分手岔路口:一文了結(jié)企業(yè)風(fēng)險管理和企業(yè)內(nèi)部控制的恩怨情仇!

? ? ? 過去這些年,無論在理論界還是企業(yè)界,對于關(guān)于企業(yè)風(fēng)險管理和內(nèi)部控制之間的關(guān)系爭論了好多年。多種說法都出現(xiàn)過,比如:企業(yè)風(fēng)險管理包含內(nèi)部控制;有的說企業(yè)內(nèi)部控制包含風(fēng)險管理;還有的說企業(yè)風(fēng)險管理和內(nèi)部控制沒有關(guān)系。

? ? ? 應(yīng)該說,在這些年的爭論過程中大家還是形成了一定的共識。但是,離真正能夠說清楚、說明白兩者之間的關(guān)系還有一定的距離。從企業(yè)實踐來看,目前存在著很多不同的做法,很多企業(yè)因為無法準確區(qū)分兩者之間的區(qū)別與聯(lián)系,為了方便起見,還是將兩者并行放在一起進行“風(fēng)險管理與內(nèi)部控制”的整合管理。我碰到很多同仁吐槽遇到過此類苦惱,有領(lǐng)導(dǎo)詢問關(guān)于兩者之間的區(qū)別和聯(lián)系,我們很多從業(yè)者卻無法給領(lǐng)導(dǎo)一個滿意的解釋。

? ? ? 這其實不能責(zé)怪他們,因為兩個體系的糾纏已經(jīng)延續(xù)了十幾年、爭論了十幾年,也確實沒有人能夠非常清晰的劃清兩者的邊界和相互作用關(guān)系。就算前期形成了一定共識,但是面對這兩年企業(yè)風(fēng)險管理領(lǐng)域翻天覆地的變化,就更難回答了。我們今天就嘗試帶大家理一理思路,希望可以給大家?guī)磉M一步的思考。

?

一、國際戰(zhàn)場的恩怨起源

?

? ? ? 前面的文章我們已經(jīng)談到,1992年COSO發(fā)布的《企業(yè)內(nèi)部控制-整合框架》,作為在全球企業(yè)內(nèi)部控制領(lǐng)域的集大成者,面對21世紀初美國公眾企業(yè)一系列的財務(wù)造假事件,被美國證監(jiān)會采用作為美國資本市場公眾企業(yè)的合規(guī)框架而名聲大噪,同時,也被全球各個國家參考和借鑒形成了本國的企業(yè)內(nèi)部控制管理框架。

? ? ? 但是COSO通過分析這一系列的企業(yè)經(jīng)營失敗的案例,發(fā)現(xiàn)純粹從建立和維護一個健全、有效的內(nèi)部控制體系,還不足以防范這些失敗案例的再次發(fā)生,因為有些失敗的因素超出了內(nèi)部控制的范疇。所以,COSO考慮需要從更高的層面建立一個體系來指導(dǎo)企業(yè)如何能夠更好的保護企業(yè)價值、實現(xiàn)企業(yè)目標(biāo)。所以,時隔12年之后,2004年COSO發(fā)布了《企業(yè)風(fēng)險管理-整合框架》。從名字上可以看出,從企業(yè)內(nèi)部控制到風(fēng)險管理,COSO的本意表明后者要比前者定位更高一些、范圍更廣一些,COSO在正式文件中也闡明:企業(yè)風(fēng)險管理包含了內(nèi)部控制,從兩者的框架包含的內(nèi)容也能得出這樣的結(jié)論。

? ? ? 實話實說,COSO組織以內(nèi)部控制框架而全球聞名,而一個以財務(wù)、審計為主要背景的5家發(fā)起機構(gòu)組成的COSO,起草企業(yè)風(fēng)險管理領(lǐng)域的文件卻不一定是其優(yōu)勢所在,因為從“控制”向“管理”的跨越有可能超出了其駕馭能力。但不管如何,由于COSO在內(nèi)部控制領(lǐng)域的至高聲譽,其隨便一個動作就會引起全球的一陣騷動,這也凸顯了一個平臺的重要性。

? ? ? 在COSO發(fā)布其ERM框架之前,其實很早之前全球范圍內(nèi)已經(jīng)出現(xiàn)了泛風(fēng)險管理、企業(yè)層面風(fēng)險管理的概念和理念,但是只是在局部和小范圍應(yīng)用和傳播,并沒有被全面的普及和推廣。

? ? ? 我時常想,借助COSO的影響力,2004年COSO的ERM框架確實對企業(yè)風(fēng)險管理理念的廣泛傳播起到了非常積極的推動意義。但同時,2004年的“立方體”框架如同一個牢籠,也困住了企業(yè)風(fēng)險管理放蕩不羈、追求自由的翅膀。

?

二、中國戰(zhàn)場的恩怨起源

?

? ? ? 國際上戰(zhàn)事未結(jié),中國的戰(zhàn)役卻已打響,而中國戰(zhàn)場的發(fā)展應(yīng)該是全球中最離奇、最精彩的那一個。中國企業(yè)風(fēng)險管理實踐的全面展開是以2006年國務(wù)院國資委發(fā)布的《中央企業(yè)全面風(fēng)險管理指引》為標(biāo)志,而企業(yè)內(nèi)部控制實踐的全面展開是以財政部2008年發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》為標(biāo)志。

?

?

從時間線上來看,國際上兩個文件的發(fā)布中間是經(jīng)歷了12年探索和思考的時間,而中國只用了2年;從順序上講,國際上是先發(fā)布企業(yè)內(nèi)部控制框架,又發(fā)展到的企業(yè)風(fēng)險管理,而中國順序正好相反。2008年發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范參考了COSO 1992年的內(nèi)部控制框架,而2006年發(fā)布的企業(yè)風(fēng)險管理框架確實中國自創(chuàng)的一套,這也為這個戰(zhàn)場增添了一些新的不確定性。

? ? ? 2006年,我們中國的央企、地方國企和部分大型企業(yè)開始風(fēng)風(fēng)火火進行企業(yè)風(fēng)險管理體系的建設(shè),如我們之前文章中說的那樣,企業(yè)內(nèi)部控制是企業(yè)的一套基本功體系,2006年在我們中國企業(yè)還未全面強化基本功的情況下,就吃了一?!笆笱a丸”,導(dǎo)致虛火很旺

? ? ? 風(fēng)險管理推行了5年之后,2011年開始,中國企業(yè)又大規(guī)模的進行了企業(yè)內(nèi)部控制體系的建設(shè),這之后又進入了企業(yè)風(fēng)險管理和內(nèi)部控制的整合階段,再之后是兩個體系和各企業(yè)管理子體系的整合階段。

? ? ? 我們用了極其簡潔的幾段話描述了中國戰(zhàn)場的情況,因為我不想展開說,我相信在企業(yè)有過親身經(jīng)歷這個過程的人看了可能會感慨萬千,五味雜陳!超常規(guī)發(fā)展、顛倒發(fā)展帶來的經(jīng)驗和教訓(xùn)、惆悵和迷惘讓中國企業(yè)的這段歷史顯得格外讓人難以忘卻。

?

三、企業(yè)風(fēng)險管理的最新發(fā)展,推動了戰(zhàn)事走向終結(jié)

?

? ? ? 2017年9月,按照預(yù)定時間,COSO組織推遲了一年發(fā)布了新版企業(yè)風(fēng)險管理框架,這次的框架的變動如此之大,并沒有對原有的框架進行修補,而是直接拋棄了2004年的立方體風(fēng)險管理框架,掙破了立方體“牢籠”的企業(yè)風(fēng)險管理,又重獲自由。新框架強調(diào)風(fēng)險管理不是一項獨立的活動,應(yīng)該和企業(yè)管理活動密切融合。

? ? ? 而文件中也提及了風(fēng)險管理和內(nèi)部控制的關(guān)系,為了避免前期混戰(zhàn)的持續(xù),厘清雙方的關(guān)系,這次的風(fēng)險管理框架中,沒有提及任何和控制關(guān)于的話題,而將其都留給了內(nèi)部控制體系,以此算是給兩個體系做一個切割,希望雙方不再有紛爭、西線再無戰(zhàn)事。

? ? ? 2018年2月,ISO組織也發(fā)布了更新版的ISO31000風(fēng)險管理標(biāo)準文件,也有一些新的指導(dǎo)原則和導(dǎo)向的變化。這兩份文件我們公眾號寫過幾十篇系列解讀,有需要請查看,在此就不展開論述了。

?

四、企業(yè)風(fēng)險管理和內(nèi)部控制的七大本質(zhì)差異點

?

? ? ? 因為親歷了全程,所以每個階段都會留有一些思考和體會,回應(yīng)開頭關(guān)于業(yè)界對于兩者的區(qū)別和聯(lián)系,結(jié)合最新的理論發(fā)展,我們來總結(jié)和展望一下兩者的本質(zhì)異同點:

1、執(zhí)行力度不同

?

  • 內(nèi)部控制強制性:對于企業(yè)內(nèi)部控制而言,從發(fā)展源頭上來看,是由外部監(jiān)管機構(gòu)強制執(zhí)行的,特別是針對公眾公司,企業(yè)內(nèi)部控制有效性更是必須要保證的;

    ?

  • 風(fēng)險管理自愿性:風(fēng)險管理體系則不同,由于風(fēng)險管理的目標(biāo)是創(chuàng)造和保護的價值,這更像是企業(yè)的股東和管理層的一種自愿選擇行為,而不能是由任何外部機構(gòu)強制要求組織應(yīng)該創(chuàng)造多少價值。

?

需要注意的一點是,雖然外部監(jiān)管機構(gòu)強制企業(yè)建立內(nèi)部控制體系,但強制的部分是有側(cè)重點的,不能代表企業(yè)內(nèi)部控制的全部。所以企業(yè)內(nèi)部控制體系要做的好,不能僅僅為了滿足監(jiān)管機構(gòu)的要求為標(biāo)準。

?

2、實施要求不同

?

  • 內(nèi)部控制是最低要求:企業(yè)按照外部實施要求和指導(dǎo)文件進行的內(nèi)部控制體系建設(shè),是對企業(yè)控制的最低要求,是及格要求;

    ?

  • 風(fēng)險管理是最高標(biāo)準:企業(yè)風(fēng)險管理工作是為了企業(yè)愿景、使命和戰(zhàn)略目標(biāo)的實現(xiàn)為工作目標(biāo),這個內(nèi)部控制不同,是企業(yè)的一套最高標(biāo)準。

?

? ? ? ?打個比方,我們對一個人的要求,我們可以強制要求他不能觸犯法律,但無法非要讓他成為一個道德高尚的人。

?

3、使用手段不同

?

  • 內(nèi)部控制基于控制:從名字上就能看出區(qū)別,企業(yè)內(nèi)部控制體系的實施手段是基于控制的;

    ?

  • 風(fēng)險管理基于管理:而企業(yè)風(fēng)險管理的實施手段是基于管理的,控制手段是管理手段的一種。

?

4、針對目標(biāo)不同

?

  • 內(nèi)部控制針對財務(wù)、運營、合規(guī)目標(biāo):傳統(tǒng)的企業(yè)內(nèi)部控制體系建設(shè)和運行是為了合理保障財務(wù)報告、運營和合規(guī)目標(biāo)的實現(xiàn);

    ?

  • 風(fēng)險管理針對戰(zhàn)略、績效目標(biāo):風(fēng)險管理體系的設(shè)計和運行是為戰(zhàn)略和績效目標(biāo)的合理實現(xiàn)提供保障。

?

5、選取視角不同

?

  • 內(nèi)部控制多基于當(dāng)下和過去視角:雖然內(nèi)部控制又可分為發(fā)現(xiàn)性控制和預(yù)防性控制,但內(nèi)部控制的視角主要是基于當(dāng)下和過去的控制而言;

    ?

  • 風(fēng)險管理基于未來視角:風(fēng)險管理則不同,每時每刻都是關(guān)注未來的風(fēng)險變化。

    ?

6、管理內(nèi)容不同

?

  • 內(nèi)部控制側(cè)重確定性:內(nèi)部控制是針對識別確定出的需要進行風(fēng)險控制的點,施加確定性的控制,管理是以確定性為主要內(nèi)容,雖然控制的效果有時也會有一定的不確定性。

    ?

  • 風(fēng)險管理側(cè)重不確定:風(fēng)險管理的實質(zhì)是管理不確定性,風(fēng)險管理的過程也是將對目標(biāo)有影響的不確定性進行識別、管理、應(yīng)對,使其處于可接受狀態(tài)的過程。

?

7、體現(xiàn)方式不同

?

  • 內(nèi)部控制側(cè)重形:由于內(nèi)部控制的工作對象是針對有形的企業(yè)制度、流程,所以內(nèi)部控制本身也比較顯性化,比較好把握,有的企業(yè)覺得內(nèi)控操作性好就是這個原因;

    ?

  • 風(fēng)險管理側(cè)重神:風(fēng)險管理則不同,純粹有形的制度和流程還不足讓企業(yè)可以在所有的風(fēng)險面前游刃有余,企業(yè)還有很多軟性的管理要素并不是制度和流程可以全面覆蓋的,如企業(yè)文化、價值觀等。另外,企業(yè)制度和流程的建立需要有一個方向的引領(lǐng),而風(fēng)險管理側(cè)重的神正是提供了這些內(nèi)容。

?

? ? ? 給企業(yè)“看病”多年,發(fā)現(xiàn)和中醫(yī)給人看病有很多相似的地方,內(nèi)部控制好比中醫(yī)中的“陰”,側(cè)重物質(zhì)屬性,有形;而風(fēng)險管理更像“陽”,側(cè)重功能屬性,有“神”的引領(lǐng)作用。如此看來,醫(yī)人醫(yī)企道一也!