内控合规与风险管理的关系范文

关键词：内部控制法规内部控制与风险管理整合体系建设

我国内部控制建设工作已经如火如荼的开展了几年，笔者结合在企业和咨询公司的工作经验，针对企业对于内部控制法规和体系建设的疑问，对我国内部控制法规的现状进行解读和比较，以及如何应用这些法规体系，建设内部控制和风险管理体系的整合。

一、我国内部控制法规的现状

（一）我国内部控制法规的多样化

我国内部控制法规存在多样化，一是颁发的机构不同，二是法规的内容针对性不同，三是法规适用的主体不同。

在《企业内部控制基本规范》和《企业内部控制配套指引》未出台前，都是各监管部门自行制定的，并且有些对内部控制的要求并不是以单独的法规的形式体现，而在融合在其他法规中。《企业内部控制基本规范》和《企业内部控制配套指引》是由五部委共同出台的，对我国企业内部控制建设有了统一的规定和执行要求，以后所有与内部控制建设和执行有关的法规规章都依据两项法规执行。

毕竟我国企业行业、类型、经营管理等存在多样化，《企业内部控制基本规范》和《企业内部控制配套指引》规定的内容不能面面俱到，加之不同的监管法规的存在，企业在建设和企业内部控制时，除了依据最基本的《企业内部控制基本规范》和《企业内部控制配套指引》，也要执行与企业相关的监管部门的规定，才能确保企业内部控制建设的全面性和重要性。

（二）风险管理法规现状

对于风险管理的要求，除国资委出台《中央企业全面风险管理指引》专门的风险管理的法规外，其他法规对风险管理要求都是也体现在与内部控制相关的法规体系里。因此，对于企业在建设内部控制和风险管理整合的体系时，需要借鉴国资委出台《中央企业全面风险管理指引》，在对风险信息收集、识别、评估、应对等进行遵循和参与。

因此，我国内部控制法规包含多种类型，一是对对所有企业都适用，二是针对上市公司和金融机构；颁布的监管机构包括了财政部、国资委、银监会、保监会、证监会、审计署、中国人民银行、深交所、上市所。

二、内部控制与风险管理的整合应对

（一）内部控制与风险管理的关系

我国内部控制建设融合了风险管理和内部控制两种理念。

内部控制和风险管理不是独立两个体系，内部控制的基础是基于对企业风险的识别，内部控制建设的目的是防范和控制风险；风险管理体系的建立是依赖于内部控制体系的建设，所以两者相互协调、统一的整体，其最终的目的都是促进企业实现发展战略目标。

基于风险管理为基础的内部控制整合体系，是企业内部控制建设和实施的方向，规范和指引各种类型企业的内部控制建设。

（二）内部控制与风险管理整合体系

内部控制与风险管理整合的步骤如下：

第一步：组建风险及内部管理架构

确认企业风险管理及内部控制管理的目标、原则，组建风险及内部管理（以下简称“风控”）架构，明确治理层、管理层的管理层级、权限、职责，以及具体风控实施的部门、职能、人员构成、任职要求、汇报层级等，要保证风控部门的权威性和一定条件的参与权、处置建议权。

第二步：风险信息收集及整理

企业治理层确认企业风险管理目标，明确风险管理的重点和原则。

由风控部门牵头，各职能部门、业务部门共同参与，以风险管理目标为基础，对企业所面临的各种风险进行收集，之后进行信息的整理、筛选和汇总工作，形成的风险信息因素要有普遍性、针对性、行业特性。

在此基础上，共同讨论形成企业的经营管理活动的初步业务循环。

第三步：风险评估及分析

由风控部门，或由风控部门牵头，业务骨干参与组成风险评估小组，对企业经营管理活动，按循环、部门对业务流程进行梳理，明确企业目前重要的业务经营单元有哪些，这些业务经营单元由哪些业务流程构成。

流程梳理后，企业将从风险管理的角度分别对每个流程进行分析，同时结合整理后的风险信息因素进行对比，这些流程中目前是否存在风险，存在哪些类别的风险，风险在什么情况下会发生，风险对企业的影响是否在企业承受范围之内，目前企业针对该风险的防控措施有哪些，是否还有效运转，实施了这些防控措施后风险的影响是否有所降低，经有效防控后的风险影响是否符合企业目前的风险偏好和企业目前的承受范围内等。

在此基础上，对企业的业务流程进行重新的界定和划分，循环划分的详细程度，依据业务管理的精细化程度不同而定，以达到企业经营管理活动的全面性、重要性和成本效益的原则。

第四步：缺陷的确认与整改

风控部门在评估检查后风险，对企业目前确实已经发生且存在的，编制缺陷汇总，包括可能产生的风险及形成原因、可能造成的风险损失、重要性程度、责任部门等，与缺陷发生的部门讨论确认，按审批权限审批后，下发整改执行。

第五步：制定风险应对方案

在上一步骤基础上，结合企业的风险偏好，确认针对风险的控制措施。

第六步：编写风险数据库

企业风控部门组织各部门编写风险数据库，依据划分的流程，说明企业可能会面临的风险、所属的循环、风险可能产生的后果、风险影响的程度、风险的应对政策、风险的责任部门等。

企业在风险数据库编写的要结合风险信息收集和评估的内容，有针对性进行编写，不是风险信息的内容越多越好，而是要体现企业所处的内外部环境、发展周期、经营规模、人员状况等。

企业风险数据库，要定期进行重新的识别、评估，进行更新，以符合企业的状况。

第七步：编写内部控制体系文件

企业在风险和流程梳理完成后，依据识别出的风险、企业的风险应对策略，对现有的控制活动的控制措施进行修改或完善，以达到规避风险的目的，控制措施的体现载体为企业风险和内部控制管理体系文件。

企业修改或完善内部控制体系文件时，首先要对现有的评估的风险与现有体系文件中规定的控制措施进行一一核对，找出体系文件存在遗漏、不完整、不规范之处，在此基础上进行完善。

企业在编写内部控制体系文件时，要结合《企业内部控制基本规范》五要素的要求，并且企业在编写内部控制体系文件时，要结合国家的相关法律法规的要求和监督部门特殊要求。

第八步：编写评价文件

企业编写评价文件，主要是为了内部监督部门对风险和内部控制管理实施情况进行评价。

编写的依据是企业完善后的内部控制体系文件，针对每一项业务活动、控制措施，制定评价的方法、频率、文件抽查名称、抽查的数量、缺陷定义的依据等。

评价手册的编写，要使实施评价活动的人员，在实施评价活动过程有依有据，填写的评价手册底稿内容，要能如实反应企业的存在的问题，所以评价手册的编写的要素要完整，格式要简练，操作性强。

第九步：实施评价活动

企业在实施评价活动之前，要先确认评价的重点、评价的频率。

企业对风险的承受度、企业经营管理的复杂程度、人力资源素质、实施成本，决定企业实施评价的频率，企业至少每年要实施一次评价活动。

实施评价活动的频率，也与每次进行评价的内容相关，如果企业在一个年度内，进行数次的评价活动，考虑成本的原则，每次可以选择不同的重点内容进行评价，如果每年度只进行一次评价活动，就是进行全面性的评价活动。

第十步：编写评价报告

内控合规与风险管理的关系范文

［关键词］内部控制风险管理COSO全面风险管理区别和联系

内部控制与风险管理理论的发展与演变过程

现代内部控制和风险管理理论的发展是一个逐步演变的过程，大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。

（一）内部控制制度阶段。1936年美国颁布了《独立公共会计师对财务报表的审查》，首次定义了内部控制：“内部稽核与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法”，此后美国审计程序委员会又经过了多次修改。1973年在美国审计程序公告55号中，对内部控制制度的定义作了如下解释：“内部控制制度有两类：内部会计控制制度和内部管理控制制度，内部管理控制制度包括且不限于组织结构的计划，以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。”

（二）内部控制整体框架阶段。1992年9月，COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。

（三）风险管理框架阶段。2004年COSO委员会《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

风险管理与内部控制关系研究回顾

在风险管理理论提出之后，理论界对内部控制与风险管理两者之间的关系进行了不断的研究。总体来说主要有以下三种观点：

（一）第一种观点认为内部控制包含风险管理。CICA（1998）将风险定义为，“一个事件或环境带来不利后果的可能性”，阐明了风险管理与控制的关系：“当您在抓住机会和管理风险时，您也正在实施控制”。巴塞尔委员会的《银行业组织内部控制系统框架》中指出，“董事会负责批准并定期检查银行整体战略及重要制度，了解银行的主要风险，为这些风险设定可接受的水平，确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会控制标准委员会（1999）认为，“控制应该包括风险的识别与减轻”，其中的风险不仅包括与实现特定目标相关的风险，而且还包括一般性的风险，如不能识别和利用机会，就不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。

（二）第二种观点认为风险管理包含内部控制。COSO委员会提出的《企业风险管理——整合框架》（2004）中明确指出，企业风险管理包含内部控制；内部控制是企业风险管理不可分割的一部分；内部控制是风险管理的一种方式，企业风险管理比内部控制范围广得多。英国Turnbull委员会（2005）认为，风险管理对于企业目标的实现具有重要意义，公司的内部控制系统在风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。

（三）第三种观点认为内部控制就是风险管理。Blackburn（1999）认为，风险管理与内部控制仅是人为的分离，而在现实的商业行为中，它们是一体化的。LauraF.Spira（2003）分析了内部控制是怎样变为风险管理的，并指出，“将内部控制定义为风险管理强调与战略制定的联系，刻画了内部控制作为组织支撑的特点，但是，它也掩盖了一个不争的事实：现在没有人真正明自内部控制系统是什么。”

基于COSO报告下的内部控制与风险管理比较

现论界对内部控制与风险管理的定义各不相同，但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制与风险管理的定义。本文以COSO报告为基础对内部控制与风险管理的联系与区别进行研究。

（一）两者的定义与内涵。1992年的COSO《内部控制整合框架》将内部控制定义为，“受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标：与运营有关的目标，即确保企业的经营效率和效果；与财务报告有关的目标，即确保财务报告真实可靠；与法律法规的遵循有关的目标，即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成：控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。

2004年的COSO《风险管理整合框架》将风险管理定义为，“由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定有企业各个层次的活动，旨在识别影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理保证的过程。”风险管理的目标有四个：报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个：内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。

（二）两者的比较

1、它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。

2、它们都明确是一个“过程”，不是某种静态的东西。其本身并不是一个结果，而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。

3、它们都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。

4、风险管理的目标有四类，其中三类与内部控制相重合，即报告目标、经营目标和遵循性目标。但报告目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。

5、风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中，内涵也有所扩展，例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。

国内关于内部控制与全面风险管理的定义

（一）目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发《企业内部控制规范——基本规范》和17项具体规范（征求意见稿）的通知以及国务院国资委的《中央企业全面风险管理指引》中有相关的表述。

财政部关于内部控制规范的《通知》中对内部控制的定义是：是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循国家法律法规和有关监管要求。

国资委《指引》中关于全面风险管理的定义是：指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

（二）、国内关于内部控制和全面风险管理与COSO框架的差异

总体上来说，国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》，但结合国内的实际情况和一些前沿的研究成果，国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。

1、目标纬度：财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展，增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。”另外，其他四个目标也与COSO全面风险管理四个目标在表述上有所差异，使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说，特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。

2、要素纬度：财政部内部控制《通知》形式上借鉴了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的实质；国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素，但通过风险管理基本流程将全面风险管理的一些要素融合到流程中，从实质来说，也体现的是8要素的COSO全面风险管理框架。

国内关于内部控制与全面风险管理运用的一些误区

（一）把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中，我们可以看出它们都被明确为是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。

（二）内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程，两者在内涵上也有一定重合，企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等，确定选择合适的管理体系和建设重点。比如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企业以风险管理主导内部控制可能更方便。而在另一些企业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可能更适合。

（三）内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望，他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。

（四）内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进，与国内企业原有的管理体系和观点存在较多的差异和差距，目前这些理念和方法还更多的处于导入阶段，大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。

参考文献

［1］盖地;试论内部控制与内部会计控制，中国成本研究会编;企业内部控制原理、经验与操作一企业内部控制高层研讨会文集;中国财政经济出版社，2002年版57一60.

［2］李凤鸣;《内部控制与风险防范》;经济科学出版社，1998年版.

［3］周兆生;C0SO企业风险管理框架（中文版）;华融资产管理公司，2004.

［4］程新生;公司治理，内部控制，组织结构互动关系研究;会计研究，2004年4期.

［5］张砚；内部控制历史发展的组织演化研究；会计研究，2005年2期.

内控合规与风险管理的关系范文篇3

一、内部控制与风险管理关系辨析

内部控制思想和管理实践早在18世纪西方国家就已经出现，当时只是以账目核对和岗位分离为手段来保证账目正确，防范舞弊行为的发生。1945年，美国注册会计师协会的审计程序委员会在《内部控制：一种协调制度要素及其对管理当局和注册会计师的重要性》的报告中，首次将内部控制定义为：“为了保护财产的安全完整，检查会计资料的准确性和可靠性，提高企业的经营效率以及促进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”1994年，COSO在《内部控制——整体框架》对内部控制定义的描述如下：内部控制是由董事会、管理层和员工共同设计并实施的，旨在为财务报告的可靠性、经营效率和效果、相关法律法规的遵循性等提供合理保证的过程。报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监控5个要素。这一内部控制的定义得到广泛的认同并沿用至今。内部控制本质上是组织的内部风险控制机制，它是有助于降低企业风险的一种控制机制，内部控制的最终目标是提高企业的经营管理水平和风险防范能力（丁友刚、胡兴国，2007）。

风险管理起源于20世纪30年代的美国，并从美国向世界范围内传播。20世纪中期，一些行业开始尝试着运用保险的方法进行风险管理。从20世纪后期开始，由于环境的不断变化，控制手段和措施的不断丰富，风险管理的外延和内涵也有了很大的扩展。随着对风险认识的不断提高，人们对风险管理也有了更深的理解和判断（董大胜，韩晓梅，2010）。2004年，在COSO出台的《企业风险管理——整合框架》中，对企业风险管理定义如下：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。风险管理包括八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。总的来讲，整合框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现，要求企业在战略制定阶段就应考虑风险因素。企业对风险的控制不仅面向过去，也要面向未来；企业的风险管理不仅贯穿于战术层面也贯穿于战略层面（谢志华，2007）。

关于内部控制与风险管理的关系，目前代表性的观点有三种：一是认为风险管理包含内部控制，COSO《企业风险管理——整合框架》（2004）中明确指出，风险管理包含内部控制，企业风险管理比内部控制范围广得多；二是认为内部控制包含风险管理，加拿大COCO报告（1995）认为，风险评估与风险管理是内部控制的关键要素；三是认为内部控制就是风险管理，风险管理系统与内部控制系统没有差异，这两个概念的外延变得越来越广，3E在变为同一事物（谢志华，2007）。总而言之，内部控制理论和风险管理研究的发展是紧密联系、息息相关的。董月超（2009）认为，两者的相同之处在于：对参与的主体要求相同，都对企业实现目标提供合理的保证，都强调要主动应对风险；两者的不同之处在于：目标体系不同、组成要素不同、产生效益的方式不同、风险管理的理念不同。内部控制属于企业管理范畴，而风险管理属于企业治理范畴，风险管理是对内部控制的继承与发展。丁友刚、胡兴国（2007）指出，内部控制本质上是组织的内部风险控制机制，它是有助于降低企业风险的一种控制机制，内部控制的最终目标是提高企业的经营管理水平和风险防范能力。

正因为有这样不同的认识，在企业管理的实践层面，许多企业在21世纪初轰轰烈烈地全面更新了内部控制体系之后，又于近几年全面推进风险管理，从组织结构改良开始，设立了独立的风险管理机构，建立风险管理体系，让那些刚刚开始尝试执行的内部控制制度戛然而止。笔者认为，内部控制与风险管理的直接载体都是企业的经营活动，内部控制与风险管理都以企业法人为边界，从这一点来说，不能将二者截然割裂开来。内部控制重心在企业的高管层之下（经营活动），风险管理的重心在高管层之上（战略设计、决策），内部控制主要关注不相容职务是否分离，风险管理主要关注经营目标实现过程中的不确定性。两者间的关系辨析固然重要，它有助于理清思路，找准内部控制与风险管理工作的侧重点。但是，更为关键的是：如何构建一个架构将两者有机融合、指导企业管理实践。“他山之石，可以攻玉”，日本自2003年成立“风险管理与内部控制研究委员会”以来，经过8年多的发展，积累了丰富的经验，形成了一套行之有效的办法，值得我们借鉴。

二、日本内部控制与风险管理政策研究

2001年美国安然事件之后，日本企业会计审议会于2005年初成立了内部控制专业委员会，并且于2007年2月颁布了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定意见书》、《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》。准则在美国COSO委员会内部控制概念框架的基础上，结合日本企业的特点（资产的取得、使用及处分的手续繁杂，因而资产受到特别的关注），对内部控制的定义如下：内部控制是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。与COSO委员会颁布的三项目标不同，日本内部控制的定义在三个目标的基础上又增加了资产保全这一目标，强调内部控制是企业内部体制与流程，内部控制能为企业发展提供合理的保障（而不是完全的保障）。

（一）内部控制与风险管理两者间的关系

对于内部控制与风险管理间的关系，在2005年经济产业省所召开的《新风险时代的内部控制》的研讨会上，将风险管理划分为两种类型：与企业发展机会相关联的风险（是指与企业经营相关的战略层面的决策风险，具体包括进入新业务领域的风险、新产品开发的风险、资金运作相关的风险、设备投资相关的风险等）；与企业业务活动相关联的风险（是指正确、高效的开展业务相关的战术风险，具体包括与财务报告相关的风险、与产品质量相关的风险、与信息系统相关的风险、与业务手续相关的风险、与物品、环境相关的风险等）。这两类风险共同影响企业持续的价值增值，都是企业全面风险管理的对象，但它们与内部控制间的关系却不尽相同。

对于“与企业业务活动相关联的风险”，可以通过内部控制流程直接进行防范，这需要建立合理的内部控制架构。管理层可以通过对内部控制体系的构建来管理“与业务活动相关联的风险”，并以此为基础，开展包括“与企业发展机会相关联的风险”在内的全面风险管理。风险类型与内部控制间的关系，如表1所示。

因此，从应对上述两类风险的角度而言，内部控制与风险管理间的关系表现为：内部控制是应对全面风险的前提，也就是说，内部控制为与业务相关联的各类风险进行恰当的风险管理活动提供了支撑。两者的关系可以进一步细化为三个方面：

1.风险评估是内部控制的构成部分

与风险管理相关的风险对策，大多数是在内部控制框架的基础上形成的。因此，开展风险管理所需的风险评估，由风险评估所形成的风险对策，对风险对策实施情况的评价是内部控制调整、运营情况评价的一部分。

2.风险评估的结果是内部控制进行持续改进的依据

内部控制不仅关乎“与业务活动开展相关联的风险”，而且必须在各种风险评价以及与风险评价相应的方法经验积累的基础上，对内部控制的框架、运行情况进行动态调整。管理层通过风险管理对风险进行评价提出相应方针政策，并在此基础上对内部控制的各个方面进行持续的改进。

3内部控制促进全面风险管理的完善

内部控制流程中所处理的“与业务活动开展相关联的风险”，必须及时地反馈给风险管理组织，并在全面风险管理活动中进行评估。

（二）内部控制与风险管理的—体化模式

风险管理与内部控制是市场经济环境下，企业的经营者为了响应各类企业利益相关者的需求、保证企业永续经营必不可少的管理手段。恰当的风险管理、完善的内部控制体系，有助于提高客户与投资者对企业的信任度，从而增加企业的价值。正因为如此，2003年，日本经济产业省在总结先进企业内部控制与风险管理成功经验的基础上，融合日本全面质量管理的成功经验，构建了“内部控制与风险管理的一体化模式”。该模式包括三方面内容：内部控制的PDCA循环，基于风险管理的内部控制评价流程，内部控制与风险管理整合架构。

1.内部控制的PDCA循环

PDCA循环又叫质量环或者戴明环，是管理学中的一个通用模型，是美国质量管理专家戴明博士首先提出的，它是全面质量管理所应遵循的科学程序。PDCA循环就是按照“计划—执行—检查—行动”的顺序进行质量管理、实现持续改善。从上世纪70年代全面质量管理在日本推广以来，极大地促进了日本经济的发展，质量意识深入人心，所以在内部控制体系构建环节，日本经济产业省也引入了PDCA循环（如图1所示）。

在内部控制体系构建的PDCA循环中，企业首先在对风险综合评价的基础上，把握经营活动的变化，对内部控制的架构进行适当的调整（Plan）；运行内部控制程序（DO）；通过内部控制的评价（Check），确认内部控制机能的有效性；明确内部控制的调整与改善的方向（Act）。其中，内部控制的评价与内部控制的调整、改善是内部控制PDCA循环的发动机。

2.基于风险分析的内部控制评价流程

内部控制评价是指内部控制制度、行为是否契合内部控制总体目标的达成，包括体系构建的完备性（规则、制度是否健全，内容是否合适）和运行状况的遵循性（在具体执行运行过程中，是否遵循既定的内部控制规则）。为了促进风险管理与内部控制间的有机整合，日本经济产业省在对先进企业风险管理经验总结的基础上，归纳并形成了基于风险分析的内部控制评价方法。该方法通过对企业风险进行分析，评价内部控制体系是否能够把握特定的经营活动的风险，并对这些风险进行及时地发现和有效地预防。

以采购活动的“预定工作”为例，由于存在着资金支出的购买活动，一般而言发生舞弊行为的可能性更大，所以存在降低发生舞弊风险的必要性，其内部控制评价流程如图2所示。内部控制评价的前提条件是对综合风险评价、对经营活动的把握，具体到购买活动时要考虑如何降低舞弊行为发生的风险。在“采购的预定流程中”，首先要确认内部控制的制度、规则的建设情况（主要确认采购申请填写人与订货负责人是否分离），如果内部控制制度本身不完善，要进行整改。在内部控制制度、规则完善的基础上（采购申请填写人与订货负责人在制度规定上实现了分离），进一步确认运行情况的遵循性（对运行情况的分析，主要关注运行过程是否按照制度与规则执行），如果存在执行不到位的，需要整改。

3.内部控制与风险管理整合架构

无论是“内部控制的PDCA循环”，还是“内部控制的评价流程”，都属于企业风险管理与内部控制工作的“单元要素”。如何将这些“单元要素”整合在统一的框架中，促进风险管理与内部控制的有机融合，日本经济产业省给出了一个通用性的“内部控制与风险管理的整合架构”，如图3所示。

内部控制与风险管理整合架构显示，健全的内部控制环境与通畅的信息传递渠道，是企业内部控制与风险管理整合架构的基础。在“金字塔式的组织中”，企业的各个层级通过PDCA循环，让风险管理与内部控制融入企业经营管理的各个方面。内部控制的评价基于风险分析，实施内部控制评价的人员要能够准确把握流程现状，并对作为控制对象的业务有一定程度理解。具体而言，采购的流程由采购部经理负责、制造流程由制造部经理负责，各个业务流程由其流程的负责人负责。但是，在实际工作中流程负责人（采购部经理或者制造部经理）不可能对每一个内部控制进行确认与评价，对于那些更为细化的环节（如采购流程中的“定货”、“验收”环节）要由下一层次的负责人（如作业层负责人）来评价。在内部控制的综合评价中，企业的各个层级不是独立的开展内部控制评价，而是通过“自下而上”的方式开展连贯式内部控制评价，即从作业层（车间负责人，团队负责人）到战术层（各部门经理）再到战略层（股东等）。在这些评价结果的基础上，最终形成综合评价。当发现企业某些业务流程出现问题时，根据问题的风险程度，决定内部控制的改善方案。

此外，在内部控制评价过程中，还要充分发挥内部审计部门的作用。内部审计部门作为独立的评价机构，对各个层级的内部控制评价的结果进行再评价，确保内部控制评价的客观性，促进内部控制体系完善，让企业的风险得到全面的控制。

三、启示

虽然《企业内部控制配套指引》的出台，标志着我国企业内部控制规范体系基本建成。但是，就我国企业管理实践来看内部控制与风险管理未能实现真正的融合，因此影响到内部控制作用的真正发挥。结合日本政府在促进本国企业构建“内部控制与风险管理一体化模式”方面的经验，笔者提出三点建议：

（1）建立统一协调的外部监管机构。为了促进企业实现全面风险管理，形成有效、柔性的内部控制体系，2003年5月，由日本经济产业省牵头，成立了“产（大型企业代表）学（部分高校与科研院所）官（政府机构）”为主体的“内部控制与风险管理”研究会，研究会经过多次研讨，最终形成了《新风险时代的内部控制》研究报告，该报告对企业的内部控制与风险管理工作的开展给出了一般性指导意见。目前，我国内部控制和风险管理的监管制度的制订，分属于不同的制度框架。内部控制的规范标准，是由财政部、证监会、审计署、银监会、保监会通过2010年4月26日联合的《企业内部控制配套指引》来确定的；风险管理的规范标准，是由国务院国有资产监督管理委员会通过2006年6月6日出台的《中央企业全面风险管理指引》来确定的。由于“政出多门”，缺乏一个统一的规则来协调各项“指引”的内容，这是导致目前我国企业管理实践不能将二者有机融合的重要原因之一。企业常常为了应付检查将同一件事情用两个规范来做，结果是“为了控制而控制”，既增加了企业的成本，又收不到应有的实效。因此，结合我国企业管理的实际情况，构建具有我国特色的内部控制与风险管理一体化模式，需要建立一个统一协调的外部监管机构。