对全面风险管理与内部控制相融合的探讨

的方式表达 ， 描述规则是风 险事件 的“ 表现 ＋影 响” 。例如 ： “ 应 收账款超过诉讼时效导致无法收 回” 就是对应收账款风险 中的 项具体风险事件的描述 。 对二级风险名称定义是按 照业务类 别定义 的。 例如财务风险可分 为应收账款风险、 现金管理风险 、
一
中绝大多数风险都是要依靠应对方案对风险进行控制 ， 预 防其
同， 但全 面风 险管理一 、 二级风险包含 了内部控制管理 的一 、 二 级缺陷 ， 因此 ， 在体系融合过 程 中， 可 以统一 管理语 言 ， 即不再 使用缺陷的概念 ， 而统一使用全面风险管理的风险概念 险管理 中 ， 风 险识 别方法有初 始信息识别 法 、 分类 识别法 、 头脑 风暴识别 法、 流程分析识别法 、 价值链分析识别法 等。 通过这些方 法的综合运用 ， 识别 出各业务单元 、 重要业务活 动和重要业务 流程 中的风险 。 内部控 制识别缺 陷（ 即风险 ） 是通过对业 务流程进 行实际 观察和穿行测试 的方法 ， 测试流程是否可以满足控制 目标 的方 式来查找流程缺 陷。内部控制识别缺 陷的方法确定性很 强 ， 因 此， 该识别方法 可 以直接融 入风险识别 中来 ， 为 了管 理中 的语 言统一 ， 我们可 以把 内部控制 的这种识别风险 的方法命名 为流 程识别法 。 这样 的融合既满足 了内部控制对 风险的识别 ， 也充实 了全 面风险管理对风险的识别方法 。 除此之外 内部 控制还有通 过不相容 职务 的识别 来查找 风 险的方法 。这个方 法可以被 风险管理借鉴 ， 也作为风 险识别 的
一
现金流风险等等。 对一级 风险名称 的定义一般是按照风险的属 性定义 的。例如 ： 战略风险 、 财务 风险、 市场风 险、 运营风险 、 法 律风 险等等 。 在 内部控制管理 中 ， 仅有缺 陷的概念 ， 而没 有风险的概念 ， 但缺 陷导致的结果就是风险。内部控制对缺陷的分类是与流程 级别 对应 的， 也就是说一 级流程缺 陷 、 二 级流程缺 陷的名称 定 义方式是 “ 流程名称 ＋缺陷” 。 例如采购缺陷 、 采购付款缺 陷等 。 缺陷所导 致的风险也没有统 一的命 名方法 ， 与风 险管理一样 是
采用 “ 表现 ＋影响” 的描述方法。 通过 上述分析 我们 发现 ， 对 于具体风 险事件 的命名方法 全 面风险管理与 内部控制管理基本是一样的 。对于二级 、 一级风 险（ 或者缺 陷） ， 全 面风 险管理 与内部 控制 管理命 名方法虽然不
、
组 织体 系的融 合
全面风 险管 理与 内部控制 在组织体 系设 计上无论 是层级 还是 职能都基本一致 ， 所 以便于融合。 全面风险管理的组 织机构设 置为三级 ， 分别是风险管理委 员会 、 风险管理办公室和部 门风险管理小组 （ 风险管理员 ） 。其 中， 风 险管理委员会是 顶层决策机构 ， 风 险管理办公 室是组织 推进管理单位 ， 部门风险管理小组是具体执行单位 。 内部控制组织结构设 置也分 为三级 ， 分别是企业级 的内部 控制领导小组 、 内部控制 管理办公 室和各部 门内部 控制管理 员， 其职能分别是决策、 归 口管理和实施 。 因此 ， 组织机构 的融合可 以采取合并方式 ， 以全面风 险管 理组织机构为主 ， 风险管 理办公室在管 理人员上要兼顾 内部 控 制管理的专业人员 。
【 质量与安全】 Ｑ ｕ ａ ｌ ｉ ｔ ｙ ａ ｎ ｄＳ ａ ｆ ｅ ｔ ｙ
２ ０ １ ５ 年４ 月刊（ 总第 ４ ９ ２ 期）
对全面风险管理与内部控制相融合的探讨
曹江涛
（ 陕西华燕航空仪表有 限公司 ， 陕西 汉中 ７ ２ ３ １ ０ ２ ） 摘 要： 在体制上全 面风 险管理与 内部控制分 别 由国务院 国资委和 财政 部提 出， 并在 国有企业 中广泛实施 ， 全 面风
中图 分 类 号 ： Ｆ ２ ７ ５ 文 献标 志码 ： Ａ 文章 编 号 ： １ ０ ０ ０ — ８ ７ ７ ２ （ ２ ０ １ ５ ） １ ０ — ０ １ ７ ９ — ０ ２
全面风 险管理是 国务院国资委提 出并推行的。全面风险管 理是通过一定 的方式识别出企业所有的风险 ， 然后依据一定 的 标准对识别出 的风险进行排序 ， 寻找 出企业应 当重点关注 的风 险， 再根据 风险的属性采取相应 的应对方案予 以防范风 险。其
险管理与 内部控制在管控思想理念、 方式方法等方面是相似或相 同的。但 由于分别有 同的 国家部分主抓 ， 从 而形成 了在 企业 内部也会 又不同的单位和人 员来分别从事全 面风 险管理和 内部控制 管理 ， 造成 了企业 内部机构设置繁 冗、 业务 交叉
重复等现象。因此研究全面风险管理 与 内部控制相融合 非常必要 。 关键词 ： 全 面风险管理 ； 内部控制 ； 融合
一
二、 管理语言的融合统一
在两个 体系融合过 程 中建立统 一的风 险控制语 言非 常重 要， 有利于管理 中信息 的传递 和管理行 为的一致性 ， 避免 概念 含糊不清导致的管理混乱 。 统一语言的原则是既可 以保证语言 的一致 ， 也要保证 两个体系 的全 面融合 ， 避免融 合过程 中失去 内控的对风险管理 的辅助优势 。 需要统一的语言首要 的是对风险的名称定义方式 ， 全 面风 险管理与内部控制对风 险名称的定义办法完全不 同。 在全面风 险管理 中 ， 对具 体风险事件 的名称没有统 一规范 ， 均采取 描述
发生或者将其控制在最小范围。 内部控制是财政部提出并推行 的。内部控制是依据一定的 标准对企业 的流程进行审理 ， 找出缺陷然后改 进缺 陷 ， 以防止 风险 的发生。 可 以看 出全面风险管理与 内部控制在管控思想理念 、 方式 方法等方 面是 相似或相 同的 ， 但是在管理 推进 过程 中 ， 全 面风 险管理与 内部控制形成 了各 自的体系 ，并在企业 中并行开展 。 这样 的做法在初期对于推动该两项项管理活动有很大帮助 ， 但 是也造成 了企业 内部机构设置繁冗 、 业 务交叉重 复、 推诿扯皮 、 资源浪费等 问题 的出现 。因此 ， 研究 风险管理 与内部控制 的融 合具有很现实的价值 。