企業(yè)風險管理與內部控制

企業(yè)風險管理與內部控制內部控制與風險管理密不可分。風險管理是內部控制的核心，也是內些是通過其他手段防范的。首先，企業(yè)風險分類。風險分類的方式有很多，跟內部控制聯(lián)系在一起，可以把風險分為兩大類：可控風險與不可控風險。不可控風險主要包括政策變更、自然災害、宏觀經濟變化等。可控風險主要包括企業(yè)運營層面的風險。內部控制一般來講控制的是可控的風險，即運營層面的風險。從這里也可以看到，企業(yè)全面風險管理講的是針對所有風險的管理，而內部控制講的是針對可控風險的管理，這是內部控制與風險管理的區(qū)別和聯(lián)系。其次，內部控制的目標。廣義的風險是中性的概念，它既有可能給企業(yè)帶來損失，也有可能給企業(yè)帶來收益。因此，企業(yè)采取內部控制措施的時候，還需要把可控風險再進一步分類。有的風險發(fā)生后，只能帶來損失，因此這類風險就稱之為“危害性風險”，比如煤礦坍塌、化工廠爆炸等。對于這類風險，內部控制的目標就是“盡最大努力杜絕風險”，徹底消除這類風險。因此這類內部控制的方案、手段比較復雜，成本很高。有時候，企業(yè)在做內部控制方案的時候，會考慮成本與收益的問題。比如某類風險發(fā)生后帶來的損失很少，但是采取控制措施的成本很高，可能企業(yè)覺得不劃算，干脆就任由風險發(fā)生。我的觀點是，千里之堤毀于蟻穴，企業(yè)的風險都不是孤立的，盡管某個風險表面上帶來的損失很小，但是這個風險很有可能關聯(lián)到其他方面，這種潛在的影響有時候是無法估量的，或者說在當時是無法預料的。因此，既然已經看到了風險，就必須想辦法控制，不留任何隱患。繼續(xù)。還有的風險既有可能帶來收益，也有可能帶來損失，比如企業(yè)研發(fā)某項技術，研發(fā)成功就能帶來巨大收益，研發(fā)失敗就會導致前期投入打水”。一定風險，獲取一定的收益，比如企業(yè)做一些投資項目。這也屬于不確定性的風險，不過它對企業(yè)來說更有誘惑，被高收益所誘惑。風險與收益是戀生兄弟，高風險高收益。對于不確定性的風險，內部控制的目標就是“積極管理”，使之往好的方向發(fā)展。最后，內部控制如何去做？明白了內部控制與風險的關系及內部控制的目標，就要采取一些措施去實現(xiàn)目標。說到內部控制的實施，書上講了“五要素”，特別經典的說法。這里無可厚非，五要素已經非常全面的把內部控制的流程概括好了（我一般是對管理學教材的觀點進行批判的，但是這里沒得黑，五要素確實是全面）。其實，按照五要素的要求，中規(guī)中矩的做風險管理，沒錯。在面對風險的時候，保持一顆敬畏的心，還是非常有必要的。根據我的理解，簡單介紹一下五要素如何去實施。第一，內部環(huán)境。不管做什么事，一個有利的環(huán)境是必須的。內控的核心是制衡，就叫做令行禁止吧。古代行軍打仗之前，都會頒布幾項紀律。我們有三大紀律八項注意。這就是塑造一種氛圍，讓大家聽話，這樣以后再下達什么命令就容易執(zhí)行了。如果一開始就一盤散沙，后面就控制不了局面了。內部環(huán)境就是要塑造一種紀律性的氛圍。各個管理機構、部門都要明確自己的職責，權力恰當分配，一切行動聽指揮。第二，風險評估。包括識別風險、評估風險的影響、采用哪種應對方案。同時企業(yè)應該針對某項風險設置一個可承受度。為什么呢，因為上面提到過，風險與收益平衡，一點都不想承擔風險，那么收益就沒有了。第三、控制活動。就是一些具體的做法了。書上講的很詳細，此處不再贅述，可以看看書。這里要考慮上面提到過的一個原則：衡量控制措施的成本與防范風險帶來的收益?？刂拼胧┛赡苡卸喾N，當然是選擇成本最小的那種，但是不能因為收益太小而不去控制。第四、信息與溝通。我覺得這一條用處最大的就是反舞弊。有些舞弊行為，有可能是幾個人串通，做出一套完整的流程，外部的人根本發(fā)現(xiàn)不了。因此設立舉報或投訴的機制，把這些隱蔽的舞弊行為挖掘出來。其實很多大案要案，不是外部檢查出來的，而是內部舉報的。第五、監(jiān)督。就