精品伊人久久大香线蕉,开心久久婷婷综合中文字幕,杏田冲梨,人妻无码aⅴ不卡中文字幕

美國COSO（The Committee of SponsoringOrganizations of theTreadwayCommittee），即Treadway委員會的發(fā)起組織委員會于1992年發(fā)布了一份關于內部控制的綱領性文件，即《內部控制-整體框架》（InternalControl-IntegratedFramework），該委員會在《內部控制-整體框架》的基礎上，又于2003年出臺了最新報告——《企業(yè)風險管理框架》；在國內，也進行著內部控制和風險管理領域的引進和探索，國務院國資委于2006年6月6日，發(fā)布了《中央企業(yè)全面風險管理指引》（以下簡稱《指引》），財政部在2007年3月2日發(fā)布了《關于印發(fā)<企業(yè)內部控制規(guī)范——基本規(guī)范>和17項具體規(guī)范（征求意見稿）的通知》（以下簡稱《通知》）。我們在咨詢的實踐過程中發(fā)現(xiàn)有很多企業(yè)不能真正理解全面風險管理與內部控制的區(qū)別和聯(lián)系，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。本文試著從兩者在COSO框架中的內涵以及在國內的運用對比分析來辨識兩者之間的區(qū)別與聯(lián)系，同時結合我們在相關領域的咨詢經(jīng)驗探索企業(yè)內部控制體系和風險管理體系建設的一般過程和方法。 　　一、內部控制和全面風險管理在COSO框架中的內涵　　1、COSO框架中關于內部控制與全面風險管理的定義
　　現(xiàn)代理論界對內部控制的定義各不相同，但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制的定義。該組織認為：企業(yè)內部控制是由企業(yè)董事會、經(jīng)理層以及其他員工共同實施的，為財務報告的準確性、經(jīng)營活動的效率與效果、相關法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程。在COSO委員會的《內部控制管理框架》中，把內部控制活動分成五大組成部分，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)督評審。
　　在多年的管理實踐中，人們意識到一個企業(yè)內部不同部門或不同業(yè)務的風險，有的會相互疊加放大，有的則相互抵消減少。因此，風險的考慮不能僅僅從某項業(yè)務、某個部門的角度出發(fā)，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險，即要實行全面風險管理。
　　依據(jù)COSO委員會2003年7月完成的《全面風險管理框架》定義：企業(yè)風險管理是一個過程，是由企業(yè)的董事會、管理層以及其他人員共同實施的，應用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。該框架有三個維度，第一維是企業(yè)的目標；第二維是全面風險管理要素；第三維是企業(yè)的各個層級。第一維企業(yè)的目標有4個，即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第二維全面風險管理要素有8個，即內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。第三個維度是企業(yè)的各個層級，包括整個企業(yè)、各職能部門、各條業(yè)務線及下屬各子公司?！度骘L險管理框架》三個維度的關系是：全面風險管理的8個要素都是為企業(yè)的四個目標服務的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上8個方面進行風險管理。
　　2、內部控制與全面風險管理的聯(lián)系
　?。?）全面風險管理涵蓋了內部控制。COSO2003年7月公布了全面風險管理框架的征求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統(tǒng)。全面風險管理除包括內部控制的3個目標之外，還增加了戰(zhàn)略目標；全面風險管理的8個要素除了包括內部控制的全部5個要素之外，還增加了目標設定、事件識別和風險對策3個要素。從時間先后和內容上來看，全面風險管理是對內部控制的拓展和延伸。
　　（2）內部控制是全面風險管理的必要環(huán)節(jié)。內部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務流程之中的風險，內控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統(tǒng)也是國內外許多法律法規(guī)的合規(guī)要求。因此，滿足內部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。
　　3、內部控制與全面風險管理的差異
　?。?）兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現(xiàn)其自身的目標；而全面風險管理則貫穿于管理過程的各個方面，控制的手段不僅體現(xiàn)在事中和事后的控制，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內部控制。
　　（2）兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者最明顯的差異在于內部控制不負責企業(yè)經(jīng)營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當中的風險進行評估。
　　（3）兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中，把風險明確定義為“對企業(yè)的目標產生負面影響的事件發(fā)生的可能性”（將產生正面影響的事件視為機會），將風險與機會區(qū)分開來；而在COSO委員會的內部控制框架中，沒有區(qū)分風險和機會。
　?。?）兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，增長、風險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風險信息支持業(yè)務前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風險管理的4項目標。這些內容都是內部控制框架中沒有的，也是其所不能做到的。 　　二、內部控制和全面風險管理在國內的運用　　1、國內關于內部控制與全面風險管理的定義
　　目前國內關于內部控制和全面風險管理的正式定義主要是財政部關于印發(fā)《企業(yè)內部控制規(guī)范——基本規(guī)范》和17項具體規(guī)范（征求意見稿）的通知以及國務院國資委發(fā)布的《中央企業(yè)全面風險管理指引》中有相關的表述。
　　財政部關于內部控制規(guī)范的《通知》中對內部控制的定義是：是指由企業(yè)董事會（或者由企業(yè)章程規(guī)定的經(jīng)理、廠長辦公會等類似的決策、治理機構，以下簡稱董事會）、管理層和全體員工共同實施的、旨在合理保證實現(xiàn)以下基本目標的一系列控制活動：企業(yè)戰(zhàn)略；經(jīng)營的效率和效果；財務報告及管理信息的真實、可靠和完整；資產的安全完整；遵循國家法律法規(guī)和有關監(jiān)管要求。
　　國資委《指引》中關于全面風險管理的定義是：指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。
　　2、國內關于內部控制和全面風險管理與COSO框架的差異
　　總體上來說，國內關于內部控制和全面風險管理的內容基本參照或遵從了COSO委員會《內部控制管理框架》和《全面風險管理框架》，但結合國內的實際情況和一些前沿的研究成果，國內對于內部控制和全面風險管理在各自領域都有不同程度的調整、拓展和延伸。
　?。?）目標緯度：財政部關于內部控制的定義相對COSO委員會對內部控制定義在實現(xiàn)目標上有所拓展，增加了企業(yè)戰(zhàn)略目標和資產的安全完整目標。而在國資委全面風險管理的實現(xiàn)目標增加了“確保企業(yè)建立針對各項重大風險發(fā)生后的危機處理計劃，保護企業(yè)不因災害性風險或人為失誤而遭受重大損失。”另外，其他四個目標也與COSO全面風險管理四個目標在表述上有所差異，使之更適應我國企業(yè)經(jīng)營管理表述習慣或者更具體而易于理解。從這個角度來說，特別是內部控制實現(xiàn)目標的拓展使得其與全面風險管理實現(xiàn)目標差異不大。
　?。?）要素緯度：財政部內部控制《通知》形式上借鑒了COSO報告5要素框架，同時在內容上體現(xiàn)了風險管理8要素框架的實質；國資委全面風險管理《指引》中則沒有明確指出是5要素還是8要素，但通過風險管理基本流程（如圖1）將全面風險管理的一些要素融合到流程中，從實質來說，也體現(xiàn)的是8要素的COSO全面風險管理框架。　?。?）層級緯度：財政發(fā)布的內部控制《通知》目前主要以財務報告內部控制目標為主線所涉及的業(yè)務層級有較詳細的規(guī)范；國資委全面風險管理《指引》關注范圍更廣泛，包括戰(zhàn)略、財務、市場、運營、法律等方面。因此，從企業(yè)的戰(zhàn)略風險依次到經(jīng)營風險、財務風險，最后到財務報告，風險管理與內部控制的相對重要性應該各有不同。在戰(zhàn)略風險方面，風險管理應該發(fā)揮主導作用，內部控制起到配合作用。這一角色逐步逆轉，到財務報告層次，應該是內部控制發(fā)揮主導作用，風險管理起到配合作用。
　?。?）兩者關系：國資委《全面風險管理指引》明確指出內部控制是全面風險管理體系的組成部分，同時也指出除內部控制外的其他全面風險管理組成部分（如圖2）。但由于財政部內部控制《通知》出臺較晚，且借鑒了COSO全面風險管理框架的內容，使得其內部控制的邊界擴大了不少，包括實現(xiàn)目標和要素都與全面風險管理差異不大。因此，我們理解《全面風險管理指引》中提到的內部控制與財政部內部控制已經(jīng)不可同日而語。從國際國內發(fā)展趨勢來看，隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統(tǒng)一。　　3、國內關于內部控制與全面風險管理運用的一些誤區(qū)
　?。?）把內部控制與全面風險管理體系的建設理解為建章立制。其實從COSO框架的定義中，我們可以看出它們都被明確為是一個“過程”，不能當作某種靜態(tài)的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置于企業(yè)日常管理過程中，作為一種常規(guī)運行的機制來建設。
　?。?）內部控制體系和全面風險管理體系是相互獨立的。建設內部控制和全面風險管理體系都是一個系統(tǒng)工程，兩者在內涵上也有一定重合，企業(yè)需要綜合考慮自身業(yè)務特點、發(fā)展階段、信息技術條件、外部環(huán)境要求等，確定選擇合適的管理體系和建設重點。比如，在監(jiān)管嚴格的金融業(yè)或涉及人民生命健康的制藥與醫(yī)療行業(yè)，風險管理的迫切性更強，企業(yè)以風險管理主導內部控制可能更方便。而在另一些企業(yè)，為了符合信息披露中內部控制報告的要求，企業(yè)以內部控制系統(tǒng)為主導、兼顧風險管理可能更適合。在相關管理理論和實踐不斷發(fā)展變化的今天，有時候先做起來比爭論更有意義。
　?。?）內部控制和全面風險管理的作用被夸大。有些企業(yè)對內部控制和風險管理體系的建設寄有過高期望，他們希望內部控制和風險管理可以確保企業(yè)的成功、確保財務報告的可靠性和法律法規(guī)的遵循性。而實際上無論多么先進的內部控制和風險管理體系都只能為企業(yè)相關目標的實現(xiàn)提供合理的而非絕對的保證。
　?。?）內部控制與全面風險管理理念在企業(yè)實踐落地難。由于新的管理理念和方法的引進，與國內企業(yè)原有的管理體系和觀點存在較多的差異和差距，目前這些理念和方法還更多的處于導入階段，大多數(shù)企業(yè)管理人員還不能在這些框架和概念與企業(yè)的日常經(jīng)營管理行為和語言之間建立直接的聯(lián)系。這造成了企業(yè)在這方面的理解有差異或者關注度不夠，除非出現(xiàn)強制性的相關規(guī)范和要求。其實這些理念、概念的出現(xiàn)并不是說企業(yè)就缺乏這些，事實是理論來源于實踐又高于實踐，這些理論的提出有助于我們將散布于企業(yè)管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合。 　　三、內部控制與全面風險管理體系構建的一般過程　　內部控制和全面風險管理體系的構建都是一個系統(tǒng)工程，基本涉及了企業(yè)管理的方方面面，因此企業(yè)不可能一步到位建立一個完善的體系。實踐中企業(yè)往往根據(jù)自身的特點先搭建一個合理的體系框架并在此基礎上選擇某一目標或某一層面作為主線深入下去建立一個局域內部控制或風險管理體系，然后再在企業(yè)全局推廣。因此，由于內容多，牽涉面廣，工作量大，企業(yè)往往需要組建相應的專職團隊以項目的方式來運作或者在外界咨詢團隊的協(xié)助下開展工作。一般來說，我們將體系建設分為以下五個步驟，如圖3：　　第一步：確定內控體系/風險管理體系建設的目標和依據(jù)：確定項目組織架構、項目管理制度和詳細的工作計劃；梳理、明晰企業(yè)的中長期戰(zhàn)略發(fā)展目標，為從戰(zhàn)略高度結合COSO框架建立內控體系/風險管理體系打下基礎；內部控制/風險管理體系尤其是上市公司的內部控制/風險管理體系建設應當確定其需要遵循的相關法律法規(guī)；確定內控/風險管理體系需要實現(xiàn)的目標等。企業(yè)的業(yè)務特點、發(fā)展階段、信息技術條件、外部環(huán)境要求等因素的不同，分析的目標重點也不同，隨之也影響到后續(xù)步驟的工作內容。
　　第二步：各業(yè)務層面分析：綜合運用各種調研手段和現(xiàn)狀描述方法清晰表述出業(yè)務現(xiàn)狀，并進行研究分析，歸納總結出內部控制/風險管理存在的問題點。層面的劃分需要根據(jù)目標要求和企業(yè)特點，比如單體公司往往劃分為公司層面、業(yè)務層面、信息系統(tǒng)層面等，而集團公司就可能多出集團公司層面。
　　第三步：差距分析：結合COSO框架中的5要素或8要素標準進行分析評價，發(fā)現(xiàn)差距，提出補充、修正或完善的方向。
　　第四步：內部控制/風險管理體系建設：以前幾步工作成果為依據(jù)，搭建內部控制/風險管理框架體系；以某個目標或某個業(yè)務層面為主線，進行內部控制/風險管理體系的建設。
　　第五步：測試及運營維護：協(xié)助企業(yè)或外部審計機構進行評估和測試；根據(jù)測試結果進行調整；運行維護(推廣實施計劃)。
　　前三步驟緊密結合COSO框架的三個緯度展開（第一步審視企業(yè)體系建設目標緯度，強調體系建設的目標導向，第二步結合目標要求分析業(yè)務層面內部控制或風險管理存在的問題，第三步以某目標或業(yè)務為主線分析與COSO框架評價要素之間的差距），第四步根據(jù)前三步的分析結果針對性的進行內部控制或風險管理體系的設計，第五步為測試及運行維護。