□ 宗 樾

    全面風險管理主要應用于企業管理領域，是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

    人們在風險管理實踐中逐漸認識到，一個企業內部不同部門或不同業務的風險，有的相互疊加放大，有的相互抵消減少。因此，企業不能僅僅從某項業務、某個部門的角度考慮風險，必須根據風險組合的觀點，從貫穿整個企業的角度看風險，即要實行全面風險管理。

    在實踐中有很多企業不能真正理解全面風險管理與內部控制的區別和聯系，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。國際上基本上是接受了美國COSO（全國虛假財務報告委員會的發起人委員會）2004年發布的《企業風險管理——整合框架》對兩者的闡釋。

    按COSO框架，兩者的聯系為：

    全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內控，將之作為一個子系統。

    內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理，對于企業所面臨的大部分運營風險，或者說對于在企業的所有業務流程之中的風險，內控系統是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統也是許多法律法規的合規要求。因此，滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。

    內部控制與全面風險管理的差異為：

    兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現其自身的目標，而全面風險管理則貫穿于管理過程的各個方面，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內部控制。

    兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在于內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰略計劃制定當中的風險進行評估。

    兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前臺決策流程等，從而幫助董事會和高級管理層實現全面風險管理的目標。這些內容都是現行的內部控制框架所不能做到的。

    從發展趨勢來看，隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。 《中國質量報》