企業內部控制與風險管理的關系淺析

郭青云

【摘要】隨著經濟全球化的加劇，企業之間的競爭日趨激烈，風險也隨之增加。大潤發創始人丟下一句“戰勝了所有對手，卻輸給了時代”后揮淚離去，讓企業更加重視所面臨的風險。也有很多企業引入了內部控制體系和風險管理體系，希望能夠幫助企業防范風險。但是內部控制和風險管理的關系，很多人經常混為一談，甚至認為選其一即可。本文試從理論和實踐兩方面分析一下兩者的關系，以期對企業有所幫助。

【關鍵詞】內部控制;風險管理

一、內部控制和風險管理是什么

內部控制是企業通過一系列控制措施，達到其既定管理目標的過程，由企業董事會、監事會、經理層和全體員工共同實施。

風險管理是對可能會影響企業的潛在事件進行識別、評估和應對的過程，把不利因素控制在企業可承受范圍之內，由董事會、管理層及全體人員共同實施。

二、內部控制和風險管理的關系

內部控制與風險管理兩者之間的關系，目前理論界主要有三種觀點：

1.內部控制包含風險管理，風險管理是從內部控制中衍生出來的一部分。

2.風險管理包含內部控制，內部控制是風險管理的一種方式。

3.內部控制就是風險管理，內部控制與風險管理僅是人為的分離，在企業管理中它們是一體的。

那么兩者的關系究竟是什么呢7我們從不同方面對兩者進行比較：

1.最終目標相同。內部控制和風險管理都是通過對風險的防范、管理，為企業戰略目標的實現提供合理保證。

2.形式相同。內部控制和風險管理都是一個正在進行的過程，而不是一個靜態的結果。

3.范圍相同。內部控制和風險管理都是由企業董事會、管理層和全體員工共同實施的，涵蓋了企業各個層級和單元，體現了全員參與和全面性原則。

4.組成要素既有相同之處又有所區別。內部控制和風險管理的組成要素在內部環境、控制活動、信息與溝通和監督評價四個方面基本相同，說明兩者實施的流程相同。在風險評估方面，內部控制體系相對簡單一些，應對措施也相對完善：風險管理則要更加精細化，細分為目標設定、事件識別、風險評估和風險應對，側重于對各種風險的研究和應對。

5.控制目標不同。內部控制體系中的各項控制措施設定的目標是零風險，只要嚴格落實各項控制措施，企業內部就不會發生風險。而風險管理體系中，企業一般根據自身的風險偏好和可承受的風險水平，設定一個風險容量，風險管理只需將企業面臨的風險損失控制在風險容量之內即可。

6.管理模式不同。企業經過長期的研究與實踐發現，生產經營過程中的內部風險相對固定，對應的內部控制措施也趨于完善固化。企業按照內部控制體系標準結合自身實際情況，由內部控制部門組織各職能部門及全體員工共同實施，即可起到防范企業內部風險的作用。

而風險管理則相對靈活一些，特別是在事件識別和風險評估環節，需要對企業面臨的各種不確定的潛在事件進行分析，區分不利和有利事件，并對不利事件的影響程度和發生的可能性進行評估。但是根據風險評估結果所采取的風險應對策略只有風險承受、風險規避、風險分擔和風險降低四種類型。風險管理強調風險組合觀，是對各種風險所帶來的綜合影響力的管理，即風險應對策略的選擇是根據風險所帶來的綜合影響力來確定的，而不是風險本身。

7筆者所在的中國電信市級分公司一次內部控制檢查發現如下問題：

（1）存在合同簽署生效前已實際履行合同，違反了“合同生效前不得實際履行合同”的規定：

（2）與A公司的一筆收入于年底一次性確認，違反了“應按照受益期逐月確認收入”的規定。

由此可見，企業的內部控制規定已通過規章制度建立完善，員工遵照執行即可。

8.風險管理部門梳理的年度風險管理工作通報中列舉了兩項風險如下：

（1）固定寬帶價值下降及接入用戶流失風險（風險承受度：寬帶市場份額停止下降），并列出了三項具體風險管控措施，以期降低風險。

（2）資金安全風險：通過員工個人賬戶辦理公司收支業務（風險承受度：不存在通過員工個人賬戶歸集應收資金情況），銀行未達賬項（風險承受度：不存在三個月以上銀行未達賬項），要求省市兩級公司通過具體措施規避資金風險。

根據上述兩項風險可以看出，企業在不同時期面臨的風險也不同，風險承受度也不一樣，需要根據企業的實際情況研究應對。

通過上述比較分析和案例說明，我們發現兩者既相互關聯又有所區別，是企業不可相互替代的兩種管理手段。如果把企業比作一顆藥丸，那么內部控制和風險管理就是藥丸的兩層包裝紙，兩者的作用各不相同，卻共同作用把企業面臨的風險拒之門外。

三、內部控制和風險管理在企業中的實踐應用

內部控制體系和風險管理體系為企業在風險防范方面提供了行動指南，很多企業都已實施。但是在實際操作中，也存在一些問題。

（一）認識不足，意識淡薄

一些企業和員工認為，內部控制和風險管理體系只要制定了，制度上墻了，文件下發了，就能防范企業風險。也有人認為這是財務部門和審計部門的事情，我部門只要完成銷售任務就行了，實在不行就做一些表面工作應付檢查。殊不知內部控制和風險管理體系是一項貫穿于企業各個環節的管理活動，雖然是以規章制度的形式來實施的，但需要企業的董事會、管理層和所有員工去嚴格執行和落實，只有這樣才能防范可能面臨的風險。

（二）學習不足，執行力不強

企業在內部控制和風險管理體系建設中，對員工的培訓不夠，造成員工不能準確理解相關的規章制度，不能很好地執行和落實。例如某公司在對內部控制進行自我評價時，員工對幾項控制措施評價為有效，而檢查發現這些控制措施是存在執行缺陷的，詢問得知員工不知道選擇“有效”或“執行缺陷”意味著什么。有時候當業績考核和相關控制措施發生沖突時，為了完成考核指標，相關部門就不會嚴格執行該項控制措施。

那么如果想讓內部控制和風險管理體系在企業生產經營過程中真正地發揮作用，企業應該如何做呢？我認為應該從執行的主觀和客觀因素兩方面考慮。

（三）強化員工風險意識，重視員工職業道德和勝任能力的培養

再先進的制度也需要員工去執行，所以要把員工的因素放在首位。企業通過對規章制度的培訓和違規事件的處理，強化員工的風險意識，并把風險意識貫穿于企業生產經營的各個環節，這樣才會減少違規事件的發生。企業還要重視員工職業道德和工作勝任能力的培養，良好的職業道德可以避免舞弊事件的發生，知識和技能與崗位所需能力相匹配，可以確保企業各項經營活動有效運行。員工自身因素的問題得到了解決，主觀上就具備了執行的基礎，才能把內部控制和風險管理體系執行下去。

（四）做好監督評價，完善治理結構

企業組織結構不合理、資源配置不當、制度本身的局限性以及制度與制度之間的沖突，是內部控制和風險管理執行不力的客觀因素。企業要充分利用監督評價的成果，不斷完善治理結構和議事規則，及時修改不合理的制度，確保企業內部、企業與外部之間的信息溝通順暢，為內部控制和風險管理體系建設營造一個良好的內部環境。

結束語

習近平在“十九大”報告中指出“決勝全面建成小康社會要堅決打好三大攻堅戰：防范化解重大風險、精準脫貧、污染防治”，這里面就提到了防范風險。企業只有明白內部控制和風險管理的關系，清楚實施過程中存在的問題，才能更好地在企業生產經營過程中開展內部控制和風險管理體系建設，為企業的發展保駕護航幫助企業實現戰略目標。