实践背景的变化
一·起源与发展:COSO委员会整合管理框架
1987年,美国COSO委员会(Committee of Sponsoring Organization)成立,专门研究内部控制问题,1992年发布《内部控制整合框架》。2001年美国最大的能源公司安然公司与国际五大会计师事务所之一的安达信事务所联合造假事件,导致美国政府出台了《萨班斯法案》。美国 COSO委员会根据《萨班斯法案》的相关要求,在《内部控制整合框架》的基础上进行扩展,2004年9月正式颁布了《企业风险管理整合框架》,在全球获得广泛认可和应用。
二·国内第一阶段:2006年-2012年,后金融时代的制度安排,效果不理想
2006年,国务院国资委发布《中央企业全面风险管理指引》,开启了中国企业尤其是中央和地方国有企业建设全面风险管理体系的浪潮。2008年,财政部发布《企业内部控制基本规范》,要求大中型企业尤其是上市公司建立健全企业内部控制体系。
这两个体系从国家部委的层面一前一后进行要求和推广,很多企业感到迷惑,不知道如何处理这两个体系以及这两个体系和企业管理之间的关系,造成了一定的管理混乱和资源重复投入。
反映在实践上就是开篇“轰轰烈烈”,过程“劳民伤财”,成果“无疾而终”。形成了一大堆的手册、制度、流程、系统,哪一个也无法长期起作用,又不能推倒重来,于是就束之高阁,食之无味、弃之可惜。
三·国内第二阶段:2012年至今,治理能力和治理水平现代化的重要抓手,正在探索
十八届三中全会通过《中共中央关于全面深化改革若干重大问题的决定》,首次提出“推进国家治理体系和治理能力现代化”的改革目标。十八届四中全会通过《中共中央关于全面推进依法治国若干重大问题的决定》,再次强调促进国家治理体系和治理能力现代化。十九届四中全会通过《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,提出了总体目标,治理现代化在建党一百年时取得明显成效,2035年基本实现,建国一百年全面实现。
在此背景下,财政部提出在行政事业单位推行内部控制的建议,得到中央领导的肯定。目标是行政事业单位在2020年基本建成与国家治理体系和治理能力现代化相适应的,权责一致、制衡有效、运行顺畅、执行有力、管理科学的内部控制体系。
2019年,国资委印发101号文《关于加强中央企业内部控制体系建设与监督工作的实施意见》,推进国家治理体系和治理能力现代化在国资国企监管中的实践。2021年,国资委印发《关于进一步深化法治央企建设的意见》,要求探索法律、合规、内控、风险管理协同运作机制。
理论框架的变化
对于风险管理和内部控制的关系,
2013年COSO发布的内部控制框架更新版文件附录中提出,企业风险管理是企业管理中的组成部分,企业内部控制是企业风险管理中的组成部分,从中国理论和实践经验看,大部分专家还是比较认可这种关系界定。
而在2017年COSO发布的新版企业风险管理框架中,对于风险管理和内部控制的关系也做了进一步的阐述,新框架中有意规避了旧框架中对于控制活动的描述,把控制活动的内容留给了内部控制体系,而突出了风险的治理和文化的内容,以及强调和战略及绩效的关系,算是给两个体系“分家”做了个“了断”。
新的框架从企业使命、愿景和核心价值出发,定位的宗旨为提升主体的价值和业绩,强调嵌入企业管理业务活动和核心价值链,从主要的要素和内容看也进行了翻天覆地的变化,从而使得一个崭新的“管理框架”诞生,这种视角是一种新型的企业管理视角,对企业管理界来说是一场理念的变革。如果说在原有“控制框架”下,会计师事务所可以在实施内部控制框架的基础上,协助企业加强风险管理工作,但新的“管理框架”更像是企业决策者或企业管理咨询顾问关心的范畴。
真正的风险管理工作是要支持管理决策的,而不仅仅是建立内部控制制度和流程,虽然COSO新版的企业风险管理框架终于开始回到“正轨”,但国际上某些一流的锋线管理咨询公司多年前为客户提供的风险管理方法论就是为企业的战略和管理决策提供支持,将风险管理工作融入管理决策的各个流程环节中,这是风险管理的真正价值所在。
风险管理与内部控制协同运作
国务院国资委发布的《中央企业全面风险管理指引》(国资发改革[2006]108号)中,对风险管理与内部控制的定义如下:“本指引所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”
“本指引所称内部控制系统,指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。”
而财政部、证监会等五部委联合印发的《企业内部控制基本规范》(财会[2008]7号)中,定义如下:“本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”
企业建立与实施有效的内部控制,包括内部环境、风险评估、控制活动、信息与沟通、内部监督五项要素,其中,“风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。”
通过以上定义的对比分析,可以发现,内部控制以风险评估为前提,风险管理以加强内控为结果,两者都需要一系列体制机制的支撑,构建运行的基础环境,因此可以纳入统一的框架中协同运作。
在统一框架中,将风险评估(风险识别、分析、评价)与内部控制纳入同一系统,构建风险管理的流程子系统,将组织体系、监督体系、沟通机制纳入同一系统,构建风险管理的环境子系统。
流程子系统围绕企业的发展目标,以企业各项业务管理活动为对象,开展风险评估,确定风险管理策略,制定风险解决的外包方案和内控方案(以内控为主)。
环境子系统以保障风险管理职能有效运转为目的,建立健全风险管理的组织执行体系,建立健全风险管理的信息报告机制,建立健全风险管理的监督评价体系。
┃作者:杜 伟
┃编辑:郭 涛
┃责编:Charles
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。