国有企业融合推进全面风险管理与内控体系建设的思考
来源:用户上传
作者:陈君
【摘要】本文梳理了国内外对全面风险管理和内部控制关系的不同观点以及管理要求,进一步探讨了国有企业在开展相关工作时常见的困惑,并有针对性地提出了在国有企业管理实务中融合推进全面风险管理与内控体系建设的方案。
【关键词】风险管理;内部控制;国有企业
【中图分类号】F276.1
防范化解重大风险是党的十九大提出的三大攻坚战之一。对于国有企业来说,建立健全全面风险管理和内部控制体系是落实好中央决策部署的重要抓手。风险管理与内部控制对于国内外企业来说并不是陌生的概念,但是,随着国内外风险、内控理论的演进,以及国有企业相关监管要求的变化,如何将风险管理与内控体系建设有机融合、协同推进,就成为当前一个重要的新课题。
一、理论界对于风险管理与内部控制关系的认识
从美国COSO委员会于1992年发布《内部控制——整合框架》开始,理论界对于风险管理和内部控制之间关系的认识,到底是包含与被包含还是完全等价的关系一直都有争论。对于两者的关系,总体来看,主要有以下三种观点:
(一)风险管理包含内部控制。例如COSO委员会的《企业风险管理——整合框架》(2004)就指出“企业风险管理包含内部控制”。
(二)内部控制包含风险管理。例如巴塞尔委员会发布的《银行业组织内部控制系统框架》中的风险管理要求等。
(三)风险管理与内部控制一体化。例如Blackburn(1999)认为“风险管理与内部控制仅是人为的分离”等。
近年来,对风险管理和内部控制关系的认识进一步体现了融合的倾向:
在2017年COSO最新发布的《企业风险管理——与战略和绩效相整合》当中,从风险管理定义角度进一步区分了其与内部控制的关系,2004版的框架文件中,COSO将风险管理定义为“一个过程”,但是在2017年版本中,将风险管理定义为“一种文化、能力和实践”,同时进一步说明两个体系并不是相互代替的关系,而是侧重点各不相同、相互补充的作用。
同時,2018年最新发布的ISO31000风险管理标准中,提出了新的原则、框架和流程,其中对“整合性”进行了反复的强调,指出“风险管理是所有组织活动的组成部分”,用一种“嵌入式”的描述反映了风险管理与内部控制交叉互融的关系。
二、国有企业在风险管理与内控工作实务中面临的困惑
对于国有企业来说,除了要参照COSO或者ISO发布的一般性标准开展相关工作,还要执行国资监管部门发布的各类管理要求。
2006年,国资委发布了《中央企业全面风险管理指引》(以下简称《指引》),掀起了中国企业风险管理实施的第一次浪潮。《指引》指出,应“建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统”。
2008~2010年,财政部等5部委陆续发布了《企业内部控制基本规范》及其18个应用指引,在关于内部控制五要素的表述中指出,“控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内”。
2012年,财政部、国资委联合下发《关于加快构建中央企业内部控制体系有关事项的通知》(以下简称“通知”),要求“以提高经营效率和效果为目标,以风险管理为导向,以流程梳理为基础,以财务内部控制为切入点,以关键控制活动为重点”计划和实施风险内控工作。
面对监管部门不同的要求,国有企业尤其是中央企业在执行过程中主要面临着两方面的困惑:
一是认识层面,监管部门在先后发布的各类不同要求中都有关于风险与内控的表述,但是并没有就两者之间的关系进行过细化的表述,因此对于在并行实施过程中,如何理解这两者之间的差异及各自侧重点,以及如何相互配合,普遍存在着认识模糊、无从衔接的现象。
二是实操层面,有些中央企业在《指引》颁布前就已在海外上市,并依据美国萨班斯法案等要求建立了内部控制体系,后续就会面临如何在此基础上做好全面风险管理的问题;有些中央企业是按照《指引》要求先建立了全面风险管理体系,但后续又要按照《通知》要求组织开展内控体系持续改进工作。不同企业的历史情况不同,也相应产生了不同的实操问题。
三、对全面风险管理与内控体系建设的思考
面对理论界认识的不断演进以及各类监管要求的交叉复合,笔者认为,作为国有企业尤其是中央企业,应不囿于各类理论层面的表述,而是从提升企业管理水平和整体抗风险能力的角度出发,以我为主,结合实际,按照“一企一策”的方式融合推动相关工作。具体从三个层面来推动:
(一)深刻理解,达成统一认识
企业在组织开展风险管理和内控工作的过程中,尤其是进行顶层设计和整体规划时,要着重研究分析内控体系与风险管理和其他既有管理体系的关系,在深刻理解其内涵的前提下,更好地对融合推进相关工作进行部署。从实践的角度来说,应有三方面的共识:
1.内部控制是全面风险管理的必要环节。内部控制体系的建设和实施过程中,以风险为出发点和落脚点,能够不断地深化全面风险管理意识,同时在内部控制流程梳理优化的过程中也能够识别出新的潜在风险,对既有的流程、制度查缺补漏,有助于实现全面风险管理的目标。
2.企业对风险的认识和管理为内部控制的发展提供动力。全面风险管理为构建风险导向的内部控制体系提供了基础,风险的识别与细化是建设内部控制体系的前提。伴随业务发展,企业面临的重大风险动态变化,也促使内部控制体系得以不断扩大其外延。
3.风险管理和内部控制的载体不一定是独立的风险手册、内控手册等。风险管理和内部控制的精髓在于“整合”和“嵌入”,体现为从不同视角融入既有的制度体系、合规体系等管控体系中,是利用风险管理和内部控制的逻辑框架,对既有的管理机制进行系统化、标准化、规范化,不是另起炉灶,单搞一套。 (二)整合推进,发挥协同效应
企业应以构建一套具有较好适应性和扩展性、覆盖各主要业务环节的全面风险与内部控制体系为建设目标,在总结和提炼自身一系列已被实践证明行之有效的管理模式和具体举措的基础上,对现有风险管理和内部控制体系进一步优化和升级,为企业实现可持续发展奠定坚实基础。
1.内控体系建设体现风险导向。以风险为导向的内控体系建设可以促进企业在面临不同环境时,及时调整目标和方向,灵活有效地应对变化,帮助企业完善治理结构,提高运营效果和效率。具体工作中要从辨识每个流程相关的重要风险点入手,依据风险情况针对性地明确公司各项重要流程的关键控制节点,固化对相同风险的规范化管理标准,并相应厘清管理权责,完善操作程序。
2.全面风险管理要以内控为抓手。部署风险辨识工作时,要求与内控体系建设工作对接,将风险辨识结果进行区分,适宜通过内部管理手段进行管控的风险,须落实相应的流程和控制。同时,以风险辨识结果为基础,创新工作思路和方法,将风险管理策略和解决方案与部门功能定位、职责范围、工作事项合理对应,利用内部控制工具实现风险管理的落地。
3.风险管理与内控建设融合推进,要充分利用现有管理体系的成果。既有的管理体系与内控体系、风险管理体系一样,都是以流程梳理为基础,明确各级各类人员的职责权限、工作流程规范及考核标准,促进职能管理“责任明晰化、工作流程化、操作规范化、绩效可量化”,实现规范管理的目標,都是从不同的管理角度出发,来提高公司的整体管理水平,可以做到有机融合。实践中,应以风险为导向,确定工作流程中的重要控制点,细化风险控制手段,明确职责分离和分级授权等要求,在沿用现有管理文档的基础上,根据需要对所涉风险、操作流程等维度进行补充和细化,实现“一套管理体系,不同管控视角,多维管控成效”。
(三)组织保障,推动体系落地
建立健全风险管理和内控建设相关的组织机构和工作机制是确保相关工作有力推进的基础和前提。笔者认为必须建立集中统一领导与协同分工机制相结合的组织保障体系。
1.设立公司层面统一领导机构。风险管理与内控体系建设的融合推进,最关键的环节是顶层设计,必须有统一的领导机构和确定的牵头部门进行统筹安排,力戒“九龙治水”。公司应在管理层设立专业委员会,如风险和内控管理委员会等形式体现风险管理和内控建设统一的领导机构,集中统一对风险管理和内控相关工作进行决策部署,必要时可考虑将制度管理、合规管理、法律管理等相关职能也纳入相关委员会统筹;同时,根据企业实际设立或指定牵头部门做好集中统筹。
2.建立上下联动、横向协同的工作机制。风险管理和内控体系的融合必然要体现在各个具体的日常工作环节中。推动体系真正落地、而不是“两张皮”的关键就在于必须形成“一个引领,一群响应”的格局,建立一套分兵把守、协同共振的工作机制。此种工作机制以责任分工为基础,以过程监控为抓手,以考核评价为保障,确保风险管理和内控建设的要求共同融入到企业的各项经营管理活动之中,真正体现出内生性的管理成效。
当前,企业管理的广度、深度、难度均发生了深刻变化,所面临的整体风险环境也更加复杂,不确定性日益增加,传统的风险管理和内部控制必须坚持管理的初心和本源,也必须去拥抱新的理念,相互融合、互为促进,真正推动企业战略创新和实现绩效目标。
主要参考文献:
[1]朱大华.企业风险管理与内部控制的关系与应用[J],财会通讯,2012(9):46-48.
[2]戴泽龙.全面风险管理和内部控制的一体化建设[J],中国经贸,2013(14):138-139.
[3]COSO. Enterprise Risk Management-Integrating with Strategy and Performance[S],2017.
[4]ISO. ISO 31000: Risk management-Guidelines[S],2018.
[5]夏莽,黄炜.基于ISO标准的全面风险管理和内部控制的一体化思考[J],现代经济信息,2014(11):149-150.
转载注明来源:https://www.xzbu.com/3/view-15044676.htm
