企业实践中怎样将全面风险管理与内部控制整合在一起

——风险导向内部控制网原创专家视点
 

　　国内有很多企业面临提升内部控制、强化风险管理工作的要求和任务，但风险管理和内部控制在国内政出多门，且理论实践多样，怎样将全面风险管理与内部控制整合在一起，怎样选定适合自身的工作思路和方法，成为摆在面前的一道难题。风险导向内部控制网结合多年理论研究与实践经验，提出具体理解和工作思路如下，供各类企业参考。

一、理解全面风险管理与内控的关系
1. 分别理解全面风险管理与内部控制的概念
　　国务院国资委《中央企业全面风险管理指引》指出，全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。
　　财政部等五部委《企业内部控制基本规范》指出，内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
　　COSO对内部控制的定义是这样的：“内部控制被广泛地定义为由企业董事会、管理层和其他人员实施的，旨在为达成以下目标提供合理保证的一个过程：有效及有效率的运营；财务报告的可靠性；对使用的法律法规的遵循。”
　　其实从上述表述已经可以看出，国内的内部控制基本上是参考COSO定义，只是控制目标扩充到5个。但这5个内控目标和全面风险管理的5个目标又有所不同，具体差异后文有表述。

2. 理解全面风险管理与内控的关系
　　关于全面风险管理与内控的关系，国务院国资委的官方解释如下：
　　内控是全面风险管理的组成部分。美国COSO的综合内控框架是当今应用最多、最普遍的内控系统。许多国家的内控体系借鉴了COSO的内控体系。而COSO又在2003年7月公布了全面风险管理框架的征求意见稿。在美国这个征求意见稿中，COSO明确地指出全面风险管理体系框架包括内控作为一个子系统。
    内控是整个全面风险管理体系的不可缺少的组成部分。对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。作为全面风险管理的子系统和组成部分，内控有其自然的局限性，其表现为目标的局限、应用范围的局限、方法的局限等。
　　风险导向内部控制网在上述理解基础上，补充细化我们的认识。
　　◆内部控制是全面风险管理的组成部分，能够较为有效的管控和应对流程层面的风险。可以说，搭建全面风险管理体系的基础是构建有效的内部控制体系，没有良好的内部控制，全面风险管理就如空中楼阁。全面风险管理大部分工作的开展，其实就是内部控制的开展。
　　◆运行、优化内部控制措施，可以作为（或者说实际上就是）应对大部分风险的应对方案。风险解决方案里，一般或多或少都会包括内部控制措施。当然，面对一些外部风险，可能内部控制措施就鞭长莫及，这时候需要制定专项的、另外投入的风险解决方案。
　　◆构建、完善内部控制的过程中，能够系统梳理、识别流程层面以及一部分公司层面面临的风险，这些风险信息就是全面风险管理工作流程的重要环节和内容。
　　◆内部控制和风险管理各自的组织结构，应该统一到一个领导机构、一个部门，防止就某些问题打架。

3. 内部控制（含sox404）、风险管理的区别和联系对比
　　风险导向内部控制网整理的内部控制（含sox404）、风险管理的区别和联系对比，用2个表格表示如下。

表1

表2

二、搭建全面风险管理与内部控制体系的具体工作方法
　　根据上述二者的联系与区别，风险导向内部控制网建议，在搭建全面风险管理与内部控制体系时，参照如下工作思路。

1. 明确专项工作的目的任务
　　由于风险管理与内部控制专项工作的目的任务不同，在工作思路和方法上也将存在一定差异。谨以某大中型国有企业/上市公司为例，首先明确其工作目的任务：
　　根据国资委和上级单位要求，建立健全全面风险管理体系，培养一支专业队伍，全面识别分析所面临的主要风险，采取科学的应对策略与管控措施；
　　与此同时，建立健全内部控制体系，达到五部委、国资委、资本市场的相关监管要求，系统梳理各项流程并识别整改存在的内部控制缺陷；
　　减少重复劳动，防止两张皮，将这两者一次整合在一起。

2. 制定工作思路
　　首先明确相应的工作参考依据，包括国务院国资委《中央企业全面风险管理指引》、财政部等五部委《企业内部控制基本规范》、《内部控制应用指引》、《内部控制评价指引》，以及行业最佳实践。
（1）调研诊断
　　本阶段要进行初步摸底，了解企业经营管理现状和战略发展目标。依据上述指引文件对照企业当前的风险管理与内部控制工作发现存在的差异，初步梳理出存在的问题和不足，明确具体工作方向和步骤。
（2）梳理流程、全面梳理识别风险
　　通过梳理流程，全面掌握企业的经营管理模式和运营流程，梳理流程层级中存在风险。
（3）评估风险，识别内部控制缺陷，制定风险应对措施和内部控制整改方案
　　将风险管理工作流程中的风险识别、评估，与内部控制缺陷认定和整改相结合，完成系统、融合的发现问题，分析问题并制定应对措施。
（4）完善风控组织结构和职责
　　将风险管理组织体系职责和内部控制组织体系职责相融合，建立一体化的组织结构，健全董事会风险管理委员会与审计委员会等领导机构，明确风险管理和内部控制的工作规则和流程。
（5）编制必要的体系文件，宣贯推动实施
　　根据专项工作的目的和任务，风险导向内部控制网建议编制必要的体系文件，如全面风险管理制度、内部控制手册、流程手册、风险评估手册、内部控制自我评价手册等。
（6）定期进行监督检查
　　根据专项工作形成的体系文件和规章制度，由监督机构、部门定期进行监督检查，掌握风险管理与内部控制体系运行效率效果，并进行必要改进。