企业规划_内控三角解析：目标、风险与控制.pdf

内控三角解析：目标、风险与控制 结合内部控制的定义和五要素，可以提炼出一个简洁的内部控制三角：目标--风 险--控制。即在内部控制建设和实施过程中，始终要回到这三者之间关系的考量上： 控制的具体目标是什么？潜在的风险是什么？可以采取的控制措施有哪些？在学习 和运用内部控制理论和体系时，首先要深入理解这三个核心概念。 一、内部控制目标 1.不同内部控制目标体系的比较 在我国内部控制规范体系中，内部控制建设目标可以归纳为：战略目标、经营目标、合 规目标、资产安全目标和财务报告目标等五个目标。 同时，COSO 在《企业风险管理整合框架》（以下简称 ERM）中将风险管理的目标分 成四类，即战略目标、经营目标、报告目标和合规目标。 比较上述三大体系的目标，可以发现我国内部控制体系目标有如下特点： 第一，整合了 IC 和 ERM 框架。我国的内部控制目标是综合 IC 和 ERM 框架的要求， 对企业实施内部控制体系提出了更高要求。 第二，强调资产安全目标。我国的基本规范之所以强调资产安全目标，并单独作为一个 内部控制目标，主要是因为国有资产的增值保值是我国特有的国情。 第三，没有强调非财务报告目标。IC2013 更新了原有 IC 中的财务报告目标，采用了 ERM 中的报告目标，拓宽了报告的外延范围，强调合理保证非财务报告和内部管理报告等 信息的真实完整。 因此，我国内部控制体系实际上约等同于 ERM。但是，IC 强调 “确定目标”是 “内部 控制的前提条件” （即“目标既定论”），而不属于内部控制本身；ERM 强调 “应用于战 略制定并贯穿于企业之中” （即“目标设定论”），并体现在其风险管理八要素中的目标设 定、事项识别等要素中。所以，不能简单将全面风险管理的八要素视为内部控制五要素的细 分。 2.内部控制目标的实务分类 从内部控制实务的角度看，IC 的报告目标可以拆解为财务报告目标和非财务报告目标。 其中非财务报告目标可以作为信息与沟通要素融入到相应的战略目标、经营目标和合规目标 中。 同时，资产安全目标也可以拆解为两部分，即 “用于保护资产安全且与财务报告可靠性 目标相关的控制”和 “其他资产安全相关的控制”。对于前者可纳入财务报告目标的内部控 制建设中；对于后者则可纳入经营目标的内部控制建设中。 经过上述重分类后，从建设和实施的角度，可以将内部控制建设目标界定为：财务报告 目标、合规目标、经营目标和战略目标等四个目标。其内涵各不相同，因此梳理和确定上述 具体目标体系的方法也不尽相同。 3.从一般内部控制目标到具体内部控制目标 内部控制建设是否能体现企业的特色，关键就在于内控建设是基于一般内部控制目标开 展的，还是基于具体内部控制目标开展的。如果是基于一般内部控制目标开展，则会围绕部 门职责和流程来进行风险评估，建设成果可能很丰富，但因为没有深入业务，对经营效率和 效果以及战略提升的帮助并不很大，因而无法让企业高管层满意。 基于具体内部控制目标的建设，则是以企业 KPI 为核心，构建绩效指标体系，并对指标 体系进行风险评估，进而优化流程。在据以绩效指标进行风险评估时，往往会发现很多基于 职能和流程无法发现的风险，例如在对销售指标进行风险评估时，可能会发现销售人员的销 售技巧不足导致业务开发业绩不达标。 二、控制风险 《中央企业全面风险管理指引》及其相关评价规定则进一步将风险划分为战略风险、财 务风险、市场风险、运营风险和法律风险五大类，并且每大类内部又分解为一级、二级和三 级风险。 以销售活动为例： 销售活动面临的最大风险是销售不足（图 1）。销售不足的原因可能是产品定位问题（战 略风险），也可能是竞争者提供了更具优势的解决方案（市场风险），或客户受资金不足而 出现的需求不足（运营风险）等。针对客户资金不足问题，我们可以采取担保政策，也可以 采取信用管理政策。如果采取信用管理政策，则随之而来的就是如何确定客户的授信额度问 题。如授信过高（财务风险）则会导致后期坏账和催款成本激增；如授信不足（运营风险）， 又无法对销售起到刺激作用，因此，需要一个授信额度的审批程序来规范授信过程。 解决这个困境的方法就是在原有条块横向分割的基础上，再按风险影响的涉及面纵向划 分为：战略性风险、战术性风险和操作性风险三个层次。 仍以销售活动为例，销售不足为战略性风险；授信不足或过高为战术性风险；授信审批 没有按照要求执行则为操作性风险。构建自上而下的风险指标体系即符合企