浅谈风险管理和内部控制的关系

摘 要：企业风险管理与内部控制两者间的关系在实务界及理论界一直是争论的热点话题，深入探究企业风险管理与内部控制的主要区别与联系，有利于正确把握两者间的关系，对于进一步完善企业管理理论，推动经营管理实践具有极其重要的意义。

关键词：风险管理；内部控制

中图分类号：F830 文献标识码：A 文章编号：1674-7712 （2013） 24-0000-01

一、风险管理和内部控制的联系

美国全国虚假财务报告委员会下属的发起人委员会（COSO）1992年提的是“内部控制”，到了2004年是“风险管理”，其内容1992年时包括5个要素，2004年时包括8个要素，说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分，它们是一体化的，不能分割的。

内部控制解决的是常规性风险，风险管理解决的是非常规性风险，内部控制解决的是“如何正确地做事”，而风险管理解决的是“如何做正确的事”，它们既有联系，又有区别，一个企业要成功，二者缺一不可。

二、风险管理和内部控制的区别

“企业风险管理”概念的提出，并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分，企业风险管理框架并未取代内部控制，而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制，是一个更为全面、广泛的概念。二者的区别主要包括以下方面：（1）企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外，还增加了战略目标；企业风险管理的八个要素除了包括原内部控制的全部五个要素之外，还增加了目标设定、事项识别和风险应对三个要素。（2）企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中，风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制，内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下，所开展的各种控制活动。风险控制除了包括内部风险控制之外，还包括外部风险控制。（3）企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法，因此，企业风险管理可以在基于概率统计的基础上，合理确保企业的发展战略与风险偏好相一致，从而帮助董事会和高级管理层实现企业风险管理的目标；而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。

三、目前企业风险管理工作存在的问题

（1）企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估，是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制，往往出现为了追求高收益而盲目投资等风险。（2）现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚，现有的规章制度也是近几年开始施行，而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱，甚至失效。（3）风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定：企业应建立健全风险管理组织体系，主要包括规范公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。（4）风险管理机构缺乏真正独立性。作为企业内部审计的一部分，风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统，审计人员的职责不明确，企业风险责任归属不清晰，都造成了风险管理工作不可能起到真正的监督作用。

四、构建体现全面风险管理的内部控制新机制

（一）构建具有本企业特色的创新风险管理理念

将全面风险管理作为企业文化的一部分，全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验，积极探索适合本企业的内部控制管理新方法，创造一种优良的风险管理文化，改善内部环境，全面风险管理体系才能得到发展。

（二）构建切合实际的内部控制评价机制

传统模式下，由于缺乏统一的风险管理决策，各职能部门成为风险管理的权威，严重缺乏对各项岗位职责的主动跟踪评价系统，往往是出了事故才来补。因此，企业应根据自身的实际情况，通过确定风险控制环节，落实各部门的岗位管理职责，并对各部门的控制状况进行定期检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而有效地推进全面风险管理，实现从风险部门的防范转向全企业、全员防范，将内部控制管理由个人行为提升到企业的整体行为，使企业的内控管理水平不断提高。

（三）构建全新的内部控制组织体系原则

（1）全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统，内部控制要遵循全面风险管理的原则，即：全员管理原则；全过程管理原则；全方位风险管理原则。（2）分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构，形成金字塔型的组织架构。（3）风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内，使风险管理更贴近市场，有利于及时发现风险、控制风险，体现风险管理与业务管理平行作业的特征。（4）协调与效率原则。要保证部门之间权责划分明确、清晰，便于操作；保证部门之间的信息沟通方便、快捷，准确无误，保证企业经营管理系统的高效运作。

（四）构建符合内控要求的业务管理新制度

传统分散风险管理模式下，各职能部门制定了大量的所谓“全面”的制度，但制度运行的有效性较差。究其原因，最主要是制度的制定缺乏系统科学的规划。因此，要在符合内部控制要求的前提下，全面梳理现有规章制度，进一步完善供销业务、财会业务、中间业务等各项业务的管理制度，建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系，实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查，形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用，促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。

参考文献：

[1]张燕.企业内部控制与全面风险管理[J].山西焦煤科技，2007（15）.

[作者简介]庞丽群（1965-），副教授，吉林工商学院经济贸易学院，主要研究方向：会计学、财务管理。