分手岔路口:一文了結(jié)企業(yè)風(fēng)險(xiǎn)管理和企業(yè)內(nèi)部控制的恩怨情仇!

? ? ? 過去這些年,無論在理論界還是企業(yè)界,對(duì)于關(guān)于企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制之間的關(guān)系爭(zhēng)論了好多年。多種說法都出現(xiàn)過,比如:企業(yè)風(fēng)險(xiǎn)管理包含內(nèi)部控制;有的說企業(yè)內(nèi)部控制包含風(fēng)險(xiǎn)管理;還有的說企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制沒有關(guān)系。

? ? ? 應(yīng)該說,在這些年的爭(zhēng)論過程中大家還是形成了一定的共識(shí)。但是,離真正能夠說清楚、說明白兩者之間的關(guān)系還有一定的距離。從企業(yè)實(shí)踐來看,目前存在著很多不同的做法,很多企業(yè)因?yàn)闊o法準(zhǔn)確區(qū)分兩者之間的區(qū)別與聯(lián)系,為了方便起見,還是將兩者并行放在一起進(jìn)行“風(fēng)險(xiǎn)管理與內(nèi)部控制”的整合管理。我碰到很多同仁吐槽遇到過此類苦惱,有領(lǐng)導(dǎo)詢問關(guān)于兩者之間的區(qū)別和聯(lián)系,我們很多從業(yè)者卻無法給領(lǐng)導(dǎo)一個(gè)滿意的解釋。

? ? ? 這其實(shí)不能責(zé)怪他們,因?yàn)閮蓚€(gè)體系的糾纏已經(jīng)延續(xù)了十幾年、爭(zhēng)論了十幾年,也確實(shí)沒有人能夠非常清晰的劃清兩者的邊界和相互作用關(guān)系。就算前期形成了一定共識(shí),但是面對(duì)這兩年企業(yè)風(fēng)險(xiǎn)管理領(lǐng)域翻天覆地的變化,就更難回答了。我們今天就嘗試帶大家理一理思路,希望可以給大家?guī)磉M(jìn)一步的思考。

?

一、國(guó)際戰(zhàn)場(chǎng)的恩怨起源

?

? ? ? 前面的文章我們已經(jīng)談到,1992年COSO發(fā)布的《企業(yè)內(nèi)部控制-整合框架》,作為在全球企業(yè)內(nèi)部控制領(lǐng)域的集大成者,面對(duì)21世紀(jì)初美國(guó)公眾企業(yè)一系列的財(cái)務(wù)造假事件,被美國(guó)證監(jiān)會(huì)采用作為美國(guó)資本市場(chǎng)公眾企業(yè)的合規(guī)框架而名聲大噪,同時(shí),也被全球各個(gè)國(guó)家參考和借鑒形成了本國(guó)的企業(yè)內(nèi)部控制管理框架。

? ? ? 但是COSO通過分析這一系列的企業(yè)經(jīng)營(yíng)失敗的案例,發(fā)現(xiàn)純粹從建立和維護(hù)一個(gè)健全、有效的內(nèi)部控制體系,還不足以防范這些失敗案例的再次發(fā)生,因?yàn)橛行┦〉囊蛩爻隽藘?nèi)部控制的范疇。所以,COSO考慮需要從更高的層面建立一個(gè)體系來指導(dǎo)企業(yè)如何能夠更好的保護(hù)企業(yè)價(jià)值、實(shí)現(xiàn)企業(yè)目標(biāo)。所以,時(shí)隔12年之后,2004年COSO發(fā)布了《企業(yè)風(fēng)險(xiǎn)管理-整合框架》。從名字上可以看出,從企業(yè)內(nèi)部控制到風(fēng)險(xiǎn)管理,COSO的本意表明后者要比前者定位更高一些、范圍更廣一些,COSO在正式文件中也闡明:企業(yè)風(fēng)險(xiǎn)管理包含了內(nèi)部控制,從兩者的框架包含的內(nèi)容也能得出這樣的結(jié)論。

? ? ? 實(shí)話實(shí)說,COSO組織以內(nèi)部控制框架而全球聞名,而一個(gè)以財(cái)務(wù)、審計(jì)為主要背景的5家發(fā)起機(jī)構(gòu)組成的COSO,起草企業(yè)風(fēng)險(xiǎn)管理領(lǐng)域的文件卻不一定是其優(yōu)勢(shì)所在,因?yàn)閺摹翱刂啤毕颉肮芾怼钡目缭接锌赡艹隽似漶{馭能力。但不管如何,由于COSO在內(nèi)部控制領(lǐng)域的至高聲譽(yù),其隨便一個(gè)動(dòng)作就會(huì)引起全球的一陣騷動(dòng),這也凸顯了一個(gè)平臺(tái)的重要性。

? ? ? 在COSO發(fā)布其ERM框架之前,其實(shí)很早之前全球范圍內(nèi)已經(jīng)出現(xiàn)了泛風(fēng)險(xiǎn)管理、企業(yè)層面風(fēng)險(xiǎn)管理的概念和理念,但是只是在局部和小范圍應(yīng)用和傳播,并沒有被全面的普及和推廣。

? ? ? 我時(shí)常想,借助COSO的影響力,2004年COSO的ERM框架確實(shí)對(duì)企業(yè)風(fēng)險(xiǎn)管理理念的廣泛傳播起到了非常積極的推動(dòng)意義。但同時(shí),2004年的“立方體”框架如同一個(gè)牢籠,也困住了企業(yè)風(fēng)險(xiǎn)管理放蕩不羈、追求自由的翅膀。

?

二、中國(guó)戰(zhàn)場(chǎng)的恩怨起源

?

? ? ? 國(guó)際上戰(zhàn)事未結(jié),中國(guó)的戰(zhàn)役卻已打響,而中國(guó)戰(zhàn)場(chǎng)的發(fā)展應(yīng)該是全球中最離奇、最精彩的那一個(gè)。中國(guó)企業(yè)風(fēng)險(xiǎn)管理實(shí)踐的全面展開是以2006年國(guó)務(wù)院國(guó)資委發(fā)布的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》為標(biāo)志,而企業(yè)內(nèi)部控制實(shí)踐的全面展開是以財(cái)政部2008年發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》為標(biāo)志。

?

?

從時(shí)間線上來看,國(guó)際上兩個(gè)文件的發(fā)布中間是經(jīng)歷了12年探索和思考的時(shí)間,而中國(guó)只用了2年;從順序上講,國(guó)際上是先發(fā)布企業(yè)內(nèi)部控制框架,又發(fā)展到的企業(yè)風(fēng)險(xiǎn)管理,而中國(guó)順序正好相反。2008年發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范參考了COSO 1992年的內(nèi)部控制框架,而2006年發(fā)布的企業(yè)風(fēng)險(xiǎn)管理框架確實(shí)中國(guó)自創(chuàng)的一套,這也為這個(gè)戰(zhàn)場(chǎng)增添了一些新的不確定性。

? ? ? 2006年,我們中國(guó)的央企、地方國(guó)企和部分大型企業(yè)開始風(fēng)風(fēng)火火進(jìn)行企業(yè)風(fēng)險(xiǎn)管理體系的建設(shè),如我們之前文章中說的那樣,企業(yè)內(nèi)部控制是企業(yè)的一套基本功體系,2006年在我們中國(guó)企業(yè)還未全面強(qiáng)化基本功的情況下,就吃了一粒“十全大補(bǔ)丸”,導(dǎo)致虛火很旺。

? ? ? 風(fēng)險(xiǎn)管理推行了5年之后,2011年開始,中國(guó)企業(yè)又大規(guī)模的進(jìn)行了企業(yè)內(nèi)部控制體系的建設(shè),這之后又進(jìn)入了企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制的整合階段,再之后是兩個(gè)體系和各企業(yè)管理子體系的整合階段。

? ? ? 我們用了極其簡(jiǎn)潔的幾段話描述了中國(guó)戰(zhàn)場(chǎng)的情況,因?yàn)槲也幌胝归_說,我相信在企業(yè)有過親身經(jīng)歷這個(gè)過程的人看了可能會(huì)感慨萬千,五味雜陳!超常規(guī)發(fā)展、顛倒發(fā)展帶來的經(jīng)驗(yàn)和教訓(xùn)、惆悵和迷惘讓中國(guó)企業(yè)的這段歷史顯得格外讓人難以忘卻。

?

三、企業(yè)風(fēng)險(xiǎn)管理的最新發(fā)展,推動(dòng)了戰(zhàn)事走向終結(jié)

?

? ? ? 2017年9月,按照預(yù)定時(shí)間,COSO組織推遲了一年發(fā)布了新版企業(yè)風(fēng)險(xiǎn)管理框架,這次的框架的變動(dòng)如此之大,并沒有對(duì)原有的框架進(jìn)行修補(bǔ),而是直接拋棄了2004年的立方體風(fēng)險(xiǎn)管理框架,掙破了立方體“牢籠”的企業(yè)風(fēng)險(xiǎn)管理,又重獲自由。新框架強(qiáng)調(diào)風(fēng)險(xiǎn)管理不是一項(xiàng)獨(dú)立的活動(dòng),應(yīng)該和企業(yè)管理活動(dòng)密切融合。

? ? ? 而文件中也提及了風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系,為了避免前期混戰(zhàn)的持續(xù),厘清雙方的關(guān)系,這次的風(fēng)險(xiǎn)管理框架中,沒有提及任何和控制關(guān)于的話題,而將其都留給了內(nèi)部控制體系,以此算是給兩個(gè)體系做一個(gè)切割,希望雙方不再有紛爭(zhēng)、西線再無戰(zhàn)事。

? ? ? 2018年2月,ISO組織也發(fā)布了更新版的ISO31000風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)文件,也有一些新的指導(dǎo)原則和導(dǎo)向的變化。這兩份文件我們公眾號(hào)寫過幾十篇系列解讀,有需要請(qǐng)查看,在此就不展開論述了。

?

四、企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制的七大本質(zhì)差異點(diǎn)

?

? ? ? 因?yàn)橛H歷了全程,所以每個(gè)階段都會(huì)留有一些思考和體會(huì),回應(yīng)開頭關(guān)于業(yè)界對(duì)于兩者的區(qū)別和聯(lián)系,結(jié)合最新的理論發(fā)展,我們來總結(jié)和展望一下兩者的本質(zhì)異同點(diǎn):

1、執(zhí)行力度不同

?

  • 內(nèi)部控制強(qiáng)制性:對(duì)于企業(yè)內(nèi)部控制而言,從發(fā)展源頭上來看,是由外部監(jiān)管機(jī)構(gòu)強(qiáng)制執(zhí)行的,特別是針對(duì)公眾公司,企業(yè)內(nèi)部控制有效性更是必須要保證的;

    ?

  • 風(fēng)險(xiǎn)管理自愿性:風(fēng)險(xiǎn)管理體系則不同,由于風(fēng)險(xiǎn)管理的目標(biāo)是創(chuàng)造和保護(hù)的價(jià)值,這更像是企業(yè)的股東和管理層的一種自愿選擇行為,而不能是由任何外部機(jī)構(gòu)強(qiáng)制要求組織應(yīng)該創(chuàng)造多少價(jià)值。

?

需要注意的一點(diǎn)是,雖然外部監(jiān)管機(jī)構(gòu)強(qiáng)制企業(yè)建立內(nèi)部控制體系,但強(qiáng)制的部分是有側(cè)重點(diǎn)的,不能代表企業(yè)內(nèi)部控制的全部。所以企業(yè)內(nèi)部控制體系要做的好,不能僅僅為了滿足監(jiān)管機(jī)構(gòu)的要求為標(biāo)準(zhǔn)。

?

2、實(shí)施要求不同

?

  • 內(nèi)部控制是最低要求:企業(yè)按照外部實(shí)施要求和指導(dǎo)文件進(jìn)行的內(nèi)部控制體系建設(shè),是對(duì)企業(yè)控制的最低要求,是及格要求;

    ?

  • 風(fēng)險(xiǎn)管理是最高標(biāo)準(zhǔn):企業(yè)風(fēng)險(xiǎn)管理工作是為了企業(yè)愿景、使命和戰(zhàn)略目標(biāo)的實(shí)現(xiàn)為工作目標(biāo),這個(gè)內(nèi)部控制不同,是企業(yè)的一套最高標(biāo)準(zhǔn)。

?

? ? ? ?打個(gè)比方,我們對(duì)一個(gè)人的要求,我們可以強(qiáng)制要求他不能觸犯法律,但無法非要讓他成為一個(gè)道德高尚的人。

?

3、使用手段不同

?

  • 內(nèi)部控制基于控制:從名字上就能看出區(qū)別,企業(yè)內(nèi)部控制體系的實(shí)施手段是基于控制的;

    ?

  • 風(fēng)險(xiǎn)管理基于管理:而企業(yè)風(fēng)險(xiǎn)管理的實(shí)施手段是基于管理的,控制手段是管理手段的一種。

?

4、針對(duì)目標(biāo)不同

?

  • 內(nèi)部控制針對(duì)財(cái)務(wù)、運(yùn)營(yíng)、合規(guī)目標(biāo):傳統(tǒng)的企業(yè)內(nèi)部控制體系建設(shè)和運(yùn)行是為了合理保障財(cái)務(wù)報(bào)告、運(yùn)營(yíng)和合規(guī)目標(biāo)的實(shí)現(xiàn);

    ?

  • 風(fēng)險(xiǎn)管理針對(duì)戰(zhàn)略、績(jī)效目標(biāo):風(fēng)險(xiǎn)管理體系的設(shè)計(jì)和運(yùn)行是為戰(zhàn)略和績(jī)效目標(biāo)的合理實(shí)現(xiàn)提供保障。

?

5、選取視角不同

?

  • 內(nèi)部控制多基于當(dāng)下和過去視角:雖然內(nèi)部控制又可分為發(fā)現(xiàn)性控制和預(yù)防性控制,但內(nèi)部控制的視角主要是基于當(dāng)下和過去的控制而言;

    ?

  • 風(fēng)險(xiǎn)管理基于未來視角:風(fēng)險(xiǎn)管理則不同,每時(shí)每刻都是關(guān)注未來的風(fēng)險(xiǎn)變化。

    ?

6、管理內(nèi)容不同

?

  • 內(nèi)部控制側(cè)重確定性:內(nèi)部控制是針對(duì)識(shí)別確定出的需要進(jìn)行風(fēng)險(xiǎn)控制的點(diǎn),施加確定性的控制,管理是以確定性為主要內(nèi)容,雖然控制的效果有時(shí)也會(huì)有一定的不確定性。

    ?

  • 風(fēng)險(xiǎn)管理側(cè)重不確定:風(fēng)險(xiǎn)管理的實(shí)質(zhì)是管理不確定性,風(fēng)險(xiǎn)管理的過程也是將對(duì)目標(biāo)有影響的不確定性進(jìn)行識(shí)別、管理、應(yīng)對(duì),使其處于可接受狀態(tài)的過程。

?

7、體現(xiàn)方式不同

?

  • 內(nèi)部控制側(cè)重形:由于內(nèi)部控制的工作對(duì)象是針對(duì)有形的企業(yè)制度、流程,所以內(nèi)部控制本身也比較顯性化,比較好把握,有的企業(yè)覺得內(nèi)控操作性好就是這個(gè)原因;

    ?

  • 風(fēng)險(xiǎn)管理側(cè)重神:風(fēng)險(xiǎn)管理則不同,純粹有形的制度和流程還不足讓企業(yè)可以在所有的風(fēng)險(xiǎn)面前游刃有余,企業(yè)還有很多軟性的管理要素并不是制度和流程可以全面覆蓋的,如企業(yè)文化、價(jià)值觀等。另外,企業(yè)制度和流程的建立需要有一個(gè)方向的引領(lǐng),而風(fēng)險(xiǎn)管理側(cè)重的神正是提供了這些內(nèi)容。

?

? ? ? 給企業(yè)“看病”多年,發(fā)現(xiàn)和中醫(yī)給人看病有很多相似的地方,內(nèi)部控制好比中醫(yī)中的“陰”,側(cè)重物質(zhì)屬性,有形;而風(fēng)險(xiǎn)管理更像“陽(yáng)”,側(cè)重功能屬性,有“神”的引領(lǐng)作用。如此看來,醫(yī)人醫(yī)企道一也!