全面风险管理是企业为实现总体经营目标,在管理的各个环节和过程中执行风险管理基本流程,培育风险管理文化,建立全面风险管理体系的过程和方法。它包括风险管理策略、风险理财措施、组织职能体系、信息系统和内部控制系统。全面风险管理由企业各层级员工参与,旨在将风险控制于风险容量以内,提升企业价值。它涵盖了内部控制,并与内部控制相互联系但存在差异,包括目标设定、风险评估方法选择、管理人员聘用等活动。随着发展,全面风险管理与内部控制将相互交叉、融合。
全面风险管理涵盖了企业内部控制,并将其作为一个子系统。内部控制是全面风险管理的必要环节,主要通过对事后和过程的控制来实现其自身目标。然而,全面风险管理则贯穿于管理过程的各个方面,并在事前制定目标时就充分考虑风险的存在。与内部控制相比,全面风险管理在范畴、活动和对风险的对策上存在差异。
具体来说,全面风险管理的范畴更广泛,涵盖了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动。而内部控制主要负责风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,这些内容都是现行内部控制框架所不能做到的。
全面风险管理不仅是对内部控制的补充,更是对企业管理体系的全面提升。它强调在企业的各个层面和环节中融入风险管理理念和行动,以实现风险与收益的平衡,促进企业可持续发展。从国际国内发展趋势来看,内部控制和风险管理将逐渐融合,全面风险管理将成为企业管理的核心和必然趋势。
