遠光軟件（來源：ATM　作者：不詳）

　　近幾年，在國資委、財政部及證監會的大力推動下，央企、國企、上市公司逐漸掀起了建設全面風險管理體系與內控體系的熱潮。然而，這是一個較新的管理領域，很多企業在體系建設中遇到的各種問題使得操作困難、難以落地，或者只是為了應付檢查，體系建設成果最終變成幾本束之高閣的手冊。其實，全面風險管理與內控是當今大型企業核心競爭力的體現，具有極高的應用價值，它并沒有那么神秘，也沒有那么困難。

　　一、風險管理與內控的區別與聯系

　　經常有客戶問我：風險管理和內控是什么關系?我會這樣告訴他：

　　第一，它們是包容關系，風險管理的涵蓋面大于內控，內控是進行風險管理的最主要工具，大約占60%-70%的內容。

　　第二，內控側重于將風險理解為潛在損失，進行內控主要是減少潛在損失;而風險管理將風險理解為中性詞，是潛在損失與機會的結合體，進行風險管理就是減少潛在損失，放大潛在機會，從而提高價值獲得。

　　第三，風險管理側重關注決策的正確性，而內控側重關注決策后在實施過程進行控制。例如公司要投一個項目，在決策前進行充分的可行性研究和風險評估，引導決策結果，這就是風險管理;而在已做決策并進行投資后，設計各種嚴格的項目控制機制和措施以防止項目失敗，這就是內控。

　　第四，風險管理主要是國資委在推廣，重點針對央企、國企;內控主要是證監會、財政部等五部委在推廣，重點針對上市公司及擬上市公司。當然，今年5月國資委下發了紅頭文件，內控也開始在央企及下屬公司推廣。

　　二、為什么很多企業建設不好內控體系

　　第一，理念問題。內控是個比較新的概念，不少管理者認為內控就像鐐銬，戴上了束手束腳，影響企業運行效率。這個想法是大錯特錯的。企業在快速成長時，往往容易忽視自身基礎管理的夯實與提升，內控體系的不完善使得管理漏洞百出，企業內部缺少相互制衡，舞弊、造假、以權謀私現象頻發，遲早會發生重大風險事件，到時候追悔莫及。只有正確認識到內控的價值及作用，才能具備建設好內控體系的先決條件。

　　第二，方案問題。很多咨詢公司的內控體系建設方案是傳統的合規型內控，這種方案以滿足內控指引為出發點，保障內控體系通過外部審計、證監會檢查為基本目的，一般包括內控診斷、風險識別與評估、流程梳理、穿行測試(編制控制矩陣、查找內控缺陷并提出整改建議)、內控手冊編制等內容，其中穿行測試是審計方法，占整個方案內容的70%以上。

　　這種方案確實很合規，能夠滿足內控指引要求，但存在以下弊端：

　　(1)起點低，沒有以戰略分解作為出發點設計方案，內控體系建設成果容易與戰略不匹配，甚至成為戰略目標實現的阻礙。

　　(2)內控體系建設主體大多數是集團型企業，面臨著各種各樣的集團管控問題，如果方案中沒有引入集團管控思想，容易出現總部與子公司內控體系建設水平差異大、內控管理權責不清、接口不明、流程銜接不暢、企業運行效率降低、內控體系難以推行落地等問題。

　　(3)70%以上的工作量花在穿行測試、內控缺陷挖掘及整改，過于偏向審計導向，容易造成內控強度過高，降低企業運行效率。內控真正的內涵不是把所有的風險都控死，而是把握控制強度與企業運行效率的平衡，降低潛在損失，提高經營效益，帶來價值增長。

　　因此，內控體系建設方案應以管理提升為導向，以戰略梳理及分解為起點。結合集團管控思想，除了使用傳統方法，更要深入研究企業實際，對比標桿企業，將先進的組織體系、權責體系、制度及流程體系、管理策略與措施等與企業相結合，在滿足合規要求的同時切實提升綜合管理水平。AMT的集團內部控制體系產品正是基于上述思路設計。

　　第三，推進方式問題。有的公司領導把內控體系建設任務下達給審計部、企管部或法律部，讓這些部門自己去推進，結果處處碰壁，部門間協調起來困難重重，體系建設進度一拖再拖，成果質量不符要求。

　　其實，內控體系建設必須要把握好以下原則：“高層重視、全員參與、考核納入、逐步推進、分布實施。”筆者于2011年在江西省某大型試點上市公司的內控體系建設項目經驗值得借鑒：

　　(1)成立內控體系建設領導小組，由董事長、總經理分別任組長及副組長，各副總為成員;下設項目辦公室，由總經濟師任辦公室主任，成員由各部門經理組成，其中審計部經理為組織者，協調各項工作。

　　(2)通過邀標方式選擇知名度高、專業實力強、經驗豐富的咨詢公司，提供全程咨詢、技術輔導及成果檢核服務。

　　(3)公司總部每個部門抽調2-4名人員，各試點子公司分別抽調5-7名人員，合計抽調100多名人員配合內控體系建設(實際建設工作中有更多人員配合，幾乎實現了全員參與)。

　　(4)建立內控體系建設考核方案，對各部門及試點子公司進行考核。每月由項目辦公室、咨詢團隊進行評分。對綜合排名前三的部門予以公開表揚，增加5%-10%年終獎，排名最后的部門進行批評，扣減5%年終獎。

　　(5)配合咨詢團隊制定詳細的工作計劃，穩步推進內控體系建設。每周五下午三點開例會，咨詢團隊及各部門經理進行進度報告、成果檢核、問題研討。咨詢團隊深入到每個部門進行手把手輔導，對各部門工作成果進行檢核，反復修訂。

　　(6)內控體系建設初步完成后，分別召開專家評審會、經理會、董事會對成果進行檢核。

　　(7)制定兩年的內控體系分布實施工作計劃，先選擇三個部門及一個子公司試行三個月，第四個月對試行中發現的問題進行集中調整，然后再全面推廣到所有部門及子公司，并在后續不斷改進。

　　通過以上推進方式，該公司2011年底被江西省證監局評為“上市公司內控體系建設標桿企業”，本人有幸被證監會推薦為內控專家，各地上市公司紛紛到該公司去調研學習。

　　三、為什么有些企業建設不好全面風險管理體系

　　全面風險管理體系可謂是內控體系的升級版，內容比內控體系更豐富。很多企業建設全面風險管理體系遇到了與建設內控體系極為類似的問題，最終成果華而不實，難以落地，沒有價值感，主要原因如下：

　　第一，理念問題。這一點跟內控體系建設類似，不再贅述。

　　第二，方案問題。目前很多咨詢公司的方案仍是傳統方案，基本上是根據2006年《中央企業全面風險管理指引》設計，主要包括風險現狀診斷、全面風險識別與評估、風險應對策略設計、風險管理組織建設、流程梳理及風控矩陣編制、全面風險管理報告編制、全面風險管理手冊編制等。這種方案很符合指引要求，但存在以下弊端：

　　(1)沒有以戰略分解作為出發點設計方案，最終成果可能與戰略不匹配。與傳統內控體系方案的問題類似，不再贅述。

　　(2)沒有設計全面風險管理工作規劃。公司既然要制定戰略規劃、產品規劃、人力資源規劃、營銷策略規劃等，也應當制定全面風險管理工作規劃，以“體系搭建、穩步推進、高效融合、能力提升、行業標桿”為基本思想，設計未來五年的全面風險管理工作規劃。

　　(3)沒有融入集團管控思想，風險管理組織建設僅有橫向的三道防線(各部門為第一道防線、風險管理部及風險管理委員會為第二道防線、審計部及審計委員會為第三道防線)，沒有縱向母子公司間的風險管控條線(風險總控條線、人力資源風險管控條線、財務風險管控條線、營銷管理風險管控條線、生產管理風險管控條線等);沒有明確各部門的風險管理職責，編入部門及關鍵崗位的職責說明書。

　　(4)沒有把風險預警體系建設作為重中之重，這才是全面風險管理體系最具價值的內容。傳統方案一般只設計財務相關的預警指標，其實外部環境、戰略、人力、生產、研發、銷售、財務、存貨、信息等方面都可以設計預警指標。

　　(5)全面風險管理信息系統不實用。目前國內有全面風險管理信息系統產品的咨詢公司或IT公司不超過五家，據筆者從客戶處了解，這些產品都過于技術化，看起來很先進，用起來不實用，對操作者的風險管理知識要求較高，而且耗費較多人力成本。對此，筆者去年設計了一個新的全面風險管理信息系統框架，旨在“讓不懂風險管理的人也能通過這套系統進行風險管理”，并且利用“流程引擎+BI+知識管理”驅動技術，實現全面風險管理信息系統與ERP及其他信息系統的數據交換及流程監控，實現真正的全程監控、自動預警、風險跟蹤等真正有價值的功能。

　　第三，推進方式問題。這一點跟內控體系建設問題類似，不再贅述。