內控管理體系向風險管理體系的成功轉換

　　 【摘要】本文從內部控制和風險管理理論的發展入手，對二者之間的關系進行分析，重點介紹了寶鋼在內控體系建設和風險管理方面的實踐，并提出整合的風險管理框架設想，以期為中央企業的內控體系和風險管理體系建設提供理論支持和實踐經驗借鑒。
　　 【關鍵詞】內部控制；風險管理；公司治理；戰略管理
　　
　　受美國2002年出臺的薩班斯——奧克斯利法案（以下簡稱SOX法案）的影響，我國所有赴美上市及計劃赴美上市的企業必須按照美國監管機構的要求，完善內部控制體系、完成內控評估報告。同時，隨著經濟全球化的深入，企業遭受產品市場、要素市場和金融市場的價格沖擊越來越大，各類風險產生的擴張效應和聯動效應越來越嚴重。因此，內部控制和風險管理成為現代企業重點關注的課題。
　　本文將在回顧內部控制和風險管理理論發展的基礎上，探討二者之間的關系，并結合寶鋼在內控體系建設和風險管理方面的最佳實踐，提出整合的風險管理框架設想，以期對我國企業的內控體系和風險管理體系建設提供借鑒。
　　
　　一、內部控制、風險管理的理論發展及其關系
　　
　?。ㄒ唬﹥炔靠刂评碚摰陌l展
　　20世紀70年代中期的“水門事件”引起了美國立法者和監管團體對內部控制問題的重視。美國國會于1977年通過的《反國外腐敗法》是美國在公司內部控制方面的第一個法案。1980年后，美國COSO委員會將“內部控制”定義為“一個組織設計并實施的一個程序，以便為達到該組織的經營目標提供合理保障”。在COSO委員會制定的內部控制框架中，把內部控制活動分成五大組成部分，即：控制環境、風險評估、控制活動、信息與交流和監督評審。
　　2002年，美國成立的上市公司會計監管委員會（簡稱PCAOB）明確采用了COSO內控框架作為內控評價的標準體系。許多國家和地區的資本市場也采用了COSO內控框架，有些國家和地區在參照該框架的基礎上建立了自己的內控體系。
　　我國在2005年先后出臺了《上交所上市公司內部控制指引》和《深交所上市公司內部控制指引》兩個文件。上述兩個文件參照了美國SOX法案的要求，在理論體系上和COSO內控框架一脈相承。
　　（二）風險管理理論的發展
　　企業風險管理理論發展大致分為三個階段。第一階段：以“安全和保險”為特征的風險管理。100多年前航運企業風險管理的主要措施就是通過保險把風險轉移給保險公司。第二階段：以“內部控制和控制純粹風險”為特征的風險管理。隨著工業革命的發展，公司對業務管理和流程方面的內部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內部會計控制；1992年的《COSO內部控制綜合框架》提出以財務管理為主線的內部控制系統。第三階段：以“風險管理戰略與企業總體發展戰略緊密結合”為特征的全面風險管理。風險管理實踐表明，僅靠內部控制難以實現企業的最終目標。為此，COSO于2004年9月出臺了《COSO企業全面風險管理整合框架》（簡稱ERM），提出了由三個維度構成的風險管理整合框架。
　　我國國務院國資委于2006年發布《中央企業全面風險管理指引》（以下簡稱《指引》），標志著我國中央企業建立全面風險管理體系工作的啟動。
　?。ㄈ﹥瓤伢w系建設與全面風險管理工作的聯系和作用
　　全面風險管理與內部控制既相互聯系又存在差異。企業的內部控制體系是企業全面風險管理體系中重要的組成部分之一，而內控體系建設的動力則來自企業對風險的認識和管理。良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益，而這正是全面風險管理應該達到的基本狀態。此外，內控體系建設與全面風險管理工作的開展之間具有緊密的聯動作用，具體體現在以下兩個層面：
　　1.在理論框架層面，完整的內控體系包括依據COSO內控整體框架開展內部控制的評審體系以及內控自我評估體系；而目前國內外較為認可的企業風險管理理論框架是COSO企業風險管理整體框架。這兩個框架在理論基礎上具有繼承性和發展性。
　　2.在推進工作的步驟層面，從國內大型國有企業集團開展內部控制和風險管理的推進步驟來看，以內控先行、再逐步開展全面風險管理的做法是符合我國國情的。通過內控體系建設，在組織架構的完善、人員經驗的積累、內控流程的記錄等方面做好準備，可為公司未來開展全面風險管理打下較為完善的基礎。
　　至于差異，從二者的框架結構看，全面風險管理除包括內部控制的三個目標之外，還增加了戰略目標；全面風險管理的八個要素除了包括內部控制的全部五個要素之外，還增加了目標設定、事件識別和風險對策三個要素。從二者的實質內容看，內部控制僅是管理的一項職能，而全面風險管理貫穿于管理過程的各個方面。內部控制主要通過防范性的視角去降低企業內部可控的各種風險，側重于財務和運營；而全面風險管理強調通過前瞻性的視角去積極應對企業內外各種可控和不可控的風險，側重于戰略、市場、法律等領域。
　　
　　二、寶鋼在內控體系建設領域的實踐
　　
　　寶鋼股份是寶鋼集團的核心子公司。公司從2005年增資擴股后就著重于梳理內部流程，推廣管理標準。2007年3月，由公司總經理擔任組長的內控評審項目開始啟動。
　　內控項目工作范圍包括寶鋼股份總部以及下屬分子公司，資產規模和銷售收入合計占整個寶鋼股份合并報表范圍的80%以上。評審涉及寶鋼股份12大業務流程，梳理了各類大小流程300多個。在對12大流程風險控制點辨識的基礎上，逐步建立寶鋼股份上市公司內部控制體系，編制公司流程內控手冊，形成公司全面的內控改進點報告，建立公司層面基本內控體系。并在前期工作的基礎上，開展內控體系的自我評估工作，形成公司內控自我評估報告。
　　在項目實施過程中，公司組織了多場內控培訓會，形成了全員內控的企業文化。同時，公司對發現的內控薄弱點狠抓落實整改，并對各單位的問題匯總報告進行整理；評審項目組還組織各單位把相關流程發現的內控薄弱點和自身的業務進行對比分析，就同類問題開展自查自糾，以形成輻射效應。此外，寶鋼股份還將內控評審項目和常規審計工作相結合，在內部審計工作中跟蹤檢查問題的整改情況。
　　
　　三、寶鋼在風險管理領域的實踐
　　
　　寶鋼從2007年開始全力推進全面風險管理體系建設，這既是資本市場的要求，也是寶鋼自身發展的需要。寶鋼集團有限公司董事會確定的全面風險管理的總體目標是：圍繞寶鋼的戰略目標，在企業管理的各個環節和經營過程中執行風險管理流程，培育良好的風險管理文化，使風險管理機制成為寶鋼經營管理各個環節的有機組成部分。公司具體實施情況包括以下幾個方面：
　　（一）以法人治理為基礎，建設風險管理的組織體系
　　完善的法人治理是風險管理重要的內部環境，也是風險管理體系建設的起點和保障，而董事會建設則是法人治理的核心。寶鋼作為國資委所屬中央企業中首批董事會試點企業，在完善董事會試點的過程中優化董事會成員結構，建立外部董事制度，不斷完善董事會運作機制，初步形成了出資人、決策機構、監督機構和經營層之間各負其責、協調運轉、有效制衡的治理機制。
　　同時，寶鋼按照國資委《指引》的要求，構建了業務部門、風險管理部門和內部審計機構三道防線。第一道防線建設：總部各職能部門和各子公司作為風險管理的第一道防線，是所管業務風險的責任者，公司明確了其各自相應的職責。第二道防線建設：總部層面成立由分管副總經理擔任組長的“全面風險管理體系建設領導小組”，由系統運行改善部作為風險管理的綜合管理部門，對全面風險管理的日常工作進行協調和推進。第三道防線建設：審計部負責對風險管理體系的建設情況及工作效果進行客觀、獨立的監督評價。對各單位內部控制的合理性、完整性、有效性、可靠性作出評價，及時發現流程中存在的問題，提出內控完善的建議。
　　
　　（二）與管控模式相結合，制定風險管理策略和流程
　　寶鋼采取的是“戰略控制型”的管控模式，即總部通過對策略性、全局性業務進行管控來確保戰略意圖的實現，對于具體執行性業務則授權給各子公司來執行，以確保整體運作效率和響應速度。
　　因此，寶鋼的風險管理體系分集團公司和各子公司兩個層面推進。集團公司以兼并重組、子公司管控和輔業改制等重大決策、重要業務和流程的風險管理為重點，通過推進風險管理文化建設、推動內控系統優化，確定重大風險的應對策略、完善重大風險預警和報告機制、強化風險管理的檢查監督機制等措施，建立并不斷完善風險管理體系。各子公司則結合自身產業特征，從防范運營風險的角度出發，重點推進四項工作：1.建立風險管理的組織體系和工作機制；2.對重大風險進行識別和評估，形成重大風險清單，確定風險管理的重點領域；3.針對重大風險涉及的重要業務流程和重大事件，評估、完善內控體系，并落實為工作規范，制定管理制度，形成內控手冊；4.針對可能發生重大突發事件的業務領域，建立預警機制，制定應急預案。
　?。ㄈ┙⒘素攧疹A警指標體系，使得財務風險以及可能造成的損失可以通過財務指標的計算和分析得到量化和預警
　　在應急預案方面，在總部和子公司層面編制了一系列應急預案，提高寶鋼處置突發事件、保障公共安全的能力，最大程度地預防和減少突發事件及其造成的損害。
　　
　　四、整合的風險管理框架設想
　　
　　通過長期的工作實踐和思考分析，筆者認為：企業的風險管理工作需要和企業管理的多方面相結合，構建整合的企業風險管理系統。這不僅要考慮和內控體系的融合，還必須與企業公司治理、戰略管理等系統相整合。企業風險管理整合系統如圖1所示：
　　
　?。ㄒ唬╋L險管理系統應與公司治理系統進行整合
　　風險管理功能與公司治理功能相耦合和良性互動是風險管理系統與公司治理系統整合的目標。美國內部審計師協會（IIA）指出，企業風險管理的本質是“通過管理影響企業目標實現的不確定性來創造、保護和增強股東價值”。而公司治理則是董事會為了維護公司利害相關者的利益而對管理層提供指導、授權和監督的過程。整合風險管理與公司治理就是在公司治理框架中加入風險管理的角色。在這種拓展的公司治理框架中，高管和風險主管應當直接承擔風險管理的責任，董事會則應積極參與增值型的風險管理活動，如在風險管理的過程中對管理層進行指導、授權和監督等活動。
　?。ǘ╋L險管理系統應與公司戰略管理系統相整合
　　風險管理功能與公司戰略管理功能相耦合，主要體現在圖2所示的戰略管理全過程中：
　　
　　將戰略管理系統與風險管理系統相整合，有利于以較低的成本順利實現企業的戰略目標。公司治理確定企業風險管理的范圍和邊界，并為風險管理提供政策；而戰略管理則為風險管理提供資源與支持。公司實施不同的戰略，會引起不同的風險，也應采取不同的風險應對措施。因此，不同的戰略模式將會導致在不同的領域配置風險管理的資源。
　　企業戰略管理的最終目標是為了實現企業價值的持續增長，企業價值創造路徑應圍繞“股東價值←客戶價值←業務流程←核心資源”這一路徑展開，該路徑表明企業長期股東價值的增長來自于客戶價值的增長。企業要獲得長期穩定的客戶價值，必須具有高效、快捷和質量可靠的業務流程，這些業務流程的價值創造能力又依賴于企業核心資源的研究與開發。這也是企業價值鏈的形成路徑，企業風險管理也應遵循這一路徑而展開。
　　總之，整合的風險管理框架應該是由公司治理層面確定風險管理的政策；由高管確定風險管理的偏好；由戰略管理層確定風險管理流程、文件和模型；在應用和基礎設施層面配備相應自動控制裝置，以促進事件的自動處理和報告的自動生成，并使用分析工具對這些事件及其組合與公司政策的相關性進行分析，為決策者提供風險應對的信息。
　　
　　【主要參考文獻】
　?。?］ 張諫忠，吳軼倫.內部控制自我評價在寶鋼的運用［J］.會計研究，2005，（2）.
　?。?］ 吳軼倫.內部控制自我評價［J］. 上海財經大學學報，2