合規與內控，為風險管理解困

2014-11-08 20:50:47 大云網　點擊量：評論 (0)

　從美國安然、世通事件、9 11事件，到2008年發生的南方凍雨、汶川地震、次債危機，眾多的風險和危機在警示我們：風險如影隨形，無處不在。如何通過內部控制與合規管理防范、降低風險，是企業領導迫切需要解決的

　從美國安然、世通事件、9.11事件，到2008年發生的南方凍雨、汶川地震、次債危機，眾多的風險和危機在警示我們：“風險如影隨形，無處不在”。如何通過內部控制與合規管理防范、降低風險，是企業領導迫切需要解決的管理難題。

　　古希臘政治家伯利克利在提出“風險”概念時，并不是為了能夠預見未來的風險，而是為了為不可預知的風險做好準備，這與中國的諺語“居安思危，思則有備，有備無患”有異曲同工之妙。

　　但是，目前國內大部分企業乃至很多全球性企業都在風險防范意識方面重視程度不足，在風險管控措施方面執行不到位，這使得眾多企業在面對重大突發災難時，很容易陷入生存危機，比如，“9.11”事件迫使超過半數的受影響企業倒閉；汶川地震致使大批中小企業遭受史無前例的打擊。

　　即使不受突發災難影響，由于盲目擴張、多元化經營、造假和管理失控等風險造成的“突然死亡事件”也不勝枚舉，比如，美國安然公司、世通公司由于爆發財務丑聞，難逃破產命運；三鹿集團由于造假、應急不當最終破產；波及全球的次債危機更是引發多家金融機構破產，并波及全球其它經濟實體。

　　從德隆系、三鹿到香港合俊的隕落，從美國安然、世通到雷曼兄弟的破產，每場危機的背后都隱藏著風險管理的缺口。居安思危，防微杜漸，全球化經濟形勢下，中國企業應盡快加強內部控制，構建合規管理體系，提升風險管控能力。

　　加強內控，箭已在弦

　　內部控制有助于企業實現業績和利潤目標，提高工作效率，防止資源損失，提高財務報告的可靠性，督促企業遵守相關法律、法規，避免企業名譽受到損害以及受到其它不良影響。

　　為了防范和及早發現各種風險，避免或減少可能遭受的損失，在保證企業穩定、健康、快速發展的同時，企業的經營、管理者應該認真制定和切實執行內控管理：首先，企業應建立高效的風險管理機制，以風險管理為核心，嚴格控制經營風險，保證業務收益的穩定；其次，企業應運用新技術、新方法對風險進行科學預測，對可能面臨的各種風險進行控制和管理；第三，完善風險監控機制，建立科學的風險監測反饋系統；第四，完善企業內部控制管理制度，用制度管人、管機構、管業務、管經營，并接受監管部門的指導和檢查。

　　2008年6月，我國財政部、證監會、銀監會、保監會及審計署等五部委聯合發布了“中國版薩班斯法案”——《企業內部控制基本規范》，并將于2009年7月起首先在上市企業中實施。其中，該規范第37條規定：“企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理。”

　　在“美國版薩班斯法案”中，也有類似條款，比如第404條款規定：企業必須了解那些可能影響財務報告流程的風險，并要求他們實施恰當的控制以阻止財務違法行為；此外，404條款還要求，企業需建立一個基礎設施，以確保所有的記錄和數據不會被毀滅、丟失、未經授權的變更和錯誤的使用——這是業務連續性管理能夠成為滿足薩班斯法案合規性手段的重要原因之一。

　　從概念描述和服務內容上看，中國的應急預案機制與國際上所倡導的業務連續性管理體系有很多共融、共通之處。相對而言，包括三鹿集團、香港合俊等，中國很多企業都缺乏完善的應急機制、業務連續性管理體系和風險防范意識，這正是壓倒他們的最后稻草。

　　合規價值，不可小覬

　　近年來，各種法律、法規、行業指導性文件越來越多：《中央企業全面風險管理指引》、《新巴塞爾資本協定》、《薩班斯法案》、《信息系統災難恢復規范》、《上交所內部控制指引》、《深交所內部控制指引》、《銀行業金融機構信息系統風險管理指引》以及即將在2009年7月起實施的《企業內部控制基本規范》等等，一個又一個法律、法規的出臺，使企業管理不知不覺中進入了一個合規時代。

　　從風險管理的角度看，合規能夠幫助企業管理各種風險，避免罰款、法律制裁、商業損失或者因為員工失誤造成的數據泄漏等風險。

　　合規不僅是企業為了滿足外部監管機構的要求，更是完善企業治理，提高內部控制管理水平和風險管理水平的重要手段。

　　需要強調的是，合規是可以創造價值的，也是可以度量和考核的。其中，銀監會所頒發的《商業銀行合規風險管理指引》中指出：合規可以降低因遭受監管處罰和法律訴訟而導致財務損失的可能性；堅持合規經營的宗旨和原則，能夠提升品牌價值和社會地位，增強銀行持續競爭力，帶來財富收入和聲譽價值。

　　可以說，這些價值和衡量標準對于銀行以外的企業同樣適用，合規管理完全可以超越“成本中心”，成為價值源泉。

　　合規與內控，以IT為突破口

　　隨著IT應用的逐步深入，企業的日常運營越來越依賴于IT系統的支撐。IT系統已經成為整個企業業務的重要支撐，同時也是對企業活動進行控制的重要手段。以具體運營流程為基礎展開的IT控制，直接關系到運營活動的實施。因此，企業進行內部控制應該從以IT為主的內部控制為突破口。需要強調的是，IT內部控制并不是孤立的，它是企業以業務目標為主導的整體內部控制項目的一部分。

　　IT內部控制必須遵循企業的內部控制機制和策略，確保IT控制符合企業內部控制的基調。此外，IT內部控制還擔當支持企業高層管理活動的責任。在企業內設定業務目標，確立企業政策，在組織資源配置及管理決策時，IT負責輔助企業制定政策方針并在組織內部傳達交流。

　　面對即將于2009年7月實施的《企業內部控制基本規范》，上市公司急需一套普遍適用的IT內部控制方法論以滿足《企業內部控制基本規范》的要求，協助IT部門建立合適的內部控制機制。