中国集团企业的内控与风险管理-集团公司内部控制协同创新中心.docVIP

中国集团企业的内控与风险管理 本文是作者在 2008 中央企业 CFO 论坛上所作的研究主题报告，探讨了如何在新环境下科学构建企业内部控制体系和风险管理机制， 将高昂的、合规的责任转换为实质性的经营优势，并从风险管理当中，取得可以量化的经营和价值。 强化内控与风险管理，升级集团管控平台 ——2008中央企业CFO论坛主题报告 金蝶集团高级副总裁兼任首席咨询官 金卓君 在近年来的工作过程中，随着外部监管要求的提升、企业自身内控的要求，企业内控和风险管理成了主流话题。在当前的环境下，企业内控和风险管理过程中的IT系统是控制措施到位的必要保障，但是在现实中，大部分企业控制风险的管理支持并不足够。在此需要探讨的是，在新环境下如何应用IT系统构建企业内部控制体系和风险管理机制： 一、为什么：强化内控与风险管理必要性； 二、做什么：构筑科学的风险管理体系； 三、怎么做：内控及风险管理与IT系统。 为什么：强化内控与风险管理必要性 1995年英国巴林银行的破产； 2001年美国安然公司倒台； 2002年美国世通公司丑闻； 2004年中航油炒作原油期货，巨亏5.5亿美元； …… 上述事件都是由于内部风险控制疏漏从而导致企业的巨亏、破产，触目惊心的事实促使全球商界、金融界、政府重新审视风险控制的内部制度和外部环境，向企业提出了更加全面提升监管的要求。 2002年美国国会通过的萨班斯法案，2006年沪深证券交易所发布《上市公司内部控制机制》、同年国资委发布《中央企业全面风险管理指引》、2007年财政部发布《企业内部控制标准体系征求意见稿》……一系列政策法规的出台，企业已经可以真切感受到，对于强化内部控制和风险管理已经是大势所趋。 同时，随着市场竞争日趋激烈，外部环境变得越来越复杂，在企业经营过程中，风险无处不在。著名机构EIU（The Economist Intelligence Unit Limited）关于未来经济、产业和公司发展趋势的调查显示：2005年—2020年这15年间，包括管理决策、企业定价、低成本市场竞争、经济衰退、高素质员工缺乏等等，都会给企业经营带来风险。（图一：2005年-2020年的风险影响）  在今天的动态环境系统中，旧的内部审计方法已经不能符合的迅速发展的企业需要，管理和监督风险需要宽广和系统化的风险管理方法，这也是让企业股东与管理层寝食难安的问题。企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的风险进行监控及管理。 德勤中国2007年6月开展的一项有关中国上市公司内部控制现状的调查结果显示：大部分（74%）的上市公司清楚了解监管机构对内部控制的要求，但只有20%的上市公司认为自身现有的内部控制体系能够完全满足监管要求；约四分之三（76%）的受访上市公司均表示不了解或不确定如何有效地进行风险管理工作；大部分（72%）受访上市公司认为公司本身没有一个持续监控内部控制有效性的机制。中国上市公司内控体系距离监管机构的要求还很有距离。 同时，建立企业内控体系也耗费了企业高昂的成本。安永公司调查了255家美国上市公司在两年内遵从404条款的情况，反馈回来的数据清楚的说明了实现法规遵从所付出的代价：超过半数的企业法规遵从的成本在100万到500万美元之间。美国上市公司为遵从萨班斯法案花费了巨大的成本。（图二：美国上市公司遵从萨班斯法案的成本情况） 一篇报道提到：“据了解，由于该法案对上市公司的内部控制、财务管理等的要求‘极为苛刻’，使得在美国上市的中国企业集体遭受萨班斯之痛——在执行和实施过程中工作量异常繁重，增加了企业的成本与负担，所以遭受相关公司相关负责人员对“萨班斯”的抱怨和抵触情绪。”而萨班斯法案在美国本土企业中执行的过程中，却没有出现很多抱怨抵触。这也恰恰说明中国企业内控管理和风险管理远未达标。 做什么：构筑科学的风险管理体系 如何将高昂的、合规的责任转换为实质性的经营优势，如何从风险管理当中，取得可以量化的经营和价值，这就迫切需要企业构建科学的内控体系和风险管理机制。 什么是风险管理？美国内控研究委员会对风险的定义是：企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。这个定义，为企业内控体系的构建提供了参考。 Committee of Sponsoring Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架，也就是一般称之为的COSO内部控制框架。这个内控框架是唯一被