《(本科)第三章 内部控制与风险管理教学ppt课件.ppt》由会员分享,可在线阅读,更多相关《(本科)第三章 内部控制与风险管理教学ppt课件.ppt(69页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、(本科)第三章 内部控制与风险管理教学ppt课件2第三章 内部控制与风险管理 v了解风险以及风险管理的含义v熟知风险的类别v掌握企业全面风险管理框架的主要内容及基本流程3第一节第一节 风险管理概述风险管理概述一、风险涵义(一)风险的本质v“风险”的提出与研究始于19 世纪末的西方社会v传统的契约经济学把企业风险的来源分为两种: (1) 企业内部交易的不确定性, 指企业内部的委托代理交易、经理知识的有限性、劳动雇佣关系等各种状况的不确定性而产生风险;(2) 企业外部环境的变化, 指企业经营环境的变化而产生的风险。一般地, 人们把环境的不确定性分为两种, 一种是基于环境自身的动态和随机地变化, 另
2、一种是企业对环境的认知能力相对有限。企业风险实质表现为企业的交易费用增加。4(二) 风险分类v根据引起不确定性的原因可以归纳为两类:1. 系统性风险( systematic risk) , 或称为不可分散风险,指外部经济体的整体变化, 这些变化包括社会、经济、政治等企业难以控制的事实或事件。这类风险对企业影响的程度不一, 企业的自身无法控制,但所有的企业都要面对;2. 非系统风险( unsystematic risk) , 又称可分散风险,指企业受自身因素的风险, 这种风险只造成企业自己的不确定性, 对其他企业不发生影响。它是特定企业或特定行业所特有的,与政治、经济和其他影响所有资产的市场因素
3、无关。因此, 企业针对此类风险进行控制的措施就比较多。5二、全面风险管理的含义v1. COSO的定义企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。6该定义强调:v(1)企业的风险管理是一个过程,其本身并不是一个结果,而是实现结果的一种方式。v(2)企业风险管理是一个由人参与的过程,它不只是企业的政策、调查和表格,还涉及一个企业各个层次员工。v(3)该过程可用于企业的战略制定。v(4)该风险管理过程应用于企业内部每个层次和部门,企业
4、管理者对企业所面临的风险应有一个总体层面上的风险组合观。v(5)该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。v(6)设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。v(7)企业风险管理框架针对一类或几类相互独立但又存在重叠的目标,目的在于企业目标的实现。有效的风险管理可以为企业财务报告和合法性目标的实现提供合理的保证。7v2. 我国中央企业全面风险管理指引的定义企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志
5、,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。8二、企业风险管理的发展(一) 传统的企业风险管理v传统的企业风险管理将风险定义为企业遭受损失的可能性v 风险管理主要是指企业采用系统的和规范的方法对风险进行识别、转移和分散等, 采用的管理方法主要是风险回避、风险预防、风
6、险自留、风险转移和风险组合等。v企业的风险管理目标就是降低损失大小及降低损失发生可能性。 9(二) 企业集成风险管理v企业各部门的风险管理是孤立地开展, 难以协调。因此基于过去风险管理的局限性, 有学者呼吁在企业应建立新的“企业集成风险管理( Enterprise Integrated Risk Management) (EIRM) ” v区别于传统风险管理主要是具有一个目标体系该目标体系是在企业整体战略指导下制定, 然后在企业各部门和活动中进行分解, 形成一个树状的企业风险目标体系图。企业风险管理目标、企业风险管理组织、企业风险管理系统方法及企业风险管理信息系统的有机结合。 10美国安然公司
7、(Enron)为什么会出事儿 v安然事件发生后,在对其分析调查时发观:安然的董事会及审计委员会均采取了不干预(“handsoff”)监控模式,没有对安然的管理层实施有效的监督,包括没有查问他们所采用“投资合伙”的创新的会计方法。事件发生之后,部分董事表示不太了解安然的财务状况,也不太了解他们的期货及期权的业务。由于安然重视短期的业绩指标,管理层的薪酬亦与股票表现挂钩,这诱发了管理层利用创新的会计方法和做假,以赢取丰厚的奖金和红利。虽然安然引用了非常先进的风险量化方法监控期货风险,但是营运风险的内部控制形同虚设,管理高层常常藐视或推翻公司制定的内控制度。这是最终导致安然倒闭的重要因素。11第二节
8、第二节 COSOCOSO企业风险管理框架主要企业风险管理框架主要内容内容一、企业风险管理的定义v企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。12从从“内部控制内部控制”到到“企业风险管企业风险管理理”控 制 环 境风 险 评 估控 制 活 动监督作业活动1作业活动2循遵营经告报信息与沟通内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次1
9、3二、企业风险管理的构成要素v企业风险管理框架包括八个基本要素内部环境目标制定事件识别风险评估风险应对控制活动信息和沟通1.监控 内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次141.内部环境v建立风险管理理念。应认识到未预期事件与预期事件一样可能发生。v建立企业的风险文化。v考虑所有的其他组织行为如何影响风险文化。152.目标设定v在设定目标时,管理层应该考虑风险战略。v形成企业的风险偏好(risk appetite)从高层次的视角来确定管理层和董事会乐意接受多大风险。v风险容忍度
10、(risk tolerance),是指目标变化程度的可接受水平,是与风险偏好相联系的。163.事件(风险)识别v区分风险和机会。v带来负面影响的事件代表风险。v带来正面影响的事件代表自动抵消(机会),管理层应该在战略制定中重新考虑这些事件的存在。v考虑发生在内部的或发生在外部的可能影响战略和目标实现的事件。v指出内部资源与外部资源应如何结合起来,相互作用来影响风险的组合。17风险识别v战略风险v经营风险业务管理风险资源管理风险法律事务风险18企业风险管理结构战略管理经营管理供应投资活动资产售后服务业务管理资源管理法务管理人力资源资金生产研发活动销售信息战略风险供应风险投资风险资产风险售后风险人
11、力风险资金风险生产风险研发风险销售风险信息风险公司治理内部控制企业风险管理法律风险19战略风险识别vPEST分析:政治、经济、社会、技术等环境分析vPorter五要素分析:竞争者、新加入者、替代品、供应商、客户等分析vSWOT分析:强项、弱项、机会、威胁等分析战略管理环节战略风险20长虹基本情况v长虹前身为1958年创建的军工企业“国营四川无线电厂”,位于绵阳市,是我国研制生产军、民用雷达的重要基地,是建国初期重点建设项目之一。 v1965年,军转民,“国营四川无线电厂”更名为“国营长虹机器厂”。v1973年,长虹厂成功研制出第一台电视机,注册商标“长虹”, 开始创建长虹品牌。v1994年,长
12、虹股票在上海证券交易所挂牌上市。v2004年,长虹品牌价值达330.73亿元,成为中国最有价值的知名品牌。21长虹历年经营业绩(亿元)主营收入净利润19991015.32000107.11.2200195.10.92002125.91.82003141.32.42004115.4-36.8主营收入净利润199324.44.3199442.77.1199567.611.51996105.916.71997156.726.119981162022长虹的国际化战略v1998年长虹提出“世界品牌,百年长虹”的战略目标;v2000年开始出口 ;v2001年底开始与APEX做交易;v2002年,长虹出口额
13、达7.6亿美元,其中APEX就占了近7亿美元;v2003年,长虹出口额达8亿美元,APEX占6亿美元;v从2000年开始出口到现在,长虹总的出口额24亿多美元 23长虹的国际化应收帐款v2000年底为18亿;v2001年底为28.8亿;v2002年底为42.2亿;v2003年底为49.8亿; v2004年第三季度季报为45.5亿。而欠账的大头正是APEX,达40亿。 24APEX的商业信用v长虹造成如此多的应收帐款完全在于公司的风险控制机制的缺失。v2001年,厦华曾向中国出口信用保险公司了解APEX的信用度,得到的回答是“APEX的信用度为零”和“没有保险公司愿意为APEX的货物提供保险”;
14、vTCL集团几年前也曾想通过APEX进入美国市场,但是他们对APEX提出的一些条件并不满意,特别是觉得赊销的方式风险太大,加上APEX以前与一些中国合作伙伴的拖欠货款纠纷,所以TCL没有与APEX合作。 25长虹的教训与经验v教训:坏帐准备(APEX):25亿多;存货跌价准备:10亿v经验:战略目标制定的科学性和正确性风险管理的必要性和及时性26经营风险分析v经营环节风险业务风险资源风险法务风险经营管理业务管理资源管理法务管理27经营风险分析v业务管理风险分析供应活动投资活动售后服务业务管理生产活动研发活动销售活动供应风险投资风险售后风险生产风险研发风险销售风险28业务风险分析v研发风险:技术
15、、资金、人才风险v投资风险:投资项目、合作伙伴的风险v供应风险:商品质量、交货时间、价格、汇率和客户稳定性的风险v生产风险:产品质量、交货时间的风险v销售风险:市场、价格、营销策略的风险v售后服务风险:满意程度的风险29经营风险分析v资源风险分析资产资源管理人力资源资金信息资产风险人力风险资金风险信息风险30资源风险分析v人力资源风险:数量、素质风险v财务风险:现金流、利率、汇率等风险v资产风险:安全、效率风险v信息风险:可靠性、及时性风险31百富勤案例v1997年6月至8月期间,百富勤向印尼SS公司贷出一笔2.65亿美元的无担保短期贷款,并计划替SS公司配发新股,以筹集一笔资金来偿付这笔贷款
16、。v1997年底,东南亚金融风暴来临,印尼盾迅速贬值,97年底的汇率还是1美元兑5000印尼盾,至98年1月8日就跌至1:9600,最低纪录为1:11000。32百富勤案例v由于汇率大跌,股市疲弱,SS股价下跌35%,配股计划落空,SS无法到期偿付这笔巨额贷款。v为了应对金融风暴的影响,百富勤于1997年11月就计划引进瑞士苏黎世保险集团作为战略投资者,投资2亿美元,认购其可转换优先股,并定于98年1月9日批准此交易,1月13日付款。33百富勤案例v这时,百富勤正好有一笔6000万美元的短期贷款于1月9日到期,为此,百富勤与一家美资银行安排了一笔6000万美元的短期贷款作为过渡,定于1月9日到
17、帐。v恰在此时,SS公司因遭交易所拒绝筹资而向百富勤明确表示2.65亿美元的短期贷款无法偿还,财务黑洞暴露无遗。v闻此消息,美资银行拒绝安排过渡贷款,百富勤无法偿付1月9日到期的贷款。34百富勤案例v1月9日下午5时,百富勤被迫宣布停业,1月12日中午宣布自动清盘。v1月14日记者招待会上,董事长杜辉廉在分析百富勤走向破产的原因时说:这令人伤感,但这确是事实,集团业务是有盈利的,我们不过需要一笔十分断暂的应急贷款。v一位资深金融评论家说:百富勤的破产经过,就像一位精力旺盛的小伙子,由于一口痰卡在喉咙里,自己无法吐出,又没有人帮助吸出,最后窒息而死。35经营风险分析v法律风险管理v前通用电气 C
18、EO Jack Welch 说:其实并不是GE的业务使我担心,而是有什么人做了从法律上看非常愚蠢的事而给公司的声誉带来损害甚至使公司毁于一旦 。法务管理法律风险36企业风险管理结构战略管理经营管理供应投资活动资产售后服务业务管理资源管理法务管理人力资源资金生产研发活动销售信息战略风险供应风险投资风险资产风险售后风险人力风险资金风险生产风险研发风险销售风险信息风险公司治理内部控制企业风险管理法律风险374.风险评估v使得企业了解潜在事件影响目标的程度。v从两个角度评估风险风险发生的可能性风险发生的影响力v不仅可以用来评估风险,还可以用来衡量相关目标。v结合运用定性的和定量的风险评估方法。v将时间
19、纬度与目标纬度联系起来。v既要评估固有风险,还要评估剩余风险。385.风险应对v识别并评价潜在的风险应对方案。v根据企业的风险偏好、潜在风险应对方案的成本效益以及应对方案能够降低风险影响力和(或)可能性的程度来评估各种方案。v在评估风险组合和应对方案的基础上,选择并实施应对方案。39风险应对v风险应对总体策略:战略风险:公司治理经营风险:内部控制v风险应对具体对策:风险转移(保险、套期保值、期货)风险避免(退出交易活动)风险承担(考虑成本效益原则)风险减少(加强控制)40可可能能性性高高减少减少避免避免低低接受接受转移转移低低高高影响影响416.控制活动v控制活动是保证风险应对方案以及其他企业
20、指令得到执行的相关政策和程序。v控制活动存在于整个企业,包括各个层面和各个职能。v控制活动包括操作控制和一般的信息技术控制。427.信息与沟通v管理层必须以一定的格式和时间间隔识别、捕捉和传递有关信息,以保证企业的员工能够执行各自的职责。v沟通的意义广泛,包括企业内自上而下、自下而上以及横向的沟通。 438.监控v通过以下三种方式对ERM的其他几个要素进行监控:持续的监控活动个别评估两者的结合 44三、风险管理要素和企业目标、企业内各层面及部门的关系v企业的风险管理框架包括四类目标和八要素。四类目标v战略目标v经营目标v报告目标v合法性目标,八要素v内部环境v目标制定v事项识别v风险评估v风险
21、反应v控制活动v信息和沟通v监控内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次45四、各管理层在企业风险管理中的地位和职责1.董事会v企业的管理者向董事会负责,而董事会对管理者履行管理、指导和监督职能。v董事会对企业的风险管理负有监督职责,主要通过以下方式实现其职责:了解管理者在企业内部建立有效的风险管理的程度;获知并认可企业的风险偏好;复核企业的风险组合观并与企业的风险偏好相比较;评估企业最重要的风险并评估管理者的风险反应是否适当。462.管理者v企业的首席执行官对企业的风险管理最
22、终负责,即拥有企业风险管理的“所有权”。3. 风险管理员v风险管理员是指某一组织内的首席风险管理员或首席风险管理经理,他与企业内其他管理者一起,在各自的职责范围内建立并维护有效的风险管理框架。4. 内部审计人员v通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。5. 其他员工v企业风险管理是企业内每一个员工的责任企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。企业所有的员工都有责任向上报告风险,如经营中存在的问题,未遵守有关的行为规则的情况、其他违反政策的行为或非法活动。47第三节第三节 企业全面风险
23、管理基本流程企业全面风险管理基本流程一、 风险识别v管理层需要充分了解企业所面临的风险。风险管理中最大的问题是没有认识到潜在的障碍威胁。企业需要知道损失来自何处并能够找出受益于损失控制程序的问题领域。 1. 战略风险方面2. 财务风险方面3. 市场风险方面4. 运营风险方面5. 法律风险方面481、战略风险 宏观经济政策和经济运行情况、本行业状况、产业政策 科技进步、技术创新 市场或服务需求 战略合作 客户、供应商及主要竞争对手 经营发展战略计划的制定依据、投融资计划、经营目标492、财务风险 负债及偿债能力 现金流及资金周转情况 流动资产的占用及企业信用能力 预算支出情况 盈利能力 主要会计
24、政策 财务核算内部控制的薄弱环节503、市场风险 产品或服务的价格及供求关系 能源及主要原材料的供应、价格变化 主要客户及供应商的企业信用状况变化 税收政策、汇率变化 市场占有率变化及替代品影响514、运营风险 产品结构及新产品开发 营销策略及新市场开发 企业的管理架构及管理层能力 管理环节的内控薄弱环节 道德风险 监督和提交、改善管理的能力525、法律风险 政治、法律环境 新法律法规及政策 员工的素质及道德观念 重大协议或承诺 法律纠纷 知识产权53二、风险评估v识别出对企业的各个层级有影响的重大风险后,下一步是对风险发生的可能性及相对重大程度进行评估。这对于通过集体讨论快速识别的风险尤为重
25、要。定性方法是制作风险评估系图 工具:来确定风险对企业的影响,比如情景设计、敏感性分析、决策树 (decision tree)、计算机模拟、软件包54三、确定风险评级和应对策略v确定风险评级。识别风险是至关重要。识别后,企业的典型做法是检查风险评级,并得出一份列明潜在风险的清单。系统化的程序有助于识别风险以及按照数量对风险评级 企业接着需要按照已确定的重大程度和可能性估值,计算风险评分,并识别最为重大的风险。根据影响及可能性,对风险进行优先次序的排列。 55风险发生的可能性风险发生的可能性评分评分可能性可能性说明说明5几乎肯定在未来12个月内,这项风险几乎肯定会出现至少 1次4极可能在未来12
26、个月,这项风险极可能出现1次3可能在未来2至10年内,这项风险可能出现1次2低在未来10至100年内,这项风险可能出现至少1次1极低这项风险出现的可能性极低,估计在100年内出现的可能性少于1次56评分评分 损失程度损失程度说明说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标,造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程,在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标,只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微风险对企业造成的影响风险对企业造成的影响57v
27、2. 应对策略管理层可针对己评估的关键性风险做出回应。可选的应对风险策略有风险降低、风险消除、风险转移和风险保留。管理层可以选择一个或多个策略结合使用。58风险管理策略风险管理策略v风险回避风险回避v风险降低风险降低v风险转移风险转移v风险接受风险接受v风险对冲风险对冲59风险回避风险回避v回避风险,就是放弃或者拒绝可能导致风险的经营活动或方案,它是一种被动的、消极的风险控制方法。在风险事件发生之前,采用回避的方法可以彻底地消除而不是减少某一特定风险可能造成的损失,因而它的优点是比较彻底、干净利落。v避免风险的方法有很大的局限性,因为避免风险的同时,也意味着损失了企业的利润。财务风险、质量风险
28、、法律风险财务风险、质量风险、法律风险60风险降低风险降低v在风险发生之前,尽量减少风险发生的可能性,减少风险事件发生的概率。在风险事件发生之后,尽量减少风险的影响程度。 如决策多方案、投资多元化、人员培训、设备预防检修、充分市场调研、签订合同以明确责任、内外沟通、预提风险准备金等。61风险转移风险转移v通过某种安排,把自己面临的风险全部或部分转移给其它实体(保险公司、合作伙伴等),也就是通过转移或共享风险来减少风险发生的可能性或后果。v如套期保值交易(通过在期货市场在套头买卖交易,规避企业重要原材料、外汇价格波动带来的损失)、转包(企业把工程和产品零部件的生产制造转包给其他企业,把部分风险分
29、散出去)、 向保险公司投保。国航、东航、上航国航、东航、上航62风险接受风险接受v接受风险是指自己非理性或理性地主动承担风险。“非理性”接受风险是指对损失发生存在侥幸心理或对潜在的损失程度估计不足从而暴露于风险中;“理性” 接受风险是指通过对风险进行分析和权衡后,认为潜在损失在承受范围之内,而且自己承担全部或部分风险比购买保险要经济合算。63中国平安国际化风险中国平安国际化风险v 2008年10月2日,中国平安在其网站上发布公告,“中国平安终止投资富通资产管理公司”,证实了之前业界的预料中国平安对富通集团的并购计划将止步于此次世界金融风暴。为此,中国平安直接损失157个亿。尽管平安集团招揽了十
30、多位来自高盛、摩根、安泰等大行的国际投资专家参与投资计划,有着极具竞争力的国际化、专业化的团队与管理平台,并在对富通集团投资之前做了充分的准备工作和调查研究,但中国平安的一位管理人员坦承,对于全球金融风暴的来袭始料未及,也说明中国平安在对于市场观察和风险防范上仍有不足。64风险对冲风险对冲v 对冲在资本市场和金融市场上很常见,就是用现代的金融财务工具、衍生工具等调换的手段来降低风险。具体指通过承担多个风险,使相关风险能够互相抵消的方法。使用该方法,必须进行风险组合,而不是对单一风险进行规避、控制。如:资产组合、多种外币结算、战略上的分散经营、套期保值等。国航、东航、上航国航、东航、上航65注意
31、点注意点v风险管理策略并不是将风险降到最低,也就是说风险管理的目标并不是不惜代价消除风险,而是使剩余风险最多与企业的风险容忍度一致;v风险管理的策略都是根据企业的风险偏好或风险容忍度来制定的,可以单独使用,也可组合使用;66第四节第四节 内部控制与风险管理关系内部控制与风险管理关系v一、内部控制与全面风险管理的相同点1. 它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。2. 它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程
32、中,作为一种常规运行的机制来建设。3. 它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。4. 风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了
33、目标设定、事件识别和风险对策三个要素。67v二、内部控制与全面风险管理的差异1.两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制,风险管理框架增加了战略目标。2. 两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内
34、部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。683. 两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。4. 两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压
35、力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。69v三、内部控制与全面风险管理的联系1. 内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出,内部控制是为了实现经济组织的管理目标而提供的一种合理保障,良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是全面风险管理应该达到的基本状态。2. 全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策 3个要素。