風險管理與內控到底是什么關系？（風險管理與內控到底是什么關系呢）

01

2006年，我當時所在的單位作為中央企業全面風險管理課題小組起草單位的身份，協助國資委起草了《中央企業全面風險管理指引》，并于2006年6月6日下發，中央企業自此開啟了轟轟烈烈的全面風險管理工作之旅。

這個過程中我們也協助了很多中央企業開展工作，在中央企業探索實施了一年多以后，2008年初，國務院國資委決定啟動中央企業全面風險管理年度報告編制的試點工作，選取了31家中央企業作為第一批試點，并要求：

2008年起，每年5月30日之前向國資委報送年度全面風險管理工作報告，并對此項工作實行企業一把手董事長（總經理）負責制。

昨天，在電腦上翻出來當年協助國資委起草的《關于開展2008年中央企業全面風險管理報告試點工作有關事項通知》的草稿，又想起了當年研討如何協助企業開展報告編制工作方法論時的情景。

在第一年啟動這項工作的時候，親身參與了很多中央企業總部報告的編制工作。

高強度的資料收集、編制問卷、訪談、研討、風險評估、匯報，很多時候涉及央企一把手訪談、董事會（黨政聯席會）匯報等與企業高層的交流，讓我在這個過程中也受益頗深。

很多對風險的深度思考，經過那些年與形形色色的企業與領導層的交流接觸中，天天在進行碰撞，對于企業各層面提出的各種問題、碰到的各類挑戰，下班之后繼續思考和搜尋答案，也是我這幾年寫這么多原創文章的最初源泉。

所以我的那么多文章，都不是空穴來風，都是來自于對企業實際問題的思考。

我記得非常清楚，當時很多企業高層將此風險報告當做與國資委傳遞信息的一種方式，特別是報告的最后一段：

需要國資委協助解決的有關重大風險問題。

很多企業開始提自己有關風險的“訴求”，如注資、并購、資源傾斜之類，很有意思。

最開始的全面風險管理，內部控制只是其中的一個小角色，比例不超過20%

2008年，在進行了多輪調研和征求意見之后，財政部聯合五部委發布了被稱為是“中國薩班斯”的《企業內部控制基本規范》。

兩年之后的2010年又發布了18項內部控制指引，外加一個評價指引和一個審計指引。自此，中國企業開始了有章可循的內部控制大發展階段。那段時間我在四大其中一家專門給大型企業和上市公司做內部控制體系建設和評價。

內部控制初始于內部牽制、發展于所有權與經營權的分離、成熟于資本市場對公眾公司保護投資者的基本要求。

今天看到的以西方為代表的典型內部控制框架里包含的要素，是在工業革命之后在企業里形成的科學管理體系的基礎上進而提煉總結的，在中國很多企業還沒有完全建立完善的科學管理體系之前，通過這個體系可以管中窺豹。

中國也是一樣，就像我們快速工業化進程一樣，我們的內部控制也是迎頭趕上，第一棒就落在了內地海外同時的上市公司，再進而擴展到國內A股主板上市的上市公司。

在今天很多民營資本還沒有脫離原始積累的階段，很多人把上市本身作為了快速完成原始積累的手段，在這個時候要求上市公司完善內控、談投資者保護，這不是笑話嗎？偉大的馬克思說過：

資本家看到有50%的利潤，就會鋌而走險；為了100%的利潤，就敢踐踏一切人間法律；有300%以上的利潤，就敢犯任何罪行，甚至去冒絞首的危險。

《資本論》，871頁

所以，實施的效果怎么樣，大家自己去看，2019年一地雞毛的上市公司年報行情，做假賬、關聯交易、違規擔保、侵占資金……一個上市公司的300億銀行存款可以一筆勾銷、上市公司高管發聲明說財報不保真、獐子島扇貝被搞得死去活來。

什么叫內控？不知道。只知道什么叫全面失控！

上市公司屬于全體股東所有，需要保護，國有企業屬于全民所有，我曾經有一篇文章講，國有企業，其實是一個全面上市公司，更需要保護。

2012年，國資委聯合財政部發布68號文《關于加快構建中央企業內部控制體系有關事項的通知》，這個文件就是前段時間國資委發布的101號內控文件的上一代。

這個時候，全面風險管理已經被推行了6年，68號文同樣要求：

建立主要負責人承諾制，明確企業主要負責人對內部控制有效執行負總責。

自2013年起，于每年5月31日前向國資委報送內部控制評價報告。

從2013年起，各企業需要在每年的5月份，單獨提交一份風險報告和一份內控評價報告，報給國資委不同的局。這兩份報告的關系，沒人說的明白，有的也試過直接Ctrl c再Ctrl v。

今天，看著剛剛下發的通知，文件中的一段話，了結了多年有些不愿再提及的恩恩怨怨：

各中央企業要以“強內控、防風險、促合規”為目標……，按一體化要求編制2019年度內控體系工作報告，不再分別報送《中央企業內部控制評價報告》和《中央企業年度風險管理報告》

在兩個月前的101號文中，以內部控制為抓手的融合風險管理、合規監督的觀點已明確提出。

此次的工作通知中，日后將用《xx年度內控體系工作報告》替代運行了12年的《中央企業年度風險管理報告》和運行了7年的《中央企業內部控制評價報告》，兩部分的內容都做了整合，最后的抓手還是落在了內部控制上。

關于這兩個理論的關系，有些人糾結的多年，也沒搞明白。連當年財政部發布企業內控規范時都說，今天的內部控制，和風險管理本質上是一樣的。我曾經寫過一篇文章細數了它們二者的七大不同，前一段時間又在風控課堂上直播更新講解了它們兩者的八大不同。

雖然文件將兩部分整合，把合規內容也整合在其內，看似簡化了的問題，但短時間內可能會變得更復雜。

由于很多中央企業在職能上還未實現大風控式的整合，不同的工作散落在了不同的部門，這份報告會牽涉到不同部門的溝通協調問題，最后迫于時間緊迫，報告有可能是各自“拼”出來的。

所以，2020年，開展具體工作的同時，另外一個工作就是風險管理、內部控制、合規工作職能的重新調整，走向整合式的大風控是個必然趨勢。

今年企業職能整合的時候，有一點需要注意，國資委是從監督的角度出發，以督促建，對應到企業既可以是監督的第三道防線職能、也可以是履行實際工作的第二道防線職能，不必拘泥于嚴格對照。

從第一年變革來講，從這個文件上看，形式上將內部控制、風險管理及合規進行了統籌，但內容上還是相互割裂的，并沒有打通。

之前推行的全面風險管理，內部控制作為其中的一個組成部分提了出來，但是實際上進行企業風險管理工作時，并不能說同步進行了內部控制的系統性建設。

所以，就算是有的企業已經建立了風險管理框架，后來財政部推行內部控制時，還需要進行內部控制體系建設。

這樣的迷惑不僅中國有，連最著名、最有影響力的COSO委員會搞明白了嗎？

并沒有，我翻閱了COSO所有出版的經典文件，對這個話題的觀點經常曖昧不清，左右搖擺，到今天2017年版的企業風險管理框架更新版發布，都沒有完全解決。

但是，經過這么多年的摸索，我們大多數從業者都認可內部控制是企業風險管理中一部分。

今天的文件以內部控制為抓手，把之前風險管理的內容整合了進來，說實話，還是有點牽強的，好比拿一個小蓋子去蓋一口大鍋。

以前是把內控放到風險的框里，現在是把風險裝到內控的籃子里。

為什么抓了風險管理這么多年，又去抓內部控制？

坦白的講情有可原，因為風險管理這事真不好抓，抓得好到處都是，抓不好就成了空對空，很難落地和見到實效。

內部控制就不同了，抓制度、抓流程、抓控制點，起碼能看到點東西，見到點成績。

但是，內控做好了，不代表不會出風險，很多風險發生了和內控好不好并沒有直接關系，因為內控關注的風險只是企業風險中的一小部分。

過去這幾年我寫的風險管理的文章要比內部控制多得多，為什么？

在我看來，風險管理是道，內部控制是術！

道是哲學、藝術、文化、能力層面，而術，就簡單具體多了。所以，我們選擇了寫難寫的部分。

以道引術，道盈卻術不精；以術弘道，術精卻道難全！

之前我們在前面，現在我們走到了后面，都偏失了中正。

論道，追求實用的人會覺得空泛，說術，層次高超的人定感覺細末。我們不是說術不重要，術非常重要，只不過需要先明道再優術，有一個先后順序。

下一步計劃把承諾的COSO最新的內控框架結合著財政部的文件給大家解讀完，我認為作為第一批的從業者播撒種子的使命就算基本完成了。

目前有時會代表中國參加國際相關標準的制定，跟這些全球的專家討論專業問題時，他們真理解不到我們這樣的深度，可以謙虛的吹個牛，對這些問題的理解，我們中國是全球領先的。

唯一的遺憾是目前中國在此領域還沒有一個專門的研究或學術平臺，可以代表中國發聲，因為我們的平臺設立有很多限制條件，這些問題可能要留給后面的廣大從業者接了棒繼續跑了。

瞎扯了這么多，還是說點實用的，和大家具體工作有關的，首先，關于這個年度工作文件的實施有一些要求，首先幫大家捋一下2020年的工作時間線：

1、2020年1月20日前

也就是半個月之后（春節前），上報內控體系職能部門或機構設置情況。

在2018年下發的2019年中央企業風險管理工作通知中，也有對中央企業風險管理工作組織情況的報告內容，這次是用內控職能取代了風險管理組織情況的報告內容。

2、2020年2月底前

董事會或類似決策機構審議通過重大風險評估情況。

春節之后第一個月有的忙了，此份風險評估報告并沒有要求報送國資委。

3、2020年4月30日前

編制《2019年度中央企業內控體系工作報告》，經主要領導人員簽字并加蓋公章后報國資委，并同時抄送企業紀委（紀檢監察組）、組織人事部門。

這里面有一個評價工作結果統計表，涉及全范圍的重大、重要、一般缺陷，這項工作不太容易，制定標準和缺陷認定規則很重要。

與這份報告一起報送的，還包括《中央企業重大風險季度跟蹤監測表》作為第一個季度的監測文件。

4、2020年6月30日后10個工作日內

編制第二季度《中央企業重大風險季度跟蹤監測表》，并報國資委。

5、2020年9月30日后10個工作日內

編制第三季度《中央企業重大風險季度跟蹤監測表》，并報國資委。

6、2020年12月31日后10個工作日內

編制第四季度《中央企業重大風險季度跟蹤監測表》，并報國資委，然后進入第2步，如此循環。

另外，企業還需建立重大資產損失風險事件的報告機制，事件發生后5個工作日內報告國資委，并按季度監測，內容反映在季度跟蹤監測表中。

7、2020年12月31日前

完成相關制度修訂增補工作。主要側重國家法律法規等外部監管規定、不符合不相容職務分離控制、授權審批控制，專項風險評估、內控體系監督評價、責任追究等制度完善工作。

我們之前解讀央企合規指南文件時就呼吁，合規的內容應該側重外部監管規定事項，此次合規要求也是做了相應要求。

另外，今年各企業還需要抓緊研究制定《2020—2022年度內控體系監督評價工作規劃》。

關于內控信息化

關于內控體系信息化問題，最近這兩個文件也一直強調，的確，如果可以實現業務各控制點的自動化控制，這是很好的控制手段。但是，內控信息化是一個很寬泛的概念，什么叫內控信息化？

是新建立一個內部控制信息系統？不一定，公司運行的大部分信息系統都含有控制信息，包含公司層面和業務層面的控制手段。內部控制工作和監督職能可以檢查和要求各信息系統實現對于控制的要求。

要評價內控信息化水平，就要看識別和評估出來的控制措施，有多少是通過信息化的控制在運行。

關于風險分類

本次文件中提供了一個五大類的風險分類框架，也是參照2006年央企指引的分類方式。

關于風險分類，它們之間相互交錯、相互影響，再加上不同職能分工的問題，要想劃分的既準確又有針對性是個非常不容易。這次參考分類中都留了一個活口，就是每類風險都有一個其他項可以擴展。

風險分類沒有最好，只有最適合，本次提出的17類重點關注的二級風險提供了一個重點參考，因為央企還是有很多共性的問題，其他的企業就要各顯神通了。

社會發展總是螺旋式上升，我們的對一件事物的認識也是一樣。

這次文件的變化開啟了另外一個風險管理和內部控制的融合時代，由原來的獨立到整合，雖然目前只是形式上的，但都是為了解決現存的問題而進行的探索，探索過程中的問題，相信一步步都會解決。

我們去年把公眾號名字由“風險管理世界”改名為“大風控”，也是意識到了這種協同和融合將是未來的必然趨勢。

風險管理和內部控制，是非常完美的一對拍檔，基本上解釋了所有企業管理的真諦，絕大部分企業管理中遇到的問題，都能從這兩個體系找到解決之道。

希望我們的中國企業在道與術中找到平衡點，助力中國企業早日成為世界一流！