内部控制有哪些风险？

我国企业内部控制基本规范体系采用了ERM的框架，将风险划分为内部风险和外部风险，并列举了风险评估中应当关注的诸多因素。《中央企业全面风险管理指引》及其相关评价规定则进一步将风险划分为战略风险、财务风险、市场风险、运营风险和法律风险五大类，并且每大类内部又分解为一级、二级和三级风险。

在实务中，很多中介机构也利用风险地图、风险宇宙、风险清单、风险数据库等方式，为客户进行内部控制建设。这种按条块进行横向分割的风险管理方法，优点很明显，可以利用MECE（枚举分析法）的方式构建完整的风险清单和指标体系。但其缺点也同样突出，清单中的风险前后之间没有逻辑关系、不分主次轻重，只见树木不见森林，导致相关风险不是没有控制措施就是仅仅列示不具有可操作性的原则控制要求，或者造成为了控制而控制的局面，增加不必要的管理成本。

以销售活动为例，销售活动面临的最大风险是销售不足（图1）。销售不足的原因可能是产品定位问题（战略风险），也可能是竞争者提供了更具优势的解决方案（市场风险），或客户受资金不足而出现的需求不足（运营风险）等。针对客户资金不足问题，我们可以采取担保政策，也可以采取信用管理政策。如果采取信用管理政策，则随之而来的就是如何确定客户的授信额度问题。如授信过高（财务风险）则会导致后期坏账和催款成本激增；如授信不足（运营风险），又无法对销售起到刺激作用，因此，需要一个授信额度的审批程序来规范授信过程。

可见，企业中的任何一项日常经济活动都是以剥洋葱的方式，以流程体系层层展开的，其中交织地面临着诸多不同类型的风险，因此，需要将风险还原到实际的工作环境中去，才能使风险管理更符合控制人员的工作思维，更能为控制人员所理解和实施相关控制。

解决这个困境的方法就是在原有条块横向分割的基础上，再按风险影响的涉及面纵向划分为：战略性风险、战术性风险和操作性风险三个层次。仍以销售活动为例，销售不足为战略性风险；授信不足或过高为战术性风险；授信审批没有按照要求执行则为操作性风险。构建自上而下的风险指标体系即符合企业目标管理、绩效管理和流程管理的原理，又能通过追踪至操作性风险来检查是否所有战略性风险和战术性风险都已得到有效控制。

实务中，可以将原有的横向风险清单作为索引工具，这样既便于合规性检查，又便于员工按图索骥，理解相关风险的具体控制措施及其在整个业务循环中的前后配合协调工作。

从与目标的关系看，战略目标跟战略性风险、战术性风险和操作性风险均相关；除此之外的其他目标，则多与后两类风险相关。