部控制目標體系因明顯受到公共會計師影響而造成的重財務(wù)信息輕其他信息的缺陷。

　　◆ 組成要素不同

　　風險管理框架增加了“目標設(shè)定、事件識別和風險反應(yīng)”三個要素，“控制環(huán)境”要素也改成了“內(nèi)部環(huán)境”。

　　“目標設(shè)定、事件識別和風險反應(yīng)”不僅豐富和完善了風險管理內(nèi)容，還體現(xiàn)了風險組合觀;“內(nèi)部環(huán)境”要素內(nèi)容除包括“控制環(huán)境”要素內(nèi)容外，還增加了風險管理哲學、風險偏好等內(nèi)容;在名稱相同的要素中，風險管理框架對相關(guān)內(nèi)容都進行了補充和提升，具體體現(xiàn)為：

　　“風險評估”要素除包含內(nèi)部控制框架中該要素的全部內(nèi)容外，還考慮了企業(yè)內(nèi)在風險與剩余風險，以期望值、最壞情形值或概率分布度量風險、風險偏好以及風險對沖等;

　　“信息與溝通”要素中，信息部分強調(diào)了獲取與分析處理以往、現(xiàn)在及潛在未來事件數(shù)據(jù)的重要性，同時指出信息的深度以滿足企業(yè)識別、評估和應(yīng)對風險并將其維持在風險承受度范圍內(nèi)的需要為準;溝通部分強調(diào)并申明：在正常報告之外應(yīng)有替代溝通渠道。

　　◆ 產(chǎn)生效益的方式不同

　　從內(nèi)部控制框架的目標體系和定義不難看出，內(nèi)部控制是在企業(yè)經(jīng)營權(quán)與所有權(quán)分離的條件下對股東和利益相關(guān)者的利益保護機制，也就是說內(nèi)部控制是對純粹風險的防控，不直接產(chǎn)生效益，而是最大可能地避免股東和利益相關(guān)者的損失來保護其利益，規(guī)避威脅。

　　風險管理框架指出: “企業(yè)風險管理應(yīng)用于戰(zhàn)略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險，發(fā)揮創(chuàng)造與保持價值的作用。風險管理能夠使風險偏好與戰(zhàn)略保持一致，將風險與增長及回報統(tǒng)籌考慮，促進應(yīng)對風險的決策，減小經(jīng)營風險與損失，識別與管理企業(yè)交叉風險，為多種風險提供整體的對策，捕捉機遇以使資本的利用合理化?！?/p>

　　這表明風險管理不僅要保護資產(chǎn)安全和規(guī)避一切威脅，還包括積極利用和創(chuàng)造一切可能的機會為股東和利益相關(guān)者創(chuàng)造價值。

　　◆ 風險管理理念不同

　　內(nèi)部控制是對單個風險進行管理或者說是根據(jù)業(yè)務(wù)單元的劃分來管理風險。風險管理則借用現(xiàn)代金融理論中的資產(chǎn)組合等理論，引入了整體風險管理、風險偏好、風險容量、風險對策、風險組合觀、風險對沖、風險承受度、風險管理目標和戰(zhàn)略的設(shè)定等概念和方法。

　　可以說，風險管理是基于風險度量和風險兩重性的基礎(chǔ)上對風險的管理，這種管理理念有利于保障企業(yè)風險管理措施與發(fā)展戰(zhàn)略、風險偏好相一致，風險管理與價值回報相聯(lián)系，也有利于企業(yè)內(nèi)部資源合理配置以支持董事會和高級管理層實現(xiàn)風險管理目標。

　　風險管理要求從企業(yè)整體層面上總體把握分散于內(nèi)部各業(yè)務(wù)單元的風險，統(tǒng)籌風險事件之間的相互影響，綜合考慮風險對策，并防止兩種傾向：

　　一是每個業(yè)務(wù)單元的風險處于其獨自的風險承受度之內(nèi)，但總體風險水平卻超出企業(yè)的風險承受度;

　　二是個別業(yè)務(wù)單元的風險超過其風險承受度，但總體風險水平并沒超出企業(yè)的承受范圍。

　　風險管理要求按照風險組合與整體管理的思路，綜合考慮風險事件之間以及風險對策之間的交互影響，統(tǒng)籌制定風險管理方案，這些內(nèi)容都是內(nèi)部控制做不到的。

　　◆ 涵蓋范圍不同

　　風險管理的涵蓋范圍超出了內(nèi)部控制的涵蓋范圍。風險管理包含了風險管理目標、企業(yè)戰(zhàn)略及經(jīng)營目標的設(shè)定、風險評估方法的選擇、管理人員的聘用、有關(guān)的預算和行政管理，以及報告程序等活動。內(nèi)部控制的業(yè)務(wù)范圍是風險管理業(yè)務(wù)鏈條中間及后面的部分業(yè)務(wù)活動，并不負責企業(yè)經(jīng)營目標的具體制定，而是對目標的制定過程進行評價和評估。

　　綜上所述，我們可以看出風險管理的決策是確定內(nèi)部控制重點的依據(jù)，而一個強有力的內(nèi)部控制是實現(xiàn)有效風險管理的基礎(chǔ)，內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，內(nèi)部控制屬于企業(yè)的管理范疇而風險管理則屬于企業(yè)的治理范疇。

　　02如何開展內(nèi)部控制和風險管理工作

　　◆ 樹立理念

　　在企業(yè)風險管理過程中，每一位員工要樹立“風險無處不在”的理念，應(yīng)當知道個人職責對公司風險有怎樣的影響，以及在公司內(nèi)部的作用和責任與他人有怎樣的關(guān)系，這是企業(yè)風險管理的一個重要方面，也是充分有效開展風險管理工作進行的前提。

　　◆ 風險意識和內(nèi)控責任

　　要有強烈的風險意識和內(nèi)控責任。風險管理的起點是風險識別，是進行有效風險管理的基礎(chǔ)和關(guān)鍵。我們有責任對企業(yè)面臨的各種風險進行識別，然后將風險進行分類，并追溯導致風險產(chǎn)生的各種因素。在全面風險管理框架下，風險識別的目標，就是要廣泛、持續(xù)地收集與本企業(yè)風險和風險管理相關(guān)的內(nèi)部、外部初始信息，發(fā)現(xiàn)企業(yè)面臨的各種風險。

　　◆ 內(nèi)控規(guī)范優(yōu)化

　　要充分利用內(nèi)控規(guī)范并使其得到不斷地優(yōu)化。內(nèi)控規(guī)范是根據(jù)管理制度和操作流程，征求相關(guān)責任崗位意見的基礎(chǔ)上制定的，使用內(nèi)控規(guī)范是責任崗位執(zhí)行人的本分，嚴格執(zhí)行內(nèi)控規(guī)范，使每項業(yè)務(wù)得到恰當處理，這樣既提高了工作效率，又合理保障了企業(yè)整體目標的實現(xiàn)。

　　來源：注冊風險管理師

　　優(yōu)財獨家發(fā)布了2020年CMA新綱課程，詳情咨詢：http://www.ucfo.com.cn/bj/cpc/#tgtt