是时候搞懂企业内部控制与风险管理这对冤家的关系啦

发布时间： 2020-12-09 文章来源：微信公众号

之前，我们花了好几篇文章写了风险管理，但说到风险管理总是会绕不开内部控制，但内部控制是什么鬼？它与风险管理又是什么样的关系？到底内控是否等同于风险管理等等又让人十分挠头，接下来本文就来为大家解答这些疑问。

内部控制的定义

COSO委员会对内部控制的定义：“企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。”

我国五部委联合发布的《企业内部控制基本规范》借鉴了COSO委员会的《内部控制管理框架》，明确内部控制的五要素为控制环境、风险评估、控制活动、信息沟通和监督。

内部控制和风险管理的关系

一般来说，企业内部控制与风险管理是相互独立相互区别却又相辅相成紧密联系的, 通过把企业的内功做好，内控也能够为企业创造价值。

1、全面风险管理涵盖内部控制

COSO委员会2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。

从时间先后和内容上来看，全面风险管理是对内部控制的拓展和延伸。全面风险管理除包括内部控制的3个目标之外，增加了战略目标；全面风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定、事件识别和风险对策3个要素。

从控制方式方面总结，内部控制是事前控制。制度与流程就是为了防止企业管理出现问题和错漏而制订的，所以，它是事前预防和控制范围。

而风险管理，主要在事中进行分析评价，虽然事前也可以，但风险评价的基本和内容是基于内部控制与制度流程，作业过程的风险属于事中控制范畴，就算事后分析风险也是为了事中的管控。

2、内部控制是全面风险管理的必要环节

内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。

因此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。

总结来说，内控就好比是点，风控就好比是线，离了点或离了线都组不成面。

风险管理关注真正的不确定性把握，关注决策，是面向未来的；内部控制是用来降低可控风险的“手段”，主要以流程为基础，多为事前审批和事后检查。

内部控制和风险管理的差异

本质上内部控制和风险管理具有统一与相同性，都是通过评估、防范、控制企业风险，从而促进企业经营目标的实现。

但风险管理毕竟是对内部控制的发展，两者的衔接又因为从风险的视角理解和实践内部控制又有所不同。

1、两者审视风险的角度不同

风控主要围绕企业战略经营目标，“自上而下”地辨识、评估、分析风险，防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。

内控则主要从流程合规、反舞弊角度出发，诊断具体运营流程中的内部控制缺陷，并对目标的制定过程进行评价，通过事后和过程的控制来实现其自身的目标。

这就有点像风控是“扁鹊的哥哥”，可以“发现未来可能会得的病，并提前治好”；内控就比较像“扁鹊”，可以“治疗已经发生的病”。

2、处置风险的工具不同

风控主要采用风险地图、流程数据分析、调查问卷、控制分析、专家评分等工具。随着企业信息化程度的逐渐提高，以数据分析为核心的量化风险分析、风险评估指标体系（如REI指数）等越来越受到重视。

内控主要采用例行审计、专项审计、合规检查等形式，主要使用穿行测试、控制测试等工具，诊断重点业务、重要流程的内部控制设计及运行缺陷。

综上所述，内部控制是以管理制度为基础，以防范风险、有效监管为目的，通过全方位建立过程控制体系、描述关键控制点和以流程形式直接表达生产经营业务过程而形成的管理规范；而全面风险管理是围绕企业总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化。

两者具有联系又有区别，且相辅相成，做好风险管理的前提是做好内部控制，只有从加强内部控制做起，建立健全的全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。

“有控则强、失控则弱、无控则乱”，面对当今复杂的经营环境、更加激烈的市场竞争，构建自身的内部风险控制体系，正确地认识和控制风险，做好企业内控，可减少企业损失、规避企业风险的同时，还能直接提高企业竞争力。