解析内部控制与风险管理的异同点及关联性探讨

一、全面风险管理包含内部控制。COSO委员会提出的《企业风险管理整合框架》（2004）中明确指出，企业全面风险管理包含内部控制；内部控制是全面风险管理不可分割的一部分；内部控制是风险管理的一种方式，全面风险管理比内部控制范围广得多。二、内部控制是全面风险管理的必要环节。英国Turnbull委员会（2005）认为，全面风险管理对于企业目标的实现具有重要意义，公司的内部控制系统在全面风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。对于企业所面临的大部分的运营风险，内部控制是必要的。虽然二者有着紧密的联系，但全面风险管理与内部控制并不是完全相同的，它们仍有这样那样的区别： 一、两者活动范围不同。全面风险管理的范围更广。首先，它比内部控制多了个战略目标。其次，目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。二、两者的范畴不一致。全面风险管理贯穿于事前预测、事中控制和事后整改，而内部控制仅通过事中控制和事后整改以实现目标。内部控制只是管理的一项职能，是企业整体管管理的有机组成部分。三、两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在COSO委员会的内部控制框架中，没有区分风险和机会。四、两者对风险的对策不一致。全面风险管理框架引入了风险管理哲学、风险偏好等新内容，在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，这些内容都是内部控制框架中没有的。