美国COSO(The Committee of Sponsoring Organizations of the TreadwayCommittee),即Treadway委员会的发起组织委员会于1992年发布了一份关于内部控制的纲领性文件,即《内部控制-整体框架》(Internal Control-Integrated Framework),该委员会在《内部控制-整体框架》的基础上,又于2003年出台了最新报告——《企业风险管理框架》;在国内,也进行着内部控制和风险管理领域的引进和探索,国务院国资委于2006年6月6日,发布了《中央企业全面风险管理指引》(以下简称《指引》),财政部在2007年3月2日发布了《关于印发<企业内部控制规范——基本规范>和17项具体规范(征求意见稿)的通知》(以下简称《通知》)。我们在咨询的实践过程中发现有很多企业不能真正理解全面风险管理与内部控制的区别和联系,要么将两者完全隔离开来,要么只是简单地将它们等同起来。本文试着从两者在COSO框架中的内涵以及在国内的运用对比分析来辨识两者之间的区别与联系,同时结合我们在相关领域的咨询经验探索企业内部控制体系和风险管理体系建设的一般过程和方法。
一、内部控制和全面风险管理在COSO框架中的内涵
1、COSO框架中关于内部控制与全面风险管理的定义
现代理论界对内部控制的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。该组织认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。在COSO委员会的《内部控制管理框架》中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
在多年的管理实践中,人们意识到一个企业内部不同部门或不同业务的风险,有的会相互叠加放大,有的则相互抵消减少。因此,风险的考虑不能仅仅从某项业务、某个部门的角度出发,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。
依据COSO委员会 2003年7月完成的《全面风险管理框架》定义:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。该框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。《全面风险管理框架》三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。
2、内部控制与全面风险管理的联系
(1)全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
3、内部控制与全面风险管理的差异
(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。
(4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
二、内部控制和全面风险管理在国内的运用
1、国内关于内部控制与全面风险管理的定义
目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)的通知以及国务院国资委发布的《中央企业全面风险管理指引》中有相关的表述。
财政部关于内部控制规范的《通知》中对内部控制的定义是:是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。
国资委《指引》中关于全面风险管理的定义是:指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2、国内关于内部控制和全面风险管理与COSO框架的差异
总体上来说,国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》,但结合国内的实际情况和一些前沿的研究成果,国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。
(1)目标纬度:财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展,增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。”另外,其他四个目标也与COSO全面风险管理四个目标在表述上有所差异,使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说,特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。
(2)要素纬度:财政部内部控制《通知》形式上借鉴了COSO 报告5要素框架,同时在内容上体现了风险管理8要素框架的实质;国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素,但通过风险管理基本流程将全面风险管理的一些要素融合到流程中,从实质来说,也体现的是8要素的COSO全面风险管理框架。
(3)层级纬度:财政发布的内部控制《通知》目前主要以财务报告内部控制目标为主线所涉及的业务层级有较详细的规范;国资委全面风险管理《指引》关注范围更广泛,包括战略、财务、市场、运营、法律等方面。因此,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
(4)两者关系:国资委《全面风险管理指引》明确指出内部控制是全面风险管理体系的组成部分,同时也指出除内部控制外的其他全面风险管理组成部分。但由于财政部内部控制《通知》出台较晚,且借鉴了COSO全面风险管理框架的内容,使得其内部控制的边界扩大了不少,包括实现目标和要素都与全面风险管理差异不大。因此,我们理解《全面风险管理指引》中提到的内部控制与财政部内部控制已经不可同日而语。从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
3、国内关于内部控制与全面风险管理运用的一些误区
(1)把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中,我们可以看出它们都被明确为是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
(2)内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程,两者在内涵上也有一定重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。在相关管理理论和实践不断发展变化的今天,有时候先做起来比争论更有意义。
(3)内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望,他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。
(4)内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进,与国内企业原有的管理体系和观点存在较多的差异和差距,目前这些理念和方法还更多的处于导入阶段,大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。这造成了企业在这方面的理解有差异或者关注度不够,除非出现强制性的相关规范和要求。其实这些理念、概念的出现并不是说企业就缺乏这些,事实是理论来源于实践又高于实践,这些理论的提出有助于我们将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。
三、内部控制与全面风险管理体系构建的一般过程
内部控制和全面风险管理体系的构建都是一个系统工程,基本涉及了企业管理的方方面面,因此企业不可能一步到位建立一个完善的体系。实践中企业往往根据自身的特点先搭建一个合理的体系框架并在此基础上选择某一目标或某一层面作为主线深入下去建立一个局域内部控制或风险管理体系,然后再在企业全局推广。因此,由于内容多,牵涉面广,工作量大,企业往往需要组建相应的专职团队以项目的方式来运作或者在外界咨询团队的协助下开展工作。一般来说,我们将体系建设分为以下五个步骤,
第一步:确定内控体系/风险管理体系建设的目标和依据:确定项目组织架构、项目管理制度和详细的工作计划;梳理、明晰企业的中长期战略发展目标,为从战略高度结合COSO框架建立内控体系/风险管理体系打下基础;内部控制/风险管理体系尤其是上市公司的内部控制/风险管理体系建设应当确定其需要遵循的相关法律法规;确定内控/风险管理体系需要实现的目标等。企业的业务特点、发展阶段、信息技术条件、外部环境要求等因素的不同,分析的目标重点也不同,随之也影响到后续步骤的工作内容。
第二步:各业务层面分析:综合运用各种调研手段和现状描述方法清晰表述出业务现状,并进行研究分析,归纳总结出内部控制/风险管理存在的问题点。层面的划分需要根据目标要求和企业特点,比如单体公司往往划分为公司层面、业务层面、信息系统层面等,而集团公司就可能多出集团公司层面。
第三步:差距分析:结合COSO框架中的5要素或8要素标准进行分析评价,发现差距,提出补充、修正或完善的方向。
第四步:内部控制/风险管理体系建设:以前几步工作成果为依据,搭建内部控制/风险管理框架体系;以某个目标或某个业务层面为主线,进行内部控制/风险管理体系的建设。
第五步:测试及运营维护:协助企业或外部审计机构进行评估和测试;根据测试结果进行调整;运行维护(推广实施计划)。
前三步骤紧密结合COSO框架的三个纬度展开(第一步审视企业体系建设目标纬度,强调体系建设的目标导向,第二步结合目标要求分析业务层面内部控制或风险管理存在的问题,第三步以某目标或业务为主线分析与COSO框架评价要素之间的差距),第四步根据前三步的分析结果针对性的进行内部控制或风险管理体系的设计,第五步为测试及运行维护。