内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现主体目标提供合理保证的过程,这些目标包括经营的有效性和效率、财务报告的可靠性,以及符合适用的法律和法规。它由五个要素构成:控制环境、风险评估、控制活动、信息与沟通、监控。
企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证;其构成要素包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八项。
从二者的定义来看,内部控制与企业风险管理的共性有三:
其一,内部控制或企业风险管理都是指一个过程,强调二者的动态性,即不论内部控制还是风险管理,都是与企业的经营相结合并与之同步运作的,是一种动态的、不断循环和发展的管理流程。
其二,内部控制与风险管理必须由人来实施,并且涵盖企业各个层面、不同部门的人员,不可能由哪一个特定的部门或人员单独实现。
其三,内部控制与风险管理都是企业管理的必要组成部分,它们确保企业经营安全,并为企业实现经营及战略目标提供支持。
但是内部控制并不等同于风险管理。就内部控制理论建立的初衷而言,内部控制更加关注于财务报告的可靠性以及对财务信息的审查和监管,因而在控制手段方面以审计及其他财务方法居多;而风险管理理论将视野拓宽,几乎涉及企业经营管理的各个方面,并强调以多样化的工具对企业风险进行系统化管理。美国的COSO委员会(Committee of Sponsoring Organizations of the Treadway Commission,企业风险管理与内部控制领域最具权威性的机构)将风险管理的构成要素从内部控制的五项内容扩展到八项,不但体现了人们对于风险管理在认识与研究方面的不断深入,也正说明了企业风险管理较之内部控制更加全面、系统化的特点。
当然,内部控制与风险管理无分好坏,对二者的选择只是因人而异,关键在于企业根据自身需求将内部控制或风险管理系统纳入其管理体系之后,必须通过行之有效的方法将其加以落实,才能使内部控制或风险管理系统的运作达到理想效果。 |