企業風險管理與內部控制的相互關系及優化策略探討

汪曉萍

（鉑德（深圳）科技有限公司，廣東 深圳 518000）

隨著市場經濟競爭激烈，企業經營活動復雜化，對于風險管理和內部控制的重視程度逐步提升，同時也在尋求強化風險管理和內部控制能力的路徑，以為自身健康發展和穩定經營提供支持。風險管理和內部控制在企業生存發展中是極為重要的管控活動，部分企業擁有了相對成熟的風險管理模式和內控人才，并且將兩者滲透在企業運營的方方面面。然而對大部分企業來說，并不了解風險管理和內部控制兩者的關系，從而影響了實踐效果和管理職能的發揮。在源頭上，內部控制理論先于風險管理理論出現，風險管理屬于內部控制體系的一部分，但兩者并不是簡單包含與被包含的關系，更多是相互交融的模式，根本都是對風險實施的管控，企業需要按照自身的經營模式和發展需求來制定科學的風險管理與內部控制體系。

一、風險管理和內部控制的定義

（一）風險管理定義

風險管理是企業針對經營和發展中的風險進行識別，并對潛在風險進行防范和規避的管理活動，目的是維護正常經營，避免發生經濟損失。企業需要良好的風險管理體系和風險管理文化來實現持續發展。因企業所面對的風險可能來自外部，也可能來自內部，這決定了風險管理具有動態性，需要貫穿于企業整個生產和經營過程。在戰略規劃時，必須要考慮風險的存在，以制定風險管理策略，讓其在經營中可以及時識別風險類型，做出有效防范。

（二）內部控制定義

關于內部控制，2008年，由財政部、證監會聯合其他相關部門發布了《企業內部控制基本規范》，其中強調內部控制是企業領導層、管理者以及全體員工參與，旨在落實控制目標的過程，而控制目標包括資產安全、實現發展戰略、提升經營效率和效果，讓企業經營管理合法合規，并保證相關信息的真實性和完整性。

二、企業風險管理和內部控制的相互關系

（一）企業風險管理和內部控制相同之處

風險管理和內部控制在目標上具有一致性，是企業通過防控風險實現價值最大化。首先，兩者需要全員參與，以建設風險管理的文化氛圍，激勵員工發揮主觀能動性，參與風險控制。其次，兩者共同為企業經營的合法性與合規性提供保障，但采取了多種技術手段來管控風險，并不意味著風險能夠全面排除，企業仍舊存在風險認知偏差和信息不對稱等阻礙因素。為了最大限度上發揮風險管理和內部控制效果，企業通常在過程中要綜合多種方法和技術。原因在于兩者共同面對的風險具有不確定性、破壞性、普遍性等特征，要結合經濟、管理、財務審計等多種專業知識，提升風險干預效果。此外，不管是企業風險管理還是內部控制，都強調過程的動態跟蹤和監督，風險有鮮明的轉化性，不加以動態評價和追蹤，在爆發后會造成巨大的經濟損失，因而兩者強調全程性，事前事中做好防控，事后也需要嚴格化解和監督。

（二）企業風險管理和內部控制的區別

企業風險管理和內部控制聯系緊密，具有相同性，但兩者也存在諸多差異狀況，具體有以下幾點。

1.范圍上，風險管理要大于內部控制。以兩者定義來看，風險管理強調全面性，貫穿整個經營活動的各個環節，它所依據的是企業戰略經營目標，形成事前預警、事中防控和事后化解的全方位風險管理體系。其中包括風險管理組織、風險管理策略、風險管理信息系統和內控系統等要素。在這一視角下的內部控制和獨立的內部控制系統有著交叉性，而內部控制在范圍上并不一定滲透企業全部經營管理過程，它以保證資產安全、維護財務報告和信息真實完整、經營活動合法合規為方向，基于內部環境來診斷運營程序中的內控缺陷，針對性做出調整，更多強調事中與事后對經營目標風險的防控。

2.側重點上，企業風險管理以整體和戰略風險為主，并且要關注機會風險。那么風險管理模式的制定要整合企業戰略決策，比如經營模式、戰略方向或者業務組合中的風險，企業需要全方位分析評價，相應制定管理策略。而內部控制往往針對企業日常經營活動中的負面風險，比如財務數據的真實性、經營活動的合法性與合規性、質量保障等方面的風險。

3.執行中，相較于內部控制，風險管理要強調系統性與流程性，并且要有專業技術手段支持。如風險管理要有目標、風險評估、風險監控和應對模塊，形成以風險為中心的完整閉環邏輯體系。但內部控制實行的控制活動可能僅以風險評估作為目標，并不以風險為唯一性。

（三）企業風險管理和內部控制的關系

企業要做好風險管理和內部控制，必然要深刻認識兩者的關系。一方面，風險管理通常涵蓋了內部控制，通過對這一模塊地拓展和延伸，企業由此實現對風險的全方位管理；另一方面，內部控制在風險管理中是必不可少的手段。因內部控制的執行可以維護企業運營的穩定性與合規性，防范了企業在經營發展中的多數風險。在一般性的企業中，內部控制程序較為簡單，對于潛在的風險多以預算控制、經營分析等方式化解。如若企業利用其他外力手段來應對風險，耗費成本要高于內部控制付出的成本。因此，常規企業要有效降低風險，可以采用內部控制手段。現階段，企業面臨嚴峻的市場競爭形勢，風險種類增加，其中最常見的是運營風險，為了穩固市場地位，提高經營水平，要特別重視內部控制工作，它屬于風險管理的根本要求，整合其他有效手段，可以幫助企業很好地規避經營中的部分風險，減少經濟損失。綜合而言，企業持續性的經營發展中，風險管理和內部控制的相互關系決定了兩者都有其應用價值，因而要全面落實這兩種手段，讓自身提高風險應對能力，實現健康發展。

三、企業風險管理和內部控制的實施現狀及存在的問題

（一）重視程度不足

按照企業經營屬性的不同，自身的管理側重點會存在差異性，而且所關注的效益目標也并不相同。如若企業側重運營活動中的經濟效益，戰略目標執行中往往會采取粗放管理手段，風險管理和內部控制的價值意義很容易被忽視。一部分企業并沒有就這兩部分活動設置專門的組織，缺乏精細管理制度和標準，使得部分崗位無法徹底發揮風險控制作用。加之職責模糊，風險管理和內部控制定位不清，導致企業實踐中很容易出現內控質量低下和管理混亂等問題，一些規模大的經營活動，因投資金額較高，風險管理模式不足以滿足現實要求，以致企業會承受較大的法律后果和經濟損失。

（二）制度與手段單一

當前，我國專門針對企業的風險管理和內部控制研究活動并不多，缺乏深厚的指導經驗。部分企業沒有足夠實力分析自身經營狀況和戰略目標，在風險管理制度和內控體系設置上缺乏合理性，流程復雜，可操作性較低，單一的風險應對策略往往流于形式，難以發揮風控價值。一些企業內部控制脫離實際經營活動，缺乏完善的控制指標，以致于無法為風險管理服務，很大程度上降低了風險管理效果。另外，當前企業管理模式開始強調信息化建設，企業還需要面對風險管理和內部控制信息化升級問題，在尚未健全管理機制，控制活動不規范的情況下，企業無疑要面對較大的管理挑戰。除此之外，當前企業在人員方面不具備復合型業務管理技能，風險管理和內部控制體系建設處于淺層次狀態，為實現經營穩定和發展持續的目標，企業需要盡快就兩者確立行之有效、貼合實際的工作新格局。

四、企業加強風險管理和內部控制的優化策略

（一）基于企業治理結構搭建風險管理系統

企業風險管理是必不可少的管理活動，但如何構建風險管理系統，使其發揮風險預測和預防職能是首要面對的問題。在具體實踐中，風險管理系統相關功能要與企業治理功能整合，兩者形成良性互動。本質上，風險管理是借助管理手段作用企業目標實現的不確定性因素，保護并增強股東價值。企業治理則是領導者為了維護利益對管理者實施授權、監督以及指導的過程。將風險管理系統與企業治理系統結合，意味著企業需要在系統的治理框架中滲透風險管理的角色，引發全體員工的重視，并由具體的管理者承擔風險管理責任，為這一管理活動發揮作用奠定良好基礎。可以說，風險管理系統并不是獨立形成，它需要企業治理系統指導風險管理的范圍和邊界，提供對應的政策依據。除此之外，還需要和戰略管理任務整合，獲得相應資源支持。企業實施每一種戰略任務，所引發的風險并不相同，需要采取差異化風險應對措施，那么在不一樣的戰略模式下需要配置適宜的風險管理資源。在目標上，企業戰略管理是為實現價值持續增長的活動，而這歸根于客戶價值的增長。因此要求質量可靠與高效的業務流程，通常業務流程所創造的價值由企業研究和開發的核心資源提供。以上則屬于企業戰略管理價值鏈的生成路徑，風險管理系統的創建同樣需要按照這一路徑來實施。

（二）形成具有風險導向的內部控制體系

從風險管理和內部控制相互交叉的關系來看，企業實際生產和經營中需要將兩者緊密結合，以達到規避風險，實現經營管理目標的要求。那么構建具有風險導向的內部控制體系成為重大任務，企業要明確這一原則，除了結合自身管理特征做出創新策略，還需要保證內部控制體系實現制衡性、全面性和成本性原則。同時，要運用系統觀念統籌優化內部控制體系。以當前市場運行狀況為依據創新內控風險理論和手段，制定體系完整、流程規范、責任明確的內部控制管理體系，在減少內控層級摩擦，降低資源浪費的基礎上，有效提升內控管理效率，為企業創造良好的風險控制和經營發展環境。

（三）細化風險管理和內部控制工作機制

不管是風險管理，還是內部控制，都是企業經營發展中的重要力量。為提升管控水平，企業需要細化工作機制，做好職能定位和規范管理，著力打造穩固且高效的內部風險管理體系。隨著市場變化，企業為獲取更大經濟利潤，規模會不斷增大，經營活動日益廣泛，那么風險的控制會更加復雜。母子公司與部門間的協調受到影響，風險管理和內部控制在執行中會發生諸多矛盾。企業需要構建總體格局，設立風險管理組織和責任成員，明確各部門的職能，并就此創立完善的制度進行指導，借助監督評價做出有效約束，改變以往風險管理和內部控制碎片化的局面。在這一過程中要特別注重層級的劃分，例如，企業總部統一領導制定風險管理和內部控制機制，規劃組織層次結構，形成指導、監督、考核與通報一體的模式；第二層級的管理者需要設置內控部門，完善制度和流程；第三層級的相關人員需要結合部門內控和風險管理體系來實施具體工作，最終達到相互制衡、相互協作的運行效果。綜合而言，企業風險管理和內部控制成功運轉中，需要就兩者滲透精細化管理思想，規范體系管理模式，增強制度保證，落實監督評價任務，以提高企業防范和處理風險的能力，增強體系價值創造水平。

五、結語

風險管理和內部控制是企業實現高質量發展和穩定經營的內在要求，更是有效管理的基礎條件。兩者既有共同點，也有差異性，內部控制屬于風險管理的重要手段，而風險管理是內部控制的必要組成部分，因而兩者具有交融和交叉關系，共同面對的是企業經營中的各種風險。要實現經營戰略目標，保證資產安全，有效規避風險，企業要在風險管理和內部控制方面探索新出路，整合自身的治理結構和戰略目標，加快構建與之相匹配的內部控制機制，將風險管理和內控活動作為重要抓手，打造全面覆蓋經營活動、全員上下貫通的風險管理和內部控制體系，以兩者強大的力量為企業高質量發展提供堅實保障。