企业风险管理从损失防范为起点，内部控制从舞弊检查和预防为原点，都是从组织价值创造的背侧慢慢发展起来的。

到今天，风险管理从纯粹的损失防范发展到了机会的捕捉，从价值的保护走向了价值创造，从简单的成本投入到风险和收益的平衡；内部控制也是一样，从单纯的舞弊控制到财务控制，从保障财务数字真实可靠到全面的业务控制，从侧重控制到强调控制和效率的最优。

当下有一个重要的课题，不管是风险管理还是内部控制，不仅需要厘清这两个体系之间的关系，还需要搞清楚这两个体系是如何融入企业管理体系的，如何摆正和其它管理活动的关系。这对于让其它职能的管理工作者更好地理解和接纳这个体系尤为重要。

那么，在企业管理中，内部控制到底扮演了一个什么角色，跟其它管理活动有什么不同？很多审计、财务领域的从业者对内部控制很熟悉，但企业管理领域，与企业控制相关的还有一个名称就是——管理控制。

最开始关注这个问题，是从国际内审协会（IIA）发布的《有效风险管理和控制的三道防线》立场报告中的三道防线模型里：

在第一道防线中，分别列示了两个内容——管理控制与内部控制。

那这个管理控制（Management Control）指的是什么？

在该文件中没有解释，但我们能分辨出，管理控制和内部控制是两个手段，是不同的。

我们经常会问，企业某一项业务的管理和对这项业务的内部控制之间的区别与联系。

现在看来，对某一项业务的控制来讲，除了内部控制，还有管理控制。

内部控制，顾名思义，是由内部+控制两个词组成，这定义了它侧重的主要工作内容，也定义了它的边界。首先，它是属于企业管理中关于控制“族系”的，所有学科包括企业管理领域的控制设计逻辑都可以追溯到维纳的《控制论》，都是关于信息传输和反馈优化。

大家都知道COSO发布的《内部控制整合框架》最有影响力，实际上，在与COSO同时期的加拿大还有一个和它名字非常相似的组织——COCO。

COCO发布的框架就直接命名为：控制指南（Guidance on Control），相比于COSO的五要素，COCO控制指南将控制框架分为了四要素：目的（Purpose）、承诺（Commitment）、能力（Capability）、监控和学习（Monitoring and Learning）等，被认为更贴近企业管理实际。

内部控制被定义为：

一个由公司董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的过程。

那怎么定义管理控制？

翻了很多资料，最后还是觉得获得总统功勋奖的罗伯特·安东尼在《管理控制系统》中的定义具备一定的代表性：

管理控制是指管理者通过影响组织的其他成员来实施组织战略的过程。

管理控制被视为连接企业战略制定和具体任务控制的核心环节。

如何区分管理控制和内部控制？

1、目标不同

内部控制体系服务于三个目标，运营、报告和合规，萨班斯法案实施后，实施内部控制的上市公司最主要的目标是要实现财务报告的真实准确，而运营和合规目标变成了不容易衡量的次级目标。

而管理控制是服务于战略的，承接战略制定后的战略执行过程。

目标不同，就算是同样的工作内容，执行的效果也会完全不同。

比如就财务数据来讲，内部控制不关心好坏，只关心真假；而管理控制最关心的是数据的好坏，能不能实现业绩目标。

值得一提的是，中国内部控制体系的目标层除了上述三个目标以外，增加了两个——战略目标和资产安全目标。

从这个角度来看，中国企业的内部控制已经不再是单纯的内部控制，而是管理控制。COSO的内控中除了财务报告没有其它细化的业务内部控制，所有中国内部控制体系中的18个业务指引，已经不单单是内部控制，而是管理控制。

2、使用对象不同

内部控制是由企业从董事会到管理层再到全体成员都需要执行，而管理控制是由管理者牵头实施的，为了达到管理目标，而施加的管理控制。

看上去好像内部控制的实施范围要更广一些，实际上，管理控制虽然由管理层主导，但管理控制的执行却是涉及多个层面。实际上，内部控制也一样强调管理层的牵头执行。

3、实施要求不同

对于内部控制来讲，每个国家都有强制要求需要执行内部控制要求，特别是公众企业，因为这涉及企业的基本控制问题，如果没有基本内部控制，企业随时都有遭受重大损失或是倒闭的可能，这种企业是不值得信任的，更别说投资它。

而管理控制是为了实现企业战略企业自愿选择的管理工具，没有强制性，这一点非常像企业风险管理。

解释这两个体系的原因在于一是内控从业者需要更好将内控要求融入业务，避免两张皮，体现价值；二是很多企业管理者对内部控制不理解，有人也存在误读和偏见。

的确，内部控制也有其固有的局限性。如果从“管理控制”的角度，从业者的视角会更宽一些，企业的管理者和各业务负责人可能会更好接受一些。

这样就实现了用“管控”思维代替“内控”模式。

以上，供参考。