鼎帷洞见
- 集团化管理体系构建之后,风险管理与内部控制是集团化管理颁布出台的,属于集团化管理体系之后的再完善,再优化。中国风险管理与内部控制体系是美国塞班斯法案之后的中国强化行动,最近10多年来中国风险管理与内部控制取得了空前进步。
- 始于上世纪30年末的内控管理,受经济发展和管理要求的影响,经历了从一分论到五分论三次大的变革,目前已经发展成为一个全面、动态、复合、开放、系统的管理体系。
- 内部控制本身不能为企业指明方向和提供动力,本身不能实现增长和创造利润,它只是保驾护航,使企业不致偏离航向,同时又能避开暗礁险滩;内部控制是管理层采用的工具,而不是管理的替代品。
- 内部控制按其功用分为两大类,及预防性控制(preventive controls)和检查性控制(detective controls),但前者是最重要的,体现了控制的本质,预防性控制的关键在战略风险、商业模式风险、企业风险偏好、外部风险洞察、内部人员不遵守内部控制要求,这些风险才构成对企业发展的最大风险。
- 内部控制存在固有局限性:内控建设必须符合成本效益原则,可能因为环境变化而失效,可能因为人为失误或误解而失效,可能因为串通舞弊而失效,可能因为管理层凌驾于内部控制之上而失效;内控旨在将风险降低至可以接受的程度,而不是消除风险。最大程度的消除风险有赖于最高管理者的风险意识。
- 目标、战略、风险、控制是前后连贯、环环相扣的,根据目标制定战略,目标与战略合理或执行不力产生风险,控制旨在将降低风险,此时风险管理应该融入日常管理。越是风险高的环节,越应该强化内部控制,而越是应该强化内部控制的环节,往往也是内部相关部门越不欢迎风控的环节。
- 控制本身就是管理的基本职能之一,没有必要在现有管理系统之外另起炉灶搞一个孤立的内部控制系统,我们建议内部控制系统应该融入公司日常管理,使之真用、好用。
- 虽然企业设有以控制职能为主的部门(例如,财务部、内部审计部等),也有大量的事后控制活动(例如业绩考评),但更多的控制活动是融合在正常的业务活动之中的;内部控制绝不仅仅是财务、会计、审计、纪检、监察等专职机构的事,更不是一个风险与内控部门可以完成的工作,每个部门、每位员工都是控制主体,都参与其中,融入其中。
- 计算机的好处是只认程序指令不认人,信息系统可以将控制措施“固化”于其中,有利于减少人为失误和控制被规避的可能性;人工控制适合于需要酌情判断和需要监控自动化控制系统的场合。
- 内部控制需要年度体检,持续改善,需要各分管领导深度参与。才是保障风险与内部控制体系保障有力的根本。
痛点堵点
- 风险管理以合规和历史的风险识别为导向,缺乏风险前置防范意识;风控体系建设仅仅停留在合规型内控,尚未到达管理性内控、战略型内控和价值型内控,风控体系尚未融入企业管理,不能为融入企业日常经营管理。
- 内控体系、风险管理体系与集团管控体系尚未理顺,尚未构建三者之间的有效关系。全面风险与内部控制缺乏相关组织结构、首席风控履职基础不足、各业务板块与各职能条线分工不够明确,高层领导不够重视等问题。
- 面临战略风险、商业模式风险、业务创新风险、组织管控风险、高效运作风险、财务风险、资本市场风险、技术研发风险、市场营销风险、生产安全风险、环境保护等多层次风险,没有能力全部识别,没有能力有效防范。在大型企业集团公司,更未将集团多层级协同风险作为集团的重大风险来对待,这些风险识别与防范需要更有经验的专业人员来识别。
- 风险管理与内部控制体系需要顶层设计,缺乏与战略牵引,经营融入、管控体系配套的风险管理与内控控制体系;在集团公司风控层面缺乏系统的,跨层级的全面风险管理体系,缺乏集团公司本部主导输出的风险管理与内部控制体系;在集团公司层面缺乏针对重点业务模块打造专属的风险与内控体系,没有将风险管理与企业发展阶段相匹配,使重点业务成为风险管理的洼地。
- 内控制度执行随意性大,虽然企业已经制定了内部控制制度,但是大部分都是执行相对简单的非正式的内控制度,仅仅是为了执行国家或者行业规定作了一些表面工作。要么内部控制会走向另一端,缺乏重点,制度过于繁琐、流程过于冗长、运营效率被降低。
- 重大流程风险节点缺乏识别、防范措施、有效控制、对冲举措等,尚未构建重大风险发生的场景化信号,风险预警体系与应急预案准备不够。
- 缺乏危机公关与风险应急处理的意识、打造相匹配的应对管理机制、塑造与之匹配的专业团队;
- 风险管理与内部控制初步构建后,内部控制评价体系不够完善,忽视对风险管理与内部控制的自我评估;内部控制评价工作流于形式,内部控制评价工作组可能会面临无法有效工作、或者发现问题无法有效传递的尴尬局面。未建立内控优化和更新迭代管理界面。
解决方案
- 鼎帷基于集团公司、上市公司合规打造合规型风险管理与内控合规管理体系。鼎帷可以为上市公司、各省国资企业、中央国资委下属企业提供符合各级国资委、证监会、集团总部提出的各种风险管理与内部控制文件、方案与体系。
- 鼎帷更强于针对内部管理优化提升、战略导向的风险管理与内控管理体系建设。鼎帷可以针对重点业务、集团内部所有企业、前瞻性风险、企业内部已有重大风险构建符合企业发展要求的风险管理与内部控制方案、体系、文件等,使方案与公司发展要求相匹配。
- 鼎帷更善于针对融入日常经营管理的风险管理与内控管理体系建设。鼎帷有足够的经验,长期服务客户,在战略型风险管理与内部控制的基础上,建设为企业融入日常经营的风险管理与内部控制体系。
- 鼎帷助力企业客户基于充分的风险信息作出风险偏好、战略选择,并对风险干扰因素加以响应,从而实现业务增长并保护企业平稳运行。
- 鼎帷通过工作坊、培训会、专业知识帮助企业高管和董事会打造一流的公司治理体系,通过完备的公司治理体系打造防范风险的顶层架构。构建价值驱动型风险文化,而非简单规避型风险文化,同时强调各级管理层均应承担风险管理的文化。
- 我们协助三会一层更有效地监督企业关键风险、战略风险和整体治理架构,帮助企业识别并影响企业竞争优势、市场地位和长期绩效的趋势和干扰因素,同时提供深刻的洞察,将这些风险纳入风险管理范畴。
- 鼎帷在营销战略、业务战略与品牌战略层面,衡量企业全触点营销过程中的客户体验,为企业提供细微处的前置性见解,从而帮助企业建立灵活、差异化、场景化的客户体验。
- 我们帮助客户预防、响应并摆脱重大危机,助其进一步发展壮大,服务包括企业危机管理方案、应急预案演练、快速响应、与利益相关方有效沟通以及恢复方案等。
- 我们洞见、发展、监控、保障并报告可持续发展业务或探索型业务,旨在满足关键利益相关方的社会、道德、环境和其他非财务需求,同时洞见不断出现的新型风险,尤其是在依法治国氛围下,持续完善风险与控制能力。
服务价值
- 合规型风险管理与内部控制价值:以《中央企业全面风险管理指引》、各省国资委《国有企业全面风险管理指引》上交所和深交所的相关指引以及COSO《内部控制整合框架》和《风险管理整合框架》为理论基础合规性风险管理与内部控制工作效率更高,积累风险与相关基础材料更多,能够为客户提供符合客户预期的服务。
- 管理型与战略型风险管理与内部控制控制价值:以战略发展与模式创新为导向,把握全面风险与内部控制体系建设的重点,内部控制体系必须服务于企业中长期发展与创新,风险管理前置服务于企业发展战略,内部控制融入业务经营的各个环节、各种场景。管理型风险管理与内部控制需要体现管理诊断内容,额外融入管理诊断、管理问题,前置性给与解决建议,使企业更为健康的情况下来防范风险。针对集团化公司的管理问题,针对不同子公司设计不同的内控模式及控制强度,强化总部管控能力,优化母子公司间内部控制的衔接性,确保内部控制体系形成有机运作的整体,有效提升集团化管理能力,提高公司协同价值。
- 融合价值型风险管理与内部控制控制价值:将企业风险管理与内部控制的全模块、全要素、全岗位融入企业已有的管理体系中,强调主动识别、分析与驾驭风险,按照风险管理需要精准的承受风险,在风险环境中做到风险底线不丢、风险损失最小化,企业经营价值最大化。不可承受风险、重大风险和可承受风险的分类管理思路,针对不同类型的风险采取针对性的解决方案,全面覆盖公司经营过程中面临的已经知晓与不知晓的风险,让企业经营风险意识融入文化、融入意识、融入行为、融入制度、融入流程、融入考核。建立全面风险管理信息系统,使该体系做到人工化、职能化、信息化、智能化、相容化“五化”相结合。
- 风险管理与内部控制执行价值:风险点全识别,重大风险点100%全识别、防范措施100%构建,措施实效时后续防范措施100%补位。内部控制手段、机制等内容基于现有组织管理体系、集团化管理体系构建,成本花费最低。现有制度与流程可以优化,优化效率不低于30%,使公司管理效率更高。按照穿行测试要求,对比已经控制风险及产生的损失,同比风险产生后的成本降低50%。公司各级管理者的风险管理意识大大加强,各级风险管理人才基本塑造完成。
