郭青云

【摘要】隨著經濟全球化的加劇，企業(yè)之間的競爭日趨激烈，風險也隨之增加。大潤發(fā)創(chuàng)始人丟下一句“戰(zhàn)勝了所有對手，卻輸給了時代”后揮淚離去，讓企業(yè)更加重視所面臨的風險。也有很多企業(yè)引入了內部控制體系和風險管理體系，希望能夠幫助企業(yè)防范風險。但是內部控制和風險管理的關系，很多人經常混為一談，甚至認為選其一即可。本文試從理論和實踐兩方面分析一下兩者的關系，以期對企業(yè)有所幫助。

【關鍵詞】內部控制;風險管理

一、內部控制和風險管理是什么

內部控制是企業(yè)通過一系列控制措施，達到其既定管理目標的過程，由企業(yè)董事會、監(jiān)事會、經理層和全體員工共同實施。

風險管理是對可能會影響企業(yè)的潛在事件進行識別、評估和應對的過程，把不利因素控制在企業(yè)可承受范圍之內，由董事會、管理層及全體人員共同實施。

二、內部控制和風險管理的關系

內部控制與風險管理兩者之間的關系，目前理論界主要有三種觀點：

1.內部控制包含風險管理，風險管理是從內部控制中衍生出來的一部分。

2.風險管理包含內部控制，內部控制是風險管理的一種方式。

3.內部控制就是風險管理，內部控制與風險管理僅是人為的分離，在企業(yè)管理中它們是一體的。

那么兩者的關系究竟是什么呢7我們從不同方面對兩者進行比較：

1.最終目標相同。內部控制和風險管理都是通過對風險的防范、管理，為企業(yè)戰(zhàn)略目標的實現提供合理保證。

2.形式相同。內部控制和風險管理都是一個正在進行的過程，而不是一個靜態(tài)的結果。

3.范圍相同。內部控制和風險管理都是由企業(yè)董事會、管理層和全體員工共同實施的，涵蓋了企業(yè)各個層級和單元，體現了全員參與和全面性原則。

4.組成要素既有相同之處又有所區(qū)別。內部控制和風險管理的組成要素在內部環(huán)境、控制活動、信息與溝通和監(jiān)督評價四個方面基本相同，說明兩者實施的流程相同。在風險評估方面，內部控制體系相對簡單一些，應對措施也相對完善：風險管理則要更加精細化，細分為目標設定、事件識別、風險評估和風險應對，側重于對各種風險的研究和應對。

5.控制目標不同。內部控制體系中的各項控制措施設定的目標是零風險，只要嚴格落實各項控制措施，企業(yè)內部就不會發(fā)生風險。而風險管理體系中，企業(yè)一般根據自身的風險偏好和可承受的風險水平，設定一個風險容量，風險管理只需將企業(yè)面臨的風險損失控制在風險容量之內即可。

6.管理模式不同。企業(yè)經過長期的研究與實踐發(fā)現，生產經營過程中的內部風險相對固定，對應的內部控制措施也趨于完善固化。企業(yè)按照內部控制體系標準結合自身實際情況，由內部控制部門組織各職能部門及全體員工共同實施，即可起到防范企業(yè)內部風險的作用。

而風險管理則相對靈活一些，特別是在事件識別和風險評估環(huán)節(jié)，需要對企業(yè)面臨的各種不確定的潛在事件進行分析，區(qū)分不利和有利事件，并對不利事件的影響程度和發(fā)生的可能性進行評估。但是根據風險評估結果所采取的風險應對策略只有風險承受、風險規(guī)避、風險分擔和風險降低四種類型。風險管理強調風險組合觀，是對各種風險所帶來的綜合影響力的管理，即風險應對策略的選擇是根據風險所帶來的綜合影響力來確定的，而不是風險本身。

7筆者所在的中國電信市級分公司一次內部控制檢查發(fā)現如下問題：

（1）存在合同簽署生效前已實際履行合同，違反了“合同生效前不得實際履行合同”的規(guī)定：

（2）與A公司的一筆收入于年底一次性確認，違反了“應按照受益期逐月確認收入”的規(guī)定。

由此可見，企業(yè)的內部控制規(guī)定已通過規(guī)章制度建立完善，員工遵照執(zhí)行即可。

8.風險管理部門梳理的年度風險管理工作通報中列舉了兩項風險如下：

（1）固定寬帶價值下降及接入用戶流失風險（風險承受度：寬帶市場份額停止下降），并列出了三項具體風險管控措施，以期降低風險。

（2）資金安全風險：通過員工個人賬戶辦理公司收支業(yè)務（風險承受度：不存在通過員工個人賬戶歸集應收資金情況），銀行未達賬項（風險承受度：不存在三個月以上銀行未達賬項），要求省市兩級公司通過具體措施規(guī)避資金風險。

根據上述兩項風險可以看出，企業(yè)在不同時期面臨的風險也不同，風險承受度也不一樣，需要根據企業(yè)的實際情況研究應對。

通過上述比較分析和案例說明，我們發(fā)現兩者既相互關聯(lián)又有所區(qū)別，是企業(yè)不可相互替代的兩種管理手段。如果把企業(yè)比作一顆藥丸，那么內部控制和風險管理就是藥丸的兩層包裝紙，兩者的作用各不相同，卻共同作用把企業(yè)面臨的風險拒之門外。

三、內部控制和風險管理在企業(yè)中的實踐應用

內部控制體系和風險管理體系為企業(yè)在風險防范方面提供了行動指南，很多企業(yè)都已實施。但是在實際操作中，也存在一些問題。

（一）認識不足，意識淡薄

一些企業(yè)和員工認為，內部控制和風險管理體系只要制定了，制度上墻了，文件下發(fā)了，就能防范企業(yè)風險。也有人認為這是財務部門和審計部門的事情，我部門只要完成銷售任務就行了，實在不行就做一些表面工作應付檢查。殊不知內部控制和風險管理體系是一項貫穿于企業(yè)各個環(huán)節(jié)的管理活動，雖然是以規(guī)章制度的形式來實施的，但需要企業(yè)的董事會、管理層和所有員工去嚴格執(zhí)行和落實，只有這樣才能防范可能面臨的風險。

（二）學習不足，執(zhí)行力不強

企業(yè)在內部控制和風險管理體系建設中，對員工的培訓不夠，造成員工不能準確理解相關的規(guī)章制度，不能很好地執(zhí)行和落實。例如某公司在對內部控制進行自我評價時，員工對幾項控制措施評價為有效，而檢查發(fā)現這些控制措施是存在執(zhí)行缺陷的，詢問得知員工不知道選擇“有效”或“執(zhí)行缺陷”意味著什么。有時候當業(yè)績考核和相關控制措施發(fā)生沖突時，為了完成考核指標，相關部門就不會嚴格執(zhí)行該項控制措施。

那么如果想讓內部控制和風險管理體系在企業(yè)生產經營過程中真正地發(fā)揮作用，企業(yè)應該如何做呢？我認為應該從執(zhí)行的主觀和客觀因素兩方面考慮。

（三）強化員工風險意識，重視員工職業(yè)道德和勝任能力的培養(yǎng)

再先進的制度也需要員工去執(zhí)行，所以要把員工的因素放在首位。企業(yè)通過對規(guī)章制度的培訓和違規(guī)事件的處理，強化員工的風險意識，并把風險意識貫穿于企業(yè)生產經營的各個環(huán)節(jié)，這樣才會減少違規(guī)事件的發(fā)生。企業(yè)還要重視員工職業(yè)道德和工作勝任能力的培養(yǎng)，良好的職業(yè)道德可以避免舞弊事件的發(fā)生，知識和技能與崗位所需能力相匹配，可以確保企業(yè)各項經營活動有效運行。員工自身因素的問題得到了解決，主觀上就具備了執(zhí)行的基礎，才能把內部控制和風險管理體系執(zhí)行下去。

（四）做好監(jiān)督評價，完善治理結構

企業(yè)組織結構不合理、資源配置不當、制度本身的局限性以及制度與制度之間的沖突，是內部控制和風險管理執(zhí)行不力的客觀因素。企業(yè)要充分利用監(jiān)督評價的成果，不斷完善治理結構和議事規(guī)則，及時修改不合理的制度，確保企業(yè)內部、企業(yè)與外部之間的信息溝通順暢，為內部控制和風險管理體系建設營造一個良好的內部環(huán)境。

結束語

習近平在“十九大”報告中指出“決勝全面建成小康社會要堅決打好三大攻堅戰(zhàn)：防范化解重大風險、精準脫貧、污染防治”，這里面就提到了防范風險。企業(yè)只有明白內部控制和風險管理的關系，清楚實施過程中存在的問題，才能更好地在企業(yè)生產經營過程中開展內部控制和風險管理體系建設，為企業(yè)的發(fā)展保駕護航幫助企業(yè)實現戰(zhàn)略目標。