刘文科

[摘要]内控控制与风险管理是现代企业发展过程中，经营管理领域不可或缺的两个方面，同时发挥着十分重要的作用，从发展过程来看，两者既联系又区别，既协调又最终趋于融合。

[关键词]内部控制；风险管理；协同；融合

内部控制是为实现企业发展目标而提供的一种合理保障，而风险则是企业发展过程当中种种潜在的危机，可能给企业带来人身、财产损失。内部控制偏重于制度方面，通过监督、规范从业人员对规章制度的执行来规避风险，目的是保证业务发展过程中按照制度办事，体现企业的规章制度贯彻执行情况，只要按章办事，那么企业的内控水平就上去了。风险管理不限于规章制度，它存在于企业日常经营管理活动之中，是企业预测风险、发现风险、防范风险可能造成的影响，把不良影响降到最低的经营管理行为。

一、了解内部控制与风险管理目标的一致性

现代经济环境风云变幻，无处不在的风险时刻威胁着企业的生存与发展，谁都不可能独善其身。关于内部控制与风险管理的关系：一种认为二者既相互联系又互有区别的概念，无法完全相互替代。另一种认为二者是同一事项的不同表述，没有本质上的区别，可以相互替代。这主要是因为学者们对内部控制与风险管理内涵与外延的界定不同，前者把内部控制作为风险管理的一个步骤和手段，或者是把风险管理作为内部控制的一部分，而后者是把内部控制与风险管理完全等同。其实，企业内部控制与风险管理两者之间具有一致性，主要表现在：一是企业内部控制以及风险管理的实现都需要各方的参与：二是两者都贯穿于企业的整个日常经营管理活动当中：三是两者的最终目的都是要实现企业的价值。具体来看，企业的内部控制是包含在企业的风险管理当中的，属于风险管理的一个部分。企业的风险管理和企业的内部控制相比较起来，它是站在更高的战略层次上来分析问题的，更细化，能够更好地解决企业经营活动当中所出现的各种各样的风险问题。内部控制主要作用则是体现在会计控制以及审计领域。它们目标具有一致性，都是为实现企业经营管理目标而存在的。

二、重视内部控制与风险管理的协同性

协同性是指事物间相互影响的能力，表现事物在整体发展运行过程中协调与合作的性质。对事物双方或多方而言，协同的结果使个个获益，整体加强，共同发展。导致事物间属性互相增强、向积极方向发展。与此相适应，在企业不同的发展阶段或者不同的经济周期，会侧重不同的风险管理策略。如促进内部控制与信息系统相结合。应当按照信息系统应用指引的要求，结合国际上公认的信息系统控制标准，进一步梳理和优化企业信息系统的整体控制、一般控制和应用控制。特别在加强应用控制方面，针对ERP系统、资金集中管理系统、会计集中核算系统、加油卡系统等应用系统，从系统业务流程出发，对其控制功能在实际应用中的风险重新梳理，并加以识别、分析和记录。根据系统控制的特点，从系统权限、职责分离、配置、业务操作等方面，完善系统状态下的控制要求，建立控制措施与系统业务流程的映射关系，使之更加明确、具体，更容易为系统操作和管理人员所遵循。等等这些都会促使内部控制与风险管理在企业经营管理过程中发挥协调、协作作用，从而推动企业向好的方面发展。

三、确信内部控制与风险管理发展过程的融合性

随着内部控制以及风险管理的不断健全和完善，二者之间必定会相互交、相互协调，最终会实现相互融合。目前，从国际国内实践来看，两者的概念虽然还没有达成共识，但两者均是合理保证目标实现过程的观点已经越来越被人们所普遍接受：从企业经营管理实践来看，两者虽然有很多种表述，但实质上都是为了防范风险，把风险控制在可控范围内；从风险识别方面来看，两者形式虽然不完全一致，但都强调要风险识别、风险评估、风险应对和风险控制等基本程序，这在实质上是基本一致的：从制度框架实践来看，两者的融合过程是渐进的。1992年、2004年，COSO发布的《内部控制——整合框架》中明确：内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。我国《企业内部控制基本规范》中的内部控制概念包括了风险管理的内容。《中央企业全面风险管理指引》把内部控制作为企业控制风险的主要措施。这些足以看出，无论是内部控制还是风险管理，都是基于风险防范的需要而存在和发展的，都是作用于风险。

四、内部控制与风险管理的融合步履是长期的过程

其阻力不僅仅来自学术界，还来自各国政府下属的监管机构，最主要的还是来自于人们的意识领域，主要表现在思想认识上。内部控制与风险管理的异同，在理论上可以归纳出好多点，但是说要把二者融合在一起，对于长期致力于内部控制或风险管理领域研究的专家而言，于情于理都是难以接受的。不同的政府监管部门，甚至是同一监管部门的内部，有要求构建内部控制的，有要求强化风险管理的。而在实践中，大多数企业已经把内部控制和风险管理两方面工作融合了。无论人们如何看待内部控制与风险管理的关系，内部控制与风险管理亦逐渐走向融合，这是大势所趋。既然内部控制与风险管理最终会达到融合，那么在实际工作中，对于内部控制和风险管理的建设就应该协同进行。没有必要对同一目标下的事项制定两套手册或指南，只要把控制和风险融合在一起共同制定一套制度即可，以减少不必要的重复和浪费。没有必要既设立内部控制部门，又设立风险管理部门，而综合建立一个风险控制部门就够了。在事项上，不仅要把内部控制与风险管理整合起来，还应该与公司治理整合起来，把风险控制系统整合到治理、战略和运营中。企业需要做的就是要对高风险领域给予足够的重视，要不断地强化风险意识，要把风险管理理念运用到内部控制当中。企业只有不断把内部控制和企业的风险管理进行有机结合，完善自身的内控制度，努力强化员工的内控意识，才能建立起风险管理的壁垒，从而对风险进行有效防范。

五、结束语

内部控制与风险管理密切相关，两者往往相互依存、不可分离。就实质而言，内部控制的最终目标是为了控制和管理企业所面临的一切风险。实施内部控制的过程中，应正确区别内部控制与风险管理的间相互联系、相互交叉、相互协同、相互促进最终达到时相互融合统一。endprint