什么是内部控制和风险管理
目标体系不同
风险管理框架的目标有四类,其中经营类目标和合规类目标与内部控制框架的目标基本重合。
风险管理框架增加了战略目标,内部控制框架未提及该目标,战略目标的制定是企业治理层面要参与解决的问题,这表明风险管理属于企业治理层次,内部控制属于企业管理层次;风险管理框架把财务目标扩展为报告目标,报告目标不仅包括财务报告目标,还包括对内对外发布的所有非财务类报告,这既扩大了目标范围,也弥补了内部控制目标体系因明显受到公共会计师影响而造成的重财务信息轻其他信息的缺陷。
组成要素不同
风险管理框架增加了“目标设定、事件识别和风险反应”三个要素,“控制环境”要素也改成了“内部环境”。
“目标设定、事件识别和风险反应”不仅丰富和完善了风险管理内容,还体现了风险组合观;“内部环境”要素内容除包括“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理框架对相关内容都进行了补充和提升,具体体现为:
“风险评估”要素除包含内部控制框架中该要素的全部内容外,还考虑了企业内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险、风险偏好以及风险对冲等;
“信息与沟通”要素中,信息部分强调了获取与分析处理以往、现在及潜在未来事件数据的重要性,同时指出信息的深度以满足企业识别、评估和应对风险并将其维持在风险承受度范围内的需要为准;沟通部分强调并申明:在正常报告之外应有替代沟通渠道。
产生效益的方式不同
从内部控制框架的目标体系和定义不难看出,内部控制是在企业经营权与所有权分离的条件下对股东和利益相关者的利益保护机制,也就是说内部控制是对纯粹风险的防控,不直接产生效益,而是最大可能地避免股东和利益相关者的损失来保护其利益,规避威胁。
风险管理框架指出: “企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以使资本的利用合理化。”
这表明风险管理不仅要保护资产安全和规避一切威胁,还包括积极利用和创造一切可能的机会为股东和利益相关者创造价值。
风险管理理念不同
内部控制是对单个风险进行管理或者说是根据业务单元的划分来管理风险。风险管理则借用现代金融理论中的资产组合等理论,引入了整体风险管理、风险偏好、风险容量、风险对策、风险组合观、风险对冲、风险承受度、风险管理目标和战略的设定等概念和方法。
可以说,风险管理是基于风险度量和风险两重性的基础上对风险的管理,这种管理理念有利于保障企业风险管理措施与发展战略、风险偏好相一致,风险管理与价值回报相联系,也有利于企业内部资源合理配置以支持董事会和高级管理层实现风险管理目标。
风险管理要求从企业整体层面上总体把握分散于内部各业务单元的风险,统筹风险事件之间的相互影响,综合考虑风险对策,并防止两种倾向:
一是每个业务单元的风险处于其独自的风险承受度之内,但总体风险水平却超出企业的风险承受度;
二是个别业务单元的风险超过其风险承受度,但总体风险水平并没超出企业的承受范围。
风险管理要求按照风险组合与整体管理的思路,综合考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案,这些内容都是内部控制做不到的。
涵盖范围不同
风险管理的涵盖范围超出了内部控制的涵盖范围。风险管理包含了风险管理目标、企业战略及经营目标的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理,以及报告程序等活动。内部控制的业务范围是风险管理业务链条中间及后面的部分业务活动,并不负责企业经营目标的具体制定,而是对目标的制定过程进行评价和评估。
企业内控和风险管理体系建设
建立企业的内控与风险管理体系从根本上来说就是要做三件事。一是要搞清楚控制的对象;二是要理清楚风险点并制定相应的控制策略;三是进行有效的控制,从而确保风险并控制在企业可承受的范围内。
企业的日常运行是基于由一套套制度和流程所构成的管理体系展开的。因此,内控和风险管理所要控制的对象是企业现有的管理体系。但是,当企业规模达到一定程度时,离开IT技术的支持,要真正搞清楚自已的管理体系却并不容易。
1、IT 技术对于企业有效进行“管理体系梳理”的价值
我们设想一下,如果在某企业内随便找一个员工,问他是否知道在其职责范围内的某件事应该如何操作,他可能随口就可以说出个一、二、三来。但是,如果我们再追问一句,“你是否确认这样做一定满足了企业的各种管理要求,包括ISO9001、六西格玛、精益化管理、平衡计分卡、HSE、风险控制以及公司有史以来颁发的所有规章制度?”,绝大部分情况下这个员工是不敢确认的。
类似上述情况还可以举出很多事例,我们将此称为“管理体系孤岛”的现象。一个企业在发展过程中往往会不断地引入并应用各种先进的管理理念和方法,这些理念和方法的引进一般都以项目实施的形式展开,并随着项目的结束给企业留下一套套的管理制度和流程。由于这些制度和流程之间并没有进行过有效的整合,从而造成各体系之间存在相互脱节甚至相互冲突的情况,这种现象给企业造成的直接问题就是各种管理要求不能被真正全面地执行。
有一家很著名的企业,其多年来所制定管理制度和流程有四五百本之多,最后导致具体执行时员工都不知看哪本制度为好。其采购员曾抱怨说,“哪道我下采购订单时需要先看一下全面风险管理小组给我的<>,然后再看一下质量团队给我的ISO9001的<>,之后再看一下平衡计分卡项目组发的<>,接着再看一下ERP项目组写得 << 采购流程操作手册>>,最后再下采购订单?”。
总之,不管引入并建立了多少种管理理念,企业都必须将他们整合成一套制度和流程,而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。本来,企业制定各种各样的规章制度、流程手册、程序文件、工作指南就是为了明确和规范做事的方法,但纷繁复杂的“管理体系孤岛”最后却反而让具体的执行者搞不清方向了。如果连应该怎样做都讲不清楚又怎么能指望员工认真全面地执行呢?如果连被执行的管理体系究竟是什么都搞不清楚,那就更谈不上真正意义上的内控和风险管理了。
解决之道是企业可以供助于IT技术建立统一的信息化的制度和流程管理平台。所有的制度和流程都必须在此平台上进行建立、修改和发布。企业所有的制度文件、流程手册、岗位职责也必须通过这个平台自动生成。这样可以借助IT技术有效地避免不同管理体系之间的不协调和冲突,并实现管理体系的整合。事实上,没有信息化管理平台加以支撑,全凭人工管理来实现上述所谓的管理理念是非常困难的。信息化技术的优势就是可以通过功能、权限和工作流的设置来固化流程管理本身的各种制度和流程,并且可以大大提高管理体系整合的效率和精确程度。另外,信息化技术还能使相关人员方便高效地进行流程的设计、更改和查询。西门子、中石油等公司就建立了这样的信息化管理平台并取得了不错的成效。过去几年,众多企业都实施了ERP等信息系统,使得财务部、质量部、生产部、采购部、设备部、销售部等部门的管理水平提到了有效地提升。但对于企管部、内控部等企业相关“立法部门”的工作却没有一套类似的“ERP”系统加以支撑。统一的信息化的制度和流程管理平台就是这样一套给企业“立法部门”用的“ERP”系统。
所谓“风险评估”是指企业及时识别并系统分析经营活动中的风险并合理确定风险应对策略。要做风 险评估,首先就需要有评估的对象。管理体系梳理的目的就是要提供这样一套清晰的、准确的、可视化的评估对象。
传统的风险评估方法,就是各分子公司或各部门将梳理完的制度和流程交给企业的内控及风险管理团队,由他们在现有的制度和流程上去识别和标识风险点,并制定相关控制策略。有一家大公司,下属几十家分子公司,每年采用集中式的风险评估方法以,几十家分子公司的带着各自的制度和流程文档来总部进行统一的评估,耗时近两个月,花费以百万计。另一家大公司的做法与之相反,由总部的内控和风险管理团队每年到各分子公司巡视一遍,总成本也在百万以上。一般来说,各公司每年用在手册更新等“风险评估”工作上的人力和财力都是比较高的。
传统风险评估方法存在的另一个问题是风险管理相关文档的互通性和集成性较差。比如,有一类风险叫“虚增或截留销售收入”,理论上任何制度或流程中,只要涉及“收费并开票”这一个环节就都有可以产生这一风险,就都需要对这一环节进行控制。如果我们制定了相应的控制策略,那么如何在一套套制度或流程中找到所有涉及“开票”这一环节的部分,并将相应的风险控制策略加入到相应的环节中去呢?传统的做法是一个文档一个文档去搜寻,费时费力且极容易遗漏。更为严重的是,如果我们更新了针对此类风险的控制方法,那么还需要一个个环节去更新,这对于企业提高及时发现风险并进行有效控制的能力是很不利的。
解决之道是基于企业所建立的统一的信息化制度和流程管理平台去开展风险评估工作。即企业只有一个制度和流程发布平台,所有制度和流程均在平台上发布。进行风险评估时,只要对此平台上的制度和流程进行评估即可,大家不用跑来跑去。如果,风险与内控部门更新了某一类风险的控制策略,则此IT平台可以自动找到所有相关的工作节点,并更新其控制措施。这相当于将风险数据进行集中管理,所以管理者还可以依据风险发生可能性高低和对目标的影响程度进行整体的定性或定量分析,并较容易地对风险、流程、制度等元素进行多维度评估,促成必要的行动去阻止或者减少重大的损失或者事件。
完成风险评估并制定控制措施之后,就是如何开展测试工作以确保相应措施落实到位的问题了。内部控制测试基本方法包括询问、观察、检查和再执行等。测试程序一般可以划分为准备阶段、实施阶段和总结阶段。测试组需要将测试资料及测试报告及时上报测试组织部门,并对测试中发现的缺陷进行评估。
通过信息化系统可以将上述测试流程和制度固化并形成一套有效的工作机制,这可以大大节省测试的准备时间和测试过程的成本,并提高测试的效率和精度。当然,信息化系统的另一优势是可以基于测试过程中所收集到的大量信息进行各种综合分析,并出具分析报告,从而有助于企业管理层及时了解企业管理体系的运行状况。
总体来说,应用信息系统进行企业的内控和风险管理,可以极大提高风险管理信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足企业整体和跨职能部门、业务单位的风险管理综合要求,从而整体提升企业内控和风险管理的效率和水平。
是否一定要与信息化结合
是不是所有企业都要引入信息化呢?
也未必!
我国各类企业有数千万家,从家庭作坊式到世界500强应有尽有。
对小型企业来说,任用家族成员、老板亲力亲为就是有效的内控,根本不需要复杂的流程和岗位分工内部控制,更不必谈使用复杂的信息系统来控制了。
风险应对策略中既有风险控制,也有风险承担。
当复杂的内部控制或信息系统控制的成本超过由此带来的收益时,采取风险承担策略是理性的。
内部控制本身(和其他所有管理工具一样)只是手段而不是目的。
做内控的人,限于自身的专业视角,容易将内控作为目的来对待,为了控制而控制。
这也是所有专业人员的通病:
手里有个榔头(专业知识),看什么都觉得是钉子,总想捶几下。
不管是什么时候,试图通过一个标准的黄金法则来解决所有企业的问题,都是不现实的!
虽然听着有点绕口,但我们首先要明确,ERP也好,CRM也好,还是OA也好,所有这些信息系统都只是工具的工具。
前一个工具只是某个管理方法或理论,后一个工具则是指信息系统。
简单说管理方式有两种方式:
通过手工来做;
或者通过信息系统来做。
因此,管理方法和信息系统是皮和毛的关系。
皮之不存毛将焉附?
!
有些企业管理还没理顺,就直接上ERP,或者美其名曰希望通过ERP来理顺管理。
那么,结果很可能就是江湖上讲的:
“上ERP是找死,不上ERP是等死”。
信息化可以:
(1)进行输入控制。
比如,限定字段的输入只能是数字,而不能是文本,这样可以避免人为的输入错误。
(
2)
流程控制。
比如,系统自动金额自动判断审批层级和路径;
比如,前一层级没有审批则无法进入后一层级等等。
(
3)
实时进行数据的统计和预警。
比如,可以实现表单之间的勾稽,实时提醒数据不勾稽的情况。
应该说,
信息化可以在很多方面提高控制的效率和效果。
但信息化有个致命弱点,就是只擅长逻辑运算,不擅长模糊运算。
虽然现在有BI、AI,但对于大多数运用场合来说,还是处于概念阶段。大家可能会问,现在的阿尔法狗不是能打败世界冠军吗?那么,它能随意切换话题,然后打败该领域的世界冠军吗?恐怕短期内都无法实现。
做内控可以有三重境界:
入门级→会梳理流程;
进阶级→能诊断管理机制;
专家级→能从战略层面解决问题。
两者对应来看,信息化只能解决流程环节的问题;
对管理机制和战略层面的风险控制则可能无能为力。
