企业风险管理与内部控制

企业风险管理与内部控制内容摘要：

框架对这五个要素进行了深化和拓展，将其演变为八个要素，即增加了控制环境内部化；目标作为要素；风险要素的扩展。 主要有： —— 内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。 —— 必须先有目标，管理当局才能识别影响目标实现的潜在事项。 企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定 的目标支持和切合该主体的使命，并且与它的风险容量相符。 —— 必须识别影响主体目标实现的内部和外部事项，区分风险和机会。 机会应被反馈到管理当局的战略或目标制订过程中。 —— 通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。 风险评估应立足于固有风险和剩余风险。 —— 管理当局选择风险应对、回避、承受、降低或者分担风险，采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。 —— 制订和执行政策与程序以帮助确保风险应对得以有效实施。 —— 确保有关员工履行其职责的信息得以识别、获取和沟通。 有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。 —— 对企业风险管理进行全面监控，必要时加以修正。 监控可以通过持续的管理活动、个别评价或者两者结合来完成。 （四）相关角色和任务的变化 新老 COSO 报告都将组织的董事会、管理层、内部审计等职员看成是内部控制框架中的相关责任人。 董事会制订战略，管理、指引和核查一些特殊交易和政策。 董事会既是内部控制的因素，也是企业风险管理的重要因素。 ERM 框架使董事会在企业风险管理方面 扮演更加重要的角色，即担负总体责任，企业风险管理的成功与否在很大程度上依赖于董事会，董事会需要批准组织的风险偏好。 在 ERM 框架中，管理层必须识别目标和战略方案，并将其分类为战略目标、经营目标、报告目标和遵循性目标四类。 每一个业务单元、分部、子公司的领导也需要识别各自的目标，并与企业的总体目标相联系。 一旦设定了目标，管理层就需要识别影响风险的事项、评估风险并采取控制措施。 在 ERM 框架中，内部审计人员在监督和评价成果方面承担重要任务。 他们要协助管理层和董事会监督、评价、检查、报告风险。 对于内审人 员来说，最大的挑战是在 ERM 中扮演何种角色，很多内审人员可能被要求提供 ERM 的教育和训练，甚至 “ 处理企业风险管理过程 ”。 但是，新报告认为：内审人员并不对建立 ERM 体系承担主要责任。 内审人员职责的另一个变化是原来对 CFO 和内审委员会负责，现在可能要对 CFO、内审委员会和风险主管负责。 在 ERM 框架中，新增加了一个角色 —— 风险主管或风险经理。 风险主管除了需要和其他管理人员一样在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，并可能是风险管理委员会的成员之一。 四、内部控 制与风险管理的关系 从新的 COSO 框架对企业内部控制的完善来看，企业内部控制逐渐呈现与风险管理靠拢和一体化的趋势，即以风险管理为主导，建立适应企业风险管理战略的新的内部控制，从内部控制走向风险管理。 风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响，并设法把不良影响控制在最低的程度。 内部控制就是企业内部采取的风险管理，内部控制制度的制定依据主要是风险，在某些极端情况下甚至完全由风险因素来决定。 风险越大，越有必要设置适当的内部控制措施，风险相当大时，还要设置多重内部控制措 施。 而且做好内部控制是做好风险管理的前提。 一家企业只有从加强内部控制做起，通过风险意识的提高，尤其是提高企业中处于关键地位的中、高层管理人员的风险意识，才能使企业安全运行，否则，处于失控状态的企业最终将被激烈竞争的市场经济大潮淹灭。 风险管理是内部控制概念的自然延伸。 在新技术和市场的推动下，内部控制走向风险管理。 例如，在计算机网络和金融衍生工具市场存在的条件下，企业可以运用金融衍生工具防范因汇率和利率波动给企业带来的财务风险。 内部控制是企业防范风险的日常运行功能与结构，包括确保财务信息的真实可靠、遵守 相关的法律法规等。 在新技术和市场条件下，为维护股东的利益，实现企业目标，还需要基于内部控制更主动、更灵活、更全面的风险管理。