淺談風險管理和內部控制的關系

摘 要：企業風險管理與內部控制兩者間的關系在實務界及理論界一直是爭論的熱點話題，深入探究企業風險管理與內部控制的主要區別與聯系，有利于正確把握兩者間的關系，對于進一步完善企業管理理論，推動經營管理實踐具有極其重要的意義。

關鍵詞：風險管理；內部控制

中圖分類號：F830 文獻標識碼：A 文章編號：1674-7712 （2013） 24-0000-01

一、風險管理和內部控制的聯系

美國全國虛假財務報告委員會下屬的發起人委員會（COSO）1992年提的是“內部控制”，到了2004年是“風險管理”，其內容1992年時包括5個要素，2004年時包括8個要素，說明對風險管理和內部控制有一個認識過程。內部控制應是風險管理的基礎和重要組成部分，它們是一體化的，不能分割的。

內部控制解決的是常規性風險，風險管理解決的是非常規性風險，內部控制解決的是“如何正確地做事”，而風險管理解決的是“如何做正確的事”，它們既有聯系，又有區別，一個企業要成功，二者缺一不可。

二、風險管理和內部控制的區別

“企業風險管理”概念的提出，并不意味著對原“內部控制”概念的摒棄。內部控制是企業風險管理不可分割的一部分，企業風險管理框架并未取代內部控制，而是將內部控制框架整體納入其中。企業風險管理涵蓋了內部控制，是一個更為全面、廣泛的概念。二者的區別主要包括以下方面：（1）企業風險管理涵蓋了內部控制。企業風險管理除包括原內部控制的三個目標之外，還增加了戰略目標；企業風險管理的八個要素除了包括原內部控制的全部五個要素之外，還增加了目標設定、事項識別和風險應對三個要素。（2）企業風險管理強調對風險的控制與應對。風險被定義為“對企業的目標產生負面影響的事件發生的可能性”（將產生正面影響的事件視為機會），涵蓋了信用、市場、戰略、聲譽、業務及財務等各種風險。風險管理包括風險計劃、風險控制和風險應對。這三者共同構成一個完整的風險管理過程。其中，風險控制又分為外部控制和內部控制。內部控制是一種內部風險控制機制，內部控制不同于風險管理。風險管理的首要工作是風險計劃。風險控制是在風險計劃既定的前提下，所開展的各種控制活動。風險控制除了包括內部風險控制之外，還包括外部風險控制。（3）企業風險管理注重對風險的定量分析與管理。企業風險管理引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等新的概念與方法，因此，企業風險管理可以在基于概率統計的基礎上，合理確保企業的發展戰略與風險偏好相一致，從而幫助董事會和高級管理層實現企業風險管理的目標；而原來的內部控制只能在基于定性判斷的基礎上確保內部控制目標的實現。

三、目前企業風險管理工作存在的問題

（1）企業管理者及相關人員風險意識薄弱。加強企業環境控制與風險評估，是提高企業風險管理效率與效果的重中之重。而當前我國企業缺乏一種可以辨認、分析與管理風險的機制，往往出現為了追求高收益而盲目投資等風險。（2）現有風險管理機構不足以應對企業風險。我國企業風險管理機制設計較晚，現有的規章制度也是近幾年開始施行，而企業面臨的外部環境卻變化很快。變化較快的經營環境使得風險管理機制的風險應對能力削弱，甚至失效。（3）風險管理機構組織建設不健全。國務院國有資產監督管理委員會發布的《中央企業全面風險管理指引》明確規定：企業應建立健全風險管理組織體系，主要包括規范公司法人治理結構，風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責。（4）風險管理機構缺乏真正獨立性。作為企業內部審計的一部分，風險管理機構存在獨立性不足的問題。尤其是中國大多數企業風險管理部門設立不完善、不系統，審計人員的職責不明確，企業風險責任歸屬不清晰，都造成了風險管理工作不可能起到真正的監督作用。

四、構建體現全面風險管理的內部控制新機制

（一）構建具有本企業特色的創新風險管理理念

將全面風險管理作為企業文化的一部分，全體員工在全面風險管理理念下共同努力。學習和借鑒其他企業風險管理的技術和經驗，積極探索適合本企業的內部控制管理新方法，創造一種優良的風險管理文化，改善內部環境，全面風險管理體系才能得到發展。

（二）構建切合實際的內部控制評價機制

傳統模式下，由于缺乏統一的風險管理決策，各職能部門成為風險管理的權威，嚴重缺乏對各項崗位職責的主動跟蹤評價系統，往往是出了事故才來補。因此，企業應根據自身的實際情況，通過確定風險控制環節，落實各部門的崗位管理職責，并對各部門的控制狀況進行定期檢查、評價和考核，強化風險管理責任，提高全員風險防范的意識和能力，從而有效地推進全面風險管理，實現從風險部門的防范轉向全企業、全員防范，將內部控制管理由個人行為提升到企業的整體行為，使企業的內控管理水平不斷提高。

（三）構建全新的內部控制組織體系原則

（1）全面風險管理原則。實施全面風險管理的關鍵在于構建完善的內部控制系統，內部控制要遵循全面風險管理的原則，即：全員管理原則；全過程管理原則；全方位風險管理原則。（2）分層管理原則。即將風險管理的決策、管理、操作職能分別賦予不同層次的機構，形成金字塔型的組織架構。（3）風險管理關口前移原則。將風險的日常監控職能直接設置到業務經營部門內，使風險管理更貼近市場，有利于及時發現風險、控制風險，體現風險管理與業務管理平行作業的特征。（4）協調與效率原則。要保證部門之間權責劃分明確、清晰，便于操作；保證部門之間的信息溝通方便、快捷，準確無誤，保證企業經營管理系統的高效運作。

（四）構建符合內控要求的業務管理新制度

傳統分散風險管理模式下，各職能部門制定了大量的所謂“全面”的制度，但制度運行的有效性較差。究其原因，最主要是制度的制定缺乏系統科學的規劃。因此，要在符合內部控制要求的前提下，全面梳理現有規章制度，進一步完善供銷業務、財會業務、中間業務等各項業務的管理制度，建立起面向企業、覆蓋所有業務品種和涉及業務全過程的內控管理體系，實現業務發展和風險管理的同步。基層單位要加強對規章制度執行和風險控制情況的自查，形成定期檢查的長效制度。內審部門要充分發揮審計的幫促作用，促使企業逐步建立起業務管理服從規章制度、業務考核服從統一標準的管理新制度。

參考文獻：

[1]張燕.企業內部控制與全面風險管理[J].山西焦煤科技，2007（15）.

[作者簡介]龐麗群（1965-），副教授，吉林工商學院經濟貿易學院，主要研究方向：會計學、財務管理。