风险管理五节点:管理应转化为企业生产力
将管理要求转换为企业的生产力和源动力是做好企业内控建设的根本,也是企业内控文化的关键,如果CFO们有能力让CEO深刻认识到这一点,从而实施强力推动,企业的风险管理变革一定会有成效。
文/杨军 庞劲松
CFO的职责因世界经济环境的变化而面临巨大的挑战。20世纪80年代初在美国企业出现CFO,当时的角色是会计总管和技术专家,其职能领域十分狭窄,只要关注公司财务报表和资本结构即可,不过这一传统职能模式已经是10年前,甚或更早之前的事情,20世纪90年代CFO即开始处于转型期,近10年来更是发生了很大变化,这些变化主要来自于:机构投资者实力雄厚,CFO需要成为公司与股东沟通之中枢;地球成为一个村落,经济全球化导致公司生产经营、物流系统、现金管理、资本运作也随同全球化,企业发展与世界经济发展依赖度增强;IT技术进步,提高了财务管理的效率,使财务外包服务、集中服务流行起来;发达国家经济增长放缓,新兴市场充满活力。这些变化,都使CFO的职责面临着前所未有的巨大挑战。尤其是当前全球化趋势、“萨班斯法案”和IT革命浪潮这三大主流环境下,CFO更需要顺势而为,在企业承担变革使命并充当强力变革的推手,为企业创造更大价值。
美国国会于2002年7月25日公布《萨班斯一奥克斯利法案》,其404条款将目标锁定在所有在美国上市的企业。该条款规定:在美上市企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系,同时提供管理层最近财年对内部控制体系及控制程序有效性的证明及内控机制评价报告。
2008年6月28日,中国财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》,要求中国企业自2009年7月1日起开始按规范施行。2010年4月26日,五部委又联合并发布了《企业内部控制配套指引》,该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,并规定了明确的实施进度表:2011年1月1日起首先在境内外同时上市的公司施行;2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市的公司施行;同时鼓励非上市大中型企业提前执行。
可见,中外“萨班斯”的不期而至,对中国企业的完整考验已以锐不可档之势冲击而来。中国联通(微博)(4.350,0.02,0.46%)在向世界优秀企业目标努力迈进的过程中,也与众多上市公司一样,面临着来自国内外资本市场与监管机构逐年更高目标和更高要求的压力,迫切需要通过梳理企业内部管理流程与制度,解决企业管理控制的盲点和难点问题,以实现企业价值最大化。为此自2005年末开始,中国联通即着手内控建设,经过六年多的摸索、实践,已逐步建立健全了内部控制和风险管理体系。以下笔者重点结合中国联通内控建设和风险管理过程中,归纳五点与CFO在风险管理方面应发挥助力作用的思想与作为。
梳理风险
企业的风险无处不在,但风险管理如何与企业的流程相结合,有效落地于日常的管控,这是全面风险管理的目标也是难点。企业在抓内控建设过程中,如果不事先进行企业风险评估,找着那些影响企业的重大风险并描述出来,那企业的内控建设很有可能只是一个“浮于面上的壳”,其生命力不会长远。图1是中国联通风险梳理程序图。
中国联通开展初期,由集团公司自上而下组织的10大风险点、80多个风险小项的梳理和确认,体现了各级管理层勇于揭示风险,切实开展内控建设的决心,为开展真实的内控建设奠定了良好基础,对此中国联通各级单位的CEO与CFO认识一致,并基本上都由CFO带领各级管理团队开展这项当年“史无前例”的管理变革。
精心规划
任何工作项目的开展与实施都需要有一个良好的策划,企业的内控建设是如此庞大的一项系统工程,更需要有一个良好的组织,需要一支专业团队,通过共同仔细的研究从而制定具体实施办法和实施步骤,以高效的指导和主导企业内部控制规范的建立与实施。可以说精心的事前准备和规划非常重要,这将有利于企业在更有效地顺利开展企业内部控制的同时也可降低企业实施成本,提高成效。
中国联通不仅将内控建设当作“一把手工程”来抓,而且由熟悉业务且管理相对较为全面、责任意识强的部门作为各级内控建设的牵头组织部门,自内控建设初期就扎实推进各项工作。在广西联通成立的“内控办”机构里,即使由总会计师牵头,办公室设在财务部,笔者也因此成为配合广西联通CFO组织风险管理和内控建设的最主要的中层管理干部。
强化IT协同
在现代企业管理体系中,IT的支撑作用已毋庸质疑,因此有条件的企业在执行内部控制规范时应适当地考虑用IT信息化管理的手段加以辅助和定格,通过信息化系统实现对管理与业务流转的管控,进一步提高企业管理的规范化程度和精细化程度,以促进管理流程与内部控制的“高效”协同。IT支撑的有效开发与运用,与推行中外“萨班斯”时都不约而同地采用COSO框架形式相符,COSO中重要的一环即包括“信息与沟通”,它应该是成为强力助推器并表现为“无处不在”(见图2)。
既然IT协同在内控建设中如此重要,因此企业的CFO应该有能力与CIO携手,并有魄力地推动CIO将IT支撑在企业风险和管理中不断延展。中国联通实施内控建设这几年,以内控建设为契机,不断丰富管理工具,各业务环节的信息支撑能力日趋强大和完善。可以这样说,如果没有这场轰轰烈烈的内控建设,公司信息化管理水平不可能在这几年间快速发展,如果没有内控建设的迫切需求,也许很多管理系统还处于逐步推进、等待实施,甚至是观望考虑状态中,从这点来说,信息化建设与内控建设密不可分,且互惠共赢。
锻造队伍
培养内部控制、风险管理专业人才,是企业内控规范与体系构建的一项重要任务,在内控建设推广的各个阶段中,企业应注重对各级员工的培训和人才积累。据不完全统计,历时近两年的整个内控建设初期,中国联通组织直接接受培训的人员超过5000人次,间接培训近万人次。通过分级培训与传导,使得越来越多的人逐步掌握内控管理技术,自觉地在公司内部管理中发挥作用,这里提到的内控管理技术问题,笔者认为,内控如果仅仅是停留在意识形态上的内控,那么意识再好再强,如果没有抓手,没有人去执行,这样的内控也会根基不牢,效果不好,甚至如海市蜃楼一般成为过眼云烟。
但是内控人才的成长和储备,并不是仅仅依靠培训就可以达成的,更多需要经历实操的经验积累。因此内控建设尤其是在制度设计阶段,如果完全借力于外部中介机构,企业内部的人才储备将“很难达成”或“相对缓慢达成”,而且由于有一批骨干员工的亲力亲为,公司在内控建设成本、执行效率和落实效果等方面也同步达到“协同”,即一定程度做到了“降本增效”,而且通过这些人可长期作用于企业的风险控制和价值管理。2006年起中国联通就在集团、省、地市逐步建立了三级内控人才库,这些内控人才基本上都是参与公司内控制度设计的员工、是亲自思考过风险和流程、是亲自编写设计过内控规范、是各级公司的业务中坚骨干,这些人员不仅可以为驻地分、子公司提供专业的内控持续化建设和维护的保证,而且这些内控人才库的人员每年两次代表集团公司管理层对全国各分、子公司的内控进行测评,确保内控建设的稳定性与内控维护的延展性,有力地推动了公司内控长效机制的建立和健全。
形式推动实质
内控建设和风险管理有别于企业原来的任何一项制度建设,具有全面性和体系化的特点,如果没有一定形式的表现与强化,内控建设的实质将很难充分体现。企业的CFO在推行时,必要的一些形式虽然看似细枝末节,但其作用却因精细而发挥。比如说CFO有必要推动将内控建设列入“一把手工程”;定期组织例会,尤其是建设初期一把手参会,以势造势;内控设计集中闭关操练;组织内控考试、评比;设计统一的评审模板并使之规范化;交叉检查回头看,建立第三方独立的内部评审机制;纳入绩效考评形成各级约束机制等等这些形式在这一变革管理中十分管用,因为有了好的开端与持续,CFO希望推动的内控就会更真实长效。
以上是针对企业风险管理所提出的五个关键节点,将管理要求转换为企业的生产力和源动力是做好企业内控建设的根本,也是企业内控文化的关键,“不为内控而内控”,是企业内控建设的实质。随着中国版“萨班斯”的陆续出台和要求,中国大大小小的企业也都需要正视而开展行动,虽然中国联通开展内控建设的起因也是因外在的监管要求,但这种“被动发起”和“真实开展”并不矛盾,因为只要企业认为有必要,那么起因为何本身就已经显得不这么重要。
如果CFO们都能充分认识到这一点且也有能力让CEO深刻认识到这一点,从而实施强力推动,那么企业的风险管理变革就定会有成效。就如中国联通几年下来内部不仅形成了一套完善的内控机制,同时也成功营造了一种非常浓厚的风险控制氛围,并锻造了一支深刻认识内控与风险的管理队伍,用公司董事长在2006年末内控建设阶段性总结会上发言上的话,“中国联通的内控建设是公司成立12年以来最为重大的一次管理变革,也是最卓有成效的一次重大管理活动”。因此唯有正确认识内控、扎实开展内控,长效发展内控,企业才会真正在内控中受益,而在这一点上,CFO义不容辞,也应发挥积极作用。 (作者杨军现任中国联通广西分公司财务部总经理,庞劲松现任广西北投沿海石化有限责任公司副总会计师 来源:《首席财务官》)
