想必，很多企业，尤其是民营企业，对内部控制到底是做什么的，一开始可能都会存在这样的认知误区。

内部控制既然不是控制人，到底是控制什么呢？

01 

如何理解内部控制的控制?

根据coso内部控制定义，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。

简单说，内部控制是为实现企业组织目标而实施的过程。

即内部控制是为实现组织目标而服务，同时与目标还存在另一个相关概念：风险。

风险是影响企业经营目标实现的不确定性因素。

而内部控制实质就是控制企业组织所面临的风险，而不是控制人。

之前在 推进内部控制工作前，务必先做好内控环境评估！的文章中提到，不同企业因内控环境不一样，导致同样一套内控机制或内控经验不能适应于同一行业的两个企业。

除内部控制环境存在差异外，任何两家不同企业的风险，其实也存在差异性。

风险的差异性，也导致同样一套内控机制或内控经验不能适应于同一行业的两个企业。

而风险之所以存在差异性，是因为两家企业的目标存在差异性，目标不同，其面临的风险也就存在不一样，风险不一样，要求所采取的控制活动及措施必然不一样。

因此，推行内部控制时，也请务必对风险进行评估。不经风险评估，制定控制措施，容易犯教条主义、控制过度、控制冗余、以及控制缺乏针对性等种种问题。

02 

如何进行风险评估

风险评估要从两个维度出发：风险发生概率或可能性、风险的影响程度。

根据上述两个维度进行风险评估，可以将评估的风险简单分为四大类：

第一类风险：高概率、影响大，属于高等风险，比如日本周边地震发生的概率高，影响也比较大，属于高风险；再如目前情况下房产债务违约风险发生概率比较高，影响也比较大。

第二类风险：高概率、影响小，属于中等风险，比如员工上班迟到概率较高，但单次影响不大；员工私自将公司办公用品，比如文件袋、文件纸张等带经常回家使用。不过这类风险虽然单次发生影响程度较小，但由于发生频率及概率较高，可能累计起来风险水平也就不低了。

第三类风险：低概率，影响大，属于中等风险，比如厂房爆炸、人员安全事故等，这种概率出现较低，但一旦发生其影响会很大，俗称黑天鹅事件。

第四类风险：低概率，影响小，属于低等或轻微风险，这类风险水平较小，比如买东西，忘记找零；企业生产车间生产过程产生的边角料被员工偷带出厂。

03

不同类型风险如何应对

既然面临的风险水平是不一样的，不同类型的风险，采取的应对策略与控制活动当然存在差异性。

高概率、高影响类的高风险：应采取风险规避，或降低风险的策略，通过采取风险组合策略，控制风险发生的源头，降低风险发生的可能性和不利影响程度。

比如销售应收账款坏账风险，若评估客户资信风险等级较低，赊销产生的坏账风险可能性非常高，企业要么采取风险规避策略，即对其不采取赊销方式，而调整为现销方式。若采取赊销方式不可行，则采取赊销策略情况下，只能选择降低风险策略，要么降低赊销额，要么采取控制活动降低客户信用风险发生带来的影响程度。

低概率、影响大类的中等风险：采取风险分散或转移类策略。

比如针对厂房爆炸和人员安全事故，选择为厂房和员工购买商业保险，一旦发生事故，则通过保险理赔方式将出险产生的损失转移至保险公司；再如将部分业务外包出去，降低自己干所产生的固有经营风险等。

高概率、影响低类的中等风险：应采取降低风险策略。

比如员工上班迟到，若不加以控制，可能会产生不好的风气，甚至演变成很多人都迟到，必然影响到企业组织纪律性和氛围，所以企业要制定相应的控制措施控制员工上班迟到情况。同样的，员工私自挪用公司办公室用品，若不加以控制，员工都挪用，给企业带来的利益损失逐渐加大，因此办公用品领用时，应履行申请和签字手续。

低概率、影响低类的低等风险：应采取降低风险接受策略，适当减少与此风险相关的、冗余的控制措施，节约控制管理成本。

风险轻微采取接受策略，但并不代表对其听之任之，星星之火可以燎原，轻微风险也可以逐渐变成中等级，甚至高等级风险，因此，企业应建立对其建立监控预警机制，一旦发现苗头，及时采取措施予以控制。