一、引言
近年来随着市场经济的发展和企业间竞争的加剧,集团企业面临的内外部环境越来越复杂,风险发生的频率和危害程度与日剧增。如果内部控制产生重大缺陷,重要风险控制不当,就有可能对集团企业的生存、发展产生非常重大的不利影响。
因此,集团企业迫切需要采取科学的手段,提升风险管控能力。近几年来,尽管在外部监管机构的规制要求下,越来越多的集团企业认识到良好的风险管理和内部控制机制的重要性,开始关注全面风险管理,进行内部控制建设。可是,有许多集团企业没有将内部控制与风险管理进行有机融合,使内部控制没有起到应有的风险管控作用。因此,集团企业在建立全面风险管理机制时,应该将内部控制与风险管理进行有机结合,以风险管控为导向,以内部控制为切入点,构建基于内部控制的集团企业全面风险管理体系。
二、基于内部控制的集团企业全面风险管理体系架构
在当今社会,集团企业发展的外部环境和内部条件都在剧烈地变化着,其内部控制建设和风险管理需要在充分考虑集团企业总部、分子公司和其他业务单元的风险管理需求的基础上,统一体系要素和体系结构,确保整个集团企业不同层级的风险管理与内部控制机制衔接一致。因此,需要整体设计基于内部控制的集团企业全面风险管理体系架构。该体系总体架构由“核心理念、基本内涵和主要内容”组成。
1. 基于内部控制的集团企业全面风险管理的核心理念
基于内部控制的集团企业全面风险管理将内部控制与风险管理进行有机结合,把内部控制作为基础平台,开展风险管控活动。其核心理念是:风险管理与内部控制是辩证的统一体,内部控制是风险管理的工具和手段,集团企业内部控制系统存在的目的在于全过程地治理威胁其战略目标实现的风险,即事前实施风险预控,事中进行风险防控,事后最小化风险。这就意味着需要从以下两点进行分析:
(1) 内部控制要以风险管控为导向
内部控制的实质是管控风险,一定要从管控风险的角度出发,开展内部控制工作,内部控制不能脱离风险管理大环境。正因为内部控制要以风险管控为导向,在内控控制活动中,内部控制评价十分重要。如果内部控制评价缺位,内部控制也就形同虚设,更不可能起到控制风险的作用[1]。
(2) 风险管理要以内部控制为基础
内部控制是全面风险管理的基础,风险管理应该与内部控制相联系。没有内部控制作为基础平台,风险管理也就失去了根基,成为空中楼阁。
2. 基于内部控制的集团企业全面风险管理的基本内涵内部控制与风险管理是基于内部控制的集团企业全面风险管理体系对立统一的两面,其基本内涵为:以集团企业战略目标为指导,将风险管理和内部控制纳入统一的一体化管理框架。首先,以风险为导向,在“全面风险管理”层次上对内部控制进行思考与定位,在全面评估风险的基础上,分析、设计、构建“风险导向的内部控制体系”;然后,以内部控制为平台,通过内部控制活动,在集团企业的风险偏好范围内管控风险,最终将风险控制在可接受的范围内,为企业战略目标的实现提供合理保证。
总之,基于内部控制的集团企业全面风险管理,通过内部控制为全面风险管理找到着力点和切入点,能够有效避免风险管理和内部控制的分离,防止风险管理流于形式,以促进全面风险管理机制在集团企业内部有效运转。
3. 基于内部控制的集团企业全面风险管理的主要内容根据 coso 《企业风险管理-整合框架》[2],财政部等五部委《企业内部控制基本规范》 的基本要求,国资委 《中央企业全面风险管理指引》 的基本内容为依据,参考 《上海证卷交易所上市公司内部控制指引》、香港联交所的 《公司管治常规法则》、英美等国家的管治守的基本要求,立足集团企业的实际情况,以集团企业战略目标为指引,构建以内部控制为基础的全面风险管理的体系,主要内容包括:全面风险管理目标、风险导向的内部控制体系、风险管控、风险管理考评、风险管理报告与风险预警六个方面。
在实际操作过程中,基于内部控制的集团企业全面风险管理的主要内容一般通过编制 《基于内部控制的集团企业全面风险管理手册》 来体现,以其作为集团企业开展全面风险管理工作的操作性文件。
三、基于内部控制的集团企业全面风险管理的运行机制
以内部控制为基础的全面风险管理的运行机制主要包括设立全面风险管理目标、构建风险导向的内部控制体系、实施风险管控、开展全面风险管理考评、明确全面风险管理预警体系和建立全面风险管理报告体系等。
1. 设立全面风险管理目标
基于内部控制的集团企业全面风险管理应该始终围绕支持集团企业战略目标的实现而开展工作,使风险管控与集团企业战略目标相适应,并将风险控制在集团企业可承受的范围内,为确保集团企业战略目标的实现提供合理保障,以实现“最大限度的企业价值”。因此,需要在集团企业战略目标的指引下,设立全面风险管理目标。
第一,进行集团企业环境分析。采用“SWOT”和“PEST”分析法,全面分析集团企业所处的内外部环境,并形成环境分析报告。
第二,制定集团企业风险管理方针。基于环境分析报告,制定集团企业对各种重大风险和重要风险领域的风险管理方针。
第三,设定集团企业战略目标。为了保证集团企业建立科学、合理战略目标,将集团企业战略与风险管理有机结合起来,将风险偏好与集团企业战略相联系。在集团企业战略目标设定过程中,需要充分考量各种风险的影响,使集团企业战略目标与风险管理方针相吻合,保证集团企业战略目标与其风险偏好相一致,确保集团企业发展战略、风险管理方针与价值创造相一致。因此,在制定集团企业战略时,一方面使集团企业发展战略符合既定的风险管理方针,另一方面,通过风险管理为促进集团企业战略目标的实现提供合理保障。
第四,制定集团企业运营目标。以集团企业风险管理方针和战略目标为依据,设定运营目标,据此确定三年或五年滚动经营计划。在运营目标的设定和经营计划编制过程中,要充分考量各种运营风险,并使运营目标、经营计划与风险管理方针和战略目标相容。
第五,建立集团企业全面风险管理目标体系。根据运营目标,制定集团企业全面风险管理总目标以及分子公司、各部门和业务单位的具体风险管理目标,形成集团企业全面风险管理目标体系。
2. 构建风险导向的内部控制体系
内部控制要以风险为导向,分析、设计和实施内部控制活动,旨在全面降低和管控集团企业风险。
(1) 开展内部控制现状诊断评价
以集团企业全面风险管理目标体系为指导,以 《企业内部控制基本规范》、 《企业内部控制应用指引》 为依据,以“行业最佳实践”为标杆,从“内部环境、风险管理、控制活动、信息与沟通、内部监督”五个方面,采用问卷调查、访谈、制度审核、流程测试等方法,了解集团企业业务运作、经营管理现状,分析评估内部控制事项是否符合相关的内部控制要求,是否符合集团企业制定的全面风险管理方针,诊断内控薄弱环节,评价内控有效性。通过以上诊断以及评价,揭示风险管理的主要问题,确定基于内部控制的集团企业全面风险管理体系建设的重点。
例如,2013 年,JZ 能源集团按照上述诊断评价方法,对“投资、融资、担保、销售、采购”五个重要业务环节,共设置了 446 个检查点,全面剖析经营管理及内部控制现状,查找不足。通过内部控制现状诊断评价发现五个重要业务环节的总体完善度为 64.57%,属于中等;检查点的执行有效率为 85.20%,结果良好;制度的总体合规率为 75.78%,属于中等。由此可知,其内部控制还存在缺陷,需要强化内部控制体系建设和提升内部控制执行力。
(2) 建立风险识别分类框架
结合集团企业生产、经营与管理现状、实际业务板块特点、外部环境以及内部条件,运用访谈、研讨、资料研究、发放调查问卷、审阅所有重要的管理制度以及制度与流程相结合的形式,建立风险识别分类框架,规范风险描述语言,统一对风险的认识和理解,并明确各类风险的责任管理部门。
例如,2013 年 JZ 能源集团按照上述方法,从“战略、法律、运营、财务、市场、投资”方面建立了风险识别分类框架,见图 1。
(3) 进行风险辨识
根据风险识别分类框架,对各类风险进行分类细化,辨识出集团企业需要关注的风险事件,形成集团企业风险事件库,找出各风险的关键影响因素,揭示风险发生的内外部原因、暴露状态以及潜在的不利后果,明确各项风险管控的关键责任部门与个人,对接集团企业的有关业务流程、管理流程和制度,确定关键业务流程、管理流程的风险事项。
例如,JZ 能源集团企业根据上述风险辨识流程与方法,初步建立了包含 137 条风险事件的风险事件库,形成了集团企业总部层面风险库,涵盖了集团企业内外部的主要风险表现。
总部层面风险库的一级风险目录 6 个,分别为“战略风险、投资风险、市场风险、财务风险、运营风险、法律风险”。一级风险目录下又分为 39 个二级风险子类别,其中战略类风险 8个,风险事件 18 条;市场类风险 7 个,事件 36 条;财务类风险 7 个,风险事件 21 条;运营类风险 8 个;风险事件 20 条,法律类风险 5 个,风险事件 33 条;投资类风险 3 个,风险事件 9 条。该集团企业风险整体分类框架见图 1。
(4) 进行风险评估
针对辨识出的风险事件,从风险发生的可能性和风险发生对战略目标、经营管理目标的影响程度两个纬度进行风险评估,确定其风险水平,找出面临的重大风险、重要风险、中等风险和低风险,确定各项风险的重要性排序和管控重点,绘制风险坐标图。
据此,JZ 能源集团通过风险评估,明确了 2013 年的重大风险和重要风险—9 个重大风险和 3 个重要风险。9 个重大风险分别为:战略类—资源获取风险、分子公司管控风险、产业政策风险;市场类—销售管理风险、采购风险;财务类—融资风险、担保风险;运营类—安全管理风险;投资类—产 (股)权类投资风险。3 个重要风险分别为:投资类—固定资产投资风险;运营类—环境保护风险、信息系统风险。JZ 能源集团企业 2013 年重大、重要风险见图 2。
(5) 制定风险管控策略
根据风险评估结果,制定集团企业总部层面的风险管控策略,明确每一类 (项) 重大风险的风险偏好、风险承受度。一般来说,重大风险的风险偏好是集团企业愿意承担风险的重大决策,应该由董事会决定。风险承受度就是集团企业风险偏好的边界,即能够承担的风险水平。
例如,2013 年 SH 能源集团确定:安全管理风险偏好为:不能发生铁路颠覆、电力事故、瓦斯爆炸,港口淤泥等任何安全事故,确保安全运行;安全管理风险的风险承受度为:力争达到原煤生产百万吨零死亡率的目标,力争安全生产创出历史最好水平。
(6) 构建风险导向的内部控制环境
风险导向的控制环境包括全面风险管理组织体系、全面风险管理信息系统、全面风险管理文化和全面风险管理制度体系。通过建立完善的风险导向的内部控制环境,塑造全面风险管理文化,进而培养员工的全面风险意识,形成人岗匹配、授权有度、运行有序、监控到位的内控环境。
第一,建立权责清晰的全面风险管理组织体系。全面风险管理组织体系是有效实施全面风险管理的组织保障。主要包括规范的法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他职能部门、业务单位的风险管理组织领导机构及其职责。通过合理的组织结构设计和职能安排,将全面风险管理责任落实到每个部门和岗位,明确界定每个部门和岗位的职责并进行有效地传达沟通。JZ 能源集团的全面风险管理组织体系见图 3。
第二,搭建畅通的全面风险管理信息系统。基于内部控制的集团企业全面风险管理体系必须设置全面风险管理信息系统,以便建立起顺畅的内外部风险信息传递与沟通机制,将风险管理相关的所有资讯集成到全面风险管理信息系统中,使相关个人、部门能及时获得履行风险管理相关职责所需的资讯。主要包括风险数据信息的采集、存储、加工、统计、评估、图谱分析、监控、预警、应对等功能。
第三,塑造先进的全面风险管理文化。全面风险管理文化是风险管理的世界观与方法论,是基于内部控制的集团企业全面风险管理体系的灵魂。因此,必须以塑造先进的全面风险管理文化为先导。把全面风险管理文化融入企业文化建设和全面风险管理的全过程,建立具有风险意识的企业文化,统一风险语言,培育员工的风险意识,营造风险管理氛围,使风险管理理念贯穿于从战略目标设定到日常运营的各项活动中,固化在员工的行为之中。
第四,建立执行有力的风险管理制度体系。鼓励大家藐视各种规章制度是安然破产倒闭的重要原因之一。有效的全面风险管控必须建立完善的执行有力的制度体系,以此来规范每一个员工的行为。全面风险管理制度体系就是要在集团企业的各项管理制度中嵌入风险管控的制度条文。这些制度主要包括公司治理、战略计划、技术管理、财务管理、采购管理、物资管理、人力资源、法律管理、安全环保、行政管理、销售管理、内部控制、信息技术和工程管理等制度。
3. 实施风险管控
主要从以下几个方面实施风险管控:
一是梳理集团企业的重要业务流程、管理流程,进行流程描述,分析流程所涉及的主要风险点和潜在的隐患,同时确定各种风险涉及的责任部门与岗位。例如 JZ 能源集团风险管理涉及的责任部门,见图 4。
二是确定重要业务流程、管理流程的关键控制点,针对关键控制点,明确风险控制工具、控制方法、控制程序与措施、控制活动及其检验方法。
三是编制 《集团企业岗位风险管控手册》,明确每个岗位的风险管理职责和权限等,促进全面风险管理机制在集团企业内部得到有效实施,切实强化日常风险管理,使全面风险管理真正落到实处。
4. 开展全面风险管理考评
人们只会做你考评的事情,不会做你提倡的事情。要有效地执行基于内部控制的集团企业全面风险管理体系,需要制定《集团全面风险管理工作考评办法》,明确考评的组织机构、范围对象、内容标准、方法程序,对集团企业各个层面的重大和重要风险事项及管理流程、业务流程的管控效果进行考评,评价其有效性[5]。如果考评结果不满足所确定的全面风险管理目标,要按照 PDCA 循环及时检讨内部控制体系,分析风险管控缺陷,并对全面风险管理体系加以完善和改进,开始新一轮以内部控制为基础的全面风险管理循环,还需要考察全面风险管理目标的合理性,以不断完善集团企业全面风险管理。
5. 建立全面风险管理预警体系
要有效地执行基于内部控制的集团企业全面风险管理体系,要制定 《集团风险监控预警工作指引》,建立风险监控预警指标体系,制定风险监控预警应对策略,利用全面风险管理信息系统,通过连续观测各项预警指标,将数据导入预警模型,计算其综合风险分值,并获取相应的预警信号。按照一定的风险转换矩阵,综合判断各种风险预警等级,分别给出正常、蓝色、橙色和红色预警信号。例如,2013年 JZ 能源集团全面风险监控预警指标体系,具体如表 1 所示。
6. 建立全面风险管理报告体系
全面风险管理报告体系是集团企业利益相关者之间实现风险信息充分沟通的有效保障,健全的基于内部控制的集团企业全面风险管理体系,必须建立规范的风险管理报告体系,全面风险管理报告体系的核心就是要根据利益相关者的信息需求,建立满足风险管理目标要求的风险管理工作报告机制,包括风险管理工作汇报的内容、形式及程序、报告负责人、报告周期、覆盖范围、报告内容、形式、程序及报告分送名单等。
全面风险管理报告体系不仅包括风险管理流程中应形成的各种类型的风险管理报告及其内容要求,还要建立这些报告如何在集团企业利益相关者之间、风险管理各职能机构之间传递的风险管理报告机制。
综合上述分析,文章构建基于内部如何将内部控制与风险管理进行有机结合,构建基于内部控制的集团企业全面风险管理体系是集团企业全面风险管理需要解决的重要课题。文章以煤炭集团企业为背景,以风险管控为导向,以内部控制为切入点,构建了基于内部控制的集团企业全面风险管理体系。首先,诠释了其核心理念,解释了其基本内涵,给出了其基本内容。其次,重点研究了基于内部控制的集团企业全面风险管理体系的运行机制,主要包括:
设立风险管理目标、构建风险导向的内部控制体系、实施风险管控、进行风险管理考评,明确风险管理的预警体系与报告体系等方面。
参考文献:
[1] 李翕然. 煤炭企业内部控制评价体系研究 [J].中国国煤炭,2014(3):17-21.
[2] 朱荣恩,贺欣. 内部控制框架的新发展 -企业风险管理框架—COSO 委员会新报告《企业风险管理框架》简介 [J].审计研究,2003(6):11-15.
[3] 陈关亭,黄小琳,章甜. 基于企业风险管理框架的内部控制评价模型及应用 [J].审计研究,2013(3):93-101.
[4] 课题组. 高层管理不能高高在上 - 德国企业绩效考核带给我们的启示 [J].质量探索,2012(10):49.
[5] 陈关亭,黄小琳,章甜. 基于企业风险管理框架的内部控制评价模型及应用 [J].审计研究,2013(6):93-101.
