在控制测试结束后,企业需参照内控缺陷认定标准对内控缺陷分类判定并整改,由于企业所处行业、规模、风险偏好等存在差异,《企业内部控制基本规范》和《企业内部控制配套指引》均未对内部控制缺陷的认定标准进行统一规定,使得内部控制缺陷认定标准的设定成为内部控制建设工作中的又一难点。企业可以根据《企业内部控制基本规范》和《企业内部控制配套指引》相关要求,结合所处行业特征、企业规模,研究确定适合企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。这些标准可以是定性标准,也可以是定量标准,通常采用定性与定量方法相结合来制定标准。定性标准是指就被评价的控制问题,谨慎地考虑相关的事实依据并且结合职业判断以确定其严重程度,进而对缺陷等级进行判定。定量标准是指就问题导致的“严重程度”进行量化,并且与客观的、适度的尺度进行对比,进而判断缺陷等级。例如,可以从内控缺陷造成后果的“频率”和“损失程度”两个维度综合确定三类缺陷的标准。
运营风险的预警需要遵循“5W1H”原则,即应明确风险预警主体、风险预警范畴、构建预警指标和模型、风险预警标准与时间、风险预警责任人、预警原因等。
(一)Where
企业集团运营风险预警首先应明确风险预警的主体。企业集团风险预警的主体可以分为两个层次:一是集团总部,二是各单一企业主体。根据风险预警主体分类,企业集团中存在的风险可能有三类:第一类是单一法律主体所具有的风险,包括集团总部的运营风险,下属各单一企业主体的运营风险。第二类是因集团框架下的产权关系纽带导致的集团内部关联结构风险。内部关联结构风险是指大型企业集团内的单一企业主体风险经集团产权纽带传导,引发其他单一企业主体的风险。当某一企业主体面临风险,并且没有及时控制,将造成风险的溢出,进而因企业集团内部网络结构的复杂关联关系而进一步扩散,最终,因多个单一主体的风险耦合效应导致集团遭受内部关联结构风险。第三类是因集团框架下的产权关系纽带导致的集团内部整合结构风险。内部整合结构风险是指整合单一主体资源不当,未能达成集团预期协同效应或战略,给集团发展带来损失甚至危机的可能性。企业集团控制的多家公司虽然在形式上是独立的,但实际上因被同一控制人控制或影响而相互关联,导致多家公司的许多重要决策可能是一致的(伍利娜、王春飞、陆正飞,2013)。总之,第一类风险是个体风险,产生并存在于集团总部或下属单一企业主体,第二类风险是集团框架下不同企业主体之间的风险,第三类风险是集团总部与下属企业主体之间的风险。
(二)What
企业集团运营风险管控的客体是指风险预警的范畴。在上面的论述中,我们将运营风险分为三类:第一类为运营环境类风险,包括但不限于组织架构、人力资源、企业文化、社会责任;第二类为运营活动类风险,包括但不限于资金活动、采购业务、生产活动、销售业务、资产管理、研究与开发、工程项目、担保业务、业务外包;第三类为运营手段类风险,包括但不限于全面预算、合同管理、信息传递、信息系统。因此,企业集团运营风险预警的客体主要包括但不限于以上17项具体风险。另外,在“Where”原则中已经提到,这些风险可能产生并存在于单一法律主体中,即集团总部或各单一企业主体,可能产生并存在于集团框架下不同单一企业主体间,也可能产生并存在于集团与下属单一企业主体间,因此,在推进风险预警工作时,需厘清风险产生和存在的三个层次。
(三)How
传统风险预警的主要思路是构建预警指标和模型,在风险接近阀值时进行警示。这种做法有一定的先导作用,但仍然只是一种结果的预示。这个时候,决策通常已经出现失误,风险预警只是通过指标和模型提前揭示企业将面临危机而已。也就是说这种预警方案无法有效针对决策本身进行风险提示,如揭示与决策相关的内部控制失效引起的风险。同样,对于部分在决策完成之后,因执行失误带来的风险,传统风险预警机制也可能无能为力,因为传统的风险预警机制不涉及流程预警。如同吴星泽(2011)评价传统财务预警方法的思路:传统财务预警方法有待进一步改进,需要超越主要依赖财务比率建模的方法,沿着财务风险传导的路径,努力寻找导致危机的具有动力性能的因素。运营风险预警也要超越主要依赖指标预警的方法,厘清运营风险传导的路径,综合运用指标预警、流程预警方法进行预警。
从运营风险传导路径角度考虑,把运营过程的风险分为决策风险和执行风险。决策风险体现出风险与收益的对应,风险越高,收益可能越大,因此,并非风险越低越好。而执行风险只有风险,没有收益,对执行风险的控制程度取决于风险控制的成本。执行风险是由于操作不当或失败的内部程序导致的,因此可以通过内控机制,即流程预警,提前预警,规避风险的发生。对于决策风险,则只能通过指标预警系统在企业集团陷入危机前提前预警,不可能也没有必要将其完全消除。需要特别注意的是:运营决策风险只有在决策程序不当时,才有可能提前预警,并及时控制,而决策程序不当实际上属于执行风险,完全可以通过内部控制系统进行控制。
在认识了企业集团的风险传导机制后,我们利用PDCA循环理论构建企业集团全面风险预警系统(见图8-3)。PDCA循环理论即计划(Plan),执行(Do),检查(Check)和改进(Action),四个步骤形成一个完整的闭环。这一循环着眼于日常管理实践,强调循序渐进地持续改进,以建立自我识别和改善的管理体系。杨洁(2011)曾使用PDCA循环理论进行内部控制评价,吴战篪和李晓龙(2013)曾使用PDCA循环理论构建企业集团资金预警体系。本书构建的基于PDCA的全面风险预警系统包括四个环节:第一步,计划。基于逐步完善的内部控制系统构建成果,根据风险识别与评估结果制作风险数据库,形成预警点,作为流程预警的基础;健全和落实全面预算,将全面预算作为指标预警的标准。第二步,执行。采用流程(是否履行规定流程)和指标(是否达到阀值)进行实时预警。第三步,检查。定期对风险数据库和全面预算体系的“落地”情况进行自我核查,并由集团组织复查。第四步,改进。跟踪、整改内控系统存在的缺陷,对预警系统进行动态优化。(www.xing528.com)
图8-3 基于PDCA的全面风险预警系统
(四)When
上面我们确立了基于PDCA循环的基本预警方法,接下来需要讨论的是预警的标准,或者说什么时候需要预警?我们按照风险传导的路径,把风险划分为决策风险和执行风险。决策风险主要采用指标预警,即针对17项运营风险,确定可能存在风险的项目,制订主要的预警指标。例如,“销售业务”项目的主要指标可能包括销售增长率、销售毛利率、销售利润率、应收账款周转率和坏账比率。这些比率的预警阀值根据全面预算的相关数据计算,一旦实际比率接近或超过阀值,系统则自动预警。对于执行风险,则主要采用流程预警,在梳理内控流程、识别和评估主要风险点并进行相应的内控测试与整改后,企业集团应固化内部控制系统构建的成果,针对主要风险点,形成风险数据库,对风险数据库中的主要风险点进行流程预警,例如,销售合同或订单的签订是否经过各相关部门会审,是否由生产部门审核生产能力,是否由信用部门审批信用方式,是否由财务部门审核价格、结算方式。如果销售合同或订单的签订过程未执行内控程序规定的会审程序,系统马上预警,提示该业务可能引致何种程度的运营风险。
对决策风险的预警有赖于全面预算体系的健全和落实,对执行风险的预警有赖于内部控制系统构建工作的“落地”,这一过程要求“管理制度化”“制度流程化”“流程表单化”“表单系统化”。理论上,并不鼓励全面预算体系和内部系统构建不完善的企业去建立全面风险预警系统,这样的工作毫无意义;而且在计算实际预警指标时,还存在时间限制,如应收账款周转率需在账套系统结账以后才能计算。在企业集团全面预算体系、内控体系逐步建立和完善的过程中,企业一方面可以设置几项关键的预警指标,对主要和重大的决策风险进行预警;另一方面,利用办公自动化系统,对一些关键流程进行固化,一旦各环节操作人员未按规定流程执行,系统进行预警,提示更改。运营风险全面预警工作是一个循序渐进的过程,不可一蹴而就。
(五)Who
企业集团全面风险预警系统构建工作在实施过程中应由谁负责组织、协调呢?在内控系统构建层面,根据《企业内部控制基本规范》的要求,董事会负责企业内部控制的建立健全与有效实施,董事会指定专门委员会负责企业内部控制建设工作。有些上市公司董事会下设风险管理委员会,风险管理委员会下设风险管理部负责牵头落实企业内部控制建设与推进工作,以保证工作的专业性和独立性;有些上市公司在董事会下设总经理领导的内部控制工作小组(或称为“风控中心”),并由总经理委托董事会风险管理委员会管理,内部控制的工作实际由风险管理委员会组织、协调,这样的架构设计(由总经理领导)有助于体现内部控制工作的权威,减少内部控制在推进过程中与经营管理系统的摩擦。同样,风险管控专门机构的组织形式并没有一个固化的模式,企业集团可以根据现有的治理结构,结合管理层特征,设计合理的机构模式。有一点可以明确,由于风险预警的主体包括集团总部和各单一企业主体,因此,集团总部和各单一企业主体均应各自设立风险管控专门组织,少数企业受现有岗位编制、专业人才储备等条件限制,可能尚不具备成立风控专门机构的条件,可以暂时把风控管理职能划归至现有机构,如内部审计部门,简化组织架构。
(六)Why
关于企业集团为什么要进行全面风险预警的原因已在前文进行论述,这里不再赘述。实际上,在讨论这一问题时,我们对“内部控制”与“风险管理”的边界应有一个更清晰的认识,亦即要弄清内部控制与风险管理的主要区别在哪里。显然,内部控制系统构建是一个静态过程,梳理业务流程、风险识别、风险评估、内控测试、内控整改,这些主要工作都是在固定期间内完成的,是一个静态的过程,尤其是内控成果固化以后,这个静态过程更明显,只涉及一些定期的评价和修正工作。而风险管理的范畴比内部控制更宽泛,它不仅包括内部控制,还包括风险预警,内部控制系统构建是风险预警的“基础”,内部控制与风险预警组成一个完整的风险管理过程。因此,风险管理的边界比内部控制要大,除了内部控制,它还包括风险预警。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。