时代呼唤:构建中国企业全面风险管理标准
全面风险管理是一项十分重要的工作,关系到企业战略目标的实现,关系到企业持续、健康、稳定的发展,这是毋庸置疑的。企业实施全面风险管理主要是由于来自外部的压力和内部的需要,在风险管理还没有普遍开展起来时,来自外部压力对推动全面风险管理的实施是非常重要的,但从长远来看内部的需要将起决定性作用。中国大多数企业的风险管理还是起步阶段,政府的推动将起到很大的作用。
许多发达国家的大公司对于如何控制和管理风险已经进行了多年的探索和实践,由起初的认识风险、重视风险管理逐步完善到现在的建立全面风险管理体系。风险管理的理念、技术、方法和手段,已经应用于发展战略的制定、投融资决策、财务报告管理、内部审计体系建设等,涵盖了从公司法人治理结构的制度安排,到各项业务运作的流程和操作等各个层面,形成了系统化、制度化、具体化的全面风险管理体系。在发达国家,风险管理和内控机制建设已经上升到法律的高度。美国、英国、澳大利亚、新西兰等国家已经颁布了风险管理体系框架或国家风险管理标准。比较著名的是美国COS0l992年颁布的((COS0内部控制框架》和2004年颁布的((COS0全面风险管理整合框架》。美国还针对近年来发生的安然、世通等财务丑闻,进一步加大了监管力度,专门出台了《萨班斯法案》,对上市公司内控体系建设、信息披露等作了严格的规定。
在风险管理方面,我国一些企业进行了积极的探索和实践,取得了初步成效。但是,从总体上看,还处于起步阶段。我们有不少企业过去曾经出现过这样那样的问题,甚至到最后走向破产。说到底,就是企业风险没有控制好。国务院国资委2006年研究制定的《中央企业全面风险管理指引》(以下简称《指引》),得到了中央企业、地方国资委的积极响应和社会各方面的广泛关注。 中央企业中已经有一批企业开始启动这项工作,并且取得了较好效果。但《指引》仅仅还是个指引,比较原则,难以实施,需要具有可操作性的全面风险管理标准。时代呼唤中国企业自己的全面风险管理标准。
全国人大常委、原副审计长 刘鹤章
融合之道:内部控制和风险管理逐步走向融合
关于内部控制与风险管理的融合,石爱中审计长在2006年度中国内部审计协会和中天恒管理咨询公司举办的《内部控制与风险管理创新论坛》上就指出:“内部控制和风险管理逐渐融合,而且在很多工作中,包括在系统设计中这两个东西一定要融合,而不是分开的”。
审计署党组成员总审计师孙宝厚在2007年4月19日中国内部审计协会与中天恒管理咨询公司举办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上作了题目为《内部审计是风险管理的重要组成部分》的主题演讲,认为内部控制、内部审计是风险管理的重要组成部分,但不是风险管理的全部。
中国内部审计协会会长王道成在2007年4月19日中国内部审计协会与中天恒管理咨询公司举办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上指出,内部控制与风险管理走向融合,是一个必然的趋势,这不仅是内部控制体系向前迈进了一大步,也为我们内部审计的发展指明了方向,因此为了适应这样一种发展趋势,我国现行的内部控制体系有必要逐步地向全面风险管理体系升级和完善。内部审计的模式也应该逐步向以治理为目标、风险为导向、控制为中心、增值为目的的现代管理审计转型,使内部审计工作更加符合成本效益原则,更能够满足企业治理与管理的需要,更能体现内部审计的重要价值,实现内部审计价值的最大化。
融合是一种彼此的尊重,它可以让两个公司形成一个系统,融合是一种力量的凝聚,它可以实现1+1>2的效果,融合是一种思维的创新,它可以创造一个和谐共赢的世界。
中国内部审计协会制定的风险管理审计准则规定:“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。”明确了:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。这显然是传统的把风险管理作为内部控制的内容的观点。
3C全面风险管理基本框架的理解风险管理与内部控制的融合道理其实非常简单。企业在实现目标的漫长征程中,会遇到各种各样的风险;因此,就要采取措施控制风险。也正因为有风险才要控制,如果没有风险,控制就是多余的了,就是添乱,当然更是浪费资源。风险与控制的关系简单地说就是风险减去控制就等于剩余风险。当然,这个剩余风险一定要在企业可接受的水平范围内。
实际上,世界上内部控制与风险管理已逐渐融合了,把内部控制与风险管理试为同一事件。1992年,Treadway委员会的发起组织委员会(the Committee of Sponsoring Organizations of the Treadway Commission)发布了《内部控制——整合框架》,2004年,该委员会又发布了《企业风险管理—整合框架》,在该框架附件C中明确:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。
目前,以美国为代表的西方发达国家对全面风险管理的认识已经达到了前所未有的高度。对于任何一个企业来说,抛开其管理内容中具体的、特殊的部分,如与技术、行业、文化传统、销售渠道、地理位置、规模大小等有关的部分,全面风险管理都是经营管理过程中必须有的内容。全面风险管理作为对现有的整合内部控制体系的深化扩张而成为企业管理的核心内容。历史上,人们对企业管理中有关内容的认识经历了从单纯的公司治理结构到包含公司治理结构的整合内部控制体系,再到包含整合内部控制体系的全面风险管理体系的过程。
国资委颁布的《中央企业全面风险管理指引》要求企业在开展全面风险管理工作的同时,还要与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。
我国的有些企业都在积极探索内部控制与风险管理的融合之道,比如中国网通集团公司的“基于全面风险管理的内部控制体系构建与实施”获得全国企业管理现代化创新成果一等奖。备受国资委赞扬的中国神华股份公司的《内部控制手册》,实际上更是以全面风险管理为基础的,是内部控制与风险管理融合的结晶。中天恒管理咨询公司为我国某中央企业设计的《全面风险管理手册》,与公司现有管理体系和管理手段相衔接,实际上不仅仅是内部控制与风险管理的融合,而是整个管理的融合。
如果内部控制和风险管理融合后,企业至少没有必要既设立风险管理部,又设立内部控制部,设一个风险控制部就够用了。风险管理与内部控制融合,就是要打破风险和控制水平之间的平衡,不要把现代企业的风险管理和控制仅仅当成是一项纯粹的企业经营活动,它是一项包括了企业咨询专家、企业决策者、中层管理者以及企业员工在内的综合管理系统工程,需要各方面力量的协调和配合才能实现。
当然,强调风险管理与内部控制的融合,并不是风险管理要代替内部控制,实际上两者是并存的。企业肯定需要建立内部控制,来应对阻止企业进步的风险。否则,被控制所遏制的风险将可能发生。
中国内部审计协会副会长兼秘书长:易仁萍
