有一次，在一个专家研讨会上，一位非常资深的知名银行风险管理总监对这个内部控制与风险管理两个体系之间关系的主题进行了发言，他认为从他多年的从业经验和实践来看，他鉴定的认为：

内部控制是包含风险管理的。

我正好坐他的对面，待他表达完观点之后，我表达了不同的观点：

风险管理包含内部控制。

我解释了理由，听到有人提出反对他的观点，可能之前没有经历过有人“敢”驳斥他的观点，他有点恼火，急忙反驳了几句，然后离席摔门而去。

曾经确实有很多人在企业一直从事内部控制工作多年，认为风险管理工作就是包含在其内控日常工作中的一部分。

就连COSO委员会也是在1992年发布的企业内部控制框架（下图左），也被称为“五要素”框架，其中有一个要素就是“风险评估”。

之后，COSO委员会2004年在内控框架的基础上又扩充了一个“大控制”框架（上图右），名曰企业风险管理（ERM）。

这么来看，在历史上内部控制中包含风险管理工作要素似乎是有据可查的。

那是否可以得出上面的结论：内部控制中包含风险管理呢？

不能！

首先，我们先看一下COSO委员会对两项工作是如何定义的：

1、内部控制：

Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:

Effectiveness and efficiency of operations.

Reliability of financial reporting.

Compliance with applicable laws and regulations.

内部控制是一个由主体的董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的过程。

2、企业风险管理：

Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.

This framework establishes four categories of entity objectives:

Strategic – relating to high-level goals, aligned with and supporting the entity’s mission

Operations – relating to effective and efficient use of the entity’s resources

Reporting – relating to the reliability of the entity’s reporting

Compliance – relating to the entity’s compliance with applicable laws and regulations

企业风险管理是一个由主体的董事会、管理层和其他人员实施，应用于战略制定和整个企业，旨在识别可能影响主体的潜在事件，并将风险管理在其风险偏好范围内， 为实现主体战略、运营、报告、合规目标提供合理保证的过程。

两个定义的定义形式和定义方式看起来非常相似，好像两项工作确实有很大关联性。

但由于COSO在内部控制体系中的突出地位（萨班斯法案内控合规的参考范本），导致其第一版的企业风险管理框架被内部控制理念局限的太严重了，有点“入戏太深”，出不来了。

所以，在企业风险管理领域，COSO的第一版企业风险管理框架除了带来了一个比内部控制更时髦的概念，其他并没有引起企业实践界过多关注和采用。

21世纪初，伴随全球互联网经济泡沫破裂的影响和一系列全球知名企业的经营失败及财务造假事件的出现，理论界和实践界发现内部控制体系建立的再完善，也无法阻止此类情况再次发生。

经过思考，企业需要从内部控制升级为风险管理。企业风险管理（ERM）开始成为一个时髦的概念，而且开始成为一个专有词汇（ERM），虽然第一个词是E是指Enterprise（企业），但实际上非企业组织也都在使用这个理论，比如在美国的政府机构、国防部、NASA、高校机构等，都有开展自己的ERM项目。

在中国，由于2006年国务院国资委《中央企业全面风险管理指引》发布，2008年财政部五部委发布《企业内部控制规范》，这两个体系的关系就交织在了一起。

在21世纪的第一个时代，好像没有专家能够清晰的解释这两个体系之间的关系，全球都一样。

也有一些国家认为这两项工作没有直接关系，特别是在一些非财务领域背景的专家那里。

这让我记起有一次在ISO的国际风险管理标准会议上，代表很多国家的风险管理专家汇聚在一起，我当时提出应该把内部控制的相关话题纳入到风险管理标准中来，但很多国家代表认为内部控制只是风险的诸多应对措施之一，没必要单独被提出来，最后在定稿的文件中也没有提到内部控制（internal control）。

每个国家都有自己的实施风险管理和内部控制的路径、阶段和经验，我们今天的认知都基于此。我们觉得这是个问题，是因为在2006-2008年这些政策和实践工作确实给我们带来了困惑，但对于其它人，并不一定适用。

经过这么多年的实践和总结之后，我们现在大多数人都接受了企业风险管理包含内部控制、内部控制是企业风险管理的一部分、内部控制是风险应对措施之一。

之前有人会认为内部控制中包含风险管理的原因，是因为这些工作中都包含了风险管理的基本流程—风险识别、分析、评价。

但是从管理体系的角度，不能因为包含了风险管理基本要素，就说这些体系中包含了风险管理体系。

以ISO 31000风险管理指南的框架来说，风险管理三个轮，处理流程之外，还有原则和框架两个轮子。

而最新的COSO新版企业风险管理框架中，将企业风险管理（ERM）重新定义为：

组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。

这个定义与上一版变化非常大，与内部控制的定义完全撇清了关系。

在文中，COSO还表达了自己的观点，为了理清风险管理和内部控制的侧重点，在起草新版企业风险管理框架时，把之前两个框架中对于控制的内容都留给了内部控制体系，既然我们认为风险管理包含了内部控制，那么就没必要把控制的内容再在风险管理框架中重复了。

这个框架从企业使命、愿景、核心价值观开始，定义了组织实现战略目标和绩效过程中的几大风险，我个人认为跟上一版“大控制”框架相比，这一版才是真正的风险管理框架，我认为对企业的风险管理工作非常有启发，所以我才花了几十篇的文章来介绍它。

既然我们说风险管理包含内部控制，那除了内部控制之外，风险管理还包含什么内容：

1、我们都知道，内部控制体系五要素中第一个要素就是控制环境，但内部控制对于企业的控制环境来讲基本是被动接受的，而没办法从这个体系的角度去主动营造，我曾经写过一篇文章：

控制环境出了问题，再好的控制都没有用！

风险管理就包含了如何在企业培育良好的风险文化、提供良好的控制环境的责任。

风险管理强调企业建立积极的使命和愿景，明确风险偏好和承受度，树立良好的核心价值观，管理层以身作则，践行这些价值观，这些都是内部控制可以生根发芽的基础。

2、企业设定各类目标，如战略目标和经营目标，是风险管理体系侧重的内容，这些内容不在内部控制体系的范畴，但这些内容确是设定内部控制体系运行的前提。

企业设定什么样的目标和内部控制没有关系，是经营管理者根据企业的使命愿景及偏好、内外部环境给出的结果，这其中涉及诸多对于不确定内容的分析、对于风险的态度、对于机会的把握，这些都是风险管理工作覆盖的范畴。

3、企业经营管理中需要做的各类决策，内部控制是无能为力的，内部控制能做的就是设定合理合规的决策程序和流程，但是程序和流程做得好并不一定保证决策做得好。

任何一项决策都应该涉及对未来的判断和不确定性因素的分析，如果一项决策不涉及这些内容，那就不能称之为决策，可能仅仅叫做处理就可以了。

可以被程序化、有标准答案的决策可以通过内部控制的手段实现，但这种情况的可替代性是比较大的。

风险管理能力的高低不取决于程序和效率，而是对某项事物的认知！

你可以看到，风险管理的内涵要丰富的多，而且在企业中可以上升到服务决策层和战略目标，这些都是内部控制所不能及的。

但我们如果不是指两个体系之间的关系，把风险管理抽象为一个理念、一种意识、一个手段，说内部控制中包含风险管理，完全可以。

而且我们可以明确的说，任何一个管理体系、管理方法、管理手段、决策思路中都包含风险管理！

按照中国的阴阳划分，风险管理向阳，内部控制喜阴！

来源：大风控