风险管理与内控到底是什么关系？（风险管理与内控到底是什么关系呢）

01

2006年，我当时所在的单位作为中央企业全面风险管理课题小组起草单位的身份，协助国资委起草了《中央企业全面风险管理指引》，并于2006年6月6日下发，中央企业自此开启了轰轰烈烈的全面风险管理工作之旅。

这个过程中我们也协助了很多中央企业开展工作，在中央企业探索实施了一年多以后，2008年初，国务院国资委决定启动中央企业全面风险管理年度报告编制的试点工作，选取了31家中央企业作为第一批试点，并要求：

2008年起，每年5月30日之前向国资委报送年度全面风险管理工作报告，并对此项工作实行企业一把手董事长（总经理）负责制。

昨天，在电脑上翻出来当年协助国资委起草的《关于开展2008年中央企业全面风险管理报告试点工作有关事项通知》的草稿，又想起了当年研讨如何协助企业开展报告编制工作方法论时的情景。

在第一年启动这项工作的时候，亲身参与了很多中央企业总部报告的编制工作。

高强度的资料收集、编制问卷、访谈、研讨、风险评估、汇报，很多时候涉及央企一把手访谈、董事会（党政联席会）汇报等与企业高层的交流，让我在这个过程中也受益颇深。

很多对风险的深度思考，经过那些年与形形色色的企业与领导层的交流接触中，天天在进行碰撞，对于企业各层面提出的各种问题、碰到的各类挑战，下班之后继续思考和搜寻答案，也是我这几年写这么多原创文章的最初源泉。

所以我的那么多文章，都不是空穴来风，都是来自于对企业实际问题的思考。

我记得非常清楚，当时很多企业高层将此风险报告当做与国资委传递信息的一种方式，特别是报告的最后一段：

需要国资委协助解决的有关重大风险问题。

很多企业开始提自己有关风险的“诉求”，如注资、并购、资源倾斜之类，很有意思。

最开始的全面风险管理，内部控制只是其中的一个小角色，比例不超过20%

2008年，在进行了多轮调研和征求意见之后，财政部联合五部委发布了被称为是“中国萨班斯”的《企业内部控制基本规范》。

两年之后的2010年又发布了18项内部控制指引，外加一个评价指引和一个审计指引。自此，中国企业开始了有章可循的内部控制大发展阶段。那段时间我在四大其中一家专门给大型企业和上市公司做内部控制体系建设和评价。

内部控制初始于内部牵制、发展于所有权与经营权的分离、成熟于资本市场对公众公司保护投资者的基本要求。

今天看到的以西方为代表的典型内部控制框架里包含的要素，是在工业革命之后在企业里形成的科学管理体系的基础上进而提炼总结的，在中国很多企业还没有完全建立完善的科学管理体系之前，通过这个体系可以管中窥豹。

中国也是一样，就像我们快速工业化进程一样，我们的内部控制也是迎头赶上，第一棒就落在了内地海外同时的上市公司，再进而扩展到国内A股主板上市的上市公司。

在今天很多民营资本还没有脱离原始积累的阶段，很多人把上市本身作为了快速完成原始积累的手段，在这个时候要求上市公司完善内控、谈投资者保护，这不是笑话吗？伟大的马克思说过：

资本家看到有50%的利润，就会铤而走险；为了100%的利润，就敢践踏一切人间法律；有300%以上的利润，就敢犯任何罪行，甚至去冒绞首的危险。

《资本论》，871页

所以，实施的效果怎么样，大家自己去看，2019年一地鸡毛的上市公司年报行情，做假账、关联交易、违规担保、侵占资金……一个上市公司的300亿银行存款可以一笔勾销、上市公司高管发声明说财报不保真、獐子岛扇贝被搞得死去活来。

什么叫内控？不知道。只知道什么叫全面失控！

上市公司属于全体股东所有，需要保护，国有企业属于全民所有，我曾经有一篇文章讲，国有企业，其实是一个全面上市公司，更需要保护。

2012年，国资委联合财政部发布68号文《关于加快构建中央企业内部控制体系有关事项的通知》，这个文件就是前段时间国资委发布的101号内控文件的上一代。

这个时候，全面风险管理已经被推行了6年，68号文同样要求：

建立主要负责人承诺制，明确企业主要负责人对内部控制有效执行负总责。

自2013年起，于每年5月31日前向国资委报送内部控制评价报告。

从2013年起，各企业需要在每年的5月份，单独提交一份风险报告和一份内控评价报告，报给国资委不同的局。这两份报告的关系，没人说的明白，有的也试过直接Ctrl c再Ctrl v。

今天，看着刚刚下发的通知，文件中的一段话，了结了多年有些不愿再提及的恩恩怨怨：

各中央企业要以“强内控、防风险、促合规”为目标……，按一体化要求编制2019年度内控体系工作报告，不再分别报送《中央企业内部控制评价报告》和《中央企业年度风险管理报告》

在两个月前的101号文中，以内部控制为抓手的融合风险管理、合规监督的观点已明确提出。

此次的工作通知中，日后将用《xx年度内控体系工作报告》替代运行了12年的《中央企业年度风险管理报告》和运行了7年的《中央企业内部控制评价报告》，两部分的内容都做了整合，最后的抓手还是落在了内部控制上。

关于这两个理论的关系，有些人纠结的多年，也没搞明白。连当年财政部发布企业内控规范时都说，今天的内部控制，和风险管理本质上是一样的。我曾经写过一篇文章细数了它们二者的七大不同，前一段时间又在风控课堂上直播更新讲解了它们两者的八大不同。

虽然文件将两部分整合，把合规内容也整合在其内，看似简化了的问题，但短时间内可能会变得更复杂。

由于很多中央企业在职能上还未实现大风控式的整合，不同的工作散落在了不同的部门，这份报告会牵涉到不同部门的沟通协调问题，最后迫于时间紧迫，报告有可能是各自“拼”出来的。

所以，2020年，开展具体工作的同时，另外一个工作就是风险管理、内部控制、合规工作职能的重新调整，走向整合式的大风控是个必然趋势。

今年企业职能整合的时候，有一点需要注意，国资委是从监督的角度出发，以督促建，对应到企业既可以是监督的第三道防线职能、也可以是履行实际工作的第二道防线职能，不必拘泥于严格对照。

从第一年变革来讲，从这个文件上看，形式上将内部控制、风险管理及合规进行了统筹，但内容上还是相互割裂的，并没有打通。

之前推行的全面风险管理，内部控制作为其中的一个组成部分提了出来，但是实际上进行企业风险管理工作时，并不能说同步进行了内部控制的系统性建设。

所以，就算是有的企业已经建立了风险管理框架，后来财政部推行内部控制时，还需要进行内部控制体系建设。

这样的迷惑不仅中国有，连最著名、最有影响力的COSO委员会搞明白了吗？

并没有，我翻阅了COSO所有出版的经典文件，对这个话题的观点经常暧昧不清，左右摇摆，到今天2017年版的企业风险管理框架更新版发布，都没有完全解决。

但是，经过这么多年的摸索，我们大多数从业者都认可内部控制是企业风险管理中一部分。

今天的文件以内部控制为抓手，把之前风险管理的内容整合了进来，说实话，还是有点牵强的，好比拿一个小盖子去盖一口大锅。

以前是把内控放到风险的框里，现在是把风险装到内控的篮子里。

为什么抓了风险管理这么多年，又去抓内部控制？

坦白的讲情有可原，因为风险管理这事真不好抓，抓得好到处都是，抓不好就成了空对空，很难落地和见到实效。

内部控制就不同了，抓制度、抓流程、抓控制点，起码能看到点东西，见到点成绩。

但是，内控做好了，不代表不会出风险，很多风险发生了和内控好不好并没有直接关系，因为内控关注的风险只是企业风险中的一小部分。

过去这几年我写的风险管理的文章要比内部控制多得多，为什么？

在我看来，风险管理是道，内部控制是术！

道是哲学、艺术、文化、能力层面，而术，就简单具体多了。所以，我们选择了写难写的部分。

以道引术，道盈却术不精；以术弘道，术精却道难全！

之前我们在前面，现在我们走到了后面，都偏失了中正。

论道，追求实用的人会觉得空泛，说术，层次高超的人定感觉细末。我们不是说术不重要，术非常重要，只不过需要先明道再优术，有一个先后顺序。

下一步计划把承诺的COSO最新的内控框架结合着财政部的文件给大家解读完，我认为作为第一批的从业者播撒种子的使命就算基本完成了。

目前有时会代表中国参加国际相关标准的制定，跟这些全球的专家讨论专业问题时，他们真理解不到我们这样的深度，可以谦虚的吹个牛，对这些问题的理解，我们中国是全球领先的。

唯一的遗憾是目前中国在此领域还没有一个专门的研究或学术平台，可以代表中国发声，因为我们的平台设立有很多限制条件，这些问题可能要留给后面的广大从业者接了棒继续跑了。

瞎扯了这么多，还是说点实用的，和大家具体工作有关的，首先，关于这个年度工作文件的实施有一些要求，首先帮大家捋一下2020年的工作时间线：

1、2020年1月20日前

也就是半个月之后（春节前），上报内控体系职能部门或机构设置情况。

在2018年下发的2019年中央企业风险管理工作通知中，也有对中央企业风险管理工作组织情况的报告内容，这次是用内控职能取代了风险管理组织情况的报告内容。

2、2020年2月底前

董事会或类似决策机构审议通过重大风险评估情况。

春节之后第一个月有的忙了，此份风险评估报告并没有要求报送国资委。

3、2020年4月30日前

编制《2019年度中央企业内控体系工作报告》，经主要领导人员签字并加盖公章后报国资委，并同时抄送企业纪委（纪检监察组）、组织人事部门。

这里面有一个评价工作结果统计表，涉及全范围的重大、重要、一般缺陷，这项工作不太容易，制定标准和缺陷认定规则很重要。

与这份报告一起报送的，还包括《中央企业重大风险季度跟踪监测表》作为第一个季度的监测文件。

4、2020年6月30日后10个工作日内

编制第二季度《中央企业重大风险季度跟踪监测表》，并报国资委。

5、2020年9月30日后10个工作日内

编制第三季度《中央企业重大风险季度跟踪监测表》，并报国资委。

6、2020年12月31日后10个工作日内

编制第四季度《中央企业重大风险季度跟踪监测表》，并报国资委，然后进入第2步，如此循环。

另外，企业还需建立重大资产损失风险事件的报告机制，事件发生后5个工作日内报告国资委，并按季度监测，内容反映在季度跟踪监测表中。

7、2020年12月31日前

完成相关制度修订增补工作。主要侧重国家法律法规等外部监管规定、不符合不相容职务分离控制、授权审批控制，专项风险评估、内控体系监督评价、责任追究等制度完善工作。

我们之前解读央企合规指南文件时就呼吁，合规的内容应该侧重外部监管规定事项，此次合规要求也是做了相应要求。

另外，今年各企业还需要抓紧研究制定《2020—2022年度内控体系监督评价工作规划》。

关于内控信息化

关于内控体系信息化问题，最近这两个文件也一直强调，的确，如果可以实现业务各控制点的自动化控制，这是很好的控制手段。但是，内控信息化是一个很宽泛的概念，什么叫内控信息化？

是新建立一个内部控制信息系统？不一定，公司运行的大部分信息系统都含有控制信息，包含公司层面和业务层面的控制手段。内部控制工作和监督职能可以检查和要求各信息系统实现对于控制的要求。

要评价内控信息化水平，就要看识别和评估出来的控制措施，有多少是通过信息化的控制在运行。

关于风险分类

本次文件中提供了一个五大类的风险分类框架，也是参照2006年央企指引的分类方式。

关于风险分类，它们之间相互交错、相互影响，再加上不同职能分工的问题，要想划分的既准确又有针对性是个非常不容易。这次参考分类中都留了一个活口，就是每类风险都有一个其他项可以扩展。

风险分类没有最好，只有最适合，本次提出的17类重点关注的二级风险提供了一个重点参考，因为央企还是有很多共性的问题，其他的企业就要各显神通了。

社会发展总是螺旋式上升，我们的对一件事物的认识也是一样。

这次文件的变化开启了另外一个风险管理和内部控制的融合时代，由原来的独立到整合，虽然目前只是形式上的，但都是为了解决现存的问题而进行的探索，探索过程中的问题，相信一步步都会解决。

我们去年把公众号名字由“风险管理世界”改名为“大风控”，也是意识到了这种协同和融合将是未来的必然趋势。

风险管理和内部控制，是非常完美的一对拍档，基本上解释了所有企业管理的真谛，绝大部分企业管理中遇到的问题，都能从这两个体系找到解决之道。

希望我们的中国企业在道与术中找到平衡点，助力中国企业早日成为世界一流！