【正文】 障的過程(風險管理是一個過程，由風險的識別、量化、評價、控制、監(jiān)督等過程組成)。內部控制主要是在企業(yè)內部實施的一種管理，風險管理有些可以通過內部控制來規(guī)避，有些則是客觀不可控的。目前在我國，風險管理還是一個很寬泛的概念，內部控制則是從外部控制的角度去考慮的，相比風險管理更加精確。如果企業(yè)在不考慮內部控制的情況下談論風險管理，那么風險管理就失去了意義，也很難找到有效避免風 險的著力點和切入點。因此，在內部控制的框架下去談風險管理、進而增強企業(yè)識別、防范風險的能力，能促使企業(yè)更好地發(fā)揮風險管理的能動性。內部控制是實施風險管理的基礎企業(yè)內部控制實際上就是實施風險管理前的環(huán)境凈化器。實施內部控制時，一定要將“控”做到極致，左右搖擺，兼顧太多的內部控制很難達到環(huán)境凈化器的作用。從某種意義上，內部控制建設就像是企業(yè)實施風險管理的一座橋梁，如果沒有這座橋，盲目開展風險管理，會使企業(yè)慢慢迷失前進的方向。目前，內部控制在中國實施的時間還不長，很多企業(yè)都是“依葫蘆畫瓢”，還沒有真正領悟到內部控制和風險管理的真諦。如果企業(yè)在內部控制上認識不深的話，對實施風險管理將造成一定的阻礙。無論是內部控制還是風險管理都需要歷史的積淀，需要時間的累積，需要形成一種傳統(tǒng)?；蛟S這個過程將是糾結和痛苦的，但卻是必不可缺的。企業(yè)在經(jīng)歷了這樣的累積，再感受內部控制和風險管理就將不一樣了。技術及市場條件的新進展，推動了內部控制走向風險管理。在先進的信息技術條件下，會計記錄實現(xiàn)了電子控制、實時更新，使傳統(tǒng)的查錯與防弊的會計控制顯得過時。然而，風險往往是由交易或組織創(chuàng)新造成的，這些創(chuàng)新來源于新興的市場實踐，如安然公司將能源交易大量發(fā)展成類似金融衍生品的交易。另一方面，環(huán)境保護及消費者權益保護的加強，都強化了企業(yè)的社會責任，若一有不慎，企業(yè)就可能遭受來自商品市場或資本市場的懲罰，表現(xiàn)為企業(yè)的品牌價值或資本市場上的市值貶損。因此，企業(yè)需要一種日常運行的功能與結構來防范風險，包括遵守法律與法規(guī)，確保投資者對財務信息的信任以及保證經(jīng)營效率等。因此，從維護與促進價值創(chuàng)造這一根本功能來看，風險管理與企業(yè)內部控制的目標是一致的，只是在新的技術與市場條件下，為了更有效地保護投資者利益，需要在內部控制的基礎上發(fā)展更主動、更全面的風險管理。四、主要區(qū)別第一，它們都是由“企業(yè)董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。第二，它們都明確是一個“過程”，不能當作某種靜態(tài)的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置于企業(yè)日常管理過程中，作為一種常規(guī)運行的機制來建設。第三，它們都是為企業(yè)目標的實現(xiàn)提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告類目標、經(jīng)營類目標和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發(fā)布的非財務類報告準確可靠。另外，風險管理增加了戰(zhàn)略目標，即與企業(yè)的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經(jīng)營的效率與效果，而且介入了企業(yè)戰(zhàn)略（包括經(jīng)營目標）制定過程。第四，風險管理與內部控制的組成要素有五個方面是重合的，即（控制或內部）環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。這些重合是由它們目標的多數(shù)重合及實現(xiàn)機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中，內涵也有所擴展，例如，內部控制環(huán)境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經(jīng)營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環(huán)境”除包括上述七個方面外，還包括風險管理哲學、風險偏好（risk appetite）和風險文化三個新內容。在風險評估要素中，風險管理要求考慮內在風險與剩余風險，以期望值、最壞情形值或概率分布度量風險，考慮時間偏好以及風險之間的關聯(lián)作用。在信息與溝通方面，風險管理強調了過去、現(xiàn)在以及關于未來的相關數(shù)據(jù)的獲取與分析處理，規(guī)定了信息的深度與及時性等。第五，風險管理提出了風險組合與整體風險管理（integrated risk management）的新觀念?！镀髽I(yè)風險管理框架》借用現(xiàn)代金融理論中的資產(chǎn)組合理論，提出了風險組合與整體管理的觀念，要求從企業(yè)層面上總體把握分散于企業(yè)各層次及各部門的風險暴露，以統(tǒng)籌考慮風險對策，防止分部門分散考慮與應對風險，如將風險割裂在技術、財務、信息科技、環(huán)境、安全、質量、審計等部門，并考慮到風險事件之間的交互影響，防止兩種傾向：一是部門的風險處于風險偏好可承受能力之內，但總體效果可能超出企業(yè)的承受限度，因為個別風險的影響并不總是相加的，有可能是相乘的；二是個別部門的風險暴露超過其限度，但總體風險水平還沒超出企業(yè)的承受范圍，因為事件的影響有時有抵消的效果。此時，還有進一步承受風險，爭取更高回報與成長的空間。按照風險組合與整體管理的觀點，需要統(tǒng)一考慮風險事件之間以及風險對策之間的交互影響，統(tǒng)籌制定風險管理方案。五、如何正確處理企業(yè)內部控制與風險管理之間的關系盡管風險管理與內部控制有內在的聯(lián)系，但現(xiàn)實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業(yè)務中與戰(zhàn)略選擇或經(jīng)營決策相關的風險與收益比較，例如，銀行業(yè)的授信管理或市場（價格）風險管理如匯率、利率風險等。典型的內部控制是指會計控制、審計活動等，一般局限于財務相關部門。它們的共同點都是低水平、小范圍，只局限于少數(shù)職能部門，并沒有滲透或應用于企業(yè)管理過程和整個經(jīng)營系統(tǒng)，因此，有時看上去風險管理與內部控制還是相互獨立的兩件事。隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統(tǒng)一。總之，企業(yè)單位制定內部控制制度的目的，在于保證組織機構經(jīng)濟活動的正常運轉，保護企業(yè)資產(chǎn)的安全、完整與有效運用，提高經(jīng)濟核算的正確性與可靠性，推動與考核企業(yè)單位各項方針、政策的貫徹執(zhí)行，評價企業(yè)的經(jīng)濟效益，提高企業(yè)經(jīng)營管理水平。企業(yè)的內部控制制度是企業(yè)管理現(xiàn)代化的必然產(chǎn)物，加強內部控制制度建設是建立現(xiàn)代企業(yè)制度的內在要求。有效的內部控制不僅能使企業(yè)的資源合理配置，提高勞動生產(chǎn)率，而且更能防范和發(fā)現(xiàn)企業(yè)內部和外部的欺詐行為。但是目前有相當一部分企業(yè)對建立內部會計控制制度不夠重視，導致會計信息失真，會計秩序混亂，違法違紀現(xiàn)象時常發(fā)生，以致管理失控，資產(chǎn)流失、經(jīng)營失敗。因此。建立和完善企業(yè)內部會計控制策略是當前企業(yè)管理面臨的一個重要問題。加強實施內部控制能夠規(guī)范社會主義市場經(jīng)濟秩序，確保國民經(jīng)濟穩(wěn)定、持續(xù)、健康地向前發(fā)展。有活力的內部控制制度應該是推動企業(yè)創(chuàng)新的制度，只有企業(yè)全體職工齊心協(xié)力，相互支持，相互激勵，企業(yè)內部會計控制才能發(fā)揮應有的作用。只有這樣，保護企業(yè)資產(chǎn)的安全、完整與有效運用，提高經(jīng)濟核算的正確性與可靠性，推動與考核企業(yè)單位各項方針、政策的貫徹執(zhí)行，增加企業(yè)的經(jīng)濟效益，提高企業(yè)經(jīng)營管理水平，降低投資風險。參考文獻：胡杰武，萬里霜《企業(yè)風險管理》《企業(yè)內部控制基本規(guī)范》一號文件第三篇：風險管理與內部控制風險管理與內部控制一、CFO在企業(yè)內部控制與風險管理中的角色與使命中國總會計師協(xié)會常務副會長董鋒認為，建立風險管理體系，設計好內部控制制度，首先，要把握好CEO與CFO的關系。CEO是企業(yè)行政負責人，是班長，CFO作為企業(yè)財務負責人，是領導班子成員；CEO是風險管理和內部控制第一責任人，CFO是風險管理和內部控制的具體執(zhí)行人，因此國外有人比喻CEO是船長，CFO是舵手。其次，要完善公司的管理結構，明確CFO的職責和定位。總會計師在本單位風險管理與內部控制體系中應確定自己的責任、職權和地位的對稱與平衡，但這并非是為自己去爭權力、爭地位；CFO所管理的財務等部門應是一個完整的管控體系，CFO的影響力與控制力必須一桿到底。第三，CFO要自覺執(zhí)行風險管理和內部控制，同時也要提醒和促使CEO執(zhí)行。作為領導班子成員，CFO理所當然要全力支持CEO的工作，但在工作中如果發(fā)現(xiàn)領導班子成員特別是主要負責人違背企業(yè)風險管理與內部控制制度時，也要及時提醒，要有敢于干預的勇氣。原江蘇省副省長吳瑞林強調，CFO要樹立以愛國主義為核心的民族精神和以改革開放為核心的時代精神；要提高自身的業(yè)務修養(yǎng)以適應新時代的要求；要發(fā)揮好生財聚財和用財管財這兩大職責；要從本輪金融危機中吸取經(jīng)驗教訓，履行好內部控制和風險管理的職責。二、正確認識風險管理和內部控制內部控制與風險管理既有區(qū)別，又有聯(lián)系。南京審計學院副院長時現(xiàn)認為，對于同一個企業(yè)來說，內部控制與風險管理的直接載體都是企業(yè)的經(jīng)營活動，內部控制與風險管理都以企業(yè)法人為邊界，從這點來說，不能將二者截然割裂開來。二者的區(qū)別主要表現(xiàn)在：內部控制的重心在企業(yè)高管層之下（經(jīng)營活動），風險管理的重心在高管層之上（戰(zhàn)略設計、決策）；內部控制主要關注不相容職務是否分離，風險管理主要關注經(jīng)營目標實現(xiàn)過程中的不確定性；內部控制是風險管理的主要機制，但不是全部；當出現(xiàn)合謀舞弊時，內部控制往往無效，需要風險管理輔之。上海財經(jīng)大學教授朱榮恩認為，內部控制與風險管理并非平行的關系，內部控制是風險管理的一個重要組成部分，而風險管理則是內部控制的發(fā)展和延續(xù)，是一個比內部控制更為寬泛的概念。高級國際注冊內部控制師張玉指出，COSO的內部控制與企業(yè)風險管理兩個框架實現(xiàn)了內部控制五要素與風險管理八要素的有機結合，而我國財政部等五部委聯(lián)合發(fā)布的《企業(yè)內部控制基本規(guī)范》與國資委發(fā)布的《中央企業(yè)全面風險管理指引》并未能進行有效整合。對此，董鋒則認為，財政部等部委的規(guī)范與國資委的指引雖然沒有形成系統(tǒng)，但卻有著內在聯(lián)系，企業(yè)應結合自身實際深刻體會兩個規(guī)范的精神，將風險管理與內部控制結合統(tǒng)一，而不應搞兩套機制?，F(xiàn)階段很多企業(yè)認為風險管理是內部審計應該履行的職責，但時現(xiàn)認為，為保證獨立性與客觀性，企業(yè)在構建風險管理過程時，內部審計不應承擔原本屬于管理層的風險管理責任，而應就企業(yè)風險管理過程的有效性提供確認服務，即擔任監(jiān)督者的角色。對于目前我國企業(yè)內部控制系統(tǒng)的設計形式，張玉將其總結為三種：外包給會計師事務所；企業(yè)自行設計；自行設計與外包相結合。第一種形式耗資巨大，導致合規(guī)性成本過高，而采用后兩種形式時，由于企業(yè)缺乏內部控制設計專業(yè)人才，內部控制系統(tǒng)的設計大多由內審人員牽頭負責，這導致了“運動員和裁判員角色不分”的問題，因此需要專業(yè)人士進行內部控制系統(tǒng)的設計，未來內部控制師這個職業(yè)將會得到快速發(fā)展。南京大學會計與財務研究院副院長李心合指出，審計意義上的內部控制與CEO、CFO需要的內部控制有很大區(qū)別，而主要區(qū)別在立場與出發(fā)點上。審計師是站在財務報表可靠的角度，希望內部控制盡可能完備，以便將審計風險降到最小，但企業(yè)的目標是價值最大化，過于復雜的控制流程也會損害利潤創(chuàng)造。因此企業(yè)需要選擇好的出發(fā)點，優(yōu)化內部控制體系，既不能過于簡單，也不能過于復雜。三、加強和完善企業(yè)風險管理和內部控制建設對于如何加強企業(yè)內部控制建設，朱榮恩認為，實施內部控制的難點主要體現(xiàn)在七個方面：一是正確認識內部控制五要素的內在聯(lián)系。二是正確理解內部控制的要素、目標及實施主體的關系。三是正確認識內部控制與風險管理的關系。四是正確認識內部控制與企業(yè)管理制度的關系。五是正確認識內部控制與外部環(huán)境。外部環(huán)境如股權結構、干部管理制度和政府政策取向等因素都會直接或間接地影響我國企業(yè)實施內部控制的效果。六是正確認識內部控制需求內因不足的問題。由于內部控制的效益難以衡量、成本與效益不匹配等原因，部分企業(yè)的管理層認為只要企業(yè)不出事就可以了，只要達到法律法規(guī)的最低要求就行了，并沒有將內部控制作為企業(yè)管理的內在要求。七是正確認識IT平臺在內部控制中的應用。江蘇高科技投資集團董事長徐錦榮介紹了其所在企業(yè)的風險管理及控制經(jīng)驗。一是加強組織建設。集團董事會是風險管理的第一責任主體，董事會下設的審計與風險控制委員會具體負責風險管理工作。二是加強制度建設。把管理制度、業(yè)務流程再造作為風險管理的重要基石，建立符合創(chuàng)業(yè)風險投資特點的業(yè)務運作流程和與之配套的一系列管理制度和風險控制制度，目前已經(jīng)形成了由制度、流程、關鍵控制點三個層次組成的制度體系。三是創(chuàng)立符合國情和創(chuàng)投業(yè)務特點的風險控制工具。建立風險管理信息系統(tǒng)，對所有項目的財務、管理信息進行定期的匯總、分析，動態(tài)監(jiān)測項目運作情況。并實行定性和定量指標相結合，對投資項目定期進行ABC（正常、次級、警示）分級，及時采取風險防范措施。四是構建符合實際的風險管理評價機制。根據(jù)市場環(huán)境、金融工具、法律法規(guī)等因素的變化及發(fā)展情況，不斷調整和改善風險管理制度，并通過對業(yè)務流程關鍵控制點的及時介入，實行持續(xù)的檢驗測試，以確保制度執(zhí)行充分有效。徐州礦務局副總會計師張錦河介紹了徐礦集團在投資風險控制方面的教訓和經(jīng)驗。以前徐礦集團曾因盲目多元化而導致公司經(jīng)營管理的巨大失利，在總結教訓和經(jīng)驗后建立了歸核化的投資戰(zhàn)略和投資風險控制模式，即在投資活動中圍繞煤炭產(chǎn)業(yè)這個“核”進行綜合開發(fā)，同時圍繞核心競爭力的形成與提高這個“核”進行風險控制。經(jīng)過六年的實踐，徐礦集團的經(jīng)濟效益和經(jīng)營規(guī)?？焖僭鲩L，逐漸步入良性發(fā)展的快車道。其風險控制的具體做法有：采取全面預算管理，將“物本管理”與“人本管理”相結合，不僅對集團公司投資所形成的項目、資產(chǎn)、資金進行管理，而且通過激勵與約束制度的建立，將個人價值與企業(yè)價值進行整合統(tǒng)一；通過集團制定統(tǒng)一的目標和戰(zhàn)略規(guī)劃與投資政策，規(guī)范集團內各成員單位的投資行為，以實現(xiàn)資源聚合效應與管理協(xié)同效應；圍繞提高集團公司核心競爭力這個目標，制定多元化標準，而不僅僅是單一的財務標準。四、IT環(huán)境下內部控制體系的建設與傳統(tǒng)意義上的內部控制體系建設相比，IT環(huán)境下的內部控制體系建設具有其獨到的特點，參會的企業(yè)詳細介紹了其各自的做法。江蘇國信集團財務部總經(jīng)理王家寶認為，集團管控應以資金集中管理為核心，而IT環(huán)境下企業(yè)開展資金集中管理應從四方面入手：一是構建資金集中管理組織和賬戶體系，協(xié)同管控、實現(xiàn)資金統(tǒng)一運作。二是設計資金集中管理的關鍵流程和制度，實行資金計劃流程管理、自動零余額的資金歸集上收、動態(tài)掌控資金流向的資金下?lián)?、內部各成員單位之間的統(tǒng)一結算管理。三是通過網(wǎng)絡實時監(jiān)控資金流量，動態(tài)平衡