一、关于全面风险管理和内控的关系,基本的认识是健全的内控可以成为有效的风险管理的基础,ERM体系涵盖内控体系,可以以ERM框架来建设和发展内控体系。
除此之外,关于ERM与内控孰“大”孰“小”的问题,在理论和实践中也多有争论,但基本观点主要有两种,一种观点是认为ERM大于内控,内控是全面风险管理的工具和手段,ERM体系“横到边”、“纵到底”、“全面”得彻底;另一种观点是认为内控大于ERM,他们将ERM视作同其他职能管理体系类似地位的风险职能化管理体系,是整个企业管理系统的一个子体系,具有“纵向”特征,而内控则贯穿于企业管理系统的任何一个子系统的各个层面中,因此,内控比ERM大。
以上两种观点的存在,我认为,可能是与全球主流的内控和风险管理基准框架——COSO框架——的源于实践、指导实践、再从实践到理论的循环上升的发展历史相关,这就是COSO内控框架最早在普华永道现代审计方法基础上发展起来的,经过各国企业实践,不断沉淀和提炼,并随全球经济的发展,而发展出COSO企业风险管理框架。
国资委在《中央企业全面风险管理指引》中采用了第一种观点;而大多数国际著名咨询公司和会计事务所则持第二种观点。财政部等五部委的《企业内部控制基本规范》则没有明确两者的关系,但显然地表达了内控是ERM的基础和风险导向的内控体系建设的思路
我们认为,ERM和内控孰“大”孰“小”,关键在于对ERM内涵的界定(对内控的界定好像已经比较清楚)。当我们将ERM视作“全面”风险管理,并关注“全面”且做广义理解时,风险管理被泛化,成为无所不包的一个管理概念。我们可能有必要在不同的目的下,区分和使用不同内涵的定义,而并非一律照搬
二、风险管理体系建设同其他管理体系建设的关系。风险管理体系与其他任何体系一样,是企业管理运行系统的一个子体系,是基于企业价值创造过程(以流程为载体)而建构的职能化管理体系。
基于作业成本法的全面预算管理是从成本-收益角度考察和制定适宜的基于流程的风险管理和内控的基础
三、风险管理如何才能有效。由上理解,风险管理是否能够有效,首先有赖于风险管理与企业创值过程的匹配性和融合程度,也就是说,良好的风险管理体系应该与企业运营管理平台相融合,风险管理最终要融入企业日常经营和管理流程中,要实现风险管理的常态化。其次,既然风险管理是一项职能化管理,那么就要求风险管理具有专业化特点,需要发展特有的方法和工具。再次,风险管理还要实现动态化,因为,风险是未来的不确定性,要适应“未来”,必须动态化。最后,风险复杂性决定了风险管理的有效性和效率,必须有数据和信息系统的保障,因此,风险管理要信息化和数据化
四、风险管理的未来
实现风险评估和业绩评估两个框架的融合一致,成为一个框架。引入经济资本配置的概念和机制,应该是一个有效的解决思路和方法