管理风险与应对措施

内部控制与风险管理密不可分。风险管理是内部控制的核心，也是内部控制的目标，内部控制是管理风险的一种手段。因此在理解内部控制之前，首先要弄清楚企业有哪些风险，哪些是可以通过内部控制防范的，哪些是通过其他手段防范的。

首先，企业风险分类。

风险分类的方式有很多，跟内部控制联系在一起，可以把风险分为两大类：可控风险与不可控风险。不可控风险主要包括政策变更、自然灾害、宏观经济变化等。可控风险主要包括企业运营层面的风险。内部控制一般来讲控制的是可控的风险，即运营层面的风险。从这里也可以看到，企业全面风险管理讲的是针对所有风险的管理，而内部控制讲的是针对可控风险的管理，这是内部控制与风险管理的区别和联系。

其次，内部控制的目标。广义的风险是中性的概念，它既有可能给企业带来损失，也有可能给企业带来收益。因此，企业采取内部控制措施的时候，还需要把可控风险再进一步分类。有的风险发生后，只能带来损失，因此这类风险就称之为“危害性风险”，比如煤矿坍塌、化工厂爆炸等。对于这类风险，内部控制的目标就是“尽最大努力杜绝风险”，彻底消除这类风险。因此这类内部控制的方案、手段比较复杂，成本很高。

有时候，企业在做内部控制方案的时候，会考虑成本与收益的问题。比如某类风险发生后带来的损失很少，但是采取控制措施的成本很高，可能企业觉得不划算，干脆就任由风险发生。我的观点是，千里之堤毁于蚁穴，企业的风险都不是孤立的，尽管某个风险表面上带来的损失很小，但是这个风险很有可能关联到其他方面，这种潜在的影响有时候是无法估量的，或者说在当时是无法预料的。因此，既然已经看到了风险，就必须想办法控制，不留任何隐患。

继续。还有的风险既有可能带来收益，也有可能带来损失，比如企业研发某项技术，研发成功就能带来巨大收益，研发失败就会导致前期投入打水漂。再比如企业营销广告，打广告有可能带来业绩增长，也有可能没有效果。这类风险就是“不确定性的风险”。还有一类风险，叫做“投机性风险”，它的特点就是企业主动去承受一定风险，获取一定的收益，比如企业做一些投资项目。这也属于不确定性的风险，不过它对企业来说更有诱惑，被高收益所诱惑。风险与收益是恋生兄弟，高风险高收益。对于不确定性的风险，内部控制的目标就是“积极管理”，使之往好的方向发展。

最后，内部控制如何去做？明白了内部控制与风险的关系及内部控制的目标，就要采取一些措施去实现目标。说到内部控制的实施，书上讲了“五要素”，特别经典的说法。这里无可厚非，五要素已经非常全面的把内部控制的流程概括好了（我一般是对管理学教材的观点进行批判的，但是这里没得黑，五要素确实是全面）。其实，按照五要素的要求，中规中矩的做风险管理，没错。在面对风险的时候，保持一颗敬畏的心，还是非常有必要的。根据我的理解，简单介绍一下五要素如何去实施。

第一，内部环境。不管做什么事，一个有利的环境是必须的。内控的核心是制衡，就叫做令行禁止吧。古代行军打仗之前，都会颁布几项纪律。我们有三大纪律八项注意。这就是塑造一种氛围，让大家听话，这样以后再下达什么命令就容易执行了。如果一开始就一盘散沙，后面就控制不了局面了。内部环境就是要塑造一种纪律性的氛围。各个管理机构、部门都要明确自己的职责，权力恰当分配，一切行动听指挥。

第二，风险评估。包括识别风险、评估风险的影响、采用哪种应对方案。同时企业应该针对某项风险设置一个可承受度。为什么呢，因为上面提到过，风险与收益平衡，一点都不想承担风险，那么收益就没有了。