于喆 　　某国际品牌管理集团内控负责人 　　本文整理自“IMA管理会计大咖云讲堂” 　　1.定义与价值 　　（1）.风险的定义 　　风险的早期定义是指，那些可能给整体目标实现带来负面影响的事项。随着风险管理和内控的发展，目前普遍认为，风险并不只是负面因素，还包含积极因素，尤其是对于新兴互联网公司。 　　中国互联网公司在风险管控方面很多属于风险偏好型，愿意承担风险从而从中获利。这些企业能够快速发展，实际上就是把握了风险的正面作用，给企业带来了红利。 　　在风险管理和内部控制中包含固有风险与剩余风险。风险偏好是通过内部控制的实施与加持，将剩余风险水平控制在理想范围内。针对不同的风险，有四种应对方式，分别是接受、降低、回避，和转移。 　　互联网公司选择接受风险的概率高于传统企业，相对跨国企业来说也更高。它们更强调快速响应市场变化，因此在风险应对时有不同偏好。将风险偏好降低到希望达到的水平，这是内部控制的核心作用。 　　（2）.风险与内控的关系 　　内部控制是有成本的，如果控制措施偏多，工作效率及流程速度都会受影响。风险管理及内控的本质就是，平衡风险与控制成本效益间的关系，观察整个过程中成本效益的考量是否合理，是否满足公司整体战略方向。当风险降低到一定程度后，如果要进一步降低，投入的控制成本会以指数级增长，这就需要应用其他控制手段，甚至进行控制转移，而不是仅降低风险偏好。 　　（3）.风险管理三道防线 　　国际上风险管理的核心理念通常包含三道防线，很多企业也按照三道防线的框架来搭建风险管理体系。第一道防线是，业务部门及内部控制相关部门。主要通过搭建日常工作流程、制度体系的方式，规避企业约60%-70%的风险；第二道防线是，公司内部控制。 　　内部审计主要针对剩余的这部分30%-40%风险；第三道防线是，通过内审来监督和监控，特别是针对高风险领域，能够补足前两道防线的漏网之鱼。 三道防线理念也是目前大部分公司搭建风险管理及合规体系的标准。 　　中国企业的监察体系更多的是开展公司内部反舞弊等方面工作，通过反舞弊调查维护公司整体价值观处于正确方向。内部审计一方面给监察体系输送弹药或线索，另一方面其工作与业务及业务运作风险相关。 　　（4）.内部控制体系 　　风险管理体系的科学框架包括控制环境、风险评估、控制活动、信息沟通，以及监控活动。目前国内企业在控制活动和监控活动投入精力较多，取得了不错的效果，但对于风险评估及控制环境的搭建，还处于初级或探索阶段。传统风险管理或内部控制对于控制环境搭建的要求更多集中在监管要求，如控制流程要求等，但风险管理实际上需要与公司的管理文化相匹配，搭建控制环境需要适应企业文化，这是一项相当有难度的工作。 　　（5）.风险管理体系框架 　　传统风险评估以定性的主观判断为主，比如风险的高中低评级。随着数字化能力水平的提高，当下企业更强调基于场景化、数字化的量化风险评估结果，定量评估能够更好地帮助管理层做出判断。在监管领域，企业对风险管理及内部控制越来越重视，监管也越来越严格。 　　从整个框架体系来讲，风险的定义发生了变化，如今风险管理体系越来越偏向公司战略及运营绩效的实现，而不是简单规避一些负面风险。 　　（6）风险与内控的关系 　　内部控制只是风险管理的一部分，是作为规避相应风险的一种手段，又是整个公司管理的重要环节，在公司治理架构和公司管理层面扮演着越来越重要的角色。 　　2.政策与环境的要求 　　监管体系包括风险管理和内部控制，特别是在2000年左右美国安然事件之后，萨班斯法案出现，全球范围都加强了对内部控制和风险管理的要求。 　　对于中国资本市场来说，《企业内部控制基本规范》就是内部控制要求。国家也出台了一系列加强中央企业内部控制管理及内部审计，甚至监督工作的要求，也强调风险管理和内部控制的重要性。 　　随着注册制的推行，内部控制的要求越来越高，整个市场和监管机构对于内部控制和企业风险管理也提出了新的要求。《中央企业全面风险管理指引》和整套A股内控规范要求对中国的企业风险管理和内部控制有指标性作用，促进了国内内部控制和风险管理行业的发展。 　　目前跨国公司和本土企业对于风险管理和内部控制的要求越来越高，必须按照国际化规则来运作。企业内控和风险管理水平需要与发达国家对标，更需要努力达到同等水平，这样才可以与其竞争。 　　当下，制造业和基础行业的成本优势已经存在，后续在风险管理和内部控制领域还有提升的空间。目前国家对央企的内控建设和内控执行提出了很高要求，就重要的人事任免、重大风险或重大并购案等方面都提出了相应要求。 　　3.数字化管理实践 　　这是一家快速发展的互联网企业，世界500强。它的核心特点是国际化水平很高，在七、八十个国家运营业务，在世界舞台的竞争对其内部控制和风险管理提出了很高要求。 　　从最初搭建内审、内控、风险管理体系开始，就应坚持匹配公司特点、发展阶段，以及公司文化。该企业采用扁平化管理模式，由不同的合伙人管理，业务种类较多，每块业务都有自己的主导权。其核心出发点是，如何在集团层面设定相应的控制标准和流程，审视风险水平。 　　基于企业的互联网基因，需要能快速灵活应对，又要保证控制。最终定位内控与风控应该在企业中扮演四个角色：咨询、监督、评价与管理。咨询与管理角度更多偏向内控，监督和评价更多偏向内审。 　　上市之前，内控更关注的是咨询、管理，以帮助企业建设作为切入点；上市之后，公司的管理体系架构相对稳定和成熟，更多地开始强调监督与评价。 　　想要强化内控措施的落地与执行，需要注意几个方面。 　　第一， 基础工作常态化。内部控制工作首先要常态化，比如在一些关键的审批流程中，在整个企业流程的搭建、发布中形成一系列基础性常态工作。 　　第二，风险管控的预警化。通过内控工作给管理层提供风险识别与预警，以及数字化的解决方案，特别是事中、事前的防范措施。 　　第三，国内国际一体化。在不同的国家和区域、不同发展阶段、不同文化环境，执行全球一体化风险管理策略和内部控制措施，这是巨大的考验。考虑的问题和切入点都不同，需要长期的经验积累以及专业服务提供商来帮助搭建体系。只有在这一领域做好，才能使中国企业真正成为全球化的企业。 　　第四，数字化工具与手段。想要得到管理层的支持与帮助以便开展内控风险管理工作，就需要把工作内控或风险管理工作显性化、量化。 　　当体系已搭建并完成上市目标后，在后IPO时代要持续发展风控数字化，并持续强化风险管理与内部控制的作用。传统手段速度较慢，效果也不突出，无法让管理层直观看到风控的价值与作用。风控数字化的概念很适合这一现状，可以不断提高效率，展现给管理层，形成一个良性循环。 　　风控数字化主要分为两个维度，一方面通过信息化的手段进行风险管理，另一方面利用数字化手段或IT信息系统，完成传统的风险管理工作。核心策略是搭建风控数字化体系，使公司风控数字化核心价值达到业界领先水平。 　　这是一个技术问题，更是人员能力问题。数字化过程需要人才核心理念的改变，为此搭建了“1+3+X”核心数字化策略。 　　“1”指需要全球一体化的数字化风控平台来支撑工作，需要具备全球化、接受程度较高的解决方案或平台，串联彼此的工作。 　　“3”指的是三种能力：大数据分析能力、自然语言的智能处理能力，以及风险风控显性化流程挖掘能力。 　　“X”指结合这三种能力，形成不同的应用给到一线业务部门，将基础工作和内控的日常工作打包到轻量化应用中，给到业务部门，通过实际应用达到实现风险管理的核心目的。 　　举例来说，针对大数据分析，帮助供应链团队，对物流的延迟、丢失、拒收数据进行分析，帮助选择更好的物流服务商；在自然语言处理方面上线合同印章管理7×24小时智能机器人服务；对核心业务流程进行了流程挖掘，对流程的效率和用时进行量化分析，并将分析结果展现给管理层。 　　风险管理和内部控制的工作核心是数据分析与模型搭建，每个企业都会有不同的积累和沉淀。这些经验可以互通，比如A企业以某一种角度看待风险管理，搭建相应的风险管控模型，与不同企业的业态有关联。 　　B企业是另一种业态，也有一套风控模型，不同企业的风控模型后续可以相互沟通交流，开展共创，IT相关的信息部门也可以进行互动。这样的交流可以使得风控模型或数据分析能力得到提高。内控或风险管理部门会在未来扮演重要角色，当下应该对相应的能力和技术进行储备，以满足企业未来需求。 　　4.价值与核心意义 　　从企业角度，搭建风险管理内部体系可以从几方面考虑。 　　第一，企业对风险管理的认知，也就是管理层对风险整合的态度，与管理层达成一致非常重要。 　　第二，需要对公司的业务有深刻了解。正如财务要对业务有深刻了解，内控和风险管理对业务的了解甚至要相对更优先。 　　第三，对新技术的快速应用。随着业务的发展，风险管理和治理架构体系的搭建需要走在业务前面提供帮助，而不是滞后于业务。 　　第四，为管理层提供风险相关预警。风险预警更多的是事前而非事后，风险管理和内控的价值就是提前预警，减少企业损失。 　　第五，团队成员的多样性。需要对业务、风险、企业文化有了解的人才，要懂业务、情商高，熟悉公司内部文化，掌握信息技术，能做数据分析等。同时，现有人员也要进行持续学习和提升。行业和业务是不断变化的，企业对风控和内控也会提出更高要求，需要不断学习。 　　最后，风险管理和内控一定要有国际化视角。不能是单一企业化思维，更不能仅局限在中国范围内。全球事件彼此联系紧密，国际上的一些问题或监管要求会对企业内控和风控工作产生深远影响。 　　长远来看，风险管理和内部控制首先应从运营风险向战略风险转换。风险管理和内控是持续发展和不断完善的工作，只要企业存在并持续经营，就需要风险管理和内部控制。 　　管理的本质就是管理风险，风险管理和内控的工作不应该仅局限在运用风险角度，更多时候需要向战略风险角度去转移，能够给管理层在战略层面上提供支持和帮助，展现风控和内控的价值。 　　其次，事后分析向事前预警转变，做决策和预判，提高准确性。再次，要从控制环境向风险文化转变。未来的发展方向是基于企业文化的风险管理体系。 　　另外，从监督、监察向咨询、建议角度转变，更多关注事前、事中的控制，而不是通过监督、监察发现错误计算完损。从咨询、建议的角度，事前、事中防范，提前做好准备，才能够为实现企业核心战略目标和运营目标保驾护航。 　　最后，区域化风控向全球化风控转变，不仅要关注企业内部和国家层面，更要放眼全球，未来将会有更多中国企业成为全球化企业。