風險管理起源于20世紀50年代，西方學者將風險管理作為一門管理學科正式引入學術研究領域。初期的風險管理僅對個體風險在不同領域或不同體系內分類研究，未能形成系統性的認知和體系化的建設。在我國，關于風險管理的研究起步較晚，早期處于理論的、單一的研究階段，企業風險防范意識薄弱，風險應對能力不足，缺少管理制度的支撐和信息化建設的投入，忽略了內外部環境對企業造成的系統性傷害，導致企業無法做出有效的應對決策。分析風險管理與內部控制理論體系，積極探索或優化公司治理結構，成為增強企業競爭的軟實力。一、風險管理與內部控制的關系（一）風險管理是內部控制的方向引導企業風險管理指企業為實現風險管理目標，對風險進行有效識別、分析、預警和應對等管理活動。企業可以根據風險的來源、影響、性質和責任主體不同，建立符合企業管理需要的和適合企業發展的風險管理防范模式，對已發生的風險事件、損失進行分析，從戰略、財務、市場、運營、法律與合規等方面進行定性和定量分析，將風險控制在可控、可承受范圍內，最大限度地規避、降低或減少風險造成的損失。風險管理相對于內部控制，在可行性研究或市場調研時更早的介入到企業設計當中，融入企業戰略規劃、經營管理、財務管理等業務活動，達到風險管理與內部控制相一致的根本目的。因此，風險管理對內部控制具有方向性引導。（二）內部控制是風險管理的有力支撐內部控制是全員參與，旨在實現控制目標的過程，是企業建立和實施規范管理，合理保證企業合法合規經營的管控手段，以科學的職責分工和有效的制衡機制將關鍵控制點和控制措施結合，落實責任并有效監督評價的重要管理保證。加強內部控制的原動力來自企業內部，雖然沒有統一的模式，但良好的企業文化氛圍和組織結構有利于內部環境的完善，授權管理、合同審查、往來對賬、采購機制等內部控制手段的有效實施為風險管理提供有力支撐。二、企業內部控制與風險管理的現狀（一）風險管理體系不健全1．風險管理意識薄弱我國經濟近年來發展規模與速度位居世界前列，重視經營的同時對風險認識卻不到位，風險意識薄弱。首先，管理者未將風險管理納入企業戰略規劃，缺少對風險識別和判斷，缺少面臨風險的心理準備和措施應對；其次，風險與機遇并存，當風險伴隨機遇來一并來臨時，不能預估其產生的效應，無法用科學的方法判斷，進而導致錯失機會。企業有必要培養風險意識，將利益與風險權衡，制定合理的有利于企業發展的戰略決策。2．風險管理制度不健全風險管理在企業中流于領導口頭和書面表述，缺少制度化、規范化。制度不健全集中表現在籌融資決策、投資決策、擔保業務、套期保值等方面業務。制度建設對風險管理起到指引作用。企業應當在風險監測預警、應急處理、風險決策關鍵環節先建立起基礎制度，逐步推進、完善、落實。3．缺少風險管理信息化構建企業短期內對風險管理的信息化構建投入不能帶來現實的經濟利益流入，因此風險管理的信息化構建處于落后或停滯狀態。沒有設立專門的風險監管機構，人員缺乏統一認識，對風險敏感度不足，對風險責任不明確，缺少對風險持續跟蹤、監控和反饋，間歇性風險管理造成缺少風險指標的監測、預警基礎數據的支撐，無法從系統中進行標準設定和偏離值預警，更無法得到有效分析和評估。故風險管理需要長期、系統、專業的信息化建設，完善公司治理結構。（二）內部控制管理現狀1．內部控制機構不健全，制度不完善內部控制是現代企業的重要組成部分，實際工作中內控環境存在監事會、董事會等職責權限弱化現象。以董事會為核心的管理責任，以監事會為核心的監督責任未真正發揮職能，控股權與經營權未實質分離，委托代理關系難以發揮作用，企業管理者多依賴于上級部門的文件和規定，缺少委托代理或職業經理人的專用判斷力。企業管理缺少基層員工參與，民主意識淡化職責權限不清導致企業內控制度不完善，由下到上的執行力不夠。內控制度過于粗放，缺乏考核和激勵機制，難以調動內控實施積極性。2．內部控制監管滯后，缺乏獨立性一方面，內部控制管理涵蓋預算管理、投資管理、生產管理、營銷管理、財務管理、人力管理等諸多方面，而大多數企業內控監管與日常業務存在脫節現象，往往在內控審計部門審計或檢查時管理層才能關注、重視內部控制問題。重經營，輕管理，忽視內部控制管理的重要性，缺少事前介入和連續的監管，造成內部控制管理缺乏連貫性、完整性、精準性。另一方面，內部控制監管部門獨立性有待加強。對于其他職能部門而言，獨立、客觀、公正的評價，專業的分析能力，不與任何職能部門產生信息、數據的舞弊行為是監管部門的工作職責。在監督實施過程中或多或少受到來自上級領導、同級部門的干擾，人為干擾監管部門意見的獨立性。3．內部控制守舊，缺少激勵機制企業管理不斷優化、創新，內部控制不應墨守成規。激勵機制作為內部控制考核評價的一部分，在于調動人為主動性，達到促進企業目標實現的手段。人，作為企業活動主導因素，與經營者政治文化素質、專業技能水平、法律意識等息息相關，激勵關系中不論是激勵者，還是被激勵者，落實重點在于激勵計劃的制定和執行。缺少內部激勵的企業，突出表現在人才流失、研發能力薄弱、業績下滑、工作積極性下降。部分上市公司和國內知名企業將激勵機制在內部控制中應用，激發了公司內部活力和潛力，取得超出預期的效果，其經驗值得我們學習和研究。因此，固守監管職責無法調動員工的積極性，納入激勵機制才能激發企業活力。（三）缺少專業化人才培養風險管理與內部控制涵蓋范圍既有重疊又有不同，風險管理需要的是綜合性的、可擴展的多方面人才，涉及專業更具多樣性。本質上，風險管理是內部控制的外延，內部控制是風險管理有效性的補充，管理目的相同但審視角度不同，需要具有豐富的工作經驗，專業的判斷能力以及多領域業務知識支撐。理論的充實不代表實際工作合理應用，就目前現狀而言，實際工作中缺乏風險管理和內部控制的專業人士，需要關注專業化人才的培養。三、風險管理與內部控制應對策略（一）建立風險管理體系1．建立統一的風險管理理念在現代風險管理理念中，學者們以美國COSO委員會和GARP組織提出全面風險管理框架為基礎，開展風險管理體系研究。通過風險矩陣分析提供可視化風險等級，經過定量技術（概率和非概率風險模型）風險量化，將風險描述與關鍵指標聯系，避免主觀判斷偏差，將風險管理意識、風險管理理念融入日常業務，從而形成良好的風險管理環境，增強風險管理意識，促使企業整體、團隊、個人在風險管理價值觀上的趨同，避免風險策略的激進或保守，合理保證風險管理目標的一致性。2．建立風險管理組織體系全面風險管理的必要條件是明確組織架構和職責。組織架構中，公司業務部門和職能部門作為風險管理的基礎建設，需貫徹公司制度的有效執行，完善簽字審批流程；風險管理職能部門應認真審核流程必要的環節的把控，形成完整業務流程；內控審計部門和法律事務部門根據企業自身經營和管理需求出發，從監督、制衡方面保持其評價獨立性，將日常監督與專項監督有機結合，定期進行自我評價，形成目標設定、風險識別、風險分析、風險應對、風險監控、信息溝通和報告、風險管理考核和評價的完整組織體系。3．建立風險管理制度企業應當對風險管理制度實行分級管理，堅持全面性原則、審慎性原則、獨立性原則、有效性原則、適應性原則。引入戰略分析PESTEL分析法，從政治、經濟、社會、科技、生態、法律等方面，綜合分析固有風險和剩余風險，通過計算風險敞口及歷史對比，制定科學的風險應對策略，達到分擔、降低、轉移的目的。4．加強風險管理信息共享通過研究風險管理理論，分析風險管理現狀，發現要提高風險管理效率和質量，必須進行風險數據化采集和標準化制定，注重并參考歷史數據，加強信息質量、溝通機制、信息反饋。借助網絡媒體獲取外部有效信息，加以篩選和整合，形成企業信息集成與共享，提高全員風險防范意識。（二）完善內部控制管理機制1．優化內部控制環境內部環境是企業實施內部控制的基礎。根據國家有關法律法規，建立規范的治理結構，明確的職責分工，嚴謹的授權審批制度，“三重一大”的集體決策制度執行，都是為了建立規范的內控環境。企業應結合業務特點設置內部機構，明確職權范圍，實現不相容職務分離。企業應制定合理的授權審批制度，冗長無效的審批流程浪費企業資源。企業應當對各部門業務活動加強關鍵崗位、關鍵環節控制，如：梳理采購流程，建立靈活多樣的采購招投標和定價機制；合理決策投融資和資金調度，防止決策不當造成資金鏈斷裂，加強合同雙方資質審查和履約能力審查等。企業應當加強對財政法規政策的掌握，加強對經營財務風險管理的敏感度，發揮內部控制在企業中作用。優化內部環境，使企業客觀評價現實狀況，合理預測未來趨勢，避免因主觀的判斷錯誤導致企業失去方向。2．健全考評和激勵制度在企業組織體系中，監督、考核、評價、激勵的目的是為企業內部控制有效性服務。通過監督，加強業務流程的授權審批，不相容職務分離，優化資產配置；通過考核，定期開展因素分析、對比分析、趨勢分析，發現運營中存在的問題；通過評價，分析預算執行授權和指標落實，監督預算執行過程，完善獎懲考核；通過激勵，激發員工工作創新力，吸引高質量人才隊伍加入，提高企業研發創新能力，激活企業發展內驅動力。健全考評和激勵制度，有利于創造良好的企業文化。3．持續加強人才培養與信息化建設風險管理與內部控制并不是獨立體系的存在，與財務管理、人力資源、信息中心、企業文化共同組成企業的治理結構。人才的培養需要各領域人員的相互配合，需要各領域之間的相互協調，人才的專業是以縱向審視視角，從風險管理或內部控制的專業角度分析問題，但人才又是橫向跨專業的，需要具備不同領域知識儲備才能更好完成專業問題，所以企業需要加強人才培養。當今社會，信息技術的應用有利于提升工作效率和管理水平。在風險管理和內部控制中，信息數據分析已經成為常態化。要將風險與內控需求轉化為信息語言、立體模型、圖表數據、趨勢演變等，實現數據連通的協同效應，需要不斷進行信息化“硬設備”的建設和人員“軟設備”的建設。（三）內部控制與風險管理的銜接與融合在內部控制與風險管理的研究上，一直存在“等同論”“區別論”“并行不悖論”的觀點，隨著理論的實踐與應用可以發現，高質量的內部控制對企業管理形成有效的權力監督和制衡，幫助企業構建良好的公司治理環境，更好地完成企業發展戰略目標與經營目標。完善的內部控制能夠降低風險發生的概率，風險管理中識別、分析幫助企業清楚認識面臨危機，從而采取措施進行風險“降解”，二者目標一致。內部控制的過程管控，對內部缺陷的評價與整改，幫助管理者正確認識不足，監督約束管理行為，有效解決