其次,以coso框架为代表的内部控制,是合规管理的终极版,也可以说是操作风险管理的终极版。内部控制不但要求合规,还要考察这个“规”是不是完善,“规”有没有配备相应的执行点,执行“规”的过程是不是有效。如果说合规管理更注重结果、只要结果合规就OK,那么内部控制就更重视过程,并在此基础上发展出整套完善的工具和方法。
所以,全面风险管理认为,必须把管理风险的职能提升到高级管理层这一级,必须有一个首席风险官和独立于交易部门的风险管理部门,来客观的衡量这些风险。而且从技术上讲,各个风险之间有分散作用,也必须由一个统一的部门来管理,才能真正考虑到这种分散作用。
全面风险管理与内部控制本质上都是为了评估、防范、控制企业风险,从而促进企业经营目标的实现。但国内部分企业在推进全面风险管理和内部控制体系建设及运行实施的过程中,存在着分离管理、分离运行、分离监督、分离评价等问题。
这主要是两方面原因造成的:
一是两者审视风险的角度不同。
全面风险管理主要是围绕企业战略经营目标,“自上而下”地辨识、评估、分析风险,并提出风险预警防范和应急管理的策略和措施。而内部控制主要是从流程合规、防范舞弊的角度出发,“自下而上”地诊断采购、销售、资金等具体运营流程中相对微观的内部控制缺陷并进行整改。这说明两者所涉及的“风险”大小不对等,从而在本质上割裂了两者在实操中的衔接。
二是两者评估和应对风险的技术方法也存在区别。
全面风险管理主要采用头脑风暴、调查问卷、模糊分析、专家打分等定性与定量相结合的方法。而内部控制则侧重于采用穿行测试、控制测试等审计鉴证技术,诊断重点业务、重要流程的内部控制设计及运行缺陷。由于技术方法不同,风险评估过程就很难统一。
企业可以考虑从以下六个方面着手推进两个体系的融合:
一是推进组织管理的融合。
企业可以组建一个独立的风险与内控管理部门,也可以将风险管理和内部控制分设两个部门或将相关职责安放在两个不同理流程清晰、紧密协同的部门,避免浪费和扯皮。
二是推进风险分类框架的融合。
企业可以建立统一的风险分类框架,将企业层面的风险细分到二级、三级或四级,并将操作层面的风险(内控涉及的相关流程风险)归入其中。
三是推进风险管理策略的融合。
内部控制是一种重要的风险控制策略,对于需要采取控制策略的主要风险,企业可以将控制点、控制目标、控制措施等内容提炼融入到风险管理策略和风险应对措施之中。
四是推进风险评估技术的融合。
企业可以在采用风险评估方法识别重大、重要风险的基础上,采用内部控制测试方法诊断控制缺陷,实现风险评估和内控诊断的过程统一、信息共享。
五是推进风险评估标准和内控缺陷判定标准的融合。
企业可以制定分类、分级的风险判定标准,统一内部控制中的缺陷判定标准与风险管理中的风险评估标准,从而解决风险宏观、内控微观的问题。
六是推进两个体系监督、评价、考核的融合。
企业还应进一步实现全面风险管理和内部控制在监督、评价、考核等方面的过程统一、组织统一、团队统一、制度统一,以节约资源、提高效率。
