風控,其實沒有那么神秘

全面風險管理與內控系列**——開篇

近幾年來，在國資委、財政部及證監會的大力推動下，央企、國企、上市公司逐漸掀起了建設全面風險管理體系與內控體系的熱潮。然而，這是乙個較新的管理領域，很多企業在體系建設中遇到各種各樣的問題，使得該體系不實用、沒有價值感、操作困難、難以落地等，或者只是為了應付檢查，體系建設成果變成幾本束之高閣的手冊。其實，全面風險管理與內控是當今大型企業核心競爭力的體現，具有極高的應用價值，它並沒有那麼神秘，也沒有那麼困難。

從本期開始，筆者將以**的方式為您系統介紹這個領域，通過大量的案例和實踐，為您揭開這個領域的神秘面紗。

一、風險管理與內控的區別與聯絡

經常有客戶問我：風險管理和內控是什麼關係？我會這樣告訴他：

第一，它們是包容關係，風險管理的涵蓋面大於內控，內控是進行風險管理的最主要工具，大約佔60%-70%的內容。

第二，內控側重將風險理解為潛在損失，進行內控主要是減少潛在損失；而風險管理將風險理解為中性詞，是潛在損失與機會的結合體，進行風險管理就是減少潛在損失，放大潛在機會，從而提**值獲得。

第三，風險管理側重關注決策的正確性，而內控側重關注決策後在實施過程進行控制。例如公司要投乙個專案，在決策前進行充分的可行性研究和風險評估，引導決策結果，這就是風險管理；而在已做決策並進行投資後，設計各種嚴格的專案控制機制和措施以防止專案失敗，這就是內控。

第四，風險管理主要是國資委在推廣，重點針對央企、國企；內控主要是證監會、財政部等五部委在推廣，重點針對上市公司及擬上市公司。當然，今年5月國資委下了紅標頭檔案，也開始在央企及下屬公司推廣內控。

二、為什麼很多企業建設不好內控體系

第一，理念問題。內控是個比較新的概念，不少管理者認為內控就像鐐銬，戴上了束手束腳，影響企業執行效率。這個想法是大錯特錯的。

企業在快速成長時，往往容易忽視自身基礎管理的夯實與提公升，內控體系的不完善使得管理漏洞百出，企業內部缺少相互制衡，舞弊、造假、以權謀私現象頻發，遲早會發生重大風險事件，到時候追悔莫及。只有正確認識到內控的價值及作用，才能具備建設好內控體系的先決條件。

第二，方案問題。很多諮詢公司的內控體系建設方案是傳統的合規型內控，這種方案以滿足內控指引為出發點，保障內控體系通過外部審計、證監會檢查為基本目的，一般包括內控診斷、風險識別與評估、流程梳理、穿行測試（編制控制矩陣、查詢內控缺陷並提出整改建議）、內控手冊編制等內容，其中穿行測試是審計方法，佔整個方案內容的70%以上。

這種方案確實很合規，能夠滿足內控指引要求，但存在以下弊端：

（1）起點低，沒有以戰略分解作為出發點設計方案，內控體系建設成果容易與戰略不匹配，甚至成為戰略目標實現的阻礙。

（2）內控體系建設主體大多數是集團型企業，面臨著各種各樣的集團管控問題，如果方案中沒有引入集團管控思想，容易出現總部與子公司內控體系建設水平差異大、內控管理權責不清、介面不明、流程銜接不暢、企業執行效率降低、內控體系難以推行落地等問題。

（3）70%以上的工作量花在穿行測試、內控缺陷挖掘及整改，過於偏向審計導向，容易造成內控強度過高，降低企業執行效率。內控真正的內涵不是把所有的風險都控死，而是把握控制強度與企業執行效率的平衡，降低潛在損失，提高經營效益，帶來價值增長。

因此，內控體系建設方案應以管理提公升為導向，以戰略梳理及分解為起點，結合集團管控思想，除了使用傳統方法，更要以管理提公升為導向，深入研究企業實際，對比標桿企業，將先進的組織體系、權責體系、制度及流程體系、管理策略與措施等與企業相結合，在滿足合規要求的同時切實提公升綜合管理水平。amt的集團內部控制體系產品正是基於上述思路設計。

第三，推進方式問題。有的公司領導把內控體系建設任務下達給審計部、企管部或法律部，讓這些部門自己去推進，結果處處碰壁，部門間協調起來困難重重，體系建設進度一拖再拖，成果質量不符要求。

其實，內控體系建設必須要把握好以下原則：「高層重視、全員參與、考核納入、逐步推進、分布實施。」筆者2023年在江西省某大型試點上市公司的內控體系建設專案經驗值得借鑑：

（1）成立內控體系建設領導小組，由董事長、總經理分別任組長及副組長，各副總為成員；下設專案辦公室，由總經濟師任辦公室主任，成員由各部門經理組成，其中審計部經理為組織者，協調各項工作。

（2）通過邀標方式選擇了知名度高、專業實力強、經驗豐富的諮詢公司，提供全程諮詢、技術輔導及成果檢核服務。

（3）公司總部每個部門抽調2-4名人員，各試點子公司分別抽調5-7名人員，合計抽調100多名人員配合內控體系建設。（實際建設工作中有更多人員配合，幾乎實現了全員參與）

（4）建立了內控體系建設考核方案，對各部門及試點子公司進行考核。每月由專案辦公室、諮詢團隊進行評分。綜合排名前三的部門進行公開表揚，增加5%-10%年終獎比例，排名最後的部門進行批評，扣減5%年終獎比例。

（5）配合諮詢團隊制定了詳細的工作計畫，穩步推進內控體系建設。每週五下午三點開例會，諮詢團隊及各部門經理進行進度報告、成果檢核、問題研討。諮詢團隊深入到每個部門進行手把手輔導，對各部門工作成果進行檢核，反覆修訂。

（6）內控體系建設初步完成後，分別召開了專家評審會、經理會、董事會對成果進行檢核。

（7）制定了兩年的內控體系分布實施工作計畫，先選擇三個部門及乙個子公司試行三個月，第四個月對試行中發現的問題進行集中調整，然後再全面推廣到所有部門及子公司，並在後續不斷改進。

通過以上推進方式，該公司2023年底被江西省證監局評為上市公司內控體系建設標桿企業，本人有幸被證監會推薦為內控專家，各地上市公司紛紛到該公司去調研學習。

二、為什麼有些企業建設不好全面風險管理體系

全面風險管理體系可謂是內控體系的公升級版，內容比內控體系更豐富。很多企業建設全面風險管理體系遇到了與建設內控體系極為類似的問題，最終成果華而不實，難以落地，沒有價值感，主要原因如下：

第一，理念問題。這一點跟內控體系建設類似，不再贅述。

第二，方案問題。目前很多諮詢公司的方案仍是傳統方案，基本上是根據06年《**企業全面風險管理指引》設計，主要包括風險現狀診斷、全面風險識別與評估、風險應對策略設計、風險管理組織建設、流程梳理及風控矩陣編制、全面風險管理報告編制、全面風險管理手冊編制等。這種方案很符合指引要求，但存在以下弊端：

（1）沒有以戰略分解作為出發點設計方案，最終成果可能與戰略不匹配。與傳統內控體系方案的問題類似，不再贅述。

（2）沒有設計全面風險管理工作規劃。公司既然可以制定戰略規劃、產品規劃、人力資源規劃、營銷策略規劃等，全面風險管理也應當制定工作規劃，以「體系搭建、穩步推進、高效融合、能力提公升、行業標桿」為基本思想，設計未來五年的全面風險管理工作規劃。

（3）沒有融入集團管控思想，風險管理組織建設僅有橫向的三道防線（各部門為第一道防線、風險管理部及風險管理委員會為第二道防線、審計部及審計委員會為第三道防線），沒有縱向母子公司間的風險管控條線（風險總控條線、人力資源風險管控條線、財務風險管控條線、營銷管理風險管控條線、生產管理風險管控條線等）；沒有明確各部門的風險管理職責，編入部門及關鍵崗位的職責說明書。

（4）沒有把風險預警體系建設作為重中之重，這才是全面風險管理體系最具價值的內容。傳統方案一般只設計財務相關的預警指標，其實外部環境、戰略、人力、生產、研發、銷售、財務、存貨、資訊等各個方面都可以設計預警指標。

（5）全面風險管理資訊系統不實用。目前國內有全面風險管理資訊系統產品的諮詢公司或it公司不超過五家，據筆者從客戶處了解，這些產品都過於技術化，看起來很先進，用起來不實用，對操作者的風險管理知識要求較高，而且耗費較多人力成本。對此，筆者去年設計了乙個新的全面風險管理資訊系統框架，旨在「讓不懂風險管理的人也能通過這套系統進行風險管理」，並且利用「流程引擎+bi+知識管理」驅動技術，實現全面風險管理資訊系統與erp及其他資訊系統的資料交換及流程監控，實現真正的全程監控、自動預警、風險跟蹤等真正有價值的功能。

第三，推進方式問題。這一點跟內控體系建設問題類似，不再贅述。

鑑於以上問題，筆者結合多年風險與內控諮詢經驗，打造了amt的grm（集團風險管理）體系產品、集團內部控制體系產品，歡迎讀者來電垂詢。

amt內控與風險諮詢總監易凱

2023年6月

風控,其實沒有那么神秘

風控調查方案

風控年度總結

風控審查表

風控,其實沒有那么神秘

風控調查方案

風控年度總結

風控審查表

相關推薦