1、 内控管理体系向风险管理体系的成功转换【摘要】本文从内部控制和风险管理理论的发展入手,对二者之间的关系进行分析,重点介绍了宝钢在内控体系建设和风险管理方面的实践,并提出整合的风险管理框架设想,以期为中央企业的内控体系和风险管理体系建设提供理论支持和实践经验借鉴。 【关键词】内部控制;风险管理;公司治理;战略管理 受美国 2002 年出台的萨班斯奥克斯利法案(以下简称 SOX 法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和
2、联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。 本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。 一、内部控制、风险管理的理论发展及其关系 (一)内部控制理论的发展 20 世纪70 年代中期的“水门事件 ”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于 1977 年通过的反国外腐败法是美国在公司内部控制方面的第一个法案。1980 年后,美国 COSO 委员会将“内部控制”定义为“一个组织设计并实施的一个程序,
3、以便为达到该组织的经营目标提供合理保障”。在 COSO 委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。 2002 年,美国成立的上市公司会计监管委员会(简称 PCAOB)明确采用了 COSO 内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了 COSO 内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。 我国在 2005 年先后出台了上交所上市公司内部控制指引和深交所上市公司内部控制指引两个文件。上述两个文件参照了美国 SOX 法案的要求,在理论体系上和 COSO内控框架一脉相承。 (二)风险管
4、理理论的发展 企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险” 为特征的风险管理。100 多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国 1977 年的反国外贿赂法要求公司管理层加强内部会计控制;1992 年的COSO 内部控制综合框架提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO 于 2004 年 9
5、 月出台了COSO 企业全面风险管理整合框架(简称 ERM),提出了由三个维度构成的风险管理整合框架。 我国国务院国资委于 2006 年发布中央企业全面风险管理指引(以下简称指引),标志着我国中央企业建立全面风险管理体系工作的启动。 (三)内控体系建设与全面风险管理工作的联系和作用 全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展
6、之间具有紧密的联动作用,具体体现在以下两个层面: 1.在理论框架层面,完整的内控体系包括依据 COSO 内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO 企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。 2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。 至于差异,从二者的框架结构看,全面风险管理除
7、包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。 二、宝钢在内控体系建设领域的实践 宝钢股份是宝钢集团的核心子公司。公司从 2005 年增资扩股后就着重于梳理内部流程,推广管理标准。2007 年 3 月,由公司总经理担任组长的内
8、控评审项目开始启动。 内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份 12 大业务流程,梳理了各类大小流程300 多个。在对 12 大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。 在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织
9、各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。 三、宝钢在风险管理领域的实践 宝钢从 2007 年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面: (一)以法人治理为基础,建设风险管理的组
10、织体系 完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。 同时,宝钢按照国资委指引的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风
11、险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。 (二)与管控模式相结合,制定风险管理策略和流程 宝钢采取的是“战略控制型 ”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。 因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组
12、、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。 (三)建立了
13、财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警 在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。 四、整合的风险管理框架设想 通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如图 1 所示: (一)风险管理系统应与公司治理系统进行整合 风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治
14、理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。 (二)风险管理系统应与公司战略管理系统相整合 风险管理功能与公司战略管理功能相耦合,主要体现在图 2 所示的战略管理全过程中: 将战略管理系统与风
15、险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。 企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。 总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。 【主要
