前面我们用了两篇文章来介绍企业内部控制体系的发展脉络，为今天这篇文章算是打了个基础。过去这些年，无论在理论界还是企业界，对于关于企业风险管理和内部控制之间的关系争论了好多年。多种说法都出现过，比如：企业风险管理包含内部控制；有的说企业内部控制包含风险管理；还有的说企业风险管理和内部控制没有关系。

应该说，在这些年的争论过程中大家还是形成了一定的共识。但是，离真正能够说清楚、说明白两者之间的关系还有一定的距离。从企业实践来看，目前存在着很多不同的做法，很多企业因为无法准确区分两者之间的区别与联系，为了方便起见，还是将两者并行放在一起进行“风险管理与内部控制”的整合管理。我碰到很多同仁吐槽遇到过此类苦恼，有领导询问关于两者之间的区别和联系，我们很多从业者却无法给领导一个满意的解释。

这其实不能责怪他们，因为两个体系的纠缠已经延续了十几年、争论了十几年，也确实没有人能够非常清晰的划清两者的边界和相互作用关系。就算前期形成了一定共识，但是面对这两年企业风险管理领域翻天覆地的变化，就更难回答了。我们今天就尝试带大家理一理思路，希望可以给大家带来进一步的思考。

一、国际战场的恩怨起源

前面的文章我们已经谈到，1992年COSO发布的《企业内部控制-整合框架》，作为在全球企业内部控制领域的集大成者，面对21世纪初美国公众企业一系列的财务造假事件，被美国证监会采用作为美国资本市场公众企业的合规框架而名声大噪，同时，也被全球各个国家参考和借鉴形成了本国的企业内部控制管理框架。

COSO风险管理和内部控制的权威文件

但是COSO通过分析这一系列的企业经营失败的案例，发现纯粹从建立和维护一个健全、有效的内部控制体系，还不足以防范这些失败案例的再次发生，因为有些失败的因素超出了内部控制的范畴。所以，COSO考虑需要从更高的层面建立一个体系来指导企业如何能够更好的保护企业价值、实现企业目标。所以，时隔12年之后，2004年COSO发布了《企业风险管理-整合框架》。从名字上可以看出，从企业内部控制到风险管理，COSO的本意表明后者要比前者定位更高一些、范围更广一些，COSO在正式文件中也阐明：企业风险管理包含了内部控制，从两者的框架包含的内容也能得出这样的结论。

通过观察两个体系的框架图，我们可以看出两者何等的相似，显然是同出一门、同宗同源的，这也为日后全球范围的包含与被包含之争埋下了隐患。企业风险管理框架只是在要素和目标层面多出了几个内容，但一眼望去还是那个经典的“立方体”。

实话实说，COSO组织以内部控制框架而全球闻名，而一个以财务、审计为主要背景的5家发起机构组成的COSO，起草企业风险管理领域的文件却不一定是其优势所在，因为从“控制”向“管理”的跨越有可能超出了其驾驭能力。但不管如何，由于COSO在内部控制领域的至高声誉，其随便一个动作就会引起全球的一阵骚动，这也凸显了一个平台的重要性。

在COSO发布其ERM框架之前，其实很早之前全球范围内已经出现了泛风险管理、企业层面风险管理的概念和理念，但是只是在局部和小范围应用和传播，并没有被全面的普及和推广。

我时常想，借助COSO的影响力，2004年COSO的ERM框架确实对企业风险管理理念的广泛传播起到了非常积极的推动意义。但同时，2004年的“立方体”框架如同一个牢笼，也困住了企业风险管理放荡不羁、追求自由的翅膀。

二、中国战场的恩怨起源

国际上战事未结，中国的战役却已打响，而中国战场的发展应该是全球中最离奇、最精彩的那一个。中国企业风险管理实践的全面展开是以2006年国务院国资委发布的《中央企业全面风险管理指引》为标志，而企业内部控制实践的全面展开是以财政部2008年发布的《企业内部控制基本规范》为标志。

从时间线上来看，国际上两个文件的发布中间是经历了12年探索和思考的时间，而中国只用了2年；从顺序上讲，国际上是先发布企业内部控制框架，又发展到的企业风险管理，而中国顺序正好相反。2008年发布的企业内部控制基本规范参考了COSO 1992年的内部控制框架，而2006年发布的企业风险管理框架确实中国自创的一套，这也为这个战场增添了一些新的不确定性。

2006年，我们中国的央企、地方国企和部分大型企业开始风风火火进行企业风险管理体系的建设，如我们之前文章中说的那样，企业内部控制是企业的一套基本功体系，2006年在我们中国企业还未全面强化基本功的情况下，就吃了一粒“十全大补丸”，导致虚火很旺。

风险管理推行了5年之后，2011年开始，中国企业又大规模的进行了企业内部控制体系的建设，这之后又进入了企业风险管理和内部控制的整合阶段，再之后是两个体系和各企业管理子体系的整合阶段。

我们用了极其简洁的几段话描述了中国战场的情况，因为我不想展开说，我相信在企业有过亲身经历这个过程的人看了可能会感慨万千，五味杂陈！超常规发展、颠倒发展带来的经验和教训、惆怅和迷惘让中国企业的这段历史显得格外让人难以忘却。

三、企业风险管理的最新发展，推动了战事走向终结

2017年9月，按照预定时间，COSO组织推迟了一年发布了新版企业风险管理框架，这次的框架的变动如此之大，并没有对原有的框架进行修补，而是直接抛弃了2004年的立方体风险管理框架，挣破了立方体“牢笼”的企业风险管理，又重获自由。新框架强调风险管理不是一项独立的活动，应该和企业管理活动密切融合。

2017年COSO新版企业风险管理框架

而文件中也提及了风险管理和内部控制的关系，为了避免前期混战的持续，厘清双方的关系，这次的风险管理框架中，没有提及任何和控制关于的话题，而将其都留给了内部控制体系，以此算是给两个体系做一个切割，希望双方不再有纷争、西线再无战事。

2018年2月，ISO组织也发布了更新版的ISO31000风险管理标准文件，也有一些新的指导原则和导向的变化。这两份文件我们公众号写过几十篇系列解读，有需要请查看，在此就不展开论述了。

四、企业风险管理和内部控制的七大本质差异点

因为亲历了全程，所以每个阶段都会留有一些思考和体会，回应开头关于业界对于两者的区别和联系，结合最新的理论发展，我们来总结和展望一下两者的本质异同点：

1、执行力度不同

• 内部控制强制性：对于企业内部控制而言，从发展源头上来看，是由外部监管机构强制执行的，特别是针对公众公司，企业内部控制有效性更是必须要保证的；

  
  

• 风险管理自愿性：风险管理体系则不同，由于风险管理的目标是创造和保护的价值，这更像是企业的股东和管理层的一种自愿选择行为，而不能是由任何外部机构强制要求组织应该创造多少价值。

需要注意的一点是，虽然外部监管机构强制企业建立内部控制体系，但强制的部分是有侧重点的，不能代表企业内部控制的全部。所以企业内部控制体系要做的好，不能仅仅为了满足监管机构的要求为标准。

2、实施要求不同

• 内部控制是最低要求：企业按照外部实施要求和指导文件进行的内部控制体系建设，是对企业控制的最低要求，是及格要求；

  
  

• 风险管理是最高标准：企业风险管理工作是为了企业愿景、使命和战略目标的实现为工作目标，这个内部控制不同，是企业的一套最高标准。

打个比方，我们对一个人的要求，我们可以强制要求他不能触犯法律，但无法非要让他成为一个道德高尚的人。

3、使用手段不同

• 内部控制基于控制：从名字上就能看出区别，企业内部控制体系的实施手段是基于控制的；

  
  

• 风险管理基于管理：而企业风险管理的实施手段是基于管理的，控制手段是管理手段的一种。

4、针对目标不同

• 内部控制针对财务、运营、合规目标：传统的企业内部控制体系建设和运行是为了合理保障财务报告、运营和合规目标的实现；

  
  

• 风险管理针对战略、绩效目标：风险管理体系的设计和运行是为战略和绩效目标的合理实现提供保障。

5、选取视角不同

• 内部控制多基于当下和过去视角：虽然内部控制又可分为发现性控制和预防性控制，但内部控制的视角主要是基于当下和过去的控制而言；

  
  

• 风险管理基于未来视角：风险管理则不同，每时每刻都是关注未来的风险变化。

  
  

6、管理内容不同

• 内部控制侧重确定性：内部控制是针对识别确定出的需要进行风险控制的点，施加确定性的控制，管理是以确定性为主要内容，虽然控制的效果有时也会有一定的不确定性。

  
  

• 风险管理侧重不确定：风险管理的实质是管理不确定性，风险管理的过程也是将对目标有影响的不确定性进行识别、管理、应对，使其处于可接受状态的过程。

7、体现方式不同

• 内部控制侧重形：由于内部控制的工作对象是针对有形的企业制度、流程，所以内部控制本身也比较显性化，比较好把握，有的企业觉得内控操作性好就是这个原因；

  
  

• 风险管理侧重神：风险管理则不同，纯粹有形的制度和流程还不足让企业可以在所有的风险面前游刃有余，企业还有很多软性的管理要素并不是制度和流程可以全面覆盖的，如企业文化、价值观等。另外，企业制度和流程的建立需要有一个方向的引领，而风险管理侧重的神正是提供了这些内容。

给企业“看病”多年，发现和中医给人看病有很多相似的地方，内部控制好比中医中的“阴”，侧重物质属性，有形；而风险管理更像“阳”，侧重功能属性，有“神”的引领作用。如此看来，医人医企道一也！

结语：上面提到这些是结合自身经验的一点思考，不排除有一定的局限性，希望分享给大家从而保持一种开放性，促进让大家共同来思考、补充、讨论、交流！