“11月3日，被譽為天空之吻的神州八號和天宮一號的成功對接，是我國航天技術的飛躍，更是航天人一次成功的風險控制。”上海會計學會會長湯云為用一個又一個案例生動地講解著風險控制的重要性。

如何設置內控流程才能把風險管控在可承受的范圍內？這正是企業(yè)目前關注的話題。

在湯云為看來，風險控制的一道道程序類似一張張瑞士奶酪，盡管每張都有不同的小漏洞，但重要的是環(huán)環(huán)層疊到一起不讓風險漏出去。這對內控流程設置提出很高要求，實際上也是要求企業(yè)在原先的內部控制結構框架上向企業(yè)風險管理轉變。

“如果沒有良好的公司治理結構，內控設置的流程再多，實際效果仍然存有缺陷。”湯云為強調。

事實上，企業(yè)風險管理的框架是由一個基礎、三道防線來構架的。這個基礎指的是良好的公司治理結構；三道防線分別是業(yè)務部門、風險管理職能部門及內部審計部門。

湯云為認為，企業(yè)日常業(yè)務經(jīng)常面臨各種風險，業(yè)務部門是企業(yè)的前線，因此必須把企業(yè)管理的手段融入到業(yè)務單位的工作和流程中，才能建立好防范風險的第一道防線。這也是內控流程層面上的重要問題。

第二道防線是風險管理職能部門。

這在過去企業(yè)中并不常見的，后來在監(jiān)管部門的要求下，才有越來越多的企業(yè)開始建立風險管理委員會。湯云為說：“第二道防線在業(yè)務部門之上建立一個更高層次的風險管理功能—— —風險管理委員會，它的工作是要確保企業(yè)風險管理得到落實，并對相關工作做出持續(xù)性監(jiān)控。它的職責包括對各類業(yè)務單位的風險進行組合性管理，負責風險信息的披露，協(xié)助業(yè)務單位進行內控、預警系統(tǒng)管理等。”企業(yè)對第三道防線非常熟悉，即審計委員會或內部審計部。“第三道防線是我們內控制度得到執(zhí)行的最重要部門，這個部門應該配備足夠的人力，使其具有一定的獨立性和權威性。”湯云為特別強調說。

現(xiàn)代企業(yè)建立風險管理系統(tǒng)是生存之道，而不是一種可做可不做的選擇。外部環(huán)境變幻莫測，風險也隨之變化，企業(yè)應該按照內控的影響程度和發(fā)生的可能性進行排序，把對風險的考慮融入到企業(yè)的內控決策流程內。

湯云為最后表示，內控的規(guī)范已經(jīng)從過去狹義的內控框架向更加廣義的企業(yè)全面風險演進，全面風險管理是企業(yè)內部控制發(fā)展的重要方向。