邓宝金 山东方亚新能源集团有限公司

引言

现代企业在运营发展过程中，会面临不同类型的风险因素，这就需要管理者重视风险管理及内部控制工作，在遵循科学性与有效性原则下，建立健全内部管理机制，从而迅速建立竞争优势与竞争地位。从企业管理体系来看，内部控制、风险管理占据着核心的位置，是将风险概率及损失程度降至最小化的有效途径。需要说明的是，风险是客观存在的事实，是无法全面消除的，我们只能通过规避、转移等手段来降低风险发生的概率、减少风险造成的损失。通过对前人研究成果的梳理，我们可以确定，风险管理、内部控制两者相辅相成、相互影响，但又存在部分差异。为了进一步深入剖析，识别其差异成因以及具体表现，笔者将结合框架报告展开全方位的剖析。

一、内部控制与风险管理的定义

（一）内部控制的定义

内部控制是企业管理制度的重要组成部分，其初衷就是保证企业运营系统的稳定性与安全性，即围绕企业发展目标与实际情况，制定科学有效的管控措施，保证目标的顺利实现。在此过程中，还需要对内外部要素进行通盘考虑，强调全员共同参与，全过程管理。内部控制并非一成不变的，是根据内外部环境的改变而不断调整，保证内部控制体系与企业运营系统达到最大匹配。

（二）风险管理的定义

风险是无处不在的，遍布于企业运营发展的各个领域、各个环节。风险的出现，会造成企业实际发展与预期目标出现严重偏差，最终可能导致经济损失、信誉损失等。风险管理是对风险进行识别、分析、评估、预防、管控、补救等一系列行为的综合表现。风险管理注重事前、事中、事后三大环节，旨为全面识别风险因素、精准判定风险权重、科学制定风控措施、最大程度降低风险发生的概率及造成的损失。

二、内部控制与风险管理之间的关系

内部控制、风险管理两者存在紧密的联系。其实，从传统管理学的角度来说，内部控制属于风险管理的一种。具体共同点、差异点概括如下：

（一）内部控制与风险管理的相同点

其一，实施主体相同。两者均要求企业内部全体员工共同参与，包括董事会、管理层、一线员工等。全员参与是内部控制、风险管理的基本要求，公司自上而下、自下而上、上下结合，通过分工合作、明确责权，共同保证目标的高效推进。

其二，注重过程管理。风险管理、内部控制都属于过程管理，因为这两种管理措施均贯穿于企业经营发展的各个环节、各个领域。同时由于企业处于动态的发展过程中，两者在具体管理措施、管理目标上面也会进行调整，而非一成不变、静止不动。

其三，是企业步入持续稳定发展正轨的重要保障。从两者目标角度来说，存在很多的相同点，具体可概括为三种，一是报告类目标；二是经营类目标；三是合规类目标。两者均是企业战略体系的核心结构。

最后，两者内容存在相同点。例如控制环境、风险评价、控制活动、监督、信息与沟通等。造成此现象与两者自身运作机理有着很深的联系，但需要说明的，重复并非全部事项，风险管理涉及的内容要大于内部控制。结合相关内容来分析，风险管理又包括三个结构要素，即制定目标、风险识别、风险防范。所以，通过对比可知风险管理与内部控制存在很多相似之处，但在细化内容后也有所不同。

（二）内部控制与风险管理的联系

其一，无论是风险管理，抑或是内部控制，其目标最终体现为保持企业运营系统的稳定性，确保资产安全完整，为股东创造更多的财富价值。从理论角度而言，内部控制属于制度层面，是基于双权（所有权、经营权）分离背景下，为维护投资者、债权人、股东合法利益，实现价值增值的基本保障。旨为确保会计信息的准确性、完整性以及可靠性，避免管理层操纵利润，发生道德风险、逆向选择，出现财务舞弊等。内部控制发展时间较长，可从立法层面进行阐释。风险管理是由于技术创新、市场条件改变的综合影响，对内部控制内涵范围进一步继承、延伸和发展。

其二，在全面风险管理中，内部控制占据着核心的位置。内部控制必须建立在企业全员拥有高度风险控制意识以及较强风险管控能力的基础上。通过对其双方内涵的界定可发现，内部控制属于一种制度性保障，要求企业内部资产安全完整、会计信息真实可靠等，这同样也是全面风险管理的基本要求。

其三，随着技术的不断革新，市场环境的持续完善，内部控制与风险管理的衔接关系也不断加深。企业通过引入先进的信息系统，对经营数据进行全面记录、核算、分析、管理，提升了整体会计工作效率，并逐步替代传统的会计手工作业。但是，各类创新变革活动也加剧了风险。尤其近几年外界对企业履行社会责任尤为关注，如果管理不善，那么很大概率会面临风险损失，比如没有履行环保责任导致环境污染，受政府处罚并整改通报；没有履行消费者社会责任，侵害了消费者合法权益，在赔偿经济损失的同时还要承担信誉损失等。所以，管理者只能通过内部控制、风险管理对内外不确定因素进行识别与控制，这从另一方面也阐释了两者有着共同的管理目标。

三、内部控制与风险管理的区别

（一）两者内涵不同

1.目标体系不同

通过文献分析，可总结四种风险管理目标，分别是经营目标、合规目标、战略目标及报告目标。对于以上前两种目标，内部控制与风险管理存在一致的情形。但风险管理增加的战略目标，内部控制没有提及，主要原因战略目标是由治理层制定的，而内部控制主要针对管理层而言，两者层次不一样；风险管理把财务目标外延为报告目标，即报告包括财务报告与非财务报告两种形式。一方面延伸了目标的涉及层面，另一方面也有效解决了内控目标体系受注册会计师影响而导致企业对财务信息过于重视、而忽略非财务信息的问题。需要说明的，即便两者在目标体系方面存在差异，但是对企业长期发展来说均发挥着保障作用。

2.组成要素不同

内部控制要素主要有五种，分别是：控制环境、风险评估、控制活动、信息与沟通、监督。风险管理框架新增了三大要素，并将控制环境要素转变为内部环境。其中新增要素主要是目标制定、风险识别、风险应对。这三种要素对风险管理框架有着很好的完善效果。此外，内部环境囊括了企业文化、风险偏好、控制环境等诸多内容；在称呼一致的要素中，风险管理对其内容进行了不断的完善与改进，例如：风险评估要素囊括了企业的内外部各类风险，包括经营风险、财务风险、债务风险、社会责任风险等，同时还对风险偏好、风险对冲等问题加以兼顾；而在“信息与沟通”方面，更加注重对信息的全过程、全方位的采集，包括历史信息、当前信息以及未来信息的预测。信息是开展风险管理工作的基础，信息是否全面、是否准确、是否可靠，直接决定了风险管理的效率与效能；沟通部分强调并说明：在正常报告之外应有替代沟通渠道。

（二）两者的职能不同

其一，职能定位存在差异。内部控制属于管理职能的一种，在确定管理目标的基础上，强调过程控制；风险管理则不同，它强调全员参与、全过程理念，将管理措施贯穿于企业运营的各个环节与各个领域，事前控制是风险管理最为注重的核心部分，风险管理更倾向于在风险尚未形成爆发前，便开展预防消除工作。并且，从目标角度来看，全面风险管理的目标设定，要比内部控制更加庞大复杂。

其二，活动范围表现不同。风险管理活动涉及企业的方方面面，部分活动不属于内部控制活动范畴。比如，内部控制与企业经营目标的设立没有直接的联系，仅是负责目标的顺利开展、目标成果的评估分析。而风险管理关注目标实施过程中各类工作及要素的评估。

其三，风险识别有显著差异。通过《企业风险管理整合框架》可知，风险是指经济主体在运营发展中由于各种不确定性要素影响而造成自身实际运营结果与预期目标产生偏差的可能性，这种“偏差”既有正面的、也有负面的。但是在《内部控制整体框架》中却没有明确的分类，统一将风险视为企业的一种直接性或间接性损失。

其四，风险应对措施制定不同。《企业风险管理整合框架》在风险管控理念与手段方面，加入了很多科学有效的指标，比如风险容忍度、风险偏好、压力测试等。换言之，在风险量化的基础上进行分析，可准确衡量战略、风险偏好两者的匹配性，揭示收入、成本、风险三者的具体关系，所得数据可为企业管理者制定或调整决策给予可靠的保障。而在《内部控制整体框架》中，仅注重企业内部各环节的管理控制，并未延伸到经营战略领域。

四、完善风险管理与内部控制的建议

（一）设置全面风险管理及内部控制体系

在风险管理及内部控制体系的构建过程中，应当围绕风险管理目标相关性原则。其一，以董事会为核心，完成风控组织体系的建立。在企业治理结构中，股东会、股东大会是公司的最高权力机构，董事会是由股东会、股东大会选举产生的公司决策和管理机构。现代企业大部分都是委托代理模式，即股东将经营权交给职业经理人。所以，公司应当做好委托人、代理人两者利益关系的协调，这也是每一个企业内部治理的核心问题。考虑到内部人控制问题的出现，还应当建立相关委员会，对重大决策事项的可行性、合法性进行监督审核，并制定对应的激励措施，调动管理者参与管理、为股东创造更多财富的积极性。比如风险管理委员会，在确保独立性的同时，赋予相应的管理权与监督权，对各环节风险管理工作的实施进程、实施效果进行评估，保证风险管理体系稳定高效运行并发挥即有价值。从风险管理措施实施角度来说，要从横纵双重视角开展管理监督工作，确保风险控制覆盖全局，确保无死角。

（二）强化各关键环节风险控制，制定风险管理解决预案

企业的运营发展离不开制度规则的支撑，所谓无规矩不成方圆便是如此。所以，在业务流程改造、优化等过程中，应当将风险管理要素纳入考虑范围，以提升各业务、各环节风险管控水平。流程改造并非一蹴而就，涉及层面较广，属于内部的重大创新举措，旨在将各类风险因素纳入可控范围内，结合内部控制，对各薄弱节点进行管理。公司应对业务流程进行全面审视，识别不足，并加以改善，即对经营业务、管理流程等信息进行采集、归纳、整合、分析，识别相关风险，及时评估相关风险，掌握关键控制节点，明确各部门、各岗位职责，制定并实施风险控制方案，确保内部控制各项工作真正的执行到点、落实到位。对核心管理环节的人力资源应当保证高质量配置，通过宣传教育，树立良好的内控意识与风控意识。在风险控制推进过程中，要建立内部严谨的层级结构，明确各层级、各部门的职责范围。此外，还应当在内部建立高效的信息交互机制，信息与沟通对于内部控制、风险管理而言，都至关重要。与此同时，还应当对企业管理结构进行不断优化，挖掘各部门岗位的功能优势，识别无效、低效作业，进行业务调整，确保风险管理预案的是能够切实可行的、是有效的。

（三）构建先进的风险管理信息系统，实现风险预警

风险是动态变化的，它会随着企业运营以及时间推移而不断改变。通过实践分析可知，想要实现风险管理效率、效能最大化，就应当对风险的发展规律有一个正确的认知；企业应当对涉及风险的各环节信息数据进行全面整理、分析，确保防控策略制定的针对性，将风险管理从被动逐步向主动转化。这就需要企业管理者在重视风险管理的基础上，投入诸多的资源，加快内部信息化建设进程。其一，以全过程管理理念为核心，加快管理信息系统的构建与完善进程，将更多的线下管理业务转移至线上，凭借信息系统的功能优势，满足自动化、高效化、标准化、专业化的管理要求。在信息系统中采用固化业务流程、系统自动转账等科学技术，将业务信息进行加工处理后，形成可量化的会计信息；其二，以风险管控预警作为切入点，建立健全风险预警体系。具体可以引入风险管理技术，使用各种先进技术工具对风险进行识别、量化，计算风险权重影响，确定哪些是关键风险，是需要重点关注的，哪些是次要风险，从而确定风险解决策略。其三，要加强部门管理，将风险管理理念融入实践工作中，确保全体人员对风险有着较强的反应能力、识别能力以及应对能力，当确认某环节存在风险隐患后，应当第一时间告知上级，共同研究，制定风险管理措施，力求做到早发现、早防治、少损失。

结语

在企业发展过程中，内部控制和风险管理之间的关系十分密切，既有区别又有联系，都是十分重要且必要的。内部控制和风险管理都是企业应对风险的有效措施之一，但无论是哪一种应对措施都强调全员参与，并将内部控制和风险管理措施落到实处，上下一心为企业经营目标的实现而共同努力。