企业风险管理与内部控制.pdfVIP

企业风险管理与内部控制

内部控制与风险管理密不可分。风险管理是内部控制的核心，也是内

部控制的FI标，内部控制是管理风险的一种手段。因此在理解内部控

制之前，首要弄清楚企业有哪些风险，哪些是可以通过内部控制防

范的，哪些是通过其他手段防范的。

首，企业风险分类。

风险分类的方式有很多，跟内部控制联系在一起，可以把风险分为两

大类：可控风险与不可控风险。不可控风险主要包括政策变更、自然

灾害、宏观经济变化等。可控风险主要包括企业运营层面的风险。

内部控制一般来讲控制的是可控的风险，即运营层面的风险。

从这里也可以看到，企业全面风险管理讲的是针对所有风险的管理,

而内部控制讲的是针对可控风险的管理，这是内部控制与风险管理的

区别和联系。

其次，内部控制的目标。

广义的风险是中性的概念，它既有可能给企业带来损失，也有可能给

企业带来收益。因此，企业采取内部控制措施的时候，还需要把可控

风险再进一步分类。

有的风险发生后，只能带来损失，因此这类风险就称之为“危害性风

险”，比如煤矿坍塌、化工厂爆炸等。对于这类风险，内部控制的目

标就是“尽最大努力杜绝风险”，彻底消除这类风险。因此这类内部

控制的方案、手段比较复杂，成本很高。

有时候，企业在做内部控制方案的时候，会考虑成本与收益的问题。

比如某类风险发生后带来的损失很少，但是采取控制措施的成本很高,

可能企业觉得不划算，干脆就任由风险发生。

我的观点是，千里之堤毁于蚁穴，企业的风险帮不是孤立的，尽管某

个风险表面上带来的损失很小，但是这个风险很有可能关联到其他方

而，这种潜在的影响有时候是无法估量的，或者说在当时是无法预料

的。因此，既然已经看到了风险，就必须想办法控制，不留任何隐患。

继续。

还有的风险既有可能带来收益，也有可能带来损失，比如企业研发某

项技术，研发成功就能带来巨大收益，研发失败就会导致前期投入打

水漂。再比如企业营销广告，打广告有可能带来业绩增长，也有可能

没有效果。这类风险就是“不确定性的风险工

还有一类风险，叫做“投机性风险”，它的特点就是企业主动去承受

一定风险，获取一定的收益，比如企业做一些投资项目。这也属于不

确定性的风险，不过它对企业说更有诱惑，被高收益所诱惑。

风险与收益是恋生兄弟，高风险高收益。对于不确定性的风险，内部

控制的目标就是“积极管理”，使之往好的方向发展。

最后，内部控制如何去做？

明白了内部控制与风险的关系及内部控制的目标，就要采取一些措施

去实现目标。说到内部控制的实施，书上讲了“五要素”，特别经典

的说法。这里无可厚非，五要素已经非常全面的把内部控制的流程概

括好了我（一般是对管理学教材的观点进行批判的，但是这里没得黑，

五要素确实是全面）。

其实，按照五耍素的耍求，中规中矩的做风险管理，没错。在面对风

险的时候，保持一颗敬畏的心，还是非常有必要的。根据我的理解,

简单介绍一下五要素如何去实施。

第一，内部环境。

不管做什么事，一个有利的环境是必须的。内控的核心是制衡，就叫

做令行禁止吧。古代行军打仗之前，都会颁布匚项纪律。我们有三大

纪律八项注意。这就是塑造一种氛围，让大家听话，这样以后再下达

什么命令就容易执行了。如果一开始就一盘散沙，后面就控制不了局

面1了°

内部环境就是要塑造一种纪律性的氛围。各个管理机构、部门都要明

确自己的职责，权力恰当分配，一切行动听指挥。

第二，风险评估。

包括识别风险、评估风险的影响、采用哪种应对方案。同时企业应该

针对某项风险设置一个可承受度。为什么呢，因为上面提到过，风险

与收益平衡，一点都不想承担风险，那么收益就没有了。

第三、制活动。

就是一些具体的做法了。书上讲的很详细，此公不再赘述，可以看看

书。这里要考虑上面提到过的一个原则：衡量制措施的成本与防范

风险带来的收益。制措施