内部控制与风险管理是一个老生常谈的话题，今天分享给大家，是想谈谈一些我自己的思考，和我自己的观点。

为什么今天来分享这些？我想疫情三年以来，让我们认识到了我们无时无刻不生活在一个不确定性的年代。这种不确定性让我们也认识到为啥这只“黑天鹅”还不飞走，“灰犀牛”为啥到处乱跑？恐怕这将是我们未来生活的一种常态。如果说2022年你觉得是最差的一年，可能它却是未来最好的一年。其实，不确定性常常都在我们的身边，只不过这回来的更加猛烈。有人也将当前这个时代叫做VUCA时代，其实就是为了表明我们当前的时代的动荡性。其实，人类和企业一样，要生存下去，必须适应这个充满未知和不确定性的世界。

我们唯有以规则的确定性迎接未来的不确定性，才能面对这个时代的挑战。这就使得内部控制与风险管理显得十分重要。如何认知，我认为：

一、内部控制的本质是从目标驱动走向流程驱动

内部控制本质上是流程管理，它通过将保证财务报告质量、业务合规和风险识别与应对的控制措施纳入流程，形成控制点、合规审查点、风险点，进而实现同一个流程中不同控制标准的协同运作。其实就是制度或者规则的流程植入，以保证其能够得到有效执行。过去的制度或者规章制度是为了目标管理而建立。目标管理是过去粗放发展或者处于初创与发展生命周期阶段的企业容易出现的短期行为。目标管理的效果立竿见影，最大的好处是可以把客观的需要转化为个人的目标，通过“自我控制”取得成绩，且管理者能够控制他们自己的成绩。这种自我控制可成为更强烈的动力，推动他们尽自己最大的努力把工作做好。目标管理虽然容易发挥个人的主观能动性。但目标管理也存在弊端，虽然它有利于将组织目标与个人目标统一并得以高效地完成，但是其具有短期行为，是一种“能人”治理的模式，目标实现的同时也伤害了组织现存的制度体系与流程体系，其结果往往胜者为王、败者为寇。此外，虽然在纵向的层级管理上，目标管理可以保证目标的实现，一旦涉及到横向的协作与配合，就会出现互相推诿与扯皮。我总是说一个和尚有水吃，两个和尚抬水吃，三个和尚没水吃就是这个道理。

与目标管理相对应的是流程管理。从流程管理的发展来看，其历经了制度化、程序化、标准化的演进过程。制度化保证所有事情有法可依，程序化保证所有事情有章可循，标准化保证所有事情有标可对。但无论是哪个阶段，流程管理的核心是不变的，其突出特点是注重过程控制，即强调从过程设计的科学性和有效性，到对过程中发生问题的及时反馈和果断处理，再到对设计的及时调整这一闭环循环的管理精细化，要求细化到每一个业务流程、每一个操作单元（或作业单元、工序）、每一项影响业务流程运行的输入因素，强调通过对相关各个过程、各个环节的有效严格管理和控制，杜绝错误，来实现组织既定目标或任务。我常常把这个过程用“管理制度化、制度流程化、流程岗位化、岗位职责化、职责表单化、表单信息化”去表示。这“六化”基本上说清楚了内部控制建设的过程，也表明了一个道理，信息化之前先要做流程再造，否则仅从需求入手的信息化，是线下问题搬到线上。内部控制的流程再造区别于一般的流程再造的过程的特征就是植入了内部控制的方法。这些方法包括不相容职务相互分离，归口控制、表单控制、授权控制、安全控制、公开控制、会计控制等方法。使得原来以目标为驱动的流程更加容易落地实施，更加容易管控住过程中所发生的风险，更容易划分部门职责与岗位职责，以提升效率，避免扯皮。

整体来看，内部控制将目标管理的制度、规章，真正得到了落地，并且限制了管理层的权力，避免出现真空的问题。但此时内部控制所生成的手册，还是让我们认识到路程驱动是人的主观经验的固化，是一个标准化、程序化的过程，这个过程最终需要通过信息化固化。

大多数企业的业务部门都认为，内部控制限制了业务效率的提升，甚至是一种障碍，虽然我们一再主张，又快又好的发展，但显然以目标为统领的业务是不关心这些的。这就要求内部控制的价值要体现在业务经营成果的改善上，将内部控制的细节融入业务的细节中去，细化控制目标，通过不断评价，优化这个细节，除了常规性的内部控制评价，还要有点对点的内部控制优化。

二、风险管理的本质实现了流程驱动向价值创造驱动的转变

风险是不确定性对目标产生的影响。风险不可能完全为“0”，或者说没有风险，只能进行管理。风险管理区别于内部控制在于风险管理所涉及的风险不仅包含了内部控制所识别和进行控制的风险，还从内部延伸到了外部，业务层面延伸到了战略层面，可识别可控延伸到了不可识别不可控的范畴。尤其是风险体系中的不可识别、不可控制的风险仅能采用风险管理的策略去实现。这个理解就会让我们清晰的划分了内部控制与风险管理的关系：内部控制是风险管理的重要组成部分。

如果说以前的内部控制更多是为了流程管理的效率，规则的统一，岗位职责的清晰划分，针对可识别风险采取有效的控制措施。那么风险管理则实现了价值创造驱动。水至清则无鱼，越是充满不确定性的未来，越是充满创造价值的机会。风能让蜡烛熄灭，亦能使火燃烧的更旺就是这个道理。风险是一把双刃剑。往往不确定性的地方恰恰就是价值的来源所在。

企业最大的风险源于战略层面。因此，内部控制八要素的框架与五要素框架相比较，最大的特征就是将战略目标摆出来了。许多人没有看到这是为了突出战略目标实现是受到外部的影响的事实，而简单的认为这是内部控制框架的延伸，甚至错误的认为风险管理是内部控制的一部分。其实，八要素的框架是为了融合内部控制与风险管理，实现企业一体化的运营。战略失败是企业彻底的失败。战略风险是指不能正确识别外部经济环境、政治环境、行业竞争环境，市场环境的变化，而做出错误的决策的风险。这些因素许多都是企业难以通过控制措施规避甚至消除的。只能正确认知和评估，它往往会与企业决策者、管理层的风险容忍度有着极大的关系。为什么要关注文化，就是要看看管理层对待风险的态度，这些将影响到企业的方方面面。这些体现了决策者、管理层的风险的容忍度。

三、合规管理、内部控制与风险管理应该实现整合

合规管理脱胎于内部控制，同样需要进行流程管理，只是将管理的要求和标准转换为法律法规的具体要求和标准，植入到现有的业务流程中去，在企业内部控制全流程中纳入合规管理要求，实现合规管理体系与其他体系在组织、制度、机制和文化上的协同。“以内部控制为抓手、以合规管理为底线、以风险管控为导向”提供了一种系统的整合思路。具体的实现方式可分为以下四个步骤：

第一步，将外部合规要求内化为企业内部规章制度。通过联通外部的法律法规库、行业规范库，建立结构化的企业内部规章制度库，将外部法规库落地转换为内部规章制度，并基于外部法规库的调整修订，结合相关的业务管理流程实时动态更新企业内部规章制度，实现“外法内化”。

第二步，将内部规章制度清单化，嵌入内部控制流程。基于企业实际业务梳理内部控制流程，解析内部规章制度中的内部控制管理要求、合规要求，并将其落实到各内部控制流程及具体环节中，形成风险点、控制点、合规审查点，并基于此构建风险控制矩阵清单、岗位职责清单。

第三步，基于风险管控识别风险点，进一步丰富清单。围绕“风险识别——风险评估——风险应对”工作流程，分析各流程环节中存在的风险及其应对策略，将其落实到对应流程的风险控制矩阵清单中，实现以内部控制方式防范化解风险。

第四步，实现内部控制措施规则化与运行自动化。基于风险控制矩阵清单中的控制点、合规审查点、风险点，结合业务系统设计及运行情况，设计内部控制合规规则，一方面以融入业务的方式及时预警、阻断业务处理过程中的风险及违规事项，另一方面以成效检查的方式，监督内部控制合规要求落实情况，分析风险防控效果。

经过上述四个步骤，企业可以将内部控制、合规管理、风险管控不同标准的要求以“控制点、合规审查点、风险点”的方式嵌入业务流程当中，构建起协同的运行机制。后续企业只需要根据合规与风险管控要求的变化情况动态调整流程中的控制手段，并以信息系统运行的方式实现。这种建设方式由于统一于以内部控制为核心的“同一个流程”，可以避免不同模块建设“两张皮”甚至“三张皮”的问题，建立起全面有效的合规、风险管理体系。来源：综合互联网，版权归原作者所有

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。