國有企業融合推進全面風險管理與內控體系建設的思考

陳君

【摘要】本文梳理了國內外對全面風險管理和內部控制關系的不同觀點以及管理要求，進一步探討了國有企業在開展相關工作時常見的困惑，并有針對性地提出了在國有企業管理實務中融合推進全面風險管理與內控體系建設的方案。

【關鍵詞】風險管理；內部控制；國有企業

【中圖分類號】F276.1

防范化解重大風險是黨的十九大提出的三大攻堅戰之一。對于國有企業來說，建立健全全面風險管理和內部控制體系是落實好中央決策部署的重要抓手。風險管理與內部控制對于國內外企業來說并不是陌生的概念，但是，隨著國內外風險、內控理論的演進，以及國有企業相關監管要求的變化，如何將風險管理與內控體系建設有機融合、協同推進，就成為當前一個重要的新課題。

一、理論界對于風險管理與內部控制關系的認識

從美國COSO委員會于1992年發布《內部控制——整合框架》開始，理論界對于風險管理和內部控制之間關系的認識，到底是包含與被包含還是完全等價的關系一直都有爭論。對于兩者的關系，總體來看，主要有以下三種觀點：

（一）風險管理包含內部控制。例如COSO委員會的《企業風險管理——整合框架》（2004）就指出“企業風險管理包含內部控制”。

（二）內部控制包含風險管理。例如巴塞爾委員會發布的《銀行業組織內部控制系統框架》中的風險管理要求等。

（三）風險管理與內部控制一體化。例如Blackburn（1999）認為“風險管理與內部控制僅是人為的分離”等。

近年來，對風險管理和內部控制關系的認識進一步體現了融合的傾向：

在2017年COSO最新發布的《企業風險管理——與戰略和績效相整合》當中，從風險管理定義角度進一步區分了其與內部控制的關系，2004版的框架文件中，COSO將風險管理定義為“一個過程”，但是在2017年版本中，將風險管理定義為“一種文化、能力和實踐”，同時進一步說明兩個體系并不是相互代替的關系，而是側重點各不相同、相互補充的作用。

同時，2018年最新發布的ISO31000風險管理標準中，提出了新的原則、框架和流程，其中對“整合性”進行了反復的強調，指出“風險管理是所有組織活動的組成部分”，用一種“嵌入式”的描述反映了風險管理與內部控制交叉互融的關系。

二、國有企業在風險管理與內控工作實務中面臨的困惑

對于國有企業來說，除了要參照COSO或者ISO發布的一般性標準開展相關工作，還要執行國資監管部門發布的各類管理要求。

2006年，國資委發布了《中央企業全面風險管理指引》（以下簡稱《指引》），掀起了中國企業風險管理實施的第一次浪潮。《指引》指出，應“建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統”。

2008～2010年，財政部等5部委陸續發布了《企業內部控制基本規范》及其18個應用指引，在關于內部控制五要素的表述中指出，“控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內”。

2012年，財政部、國資委聯合下發《關于加快構建中央企業內部控制體系有關事項的通知》（以下簡稱“通知”），要求“以提高經營效率和效果為目標，以風險管理為導向，以流程梳理為基礎，以財務內部控制為切入點，以關鍵控制活動為重點”計劃和實施風險內控工作。

面對監管部門不同的要求，國有企業尤其是中央企業在執行過程中主要面臨著兩方面的困惑：

一是認識層面，監管部門在先后發布的各類不同要求中都有關于風險與內控的表述，但是并沒有就兩者之間的關系進行過細化的表述，因此對于在并行實施過程中，如何理解這兩者之間的差異及各自側重點，以及如何相互配合，普遍存在著認識模糊、無從銜接的現象。

二是實操層面，有些中央企業在《指引》頒布前就已在海外上市，并依據美國薩班斯法案等要求建立了內部控制體系，后續就會面臨如何在此基礎上做好全面風險管理的問題；有些中央企業是按照《指引》要求先建立了全面風險管理體系，但后續又要按照《通知》要求組織開展內控體系持續改進工作。不同企業的歷史情況不同，也相應產生了不同的實操問題。

三、對全面風險管理與內控體系建設的思考

面對理論界認識的不斷演進以及各類監管要求的交叉復合，筆者認為，作為國有企業尤其是中央企業，應不囿于各類理論層面的表述，而是從提升企業管理水平和整體抗風險能力的角度出發，以我為主，結合實際，按照“一企一策”的方式融合推動相關工作。具體從三個層面來推動：

（一）深刻理解，達成統一認識

企業在組織開展風險管理和內控工作的過程中，尤其是進行頂層設計和整體規劃時，要著重研究分析內控體系與風險管理和其他既有管理體系的關系，在深刻理解其內涵的前提下，更好地對融合推進相關工作進行部署。從實踐的角度來說，應有三方面的共識：

1.內部控制是全面風險管理的必要環節。內部控制體系的建設和實施過程中，以風險為出發點和落腳點，能夠不斷地深化全面風險管理意識，同時在內部控制流程梳理優化的過程中也能夠識別出新的潛在風險，對既有的流程、制度查缺補漏，有助于實現全面風險管理的目標。

2.企業對風險的認識和管理為內部控制的發展提供動力。全面風險管理為構建風險導向的內部控制體系提供了基礎，風險的識別與細化是建設內部控制體系的前提。伴隨業務發展，企業面臨的重大風險動態變化，也促使內部控制體系得以不斷擴大其外延。

3.風險管理和內部控制的載體不一定是獨立的風險手冊、內控手冊等。風險管理和內部控制的精髓在于“整合”和“嵌入”，體現為從不同視角融入既有的制度體系、合規體系等管控體系中，是利用風險管理和內部控制的邏輯框架，對既有的管理機制進行系統化、標準化、規范化，不是另起爐灶，單搞一套。

（二）整合推進，發揮協同效應

企業應以構建一套具有較好適應性和擴展性、覆蓋各主要業務環節的全面風險與內部控制體系為建設目標，在總結和提煉自身一系列已被實踐證明行之有效的管理模式和具體舉措的基礎上，對現有風險管理和內部控制體系進一步優化和升級，為企業實現可持續發展奠定堅實基礎。

1.內控體系建設體現風險導向。以風險為導向的內控體系建設可以促進企業在面臨不同環境時，及時調整目標和方向，靈活有效地應對變化，幫助企業完善治理結構，提高運營效果和效率。具體工作中要從辨識每個流程相關的重要風險點入手，依據風險情況針對性地明確公司各項重要流程的關鍵控制節點，固化對相同風險的規范化管理標準，并相應厘清管理權責，完善操作程序。

2.全面風險管理要以內控為抓手。部署風險辨識工作時，要求與內控體系建設工作對接，將風險辨識結果進行區分，適宜通過內部管理手段進行管控的風險，須落實相應的流程和控制。同時，以風險辨識結果為基礎，創新工作思路和方法，將風險管理策略和解決方案與部門功能定位、職責范圍、工作事項合理對應，利用內部控制工具實現風險管理的落地。

3.風險管理與內控建設融合推進，要充分利用現有管理體系的成果。既有的管理體系與內控體系、風險管理體系一樣，都是以流程梳理為基礎，明確各級各類人員的職責權限、工作流程規范及考核標準，促進職能管理“責任明晰化、工作流程化、操作規范化、績效可量化”，實現規范管理的目標，都是從不同的管理角度出發，來提高公司的整體管理水平，可以做到有機融合。實踐中，應以風險為導向，確定工作流程中的重要控制點，細化風險控制手段，明確職責分離和分級授權等要求，在沿用現有管理文檔的基礎上，根據需要對所涉風險、操作流程等維度進行補充和細化，實現“一套管理體系，不同管控視角，多維管控成效”。

（三）組織保障，推動體系落地

建立健全風險管理和內控建設相關的組織機構和工作機制是確保相關工作有力推進的基礎和前提。筆者認為必須建立集中統一領導與協同分工機制相結合的組織保障體系。

1.設立公司層面統一領導機構。風險管理與內控體系建設的融合推進，最關鍵的環節是頂層設計，必須有統一的領導機構和確定的牽頭部門進行統籌安排，力戒“九龍治水”。公司應在管理層設立專業委員會，如風險和內控管理委員會等形式體現風險管理和內控建設統一的領導機構，集中統一對風險管理和內控相關工作進行決策部署，必要時可考慮將制度管理、合規管理、法律管理等相關職能也納入相關委員會統籌；同時，根據企業實際設立或指定牽頭部門做好集中統籌。

2.建立上下聯動、橫向協同的工作機制。風險管理和內控體系的融合必然要體現在各個具體的日常工作環節中。推動體系真正落地、而不是“兩張皮”的關鍵就在于必須形成“一個引領，一群響應”的格局，建立一套分兵把守、協同共振的工作機制。此種工作機制以責任分工為基礎，以過程監控為抓手，以考核評價為保障，確保風險管理和內控建設的要求共同融入到企業的各項經營管理活動之中，真正體現出內生性的管理成效。

當前，企業管理的廣度、深度、難度均發生了深刻變化，所面臨的整體風險環境也更加復雜，不確定性日益增加，傳統的風險管理和內部控制必須堅持管理的初心和本源，也必須去擁抱新的理念，相互融合、互為促進，真正推動企業戰略創新和實現績效目標。

主要參考文獻：

[1]朱大華.企業風險管理與內部控制的關系與應用[J]，財會通訊，2012（9）：46-48.

[2]戴澤龍.全面風險管理和內部控制的一體化建設[J]，中國經貿，2013（14）：138-139.

[3]COSO. Enterprise Risk Management-Integrating with Strategy and Performance[S]，2017.

[4]ISO. ISO 31000： Risk management-Guidelines[S]，2018.

[5]夏莽，黃煒.基于ISO標準的全面風險管理和內部控制的一體化思考[J]，現代經濟信息，2014（11）：149-150.