01

2006年，我當時所在的單位作為中央企業(yè)全面風(fēng)險管理課題小組起草單位的身份，協(xié)助國資委起草了《中央企業(yè)全面風(fēng)險管理指引》，并于2006年6月6日下發(fā)，中央企業(yè)自此開啟了轟轟烈烈的全面風(fēng)險管理工作之旅。

這個過程中我們也協(xié)助了很多中央企業(yè)開展工作，在中央企業(yè)探索實施了一年多以后，2008年初，國務(wù)院國資委決定啟動中央企業(yè)全面風(fēng)險管理年度報告編制的試點工作，選取了31家中央企業(yè)作為第一批試點，并要求：

2008年起，每年5月30日之前向國資委報送年度全面風(fēng)險管理工作報告，并對此項工作實行企業(yè)一把手董事長（總經(jīng)理）負責(zé)制。

昨天，在電腦上翻出來當年協(xié)助國資委起草的《關(guān)于開展2008年中央企業(yè)全面風(fēng)險管理報告試點工作有關(guān)事項通知》的草稿，又想起了當年研討如何協(xié)助企業(yè)開展報告編制工作方法論時的情景。

在第一年啟動這項工作的時候，親身參與了很多中央企業(yè)總部報告的編制工作。

高強度的資料收集、編制問卷、訪談、研討、風(fēng)險評估、匯報，很多時候涉及央企一把手訪談、董事會（黨政聯(lián)席會）匯報等與企業(yè)高層的交流，讓我在這個過程中也受益頗深。

很多對風(fēng)險的深度思考，經(jīng)過那些年與形形色色的企業(yè)與領(lǐng)導(dǎo)層的交流接觸中，天天在進行碰撞，對于企業(yè)各層面提出的各種問題、碰到的各類挑戰(zhàn)，下班之后繼續(xù)思考和搜尋答案，也是我這幾年寫這么多原創(chuàng)文章的最初源泉。

所以我的那么多文章，都不是空穴來風(fēng)，都是來自于對企業(yè)實際問題的思考。

我記得非常清楚，當時很多企業(yè)高層將此風(fēng)險報告當做與國資委傳遞信息的一種方式，特別是報告的最后一段：

需要國資委協(xié)助解決的有關(guān)重大風(fēng)險問題。

很多企業(yè)開始提自己有關(guān)風(fēng)險的“訴求”，如注資、并購、資源傾斜之類，很有意思。

最開始的全面風(fēng)險管理，內(nèi)部控制只是其中的一個小角色，比例不超過20%

2008年，在進行了多輪調(diào)研和征求意見之后，財政部聯(lián)合五部委發(fā)布了被稱為是“中國薩班斯”的《企業(yè)內(nèi)部控制基本規(guī)范》。

兩年之后的2010年又發(fā)布了18項內(nèi)部控制指引，外加一個評價指引和一個審計指引。自此，中國企業(yè)開始了有章可循的內(nèi)部控制大發(fā)展階段。那段時間我在四大其中一家專門給大型企業(yè)和上市公司做內(nèi)部控制體系建設(shè)和評價。

內(nèi)部控制初始于內(nèi)部牽制、發(fā)展于所有權(quán)與經(jīng)營權(quán)的分離、成熟于資本市場對公眾公司保護投資者的基本要求。

今天看到的以西方為代表的典型內(nèi)部控制框架里包含的要素，是在工業(yè)革命之后在企業(yè)里形成的科學(xué)管理體系的基礎(chǔ)上進而提煉總結(jié)的，在中國很多企業(yè)還沒有完全建立完善的科學(xué)管理體系之前，通過這個體系可以管中窺豹。

中國也是一樣，就像我們快速工業(yè)化進程一樣，我們的內(nèi)部控制也是迎頭趕上，第一棒就落在了內(nèi)地海外同時的上市公司，再進而擴展到國內(nèi)A股主板上市的上市公司。

在今天很多民營資本還沒有脫離原始積累的階段，很多人把上市本身作為了快速完成原始積累的手段，在這個時候要求上市公司完善內(nèi)控、談投資者保護，這不是笑話嗎？偉大的馬克思說過：

資本家看到有50%的利潤，就會鋌而走險；為了100%的利潤，就敢踐踏一切人間法律；有300%以上的利潤，就敢犯任何罪行，甚至去冒絞首的危險。

《資本論》，871頁

所以，實施的效果怎么樣，大家自己去看，2019年一地雞毛的上市公司年報行情，做假賬、關(guān)聯(lián)交易、違規(guī)擔保、侵占資金……一個上市公司的300億銀行存款可以一筆勾銷、上市公司高管發(fā)聲明說財報不保真、獐子島扇貝被搞得死去活來。

什么叫內(nèi)控？不知道。只知道什么叫全面失控！

上市公司屬于全體股東所有，需要保護，國有企業(yè)屬于全民所有，我曾經(jīng)有一篇文章講，國有企業(yè)，其實是一個全面上市公司，更需要保護。

2012年，國資委聯(lián)合財政部發(fā)布68號文《關(guān)于加快構(gòu)建中央企業(yè)內(nèi)部控制體系有關(guān)事項的通知》，這個文件就是前段時間國資委發(fā)布的101號內(nèi)控文件的上一代。

這個時候，全面風(fēng)險管理已經(jīng)被推行了6年，68號文同樣要求：

建立主要負責(zé)人承諾制，明確企業(yè)主要負責(zé)人對內(nèi)部控制有效執(zhí)行負總責(zé)。

自2013年起，于每年5月31日前向國資委報送內(nèi)部控制評價報告。

從2013年起，各企業(yè)需要在每年的5月份，單獨提交一份風(fēng)險報告和一份內(nèi)控評價報告，報給國資委不同的局。這兩份報告的關(guān)系，沒人說的明白，有的也試過直接Ctrl c再Ctrl v。

今天，看著剛剛下發(fā)的通知，文件中的一段話，了結(jié)了多年有些不愿再提及的恩恩怨怨：

各中央企業(yè)要以“強內(nèi)控、防風(fēng)險、促合規(guī)”為目標……，按一體化要求編制2019年度內(nèi)控體系工作報告，不再分別報送《中央企業(yè)內(nèi)部控制評價報告》和《中央企業(yè)年度風(fēng)險管理報告》

在兩個月前的101號文中，以內(nèi)部控制為抓手的融合風(fēng)險管理、合規(guī)監(jiān)督的觀點已明確提出。

此次的工作通知中，日后將用《xx年度內(nèi)控體系工作報告》替代運行了12年的《中央企業(yè)年度風(fēng)險管理報告》和運行了7年的《中央企業(yè)內(nèi)部控制評價報告》，兩部分的內(nèi)容都做了整合，最后的抓手還是落在了內(nèi)部控制上。

關(guān)于這兩個理論的關(guān)系，有些人糾結(jié)的多年，也沒搞明白。連當年財政部發(fā)布企業(yè)內(nèi)控規(guī)范時都說，今天的內(nèi)部控制，和風(fēng)險管理本質(zhì)上是一樣的。我曾經(jīng)寫過一篇文章細數(shù)了它們二者的七大不同，前一段時間又在風(fēng)控課堂上直播更新講解了它們兩者的八大不同。

雖然文件將兩部分整合，把合規(guī)內(nèi)容也整合在其內(nèi)，看似簡化了的問題，但短時間內(nèi)可能會變得更復(fù)雜。

由于很多中央企業(yè)在職能上還未實現(xiàn)大風(fēng)控式的整合，不同的工作散落在了不同的部門，這份報告會牽涉到不同部門的溝通協(xié)調(diào)問題，最后迫于時間緊迫，報告有可能是各自“拼”出來的。

所以，2020年，開展具體工作的同時，另外一個工作就是風(fēng)險管理、內(nèi)部控制、合規(guī)工作職能的重新調(diào)整，走向整合式的大風(fēng)控是個必然趨勢。

今年企業(yè)職能整合的時候，有一點需要注意，國資委是從監(jiān)督的角度出發(fā)，以督促建，對應(yīng)到企業(yè)既可以是監(jiān)督的第三道防線職能、也可以是履行實際工作的第二道防線職能，不必拘泥于嚴格對照。

從第一年變革來講，從這個文件上看，形式上將內(nèi)部控制、風(fēng)險管理及合規(guī)進行了統(tǒng)籌，但內(nèi)容上還是相互割裂的，并沒有打通。

之前推行的全面風(fēng)險管理，內(nèi)部控制作為其中的一個組成部分提了出來，但是實際上進行企業(yè)風(fēng)險管理工作時，并不能說同步進行了內(nèi)部控制的系統(tǒng)性建設(shè)。

所以，就算是有的企業(yè)已經(jīng)建立了風(fēng)險管理框架，后來財政部推行內(nèi)部控制時，還需要進行內(nèi)部控制體系建設(shè)。

這樣的迷惑不僅中國有，連最著名、最有影響力的COSO委員會搞明白了嗎？

并沒有，我翻閱了COSO所有出版的經(jīng)典文件，對這個話題的觀點經(jīng)常曖昧不清，左右搖擺，到今天2017年版的企業(yè)風(fēng)險管理框架更新版發(fā)布，都沒有完全解決。

但是，經(jīng)過這么多年的摸索，我們大多數(shù)從業(yè)者都認可內(nèi)部控制是企業(yè)風(fēng)險管理中一部分。

今天的文件以內(nèi)部控制為抓手，把之前風(fēng)險管理的內(nèi)容整合了進來，說實話，還是有點牽強的，好比拿一個小蓋子去蓋一口大鍋。

以前是把內(nèi)控放到風(fēng)險的框里，現(xiàn)在是把風(fēng)險裝到內(nèi)控的籃子里。

為什么抓了風(fēng)險管理這么多年，又去抓內(nèi)部控制？

坦白的講情有可原，因為風(fēng)險管理這事真不好抓，抓得好到處都是，抓不好就成了空對空，很難落地和見到實效。

內(nèi)部控制就不同了，抓制度、抓流程、抓控制點，起碼能看到點東西，見到點成績。

但是，內(nèi)控做好了，不代表不會出風(fēng)險，很多風(fēng)險發(fā)生了和內(nèi)控好不好并沒有直接關(guān)系，因為內(nèi)控關(guān)注的風(fēng)險只是企業(yè)風(fēng)險中的一小部分。

過去這幾年我寫的風(fēng)險管理的文章要比內(nèi)部控制多得多，為什么？

在我看來，風(fēng)險管理是道，內(nèi)部控制是術(shù)！

道是哲學(xué)、藝術(shù)、文化、能力層面，而術(shù)，就簡單具體多了。所以，我們選擇了寫難寫的部分。

以道引術(shù)，道盈卻術(shù)不精；以術(shù)弘道，術(shù)精卻道難全！

之前我們在前面，現(xiàn)在我們走到了后面，都偏失了中正。

論道，追求實用的人會覺得空泛，說術(shù)，層次高超的人定感覺細末。我們不是說術(shù)不重要，術(shù)非常重要，只不過需要先明道再優(yōu)術(shù)，有一個先后順序。

下一步計劃把承諾的COSO最新的內(nèi)控框架結(jié)合著財政部的文件給大家解讀完，我認為作為第一批的從業(yè)者播撒種子的使命就算基本完成了。

目前有時會代表中國參加國際相關(guān)標準的制定，跟這些全球的專家討論專業(yè)問題時，他們真理解不到我們這樣的深度，可以謙虛的吹個牛，對這些問題的理解，我們中國是全球領(lǐng)先的。

唯一的遺憾是目前中國在此領(lǐng)域還沒有一個專門的研究或?qū)W術(shù)平臺，可以代表中國發(fā)聲，因為我們的平臺設(shè)立有很多限制條件，這些問題可能要留給后面的廣大從業(yè)者接了棒繼續(xù)跑了。

瞎扯了這么多，還是說點實用的，和大家具體工作有關(guān)的，首先，關(guān)于這個年度工作文件的實施有一些要求，首先幫大家捋一下2020年的工作時間線：

1、2020年1月20日前

也就是半個月之后（春節(jié)前），上報內(nèi)控體系職能部門或機構(gòu)設(shè)置情況。

在2018年下發(fā)的2019年中央企業(yè)風(fēng)險管理工作通知中，也有對中央企業(yè)風(fēng)險管理工作組織情況的報告內(nèi)容，這次是用內(nèi)控職能取代了風(fēng)險管理組織情況的報告內(nèi)容。

2、2020年2月底前

董事會或類似決策機構(gòu)審議通過重大風(fēng)險評估情況。

春節(jié)之后第一個月有的忙了，此份風(fēng)險評估報告并沒有要求報送國資委。

3、2020年4月30日前

編制《2019年度中央企業(yè)內(nèi)控體系工作報告》，經(jīng)主要領(lǐng)導(dǎo)人員簽字并加蓋公章后報國資委，并同時抄送企業(yè)紀委（紀檢監(jiān)察組）、組織人事部門。

這里面有一個評價工作結(jié)果統(tǒng)計表，涉及全范圍的重大、重要、一般缺陷，這項工作不太容易，制定標準和缺陷認定規(guī)則很重要。

與這份報告一起報送的，還包括《中央企業(yè)重大風(fēng)險季度跟蹤監(jiān)測表》作為第一個季度的監(jiān)測文件。

4、2020年6月30日后10個工作日內(nèi)

編制第二季度《中央企業(yè)重大風(fēng)險季度跟蹤監(jiān)測表》，并報國資委。

5、2020年9月30日后10個工作日內(nèi)

編制第三季度《中央企業(yè)重大風(fēng)險季度跟蹤監(jiān)測表》，并報國資委。

6、2020年12月31日后10個工作日內(nèi)

編制第四季度《中央企業(yè)重大風(fēng)險季度跟蹤監(jiān)測表》，并報國資委，然后進入第2步，如此循環(huán)。

另外，企業(yè)還需建立重大資產(chǎn)損失風(fēng)險事件的報告機制，事件發(fā)生后5個工作日內(nèi)報告國資委，并按季度監(jiān)測，內(nèi)容反映在季度跟蹤監(jiān)測表中。

7、2020年12月31日前

完成相關(guān)制度修訂增補工作。主要側(cè)重國家法律法規(guī)等外部監(jiān)管規(guī)定、不符合不相容職務(wù)分離控制、授權(quán)審批控制，專項風(fēng)險評估、內(nèi)控體系監(jiān)督評價、責(zé)任追究等制度完善工作。

我們之前解讀央企合規(guī)指南文件時就呼吁，合規(guī)的內(nèi)容應(yīng)該側(cè)重外部監(jiān)管規(guī)定事項，此次合規(guī)要求也是做了相應(yīng)要求。

另外，今年各企業(yè)還需要抓緊研究制定《2020—2022年度內(nèi)控體系監(jiān)督評價工作規(guī)劃》。

關(guān)于內(nèi)控信息化

關(guān)于內(nèi)控體系信息化問題，最近這兩個文件也一直強調(diào)，的確，如果可以實現(xiàn)業(yè)務(wù)各控制點的自動化控制，這是很好的控制手段。但是，內(nèi)控信息化是一個很寬泛的概念，什么叫內(nèi)控信息化？

是新建立一個內(nèi)部控制信息系統(tǒng)？不一定，公司運行的大部分信息系統(tǒng)都含有控制信息，包含公司層面和業(yè)務(wù)層面的控制手段。內(nèi)部控制工作和監(jiān)督職能可以檢查和要求各信息系統(tǒng)實現(xiàn)對于控制的要求。

要評價內(nèi)控信息化水平，就要看識別和評估出來的控制措施，有多少是通過信息化的控制在運行。

關(guān)于風(fēng)險分類

本次文件中提供了一個五大類的風(fēng)險分類框架，也是參照2006年央企指引的分類方式。

關(guān)于風(fēng)險分類，它們之間相互交錯、相互影響，再加上不同職能分工的問題，要想劃分的既準確又有針對性是個非常不容易。這次參考分類中都留了一個活口，就是每類風(fēng)險都有一個其他項可以擴展。

風(fēng)險分類沒有最好，只有最適合，本次提出的17類重點關(guān)注的二級風(fēng)險提供了一個重點參考，因為央企還是有很多共性的問題，其他的企業(yè)就要各顯神通了。

社會發(fā)展總是螺旋式上升，我們的對一件事物的認識也是一樣。

這次文件的變化開啟了另外一個風(fēng)險管理和內(nèi)部控制的融合時代，由原來的獨立到整合，雖然目前只是形式上的，但都是為了解決現(xiàn)存的問題而進行的探索，探索過程中的問題，相信一步步都會解決。

我們?nèi)ツ臧压娞柮钟伞帮L(fēng)險管理世界”改名為“大風(fēng)控”，也是意識到了這種協(xié)同和融合將是未來的必然趨勢。

風(fēng)險管理和內(nèi)部控制，是非常完美的一對拍檔，基本上解釋了所有企業(yè)管理的真諦，絕大部分企業(yè)管理中遇到的問題，都能從這兩個體系找到解決之道。

希望我們的中國企業(yè)在道與術(shù)中找到平衡點，助力中國企業(yè)早日成為世界一流！