后内控时代的风险管理思考与问答

在《企业内部控制基本规范》要求上市公司和大型的国有中央企业和地方企业推动内控工作之前，我们的企业有内控吗？大家都说有。 既然我们本来就有内控，财政部等五部委要求的内控体系建设和企业本来就有的内控有什么不同？我们的体会是，财政部要求的内控体系建设的方式和我们以往的方式很不同，是以风险管理为导向，流程梳理为基础，关键控制活动为重点的。它的特点是：立足现状、突出流程，落实责任、积极监督，风险导向、规范管理，堵塞漏洞、防范舞弊。它希望大家把自己的管理工作和制度流程化、显性化，希望在推动之后企业建成的内控体系成为可视监督型的内控管理体系、部门职能和流程管理相结合的矩阵型内控管理体系，能够找到重大风险点制定管控措施，将措施编进制度，形成风险和控制相结合的风险控制矩阵，强化风险导向的内控。

在帮助企业实施了上百个内控体系建设项目之后，我们发现了这样一个问题：到目前为止，我们做的内控大部分都停留在合规阶段。在这个阶段，我们从审计角度出发，立足现有流程、制度进行梳理，查漏补缺，找到企业制度的设计缺陷和执行缺陷，然后进行整改，做到的是经营合规，堵塞各种管理漏洞，防范舞弊风险。但是企业的领导们觉得不够，因为他们从经营业绩角度出发，希望针对评估出的重大风险进行业务风险的专项治理，实现的是业务合理。他们希望我们在后续的内控和风险管理过程中，要提高企业管控能力，能够促进经营的效率和效益的增长。

当我们进入“后内控时代”，推动和实施内控体系建设之后，我们还会经常遇到哪些风险管理方面的问题？制定风险管理解决方案时，仅给出了方向性建议，缺乏方式的制定；制定解决方案时，仅针对程序性风险完善流程和制度，缺少流程环节上的操作质量风险管控，即表单和模板的制定；制定解决方案时，注重决策审批流程制度和权限的完善，缺少审批和决策的标准制定；在程序性风险解决方案的制定中，重视流程合规性梳理，缺少合理性梳理；制定解决方案时，缺少后续监控指标和效果的量化度量。如何解决这些问题？到目前为止，我们的体会和应对之道是通过企业内控机制解决程序性风险，通过业务风险的专项治理解决流程上内容风险和操作质量风险。

在这个过程中，我们体会到，从内控到风险管理是一个不断深化的过程。这个过程也分为不同的阶段：大部分企业在建设了内控之后，通过规范的制度、流程的设计消除了重大内控缺陷，减少了人为的管控风险，我们称之为内控的合规阶段；在此之后我们要开始对流程执行中的具体标准、表单、模板进行优化和完善，这是优化完善阶段；在这个阶段之后进一步提升标准化流程，形成了大量样本、流程、数据、表单，进行量化管理，这是提升阶段；然后建立公司战略目标、绩效目标与关键指标的关联，进行关键指标预警和IT信息系统的建设，叫做战略整合阶段；企业把这些流程都走完之后，最后风险管理作为企业各个部门或者子公司的核心竞争优势，能够进行全公司的有机协同，才能够达到世界一流的管理水平阶段。

通过我们在这些年开展的几百个企业内控项目，我们发现，在“后内控时代”，企业风险管理的三大趋势已经非常明显地体现出来——企业在风险管理中越来越重视指标化、业务化、信息化。因此在不同的阶段，要做的工作还有很多，也各不相同，我们不可能在一个阶段承载这么多的工作内容，所以只能分阶段持续不断地进行。

我们认为，内控的发展方向是从一开始大家做的合规型内控，不断发展到管理型内控，它平衡风险和收益，使内控和风险管理融入了常态业务，能够提高执行力和经营的效率。在这之后持续发展，就可以达到全面风险管理这个阶段，这个阶段的重要标志是各个部门有机协同，以实现企业的战略目标。

问：企业的风险管理工作一般分为哪四个阶段？

答：第一个是经验化管理阶段。管理比较分散，没有系统性，很多方法靠人的经验来实施。第二个是规范化管理阶段。比较全面地识别了内部程序、操作层面的风险，有比较标准化的流程和工作规范的指引，对程序性的风险有具体的、可执行的控制措施。第三个是专业化阶段。对外部的风险有了更全面、系统的认识，不仅仅是定性地分析风险，还有量化的手段；同时对于怎么控制风险有了一定的标准，讲究风险策略；有些风险的管理方式已经体现在与业务结合上，趋于指标化的管理。第四个阶段是卓越企业阶段，也就是“世界一流”。体现在对整体风险的组合、风险相关性的系统化和定量化分析达到了一定层级；大小的决策都要基于风险；以价值为导向的风险协同管理；风险调整的绩效考核，基于风险的资源配置；最后是有了信息化的支撑。

问：中国企业开展风险管理的过程是？

答：第一波浪潮是2005—2010年左右，全面风险管理体系建设阶段，以2006年中央国资委下发的全面风险管理指引出台为标志，推动了中国的企业在风险管理建设上前进了一大步，现在大多数企业已经建立了全面风险管理体系。第二波浪潮是内部控制建设阶段，以财政部等五部委《内部控制基本规范》的发布为标志。这对上市公司和所有中央企业都有要求，力度很大，有明确的时间表和合规要求，大大地推动了企业内部控制体系的建立。第三波浪潮是什么？什么时候到来？这是我们思考的问题。第三波浪潮就是“后内控时代的风险管理”，它有三个特征：1. 前两波主要是由监管部门要求推动的，而现在企业更多的是基于自身发展的需要提出主动深化风险管理的要求；2. 出现三大趋势，指标化、业务化、信息化；3. 风险管理必须回应形势的挑战，提出自己的风险管理解决方案。

问：“后内控时代的风险管理”存在的三个关键要素是？

答：一是指标化，包括建立覆盖全面、决策有效的风险监控预警指标体系；二是风险管理业务化，包括与业务部门做好分工合作和提高业务绩效两个问题；三是建立高效的风险管理信息系统，既要融入业务管理系统，又要整合风险管理和内部控制。

问：在风险管理第三波浪潮到来的今天，企业的风险管理领导和团队会有什么困惑和挑战？

第一，体系已建立起来，但运行无效，原因在于风险管理的关键要素和技术条件不足以支撑这个体系；第二，风险管理和内控体系都建立了，但整合运行还没有达成；第三，风险管理运行多年，价值没有体现，对战略和业务支持日益迫切；第四，风险管理信息系统建设提到了议事日程，但是信息系统怎么和业务系统进行整合和融合成为了难题；第五，提升深化遇到瓶颈，团队能力建设成为当务之急。

问：企业传统的管理存在哪些突出问题？

答：一、风险管理是分散的，缺乏整合；二、与战略目标联系不紧密，决策缺少支持；三、缺乏明确策略和指标，管理无依据；四、风险信息不充分，沟通不畅；五、风险应对强调控制，预防不足；六、管理重视程序、缺乏标准。

问：要解决企业传统的管理问题有哪些渠道？

答：第一是建立长效机制，系统整合运行的机制是基础。第二是强化方法手段，有了机制但没有方法很难实施，没有手段无法确定风险的大小、影响程度，看到了风险无法解决。第三是风险意识，在规范化体系运行的环境中逐步形成良好的风险意识和文化。风险文化是机制有效运行的必要条件。另一方面，企业的管理制度流程永远不可能覆盖所有方面、所有可能，一旦出现始料未及、管理又未到位的情况，就要靠长期形成的风险意识下所做出的应对行为了。

问：处于不同发展阶段、不同管理水平的企业如何选择有效的提升路径？

答：首先是继续建设和完善风险管理体系，其中一部分运营层面的风险，要靠内部控制来解决。另外还要基于风险解决具体的业务问题，例如投资、法律、采购、项目、合同等，这些已经在很多中国企业有了实践，也形成了一些有效的方法。其次是风险管理和内控信息系统的支撑。同时，要强化团队的能力培养，只有同步配套我们的软实力，风险管理的机制才能够真正有效。

本文来自公众号：第一会达风险管理。