一
相关概念及发展演变
1.标准化,全称“企业标准化体系建设”。主要是围绕企业技术标准、管理标准、工作标准,三大标准体系的建设。其出发点是覆盖企业全业务、全员参与,以技术标准为核心,管理标准为支持,工作标准为保障的体系搭建。亦就是说,标准化的建立基础是企业全业务。
2.内控,全称“内部控制”,指一般公司企业内部的控制运作。1992年COSO报告指出,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。COSO报告认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
2001年安然事件与2002年的世通事件,敦促美国国会在2002年出台了《萨班斯一奥克斯利法案》(Sarbanes-Oxley Act),该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制,并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的准确性。COSO框架明确了要在企业内部建立一个基本的控制框架,作为管理层评估财务内部控制的基准,这也是企业发展到一定程度在管理方面的必然要求。
3.风控,全称“风险控制”,是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或风险控制者减少风险事件发生时造成的损失。在企业经营管理中,总会有些事情是不能控制的,风险总是存在的。作为管理者会采取各种措施减小风险事件发生的可能性,或者把可能的损失控制在一定的范围内,以避免在风险事件发生时带来的难以承担的损失。风险控制的四种基本方法是:风险回避、损失控制、风险转移和风险保留。
2004年9月COSO 委员会颁布了《全面风险管理整合框架( Enterprise Risk Management - Integrated framework )》报告(ERM)。报告从内部控制的角度出发,研究了全面风险管理的过中程以及实施的要点,是全面风险管理理念在运用上的重大突破。COSO 对 ERM 的定义是:全而风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于企业战略制订并贯穿于企业各种经营活动之中,目的是识别可能会影响企业价值的潜在事项,管理风险于企业的风险容量之内,并为企业目标的实现提供保证。
归纳起来包括四个关键要素:
①过程:ERM是一个过程,这个过程贯穿于企业的各种管理和经营活动之中:
②对象:ERM的对象是企业内、外部各种来源的风险整体;
③主体:ERM的执行主体涉及到企业各个层级的全体员工和所有部门;
④目标:ERM的目标是把风险控制在风险容量以内,同时为企业寻找最佳的风险/收益平衡点,最终的目的是提升股东短期或长期的价值。
2017年前,内控框架是ERM框架的一部分。2017年ERM框架进行了更新,将企业管理活动纳入到全面风险管理框架中,亦就是说,新版ERM框架已经覆盖了企业管理活动的方方面面。更加关注风险管理对企业价值的创造,尤其是在战略的制定和执行中风险管理价值的体现,及增强风险管理和企业绩效之间的协同关系。
4.合规,全称“合规管理”,是指企业通过制定合规政策,按照外部法规的要求统一制定并持续修改内部规范,监督内部规范的执行,以实现增强内部控制,对违规行为进行持续监测、识别、预警,防范、控制、化解合规风险的一整套管理活动和机制。合规管理,与业务管理、财务管理并称企业管理的三大支柱,是内控的一个重要方面,也是风险管理的一个关键环节。
二
多体系一体化的体系策划与融合
合规管理、内控管理两者均与企业风险管控密切相关,只是关注点和切入点不一样。将合规管理体系、内部控制体系/风险控制体系,与标准化管理体系/管理制度体系进行有效衔接、融合与统筹,即所谓一体化,是大多数企业的必然选择,也是构建一套基于企业标准化管理的企业经营风险整体方案。
企业的目标不应该是“风险管理”。风险管理,只是企业在实现目标的过程中不得不处理的一个环节。企业的目标,根本上应该是企业的经营业务,而企业标准化管理体系/管理制度体系恰恰就是对企业经营业务管理活动的规范与固化。所有的管理体系,都应当是为企业经营服务的,与风险相关的管理体系,也不例外。因此,合规管理和内部控制/风险控制,虽然有不同的起源和要求,但根本上,都必须围绕企业的业务。业务流程,是合规、内控/风控与标准化管理工作/管理制度的共同对象。
然而,正常的业务行为并不必然会带来合规管理或内部控制等工作的启动。正常的或称为顺利的业务行为,只会产生下一个业务行为。只有那些不正常的业务行为(包括经营和管理行为),如违法的行为、不当的行为、错误的行为等,才会促使合规或内控/风控等工作的产生。这些不正常、不顺利的业务行为,在企业看来,即是风险行为。合规管理是针对那些违反外部法律法规以及道德规范导致企业受损的业务行为;内部控制/风险控制是针对那些企业内因缺少控制措施导致企业受损的业务行为。总之,合规与内控/风控针对的都是非正常的企业行为,合规管理与内控管理/风控管理都是“以风险管理为导向”管理行为。
企业标准体系则是对企业业务行为(包括经营和管理行为)正常操作的规范,而流程又是管理标准中不可缺少的一部分,将合规、内控中关注的风险标注于管理标准及相应的流程中,并对风险点进行控制,进而减少或避免风险的发生,使得合规、内控/风控与标准化/制度体系进行一体化构建,便于企业更好操作与执行。
