企业内部控制与风险管理的关系浅析

郭青云

【摘要】随着经济全球化的加剧，企业之间的竞争日趋激烈，风险也随之增加。大润发创始人丢下一句“战胜了所有对手，却输给了时代”后挥泪离去，让企业更加重视所面临的风险。也有很多企业引入了内部控制体系和风险管理体系，希望能够帮助企业防范风险。但是内部控制和风险管理的关系，很多人经常混为一谈，甚至认为选其一即可。本文试从理论和实践两方面分析一下两者的关系，以期对企业有所帮助。

【关键词】内部控制;风险管理

一、内部控制和风险管理是什么

内部控制是企业通过一系列控制措施，达到其既定管理目标的过程，由企业董事会、监事会、经理层和全体员工共同实施。

风险管理是对可能会影响企业的潜在事件进行识别、评估和应对的过程，把不利因素控制在企业可承受范围之内，由董事会、管理层及全体人员共同实施。

二、内部控制和风险管理的关系

内部控制与风险管理两者之间的关系，目前理论界主要有三种观点：

1.内部控制包含风险管理，风险管理是从内部控制中衍生出来的一部分。

2.风险管理包含内部控制，内部控制是风险管理的一种方式。

3.内部控制就是风险管理，内部控制与风险管理仅是人为的分离，在企业管理中它们是一体的。

那么两者的关系究竟是什么呢7我们从不同方面对两者进行比较：

1.最终目标相同。内部控制和风险管理都是通过对风险的防范、管理，为企业战略目标的实现提供合理保证。

2.形式相同。内部控制和风险管理都是一个正在进行的过程，而不是一个静态的结果。

3.范围相同。内部控制和风险管理都是由企业董事会、管理层和全体员工共同实施的，涵盖了企业各个层级和单元，体现了全员参与和全面性原则。

4.组成要素既有相同之处又有所区别。内部控制和风险管理的组成要素在内部环境、控制活动、信息与沟通和监督评价四个方面基本相同，说明两者实施的流程相同。在风险评估方面，内部控制体系相对简单一些，应对措施也相对完善：风险管理则要更加精细化，细分为目标设定、事件识别、风险评估和风险应对，侧重于对各种风险的研究和应对。

5.控制目标不同。内部控制体系中的各项控制措施设定的目标是零风险，只要严格落实各项控制措施，企业内部就不会发生风险。而风险管理体系中，企业一般根据自身的风险偏好和可承受的风险水平，设定一个风险容量，风险管理只需将企业面临的风险损失控制在风险容量之内即可。

6.管理模式不同。企业经过长期的研究与实践发现，生产经营过程中的内部风险相对固定，对应的内部控制措施也趋于完善固化。企业按照内部控制体系标准结合自身实际情况，由内部控制部门组织各职能部门及全体员工共同实施，即可起到防范企业内部风险的作用。

而风险管理则相对灵活一些，特别是在事件识别和风险评估环节，需要对企业面临的各种不确定的潜在事件进行分析，区分不利和有利事件，并对不利事件的影响程度和发生的可能性进行评估。但是根据风险评估结果所采取的风险应对策略只有风险承受、风险规避、风险分担和风险降低四种类型。风险管理强调风险组合观，是对各种风险所带来的综合影响力的管理，即风险应对策略的选择是根据风险所带来的综合影响力来确定的，而不是风险本身。

7笔者所在的中国电信市级分公司一次内部控制检查发现如下问题：

（1）存在合同签署生效前已实际履行合同，违反了“合同生效前不得实际履行合同”的规定：

（2）与A公司的一笔收入于年底一次性确认，违反了“应按照受益期逐月确认收入”的规定。

由此可见，企业的内部控制规定已通过规章制度建立完善，员工遵照执行即可。

8.风险管理部门梳理的年度风险管理工作通报中列举了两项风险如下：

（1）固定宽带价值下降及接入用户流失风险（风险承受度：宽带市场份额停止下降），并列出了三项具体风险管控措施，以期降低风险。

（2）资金安全风险：通过员工个人账户办理公司收支业务（风险承受度：不存在通过员工个人账户归集应收资金情况），银行未达账项（风险承受度：不存在三个月以上银行未达账项），要求省市两级公司通过具体措施规避资金风险。

根据上述两项风险可以看出，企业在不同时期面临的风险也不同，风险承受度也不一样，需要根据企业的实际情况研究应对。

通过上述比较分析和案例说明，我们发现两者既相互关联又有所区别，是企业不可相互替代的两种管理手段。如果把企业比作一颗药丸，那么内部控制和风险管理就是药丸的两层包装纸，两者的作用各不相同，却共同作用把企业面临的风险拒之门外。

三、内部控制和风险管理在企业中的实践应用

内部控制体系和风险管理体系为企业在风险防范方面提供了行动指南，很多企业都已实施。但是在实际操作中，也存在一些问题。

（一）认识不足，意识淡薄

一些企业和员工认为，内部控制和风险管理体系只要制定了，制度上墙了，文件下发了，就能防范企业风险。也有人认为这是财务部门和审计部门的事情，我部门只要完成销售任务就行了，实在不行就做一些表面工作应付检查。殊不知内部控制和风险管理体系是一项贯穿于企业各个环节的管理活动，虽然是以规章制度的形式来实施的，但需要企业的董事会、管理层和所有员工去严格执行和落实，只有这样才能防范可能面临的风险。

（二）学习不足，执行力不强

企业在内部控制和风险管理体系建设中，对员工的培训不够，造成员工不能准确理解相关的规章制度，不能很好地执行和落实。例如某公司在对内部控制进行自我评价时，员工对几项控制措施评价为有效，而檢查发现这些控制措施是存在执行缺陷的，询问得知员工不知道选择“有效”或“执行缺陷”意味着什么。有时候当业绩考核和相关控制措施发生冲突时，为了完成考核指标，相关部门就不会严格执行该项控制措施。

那么如果想让内部控制和风险管理体系在企业生产经营过程中真正地发挥作用，企业应该如何做呢？我认为应该从执行的主观和客观因素两方面考虑。

（三）强化员工风险意识，重视员工职业道德和胜任能力的培养

再先进的制度也需要员工去执行，所以要把员工的因素放在首位。企业通过对规章制度的培训和违规事件的处理，强化员工的风险意识，并把风险意识贯穿于企业生产经营的各个环节，这样才会减少违规事件的发生。企业还要重视员工职业道德和工作胜任能力的培养，良好的职业道德可以避免舞弊事件的发生，知识和技能与岗位所需能力相匹配，可以确保企业各项经营活动有效运行。员工自身因素的问题得到了解决，主观上就具备了执行的基础，才能把内部控制和风险管理体系执行下去。

（四）做好监督评价，完善治理结构

企业组织结构不合理、资源配置不当、制度本身的局限性以及制度与制度之间的冲突，是内部控制和风险管理执行不力的客观因素。企业要充分利用监督评价的成果，不断完善治理结构和议事规则，及时修改不合理的制度，确保企业内部、企业与外部之间的信息沟通顺畅，为内部控制和风险管理体系建设营造一个良好的内部环境。

结束语

***在“十九大”报告中指出“决胜全面建成小康社会要坚决打好三大攻坚战：防范化解重大风险、精准脱贫、污染防治”，这里面就提到了防范风险。企业只有明白内部控制和风险管理的关系，清楚实施过程中存在的问题，才能更好地在企业生产经营过程中开展内部控制和风险管理体系建设，为企业的发展保驾护航帮助企业实现战略目标。