吉宁讲师观点 / 企业培训师观点 / 企业培训师观点:全面风险管理与企业内部控制的联系和差异

企业培训师观点:全面风险管理与企业内部控制的联系和差异

吉宁博士 2015年12月11日 企业培训师观点

全面风险管理主要应用于企业管理领域,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和企业内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。

  人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。

  在实践中有很多企业不能真正理解全面风险管理与企业内部控制的区别和联系,要么将两者完全隔离开来,要么只是简单地将它们等同起来。国际上基本上是接受了美国COSO(全国虚假财务报告委员会的发起人委员会)2004年发布的《企业风险管理——整合框架》对两者的阐释。

  按COSO框架,两者的联系为:

  全面风险管理涵盖了企业内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。

  内部控制是全面风险管理的必要环节。企业内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。

  内部控制与全面风险管理的差异为:

  两者的范畴不一致。企业内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。

  两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。

  两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的目标。这些内容都是现行的企业内部控制框架所不能做到的。

  从发展趋势来看,随着企业内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。

About 吉宁博士

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。