内部控制与风险管理密不可分。风险管理是内部控制的核心,也是内部控制的目标,内部控制是管理风险的一种手段。因此在理解内部控制之前,首先要弄清楚企业有哪些风险,哪些是可以通过内部控制防范的,哪些是通过其他手段防范的。
首先,企业风险分类。
风险分类的方式有很多,跟内部控制联系在一起,可以把风险分为两大类:可控风险与不可控风险。不可控风险主要包括政策变更、自然灾害、宏观经济变化等。可控风险主要包括企业运营层面的风险。
内部控制一般来讲控制的是可控的风险,即运营层面的风险。
从这里也可以看到,企业全面风险管理讲的是针对所有风险的管理,而内部控制讲的是针对可控风险的管理,这是内部控制与风险管理的区别和联系。
其次,内部控制的目标。
广义的风险是中性的概念,它既有可能给企业带来损失,也有可能给企业带来收益。因此,企业采取内部控制措施的时候,还需要把可控风险再进一步分类。