我之前寫了很多篇文章來介紹企業風險管理和內部控制體系的發展脈絡，為今天這篇文章算是打了個基礎。

這篇看完，對兩者的認知直接打敗當下風控內控領域一半的專家。

過去這些年，無論在理論界還是企業界，對于關于企業風險管理和內部控制之間的關系爭論了好多年。

多種說法都出現過，比如：

• 企業風險管理包含內部控制；

• 企業內部控制包含風險管理；

• 企業風險管理就是企業內部控制；

• 企業風險管理和內部控制沒有關系。

應該說，在這些年的爭論過程中大家還是形成了一定的共識。

但是，離真正能夠說清楚、說明白兩者之間的關系還有一定的距離。從企業實踐來看，目前存在著很多不同的做法，很多企業因為無法準確區分兩者之間的區別與聯系，為了方便起見，還是將兩者并行放在一起進行“風險管理與內部控制”的整合管理。

我碰到很多同仁吐槽遇到過此類苦惱，有領導詢問關于兩者之間的區別和聯系，我們很多從業者卻無法給領導一個滿意的解釋。

這其實不能責怪他們，因為兩個體系的糾纏已經延續了十幾年、爭論了十幾年，也確實沒有人能夠非常清晰的劃清兩者的邊界和相互作用關系。就算前期形成了一定共識，但是面對這兩年企業風險管理領域翻天覆地的變化，就更難回答了。

今天，大部分人都認可了企業風險管理包含內部控制的觀點，因為內部控制也是企業管理風險的手段之一，但是狹義上來講，二者也確有一定差異。

我們今天帶著大家先不談誰包含誰的結論，僅側重在兩者的差異看，如何更好的厘清兩項工作的側重點，先來提純，再講融合，也許會對其本質有不同的體會，希望可以給大家帶來進一步的思考。

一、國際戰場的恩怨起源

前面的文章我們已經談到，1992年COSO發布的《企業內部控制-整合框架》，作為在全球企業內部控制領域的集大成者，面對21世紀初美國公眾企業一系列的財務造假事件，被美國證監會采用作為美國資本市場公眾企業的合規框架而名聲大噪，同時，也被全球各個國家參考和借鑒形成了本國的企業內部控制管理框架。

但是COSO通過分析這一系列的企業經營失敗的案例，發現純粹從建立和維護一個健全、有效的內部控制體系，還不足以防范這些失敗案例的再次發生，因為有些失敗的因素超出了內部控制的范疇。

所以，COSO考慮需要從更高的層面建立一個體系來指導企業如何能夠更好的保護企業價值、實現企業目標。

時隔12年之后，2004年COSO發布了《企業風險管理-整合框架》。從名字上可以看出，從企業內部控制到風險管理，COSO的本意表明后者要比前者定位更高一些、范圍更廣一些，COSO在正式文件中也闡明：企業風險管理包含了內部控制。

通過觀察兩個體系的框架圖，我們可以看出兩者何等的相似，顯然是同出一門、同宗同源的，這也為日后全球范圍的包含與被包含之爭埋下了隱患。企業風險管理框架只是在要素和目標層面多出了幾個內容，但一眼望去還是那個經典的“立方體”（Cube）。

實話實說，COSO組織以內部控制框架而全球聞名，而一個以財務、審計為主要背景的5家發起機構組成的COSO，起草企業風險管理領域的文件卻不一定是其優勢所在，因為從“控制”向“管理”的跨越有可能超出了其駕馭能力。但不管如何，由于COSO在內部控制領域的至高聲譽，其隨便一個動作就會引起全球的一陣騷動，這也凸顯了一個平臺的重要性。

在COSO發布其ERM框架之前，其實很早之前全球范圍內已經出現了泛風險管理、企業層面風險管理的概念和理念，但是只是在局部和小范圍應用和傳播，并沒有被全面的普及和推廣。

我時常想，借助COSO的影響力，2004年COSO的ERM框架確實對企業風險管理理念的廣泛傳播起到了非常積極的推動意義。但同時，

2004年的“立方體”框架如同一個牢籠，也困住了企業風險管理放蕩不羈、追求自由的翅膀。

二、中國戰場的恩怨起源

國際上戰事未結，中國的戰役卻已打響，而中國戰場的發展應該是全球中最離奇、最精彩的那一個。中國企業風險管理實踐的全面展開是以2006年國務院國資委發布的《中央企業全面風險管理指引》為標志，而企業內部控制實踐的全面展開是以財政部2008年發布的《企業內部控制基本規范》為標志。

從時間線上來看，國際上兩個文件的發布中間是經歷了12年探索和思考的時間，而中國只用了2年；從順序上講，國際上是先發布企業內部控制框架，又發展到的企業風險管理，而中國順序正好相反。

2008年發布的企業內部控制基本規范參考了COSO 1992年的內部控制框架，而2006年發布的企業風險管理框架卻是中國自創的一套，這也為這個戰場增添了一些新的不確定性。

2006年，我們中國的央企、地方國企和部分大型企業開始風風火火進行企業風險管理體系的建設，如我們之前文章中說的那樣，企業內部控制是企業的一套基本功體系，2006年在我們中國企業還未全面強化基本功的情況下，就吃了一粒“十全大補丸”，導致虛火很旺。

風險管理推行了5年之后，2011年開始，中國企業又大規模的進行了企業內部控制體系的建設，這之后又進入了企業風險管理和內部控制的整合階段，再之后是兩個體系和各企業管理子體系的整合階段。

我們用了極其簡潔的幾段話描述了中國戰場的情況，因為我不想展開說，我相信在企業有過親身經歷這個過程的人看了可能會感慨萬千，五味雜陳！

超常規發展、顛倒發展帶來的經驗和教訓、惆悵和迷惘讓中國企業的這段歷史顯得格外讓人難以忘卻。

三、企業風險管理的最新發展，推動了戰事走向終結

2017年9月，按照預定時間，COSO組織推遲了一年發布了新版企業風險管理框架，這次的框架的變動如此之大，并沒有對原有的框架進行修補，而是直接拋棄了2004年的立方體風險管理框架，掙脫了立方體“牢籠”的企業風險管理，又重獲自由。新框架強調風險管理不是一項獨立的活動，應該和企業管理活動密切融合。

而文件中也提及了風險管理和內部控制的關系，為了避免前期混戰的持續，厘清雙方的關系，這次的風險管理框架中，沒有提及任何和控制有關的話題，而將其都留給了內部控制體系，以此算是給兩個體系做一個切割，希望雙方不再有紛爭、西線再無戰事。

2018年2月，ISO組織也發布了更新版的ISO31000風險管理標準文件，也有一些新的指導原則和導向的變化。這兩份文件我們公眾號寫過幾十篇系列解讀，有需要請查看，在此就不展開論述了。

四、企業風險管理和內部控制的七大本質差異點

因為親歷了全程，所以每個階段都會留有一些思考和體會，回應開頭關于業界對于兩者的區別和聯系，結合最新的理論發展，我們來總結和展望一下兩者的本質異同點：

1、執行力度不同

• 內部控制強制性：對于企業內部控制而言，從發展源頭上來看，是由外部監管機構強制執行的，特別是針對公眾公司，企業內部控制有效性更是必須要保證的；

• 風險管理自愿性：風險管理體系則不同，由于風險管理的目標是創造和保護的價值，這更像是企業的股東和管理層的一種自愿選擇行為，而不能是由任何外部機構強制要求組織應該創造多少價值。

需要注意的一點是，雖然外部監管機構強制企業建立內部控制體系，但強制的部分是有側重點的，不能代表企業內部控制的全部。所以企業內部控制體系要做的好，不能僅僅為了滿足監管機構的要求為標準。

2、實施要求不同

• 內部控制是最低要求：企業按照外部實施要求和指導文件進行的內部控制體系建設，是對企業控制的最低要求，是及格要求；

• 風險管理是最高標準：企業風險管理工作是為了企業愿景、使命和戰略目標的實現為工作目標，這個內部控制不同，是企業的一套最高標準。

打個比方，我們對一個人的要求，我們可以強制要求他不能觸犯法律，但無法非要讓他成為一個道德高尚的人。

3、使用手段不同

• 內部控制基于控制：從名字上就能看出區別，企業內部控制體系的實施手段是基于控制的；

• 風險管理基于管理：而企業風險管理的實施手段是基于管理的，控制手段是管理手段的一種。

4、針對目標不同

• 內部控制針對財務、運營、合規目標：傳統的企業內部控制體系建設和運行是為了合理保障財務報告、運營和合規目標的實現；

• 風險管理針對戰略、績效目標：風險管理體系的設計和運行是為戰略和績效目標的合理實現提供保障。

5、選取視角不同

• 內部控制多基于當下和過去視角：雖然內部控制又可分為發現性控制和預防性控制，但內部控制的視角主要是基于當下和過去的控制而言；

• 風險管理基于未來視角：風險管理則不同，每時每刻都是關注未來的風險變化。

6、管理內容不同

• 內部控制側重確定性：內部控制是針對識別確定出的需要進行風險控制的點，施加確定性的控制，管理是以確定性為主要內容，雖然控制的效果有時也會有一定的不確定性。

• 風險管理側重不確定：風險管理的實質是管理不確定性，風險管理的過程也是將對目標有影響的不確定性進行識別、管理、應對，使其處于可接受狀態的過程。

7、實施階段不同

• 風險管理側重決策階段：風險管理強調對不確定性的管理，在企業管理中，決策階段面對的不確定性是最大的，矛盾是最集中的，抓好決策階段的風險管理，是風險管理最大的價值體現點。所以，如果風險管理從業者無法參與決策、影響決策，就把風險管理的最大效用直接減掉了80%。

• 內部控制側重執行階段：內部控制強調對確定性的控制，確定程度越大，就越遠離風險管理，完全確定的就不存在風險，而是實際的問題。問題解決就可以，不需要管理。一旦決策完成，進入執行階段，不確定性就大大降低了，這時候需要強調程序和控制，是內部控制的地盤。
  

8、體現方式不同

• 內部控制側重形：由于內部控制的工作對象是針對有形的企業制度、流程，所以內部控制本身也比較顯性化，比較好把握，有的企業覺得內控操作性好就是這個原因；

• 風險管理側重神：風險管理則不同，純粹有形的制度和流程還不足讓企業可以在所有的風險面前游刃有余，企業還有很多軟性的管理要素并不是制度和流程可以全面覆蓋的，如企業文化、價值觀等。另外，企業制度和流程的建立需要有一個方向的引領，而風險管理側重的神正是提供了這些內容。

給企業“看病”多年，發現和中醫給人看病有很多相似的地方，內部控制好比中醫中的“陰”，側重物質屬性，有形（制度、流程）；而風險管理更像“陽”，側重功能屬性，有“神”的引領作用（文化、能力、價值觀）。

陰陽平衡互補，才能造就健康的機體，如此看來，醫人醫企道一也！

返回列表