笔记：《内部控制要素的缺失与完善：基于内部控制和风险管理整合的视角》

内部控制只是一个达到目标的手段，其本身不是目标。

根据COSO委员会发布的《内部控制-整合框架》和《企业风险管理-整合框架》报告，作者认为，两个框架在内涵界定、目标设定、要素构建等方面逻辑是类似的，但因为目标不同，两者的要素不同，建设原则也有差别。

作者结合我国内部控制现状，指出内部控制存在重要环节的缺失，且会带来明确的经济后果，提出了解决方案，让读者对内部控制的逻辑、本质有了更加清晰的认识。

01

内部控制是一个包括目标、要素以及组织架构在内的多维度体系，目标为要素提供方向，要素为目标提供实现路径。

内部控制有三大目标：经营、报告以及合规。与此目标匹配，形成五大要素体系：控制环境、风险评估、控制活动、信息与沟通、监控活动。

02

三大目标导向的结果是“要企业控制”，表现为总体战略统驭控制功能丧失、业务和职能战略辅助补充功能弱化、企业技术创新效率下降、内部控制与组织管理活动割裂等经济后果。

如果变成“企业要控制”，需要在目标设定中增加“战略目标制定”这个内容。

这四个目标形成企业风险管理的框架。

03

企业风险管理框架的核心在于引导企业适时顺应环境变化以提升企业的价值创造能力，战略目标的制定、分解、执行以及调整贯穿企业风险管理的全过程。

内部控制框架的核心思想在于遵从与配合，关注的是受托责任在日常经营过程中的履行情况。

在技术与方法方面，风险管理侧重于决策树、统计推论、事件树分析等预测与优化方法的运用，而内部控制表现为不相容职务分离、授权审批控制、会计系统控制、预算控制等防范措施的组合。

在风险的识别、评估与控制上，企业风险管理立足于风险的双向性特征，既强调不确定事项带来的负面损失风险的控制，又关注不确定事项带来的正面机会的识别与把握。内部控制主要侧重于损失控制，关注企业内部控制目标实现过程中发生的不利事件的可能性，对机会的识别和评估不是内部控制的主要职能。

风险管理和内部控制是拉动企业管理战略顺利实施的两架马车，前者引导企业正确做出战略性决策，是企业从整体和综合层面把控风险以满足“企业要控制”管理需要的过程，后者则确保企业建立和实施有效的战术性管理机制，注重企业业务和部门层面的微观控制，满足的是“要企业控制”的外部监管需要。

二者各有侧重，互为补充，但不可替代。

04

企业发展战略包括公司总体战略、业务战略以及职能战略三个互相衔接的子循环系统。其中，总体战略是最高层次的战略，包括愿景、企业价值观与使命的承诺、如何管理公司的规模和边界、获取和分配实现总体目标所需要的资源等内容；业务战略关心的是既定的业务单元如何获取竞争优势并创造良好的经营绩效；职能战略则在各个职能部门层面建立执行总体战略和业务战略所必须的具体行动方案。

三个子系统互相补充、互相推进。

05

战略目标制定包括四个方面的内容：

第一，识别对企业战略产生影响的新趋势、新事件以及其他因素；

第二，在战略层面调整风险偏好，确定风险应对策略；

第三，调整和评价、筛选备选的战略方案。

第四，分解战略目标，形成各阶段各部门的具体目标。

06

内部控制新增目标之后，构成要素也要改变。

首先，增加“战略目标制定”这个要素。

其次，根据各个要素之间在功能上的耦合和对接关系，对要素内涵也要进行适应性修订。

第一，将“内部环境”修改为“控制环境”；

第二，风险评估要从“执行风险评估”扩展到“决策风险评估”；

第三，“控制活动”要增加决策风险最优化控制、目标偏离控制等内容；

第四，“信息和沟通”的作用边界和范围要调整；

第五，“内部监督”应在监督对象和方法上进行扩展性和适应性调整。

最后，几点感悟：

缺乏战略指引的运营，可持续发展是问题。

缺乏目标追求精细，会陷入没有价值的技术精进。

缺乏战略目标的内控，难以形成财务之外业务部门的共鸣。

文/韩斌斌

图/网    络

辑/朱明晗

凡本公众号原创文章，版权均属杏林数豆者。未经授权，禁止转载。其他公众号和媒体如需转载，请后台联系作者取得授权。转载请注明来源：杏林数豆者。(ID：XINGLINSHUDOUZHE)