我之前寫了很多篇文章來介紹企業(yè)風險管理和內(nèi)部控制體系的發(fā)展脈絡(luò)，為今天這篇文章算是打了個基礎(chǔ)。

這篇看完，對兩者的認知直接打敗當下風控內(nèi)控領(lǐng)域一半的專家。

過去這些年，無論在理論界還是企業(yè)界，對于關(guān)于企業(yè)風險管理和內(nèi)部控制之間的關(guān)系爭論了好多年。

多種說法都出現(xiàn)過，比如：

• 企業(yè)風險管理包含內(nèi)部控制；

• 企業(yè)內(nèi)部控制包含風險管理；

• 企業(yè)風險管理就是企業(yè)內(nèi)部控制；

• 企業(yè)風險管理和內(nèi)部控制沒有關(guān)系。

應該說，在這些年的爭論過程中大家還是形成了一定的共識。

但是，離真正能夠說清楚、說明白兩者之間的關(guān)系還有一定的距離。從企業(yè)實踐來看，目前存在著很多不同的做法，很多企業(yè)因為無法準確區(qū)分兩者之間的區(qū)別與聯(lián)系，為了方便起見，還是將兩者并行放在一起進行“風險管理與內(nèi)部控制”的整合管理。

我碰到很多同仁吐槽遇到過此類苦惱，有領(lǐng)導詢問關(guān)于兩者之間的區(qū)別和聯(lián)系，我們很多從業(yè)者卻無法給領(lǐng)導一個滿意的解釋。

這其實不能責怪他們，因為兩個體系的糾纏已經(jīng)延續(xù)了十幾年、爭論了十幾年，也確實沒有人能夠非常清晰的劃清兩者的邊界和相互作用關(guān)系。就算前期形成了一定共識，但是面對這兩年企業(yè)風險管理領(lǐng)域翻天覆地的變化，就更難回答了。

今天，大部分人都認可了企業(yè)風險管理包含內(nèi)部控制的觀點，因為內(nèi)部控制也是企業(yè)管理風險的手段之一，但是狹義上來講，二者也確有一定差異。

我們今天帶著大家先不談誰包含誰的結(jié)論，僅側(cè)重在兩者的差異看，如何更好的厘清兩項工作的側(cè)重點，先來提純，再講融合，也許會對其本質(zhì)有不同的體會，希望可以給大家?guī)磉M一步的思考。

一、國際戰(zhàn)場的恩怨起源

前面的文章我們已經(jīng)談到，1992年COSO發(fā)布的《企業(yè)內(nèi)部控制-整合框架》，作為在全球企業(yè)內(nèi)部控制領(lǐng)域的集大成者，面對21世紀初美國公眾企業(yè)一系列的財務造假事件，被美國證監(jiān)會采用作為美國資本市場公眾企業(yè)的合規(guī)框架而名聲大噪，同時，也被全球各個國家參考和借鑒形成了本國的企業(yè)內(nèi)部控制管理框架。

但是COSO通過分析這一系列的企業(yè)經(jīng)營失敗的案例，發(fā)現(xiàn)純粹從建立和維護一個健全、有效的內(nèi)部控制體系，還不足以防范這些失敗案例的再次發(fā)生，因為有些失敗的因素超出了內(nèi)部控制的范疇。

所以，COSO考慮需要從更高的層面建立一個體系來指導企業(yè)如何能夠更好的保護企業(yè)價值、實現(xiàn)企業(yè)目標。

時隔12年之后，2004年COSO發(fā)布了《企業(yè)風險管理-整合框架》。從名字上可以看出，從企業(yè)內(nèi)部控制到風險管理，COSO的本意表明后者要比前者定位更高一些、范圍更廣一些，COSO在正式文件中也闡明：企業(yè)風險管理包含了內(nèi)部控制。

通過觀察兩個體系的框架圖，我們可以看出兩者何等的相似，顯然是同出一門、同宗同源的，這也為日后全球范圍的包含與被包含之爭埋下了隱患。企業(yè)風險管理框架只是在要素和目標層面多出了幾個內(nèi)容，但一眼望去還是那個經(jīng)典的“立方體”（Cube）。

實話實說，COSO組織以內(nèi)部控制框架而全球聞名，而一個以財務、審計為主要背景的5家發(fā)起機構(gòu)組成的COSO，起草企業(yè)風險管理領(lǐng)域的文件卻不一定是其優(yōu)勢所在，因為從“控制”向“管理”的跨越有可能超出了其駕馭能力。但不管如何，由于COSO在內(nèi)部控制領(lǐng)域的至高聲譽，其隨便一個動作就會引起全球的一陣騷動，這也凸顯了一個平臺的重要性。

在COSO發(fā)布其ERM框架之前，其實很早之前全球范圍內(nèi)已經(jīng)出現(xiàn)了泛風險管理、企業(yè)層面風險管理的概念和理念，但是只是在局部和小范圍應用和傳播，并沒有被全面的普及和推廣。

我時常想，借助COSO的影響力，2004年COSO的ERM框架確實對企業(yè)風險管理理念的廣泛傳播起到了非常積極的推動意義。但同時，

2004年的“立方體”框架如同一個牢籠，也困住了企業(yè)風險管理放蕩不羈、追求自由的翅膀。

二、中國戰(zhàn)場的恩怨起源

國際上戰(zhàn)事未結(jié)，中國的戰(zhàn)役卻已打響，而中國戰(zhàn)場的發(fā)展應該是全球中最離奇、最精彩的那一個。中國企業(yè)風險管理實踐的全面展開是以2006年國務院國資委發(fā)布的《中央企業(yè)全面風險管理指引》為標志，而企業(yè)內(nèi)部控制實踐的全面展開是以財政部2008年發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》為標志。

從時間線上來看，國際上兩個文件的發(fā)布中間是經(jīng)歷了12年探索和思考的時間，而中國只用了2年；從順序上講，國際上是先發(fā)布企業(yè)內(nèi)部控制框架，又發(fā)展到的企業(yè)風險管理，而中國順序正好相反。

2008年發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范參考了COSO 1992年的內(nèi)部控制框架，而2006年發(fā)布的企業(yè)風險管理框架卻是中國自創(chuàng)的一套，這也為這個戰(zhàn)場增添了一些新的不確定性。

2006年，我們中國的央企、地方國企和部分大型企業(yè)開始風風火火進行企業(yè)風險管理體系的建設(shè)，如我們之前文章中說的那樣，企業(yè)內(nèi)部控制是企業(yè)的一套基本功體系，2006年在我們中國企業(yè)還未全面強化基本功的情況下，就吃了一粒“十全大補丸”，導致虛火很旺。

風險管理推行了5年之后，2011年開始，中國企業(yè)又大規(guī)模的進行了企業(yè)內(nèi)部控制體系的建設(shè)，這之后又進入了企業(yè)風險管理和內(nèi)部控制的整合階段，再之后是兩個體系和各企業(yè)管理子體系的整合階段。

我們用了極其簡潔的幾段話描述了中國戰(zhàn)場的情況，因為我不想展開說，我相信在企業(yè)有過親身經(jīng)歷這個過程的人看了可能會感慨萬千，五味雜陳！

超常規(guī)發(fā)展、顛倒發(fā)展帶來的經(jīng)驗和教訓、惆悵和迷惘讓中國企業(yè)的這段歷史顯得格外讓人難以忘卻。

三、企業(yè)風險管理的最新發(fā)展，推動了戰(zhàn)事走向終結(jié)

2017年9月，按照預定時間，COSO組織推遲了一年發(fā)布了新版企業(yè)風險管理框架，這次的框架的變動如此之大，并沒有對原有的框架進行修補，而是直接拋棄了2004年的立方體風險管理框架，掙脫了立方體“牢籠”的企業(yè)風險管理，又重獲自由。新框架強調(diào)風險管理不是一項獨立的活動，應該和企業(yè)管理活動密切融合。

而文件中也提及了風險管理和內(nèi)部控制的關(guān)系，為了避免前期混戰(zhàn)的持續(xù)，厘清雙方的關(guān)系，這次的風險管理框架中，沒有提及任何和控制有關(guān)的話題，而將其都留給了內(nèi)部控制體系，以此算是給兩個體系做一個切割，希望雙方不再有紛爭、西線再無戰(zhàn)事。

2018年2月，ISO組織也發(fā)布了更新版的ISO31000風險管理標準文件，也有一些新的指導原則和導向的變化。這兩份文件我們公眾號寫過幾十篇系列解讀，有需要請查看，在此就不展開論述了。

四、企業(yè)風險管理和內(nèi)部控制的七大本質(zhì)差異點

因為親歷了全程，所以每個階段都會留有一些思考和體會，回應開頭關(guān)于業(yè)界對于兩者的區(qū)別和聯(lián)系，結(jié)合最新的理論發(fā)展，我們來總結(jié)和展望一下兩者的本質(zhì)異同點：

1、執(zhí)行力度不同

• 內(nèi)部控制強制性：對于企業(yè)內(nèi)部控制而言，從發(fā)展源頭上來看，是由外部監(jiān)管機構(gòu)強制執(zhí)行的，特別是針對公眾公司，企業(yè)內(nèi)部控制有效性更是必須要保證的；

• 風險管理自愿性：風險管理體系則不同，由于風險管理的目標是創(chuàng)造和保護的價值，這更像是企業(yè)的股東和管理層的一種自愿選擇行為，而不能是由任何外部機構(gòu)強制要求組織應該創(chuàng)造多少價值。

需要注意的一點是，雖然外部監(jiān)管機構(gòu)強制企業(yè)建立內(nèi)部控制體系，但強制的部分是有側(cè)重點的，不能代表企業(yè)內(nèi)部控制的全部。所以企業(yè)內(nèi)部控制體系要做的好，不能僅僅為了滿足監(jiān)管機構(gòu)的要求為標準。

2、實施要求不同

• 內(nèi)部控制是最低要求：企業(yè)按照外部實施要求和指導文件進行的內(nèi)部控制體系建設(shè)，是對企業(yè)控制的最低要求，是及格要求；

• 風險管理是最高標準：企業(yè)風險管理工作是為了企業(yè)愿景、使命和戰(zhàn)略目標的實現(xiàn)為工作目標，這個內(nèi)部控制不同，是企業(yè)的一套最高標準。

打個比方，我們對一個人的要求，我們可以強制要求他不能觸犯法律，但無法非要讓他成為一個道德高尚的人。

3、使用手段不同

• 內(nèi)部控制基于控制：從名字上就能看出區(qū)別，企業(yè)內(nèi)部控制體系的實施手段是基于控制的；

• 風險管理基于管理：而企業(yè)風險管理的實施手段是基于管理的，控制手段是管理手段的一種。

4、針對目標不同

• 內(nèi)部控制針對財務、運營、合規(guī)目標：傳統(tǒng)的企業(yè)內(nèi)部控制體系建設(shè)和運行是為了合理保障財務報告、運營和合規(guī)目標的實現(xiàn)；

• 風險管理針對戰(zhàn)略、績效目標：風險管理體系的設(shè)計和運行是為戰(zhàn)略和績效目標的合理實現(xiàn)提供保障。

5、選取視角不同

• 內(nèi)部控制多基于當下和過去視角：雖然內(nèi)部控制又可分為發(fā)現(xiàn)性控制和預防性控制，但內(nèi)部控制的視角主要是基于當下和過去的控制而言；

• 風險管理基于未來視角：風險管理則不同，每時每刻都是關(guān)注未來的風險變化。

6、管理內(nèi)容不同

• 內(nèi)部控制側(cè)重確定性：內(nèi)部控制是針對識別確定出的需要進行風險控制的點，施加確定性的控制，管理是以確定性為主要內(nèi)容，雖然控制的效果有時也會有一定的不確定性。

• 風險管理側(cè)重不確定：風險管理的實質(zhì)是管理不確定性，風險管理的過程也是將對目標有影響的不確定性進行識別、管理、應對，使其處于可接受狀態(tài)的過程。

7、實施階段不同

• 風險管理側(cè)重決策階段：風險管理強調(diào)對不確定性的管理，在企業(yè)管理中，決策階段面對的不確定性是最大的，矛盾是最集中的，抓好決策階段的風險管理，是風險管理最大的價值體現(xiàn)點。所以，如果風險管理從業(yè)者無法參與決策、影響決策，就把風險管理的最大效用直接減掉了80%。

• 內(nèi)部控制側(cè)重執(zhí)行階段：內(nèi)部控制強調(diào)對確定性的控制，確定程度越大，就越遠離風險管理，完全確定的就不存在風險，而是實際的問題。問題解決就可以，不需要管理。一旦決策完成，進入執(zhí)行階段，不確定性就大大降低了，這時候需要強調(diào)程序和控制，是內(nèi)部控制的地盤。
  

8、體現(xiàn)方式不同

• 內(nèi)部控制側(cè)重形：由于內(nèi)部控制的工作對象是針對有形的企業(yè)制度、流程，所以內(nèi)部控制本身也比較顯性化，比較好把握，有的企業(yè)覺得內(nèi)控操作性好就是這個原因；

• 風險管理側(cè)重神：風險管理則不同，純粹有形的制度和流程還不足讓企業(yè)可以在所有的風險面前游刃有余，企業(yè)還有很多軟性的管理要素并不是制度和流程可以全面覆蓋的，如企業(yè)文化、價值觀等。另外，企業(yè)制度和流程的建立需要有一個方向的引領(lǐng)，而風險管理側(cè)重的神正是提供了這些內(nèi)容。

給企業(yè)“看病”多年，發(fā)現(xiàn)和中醫(yī)給人看病有很多相似的地方，內(nèi)部控制好比中醫(yī)中的“陰”，側(cè)重物質(zhì)屬性，有形（制度、流程）；而風險管理更像“陽”，側(cè)重功能屬性，有“神”的引領(lǐng)作用（文化、能力、價值觀）。

陰陽平衡互補，才能造就健康的機體，如此看來，醫(yī)人醫(yī)企道一也！

返回列表