企业风险管理(Enterprise Risk Management,有时我们简称为“风控”)、内部控制(Internal Control)和合规管理(Compliance Management)是我们在大风控体系中经常接触到的三大体系,它们各自的内容里都涉及对风险的识别和管理,但在内涵、侧重点和风险内容上却有明显的区别。
之前我们有一些文章可以参考:
国资委在2019年的101号文里提出了“强内控、防风险、促合规”的口号,计划把三项工作捏到一起推行,这确实是一个趋势,但三项工作中针对的风险还是有所不同,把握好这个不同,才能够更好的实现协调和融合。
这几个体系的底层逻辑都是风险,从范畴上来讲风险管理是包含内控和合规的,但实操层面各自都有其侧重点。
就像COSO在解释风险管理和内部控制的关系时,经常表述的一句话:
企业风险管理包含内部控制,但不能代替内部控制。
我们先看一下它们的定义:
企业风险管理:
COSO《企业风险管理整合框架》2017:
组织在创造、保持和实现价值的过程中,结合战略制定和执行,赖以进行管理风险的文化、能力和实践。
国资委《中央企业全面风险管理指引》:
全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
内部控制:
COSO《内部控制整合框架》2013:
内部控制是一个由公司董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的过程。
财政部《企业内部控制基本规范》:
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
合规:
国资委《中央企业合规管理办法》
合规,是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。
我们说风险是和目标相伴相生的,有什么样的目标,就会衍生出什么样的风险,那风控、内控、合规面对的风险的不同,根源在于三个体系所要实现的目标的不同。
企业风险管理实现的目标按照定义来看,侧重于战略和经营目标,需要识别和管理的风险具有较高的不确定性,比如:
战略风险:与企业战略决策相关的风险,如市场进入失败、竞争对手策略变化等。
市场风险:市场环境变化带来的风险,如市场需求波动、原材料价格上涨等。
企业风险管理的重点在于通过全面的风险识别和评估,制定应对策略,提高预测和预防的能力,利用先进的技术和工具,提高相关决策的风险管理准确性和效率。
例如:市场风险管理
一家制造企业可能面临原材料价格波动的市场风险。企业可以通过以下方法进行风险管理:
风险识别:通过市场调研和数据分析,识别原材料价格波动的趋势。
风险评估:评估价格波动对企业成本和利润的影响。
风险控制:签订长期供应合同或使用金融工具对冲价格波动风险。
风险监控:持续监控市场价格变化,及时调整应对策略。
内部控制要实现的目标侧重运营目标和财务目标,内部控制中的风险主要是指内部风险,其不确定性相对较低或者相对的确定性较高,比如:
财务风险:如财务报表错误、资金管理不当等。
运营风险:如业务流程不规范、内部欺诈等。
内部控制的重点在于通过流程控制和制度建设,降低风险发生的可能性和影响。
例如:财务风险控制
一家上市公司可能面临财务报表错误的风险。公司可以通过以下方法进行内部控制:
风险识别:识别财务报表编制过程中的潜在错误点。
风险评估:评估错误对单位财务状况和决策的影响。
控制活动:制定财务报表编制控制流程,设置授权审批制度和关键点控制节点。
信息与沟通:加强财务人员培训,确保理解和遵守财务制度。
监督:定期内部审计,评估内控有效性,及时发现和纠正问题。
按照内部控制的定义,它的目标还包括合规目标,是不是可以解释为内部控制包含合规了呢?
并不能,内部控制的完善有助于实现合规目标,但合规目标的完成并不仅依赖于完善的内部控制,内控是合规的必要非充分条件。
其实之前的风控体系中也会强调合规目标,只不过后来更新后去掉了,其实对于合规来讲,风控和内控都是其实现目标的手段。
合规要实现的目标锁定在企业的经营管理层面,它本身就是目标,合规风险主要是指那些违规情况,有确定的规不执行,其风险的不确定性等级中等。
例如:合规风险管理
一家跨国企业可能面临违反境外出口管制规定的合规风险。企业可以通过以下方法进行合规管理:
风险识别:识别各业务单元和重要经营活动中的合规风险。
风险评估:评估违反出口管制规定对企业的法律和财务影响。
合规计划:制定出口合规政策,确保所有出口活动符合相关法规。
培训与沟通:对相关员工进行合规培训,提高合规意识。
监控与审计:定期检查和审计出口活动,确保符合合规要求。
总结一下:
按照组织边界来看,风控中的风险侧重预测、预防,实现的战略目标和经营目标和外部环境紧密相关,在组织外部;而内控关注的风险是散落在制度流程中的风险点,均在组织内部;而合规风险是边界线控制,给组织画好合规边界,管理的合规风险也是跨在组织边界上,画了一个图,以便大家更好理解。