为什么说战略和目标设定不属于内部控制范畴?
最近,一个从业者朋友发来一个问题,他在学习2013年版的COSO内部控制框架时,看到其中在阐述风险评估要素中有一段话:
战略和目标设定不属于内部控制流程,......
他问,中国的内部控制指引文件中有战略管理要求,难道中西方在这方面还不统一?
能够提出这样的问题,说明学习还是比较认真,这个问题让我想起了当时中国内部控制文件出台时的一些记忆,这背后确实有一段故事,还需要从头讲起。
21世纪初,美国资本市场经历了一场危机,出现了一批包括安然、世通、施乐、默克等著名企业财务造假和经营失败的案例。
在当时,COSO最有影响力的文件是其1992年发布的《内部控制整合框架》,也是美国证监会要求所有在美国上市的上市公司,必须要遵循的一个框架。
COSO这个组织认为,即便在这些公司建立了完善的内部控制体系,也无法有效预防一些企业的经营失败,走向破产。
到底差哪呢?
如果内部控制不能解决这些问题,一定是因为内部控制这个体系本身的局限性或者其所能解决问题的范围有限,要想更好的解决这些问题,那就需要有一个比内部控制更加宽广和包容的体系才可以。
2004年,COSO提出了企业风险管理的理论框架,没错,COSO在当时就是认为如果一个企业战略出了问题、经营方向出了问题,内部控制对此无能为力,而只能寻求其他解决方案,找来找去,COSO终于把主体找到了——企业风险管理(Enterprise Risk Management,简称ERM),我们翻译过来称之为——全面风险管理。
我们今天讲,企业风险管理包含内部控制、内部控制是企业管理风险的重要手段之一,是没有问题的,但在十几年前,有很多人会提出异议。
对此,COSO也应该负有一定责任,为什么?
从1992年COSO的内部控制框架开始,五要素立方体(cube)的概念就被广泛的认知,到了2004年COSO编制ERM框架,还是采用的立方体的框架模式,只不过从之前的五要素,改成了八要素。
既然有些问题内部控制解决不了,改成了风险管理,那必定有之前体系不具备的东西,也就是说,你认为企业风险管理比内部控制能耐,那企业风险管理体系一定要比内部控制要求的内容更多、更高才可以。
要不然,就是新瓶装旧酒。
目的虽然很明确,但是新酒到底该怎么酿、应该是什么味没人知道。
所以为了显示风险管理比内部控制的作用更大,就在之前的立方体上开始添加新元素:
首先,在风险评估之前加入了一个“目标设定”要素;然后将风险评估要素前后各加入“事件辨识”和“风险反应”,让风险管理的链条更完整。
做完了这些之后,在顶层目标层加入了新目标:战略目标。
这就是2004年出版的企业风险管理框架和1992年内部控制框架最主要的区别。
在当时,很多人看到这个框架都会得出一个结论,那就是八要素企业风险管理是五要素内部控制的升级版,因为这两兄弟长得实在太像了。
1992年的内部控制框架有三个目标:运营目标、财务报告目标、合规目标,其中最重要的一个是“财务报告目标”,财务报告的真实、准确、可靠,对于上市公司来讲,是最基本但却是最重要的一个目标。
但是,COSO也明白,内部控制做得好,不代表公司一定能发展的好。
好比内部控制是要造一台机器,但用这台机器干什么、怎么干并不关这台机器的事。
所以,企业做什么决策、定什么目标并不是内部控制能够覆盖的内容,而这些,都和企业的风险偏好相关,应该属于风险管理的内容。
所以,即便是COSO在2013年修订的内部控制框架文件中,其还是一直坚持,定战略和设目标是开展内部控制的基础,而不属于内部控制这套体系本身。
我们把视线回到国内。
2008年,中国财政部发布了《企业内部控制基本规范》,采用的是1992年COSO内部控制框架的五要素模型。
但是,在引进的时候,我们也进行了修改,最大的变化就是顶部的目标层,从之前的“三目标”扩展成了“五目标”,增加了战略目标和资产安全目标。
这样的变动在当时文件公开征求意见的时候,也是争议最大的部分。
这也不奇怪,因为在2008年的时候,很多人分不清风险管理和内部控制之间的区别,也有很多专家认为两个体系是一样的,只不过叫法不同而已。
按照COSO框架的观点,内部控制体系要实现的目标并不包含战略和目标设定部分,而战略和目标设定属于风险管理体系,2017年COSO更新版的企业风险管理框架,更是强化这一点,单独将“战略和目标设定”列为一个要素。
那不管是COSO的观点还是财政部的内部控制基本规范,从企业管理来讲,内部控制和企业战略与目标到底是什么关系?内部控制能不能包含这些内容?
要搞清楚这个问题,我们必须顺着内部控制和风险管理继续往上找,找到更高层依据,所谓的这两个体系的“上位法”。
那就是确定性与不确定性。
内部控制需要控制的是确定性问题,而风险管理需要管理的是不确定性,即风险。
之前,为了解释这个问题,我曾画过一个过去VS未来三角形,用以说明在时间的纵向维度下,我们所处的环境正在由确定性为主转向不确定性为主。
其实,在企业管理的纵向维度下,也有一个管理层级的确定性VS不确定性三角,
如果做个简单的对照,这个三角形对应的分别是企业管理的战略层、经营层和运营层,级别越高的管理者,面对和处理的不确定性越高,级别越低的人,面对的都是确定性问题。
内部控制以规则为依托,解决确定性问题,而风险管理最重要的是判断和决策,应对不确定性。
所以,越高层的人越有能力也有责任管理风险,越往下进入运营和实施层,越注重对管理规则的遵从性。
这并不是说规则对战略层不重要,而是越往上,规则越会变为基础保障,服务于内容。
有很多发展迅猛的企业关键决策层开始并不重视建立管理规则,也获得了巨大成功,是因为如果把握住了趋势或站在风口,不用你自己走,也是会被大势推着走,但这并不能体现这些企业家的全部能力。
反而那些能够逆势而上,在缝隙中寻找机会,建立企业确定性和把握不确定性两种能力并用的企业家,更值得关注。
一个企业的员工,他/她的重要程度最主要的就是要看他/她的工作内容中有多少是需要处理不确定性的内容,这很大程度上决定了这个岗位的不可代替性。
从管理层级来看,越往上,风险管理体系对其的支撑越大,越往下,内部控制体现的作用越强。
所以,在一个企业,战略和目标设定时需要考虑的不确定性内容非常多,这个时候,应该是风险管理发挥作用的时候,而内部控制,对其支撑有限。
中国企业内部控制配套文件中,虽然也有战略管理的内部控制要求,但是,实事求是来讲,内部控制对于战略管理的意义,是在于战略制定和实施的步骤和流程是否符合了内部控制要求,而战略制定和目标设置的好坏并不属于内部控制管辖的范畴。
从上面的分析,我们认为把战略和目标设定划分到内部控制以外,归入风险管理体系是合理的,供参考。