内部控制与风险管理间的区别和联系—基于《内部控制-整合框架》与《企业风险管理-整合框架》两部文件一、理论渊源内部控制理论源于1992年Treadway委员会的发起组织委员会（即COSO）的《内部控制-整合框架》，该框架界定和描述了有效的内部控制所需的五个相互关联的构成要素，即ControlEnvironment，RiskAssessment，ControlActivities，InformationandCommunication，Monitoring。随着关注焦点向风险管理的转移，2001年，COSO委托普华永道开发一个对管理层评价改进企业风险管理的简便易行的框架，在开发这个框架期间，美国企业丑闻频发，于是为顺应法律和上市规则的强化需要，产生了《企业风险管理-整合框架》。（ERM）二、内容比较与COSO的内部控制的报告相比，全面风险管理框架增加了一个目标，两个观念和四个要素：（1）目标———战略目标。风险管理扩大了报告目标的范畴，将战略目标纳入其中，该目标层次高于其他三个目标。同时拓展了内部控制中“报告”的含义，从财务报表拓展至包含非财务信息的所有信息。（2）观念———风险组合观和风险容量。风险组合观，即企业在实现各个目标的过程中，在关注单一风险外，还要从组合角度考虑复合风险。对每个单位而言，其风险可能在该单位的容忍范围以内，但就企业整体来讲，总风险很有可能超过企业整体的风险偏好范围。因此，要求管理者从企业层面上总体把握分散于各个层次和部门的风险。同时，突出强调是风险出于主体的风险容量之内是有效的企业风险管理的一个必不可少的要素。（3）要素———目标制定、事件识别、风险评估和风险应对。ERM将目标设定作为后三项的前提，将事件重新定义分类为有正面影响、负面影响或两者兼而有之，而风险只局限于有负面影响的事件，因而如何在不同的事件中识别出风险成为企业风险管理的基础。风险评估方面，风险管理框架首次从固有风险和剩余风险的角度深入讨论了潜在事件的概念；ERM首次提出了四类风险应对方式，即规避风险、减少风险、共担风险和接受风险。企业应针对不同的风险综合考虑后有不同的反应对策，尽量降低应对风险的成本，提高企业的抗风险能力。同时，在诸如风险评估、控制程序、信息沟通和监督评价方面，二者也存在一定相似性。三、联系和区别如COSO主席JohnJ.Flaherty描述，“企业风险管理拓展了内部控制，更有利、更广泛地关注于企业风险管理这一更宽的领域”，“将内部控制框架（理论和要素）纳入其中”，但二者是并行的，在文件制定上，后者并未打算取代内部控制框架。公司可以借助企业风险管理框架来满足内控的需要，还可以借此转向更加全面的风险管理过程。就制定者本土的情况看，可以说，内部控制是主体和基本目标，因为从美国本土法律来看，内控制度和框架被认为是满足2002年《萨班斯-奥克斯利法案》报告要求的被广泛认可的准则。企业风险管理框架是为实现这一目的而服务的，同时又较内部控制的体系更加全面和丰富。但也并不妨碍根据更高层次的目标对企业风险管理情况开展针对性更强的评价。