內部控制的升級——企業全面風險管理

從總體來說，內部控制是全面風險管理的初級階段。在目標、內容等方面進行延展和擴充后，內部控制將發展成為企業全面風險管理。

之所以在風險管理上冠以“全面”二字，其含義主要有兩個：

一是風險是一個中性詞，它代表了不確定性，既可能是有利因素，也可能是不利因素，這就需要企業從正、反兩個方面全面的看待風險，而不能把它僅僅理解為“危險”；

另一個含義則是強調全面風險管理的覆蓋面，全面風險管理包含了企業管理的各個方面和所有條線，包括公司治理、人力資源政策、組織結構等等這些以往認為是“無風險”的企業管理環境要素。

內部控制的含義與發展

內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。其目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率，促進企業實現發展戰略。

內部控制從產生發展到現在，經歷了四個階段：

第一階段，萌芽期——內部牽制，公元前3600年至20世紀初期以前；

第二階段，發展期——內部控制制度，20世紀初期至20世紀70年代；

第三階段，過渡期——內部控制結構，20世紀80年代至90年代；

第四階段，成熟期——內部控制整體架構，20世紀90年代至今。

在不同的發展階段，內部控制也經歷了不同的進化過程：

首先，是簡單的內部牽制，主要是通過一些簡單的內部控制活動來杜絕個別事務上的舞弊，形成制衡，驅除私利放大；

其次，是建立制度化的內部控制，主要是通過建立制度，以制度代替人，以制度中的制衡和互相印證，以管理和財務的關系來制衡；

再次，是建立內部控制結構，主要是通過建立內部控制環境和控制程序，構建一個政策與程序環境；

最后，是建設動態的、可以自我進化的內控體系，主要是以全面風險管理為內控不斷改善的驅動力，以風險為引擎來驅動內控體系不斷的提升，形成PDCA式循環。

內部控制盡管可以幫助企業防范舞弊、堵塞漏洞、應對內部管理風險，但是其缺陷也是顯而易見的。

首先，內部控制的主要工作范圍是企業內部。對于企業外部的各種不確定性因素，內部控制往往顯得力不從心。

其次，內部控制主要是以業務循環及其中的關鍵控制點為對象的，控制和管理的范圍相對于企業管理而言過于狹窄。

可見，單憑內部控制是無法幫助企業應對各種內外部挑戰的。因此，企業需要一個比內部控制更為高級、更為全面的管理系統。

企業全面風險管理時代的到來

企業的發展需要應對內部和外部的所有不確定性，而內部控制自身的局限性無法幫助企業防范和控制所有的內外部風險，由此，逐步發展出了企業全面風險管理的理念。

全面風險管理是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行全面風險管理的基本流程，培育良好的全面風險管理文化，建立健全全面風險管理體系，包括全面風險管理策略、風險理財措施、全面風險管理的組織職能體系、全面風險管理信息系統和內部控制系統，從而為實現全面風險管理的總體目標提供合理保證的過程和方法。

企業開展全面風險管理要努力實現以下全面風險管理總體目標：

1．確保將風險控制在與總體目標相適應并可承受的范圍內；

2．確保內外部，尤其是企業與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；

3．確保遵守有關法律法規；確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性；

4．確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。

全面風險管理的五個層次

1．發現和處理問題：在風險還沒有“露出”或者剛剛“冒頭”的時候，就直接找準導火索并將它給掐滅掉。在對待風險的態度上，能堵則堵。采用堵的方法，處理的過程往往是較短的，風險的影響、解決的成本也將是較小的。

2．鎖定和化解風險：堵不了，就用力量去撲滅它，但同時也不要忘了疏導。

3．預見與控制風險：就風險而言，事先能夠預防，遠比風險發生后再去解決它，更節省成本、降低風險。所以，為自己構筑一道“防火墻”或者是讓自己穿上一件“避彈衣”，就是應對風險的上上之策。

4．駕馭風險：風險的影響不僅是壞的，也可能是好的，企業集團在風險評估和各類控制活動時，除了分析集團的風險，更應關注風險背后的機遇。

5．超越戰略管理進入全面風險管理層次：企業把應對風險的能力當做是競爭優勢的來源。踏著風險前行，做風險的弄潮兒，在與風險博弈中把競爭對手甩在后邊。

​

從內部控制升級到企業全面風險管理

內部控制和全面風險管理是既有區別又有聯系的。

從整體來說，內部控制是全面風險管理的重要基礎，全面風險管理是內部控制發展的必然結果，即企業全面風險管理是內部控制的升級版本。

首先，全面風險管理的體系是在內部控制體系基礎上建立起來的。內部控制的體系主要著重于對流程的管理和控制，這點可以從財政部發布的《企業內部控制配套指引》等法規的內容中看出來。這些法規全部是以業務循環為基本框架的，所有對內部控制關鍵控制點的設置、內部控制活動的安排，都是以流程為基礎的。即使發展到今天，不管是在實踐中還是在理論研究上，流程化控制仍然是內部控制的主要內容。相比之下，全面風險管理體系則比內部控制體系大得多。全面風險管理體系不但涉及流程控制，而且包括企業風險戰略、公司法人治理結構建設、組織保障體系、風險理財等很多內容。也就是說，全面風險管理體系已經從內部控制單一的流程控制擴展為一個囊括從企業戰略到業務活動、從組織結構到職責分工、從業務管理到風險理財等等各個方面的、立體的、全方位的企業管理體系。

其次，全面風險管理的要素包括了內部控制的全部要素。內部控制的要素主要有五個：控制環境、風險評估、控制活動、信息與溝通、監督。而全面風險管理的要素則是八個：控制環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、持續監督。全面風險管理則是通過執行全面風險管理的基本流程，培育良好的全面風險管理文化，建立健全全面風險管理體系。如此看來，內部控制與全面風險管理可謂是一脈相承。

最后，全面風險管理的目標不僅涵蓋了內部控制的目標，并且有所擴展。內部控制的目標主要有三個：合規經營；高效運營；財務報告真實可靠。而全面風險管理的目標主要有五個：合規經營；高效運營；財務報告真實可靠；達到與企業戰略相匹配的風險最優化；保護企業不致因災害性事件或人為錯誤而遭受重大損失。從這點可以清楚地發現，全面風險管理就是在內部控制的基礎之上發展起來的，全面風險管理就是內部控制的升級版本。

作者：華彩咨詢 白萬綱