内部控制与全面风险管理有哪些差异（内部控制与全面风险管理有哪些差异呢）

内部控制

《内控规范》指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

由此可以看出，内部控制是一个实现目标的程序和方法，其本身并非目标。内部控制的目标包括：一是提高企业经营的效率和有效性，二是确保财务报告的可靠性，三是要确保企业的生产经营行为遵循适用的法律法规。

《内控规范》结合中国国情，要求企业建立与实施的内部控制包括以下5个要素：（1）内部环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）内部监督。

财政部等五部门2010年出台的《企业内部控制配套指引》包括《应用指引》、《评价指引》和《审计指引》。其中《应用指引》将企业内部控制分为组织框架、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息传递、信息系统共计十八个方面，针对每一项具体业务，《应用指引》都提出了企业需要关注的主要风险以及内部控制要求与措施，从而使企业内部控制贯穿企业运营管理的各个环节。

针对每一项具体的业务，内部控制强调企业要设计和建立相互制衡的组织机构，设计、制定、实施企业内部控制的制度和流程，例如建立授权制度、不相容业务分离制度等，并对这些制度和流程的实施进行评价和监督。以研究开发业务为例，内部控制主要关注以下几个方面：一是企业要结合研发计划，提出研究项目立项申请，编制可行性研究报告；二是研究项目应当按照规定的权限和程序进行审批；三是应当合理配备专业人员，严格落实岗位责任制，确保研究过程高效、可控；四是应当建立研究成果验收制度，组织专业人员对研究成果进行独立评审和验收；五是建立研究人员管理制度，与研究人员签署保密协议；六是建立研究成果保护制度和研发活动的评估制度。

现代理论界对内部控制的定义各不相同，但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。该组织认为：“企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。”

在COSO委员会的《内部控制管理框架》中，把内部控制活动分成五大组成部分，即：控制环境、风险评估、控制活动、信息与交流和监督评审。

全面风险管理

企业在日常的生产经营过程中，会根据自身情况制定不同的发展战略和生产经营目标，在实现目标的过程中往往面临很多不确定因素。《全面风险管理指引》将企业风险定义为“未来的不确定性对企业实现其经营目标的影响”，由此可以看出，风险的概念与不确定性息息相关。很多人只关注风险的不利面，如风险带来的经营失败、法律诉讼、资产损失、经营中断等，因而害怕风险。实际上，风险具有二重性，风险总是与收益并存。因此，全面风险管理的意义就在于研究企业风险和收益的关系，明确企业的风险偏好和风险承受度，确定企业希望承受的风险范围，从而使企业在风险和收益之间寻求到一个平衡点。

《全面风险管理指引》对全面风险管理的定义是：“全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。”

从这一定义可以看出，企业风险管理已经实现了由传统的风险管理上升到全面风险管理的转变，全面风险管理具有以下几个特征：

一是战略性。全面风险管理主要运用于企业战略层面，站在战略层面整合和管理企业层面风险是全面风险管理的价值所在。

二是全员化。全面风险管理是一个由企业治理层、管理层和全体员工参与的过程，它本身并不是一个结果，而是实现结果的一种方式。

三是二重性。全面风险管理既要管理纯粹的风险（只有带来损失一种可能性），又要管理机会风险（同时存在损失和盈利两种可能性）。

四是系统性。全面风险管理必须拥有一套系统且规范的方法来建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。

依据COSO委员会2003年7月完成的《全面风险管理框架》定义：“企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。”

该框架有三个维度，第一维是企业的目标；第二维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目标有4个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。

《全面风险管理框架》三个维度的关系是：全面风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。

全面风险管理、内部控制的联系与区别

全面风险管理、内部控制本质上都是为了评估、防范、控制企业所面临的风险，从而促进企业经营目标的实现。但是三者之间也有比较明显的区别，主要有以下几点：

一是概念的内涵不同。内部控制系统是全面风险管理体系的组成部分，全面风险管理体系除了内部控制系统之外，还包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统。内部控制都是通过明确的规章约束员工的行为.

二是应对风险的内容不同。根据风险的不同来源，企业面临的风险分为外部风险和内部风险两类。外部风险主要包括政治风险、法律风险、社会文化风险、技术风险、市场风险等；内部风险主要包括战略风险、操作风险、运营风险、财务风险等。全面风险管理是对企业面临的所有种类风险的应对措施，涵盖的范围较广。而内部控制应对的风险种类较少，无法有效应对所有类型的风险。无论内控有多严密，也无论规章制度的遵循情况有多良好，都无法衡量和应对政策改变带来的政治风险，无法衡量和应对产品或服务价格变化带来的市场风险，也无法衡量和应对某一新技术的产生对某些行业或某些企业带来威胁的技术风险。

三是审视风险的角度不同。全面风险管理主要是围绕企业战略和生产经营目标，站在宏观的角度识别、分析和评估风险。

四是设定的目标不同。内部控制的目标是要通过一系列的控制手段，来最大程度确保财务报告的可靠性。除此之外，内部控制还要确保企业的生产经营行为遵循适用的法律法规，提高企业的生产经营效率。而《全面风险管理指引》中对全面风险管理设定了五项总体目标，除了涵盖内部控制的目标和合规管理的目标外，还包括确保将风险控制在与公司总体目标相适应并且可承受的范围内、确保企业与股东之间实现真实可靠的信息沟通、确保企业建立针对各项重大风险发生后的危机处理计划等多个目标。

五是采取的方法不同。全面风险管理的技术和方法有很多，比如头脑风暴法、德尔菲法、流程图分析法、风险评估系图法、敏感性分析法、决策树法等。其中既有定性分析，也有定量分析，这取决于不同风险识别技术和方法的特点。内部控制则侧重于采用穿行测试、控制测试等审计鉴证技术，具体说来，如果想了解企业的内部控制是否得到执行，可采取穿行测试的方法；如果想了解企业的内部控制是否有效，可采取控制测试的方法。

两者差异总结：

（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。

（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

（3）两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在COSO委员会的内部控制框架中，没有区分风险和机会。

（4）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。

国内关于内部控制和全面风险管理与COSO框架的差异

总体上来说，国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》，但结合国内的实际情况和一些前沿的研究成果，国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。

（1）目标纬度：财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展，增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。”另外，其他四个目标也与COSO全面风险管理四个目标在表述上有所差异，使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说，特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。

（2）要素纬度：财政部内部控制《通知》形式上借鉴了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的实质；国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素，但通过风险管理基本流程将全面风险管理的一些要素融合到流程中，从实质来说，也体现的是8要素的COSO全面风险管理框架。

（3）层级纬度：财政发布的内部控制《通知》目前主要以财务报告内部控制目标为主线所涉及的业务层级有较详细的规范；国资委全面风险管理《指引》关注范围更广泛，包括战略、财务、市场、运营、法律等方面。因此，从企业的战略风险依次到经营风险、财务风险，最后到财务报告，风险管理与内部控制的相对重要性应该各有不同。在战略风险方面，风险管理应该发挥主导作用，内部控制起到配合作用。这一角色逐步逆转，到财务报告层次，应该是内部控制发挥主导作用，风险管理起到配合作用。

（4）两者关系：国资委《全面风险管理指引》明确指出内部控制是全面风险管理体系的组成部分，同时也指出除内部控制外的其他全面风险管理组成部分。但由于财政部内部控制《通知》出台较晚，且借鉴了COSO全面风险管理框架的内容，使得其内部控制的边界扩大了不少，包括实现目标和要素都与全面风险管理差异不大。因此，我们理解《全面风险管理指引》中提到的内部控制与财政部内部控制已经不可同日而语。从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。