这样的迷惑不仅中国有,连最著名、最有影响力的 COSO 委员会 搞明白了吗?
并没有,我翻阅了 COSO 所有出版的经典文件,对这个话题的观 点经常暧昧不清,左右摇摆,到今天 2017 年版的企业风险管理框架 更新版发布,都没有完全解决。
但是,经过这么多年的摸索,我们大多数从业者都认可内部控制 是企业风险管理中一部分。
今天的文件以内部控制为抓手,把之前风险管理的内容整合了进 来,说实话,还是有点牵IM电竞 IM电竞app强的,好比拿一个小盖子去盖一口大锅。
以前是把内控放到风险的框里,现在是把风险装到内控的篮子里。 为什么抓了风险管理这么多年,又去抓内部控制? 坦白的讲情有可原,因为风险管理这事真不好抓,抓得好到处都 是,抓不好就成了空对空,很难落地和见到实效。 内部控制就不同了,抓制度、抓流程、抓控制点,起码能看到点 东西,见到点成绩。 但是,内控做好了,不代表不会出风险,很多风险发生了和内控 好不好并没有直接关系,因为内控关注的风险只是企业风险中的一小 部分。 过去这几年我写的风险管理的文章要比内部控制多得多,为什么? 在我看来,风险管理是道,内部控制是术! 道是哲学、艺术、文化、能力层面,而术,就简单具体多了。所 以,我们选择了写难写的部分。 以道引术,道盈却术不精;以术弘道,术精却道难全! 之前我们在,现在我们走到了后面,都偏失了中正。
1、2020 年 1 月 20 日前 也就是半个月之后(春节前),上报内控体系职能部门或机构设 置情况。 在 2018 年下发的 2019 年中央企业风险管理工作通知中,也有 对中央企业风险管理工作组织情况的报告内容,这次是用内控职能取 代了风险管理组织情况的报告内容。 2、2020 年 2 月底前
我记得非常清楚,当时很多企业高层将此风险报告当做与国资委 传递信息的一种方式,特别是报告的最后一段:
很 多 企 业 开 始 提 自 己 有 关 风 险 的 “ 诉 求 ” ,如 注 资 、并 购 、资 源 倾 斜 之类,很有意IM电竞 IM电竞app思。
由于很多中央企业在职能上还未实现大风控式的整合,不同的工 作散落在了不同的部门,这份报告会牵涉到不同部门的沟通协调问题, 最后迫于时间紧迫,报告有可能是各自“拼”出来的。
所以,2020 年,开展具体工作的同时,另外一个工作就是风险管 理、内部控制、合规工作职能的重新调整,走向整合式的大风控是个 必然趋势。
关于这两个理论的关系,有些人纠结的多年,也没搞明白。连当 年财政部发布企业内控规范时都说,今天的内部控制,和风险管理本
质上是一样的。我曾经写过一篇文章细数了它们二者的七大不同,前 一段时间又在风控课堂上直播更新讲解了它们两者的八大不同。
虽然文件将两部分整合,把合规内容也整合在其内,看似简化了 的问题,但短时间内可能会变得更复杂。
本次文件中提供了一个五大类的风险分类框架,也是参照 2006 年央企指引的分类方式。
关于风险分类,它们之间相互交错、相互影响,再加上不同职能 分工的问题,要想划分的既准确又有针对性是个非常不容易。这次参 考分类中都留了一个活口,就是每类风险都有一个其他项可以扩展。
风险分类没有最好,只有最适合,本次提出的 17 类重点关注的 二级风险提供了一个重点参考,因为央企还是有很多共性的问题,其 他的企业就要各显神通了。
资本家看到有 50%的利润,就会铤而走险;为了 100%的利润,就敢践踏 一切人间法律;有 300%以上的利润,就敢任何罪行,甚至去冒绞首的危险。
所以,实施的效果怎么样,大家自己去看,2019 年一地鸡毛的 上市公司年报行情,做假账、关联交易、违规担保、侵占资金......一 个上市公司的 300 亿银行存款可以一笔勾销、上市公司高管发声明 说财报不保真、獐子岛扇贝被搞得死去活来。
2006 年,我当时所在的单位作为中央企业全面风险管理课题小组 起草单位的身份,协助国资委起草了《中央企业全面风险管理指引》, 并于 2006 年 6 月 6 日下发,中央企业自此开启了轰轰烈烈的全面风 险管理工作之旅。
这个过程中我们也协助了很多中央企业开展工作,在中央企业探 索实施了一年多以后,2008 年初,国务院国资委决定启动中央企业全 面风险管理年度报告编制的试点工作,选取了 31 家中央企业作为第 一批试点,并要求:
今天,看着刚刚下发的通知,文件中的IM电竞 IM电竞平台一段话,了结了多年有些 不愿再提及的恩恩怨怨:
各 中 央 企 业 要 以 “强 内 控 、防 风 险 、促 合 规 ”为 目 标 ...... ,按 一 体 化 要 求 编 制 2019 年度内控体系工作报告,不再分别报送《中央企业内部控制评价报告》 和《中央企业年度风险管理报告》
社会发展总是螺旋式上升,我们的对一件事物的认识也是一样。 这次文件的变化开启了另外一个风险管理和内部控制的融合时代, 由原来的独立到整合,虽然目前只是形式上的,但都是为了解决现存 的问题而进行的探索,探索过程中的问题,相信一步步都会解决。 我们去年把公众号名字由“风险管理世界”改名为“大风控”,也是意 识到了这种协同和融合将是未来的必然趋势。 风险管理和内部控制,是非常完美的一对拍档,基本上解释了所 有企业管理的真谛,绝大部分企业管理中遇到的问题,都能从这两个 体系找到解决之道。 希望我们的中国企业在道与术中找到平衡点,助力中国企业早日 成为世界一流!
在第一年启动这项工作的时候,亲身参与了很多中央企业总部报 告的编制工作。
高强度的资料收集、编制问卷、访谈、研讨、风险评估、汇报, 很多时候涉及央企一把手访谈、董事会(政联席会)汇报等与企业 高层的交流,让我在这个过程中也受益颇深。
很多对风险的深度思考,经过那些年与形形的企业与领导层 的交流接触中,天天在进行碰撞,对于企业各层面提出的各种问题、 碰到的各类挑战,下班之后继续思考和搜寻答案,也是我这几年写这 么多原创文章的最初源泉。
2008 年起,每年 5 月 30 日之前向国资委报送年度全面风险管理工作报 告,并对此项工作实行企业一把手董事长(总经理)负责制。
昨天,在电脑上翻出来当年协助国资委起草的《关于开展 2008 年 中央企业全面风险管理报告试点工作有关事项通知》的草稿,又想起 了当年研讨如何协助企业开展报告编制工作方法论时的情景。
2008 年,在进行了多轮调研和征求意见之后,财政部联合五部 委发布了被称为是“中国萨班斯”的《企业内部控制基本规范》。
两年之后的 2010 年又发布了 18 项内部控制指引,外加一个评 价指引和一个审计指引。自此,中国企业开始了有章可循的内部控制 大发展阶段。那段时间我在四大其中一家专门给大型企业和上市公司 做内部控制体系建设和评价。
编制第四季度《中央企业重大风险季度跟踪监测表》,并报国资 委,然后进入第 2 步,如此循环。
另外,企业还需建立重大资产损失风险事件的报告机制,事件发 生后 5 个工作日内报告国资委,并按季度监测,内容反映在季度跟踪 监测表中。
7、2020 年 12 月 31 日前 完成相关制度修订增补工作。主要侧重国家法律法规等外部监管 规定、不符合不相容职务分离控制、授权审批控制,专项风险评估、 内控体系监督评价、责任追究等制度完善工作。 我们之前解读央企合规指南文件时就呼吁,合规的内容应该侧重 外部监管规定事项,此次合规要求也是做了相应要求。 另外,今年各企业还需要抓紧研究制定《2020—2022 年度内控 体系监督评价工作规划》。 关于内控信息化 关于内控体系信息化问题,最近这两个文件也一直强调,的确, 如果可以实现业务各控制点的自动化控制,这是很好的控制手段。但 是,内控信息化是一个很宽泛的概念,什么叫内控信息化? 是新建立一个内部控制信息系统?不一定,公司运行的大部分信 息系统都含有控制信息,包含公司层面和业务层面的控制手段。内部 控制工作和监督职能可以检查和要求各信息系统实现对于控制的要 求。 要评价内控信息化水平,就要看识别和评估出来的控制措施,有 多少是通过信息化的控制在运行。 关于风险分类
在两个月前的 101 号文中,以内部控制为抓手的融合风险管理、 合规监督的观点已明确提出。
此次的工作通知中,日后将用《xx 年度内控体系工作报告》替代 运行了 12 年的《中央企业年度风险管理报告》和运行了 7 年的《中 央企业内部控制评价报告》,两部分的内容都做了整合,最后的抓手 还是落在了内部控制上。
论道,追求实用的人会觉得空泛,说术,层次高超的人定感觉细 末。我们不是说术不重要,术非常重要,只不过需要先明道再优术, 有一个先后顺序。
下一步计划把承诺的 COSO 最新的内控框架结合着财政部的文 件给大家解读完,我认为作为第一批的从业者播撒种子的使命就算基 本完成了。
目前有时会代表中国参加国际相关标准的制定,跟这些全球的专 家讨论专业问题时,他们真理解不到我们这样的深度,可以谦虚的吹 个牛,对这些问题的理解,我们中国是全球领先的。
今年企业职能整合的时候,有一点需要注意,国资委是从监督的 角度出发,以督促IM电竞 IM电竞平台建,对应到企业既可以是监督的第三道防线职能、 也可以是履行实际工作的第二道防线职能,不必拘泥于严格对照。
从第一年变革来讲,从这个文件上看,形式上将内部控制、风险 管理及合规进行了统筹,但内容上还是相互割裂的,并没有打通。
之前推行的全面风险管理,内部控制作为其中的一个组成部分提 了出来,但是实际上进行企业风险管理工作时,并不能说同步进行了 内部控制的系统性建设。
中国也是一样,就像我们快速工业化进程一样,我们的内部控制 也是迎头赶上,第一棒就落在了内地海外同时的上市公司,再进而扩 展到国内 A 股主板上市的上市公司。
在今天很多民营资本还没有脱离原始积累的阶段,很多人把上市 本身作为了快速完成原始积累的手段,在这个时候要求上市公司完善 内控、谈者保护,这不是笑话吗?伟大的马克思说过:
唯一的遗憾是目前中国在此领域还没有一个专门的研究或学术平 台,可以代表中国发声,因为我们的平台设立IM电竞 IM电竞平台有很多限制条件,这些 问题可能要留给后面的广大从业者接了棒继续跑了。
瞎扯了这么多,还是说点实用的,和大家具体工作有关的,首 先,关于这个年度工作文件的实施有一些要求,首先帮大家捋一下 2020 年的工作时间线:
内部控制初始于内部牵制、发展于所有权与经营权的分离、成熟 于资本市场对公众公司保护者的基本要求。
今天看到的以西方为代表的典型内部控制框架里包含的要素,是 在工业革命之后在企业里形成的科学管理体系的基础上进而提炼总结
的,在中国很多企业还没有完全建立完善的科学管理体系之前,通过 这个体系可以管中窥豹。
上市公司属于全体股东所有,需要保护,国有企业属于全民所 有,我曾经有一篇文章讲,国有企业,其实是一个全面上市公司,更 需要保护。
2012 年,国资委联合财政部发布 68 号文《关于加快构建中央企 业内部控制体系有关事项的通知》,这个文件就是前段时间国资委发 布的 101 号内控文件的上一代。
董事会或类似决策机构审议通过重大风险评估情况。 春节之后第一个月有的忙了,此份风险评估报告并没有要求报送 国资委。 3、2020 年 4 月 30 日前 编制《2019 年度中央企业内控体系工作报告》,经主要领导人员 签字并加盖公章后报国资委,并同时抄送企业纪委(纪检监察组)、 组织人事部门。 这里面有一个评价工作结果统计表,涉及全范围的重大、重要、 一般缺陷,这项工作不太容易,制定标准和缺陷认定规则很重要。 与这份报告一起报送的,还包括《中央企业重大风险季度跟踪监 测表》作为第一个季度的监测文件。 4、2020 年 6 月 30 日后 10 个工作日内 编制第二季度《中央企业重大风险季度跟踪监测表》,并报国资 委。 5、2020 年 9 月 30 日后 10 个工作日内 编制第三季度《中央企业重大风险季度跟踪监测表》,并报国资 委。 6、2020 年 12 月 31 日后 10 个工作日内
自 2013 年起,于每年 5 月 31 日前向国资委报送内部控制评价报告。
从 2013 年起,各企业需要在每年的 5 月份,单独提交一份风险 报告和一份内控评价报告,报给国资委不同的局。这两份报告的关 系,没人说的明白,有的也试过直接 Ctrl c 再 Ctrl v。
