数说内控 – 风险 VS 缺陷:大部分内控人员无法分清这对孪生兄弟(内控和风险)
很多企业在开展内控评价或者风险评估的时候,往往都会提到公司有多少的风险以及多大的缺陷,然而对于到底什么是风险,什么是缺陷,很多人并没有分的很清楚。比如,在我服务的某个企业中,他们内控人员在开展了内控评价后,罗列出了以下七个表述,那么这七个表述那些是风险?哪些是缺陷?
(1) 出纳领取银行对账单
(2) 供应商在供货中以次充好
(3) 公司没有制定供应商准入和评价机制
(4) 公司在外贸采购中面临外汇波动
(5) 供应商的大额票据付款由采购人员领取后寄出
(6) 公司没有对入库原材料进行质检
(7) 几个供应商故意一起串标抬高报价
很多企业的内控人员往往将风险表述为缺陷,或者缺陷表述为风险,或者两者完全混用,甚至更有很多人将风险、缺陷和损失完全混用。分清这些概念对于我们理清内部控制、风险管理、内控评价、风险评估的定位和作用,有重要的意义。
什么是风险?
按照国资委2006年颁布的《中央企业全面风险管理指引》中的定义,风险是指未来的不确定性对企业实现其经营目标的影响。这句话读着比较拗口,反过来,从后往前读相对比较顺口,风险就是影响企业目标实现的不确定性。这里我们强调风险定义中的三个关键词:目标、影响、不确定性。
目标是企业开展某项业务的期望。企业做任何一个业务都有业务目标,而这个业务目标又可以分解成若干个控制目标,这些控制目标是保证业务目标能够实现的基础。以采购为例,采购的业务目标是为了保证能够买回企业所需要的物资。而这个业务目标下,又可以分为四个具体的控制目标:价格便宜、数量合适、质量上乘、供应及时。这四个控制目标如果无法实现,那么即使东西采购回来也是没有用的,所以我们在业务流程中必须保证这四个控制目标的实现。
影响是指某个事项导致控制目标产生的偏离。控制目标往往有一个具体的基准(这个基准可能是一个具体的值也可能是一个范围区间),而企业经营过程中发生的各个事件会导致目标偏离基准。当然,这个偏离并不一定是不好的,它有可能是负向的偏离也有可能是正向的偏离,即有可能是坏的影响也有可能是好的影响。
不确定性是指这一偏离发生是有概率的,可能发生也可能不发生,以及偏离发生后的结果大小是有概率的,可能大也可能小。
比如我们说企业采购中,供应商会提供给企业不合格的商品。首先这个事件影响了企业采购中质量目标的实现,无法保证企业所采购的商品的高品质,会进而影响生产和销售以及整个企业的运营;其次这一事件的发生不是必然的,有可能会发生也有可能不会发生,即供应商提供质次商品是一个概率事件。所以综上,我们说供应商供货质量上以次充好是一个风险。
企业的风险无处不在。按照国资委的分类,风险包括了战略风险、市场风险、法律风险、财务风险和运营风险。我们进行风险管理的目标并不是消灭风险,因为风险客观存在是无法消灭的。我们做的无非是通过一定的活动来减少风险对企业的影响。
当然,企业的风险也不是一尘不变的。一方面,企业风险会随着企业经营环境的变化而增减,比如我们取消了赊销政策,那么我们的回款风险也就没有了;同样我们退出外贸领域,我们的汇率风险也就没有了。另一方面企业的风险会随着内外部条件的改变而发生重要性水平的变化,即原来大风险的事件可能变为小风险,而原来小风险的事件会变成大风险。比如我们的供应商由大供应商变为了小供应商,那么物资采购的质量风险以及供货及时性风险也就随之升高了。
什么是损失?
和风险对应的有一个概念叫损失。损失是指某影响控制目标的事件已经真实发生了,已经给企业带来了经济或声誉上的实际损耗。因此损失具有两个特性,第一它不再是不确定性的,它是一个实际发生的确定事件;第二它是一个负向的影响,是一个不好的结果。当然,损失也有可能存在概率判断,但是这个概率并不是指发生的概率,而是损失的具体货币金额的估计。因为损失的往往并不一定是资金上的,所以并不完全能用金额来衡量,比如企业声誉的损失,其具体金额无法准确估计,只能概率估计。
什么是缺陷?
企业有了风险,我们就要考虑防控,这个时候我们就会在管理中引入控制活动,也就是内部控制。然而因为受制于每个人的经验、经历和阅历,我们对于控制措施会有盲区,有些地方没有考虑到必要的控制,或者控制措施的设计和执行不到位,这就产生了缺陷。缺陷就是企业为了防范风险所采取的控制活动的不足和漏洞。
缺陷产生的原因有多方面的。其一,由于我们经验和能力的局限,无法识别业务中的全部风险,对有些风险忽略了,导致控制活动的不足。比如有些企业在首次开展海外并购的时候,对海外的政治经济政策不了解,在并购中没有设计必要的防控措施,导致并购失败;其二,我们对于管理经验的不足,在设计控制措施的时候没有想到好的方案,只能在经验范围内制定要求,使得控制措施的机制设计不合理。比如很多企业为了防止采购中的舞弊,设计了公开招投标机制,然而对于招标代理的管理没有经验,完全依赖于外部监管,导致招标代理与采购方的勾结,出现招标风险;其三,我们在控制措施的具体执行中因为人的惰性、利益等问题,使得措施执行不到位,流于形式。比如很多企业规定财务印鉴要分开保管,然后实际操作中,保管印鉴的人往往就把印鉴放在桌上,很容易被接触到,使得印鉴分开保管的机制毫无作用。
所以,风险识别和分析是内控设计和执行的前置步骤,这也是为什么我们在内控建设前要开展风险评估,编制风险清单,只有把所有的风险事件进行识别、列示、分析和评价,才能做到控制措施的尽量全面和完善。
风险和缺陷的关系
综上可以看出,风险和缺陷是两个概念不同却又紧密关联的孪生兄弟。
两者的不同在于:风险是影响目标实现的可能性,而内控缺陷则是控制措施本身存在的不足。前者是客观的事实,即影响控制目标的客观存在;后者是主观的不足,即企业采取的控制活动的不足。两者的判定原则是企业能否在自主的管理机制上进行决定。比如我们常说的出纳领取银行对账单,这就属于内控缺陷,因为它是控制活动的主观不足,企业完全可以在自主的管理上决定谁来领取银行对账单。当然,作为缺陷,它对应的风险是出纳人员挪用资金而不被发现,这是出纳人员道德风险的客观存在,不受企业的管理所决定。
当然,风险和缺陷也是紧密关联的。缺陷的认定依赖于风险的认定,没有风险也就无所谓缺陷,因为判定某项控制措施是否存在缺陷的前提是:没有该控制活动,会给企业带来较大负向结果的风险事件是大概率发生的。还以出纳领取银行对账来说,如果这个公司的出纳是由老板娘亲自担任,并且老板娘自己管钱又做账,自己领对账单,编制余额调节表,那么因为此时的资金挪用风险几乎没有,所以我们可以认为此时出纳领取银行对账单这一管理机制并不存在内控缺陷。
理清了风险和缺陷的概念,我们就可以在内控体系建设上不犯本本主义错误,做到因企定策,事半功倍。
