内部控制与风险管理这两个概念自诞生以来,无论在学术界还是实务界就一直纠缠不清,有些人认为“风险管理包括了内部控制”,有些人认为“内部控制包括了风险管理”,也有人认为“内部控制和风险管理是两个独立体系,互不关联”,这种体系划分上的混乱,导致了中国企业,尤其是国有企业在内部控制和风险管理的建设和执行上的混乱。
2006年,国务院国资委发布《中央企业全面风险管理指引》,要求中央企业要“选择一项或多项业务开展风险管理工作,建立单项或多项内部控制子系统”。因此,很多企业在在随后的全面风险管理体系建设中,按照《指引》的要求,将内部控制视为了全面风险管理的一个控制子系统。
2008年,财政部等五部委颁布了《企业内部控制基本规范》,将“风险评估”作为内部控制的一个重要要素,明确了对风险识别、分析、评价、应对的全过程要求。因此,在很多企业的内控建设实务中,将风险管理视为了内部控制框架的一个要素组件,是内部控制的一个组成部分。
正是由于这两个体系在中国国有企业前后脚的推广,让很多企业没有充足的时间理解和消化这两个体系在企业管理中的定位和关系,造成了建设思路上的混淆散乱、建设资源上的重复投入、建设成果上的交叉重叠。同样的牵头部门,同样的开展程序,同样的文本成果,却重复的梳理讨论,让企业风险和内控的归口职能部门迷茫困惑,让各业务职能部门抱怨连连。
造成这种概念混乱的原因是多方面的,其中包括了COSO1992年内控框架和2004年风险管理框架的相似性,以及国内法规要求及其解读的片面性。这些原因,我在其他文章中已经有阐述,本篇不再赘述。本文将结合我近二十年的咨询思考,从风险动因的视角阐述“不同风险类别”及其应对的建设实务,从而来阐述内部控制与风险管理的差异。
一、内控咨询服务中的困惑
提到内部控制,我们一般都认为内部控制是“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”(《规范》的定义),是为了“提高企业经营管理水平和风险防范能力,促进企业可持续发展”(《规范》的颁布前言)。我在早期给企业的内控咨询中也常常这样告诉企业高管和内控部门:“内部控制可以有效的防范企业的各类经营风险,尤其是重大风险,实现资产的安全保护和管理的责任保护。所以,我们开展内控咨询首先要把风险都识别和分析出来,然后在本次内控建设中针对性的建立控制措施。”
于是乎,企业高管和内控建设部门听后非常兴奋和高兴。
有家企业的内控副总告诉我:“高博士,您说的内部控制体系太好了,我们公司就是要通过这次内控建设来防范和规避公司的重大风险。这样,我们公司目前最大的风险是:老板的决策风险。对于重大事项,一旦老板决策失误了,整个公司就会有重大损失。所以本次内控建设我们就想请您帮我们解决老板的决策风险问题。”
另外一家企业的投资副总告诉我:“高博士,我们作为投资部门,我们的最大风险就是项目投资风险,外部市场环境和政策的波动对我们投资项目影响太大,您看能否在本次内控建设中将投资风险控制好,保证以后我们的投资项目都没有重大风险,只赚钱不亏钱。”
我听完郁闷了。在我看来,内部控制诚然可以防范投资中风险,然而其仅仅能防范流程操作不规范带来的舞弊风险,比如没有做项目可行性分析,项目的评估机构由项目负责人自己挑选的,项目的决策流程由总经理一个人说了算等,并进而影响到投资项目中的资金安全性、合理性等目标。而投资项目本身的风险,像市场的波动,宏观形势的调整,技术迭代等,内部控制的作用非常有限:一个完善的决策流程和投资流程并不能保证决策事项和投资事项一定成功,甚至连大概率的保证都没法承诺。因为这些事项都面临着较大的内外环境风险,从PESTL(政治、经济、社会、技术、法律等)的角度,无论哪个影响因素都不是内控可以解决的,这些因素的分析、评估和应对需要的是风险管理体系。
那么,内部控制所说的风险和风险管理所说的风险是一样的吗?
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。