企业风险管理:COSO2004-辨析内部控制与风险管理

COSO1992的全称是《内部控制-整体框架》（ Internal Control-Integrated Framework ），主要内容是三目标五要素，三目标是经营增效、财报质量和法律合规，五要素是控制环境、风险评估、控制活动、信息和交流、监控。

【答案】：COSO委员会于2004年颁布了《企业风险管理框架》（ERM），认为其1992年发布的《内部控制——整体框架》只是包含在企业风险管理框架中的一体化部分，而企业风险管理框架是一个受到企业董事会、管理层和其他人员影响并在战略决策和整个企业中贯穿实施的过程。

首先，全面风险管理包含了内部控制。在COSO框架中，全面风险管理体系明确将内控视为子系统，说明其不可或缺。内部控制是风险管理的基础，它源于企业对风险的认识和管理，对于运营风险和业务流程中的风险，内控系统是高效的风险管理工具，同时也是法律合规的必要条件。尽管两者紧密相关，但存在明显的差异。

COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念，一个战略目标，两个概念和三个要素。

年，COSO提出了内部控制新的概念体系，即《企业风险管理框架》。这一框架中包括了风险管理的定义；企业风险管理的8个构成要素，即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息交流和监督；4个风险管理目标，即战略目标、经营目标、报告目标和合法性目标。

本文以大型企业为对象，以COSO风险管理框架为标准，对企业现行内部控制的理论和实务问题进行了粗浅的探讨，希望对深化内部控制研究有所帮助。

如何控制公司内部风险

制定内部控制政策和程序。 企业应根据自身业务特点和风险状况，制定符合法律法规的内部控制政策，明确各部门职责和权限，规范业务流程。 设立专门的内部控制部门。 负责监督、检查内部控制的执行情况，确保内部控制的有效实施。风险评估与应对 识别企业风险。

强化风险管理责任。企业各级机构通过确定风险管理环节，分解、落实机构内各部门、各岗位管理职责，并对各单位、各部门的控制状况进行检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而全面有效的控制经营风险，落实岗位责任。

企业层面控制，是指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。

风险管理审计与内部控制审计的区别与联系

1、区别：风险管理审计更注重对企业风险的识别、评估和应对，而内部控制审计更注重对内部控制制度的设计和执行效果的评价。风险管理审计的范围比内部控制审计更广泛，它涵盖了企业所有的风险，而内部控制审计只针对与内部控制相关的风险。

2、内部控制审计与风险管理审计的联系：内部控制的设计和执行应该针对风险管理的要求，而风险的管理很大程度依赖内部控制的设计和执行。所以，内部控制审计和风险管理审计在有些地方是互相渗透的，目的都是为了增加企业价值。

3、风险管理为内部控制和内部审计提供了基础和前提，也为内部审计和内部控制指明了努力的方向，内部控制为风险管理提供了控制乎段，也为内部审计提供了审计对象；内部审计不仅直接以风险管理和内部控制作为检查和评价的对象，而且通过审查、评价帮助风险管理和内部控制的完善和优化。

4、区别：（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。

风险评估为什么属于内部控制,应该了解内部控制是风险识别和评估的一部分...

风险评估是内部控制的一个环节，完整的内部控制流程包括识别风险、评估风险、控制措施、信息交流与沟通、监督等。因此，只有经过风险评估，才能确定风险有多大，是否能承受，需要进行什么样的控制等后续工作。

风险识别与评估：这是内部控制过程的首要环节，旨在识别和评估组织内部和外部的风险。 设立控制活动：根据风险评估的结果，制定相应的控制措施，如审批、核对、验收等。 信息与沟通：确保信息在组织内部有效流通，让员工了解内部控制的相关政策和程序。

内部控制与风险管理的关系是密不可分的。内部控制是风险管理的重要手段，而风险管理则是内部控制的目标。具体来说，内部控制通过制定和执行一系列政策和程序，旨在确保组织运营的合规性、财务报告的准确性、以及各项业务活动的有效性。

风险识别与评估：审计内部控制的首要任务是识别和评估组织面临的各种风险。这包括对组织内部的各项业务活动进行深入分析，识别潜在的风险点，并评估这些风险对组织可能产生的影响。 制定控制措施：基于对风险的评估，审计内部控制会制定相应的控制措施。

内部控制是风险管理的关键环节，风险管理又依赖于对内部控制的管理和评价，二者相互补充。同时企业应从内部控制做起，提高员工特别是中、高层管理者的风险意识；企业的风险管理越完善，内部控制的目标才能更好的实现，二者在相互促进中不断完善和发展，最后有利于企业自身的发展。