IMA总裁谈内控对企业风险管理的意义

　　Jeffrey C.Thomson，2008年开始担任美国管理会计师协会（IMA）的总裁兼首席执行官，四次被AccountingToday授予收录进该杂志年度“100位最有影响人士名单”的殊荣，并在过去4年中连续被TrustAcrossAmerica评为“100位可信赖商业行为领域的思想领袖”之一。此外，他还被《会计师杂志》和《国际会计公报》评为“全球最有影响力的50位会计人士”之一。在2015年10月第二届管理会计体系建设高峰论坛举行期间，视野在北京对他进行了专访，也请他分享了在内部控制方面的**研究发现与思考。

　　无论是商业还是会计，行业都在齐头并进的发展，所以管理会计面临着竞争、整合、更加复杂化的环境和产品变化的风险。很多问题，尤其是如何推动可持续的发展方面，都没有达到一个理想的层面。在这个过程中，仅仅依靠个体的力量是远远不够的，所以组织内部和各个组织必须要团结起来，共享信息。关于管理会计和内部控制，涉及五个方面的主要问题：

　　首先，风险管理和内控之间并不孤立，它们是相辅相成的。只有认识到这一点，我们才能够更好的进行企业的内部管理和治理。

　　第二，风险管理和内控适合用在不同规模、结构或地域的企业中。不管是大企业还是小微企业，是国有企业还是私营企业，都同样有效的。即便是大学院校，他们的运营也还是要商业化的。内控就是要求管理者必须要提供出一定的价值，创造出价值就是商业内容的体现。

　　第三，风险管理和内控并不只是财务部门的事情，而是整个企业上上下下所有部门共同的职责。它是一种商业的责任，可以帮助我们更好的推动市场、技术和人力资源的发展。企业的风险来自于方方面面，可能是财务、客户，或者是其他领域的。但所有这些风险都会影响到品牌以及声誉。不管是个人品牌还是企业品牌，声誉都是立足之本。所以，不只是会计要负责，帮助明确风险、控制风险，它是业务领域的一个整体问题。

　　第四，风险管理和内控的层次远高于合规和遵纪守法的。风险管理和内控可以帮助实现战略目标、精益求精，改善业绩和内部的治理。

　　第五，风险管理和内控其实很有趣。这个行业是一个非常非常奇妙的行业。作为CFO的经历告诉我，虽然做管理会计很累，但是它极大的丰富和提升了我的职业生涯，也让我更加关注和参与公共事务，并且具备了更大的影响力。在整个过程中其实有很多乐趣，我们会感谢其他人的工作，会面临更多的挑战，这些其实都很有意思。

　　针对上面所提到的第四点，我写了一篇文章，希望能够分享一下我关于内控和风险管理的重要性的观点，以及美国反虚假财务报告委员会下属的发起人委员会（COSO）的框架如何帮助改善组织的业绩和治理。

　　风险管理和内控对于合规和遵纪守法方面的业务来讲至关重要。它可以使得企业更有自信并帮助企业实现战略目标。这是一种前瞻而非回顾式的思维方式。COSO是一个层次很高的机构，由五家美国的会计师协会组成，IMA也是其中之一。20世纪80年代末，美国出现了很多信贷丑闻，当时国会希望公共和私营部门能够帮助国家防范这类欺诈。1992年，COSO制定了一个内部控制的框架；2004年又推出了一个企业风险管理的框架。

　　以上两个框架能够帮助企业管理层有效评估企业风险，进行内部控制，帮助企业实现绩效和内部治理。企业风险管理和内控框架的目的是要将其整合到企业的治理和管理流程中去，使得对于企业风险管理和内控能够实现全责制。即在企业任何一个执行部门，都要有发展规划、目标和战略。企业内部关于风险的讨论和实现这些目标要联系在一起。因为，要实现企业的市场价值，需要保证所有的产品线都是有竞争力的。

　　在这个过程中有财务、技术、声誉，以及是不是能够提供产品的风险等等。把战略和风险联系在一起可以这么去看。一辆汽车里的刹车就好比内部控制，在你看到有其他的车辆或者行人过马路的时候，你必须要踩刹车。在你有刹车配置的时候，你就能有这样的自信，能够以恒定的速度来前行。这个概念实际上就是说，要把风险控制在可控的范围内；另一方面，内部控制可以使得我们能够获得这样的自信。这就企业风险管理和内控框架的重要性，也就是让我们知道有哪些刹车可以踩，什么时候可以停止，什么时候又可以再启动。

　　COSO在2004年制定了企业风险管理的框架，现在正在更新，2017年时将会有更新版框架推出。1992年COSO提出的内部控制框架在2013年时已经进行了更新。2012年7月，COSO的内部控制框架在美国成为了一个普遍推行的框架。在推行前，美国出现了很多的财务欺诈事件，因此美国的金融监管部门要求公司的CFO和CEO参加书面考试，确保他们能够在财务报表中体现出完善有效的企业风险管理和内部控制的理念。当时他们把COSO作为内部控制一个非常重要的指标，但COSO不只适用于大公司财务报表，它实际是可以适用于任何规模、结构以及任何地域的企业财务内部控制框架的。

　　应用内部控制可以从路线图的层面进行思考。在理论层面，我们需要思考企业是如何来创造价值、服务客户、满足社会利益的，然后再把技术融进来，比如像企业风险管理和内控的框架，来和这样一个商业计划联系在一起。寻求建立这种联系，就需要概括商业模式。最开始是要有治理，之后要制定战略。这个战略不仅是企业的战略。如果是一个大企业，可以是商业战略、产品战略、分公司战略，服务战略，或者是分销网络等等。在治理和制定战略时我们会制定商业计划，其中包含一些执行计划，还有一些滚动式的预测和预算。在执行战略时，要通过营运的计划和具体激励的目标。之后要评估成果，进行干预。有必要的时候会进行相应的调整。因为经济情况会有变化，会有来自不同方面的竞争，所以我们需要调整战略。这是一个基本企业运营的商业模型。

　　从技术层面看，要把内部控制和风险管理的框架融入到整体的商业计划之中。COSO有五个关于内部控制的基本因素，包括控制环境，风险评估，控制的活动，信息以及沟通，监控的活动。2006年，中国把COSO的内部控制框架融入到了自身的会计准则体系中。

　　风险评估和内部控制的框架，实际上可以进一步拓展。其实制定战略的过程，也是确定风险的过程，通过我们明确这个事件，能够了解环境和风险，其中包括竞争性风险、全球风险和技术性的风险等等。对于风险的评估就是如何更战略性的来回应风险。组织是要避免风险、忽视风险还是把风险转化为机遇？是不是能够把风险外化？比如像竞争风险，我们可以把这样的风险变成一个机遇。可以采取的方式就是推动创新，再进一步扩展，就可以把它变成企业的风险管理框架，这就是一个更加战略性的框架了。

　　风险管理是治理的一部分，那么什么是风险偏好呢？风险偏好反映了一个企业风险管理的逻辑，包括它的企业文化和运营模式。是很进取型还是保守型的？有时候在不同的发展阶段，面临的风险是不一样的。各个机构，需要在其中设定一些具体的变量。另外就是控制环境，这一点的重要性不言而喻的，对于一个企业的文化和成功来讲至关重要。它决定了组织的关键价值和整体的政策。

　　执行COSO的这些框架，将大大加强公司的治理能力；同时能够帮助企业创造出更好的风险管控文化，更好的实现我们的商业目标。一个好的团队、好的**，不仅是每天按部就班的工作，而是应该在困难的时候，在被迎头痛击的时候，反映出这个**团队的能力和成功。内控和适应机制，就是要与时俱进。加强内控，把它跟组织的整体框架和整体战略联系起来，同时能够在整个组织上下形成一个开放的沟通机制，会给组织带来更多的信心和成长空间。

　　文章来源于中国会计视野作者：冯凌

相关拓展：