内部控制中的“风险”和风险管理中的“风险”有何异同?
不确定性在未来,是一个和时间紧密关联在一起的函数,随着时间的推移,不确定性会慢慢降低,变得确定。
风险管理关注真正的不确定性把握,关注决策,是面向未来的,这里的风险是不确定性程度最高的。而内部控制关注的是相对确定性的控制,关注实施和执行,是面向当下和过去的,所以控制措施又可以分为预防性控制和发现性控制。
内部控制所谓的风险导向,其实是在企业管理未来不确定性带来的风险的时候,通过各种风险管理的手段处理后,将可以通过内部控制解决的部分留给内部控制,而内部控制工作的前提和目标就是管理这些“剩余风险”。
此时,这些剩余风险已经去除了一大块不确定性,变得相对确定了,但它仍旧是风险,因为只要还有一丝不确定的成分在,它就还是在风险的范畴。所以,内部控制做得好,并不能代表风险管理做得一定好,也不能保证一定不出风险,只能说明分给内控的这部分剩余风险管理的好。
而在内部控制之前的那些风险处理过程,才是真正体现水平的。但是,对于有些风险来说,前期的风险处理并不好把握。所以,内部控制是我们能把握的部分,是用来提高组织确定性的,应该做到最好才对。这就是用组织的确定性来应对外部的不确定性。
风险矩阵确定程度更高的风险
在每个内控流程中,还有基于内控环节和关键控制点的风险矩阵,它们罗列的风险是什么?它们是确定程度更高的操作环节中的风险,一般判断这类风险的标准比较明确,主要是依照标准来设计和执行即可。
一旦所有的不确定性都消失,变为确定之后,还有风险吗?没有了。如果变为确定性之后,就变成了问题。问题需要解决,不需要管理和控制。但是,问题如果不解决,它可能又会追上时间,跑在最前面去等我们。
来源:大风控 作者:疯控叔