风控，其实没有那么神秘

来源：畅享网

2013/7/4 15:21:44

近几年，在国资委、财政部及证监会的大力推动下，央企、国企、上市公司逐渐掀起了建设全面风险管理体系与内控体系的热潮。全面风险管理与内控是当今大型企业核心竞争力的体现，具有极高的应用价值，它并没有那么神秘，也没有那么困难。

本文关键字：远光软件

近几年，在国资委、财政部及证监会的大力推动下，央企、国企、上市公司逐渐掀起了建设全面风险管理体系与内控体系的热潮。然而，这是一个较新的管理领域，很多企业在体系建设中遇到的各种问题使得操作困难、难以落地，或者只是为了应付检查，体系建设成果最终变成几本束之高阁的手册。其实，全面风险管理与内控是当今大型企业核心竞争力的体现，具有极高的应用价值，它并没有那么神秘，也没有那么困难。

一、风险管理与内控的区别与联系

经常有客户问我：风险管理和内控是什么关系?我会这样告诉他：

第一，它们是包容关系，风险管理的涵盖面大于内控，内控是进行风险管理的最主要工具，大约占60%-70%的内容。

第二，内控侧重于将风险理解为潜在损失，进行内控主要是减少潜在损失;而风险管理将风险理解为中性词，是潜在损失与机会的结合体，进行风险管理就是减少潜在损失，放大潜在机会，从而提高价值获得。

第三，风险管理侧重关注决策的正确性，而内控侧重关注决策后在实施过程进行控制。例如公司要投一个项目，在决策前进行充分的可行性研究和风险评估，引导决策结果，这就是风险管理;而在已做决策并进行投资后，设计各种严格的项目控制机制和措施以防止项目失败，这就是内控。

第四，风险管理主要是国资委在推广，重点针对央企、国企;内控主要是证监会、财政部等五部委在推广，重点针对上市公司及拟上市公司。当然，今年5月国资委下发了红头文件，内控也开始在央企及下属公司推广。

二、为什么很多企业建设不好内控体系

第一，理念问题。内控是个比较新的概念，不少管理者认为内控就像镣铐，戴上了束手束脚，影响企业运行效率。这个想法是大错特错的。企业在快速成长时，往往容易忽视自身基础管理的夯实与提升，内控体系的不完善使得管理漏洞百出，企业内部缺少相互制衡，舞弊、造假、以权谋私现象频发，迟早会发生重大风险事件，到时候追悔莫及。只有正确认识到内控的价值及作用，才能具备建设好内控体系的先决条件。

第二，方案问题。很多咨询公司的内控体系建设方案是传统的合规型内控，这种方案以满足内控指引为出发点，保障内控体系通过外部审计、证监会检查为基本目的，一般包括内控诊断、风险识别与评估、流程梳理、穿行测试(编制控制矩阵、查找内控缺陷并提出整改建议)、内控手册编制等内容，其中穿行测试是审计方法，占整个方案内容的70%以上。

这种方案确实很合规，能够满足内控指引要求，但存在以下弊端：

(1)起点低，没有以战略分解作为出发点设计方案，内控体系建设成果容易与战略不匹配，甚至成为战略目标实现的阻碍。

(2)内控体系建设主体大多数是集团型企业，面临着各种各样的集团管控问题，如果方案中没有引入集团管控思想，容易出现总部与子公司内控体系建设水平差异大、内控管理权责不清、接口不明、流程衔接不畅、企业运行效率降低、内控体系难以推行落地等问题。

(3)70%以上的工作量花在穿行测试、内控缺陷挖掘及整改，过于偏向审计导向，容易造成内控强度过高，降低企业运行效率。内控真正的内涵不是把所有的风险都控死，而是把握控制强度与企业运行效率的平衡，降低潜在损失，提高经营效益，带来价值增长。

因此，内控体系建设方案应以管理提升为导向，以战略梳理及分解为起点。结合集团管控思想，除了使用传统方法，更要深入研究企业实际，对比标杆企业，将先进的组织体系、权责体系、制度及流程体系、管理策略与措施等与企业相结合，在满足合规要求的同时切实提升综合管理水平。AMT的集团内部控制体系产品正是基于上述思路设计。

第三，推进方式问题。有的公司领导把内控体系建设任务下达给审计部、企管部或法律部，让这些部门自己去推进，结果处处碰壁，部门间协调起来困难重重，体系建设进度一拖再拖，成果质量不符要求。

其实，内控体系建设必须要把握好以下原则：“高层重视、全员参与、考核纳入、逐步推进、分布实施。”笔者于2011年在江西省某大型试点上市公司的内控体系建设项目经验值得借鉴：

(1)成立内控体系建设领导小组，由董事长、总经理分别任组长及副组长，各副总为成员;下设项目办公室，由总经济师任办公室主任，成员由各部门经理组成，其中审计部经理为组织者，协调各项工作。

(2)通过邀标方式选择知名度高、专业实力强、经验丰富的咨询公司，提供全程咨询、技术辅导及成果检核服务。

(3)公司总部每个部门抽调2-4名人员，各试点子公司分别抽调5-7名人员，合计抽调100多名人员配合内控体系建设(实际建设工作中有更多人员配合，几乎实现了全员参与)。

(4)建立内控体系建设考核方案，对各部门及试点子公司进行考核。每月由项目办公室、咨询团队进行评分。对综合排名前三的部门予以公开表扬，增加5%-10%年终奖，排名最后的部门进行批评，扣减5%年终奖。

(5)配合咨询团队制定详细的工作计划，稳步推进内控体系建设。每周五下午三点开例会，咨询团队及各部门经理进行进度报告、成果检核、问题研讨。咨询团队深入到每个部门进行手把手辅导，对各部门工作成果进行检核，反复修订。

(6)内控体系建设初步完成后，分别召开专家评审会、经理会、董事会对成果进行检核。

(7)制定两年的内控体系分布实施工作计划，先选择三个部门及一个子公司试行三个月，第四个月对试行中发现的问题进行集中调整，然后再全面推广到所有部门及子公司，并在后续不断改进。

通过以上推进方式，该公司2011年底被江西省证监局评为“上市公司内控体系建设标杆企业”，本人有幸被证监会推荐为内控专家，各地上市公司纷纷到该公司去调研学习。

三、为什么有些企业建设不好全面风险管理体系

全面风险管理体系可谓是内控体系的升级版，内容比内控体系更丰富。很多企业建设全面风险管理体系遇到了与建设内控体系极为类似的问题，最终成果华而不实，难以落地，没有价值感，主要原因如下：

第一，理念问题。这一点跟内控体系建设类似，不再赘述。

第二，方案问题。目前很多咨询公司的方案仍是传统方案，基本上是根据2006年《中央企业全面风险管理指引》设计，主要包括风险现状诊断、全面风险识别与评估、风险应对策略设计、风险管理组织建设、流程梳理及风控矩阵编制、全面风险管理报告编制、全面风险管理手册编制等。这种方案很符合指引要求，但存在以下弊端：

(1)没有以战略分解作为出发点设计方案，最终成果可能与战略不匹配。与传统内控体系方案的问题类似，不再赘述。

(2)没有设计全面风险管理工作规划。公司既然要制定战略规划、产品规划、人力资源规划、营销策略规划等，也应当制定全面风险管理工作规划，以“体系搭建、稳步推进、高效融合、能力提升、行业标杆”为基本思想，设计未来五年的全面风险管理工作规划。

(3)没有融入集团管控思想，风险管理组织建设仅有横向的三道防线(各部门为第一道防线、风险管理部及风险管理委员会为第二道防线、审计部及审计委员会为第三道防线)，没有纵向母子公司间的风险管控条线(风险总控条线、人力资源风险管控条线、财务风险管控条线、营销管理风险管控条线、生产管理风险管控条线等);没有明确各部门的风险管理职责，编入部门及关键岗位的职责说明书。

(4)没有把风险预警体系建设作为重中之重，这才是全面风险管理体系最具价值的内容。传统方案一般只设计财务相关的预警指标，其实外部环境、战略、人力、生产、研发、销售、财务、存货、信息等方面都可以设计预警指标。

(5)全面风险管理信息系统不实用。目前国内有全面风险管理信息系统产品的咨询公司或IT公司不超过五家，据笔者从客户处了解，这些产品都过于技术化，看起来很先进，用起来不实用，对操作者的风险管理知识要求较高，而且耗费较多人力成本。对此，笔者去年设计了一个新的全面风险管理信息系统框架，旨在“让不懂风险管理的人也能通过这套系统进行风险管理”，并且利用“流程引擎+BI+知识管理”驱动技术，实现全面风险管理信息系统与ERP及其他信息系统的数据交换及流程监控，实现真正的全程监控、自动预警、风险跟踪等真正有价值的功能。

第三，推进方式问题。这一点跟内控体系建设问题类似，不再赘述。

责编：王珂玥