引言:从“亡羊补牢”到“未雨绸缪”
在商业世界中,企业面临着来自内外部的各种不确定性——市场波动、技术变革、竞争加剧、监管收紧、内部舞弊等,这些不确定性就是“风险”。
(图片来源网络,侵删)
- 内部控制 主要是“亡羊补牢”的机制,确保企业在风险发生时,损失被控制在可接受的范围内,财务报告是可靠的,并且经营活动遵守法律法规,它更侧重于流程、制度和监督。
- 全面风险管理 则是“未雨绸缪”的战略,它是一个更宏观、更前瞻性的框架,旨在识别、评估、应对和监控所有可能影响企业目标实现的风险,并将其管理融入战略和日常运营,它更侧重于战略、文化和价值创造。
下面我们来详细拆解这两个概念及其关系。
第一部分:内部控制
定义与目标
内部控制是由企业董事会、管理层和其他人员共同实施的,旨在为实现以下三类目标提供合理保证的过程:
- 经营的有效性和效率:确保资源得到有效利用,经营活动达到预期目标。
- 财务报告的可靠性:确保财务报告真实、准确、完整,不存在重大错报。
- 法律法规的遵守性:确保企业经营符合适用的法律法规和内部政策。
内部控制的五要素(COSO框架)
这是国际上最权威、最广泛接受的内部控制框架,它定义了有效内部控制的五个相互关联的组成部分:
| 要素 | 解释与例子 | |
|---|---|---|
| 控制环境 | 所有其他要素的基础,决定了企业的基调。 | 包括诚信和道德价值观、董事会的监督角色、组织结构、权责分配、人力资源政策等,公司明确的反腐败政策和高管对合规的重视。 |
| 风险评估 | 识别和分析实现目标相关的风险。 | 企业需要识别内外部风险(如市场竞争、供应链中断、关键人员流失),并分析其发生的可能性和影响程度。 |
| 控制活动 | 帮助管理层确保指令得以执行的政策和程序。 | 这是具体的“控制点”,是内控的落地措施。 • 职责分离:采购、审批、付款由不同人负责。 • 授权审批:大额支出需要高层批准。 • 实物控制:对现金、存货、固定资产的保管措施。 • 独立复核:定期对账、银行存款余额调节表。 |
| 信息与沟通 | 支持其他要素运行的信息系统。 | 确保信息在企业内部自上而下、自下而上以及横向有效流动,清晰的岗位职责说明书、开放的沟通渠道、定期的管理报告。 |
| 监督 | 对内部控制系统进行持续或定期的评估。 | 包括持续监督(日常管理活动)和专项评价(内部审计部门定期检查),目的是发现内控缺陷并及时改进。 |
内部控制的局限性
内部控制并非万无一失,它存在固有的局限性:
(图片来源网络,侵删)
- 人为错误:员工可能因疏忽或误解而犯错。
- 串通舞弊:两个或以上员工可以合谋绕过控制措施。
- 管理层凌驾:高级管理人员可能利用职权逾越控制。
- 成本效益原则:控制措施的成本不应超过其带来的收益。
- 情况变化:原有的控制可能不再适应新的业务环境。
第二部分:全面风险管理
定义与目标
ERM是一个动态的过程,由董事会、管理层和其他员工共同执行,应用于战略制定和整个企业,旨在识别可能影响企业目标的潜在事件,并在其风险偏好范围内管理风险,从而创造、保护和实现价值。
核心目标:从被动的“规避风险”转向主动的“管理风险”,最终目的是保护和提升企业价值。
ERM的四大目标(与内控目标对应并扩展)
ERM框架同样基于COSO,但将其目标扩展为四个更具战略性的维度:
- 战略与高阶目标:确保风险管理与企业的使命、愿景和战略保持一致。
- 报告与合规目标:涵盖财务报告和所有非财务报告(如运营、环境、社会报告),以及法律法规的遵守。这直接包含了内控的财务报告和合规目标。
- 经营目标:确保经营的效率和效果,保护资产安全。这直接包含了内控的经营目标。
- 资产保全目标:确保企业的有形和无形资产得到保护。
ERM的八大构成要素(COSO-ERM框架)
ERM的八大要素是内控五要素的演进和扩展,体现了ERM的战略性和全面性。
| 要素 | 与内控五要素的关系 | 核心思想 |
|---|---|---|
| 治理与文化 | 演进自“控制环境” | 更强调董事会的监督责任和塑造“风险意识文化”,风险被视为每个人的责任,而不仅仅是风控部门的工作。 |
| 战略与目标设定 | 全新的核心要素 | 这是ERM的灵魂。 企业必须在设定战略和目标时,就考虑自身的风险偏好和风险容量,先明确“我们能承受多大的风险”,再决定“我们要去哪里”。 |
| 执行中的风险 | 演进自“风险评估” | 风险评估不再是一次性活动,而是贯穿于企业日常运营和决策的动态过程,在制定年度预算、开展新项目时,都需进行风险评估。 |
| 事件识别 | 更具体的风险识别 | 系统性地识别可能影响目标实现的内外部风险事件,包括机会(正向风险)和威胁(负向风险)。 |
| 风险评估 | 更动态的风险分析 | 不仅分析风险的可能性和影响,还结合企业的风险偏好和风险容量进行评估,决定哪些风险是可接受的,哪些必须应对。 |
| 风险应对 | 更全面的策略选择 | 在“规避、降低、分担、承受”四种策略的基础上,更强调如何将风险应对策略与业务流程整合。 |
| 控制与活动 | 包含并超越“控制活动” | 仍然是具体的控制措施,但ERM更强调这些活动如何与风险应对策略相匹配,并确保其有效运行。 |
| 信息、沟通与报告 | 演进自“信息与沟通” | 信息流动的范围更广,不仅用于报告,更用于支持决策,报告对象也更全面,向董事会、管理层和监管机构提供关于风险状况和应对有效性的信息。 |
| 监控 | 演进自“监督” | 持续监控ERM的有效性,并根据内外部环境的变化进行调整。 |
第三部分:全面风险管理与内部控制的关系
理解ERM和IC的关系至关重要,可以用一个简单的比喻来概括:
如果把企业比作一艘船在大海上航行:
- 内部控制 就像是船上的救生艇、防火系统、导航仪表、安全带等,它们是具体的、局部的安全装置,确保在遇到风浪(风险事件)时,船体不会轻易损坏,人员伤亡和财产损失被控制在可接受范围内,它们是“底线保障”。
- 全面风险管理 则是这艘船的整个航行战略和指挥系统,它包括:
- 设定航线(战略与目标):根据天气、海图(风险偏好)决定目的地。
- 识别风险(事件识别):预判前方可能有风暴、冰山或海盗。
- 评估决策(风险评估):是绕行还是正面迎击?评估不同路线的风险和收益。
- 分配资源(风险应对):是加固船身(降低)、购买保险(分担),还是改变航线(规避)?
- 启用救生设备(控制活动):在做出决策后,确保所有安全设备都处于良好状态。
- 全程监控(监控):船长和瞭望哨持续观察,随时调整航向。
关系总结:
- 包含与被包含:ERM是一个更广泛的框架,内部控制是ERM的基石和核心组成部分,ERM的有效实施,必然依赖于一个健全的内部控制体系,没有有效的IC,ERM就是空中楼阁。
- 目标上的扩展:IC的目标聚焦于经营的可靠性、报告的合规性和法律遵循性,ERM在此基础上,增加了战略目标和价值创造,将风险管理提升到企业战略层面。
- 视角上的不同:IC更多是自下而上的,关注具体的业务流程和操作层面的风险,ERM则是自上而下的,从企业整体战略和目标出发,审视所有可能影响目标实现的风险。
- 动态性的增强:IC的评估和监督可能是周期性的,ERM强调风险管理的动态性和持续性,要求风险管理融入决策的每一个环节。
从分离走向融合
在现代企业管理实践中,ERM和IC正变得越来越融合。
- ERM为IC指明方向:ERM的战略视角帮助IC确定应该关注哪些关键风险领域,从而将有限的资源投入到最需要的地方。
- IC为ERM提供保障:强大的IC体系是ERM战略得以顺利实施的“压舱石”,确保企业在追求战略目标的过程中,不至于因失控而遭遇重大挫折。
一个成功的企业,不仅要拥有强大的“救生设备”(内部控制),更要具备卓越的“航行智慧”(全面风险管理),从而在充满不确定性的商业海洋中,既能规避暗礁,又能抓住风浪带来的机遇,行稳致远。
