國有企業(yè)融合推進全面風險管理與內(nèi)控體系建設(shè)的思考

陳君

【摘要】本文梳理了國內(nèi)外對全面風險管理和內(nèi)部控制關(guān)系的不同觀點以及管理要求，進一步探討了國有企業(yè)在開展相關(guān)工作時常見的困惑，并有針對性地提出了在國有企業(yè)管理實務中融合推進全面風險管理與內(nèi)控體系建設(shè)的方案。

【關(guān)鍵詞】風險管理；內(nèi)部控制；國有企業(yè)

【中圖分類號】F276.1

防范化解重大風險是黨的十九大提出的三大攻堅戰(zhàn)之一。對于國有企業(yè)來說，建立健全全面風險管理和內(nèi)部控制體系是落實好中央決策部署的重要抓手。風險管理與內(nèi)部控制對于國內(nèi)外企業(yè)來說并不是陌生的概念，但是，隨著國內(nèi)外風險、內(nèi)控理論的演進，以及國有企業(yè)相關(guān)監(jiān)管要求的變化，如何將風險管理與內(nèi)控體系建設(shè)有機融合、協(xié)同推進，就成為當前一個重要的新課題。

一、理論界對于風險管理與內(nèi)部控制關(guān)系的認識

從美國COSO委員會于1992年發(fā)布《內(nèi)部控制——整合框架》開始，理論界對于風險管理和內(nèi)部控制之間關(guān)系的認識，到底是包含與被包含還是完全等價的關(guān)系一直都有爭論。對于兩者的關(guān)系，總體來看，主要有以下三種觀點：

（一）風險管理包含內(nèi)部控制。例如COSO委員會的《企業(yè)風險管理——整合框架》（2004）就指出“企業(yè)風險管理包含內(nèi)部控制”。

（二）內(nèi)部控制包含風險管理。例如巴塞爾委員會發(fā)布的《銀行業(yè)組織內(nèi)部控制系統(tǒng)框架》中的風險管理要求等。

（三）風險管理與內(nèi)部控制一體化。例如Blackburn（1999）認為“風險管理與內(nèi)部控制僅是人為的分離”等。

近年來，對風險管理和內(nèi)部控制關(guān)系的認識進一步體現(xiàn)了融合的傾向：

在2017年COSO最新發(fā)布的《企業(yè)風險管理——與戰(zhàn)略和績效相整合》當中，從風險管理定義角度進一步區(qū)分了其與內(nèi)部控制的關(guān)系，2004版的框架文件中，COSO將風險管理定義為“一個過程”，但是在2017年版本中，將風險管理定義為“一種文化、能力和實踐”，同時進一步說明兩個體系并不是相互代替的關(guān)系，而是側(cè)重點各不相同、相互補充的作用。

同時，2018年最新發(fā)布的ISO31000風險管理標準中，提出了新的原則、框架和流程，其中對“整合性”進行了反復的強調(diào)，指出“風險管理是所有組織活動的組成部分”，用一種“嵌入式”的描述反映了風險管理與內(nèi)部控制交叉互融的關(guān)系。

二、國有企業(yè)在風險管理與內(nèi)控工作實務中面臨的困惑

對于國有企業(yè)來說，除了要參照COSO或者ISO發(fā)布的一般性標準開展相關(guān)工作，還要執(zhí)行國資監(jiān)管部門發(fā)布的各類管理要求。

2006年，國資委發(fā)布了《中央企業(yè)全面風險管理指引》（以下簡稱《指引》），掀起了中國企業(yè)風險管理實施的第一次浪潮。《指引》指出，應“建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)”。

2008～2010年，財政部等5部委陸續(xù)發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》及其18個應用指引，在關(guān)于內(nèi)部控制五要素的表述中指出，“控制活動是企業(yè)根據(jù)風險評估結(jié)果，采用相應的控制措施，將風險控制在可承受度之內(nèi)”。

2012年，財政部、國資委聯(lián)合下發(fā)《關(guān)于加快構(gòu)建中央企業(yè)內(nèi)部控制體系有關(guān)事項的通知》（以下簡稱“通知”），要求“以提高經(jīng)營效率和效果為目標，以風險管理為導向，以流程梳理為基礎(chǔ)，以財務內(nèi)部控制為切入點，以關(guān)鍵控制活動為重點”計劃和實施風險內(nèi)控工作。

面對監(jiān)管部門不同的要求，國有企業(yè)尤其是中央企業(yè)在執(zhí)行過程中主要面臨著兩方面的困惑：

一是認識層面，監(jiān)管部門在先后發(fā)布的各類不同要求中都有關(guān)于風險與內(nèi)控的表述，但是并沒有就兩者之間的關(guān)系進行過細化的表述，因此對于在并行實施過程中，如何理解這兩者之間的差異及各自側(cè)重點，以及如何相互配合，普遍存在著認識模糊、無從銜接的現(xiàn)象。

二是實操層面，有些中央企業(yè)在《指引》頒布前就已在海外上市，并依據(jù)美國薩班斯法案等要求建立了內(nèi)部控制體系，后續(xù)就會面臨如何在此基礎(chǔ)上做好全面風險管理的問題；有些中央企業(yè)是按照《指引》要求先建立了全面風險管理體系，但后續(xù)又要按照《通知》要求組織開展內(nèi)控體系持續(xù)改進工作。不同企業(yè)的歷史情況不同，也相應產(chǎn)生了不同的實操問題。

三、對全面風險管理與內(nèi)控體系建設(shè)的思考

面對理論界認識的不斷演進以及各類監(jiān)管要求的交叉復合，筆者認為，作為國有企業(yè)尤其是中央企業(yè)，應不囿于各類理論層面的表述，而是從提升企業(yè)管理水平和整體抗風險能力的角度出發(fā)，以我為主，結(jié)合實際，按照“一企一策”的方式融合推動相關(guān)工作。具體從三個層面來推動：

（一）深刻理解，達成統(tǒng)一認識

企業(yè)在組織開展風險管理和內(nèi)控工作的過程中，尤其是進行頂層設(shè)計和整體規(guī)劃時，要著重研究分析內(nèi)控體系與風險管理和其他既有管理體系的關(guān)系，在深刻理解其內(nèi)涵的前提下，更好地對融合推進相關(guān)工作進行部署。從實踐的角度來說，應有三方面的共識：

1.內(nèi)部控制是全面風險管理的必要環(huán)節(jié)。內(nèi)部控制體系的建設(shè)和實施過程中，以風險為出發(fā)點和落腳點，能夠不斷地深化全面風險管理意識，同時在內(nèi)部控制流程梳理優(yōu)化的過程中也能夠識別出新的潛在風險，對既有的流程、制度查缺補漏，有助于實現(xiàn)全面風險管理的目標。

2.企業(yè)對風險的認識和管理為內(nèi)部控制的發(fā)展提供動力。全面風險管理為構(gòu)建風險導向的內(nèi)部控制體系提供了基礎(chǔ)，風險的識別與細化是建設(shè)內(nèi)部控制體系的前提。伴隨業(yè)務發(fā)展，企業(yè)面臨的重大風險動態(tài)變化，也促使內(nèi)部控制體系得以不斷擴大其外延。

3.風險管理和內(nèi)部控制的載體不一定是獨立的風險手冊、內(nèi)控手冊等。風險管理和內(nèi)部控制的精髓在于“整合”和“嵌入”，體現(xiàn)為從不同視角融入既有的制度體系、合規(guī)體系等管控體系中，是利用風險管理和內(nèi)部控制的邏輯框架，對既有的管理機制進行系統(tǒng)化、標準化、規(guī)范化，不是另起爐灶，單搞一套。

（二）整合推進，發(fā)揮協(xié)同效應

企業(yè)應以構(gòu)建一套具有較好適應性和擴展性、覆蓋各主要業(yè)務環(huán)節(jié)的全面風險與內(nèi)部控制體系為建設(shè)目標，在總結(jié)和提煉自身一系列已被實踐證明行之有效的管理模式和具體舉措的基礎(chǔ)上，對現(xiàn)有風險管理和內(nèi)部控制體系進一步優(yōu)化和升級，為企業(yè)實現(xiàn)可持續(xù)發(fā)展奠定堅實基礎(chǔ)。

1.內(nèi)控體系建設(shè)體現(xiàn)風險導向。以風險為導向的內(nèi)控體系建設(shè)可以促進企業(yè)在面臨不同環(huán)境時，及時調(diào)整目標和方向，靈活有效地應對變化，幫助企業(yè)完善治理結(jié)構(gòu)，提高運營效果和效率。具體工作中要從辨識每個流程相關(guān)的重要風險點入手，依據(jù)風險情況針對性地明確公司各項重要流程的關(guān)鍵控制節(jié)點，固化對相同風險的規(guī)范化管理標準，并相應厘清管理權(quán)責，完善操作程序。

2.全面風險管理要以內(nèi)控為抓手。部署風險辨識工作時，要求與內(nèi)控體系建設(shè)工作對接，將風險辨識結(jié)果進行區(qū)分，適宜通過內(nèi)部管理手段進行管控的風險，須落實相應的流程和控制。同時，以風險辨識結(jié)果為基礎(chǔ)，創(chuàng)新工作思路和方法，將風險管理策略和解決方案與部門功能定位、職責范圍、工作事項合理對應，利用內(nèi)部控制工具實現(xiàn)風險管理的落地。

3.風險管理與內(nèi)控建設(shè)融合推進，要充分利用現(xiàn)有管理體系的成果。既有的管理體系與內(nèi)控體系、風險管理體系一樣，都是以流程梳理為基礎(chǔ)，明確各級各類人員的職責權(quán)限、工作流程規(guī)范及考核標準，促進職能管理“責任明晰化、工作流程化、操作規(guī)范化、績效可量化”，實現(xiàn)規(guī)范管理的目標，都是從不同的管理角度出發(fā)，來提高公司的整體管理水平，可以做到有機融合。實踐中，應以風險為導向，確定工作流程中的重要控制點，細化風險控制手段，明確職責分離和分級授權(quán)等要求，在沿用現(xiàn)有管理文檔的基礎(chǔ)上，根據(jù)需要對所涉風險、操作流程等維度進行補充和細化，實現(xiàn)“一套管理體系，不同管控視角，多維管控成效”。

（三）組織保障，推動體系落地

建立健全風險管理和內(nèi)控建設(shè)相關(guān)的組織機構(gòu)和工作機制是確保相關(guān)工作有力推進的基礎(chǔ)和前提。筆者認為必須建立集中統(tǒng)一領(lǐng)導與協(xié)同分工機制相結(jié)合的組織保障體系。

1.設(shè)立公司層面統(tǒng)一領(lǐng)導機構(gòu)。風險管理與內(nèi)控體系建設(shè)的融合推進，最關(guān)鍵的環(huán)節(jié)是頂層設(shè)計，必須有統(tǒng)一的領(lǐng)導機構(gòu)和確定的牽頭部門進行統(tǒng)籌安排，力戒“九龍治水”。公司應在管理層設(shè)立專業(yè)委員會，如風險和內(nèi)控管理委員會等形式體現(xiàn)風險管理和內(nèi)控建設(shè)統(tǒng)一的領(lǐng)導機構(gòu)，集中統(tǒng)一對風險管理和內(nèi)控相關(guān)工作進行決策部署，必要時可考慮將制度管理、合規(guī)管理、法律管理等相關(guān)職能也納入相關(guān)委員會統(tǒng)籌；同時，根據(jù)企業(yè)實際設(shè)立或指定牽頭部門做好集中統(tǒng)籌。

2.建立上下聯(lián)動、橫向協(xié)同的工作機制。風險管理和內(nèi)控體系的融合必然要體現(xiàn)在各個具體的日常工作環(huán)節(jié)中。推動體系真正落地、而不是“兩張皮”的關(guān)鍵就在于必須形成“一個引領(lǐng)，一群響應”的格局，建立一套分兵把守、協(xié)同共振的工作機制。此種工作機制以責任分工為基礎(chǔ)，以過程監(jiān)控為抓手，以考核評價為保障，確保風險管理和內(nèi)控建設(shè)的要求共同融入到企業(yè)的各項經(jīng)營管理活動之中，真正體現(xiàn)出內(nèi)生性的管理成效。

當前，企業(yè)管理的廣度、深度、難度均發(fā)生了深刻變化，所面臨的整體風險環(huán)境也更加復雜，不確定性日益增加，傳統(tǒng)的風險管理和內(nèi)部控制必須堅持管理的初心和本源，也必須去擁抱新的理念，相互融合、互為促進，真正推動企業(yè)戰(zhàn)略創(chuàng)新和實現(xiàn)績效目標。

主要參考文獻：

[1]朱大華.企業(yè)風險管理與內(nèi)部控制的關(guān)系與應用[J]，財會通訊，2012（9）：46-48.

[2]戴澤龍.全面風險管理和內(nèi)部控制的一體化建設(shè)[J]，中國經(jīng)貿(mào)，2013（14）：138-139.

[3]COSO. Enterprise Risk Management-Integrating with Strategy and Performance[S]，2017.

[4]ISO. ISO 31000： Risk management-Guidelines[S]，2018.

[5]夏莽，黃煒.基于ISO標準的全面風險管理和內(nèi)部控制的一體化思考[J]，現(xiàn)代經(jīng)濟信息，2014（11）：149-150.