­一、从 “安然事件” 说起

在 2001 年，美国能源界曾经的巨头 —— 安然公司，突然宣布破产，这个消息瞬间震惊了全世界。曾经，安然可是连续六年被《财富》杂志评为 “美国最具创新精神公司”，在 2000 年的时候，其披露的营业额高达 1010 亿美元，总资产也有 620 亿美元，业务遍布 40 多个国家和地区，雇员超过 2 万 ，是世界上最大的能源、商品和服务公司之一。谁能想到，这样一个商业巨擘，会在短短时间内轰然倒塌。

安然的倒下，正是因为缺乏有效的内控与风险管理。为了追求业绩，管理层采用了复杂的会计手段，将债务隐藏在资产负债表外，虚构利润。董事会和审计委员会也没有起到应有的监督作用，对管理层的行为听之任之。而在风险管理方面，安然过度依赖能源市场的繁荣，没有对市场风险、信用风险等进行有效的评估和应对。当能源市场出现波动时，安然的资金链断裂，财务造假的问题也随之暴露，最终导致了公司的破产。

安然公司的破产，让无数投资者血本无归，员工们也失去了工作，就连为其审计的安达信会计师事务所，这个曾经的行业巨头，也因为在安然审计中存在严重失职，最终倒闭。这一事件也引发了美国政府对上市公司监管的全面反思，直接促成了《萨班斯 - 奥克斯利法案》的出台，旨在加强对上市公司的监管，提高公司治理和内部控制的标准。

安然事件就像一个醒目的警示灯，它让我们看到，不管企业曾经多么辉煌，一旦内控与风险管理出现问题，就如同在沙滩上建高楼，随时都有崩塌的危险 。对于企业来说，内控与风险管理绝对不是可有可无的东西，而是关乎生死存亡的关键因素。

二、内控与风险管理：概念大揭秘

在了解了内控与风险管理的重要性后，我们先来深入剖析一下它们各自的概念。

内部控制：企业运营的 “稳定器”

内部控制，简单来说，是指由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。它就像是企业内部的一套 “自律系统”，从各个层面规范企业的运营。

内部控制的目标主要有五个方面。首先是保证企业经营管理合法合规，确保企业在法律的框架内运行，避免因违法违规而遭受处罚。比如，企业的财务活动必须遵守会计准则和税收法规，不能偷税漏税，也不能做假账。其次是保证资产安全，防止资产流失、被盗用或损坏。以企业的库存管理为例，要通过定期盘点、限制接触等措施，确保库存物资的数量和价值准确无误。再者是保证财务报告及相关信息真实完整，为企业的决策提供可靠的数据支持。一份虚假的财务报告可能会误导管理层的决策，给企业带来巨大损失。然后是提高经营效率和效果，通过优化流程、减少浪费，让企业的运营更加顺畅。最后是促进企业实现发展战略，内部控制要与企业的战略目标相契合，为战略的实施保驾护航。

内部控制由五个要素构成。内部环境是基础，它包括企业的治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化等。良好的内部环境就像肥沃的土壤，为内部控制的有效实施提供了适宜的氛围。风险评估是重要环节，企业要及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略。比如，当企业计划推出一款新产品时，要评估市场需求、竞争对手、技术可行性等方面的风险。控制活动是具体方式，企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，常见的控制措施有不相容职务分离控制、授权审批控制、会计系统控制等。信息与沟通是重要条件，企业要建立信息与沟通制度，确保信息及时沟通，促进内部控制有效运行。内部监督是重要保证，企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，及时加以改进 。

风险管理：应对不确定性的 “盾牌”

风险管理，则是指企业为实现风险管理目标，对风险进行有效识别、分析、预警和应对等管理活动的过程 。它关注的是企业面临的各种不确定性，目的是将风险可能造成的不良影响减至最低。

风险管理的流程主要包括以下几个步骤。首先是风险识别，确定可能对企业产生负面影响的潜在风险，这些风险可以来自市场变化、技术发展、法规变更、自然灾害等多个方面。比如，一家服装企业，可能面临原材料价格波动、时尚潮流变化、消费者需求转变等风险。其次是风险评估，通过分析风险的概率和影响程度来确定其严重性和优先级，通常使用风险矩阵等工具来量化风险。对于服装企业来说，原材料价格大幅上涨的可能性较小，但一旦发生，对成本的影响可能很大，就需要重点关注。然后是风险应对，根据风险评估的结果，制定并执行应对策略，常见的应对策略有风险规避、降低、转移和接受。比如，企业可以通过与供应商签订长期合同来规避原材料价格波动风险；通过加强市场调研、提高产品设计能力来降低时尚潮流变化带来的风险；通过购买保险来转移自然灾害等不可抗力风险；对于一些影响较小的风险，可以选择接受。风险监控与审计也是重要环节，风险管理并非一次性的工作，需要持续监控和审计，确保风险管理策略的有效性，并及时调整以适应新的风险或变化。风险沟通与报告也不容忽视，要向利益相关者传达风险信息，包括风险的性质、影响和应对措施，让大家对风险有清晰的认识，共同参与风险管理 。

风险管理的方法多种多样，有定性分析方法，如问卷调查、集体讨论、专家咨询等，通过这些方法可以获取更多的信息和意见，对风险进行初步的判断。也有定量分析方法，如统计推论法、马尔科夫分析法等，通过数据模型和统计分析，更精确地评估风险的可能性和影响程度。在实际应用中，通常会将定性和定量方法相结合，以更全面、准确地管理风险 。

三、二者关系：相辅相成的 “黄金搭档”

内部控制和风险管理，虽然概念不同，但在企业管理中，它们就像一对配合默契的 “黄金搭档”，紧密相连，相互影响。

（一）目的一致：保障企业稳健前行

内部控制和风险管理的最终目的，都是为了保障企业目标的实现。企业的目标多种多样，包括战略目标、经营目标、报告目标和合规目标等。内部控制通过确保企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，来促进企业实现这些目标。风险管理则是通过对风险的有效识别、评估和应对，将风险控制在企业可承受的范围内，为企业目标的实现提供保障 。

从投资者的角度来看，他们把资金投入企业，是希望企业能够稳健发展，实现盈利，从而获得回报。内部控制和风险管理能够有效保护投资者的利益，让投资者对企业的运营和发展有信心。比如，通过有效的内部控制，企业能够保证财务信息的真实性和准确性，投资者可以根据这些可靠的信息做出合理的投资决策。而风险管理可以帮助企业提前识别和应对可能影响企业价值的风险，减少潜在的损失，保障投资者的资产安全 。

以一家上市公司为例，其内部控制体系确保了公司的财务报表真实可靠，及时准确地向投资者披露了公司的经营状况和财务信息。同时，风险管理部门对市场风险、信用风险等进行了有效的评估和应对，使得公司在市场波动中能够保持稳定的经营业绩。这样一来，投资者对公司的信心增强，愿意长期持有公司的股票，为公司的发展提供了稳定的资金支持 。

（二）性质相近：动态管理进行时

内部控制和风险管理都不是一蹴而就的静态工作，而是一个持续的、动态的管理过程。它们不是在某个特定时间点完成就结束了，而是贯穿于企业运营的始终，随着企业内外部环境的变化而不断调整和完善 。

在时间维度上，它们具有周期性。企业需要定期对内部控制和风险管理进行评估和改进，以适应不同阶段的发展需求。例如，每到财务年度结束时，企业会对内部控制进行全面的审计和评价，检查各项控制措施的执行情况，发现存在的问题并及时整改。同时，也会对过去一年面临的风险进行总结和分析，评估风险管理策略的有效性，为下一年的风险管理工作提供经验和参考 。

从过程来看，它们具有连续性。内部控制的各项控制活动是一个相互关联的有机整体，从风险评估到控制措施的制定和执行，再到信息与沟通以及内部监督，各个环节紧密相连，形成一个闭环。风险管理也是如此，从风险识别开始，到风险评估、风险应对，再到风险监控，是一个不断循环的过程。在这个过程中，企业需要持续关注风险的变化，及时调整风险管理策略，确保风险始终处于可控状态 。

以一家制造企业为例，在生产过程中，内部控制通过对原材料采购、生产流程、产品质量检验等环节的控制，确保生产活动的顺利进行，保证产品质量符合标准。同时，风险管理会对原材料价格波动、市场需求变化、生产设备故障等风险进行持续的监控和评估。一旦发现风险发生变化，比如原材料价格大幅上涨，企业会及时调整采购策略，寻找新的供应商或者签订长期合同，以降低成本风险。这种动态的管理过程，能够使企业在不断变化的市场环境中保持竞争力 。

（三）相互支撑：构建稳固防线

内部控制为风险管理提供了基础支撑。有效的内部控制能够规范企业的各项业务流程，明确各部门和人员的职责权限，减少内部管理的混乱和漏洞，从而降低企业面临的风险。例如，通过不相容职务分离控制，可以防止员工舞弊和欺诈行为的发生；通过授权审批控制，可以确保企业的各项决策和业务活动经过合理的审批，避免盲目决策带来的风险 。

风险管理也为内部控制提供了依据和便利。风险评估是内部控制的重要组成部分，通过对风险的识别和评估，企业可以确定哪些环节是关键风险点，从而有针对性地制定内部控制措施。同时，风险管理的方法和工具，如风险矩阵、蒙特卡罗模拟等，也可以为内部控制提供技术支持，帮助企业更好地评估和应对风险 。

以一家金融机构为例，其内部控制体系通过建立严格的信贷审批流程、风险管理制度和内部审计机制，确保了信贷业务的合规性和风险可控性。在风险管理方面，通过对市场风险、信用风险、操作风险等进行全面的评估和监测，为内部控制提供了明确的风险导向。例如，当风险管理部门发现某一行业的信用风险上升时，内部控制部门会及时调整信贷政策，加强对该行业贷款的审批和监控，提高贷款的质量和安全性 。

四、企业实例：成败皆因内控与风险管理

（一）成功案例：华为的稳健之道

华为，作为全球知名的通信科技企业，在内部控制和风险管理方面堪称典范。

在内部控制上，华为建立了一套完善且细致的流程体系。它以客户为中心，采用端到端的原则，对公司的业务流程进行了全面梳理和优化。从产品研发、生产制造，到市场营销、售后服务，每一个环节都有明确的流程和规范。以集成产品开发流程（IPD）为例，它将客户需求贯穿于研发全过程，从市场调研、需求分析、产品设计、产品开发、产品测试到产品上市，每个阶段都有严格的评审和把关，确保产品能够满足客户的需求，同时也提高了研发效率，降低了研发风险。

华为的流程体系采用分层设计，一般分为多个层级（如 L1 - L6） ，每个层级都有其特定的功能和重要性。这种分层设计有助于从宏观到微观、从战略到执行全面覆盖公司的各项业务活动。同时，华为还注重流程之间的集成和协同，确保各项业务流程能够顺畅衔接，形成闭环管理。在生产环节，生产流程与采购流程、物流流程紧密配合，保证原材料的及时供应和产品的按时交付，避免了因流程不畅导致的生产延误和成本增加。

在风险管理方面，华为建立了敏锐的风险预警机制。它密切关注全球政治、经济、技术等方面的动态，提前识别潜在的风险。比如，华为在拓展海外市场时，会对目标国家的政治局势、政策法规、市场需求等进行深入的调研和分析。当美国对华为实施制裁时，华为凭借其提前建立的风险预警机制，早有准备，迅速调整战略，加大在芯片研发、操作系统等核心技术领域的投入，努力实现技术自主可控，降低了制裁带来的负面影响。

华为还制定了全面的风险应对策略。对于市场风险，华为通过不断创新，推出差异化的产品和服务，提高市场竞争力；对于技术风险，华为加大研发投入，培养和吸引优秀的技术人才，加强与高校、科研机构的合作，保持技术领先地位；对于供应链风险，华为积极拓展供应链渠道，与多家供应商建立长期稳定的合作关系，确保原材料的稳定供应。

这些内部控制和风险管理措施，为华为的稳健发展奠定了坚实的基础。即使面对美国的极限施压与围追堵截，华为依然能够实现经营业绩的增长，在全球通信市场中保持领先地位。2020 年上半年，华为实现销售收入 4540 亿元人民币，同比增长 13.1% ，净利润率高达 9.2% 。这一成绩的取得，离不开其有效的内控与风险管理策略。

（二）失败案例：诺基亚的衰落之殇

曾经的手机巨头诺基亚，在智能手机时代的衰落，正是忽视内控与风险管理的惨痛教训。

在战略决策上，诺基亚未能及时洞察市场趋势的变化，对智能手机市场的崛起反应迟缓。当苹果公司推出具有革命性的 iPhone，谷歌公司大力发展安卓系统时，诺基亚仍然坚守传统的塞班操作系统，没有及时调整战略方向，错过了转型的最佳时机。这种对市场风险的忽视，使得诺基亚在智能手机市场的竞争中逐渐处于劣势。

诺基亚的内部控制也存在诸多问题。其组织结构庞大，层级复杂，决策过程缓慢，导致无法快速适应市场变化和采取有效措施应对竞争。内部创新受到阻碍，管理层的守旧思想使得许多创新想法被忽略或搁置，无法得到有效实施。在设计和营销方面，诺基亚过于关注产品的硬件和功能，而忽视了用户体验和设计，市场营销也缺乏创新，没有像苹果公司一样在营销和品牌方面投入大量资金和精力。

在资源投入上，诺基亚出现了严重的错误选择。在智能手机时代的早期，大量资源仍被投入到传统的手机制造业务中，而忽略了新兴的智能手机市场。这使得诺基亚在技术发展上滞后，对于触摸屏、应用生态和互联网等新技术的反应过于迟缓，在智能手机市场上的竞争力大幅下降，无法与苹果和三星等竞争对手抗衡。

随着市场份额的不断下降，诺基亚的财务状况也逐渐恶化，最终被市场淘汰。从曾经占据全球手机市场近一半的份额，到如今在智能手机市场几乎销声匿迹，诺基亚的衰落令人惋惜，也为其他企业敲响了警钟：忽视内控与风险管理，企业必将在激烈的市场竞争中面临巨大的生存危机。

五、企业如何搭建有效的内控与风险管理体系

（一）树立正确理念：全员参与是关键

企业要搭建有效的内控与风险管理体系，首先要树立全员参与的理念。内控与风险管理不是某个部门或某几个人的责任，而是涉及企业的各个层面和全体员工。从高层管理者到基层员工，每个人都在其中扮演着重要的角色。

高层管理者要发挥引领作用，将内控与风险管理融入企业的战略规划和日常决策中。他们的重视程度和态度，会直接影响到整个企业对内控与风险管理的认知和执行力度。以华为为例，华为的管理层高度重视内控与风险管理，将其视为企业生存和发展的基石。在制定企业战略时，充分考虑各种风险因素，确保战略的可行性和可持续性。同时，积极推动内控与风险管理理念在企业内部的传播，营造了良好的风险管理文化氛围。

基层员工是企业业务的直接执行者，他们的每一个操作都可能涉及到风险。因此，要加强对基层员工的培训和教育，提高他们的风险意识和合规意识。比如，在银行等金融机构，柜员在办理业务时，需要严格遵守操作流程，识别和防范各种风险，如客户身份识别风险、资金交易风险等。通过培训，让员工了解业务中的风险点和控制措施，能够在日常工作中自觉地进行风险控制 。

（二）建立健全制度：流程规范是核心

建立健全内部控制制度和风险管理流程是搭建有效体系的核心。企业要明确各部门和人员的职责权限，避免职责不清导致的管理混乱和风险隐患。以一家制造企业为例，在采购环节，要明确采购部门、质量检验部门、财务部门等的职责。采购部门负责寻找供应商、洽谈采购合同；质量检验部门负责对采购的原材料进行质量检验；财务部门负责审核采购资金的支付。各部门之间相互协作、相互制约，确保采购流程的合规性和风险可控性 。

规范业务流程也是至关重要的。企业要对各项业务进行全面梳理，找出可能存在风险的环节，制定相应的控制措施。比如，在销售流程中，从客户开发、合同签订、产品交付到货款回收，每个环节都要制定详细的流程和标准。在合同签订环节，要对合同条款进行严格审核，确保合同的合法性、完整性和有效性，避免因合同漏洞带来的法律风险和经济损失 。

（三）运用科学工具：技术赋能更高效

在风险管理中，运用科学的工具和技术可以提高管理的效率和准确性。风险矩阵是一种常用的风险评估工具，它通过将风险的可能性和影响程度进行量化，将风险分为不同的等级，帮助企业快速识别出关键风险因素。企业可以根据风险矩阵的结果，制定相应的风险管理策略，优先处理高风险的事项 。

层次分析法也是一种有效的多准则决策分析方法，它可以帮助企业在面临多个决策准则时，选择最优的决策。在风险管理中，当企业需要评估多个风险因素的重要性时，可以运用层次分析法，将复杂的问题分解为多个层次，通过比较各个层次的重要性，确定风险的优先级 。

随着信息技术的发展，大数据、人工智能等技术也为内控与风险管理提供了新的手段。通过大数据分析，企业可以收集和分析海量的业务数据，挖掘潜在的风险信息。例如，电商企业可以通过分析用户的购买行为数据、交易数据等，识别出异常交易，防范欺诈风险。人工智能技术可以实现风险的实时监测和预警，当风险指标达到设定的阈值时，系统自动发出预警信号，提醒企业及时采取措施 。

（四）持续监督改进：动态优化保实效

内控与风险管理体系不是一成不变的，企业需要对其进行持续监督和改进，以适应不断变化的内外部环境。定期评估是持续监督的重要手段，企业可以每年或每季度对内控与风险管理体系进行全面评估，检查各项制度和流程的执行情况，发现存在的问题和不足 。

建立反馈机制也非常关键。企业要鼓励员工积极反馈在工作中发现的风险问题和改进建议，及时对体系进行优化。例如，在一家企业中，员工发现某项业务流程存在繁琐和效率低下的问题，同时也存在一定的风险隐患。通过反馈机制，企业管理层及时了解到这一情况，对业务流程进行了优化，不仅提高了工作效率，也降低了风险 。

通过持续监督和改进，企业能够不断完善内控与风险管理体系，使其始终保持有效性，为企业的稳健发展提供有力保障。

六、总结与展望

内控与风险管理，是企业稳健发展的基石，是应对市场风云变幻的有力武器。它们贯穿于企业运营的每一个环节，从战略规划的制定，到日常业务的开展，再到财务报表的呈现，都离不开它们的保驾护航。

有效的内控与风险管理，能够帮助企业提高经营效率，降低成本，保障资产安全，确保财务信息的真实可靠，增强企业的竞争力。在面对复杂多变的市场环境时，能够及时识别和应对风险，避免企业陷入困境。正如华为，凭借卓越的内控与风险管理体系，在全球通信市场中屹立不倒，不断创新发展。

然而，内控与风险管理并非一蹴而就，也不是一劳永逸的。企业需要不断地强化全员的风险意识和内控理念，建立健全完善的制度和流程，运用科学的工具和技术，持续监督和改进体系的运行。同时，要紧跟时代的步伐，适应市场的变化，不断调整和优化内控与风险管理策略。

在未来，随着经济全球化的深入发展，市场竞争将更加激烈，企业面临的风险也将更加复杂多样。无论是宏观经济形势的波动、政策法规的变化，还是技术创新的冲击、市场需求的转变，都可能给企业带来新的挑战。因此，企业必须高度重视内控与风险管理，将其作为企业发展的核心任务之一。只有这样，企业才能在激烈的市场竞争中立于不败之地，实现可持续发展的目标。

希望每一位企业管理者，都能深刻认识到内控与风险管理的重要性，积极行动起来，打造坚实的内控与风险管理防线，为企业的发展创造更加美好的未来。让我们一起，以稳健的姿态，迎接市场的挑战，书写企业发展的辉煌篇章！