在財政部門發布的文件中我們經常看到這樣的描述：單位內部控制“以預算為主線，以資金管控為核心”，那么，內部控制就是控資金的嗎？這個說法還不是很準確，準確的說，內部控制是控制資金使用過程中的風險。額度大的資金支出項目不一定必須要重點控制，比如人員工資；額度不大、但使用過程中風險較高的業務，反而要重點控制，比如公務接待費支出。

一、什么是風險

“風險”一詞由來己久，相傳在遠古時期，以打魚捕撈為生的漁民們，每次出海前都要祈禱，祈求神靈保佑自己能夠平安歸來，其中祈禱的主要內容就是讓神靈保佑自己在出海時能風平浪靜、滿載而歸。但是，一旦出現大風興起大浪，就有可能造成船毀人亡。捕澇活動使他們深刻認識到“風”會給他們帶來的無法預測、無法確定的災難性危險，有“風”就意味著有 “危險”。這就是“風險”一詞的由來。可見，“風險”是一個與不確定性密切相關對實現目標不“吉利”的事件。

關于風險的定義有多種解釋，我們比較認可這個說法：風險是未來的不確定性對單位實現目標的影響。

這個定義有四個關鍵詞：未來、不確定性、目標、影響。風險是針對未來的還沒有發生的問題，這就要求單位領導看問題要有格局，有長遠的眼光，能做到未雨綢繆；風險的本質是不確定性，未來的某種情況可能會發生，也可能一直不會發生；目標是指《內控規范》提出的五個目標：合理保證單位經濟活動合法合規、資產安全和使用有效、財務信息真實完整，有效防范舞弊和預防腐敗，提高公共服務的效率和效果；影響是經濟活動的實際結果與內部控制目標之間的差異程度。

風險會使單位的經濟活動偏離其既定目標，建立內部控制就是為了糾正脫離目標的偏差，確保目標實現。

會計和出納崗位沒有實現相互分離，這是很多單位現實中存在的一個風險，我們在風險描述中，一般采用這種方式：如果財務科會計和出納崗位未分離，這兩個崗位為同一個人，可能會導致舞弊、貪污等情況的發生，對單位資金安全造成嚴重影響。

二、風險的類別

風險類別反映了風險分析的主要方向，我們在《內控手冊》中將經濟業務活動的風險劃分為規劃風險、監管風險、管理風險、財務風險、法律風險五大類，當然也可以繼續往下細分，比如財務風險分為收支管理風險、財務核算風險、資金管理風險、財務信息失真風險等。確定風險類別的目的，一是為了更好的進行風險分析和評估，再就是為明確風險控制的主責部門，應該由哪個部門承擔或者牽頭負責。

比如上面的例子中，會計和出納崗位由一人擔任的風險屬于財務管理風險嗎？我們認為應該屬于監管風險，是由于沒有嚴格實行不相容崗位相互分離原則要求導致的風險，這個風險的主責部門是財務科，配合部門是人事科。

三、風險分析和評估

風險分析和評估是為了明確風險的等級，我們在《內控手冊》中一般按照風險發生的可能性和影響程度兩個維度把風險分為五個等級：極小級、一般級、重要級、重大級、極大級。根據內部控制重要性原則的要求，并不是所有的風險都要采取控制措施，，一般來說，重要級、重大級和極大級風險屬于關鍵風險，需要制定風險應對策略和風險管控措施。

會計和出納崗位未實施分離的風險，屬于重大或者極大級風險。看似是個低級錯誤，但一旦發生，給單位造成的資金損失和聲譽影響都是非常大的，這樣的案例經常在媒體報道。

四、風險應對策略

同樣的風險，在不同的單位，劃分的風險等級可能是不一樣的，采取的應對策略也可能會不同，這取決于單位的崗位設置、崗位人員工作技能、預算資金狀況等實際情況。所以，內控建設有一個很重要的原則，就是結合單位實際。

風險應對策略是對已經識別的風險進行定性、定量分析和風險排查，確定風險等級，制定的解決策略的過程。風險應對策略主要包括風險規避、風險降低、風險分擔、風險承受。在實際工作中，我們應用最多的是風險降低。

如果單位中存在會計和出納崗位未實現有效分離的風險，應該采用什么應對措施呢？風險規避肯定是不行的，每個獨立核算的單位都必須有收支業務，有收支業務就需要會計和出納崗位；風險分擔也不可取，《會計法》規定，單位會計行為的第一責任人是單位一把手，這個風險沒法分擔；風險承受這種策略更不可取，風險承受就是對這種風險“認了”，不管不問，由他去吧。所以，風險降低是最積極、最主要的風險應對策略。

五、風險控制活動

風險控制活動是根據風險評估結果，采用相應的風險應對策略，將風險控制在可承受度之內所采取的活動。單位結合風險評估的結果，通過預防性控制與發現性控制、手工控制與自動控制相結合的方法，運用相應的控制措施，將風險控制在可承諾范圍之內。

按控制作用分類，可以分別為預防性控制和發現性控制。預防性控制是指為防止經濟活動出現失誤和不合法、不合規行為的發生，盡量減少其發生機會所進行的控制，是一種事前控制，是未雨綢繆。發現性控制是指為及時查明已發生失誤和行為，或為增強發現失誤和行為的能力進行的控制，是亡羊補牢。實際工作中，我們一般采取的都是預防性控制。

按控制手段分類，可以分為人工控制和自動控制。其中，人工控制是以人工方式執行，比如在十字路口，交警打手勢指揮車輛通行就是人工控制。自動控制是由計算機程序執行的控制，交通路口的紅綠燈和電子眼就是自動控制。單位內控建設自動控制的工具就是內控信息化系統。

再回到前面的例子，會計和出納這兩個崗位不能由同一人擔任，這個道理我們都明白，可現實中有些小單位因為受編制的限制，還真的沒辦法在財務科配置兩個人，一個負責會計，一個負責出納，實現會計和出納不相容崗位分離，在這種情況下，是不是就沒有風險降低的辦法了？不是的，《內控規范》提供了替代解決辦法，比如內部專項審計、崗位交叉互審和強制休假等措施。

有“風”就有“險”，“風”是單位的經濟業務活動，“風”背后的“險”才是控制的內容。