风险管理与内控控制不是孤立存在于企业内的,它更多的是从一个独特的角度观察、检视企业管理的全部。风险管理与内部控制天然有着嵌入性的特征。虽然有专门的理论、方法、技术、工具,但正如所有管理一样,风险管理与内部控制真实的发生在所有的业务、管理活动中(事实上这也是ISO31000倡导的)。基于管理的系统思想,我想,其构建与运行也应当不是单独而存在,它的运行势必会与其他管理内容相互融合、相互促进。本文站在风险管理与内控控制规范体系构建及运行的角度,尝试着构建一个内控的全框架,试着告诉自己内控以后究竟是个什么样。
框架逻辑构成图示如下:
各板块构成如下:
|
序号 |
要素 |
功能作用及内在机理 |
构成/相关机制 |
目标 激励 约束 (宏观机制) |
01 |
战略规划 |
指引方向、提供目标。
内在机理:将内控与风险管理提升到战略高度,将其上升为战略实现的风险识别、分析、评价、应对及预警、监控的常态机制。 促进战略实现是风险管理及内部控制的最高目标,是中国内部控制规范、COSO-ERM的内在要求。战略为风险管理及内部控制提供目标、指引方向。作为一项不断优化、持续改进的工作,建立战略规划有助于树立风控建设的发展观、有助于提升风险管理及内部控制的重视程度、有助于保障风险管理及内部控制机制的执行。 |
1、 基于中长期战略规划,建立与战略规划匹配的风险管理职能子战略,对公司战略实施过程中预估的重大风险进行分析预测,制定并执行主要应对策略及方案、并在滚动期间更新; 2、 结合战略及年度计划,开展公司风险识别、分析、评估,确定公司重大风险相关的重大领域(产业板块、业务领域、业务单元、管理领域、流程…); 3、 在集团范围内选取风险焦点(产业板块、业务领域、业务单元、管理领域、流程…)做专项风险识别、分析、评估,并制定工作计划; 4、 结合子战略、年度计划、年度公司层面风险评估制定年度工作计划(包括重大风险应对策略及解决方案及具体工 |