目標、風險與控制：內控三角關系解析

　　公司內訓結合內部控制的定義和五要素，可以提煉出一個簡潔的內部控制三角：目標--風險--控制。即在內部控制建設和實施過程中，始終要回到這三者之間關系的考量上：控制的具體目標是什么?潛在的風險是什么?可以采取的控制措施有哪些?在學習和運用內部控制理論和體系時，首先要深入理解這三個核心概念。

　　一、內部控制目標

　　1.不同內部控制目標體系的比較

　　在我國內部控制規范體系中，內部控制建設目標可以歸納為：戰略目標、經營目標、合規目標、資產安全目標和財務報告目標等五個目標。

　　同時，COSO在《企業風險管理整合框架》(以下簡稱ERM)中將風險管理的目標分成四類，即戰略目標、經營目標、報告目標和合規目標。

　　比較上述三大體系的目標，可以發現我國內部控制體系目標有如下特點：

　　第一，整合了IC和ERM框架。我國的內部控制目標是綜合IC和ERM框架的要求，對企業實施內部控制體系提出了更高要求。

　　第二，強調資產安全目標。我國的基本規范之所以強調資產安全目標，并單獨作為一個內部控制目標，主要是因為國有資產的增值保值是我國特有的國情。

　　第三，沒有強調非財務報告目標。IC2013更新了原有IC中的財務報告目標，采用了ERM中的報告目標，拓寬了報告的外延范圍，強調合理保證非財務報告和內部管理報告等信息的真實完整。

　　因此，我國內部控制體系實際上約等同于ERM。但是，IC強調“確定目標”是“內部控制的前提條件”(即“目標既定論”)，而不屬于內部控制本身;ERM強調“應用于戰略制定并貫穿于企業之中”(即“目標設定論”)，并體現在其風險管理八要素中的目標設定、事項識別等要素中。所以，不能簡單將全面風險管理的八要素視為內部控制五要素的細分。

　　2.內部控制目標的實務分類

　　從內部控制實務的角度看，IC的報告目標可以拆解為財務報告目標和非財務報告目標。其中非財務報告目標可以作為信息與溝通要素融入到相應的戰略目標、經營目標和合規目標中。

　　同時，資產安全目標也可以拆解為兩部分，即“用于保護資產安全且與財務報告可靠性目標相關的控制”和“其他資產安全相關的控制”。對于前者可納入財務報告目標的內部控制建設中;對于后者則可納入經營目標的內部控制建設中。

　　經過上述重分類后，從建設和實施的角度，可以將內部控制建設目標界定為：財務報告目標、合規目標、經營目標和戰略目標等四個目標。其內涵各不相同，因此梳理和確定上述具體目標體系的方法也不盡相同。

　　3.從一般內部控制目標到具體內部控制目標

　　內部控制建設是否能體現企業的特色，關鍵就在于內控建設是基于一般內部控制目標開展的，還是基于具體內部控制目標開展的。如果是基于一般內部控制目標開展，則會圍繞部門職責和流程來進行風險評估，建設成果可能很豐富，但因為沒有深入業務，對經營效率和效果以及戰略提升的幫助并不很大，因而無法讓企業高管層滿意。

　　基于具體內部控制目標的建設，則是以企業KPI為核心，構建績效指標體系，并對指標體系進行風險評估，進而優化流程。在據以績效指標進行風險評估時，往往會發現很多基于職能和流程無法發現的風險，例如在對銷售指標進行風險評估時，可能會發現銷售人員的銷售技巧不足導致業務開發業績不達標。

　　二、控制風險

　　《中央企業全面風險管理指引》及其相關評價規定則進一步將風險劃分為戰略風險、財務風險、市場風險、運營風險和法律風險五大類，并且每大類內部又分解為一級、二級和三級風險。

　　解決這個困境的方法就是在原有條塊橫向分割的基礎上，再按風險影響的涉及面縱向劃分為：戰略性風險、戰術性風險和操作性風險三個層次。

　　仍以銷售活動為例，銷售不足為戰略性風險;授信不足或過高為戰術性風險;授信審批沒有按照要求執行則為操作性風險。構建自上而下的風險指標體系即符合企業目標管理、績效管理和流程管理的原理，又能通過追蹤至操作性風險來檢查是否所有戰略性風險和戰術性風險都已得到有效控制。

　　實務中，可以將原有的橫向風險清單作為索引工具，這樣既便于合規性檢查，又便于員工按圖索驥，理解相關風險的具體控制措施及其在整個業務循環中的前后配合協調工作。

　　三、控制措施

　　1.控制措施的具體內容

　　在實務中，經常會有企業的管理層特別是高管，抱怨內部控制體系就是增加一堆表格和簽字，但卻沒有人能解釋為什么要簽字;同時，企業管理層真正希望解決的問題，卻幾乎沒有觸及到。

　　造成這種局面的直接原因就是缺乏對風險層次的清晰認識，進而導致在內部控制建設過程中只局限在操作性的業務流程層面，而忽略了或者無法將針對戰略性風險和戰術性風險的控制措施落實到位。

　　戰略性風險的主要控制措施是完善決策機制和企業定位，常見的內部控制措施包括決策程序、決策標準和決策能力的建設。企業戰略目標的涉及面從抽象到具體可以包括愿景、定位、規劃和產品，因此，對戰略風險的管控措施更多是從資產組合、決策/定位和培養競爭優勢等著手。

　　戰略性風險的內部控制建設成果可以體現在公司治理文件、集團管控模式、企業的戰略定位和商業模式等載體中。

　　戰術性風險的主要控制措施就是完善管理機制，常見的內部控制措施包括崗位設置、預算管理、運營分析、績效管理和預警機制等。

　　其建設成果可以體現在崗責體系、流程體系/價值鏈(即一級流程)和基本管理制度等載體中。

　　操作性風險的主要控制措施是作業動作，常見的具體措施包括不相容職責分離、授權/審批、查證/核對/復核、財產保護和會計系統控制等。

　　其建設成果可以體現在權限指引、具體管理制度、標準操作流程(對流程體系的細化和分解)和業務表單等載體中。

　　在企業管理中，這三個層次的管理活動是層層推導的，因此，同樣的戰略定位可能因為不同的策略而需要不同的管理機制和業務流程，進而需要不同的控制措施。

　　比如，同樣以創新戰略作為戰略性風險的控制措施，索尼公司將研發團隊分為三個小組，第三組的任務就是淘汰前面兩組的產品;而3M公司則鼓勵員工利用20%的工作時間和公司的資源去做自己的發明創造。兩者落實戰略的管理機制不同，對應的流程活動和控制措施也將大相徑庭;但兩者最終都在市場上取得了成功。

　　2.將控制措施嵌入管理過程

　　法約爾在管理史上首先研究并定義了管理的要素，包括：計劃、組織、命令、協調和控制。所以，內部控制不是拋開原有的管理體系另起爐灶，而“是管理過程的一部分”。

　　內部控制建設最直觀的成果就是內部控制手冊，其核心內容是風險控制矩陣和流程圖等。

　　正確理解內部控制手冊的使用應當包括兩個層面。

　　第一，內部控制手冊使用者主要是內部審計人員和外部審計師，供其在內控自我評價和內控審計鑒證時快速確定關鍵控制點;

　　第二，在內部控制手冊完成后，企業需要將風險控制矩陣中的控制措施，更新到原有的制度和流程文件中去，并且以劃線標注或編號標注等方式體現出哪些是控制措施。對于非內部審計部門而言，內部控制手冊在日常工作中，只能作為一種索引工具使用。

　　推薦閱讀：成功案例

　　猜您感興趣：  銀行培訓    企業內訓    企業內訓方案    金程內訓

　　聲明▎來源銀行培訓，更多內容請關注微信號金程金融。原創文章，歡迎分享，若需引用或轉載請保留此處信息。

　　》》返回首頁