内控管理体系向风险管理体系的成功转换【摘要】本文从内部控制和风险管理理论的发展入手,对二者之间的关系进行分析,重点介绍了宝钢在内控体系建设和风险管理方面的实践,并提出整合的风险管理框架设想,以期为中央的内控体系和风险管理体系建设提供理论支持和实践经验借鉴。【关键词】内部控制;风险管理;公司治理;战略管理受美国20XX年出台的萨班斯——奥克斯利法案(以下简称SOX法案)的影响,我国所有赴美上市及计划赴美上市的必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,遭受产品市场要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代重点关注的课题。本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国的内控体系和风险管理体系建设提供借鉴。一、内部控制、风险管理的理论发展及其关系(一)内部控制理论的发展20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中,把内部控制活动分成五大组成部分即:控制环境、风险评估、控制活动、信息与交流和监督评审。20XX年,美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。我国在20XX年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求,在理论体系上和COSO内控框架一脉相承。(二)风险管理理论的发展风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现的最终目标。为此,COSO于20XX年9月出台了《COSO全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。我国国务院国资委于20XX年发布《中央全面风险管理指引》(以下简称《指引》),标志着我国中央建立全面风险管理体系工作的启动。(三)内控体系建设与全面风险管理工作的和作用全面风险管理与内部控制既相互又存在差异。的内部控制体系是全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的风险管理理论框架是COSO风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。2.在推进工作的步骤层面,从国内大型国有集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八...
