内部控制与风险管理

企业风险管理与内部控制

内部控制与风险管理密不可分。风险管理是内部控制的核心，也是内部控

制的U标，内部控制是管理风险的一种手段。因此在理解内部控制之前，首先

要弄清楚企业有哪些风险，哪些是可以通过内部控制防范的，哪些是通过其他

手段防范的。

首先，企业风险分类。

风险分类的方式有很多，跟内部控制联系在一起，可以把风险分为两大

类：可控风险与不可控风险。不可控风险主要包括政策变更、自然灾害、宏观

经济变化等。可控风险主要包括企业运营层面的风险。

内部控制一般来讲控制的是可控的风险，即运营层面的风险。

从这里也可以看到，企业全面风险管理讲的是针对所有风险的管理，而内

部控制讲的是针对可控风险的管理，这是内部控制与风险管理的区别和联系。

其次，内部控制的目标。

广义的风险是中性的概念，它既有可能给企业带来损失，也有可能给企业

带来收益。因此，企业采取内部控制措施的时候，还需要把可控风险再进一步

分类。

有的风险发生后，只能带来损失，因此这类风险就称之为“危害性风

险”，比如煤矿坍塌、化工厂爆炸等。对于这类风险，内部控制的LI标就是

“尽最大努力杜绝风险”，彻底消除这类风险。因此这类内部控制的方案、手

段比较复杂，成本很高。

有时候，企业在做内部控制方案的时候，会考虑成本与收益的问题。比如

某类风险发生后带来的损失很少，但是采取控制措施的成本很高，可能企业觉

得不划算，干脆就任由风险发生。

我的观点是，千里之堤毁于蚁穴，企业的风险都不是孤立的，尽管某个风

险表面上带来的损失很小，但是这个风险很有可能关联到其他方面，这种潜在

的影响有时候是无法估量的，或者说在当时是无法预料的。因此，既然已经看

到了风险，就必须想办法控制，不留任何隐患。

继续。

还有的风险既有可能带来收益，也有可能带来损失，比如企业研发某项技

术，研发成功就能带来巨大收益，研发失败就会导致前期投入打水漂。再比如

企业营销广告，打广告有可能带来业绩增长，也有可能没有效果。这类风险就

是“不确定性的风险”。

还有一类风险，叫做“投机性风险”，它的特点就是企业主动去承受一定

风险，获取一定的收益，比如企业做一些投资项目。这也属于不确定性的风

险，不过它对企业来说更有诱惑，被高收益所诱惑。

风险与收益是恋生兄弟，高风险高收益。对于不确定性的风险，内部控制

的U标就是“积极管理”，使之往好的方向发展。

最后，内部控制如何去做？

明口了内部控制与风险的关系及内部控制的LJ标，就要采取一些措施去

实现目标。说到内部控制的实施，书上讲了“五要素”，特别经典的说法。这

里无可用非，五要素已经非常全面的把内部控制的流程概括好了

（我一般是对管理学教材的观点进行批判的，但是这里没得黑，五要素确实是

全面）。

其实，按照五要素的要求，中规中矩的做风险管理，没错。在面对风险的

时候，保持一颗敬畏的心，还是非常有必要的。根据我的理解，简单介绍一下

五要素如何去实施。

第一，内部环境。

不管做什么事，一个有利的环境是必须的。内控的核心是制衡，就叫做令

行禁止吧。古代行军打仗之前，都会颁布儿项纪律。我们有三大纪律八项注

意。这就是塑造一种氛围，让大家听话，这样以后再下达什么命令就容易执行

了。如果一开始就一盘散沙，后面就控制不了局面了。

内部环境就是要塑造一种纪律性的氛围。各个管理机构、部门都要明确自己

的职责，权力恰当分配，一切行动听指挥。

第二，风险评估。

包括识别风险、评佔风险的影响、采用哪种应对方案。同时企业应该针对

某项风险设置一个可承受度。为什么呢，因为上面提到过，风险与收益平衡，

一点都不想承担风险，那么收益就没有了。

第三、控制活动。

就是一些具体的做法了。书上讲的很详细，此处不再赘述，可以看看书。

这里要考虑上面提到过的一个原则：衡量控制措施的成本与防范风险带来的收

益。控制措施可能有多种，当然是选择成本最小的那种，但是不能因为收益太

小而不去控制。

第四、信息与沟通。

我觉得这一条用处最大的就是反舞弊。有些舞弊行为，有可能是儿个人串

通，做出一套完整的流程，外部的人根本发现不了。因此设立举报或投诉的机

制，把这些隐蔽的舞弊行为挖掘岀来。其实很多大案要案，不是外部检查出来

的，而是内部举报的。

第五、监督。

就是看看内部控制措施有没有执行，执行的如何等等。监督，贵在独立和

长效。独立不多说了。长效的意思是，建立长效机制，就是说这种监督不是一

时的，而是持续的，不搞定期检查。