1、中国集团企业的内控与风险管理本文是作者在 2008 中央企业 CFO 论坛上所作的研究主题报告,探讨了如何在新环境下科学构建企业内部控制体系和风险管理机制, 将高昂的、合规的责任转换为实质性的经营优势,并从风险管理当中,取得可以量化的经营和价值。强化内控与风险管理,升级集团管控平台2008 中央企业 CFO 论坛主题报告金蝶集团高级副总裁兼任首席咨询官 金卓君在近年来的工作过程中,随着外部监管要求的提升、企业自身内控的要求,企业内控和风险管理成了主流话题。在当前的环境下,企业内控和风险管理过程中的 IT 系统是控制措施到位的必要保障,但是在现实中,大部分企业控制风险的管理支持并不足够。在此需要
2、探讨的是,在新环境下如何应用 IT 系统构建企业内部控制体系和风险管理机制:一、为什么:强化内控与风险管理必要性;二、做什么:构筑科学的风险管理体系;三、怎么做:内控及风险管理与 IT 系统。为什么:强化内控与风险管理必要性1995 年英国巴林银行的破产;2001 年美国安然公司倒台;2002 年美国世通公司丑闻;2004 年中航油炒作原油期货,巨亏 5.5 亿美元;上述事件都是由于内部风险控制疏漏从而导致企业的巨亏、破产,触目惊心的事实促使全球商界、金融界、政府重新审视风险控制的内部制度和外部环境,向企业提出了更加全面提升监管的要求。2002 年美国国会通过的萨班斯法案,2006 年沪深证券
3、交易所发布上市公司内部控制机制、同年国资委发布中央企业全面风险管理指引、2007 年财政部发布企业内部控制标准体系征求意见稿一系列政策法规的出台,企业已经可以真切感受到,对于强化内部控制和风险管理已经是大势所趋。同时,随着市场竞争日趋激烈,外部环境变得越来越复杂,在企业经营过程中,风险无处不在。著名机构 EIU(The Economist Intelligence Unit Limited)关于未来经济、产业和公司发展趋势的调查显示:2005 年 2020 年这 15 年间,包括管理决策、企业定价、低成本市场竞争、经济衰退、高素质员工缺乏等等,都会给企业经营带来风险。(图一:2005 年-20
4、20 年的风险影响) 在今天的动态环境系统中,旧的内部审计方法已经不能符合的迅速发展的企业需要,管理和监督风险需要宽广和系统化的风险管理方法,这也是让企业股东与管理层寝食难安的问题。企业需要系统化地建立一套风险管理体制,从而识别影响企业盈利的关键因素,并对那些会影响企业达标的风险进行监控及管理。德勤中国 2007 年 6 月开展的一项有关中国上市公司内部控制现状的调查结果显示:大部分(74%)的上市公司清楚了解监管机构对内部控制的要求,但只有 20%的上市公司认为自身现有的内部控制体系能够完全满足监管要求;约四分之三(76%)的受访上市公司均表示不了解或不确定如何有效地进行风险管理工作;大部分
5、(72%)受访上市公司认为公司本身没有一个持续监控内部控制有效性的机制。中国上市公司内控体系距离监管机构的要求还很有距离。同时,建立企业内控体系也耗费了企业高昂的成本。安永公司调查了 255 家美国上市公司在两年内遵从404 条款的情况,反馈回来的数据清楚的说明了实现法规遵从所付出的代价:超过半数的企业法规遵从的成本在 100 万到 500 万美元之间。美国上市公司为遵从萨班斯法案花费了巨大的成本。(图二:美国上市公司遵从萨班斯法案的成本情况)一篇报道提到:“据了解,由于该法案对上市公司的内部控制、财务管理等的要求极为苛刻,使得在美国上市的中国企业集体遭受萨班斯之痛在执行和实施过程中工作量异常
6、繁重,增加了企业的成本与负担,所以遭受相关公司相关负责人员对“萨班斯”的抱怨和抵触情绪。” 而萨班斯法案在美国本土企业中执行的过程中,却没有出现很多抱怨抵触。这也恰恰说明中国企业内控管理和风险管理远未达标。做什么:构筑科学的风险管理体系如何将高昂的、合规的责任转换为实质性的经营优势,如何从风险管理当中,取得可以量化的经营和价值,这就迫切需要企业构建科学的内控体系和风险管理机制。什么是风险管理?美国内控研究委员会对风险的定义是:企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平,从而帮助
7、企业达至它的目标。这个定义,为企业内控体系的构建提供了参考。Committee of Sponsoring Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架,也就是一般称之为的 COSO 内部控制框架。这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架。这个框架将企业内部控制分为两个层面,一是公司层面,二是流程、交易及 IT 应用层面。这个框架,对企业建立内控体系和风险管理机制是一个很好的体系指引。(图三:COSO 内部控制框架)COSO 内部控制框架首先体现了对风险观念的转变。从过往的操作角度,过渡到董事会管
8、理层关注角度。以前的风险管理更多是低层次、经营层次的工作,风险监控基本是内部审计人员的职能,COSO内部控制框架则认为,风险管理是董事会管理层的一个职能。同时,以前总认为风险是一个需要控制的负面因素,而风险其实也是一个机会。以前风险各个层面的管理,是在企业各个部门个别展开,COSO 内部控制框架则认为需要在整个企业范围内进行一体化的风险管理。风险的责任,也由各级的低层次人员,上升到高级部门人员来承担。风险管理的衡量也有主观转向注重风险管理的量化。最终将无组织以及杂乱的风险管理纳入所有企业管理层次和系统。COSO 内部控制框架事实上提供一个全面风险管理的流程。风险管理体系要解决的的四个关键问题:
9、企业知道它所面临的风险吗?企业是否已对这些风险设置内部控制?企业的风险管理及内部控制有效吗? 哪一些风险管理及内部控制必须改进?COSO 内部控制框架从风险识别,到风险评估,确定风险战略,拟定解决方案,风险治理,以及持续不断改进的流程,覆盖了风险管理的全面流程。COSO 内部控制框架在企业组织和管理职能上的落实,体现在“一个基础、三到防线”。“ 一个基础”就是风险治理结构;“三道防线”,第一道防线是业务单位的防线,第二道防线是风险管理单位的防线,第三道防线是内审单位的防线。一个基础加上三道防线就构成了风险管理在组织上的保障。三道防线中,每一道防线都有它的责任和职能。各个业务单位是内部控制的责任
10、主体;风险管理单位是风险管理的监视和建议部门;内审单位的责任则是确认和报告。在三道防线中,需要特别强调业务单位的第一道防线。业务单位包含了企业大部分业务和资产,在日常工作中面临各种风险,是企业风险的前线。企业风险管理必须把手段和内控程序,融入到业务单位的工作和流程中,管控好业务单位这一道防线。怎么做:内控及风险管理与 IT 系统如何在实际业务过程中,做业务经营和好风险管理,保证企业的资产增值?COSO 内部控制框架提到的五大控制内容环境监控、风险评估、控制活动、信息与沟通和监督,除了理念和文化外,几乎全部是和 IT 相关的。如控制活动中的组织结构、权责的分派、人力资源政策及实务;风险评估中的风
11、险评估、应变措施、对改变的管理;控制活动中的制度与程序、整体控制、作业层级控制、关键环节控制;信息与沟通中的信息系统、有效沟通;监督中持续沟通、缺失呈报。可以看到,只有通过 IT 系统将风险和保证融入到日常业务管理中,风险管理才能够有效地推动公司的变革和提升公司的绩效。企业风险管理有一个成熟度的演进。第一阶段是无意识阶段,企业风险管理是随机出现的,仅仅实施“必须的” 任务。第二阶段是一个被动、支离破碎阶段,企业风险管理是应对法律强制的匆忙项目。如要去美国上市,必须遵从萨班斯法案,同时还有企业内部其他管理需求,以及其他法规要求,这时候企业的风险管理,是建立和“治理,风险和合规” 相关项目的建议的
12、汇总,比较零碎。第三阶段是合并阶段,开始一些统一化的 GRC 方法,有一些管理制度,但还不是一个完整的系统。第四阶段是运作卓越阶段,企业建立了系统的内控体系和风险管理机制,并实现持续改善。 (图四:企业风险管理的成熟度演进)今天,很多企业内控距离监管机构的要求还有相当的差距。如何改变这一面貌,一个有效的 IT 系统可以帮助企业迅速建立内控制体系和风险管理机制。很多 IT 系统对企业管理支持是不够的,支持企业全面风险的 IT 系统有一些什么样的特征?总结和概括支持企业全面风险的 IT 系统特征和关键应用,其特征包括:提供一体化的集成系统支持不同的集团管控模式支持集成的全面预算管理支持不同资金管理
13、模式支持多层面的财务报告体系支持业务控制活动(销售、采购、生产等)主动式风险预警和控制管理这些特征,都是支持企业全面风险的 IT 系统现在,后者未来应该有的特征和关键应用。特征 1:提供一体化的集成系统企业的风险管理如果是分散的,那实际上会增加企业的风险。比如采购部门负责供应商“ 黑名单”,销售和服务部负责高信用风险客户,信息部负责数据泄露和安全,财务部负责复杂的、跨国的公司治理要求,董事会负责高管的薪资回报设计等等,整个企业的风险管理是支持破碎,存在着很大的风险隐患。因此,企业需要的是一个一体化的集成系统。只有当这个系统是一体化的集成系统的时候,才能集中风险管理,提升企业风险管理能力。特征
14、2:支持不同的集团管控模式对于集团企业来说,系统一定要能够支持不同的集团管控模式。集团管控模式包括财务管控模式、战略管控模式和运营管控模式。不同的管控模式展现了集团企业不同的集权分权程度。譬如在央企大企业集团里,存在着多级管控模式:作为财务官,在集团可能体现为财务管控模式;下面子集团的一级经营单位,可能是战略管控模式。作为企业管控平台的 IT 系统,一定要能支持不同的集团管控模式。并且,不同业务版块的管控模式也是动态的,某个时期某个业务属于战略管控制模式,为了加强深入管理在另一个时期可能调整为运营管控模式,这些都需要系统能够支持。例 1:集团管控政策与基础数据标准化。集团管控策略要求集团企业建
15、立统一的基础数据管理平台;灵活的基础数据管理策略:分配、引用、新建,适应企业在不同组织、不同业务领域控制的要求。这些都通过基础数据标准化来实现,包括基础数据维护策略是集团维护、全局共享,还是全局维护、全局共享,或是建者维护、全局共享,包括财务管理的科目体系的统一等等。例 2:IT 的权限管理功能支持风控 SOD。内部控制要求有明确的分工和授权,进行合理的权责分离(SOD)。这些都应该在系统中能够落实。在系统中有权限分离的话,就很容易规范各种角色的分工和职责,审批责任清楚明确。如果没有一个 IT 系统,在权限管理上没有固化,就不能很好实现。关键应用 1:支持集成的全面预算管理对于集团企业来说,预
16、算管理是风险管理的一个重要内容。整个集团企业是一个预算体系,从集团总部的预算,到二级单位的预算,到基层单位的预算;从预算制定,到预算执行控制,到预算执行分析,建立多组织的全流程的预算体系,帮助企业更好的进行风险管理和控制。关键应用 2:支持不同资金管理模式一些丑闻和案例暴露出来,风险控制的专家提示说:“你要紧盯资金,会计数字只是参考意见,现金才真正令你感到踏实!”现在越来越多的集团企业,都采用相对集中的资金管理模式,来加强资金控制,防范风险,并提高集团整体资金使用效率。集团企业在不同的发展阶段,面临的环境不一样,需要运用到不同的资金管理模式,包括统收统支、备付金、结算中心、内部银行、财务公司等
17、,这些都需要系统能够支持。关键应用 3:支持多层面的财务报告体系目前应用的财务系统都有财务报告,财务报告无论在是对外部管理还是内部管理,都是一个很好的反映。内部控制和风险管理对财务报告提出了一些新的要求,包括财务数据准确并可以向下查询;及时的数据分析以支持决策;帮助预测潜在的问题和确定盈利的业务领域;自动的交易处理和报表生成;标准一致的数据和报表定义;经营业绩的及时报告等。关键应用 4:支持支出循环内部控制风险管理一个很重要工作就是控制活动和控制措施,这些内容都需要在 IT 系统中得到落实,包括支出循环。采购环节的需求管理、供应商管理、价格管理、收货管理、付款管理,整个流程都需要在一个控制之下
18、。包括角色的分离,采购申请、审批、验收、付款、记账相分离。关键应用 5:支持收入循环内部控制控制活动还包括收入循环,包括客户信用管理、价格管理、报价策略、订单监控、发货通知、收款管理等一系列业务管理,都要做到严格的信用控制,防止低价销售,提高报价格效率。包括角色的分离:销售订单、审批、发货、收款、记账相分离。关键应用 6:支持增值循环内部控制在增值循环生产环节,包括生产计划、领料控制、进度控制、质量控制、库存管理、生产成本等业务管理,通过优化资源计划,提升资源利用效率。包括角色分离:生产计划编制、审批、检验、入库、记账相分离。应用特性:主动式风险预警和控制管理一个能够支持企业全面风险的 IT
19、系统,应该可以提供主动式的风险控制,包括事前控制、事中控制和事后控制。事前控制如完善的标准化操作、严格的授权控制、资金集中管理;事中控制如适当的职责分离、严格的审批级次、交易系统的实时集成;事后控制如严密有效的业务分析、定时不定时的检查。在国内,已经有很多在美国上市的公司落实了内控体系和风险管理机制,并严格按照萨班斯法的每个条款去实现。这些企业基于统一的平台,通过整合其他产品形成标准化的、集成的 IT 系统,全面支持企业集中式风险管理。在我们的研究中,卡斯卡特是一个典型案例。卡斯卡特成立于 1943 年,总部设在美国,世界上最大的叉车属具、货叉及其相关产品制造者。由于卡斯卡特是美国上市公司,其
20、中国公司也必须遵从萨班斯法。卡斯卡特希望通过信息系统的实施,建立一套符合萨班斯法案要求的内控体系。这就要求信息系统必须满足内部控制要求;业务流程必须满足萨班斯法案控制目标;实施项目本身必须通过审计;项目复核和签收流程;必须按职责分工原则建立系统安全控制。只有这些都做到,才能认为其管理是可控的。同时,卡斯卡特还希望最大限度降低实施成本。通过卡斯卡特、德勤、金蝶的三方合作,仅用 133 天就以最低的成本完成了整个项目的实施,帮助卡斯卡特建立了符合萨班斯法案的内控体系。同样,分众传媒、新东方、兴瑞电子等企业也是我们研究建立控体系和风险管理机制的重要成功案例。企业通过 IT 系统建立内控制体系和风险管理机制,要实现的目标包括:一、业务收益最大化;二、优化运营效率;三、业务风险和合规最小化。展望未来,风险控制仅仅是一个起点,风险管理还应该更融入决策过程中,把风险变成新的商业机会,这样风险管理才达到了一个新的境界。
