《企业内部控制基本规范》定义内部控制目标为:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略。企业风控合规体系建设首先碰到的难点是要区分风险、内控和合规的关系,特别是风险和内控的关系。
受老版COSO风险管理和内部控制立方体的影响,实务中,很多企业和咨询机构都认为风险管理是大号的内部控制,两者没有本质区别。COSO在2017年对企业风险管理进行了改版,抛弃了原来的立方体,而启用了象征着DNA的双螺旋体;并且COSO强调:企业风险管理与内部控制不是一回事。(战略)目标设定不是内部控制的范围,内部控制是基于已经确定的战略和经营目标开展控制措施的设计。风险管理是一种能力、文化和实践,是融入战略目标选择的。风险管理关注于企业整体绩效的改善和提升。
有效区分风险管理、内部控制和合规管理
基于对管理本源和最新版COSO内部控制和企业风险管理的认识,我认为,风险管理属于目标管理范畴;内部控制和合规管理属于流程管理范畴。风险管理不应该有独立的业务流程,而是应当融入战略规划、年度计划、年度预算编制、年度审计计划、项目投资立项等业务流程中。在不同目标、方案或计划的选择过程中,进行风险评估(如敏感性分析),并最终选择与风险承受能力相匹配的目标、方案和计划。每个备选的方案和计划都有其固有的风险特征,选择目标的过程就是对风险进行评估和管理的过程。目标确定了,企业的固有风险也就确定了。
固有风险有可能超过企业的风险承受能力。内部控制(合规管理)就是通过控制措施的设计,将固有风险降低到风险承受围内。如果在完善了内部控制后,剩余风险仍然超过了企业风险承受能力的,则需要回到风险评估环节,重新考虑和选择不同的战略目标、业务方案和计划,从而形成管理上的闭环。
风险管理和内部控制通过高阶流程衔接
安东尼模型将企业流程分为战略层、战术层和业务层三个层次。
美国生产力和质量中心(APQC)也有类似的逻辑,将流程体系分为类别、流程组、流程、活动和任务等五个层级。
通过多年观察我们发现,企业内控体系建设中,往往将18项应用指引奉为圭臬,一头就扎进了业务层流程的评估和优化(APQC的流程及以下级);而忽略了对战略层和战术层流程(APQC的类别和流程组级)的评审。
战略目标决定企业的高阶流程(APQC的类别和流程组)。针对企业战略目标的风险评估和风险应对策略(如重大战略举措)往往需要通过高阶流程来保障实施落地。内部控制基于既定战略和经营目标。在确定了高阶流程后,内部控制对流程体系进行精雕细刻,有效防止、降低和发现业务层面的风险。
跳过了目标这个起点,直接谈风险,容易陷入为风险管理而风险管理的死胡同,造成普遍性的过度控制,但关键性业务风险缺乏控制的尴尬局面。内控体系看似有,实则无!暴雷方知内控缺。
风控合规体系建设方案
一是战略目标解码。风险管理应该融入战略规划流程中。如果战略规划已经确定了,首先要做的是对战略目标进行解码:战略目标指标化。
管理大师德鲁克说:没有衡量就没有管理。没有指标就没有衡量。解决风控与管理和企业战略脱节问题的核心关键,在于将战略目标指标化。
二是构建指标体系。指标从性质上可以分为原子指标、衍生指标和复合指标。
企业战略层面的指标通常都是复合指标和衍生指标。这类指标比较抽象和综合,且是由原子指标不断迭加后构成的。需要将这些指标拆解还原为原子指标后,才能找到真正的业务驱动因素。
构建指标体系的过程,会形成几棵指标树,树根是关键的战略目标。
三是指标预警规则。指标体系构建完成后,可以考虑为指标设计预警规则,建立红黄绿亮灯机制。COSO201企业风险管理将将原来定性为主的“风险容忍度”界定为“可接受的绩效偏差”,即以围绕指标上下波动的范围来表示风险容忍度。
亮灯机制与COSO的可能绩效偏差概念可以完美结合。
通过系统手段,可以将指标分解到流程、分解到岗位,通过与业务系统的对接,实现基于业务环节的实时预警,并在线进行风险整改的跟踪和管理。
四是风险评估应对。基于指标体系的风险评估,在传统定性为主的风险评估基础上增加了定量评估的可能性。
对标评估:对标世界一流和国内一流企业的指标数值,寻找差距,发现业务机会点和风险点,制定风险应对策略和管控措施。
趋势分析:将企业自身多年的数据进行分析,发现数据的变动趋势,发现潜在的业务风险点,在数据指标进一步恶化前采取干预措施。
让风险管理和内部控制立足于企业绩效的改善做加减法。减少不必要的冗余控制;增加管理机制防范业务风险。
五是再造流程体系。将指标体系经过拆解后形成的原子指标关联至业务流程;同时,将风险评估中确定的风险管控策略也关联至业务流程。
自上而下的风险管理往往会发现企业原有的流程体系存在缺陷,缺少保障战略实施的必要高阶流程。将指标体系和风险管控策略关联至业务流程,补充和完善企业的战略和战术层流程框架(APQC的类别和流程组);为后续具体内部控制措施的设计提供基础。
六是系统改造方案。风控措施需要融入业务流程才能真正落地。在企业数字化转型的大背景下,业务系统改造方案也越来越多成为企业风控体系建设的应有之义。业务改造方案的核心是解决数据结构化和自动化问题。
七是数据资产管理。企业数字化转型中,涉及各类信息系统建设。如果没有有效的数据资产管理,各类系统内产生的大量原始数据质量将大打折扣,无法有效“炼金”。
基于良好的数据资产可以以更少的系统开发成本、更好地将风控措施落实到业务系统中。数据资产包括:业务对象、基础类数据标准、指标类数据标准、信息链、数据流和数据质量规则。
八是风控管理系统。基于大量的实务经验和项目总结,我们把风控体系建设的思路进行了系统化,围绕目标管理和流程管理两个基本点,将所有管理要素落实到流程环节;可以用于风控体系的设计和日常运营,还可以与业务系统进行对接,进行实时的风险预警。
目前,系统实现的核心功能包括:指标管理(包括对标管理、预警规则);流程管理(流程框架、流程图);组织架构及岗责体系(岗位说明书);法规库及合规风险库;经营风险库;财报错报风险库;风险评估;制度流程管理(起草、评审、发布、废止);风险事件库(上报、跟踪);风险预警;知识库;数据资产管理等。
来源:力道会语 作者:谢力
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除
自主竣工验收
清洁生产审核
排污许可核查
