风险管理与内控控制不是孤立存在于企业内的,它更多的是从一个独特的角度观察、检视企业管理的全部。风险管理与内部控制天然有着嵌入性的特征。虽然有专门的理论、方法、技术、工具,但正如所有管理一样,风险管理与内部控制真实的发生在所有的业务、管理活动中(事实上这也是ISO31000倡导的)。基于管理的系统思想,我想,其构建与运行也应当不是单独而存在,它的运行势必会与其他管理内容相互融合、相互促进。本文站在风险管理与内控控制规范体系构建及运行的角度,尝试着构建一个内控的全框架,试着告诉自己内控以后究竟是个什么样。
框架逻辑构成图示如下:
各板块构成如下:
框架要素功能作用、内在机理、构成要素如下:
序号 | 要素 | 功能作用及内在机理 | 构成/相关机制 | |
目标 激励 约束 (宏观机制) | 01 | 战略规划 | 指引方向、提供目标。
内在机理:将内控与风险管理提升到战略高度,将其上升为战略实现的风险识别、分析、评价、应对及预警、监控的常态机制。 促进战略实现是风险管理及内部控制的最高目标,是中国内部控制规范、COSO-ERM的内在要求。战略为风险管理及内部控制提供目标、指引方向。作为一项不断优化、持续改进的工作,建立战略规划有助于树立风控建设的发展观、有助于提升风险管理及内部控制的重视程度、有助于保障风险管理及内部控制机制的执行。 | 1、 基于中长期战略规划,建立与战略规划匹配的风险管理职能子战略,对公司战略实施过程中预估的重大风险进行分析预测,制定并执行主要应对策略及方案、并在滚动期间更新; 2、 结合战略及年度计划,开展公司风险识别、分析、评估,确定公司重大风险相关的重大领域(产业板块、业务领域、业务单元、管理领域、流程…); 3、 在集团范围内选取风险焦点(产业板块、业务领域、业务单元、管理领域、流程…)做专项风险识别、分析、评估,并制定工作计划; 4、 结合子战略、年度计划、年度公司层面风险评估制定年度工作计划(包括重大风险应对策略及解决方案及具体工作计划、内部控制监督检查计划);
|
02 | 绩效考核 | 激励约束。
内在机理:对于比较陌生或抵触或不支持的风险管理而言,激励及约束机制的必要的。这是基于X理论的机制设计。 | 1、包含内部控制与风险管理有效性的绩效考核体系及薪酬体系; 可采取在考核体系中预留内控与风险管理有效性的分值及比例,可按照设计及执行有效性两个维度,分别设计考核指标。落实到子公司、到中高级管理人员、到每一位员工。 可逐级实施。
| |
03 | 监督 | 监督强化。
内在机理:风险管理三道防线:业务单位及职能部门;风险管理、内部控制、合规等职能部门、风险管理委员会等;审计监察、纪委等职能部门、审计委员会、董事会等。第一道防线外的第二及第三道防线为公司风险管理的监督部门。 基于风险导向,对全公司的全管理领域、全业务、全过程实施全面监督。全面覆盖+重点突破。 | 1、 公司风险预警体系; 2、 跟踪并督办公司或成员单位重大风险应对策略及解决方案; 3、 覆盖全管理领域、全业务、全过程的全面风险管理(含组织及责权、含流程、含制度、信息系统、含风险点、含控制点、含知识…..)体系运行的监督检查稽核机制(含优化); 4、 内部审计 | |
全面风险管理(执行机制)
| 04 | 风险评估 | 识别重点。
内在机理:风险无时无处不在,风险有大有小、有可容忍的有难以承受的,风险导向的内部控制或者经营管理尤其独特的可为之处。实施全面覆盖+重点突破。 | 1、 公司风险评估(战略规划、年度经营工作); 2、 流程风险评估(针对单个末级流程、针对端到端的高级流程); 3、 “三重一大”专项风险评估; |
05 | 流程 | 基础、是核心。
内在机理:流程作为经济业务及管理活动的直接反映,其具有连续性、真实性的特征。基于流程进行风险管理及内部控制现状的梳理,是非常好的入手路径。 当然现状梳理,还需要加上隐藏在制度、组织架构及责权、表单、信息系统等方面的控制设计,才能反映公司风险管控全貌。但无论如何,基于流程进行内控梳理,是个非常好的,易于操作和接受的路径。 同理,风险与内控的有效落地,也很大程度上依赖于流程的设计与执行。风险点在流程里、控制点也在流程里。魔鬼在细节里,细节决定成败。 | 1、 流程框架PCF-主流程-子流程-SOP; 流程图、流程描述、流程绩效指标 2、 RCM风险控制矩阵; 3、 全面风险管理手册;
| |
06 | 内控评价 | 自我评估(自己号号脉)。
内在机理:自我检视机制。 | 1、 自查自纠:执行层季度开展执行有效性测试,自查制度、流程、外部规范等执行情况,并组织改进; 执行层季度自省流程、制度、控制、组织、信息系统等设计有效性缺陷; 2、 独立评价:公司至少统一组织年度评价,全面评价公司风险管理及内部控制有效性;运作良好的公司至少每半年独立开展一次评价。 | |
保障及支持 (保障机制) | 07 | 组织架构 | 组织保障。
内在机理:重视程度及企业文化决定了大环境,具备胜任力的人才以及执行者的权责安排决定了风控是否能迈开步子一步一步走起来。 | 1、 组织: (1) 治理层:风险管理委员会或风险与审计委员会; (2) 管理层:风险管理与内部控制领导小组或总经理办公会;专项风险管理小组;风险管理部门、审计部门; (3) 执行层:各业务单位及职能部门; 2、 岗位及人员构成: (1) 风险管理委员会需内外董事结合; (2) 领导小组为公司高管及相关中层,领导小组总负责人应当为董事长或CEO,执行负责人以精通公司管理及业务运营者为佳,可以为执行董事、CEO、COO、CFO等; 专项风险管理小组由公司专项风险管理负责人担当,成员至少相关职能部门或单位负责人; 管理部门专人专岗专门部门; (3) 执行层部门领导主责、配备专人或兼任,业务单位要求领导挂帅、专人专岗或专门部门; 组织及相应的人才应当保持一定的稳定性,管理部门的专职人员应当具备相应的胜任能力等职业道德特征。 3、 权责: (1) 治理层:监督权及决策权;总体负责、提要求、批准规划计划、定期审视风险管理及内部控制现状; (2) 领导小组:重大事项或争议决策及支持、定期研究并审查管理现状; (3) 管理层:组织实施、牵头研究、日常负责,拥有全公司风险干预权、风险管理相关体系的管理权、风险考核权; (4) 执行层:配合、执行、对本部门本单位风险管理有效性负责、牵头研究、建议权; 4、 公司拥有一套科学合理的组织、权责体系、人才梯队,用于保障在经营管理的具体业务或事项中保持风险管理及内部控制的胜任力。
|
08 | 制度 | 机制保障
内在机理:风控机制的合法化。 | 1、 全面风险管理与内部控制运行机制本身的制度保障:包括全面风险管理与内部控制的目标、组织架构及责权、规划计划、构建、运行维护、监督检查、评价、审计、绩效考核、优化等各环节的内容及机制的规范; 2、 相关配套的制度保障:公司的制度体系及制度的生命周期管理; | |
09 | 企业文化 | 文化保障、根本保障、提供风控运行的土壤、空气,营造的是工作氛围和内部环境。
内在机理: 风控长效机制的根本保障。风控是否能在企业落地生根,最终是否能变成公司及其员工的一举手一抬头一蹙眉,皆在于文化。 | 1、风险管理文化:科学看待风险,以风险为导向、基于风险评估制定决策,人人考虑风险、人人应对风险,将风险探讨及应对融入日常工作,不仅防范控制纯粹风险,更利用机会风险获得成功 2、流程型工作文化:顾客为中心、关注价值、持续改进; | |
固化 进化 (固化进化机制) | 10 | IT信息系统 | 固化、让内控真的落地。
内在机理: 让风险管理及内部控制融入业务、嵌入管理、变成企业及员工的日常行为,it无疑是最好的工具利器。
利用信息系统形成的管道,固化风险管理及内控制,提升风险管理智能。
| 1、 建立融合公司管治、风险管理、内部控制、合规机制的GRC信息系统,实现风险管理等工作本身的信息化,固化落地全面风险管理机制;
2、 基于信息化整体架构、信息化基础设施及基础平台,构建以BPMS、ERP、GRC等为核心的,覆盖企业业务、管理活动的管理信息系统(MIS),对组织风险管理及内部控制状况进行动态监控 |
11 | 知识管理 | 积累、让内控变得更聪明、进化之源。
内在机理:风险无时无处不在。风险的识别、分析及应对需要每一业务板块、每一管理领域、每一操作过程的知识作为支持。风险及其应对的进化,亦需要知识的不断创造、分享、推广、应用、沉淀、更新。
| 通过不断积累、沉淀而形成的知识管理体系,将全面内控工作推向不断深化、不断提高的永续管理轨道,永不满足,永不停歇。
1、 全业务、全管理领域、全过程的旨在实现目标、管理风险的知识体系。 2、 全面风险管理、内部控制本身的理念、方法、工具、模板、制度、流程、经验、技能的不断总结沉淀; 具体构建可能以流程、或以岗位、或以某项专门风险为基础构建风险管理知识地图、知识历程图,构建风险管理及内部控制知识的需求识别、创造或引进、分享或推广、使用、积累沉淀、更新等一系列机制等;
|
