概要：由于存在認識上的誤區(qū)，內部控制和風險管理在實踐上存在重視不夠，執(zhí)行力不強，考核評價不嚴，風險管控不力等問題。正確認識內控體系與風險管理的聯(lián)系與區(qū)別，把握體系建設的核心問題是體系建設和運行成敗的關鍵。

關鍵詞：內部控制;風險管理

按照國資委2006年6月發(fā)布的《中央企業(yè)全面風險管理指引》，財政部等五部委2008年6月發(fā)布的《企業(yè)內部控制基本規(guī)范》，筆者所在單位深入開展了全面風險管理，發(fā)布了《全面風險管理報告》、《內控控制管理手冊》。然而，在工作實踐中，就內部控制與風險管理的認識上有一定的誤區(qū)，導致對提升內控體系執(zhí)行的有效性和全面風險管理（以下簡稱風險管理）水平帶來一定的影響。

一、內控控制與風險管理的認識誤區(qū)

1.認為內部控制與風險管理是相互獨立的。認為二者雖有共同點，但是從方式方法手段上看仍有本質的區(qū)別；有的認為從管控的目的上看，不完全一致；還有的認為，從企業(yè)的業(yè)務上看，二者關注的重點不一樣，據(jù)此認為是相互獨立的。

2.內部控制和風險管理的作用被夸大。認為有了內控體系和風險管理體系，企業(yè)就可以高枕無憂，希望內部控制和風險管理可以確保企業(yè)的成功，確保企業(yè)法律法規(guī)的遵循性、確保財務報告的可靠性。

3.內部控制和風險管理的重要性被忽略。認為傳統(tǒng)的企業(yè)管理模式，就可以解決內部控制和風險管理所要達到的目標，而無須另立理論與方法，他們主張應該看到與原有的傳統(tǒng)管理模式的差異，應該看到新的管理模式帶來的風險和巨大成本。

4.認為內部控制和風險管理體系的建設就是整章建制。認為內部控制和風險管理體系建設，就是建章立制，理解為簡單的制度建設。

5.認為內部控制和風險管理理念難于適應企業(yè)現(xiàn)狀。新的管理理念和技術，與企業(yè)原有的管理體系和觀點之間存在較在的差距，認為在COSO理念下建立的內部控制和風險管理模式不適合于企業(yè)現(xiàn)狀。

二、內部控制與風險管理的聯(lián)系

1.二者的驅動因素是一致的。無論是風險管理還是內部控制，從其在中西方的發(fā)展史上我們可以看出，最初的驅動因素在于滿足監(jiān)管要求。隨著認識上的不斷創(chuàng)新，越來越多的企業(yè)認識到內部控制與風險管理的重要性，驅動因素變?yōu)槭紫仍谟谝?guī)避風險管理失效會導致難以預計的損失，其次才是為了滿足監(jiān)管要求。

2.二者的主體是一致的。它們都是由“企業(yè)董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀念，指出各方在內控控制或風險管理中應有的角色與職責。

3.二者都是一個“動態(tài)的管理過程”。二者的有效性都是在某一時點的一個狀態(tài)，不能當做某種靜態(tài)的東西，也不是單獨或額外的活動。是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的不斷修正、循環(huán)往復的過程，并滲透于企業(yè)各項經(jīng)管理活動中。

4.二者的目標有共同點。都是為企業(yè)實現(xiàn)目標提供合理保證。風險管理的目標有四類，其中三類與內控控制相重合，即報告類目標、經(jīng)營類目標、和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內外發(fā)布的非財務類報告準確可靠。

5.二者的作用是一致的。都是為了防范風險。內部控制的最重要目的之一就是防范風險，沒有風險防范這一既重要又明確的目的，內部控制的存在就大打折扣，至少發(fā)揮作用的空間會受到極大的限制。

6.二者的組成要素上看，風險管理與內部控制的組成要素有五個方面是重合的，即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。這些重合是由它們目標的多數(shù)重合及實現(xiàn)機制相似決定的。風險管理增加了目標設定、事件識別、和風險對策三個要素，增加了戰(zhàn)略目標，對內部控制框架進行拓展，把內部控制帶到了一個更加寬泛的管理視角。

7.從二者的方法上看，企業(yè)的風險普遍存在于生產(chǎn)經(jīng)營的各個環(huán)節(jié)，風險信息的取得是實施風險管理的前提，收集不到風險信息，風險管理就無從談起。而內部控制是通過全方位建立過程控制體系、描述關鍵控制點和以流程形式直觀表達生產(chǎn)經(jīng)營業(yè)務過程而形成的管理規(guī)范。這恰好為風險信息的收集提供了極大的方便，可見內部控制是作為風險管理的一種重要手段而存在的。

三、內部控制與風險管理的區(qū)別

1.在定義上不一致。在COSO委員會的全面風險管理框架中，把風險定義為“對企業(yè)的目標產(chǎn)生負面影響的事件發(fā)生的可能性”，將風險與機會區(qū)分開來。而在C O S O委員會的內部控制框架中，沒有區(qū)分風險和機會。

2.在理念上不一致。內部控制解決的是流程問題，包括業(yè)務流程、管理流程中的風險控制，解決的是“正確地做事”。而風險管理解決的不僅是流程問題，更要解決戰(zhàn)略決策、應急處理；不僅要解決當前問題，更要預測和應對將來可能發(fā)生的問題；不僅要解決“正確地做事”，關鍵要解決“做正確的事”。風險管理把機會風險視為企業(yè)的特殊資源，通過對其管理，為企業(yè)創(chuàng)造價值，促進經(jīng)營目標的實現(xiàn)。而內部控制則是以專業(yè)管理制度為基礎，實施的遵循性控制活動，它無法防范管理層非理性風險和凌駕于管理制度以上的決策風險。

3.在目標上不一致。風險管理增加了戰(zhàn)略目標，這意味著風險管理不僅僅是確保經(jīng)營的效率與效果，而且介入了企業(yè)戰(zhàn)略（包括經(jīng)目標）的制定過程。顯然，風險管理所要實現(xiàn)的目標要遠遠高于內部控制所要實現(xiàn)的目標。

4.在程序上不一致。全面風險管理包括了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇、風險影響程度的制定、風險報告程序等活動。而內部控制負責的是對風險的評估、風險的控制、信息與溝通、監(jiān)督評價等工作。內控控制不負責戰(zhàn)略目標的制定，只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當中風險的評估。

5.在環(huán)境要求上不一致。企業(yè)開展全面風險管理工作是與其他管理工作緊密結合，在綜合考慮內部環(huán)境和外部環(huán)境的情況下，把風險管理的要求融入企業(yè)管理和業(yè)務流程中。而內部控制則是在內部環(huán)境下，根據(jù)國家有關法律法規(guī)和企業(yè)章程，建立的公司治理結構和議事規(guī)則。

6.在對策上不一樣。風險管理引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，這些內容在內部控制中不包含，也是不要求的。

四、如何實施內部控制進行有效的風險管理

古人云：“憂勞興國，逸豫亡身”、“生于憂患、死于安樂”。小平同志講：“我們要把工作的基點放在出現(xiàn)較大的風險上，準備好對策。這樣，即使出現(xiàn)了大的風險，天也不會塌下來。”古人和偉人都強調了風險管理的重要性。在正確認識內部控制與風險管理的聯(lián)系與區(qū)別的基礎上，如何把握“瓶勁”來構建企業(yè)全面風險管理體系，是防范風險、管控風險的關鍵。

1.要創(chuàng)造良好的控制環(huán)境。無論是COSO內部控制框架，還是財政部《企業(yè)內部控制基本規(guī)范》，都強調了內部環(huán)境的重要。仔細審視國內外發(fā)生的各個風險案例，不管是安然、世通事件，還是中航油事件，都有一個共同的問題，即缺乏有效的風險管理，其根本原因，則是董事會對公司運營風險重視不夠、缺乏有效的監(jiān)督?！帮L險放在第一位的發(fā)展才是科學發(fā)展”，“企業(yè)家基本職能：預測當前及未來面臨的風險”。董事會、管理層的風險管理政策、風險偏好、公司結構、企業(yè)文化的價值觀直接影響著企業(yè)的內部控制與風險管理，因此建立以董事會高度重視的控制環(huán)境，是內部控制與風險管理成敗的關鍵。

2.注重建立具有風險意識的企業(yè)文化。“沒有意識到風險，就是最大的風險”，“沒有意料之外，為意料之中做好了準備”，這是企業(yè)風險管理的最高境界。內部控制與風險管理最終目的就是要控制風險，避免企業(yè)遭受損失。因此，在構建內部控制與風險管理的過程中，應該以風險管理理念為導向。首先，公司董事會、管理層和全體員工必須熟悉企業(yè)業(yè)務相關的風險，所有員工知曉他們個人職責對企業(yè)風險的影響。其次，要關注重大風險。2005年COSO發(fā)布的《企業(yè)風險管理-整合框架》要求董事會與管理層將主要精力放在可能產(chǎn)生重大風險的環(huán)節(jié)上，而不是所有細節(jié)的控制上。企業(yè)的管理資源是有限的，控制也是需要成本的，如果將主要精力放在所有細小的或微不足道的控制上，就會舍本求末。再次，要深化企業(yè)風險管理文化。風險意識是任何風險管理過程的出發(fā)點，在有良好的風險意識的團隊中，風險在形成或變?yōu)橹匾L險之前，都會被及時識別，及時規(guī)避。培訓風險意識就需要深化企業(yè)風險管理文化。

3.建立責任保障機制。在實踐中，一提及內部控制，大家認為就是財務部門的事。企業(yè)的內控與風險管理是一個系統(tǒng)工程，其組織體系涵蓋企業(yè)決策和管理者、風險管理部門、經(jīng)營系統(tǒng)、內部審計等。企業(yè)應在風險管理委員會的領導下，理清體系各要素的部門管理責任，建立“統(tǒng)一管理、分級負責”的管理體制，建立“誰執(zhí)行誰負責”的責任機制。

建立以“業(yè)務主導、部門牽頭、審計監(jiān)督”的職責體系?！皹I(yè)務主導”是指產(chǎn)品研發(fā)、市場開發(fā)、生產(chǎn)運營、財務管理等業(yè)務部門負有內控與風險有效運行的管理責任；“部門牽頭”是指內控與風險管理部門統(tǒng)籌管理企業(yè)全員、全過程、全方位的風險管理工作，對業(yè)務部門負有組織、檢查、評價的職能；“審計監(jiān)督”是指內部審計負責見管理過程的充分性和有效性進行檢查、評估、報告，并提出改進意見。

4.建立監(jiān)督檢查機制。一是著重落實業(yè)務部門的運行監(jiān)督責任，負責體系運行情況的日常監(jiān)督檢查，特別強調業(yè)務主管部門對本專業(yè)從上到下管理和監(jiān)督職責。二是周密安排測試工作，以測試促執(zhí)行、促有效性。三是編制內部控制有效性報告與風險管理報告，通過編制報告披露問題，分析差距，查找原因，制定應對措施。

5.建立考核評價機制。結合體系運行情況，探索建立體系運行評價機制。在建立考核評價辦法時，重點要關注基礎工作部分的考核，包括內控與風險管理委員會的成立及履責情況、機構及崗位人員的配置情況、宣貫培訓情況、制度建設情況、測試檢查開展情況、考核兌現(xiàn)情況等，同時要關注實質性的內容，如風險識別、風險分析、風險評價、管控措施的制定、實質性漏洞及重大缺陷的發(fā)現(xiàn)等。將考核評價結果納入對各級管理人員的業(yè)績考核，獎罰兌現(xiàn)，形成正向激勵的考核方法，促進執(zhí)行力的提升。

筆者認為，內部控制的最終目的就是在控制風險，風險管理是建立在內部控制基礎之上的。實踐中僅有內部控制體系，而無風險管理的意識，則內控管理就是空架子，缺乏靈魂。有了風險管理意識，而無內部控制框架，則風險管理就失去了科學的管理手段，也易形成風險管理目標的缺失。因此，在構建內部控制體系過程中應樹立以風險管理為導向的理念。