風險管理功能與公司治理功能相耦合和良性互動是風險管理系統(tǒng)與公司治理系統(tǒng)整合的目標。美國內(nèi)部審計師協(xié)會(IIA)指出，企業(yè)風險管理的本質(zhì)是“通過管理影響企業(yè)目標實現(xiàn)的不確定性來創(chuàng)造、保護和增強股東價值”。而公司治理則是董事會為了維護公司利害相關者的利益而對管理層提供指導、授權(quán)和監(jiān)督的過程。

　　一、內(nèi)部控制、風險管理的理論發(fā)展及其關系

　　(一)內(nèi)部控制理論的發(fā)展

　　20世紀70年代中期的“水門事件”引起了美國立法者和監(jiān)管團體對內(nèi)部控制問題的重視。美國國會于1977年通過的《反國外腐敗法》是美國在公司內(nèi)部控制方面的第一個法案。1980年后，美國COSO委員會將“內(nèi)部控制”定義為“一個組織設計并實施的一個程序，以便為達到該組織的經(jīng)營目標提供合理保障”。在COSO委員會制定的內(nèi)部控制框架中，把內(nèi)部控制活動分成五大組成部分，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)督評審。

　　2002年，美國成立的上市公司會計監(jiān)管委員會(簡稱PCAOB)明確采用了COSO內(nèi)控框架作為內(nèi)控評價的標準體系。許多國家和地區(qū)的資本市場也采用了COSO內(nèi)控框架，有些國家和地區(qū)在參照該框架的基礎上建立了自己的內(nèi)控體系。

　　我國在2005年先后出臺了《上交所上市公司內(nèi)部控制指引》和《深交所上市公司內(nèi)部控制指引》兩個文件。上述兩個文件參照了美國SOX法案的要求，在理論體系上和COSO內(nèi)控框架一脈相承。

　　(二)風險管理理論的發(fā)展

　　企業(yè)風險管理理論發(fā)展大致分為三個階段。第一階段：以“安全和保險”為特征的風險管理。100多年前航運企業(yè)風險管理的主要措施就是通過保險把風險轉(zhuǎn)移給保險公司。第二階段：以“內(nèi)部控制和控制純粹風險”為特征的風險管理。隨著工業(yè)革命的發(fā)展，公司對業(yè)務管理和流程方面的內(nèi)部控制提出了要求。

　　美國1977年的《反國外賄賂法》要求公司管理層加強內(nèi)部會計控制;1992年的《COSO內(nèi)部控制綜合框架》提出以財務管理為主線的內(nèi)部控制系統(tǒng)。第三階段：以“風險管理戰(zhàn)略與企業(yè)總體發(fā)展戰(zhàn)略緊密結(jié)合”為特征的全面風險管理。風險管理實踐表明，僅靠內(nèi)部控制難以實現(xiàn)企業(yè)的最終目標。為此，COSO于2004年9月出臺了《COSO企業(yè)全面風險管理整合框架》(簡稱ERM)，提出了由三個維度構(gòu)成的風險管理整合框架。

　　我國國務院國資委于2006年發(fā)布《中央企業(yè)全面風險管理指引》(以下簡稱《指引》)，標志著我國中央企業(yè)建立全面風險管理體系工作的啟動。

　　(三)內(nèi)控體系建設與全面風險管理工作的聯(lián)系和作用

　　全面風險管理與內(nèi)部控制既相互聯(lián)系又存在差異。企業(yè)的內(nèi)部控制體系是企業(yè)全面風險管理體系中重要的組成部分之一，而內(nèi)控體系建設的動力則來自企業(yè)對風險的認識和管理。良好的內(nèi)部控制可以合理保證合規(guī)經(jīng)營、財務報表的真實可靠和經(jīng)營結(jié)果的效率與效益，而這正是全面風險管理應該達到的基本狀態(tài)。此外，內(nèi)控體系建設與全面風險管理工作的開展之間具有緊密的聯(lián)動作用，具體體現(xiàn)在以下兩個層面：

　　1.在理論框架層面，完整的內(nèi)控體系包括依據(jù)COSO內(nèi)控整體框架開展內(nèi)部控制的評審體系以及內(nèi)控自我評估體系;而目前國內(nèi)外較為認可的企業(yè)風險管理理論框架是COSO企業(yè)風險管理整體框架。這兩個框架在理論基礎上具有繼承性和發(fā)展性。

　　2.在推進工作的步驟層面，從國內(nèi)大型國有企業(yè)集團開展內(nèi)部控制和風險管理的推進步驟來看，以內(nèi)控先行、再逐步開展全面風險管理的做法是符合我國國情的。通過內(nèi)控體系建設，在組織架構(gòu)的完善、人員經(jīng)驗的積累、內(nèi)控流程的記錄等方面做好準備，可為公司未來開展全面風險管理打下較為完善的基礎。

　　至于差異，從二者的框架結(jié)構(gòu)看，全面風險管理除包括內(nèi)部控制的三個目標之外，還增加了戰(zhàn)略目標;全面風險管理的八個要素除了包括內(nèi)部控制的全部五個要素之外，還增加了目標設定、事件識別和風險對策三個要素。從二者的實質(zhì)內(nèi)容看，內(nèi)部控制僅是管理的一項職能，而全面風險管理貫穿于管理過程的各個方面。內(nèi)部控制主要通過防范性的視角去降低企業(yè)內(nèi)部可控的各種風險，側(cè)重于財務和運營;而全面風險管理強調(diào)通過前瞻性的視角去積極應對企業(yè)內(nèi)外各種可控和不可控的風險，側(cè)重于戰(zhàn)略、市場、法律等領域。

　　二、寶鋼在內(nèi)控體系建設領域的實踐

　　寶鋼股份是寶鋼集團的核心子公司。公司從2005年增資擴股后就著重于梳理內(nèi)部流程，推廣管理標準。2007年3月，由公司總經(jīng)理擔任組長的內(nèi)控評審項目開始啟動。

　　內(nèi)控項目工作范圍包括寶鋼股份總部以及下屬分子公司，資產(chǎn)規(guī)模和銷售收入合計占整個寶鋼股份合并報表范圍的80%以上。評審涉及寶鋼股份12大業(yè)務流程，梳理了各類大小流程300多個。在對12大流程風險控制點辨識的基礎上，逐步建立寶鋼股份上市公司內(nèi)部控制體系，編制公司流程內(nèi)控手冊，形成公司全面的內(nèi)控改進點報告，建立公司層面基本內(nèi)控體系。并在前期工作的基礎上，開展內(nèi)控體系的自我評估工作，形成公司內(nèi)控自我評估報告。

　　在項目實施過程中，公司組織了多場內(nèi)控培訓會，形成了全員內(nèi)控的企業(yè)文化。同時，公司對發(fā)現(xiàn)的內(nèi)控薄弱點狠抓落實整改，并對各單位的問題匯總報告進行整理;評審項目組還組織各單位把相關流程發(fā)現(xiàn)的內(nèi)控薄弱點和自身的業(yè)務進行對比分析，就同類問題開展自查自糾，以形成輻射效應。此外，寶鋼股份還將內(nèi)控評審項目和常規(guī)審計工作相結(jié)合，在內(nèi)部審計工作中跟蹤檢查問題的整改情況。

　　三、寶鋼在風險管理領域的實踐

　　寶鋼從2007年開始全力推進全面風險管理體系建設，這既是資本市場的要求，也是寶鋼自身發(fā)展的需要。寶鋼集團有限公司董事會確定的全面風險管理的總體目標是：圍繞寶鋼的戰(zhàn)略目標，在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理流程，培育良好的風險管理文化，使風險管理機制成為寶鋼經(jīng)營管理各個環(huán)節(jié)的有機組成部分。公司具體實施情況包括以下幾個方面：

　　(一)以法人治理為基礎，建設風險管理的組織體系

　　完善的法人治理是風險管理重要的內(nèi)部環(huán)境，也是風險管理體系建設的起點和保障，而董事會建設則是法人治理的核心。寶鋼作為國資委所屬中央企業(yè)中首批董事會試點企業(yè)，在完善董事會試點的過程中優(yōu)化董事會成員結(jié)構(gòu)，建立外部董事制度，不斷完善董事會運作機制，初步形成了出資人、決策機構(gòu)、監(jiān)督機構(gòu)和經(jīng)營層之間各負其責、協(xié)調(diào)運轉(zhuǎn)、有效制衡的治理機制。

　　同時，寶鋼按照國資委《指引》的要求，構(gòu)建了業(yè)務部門、風險管理部門和內(nèi)部審計機構(gòu)三道防線。第一道防線建設：總部各職能部門和各子公司作為風險管理的第一道防線，是所管業(yè)務風險的責任者，公司明確了其各自相應的職責。第二道防線建設：總部層面成立由分管副總經(jīng)理擔任組長的“全面風險管理體系建設領導小組”，由系統(tǒng)運行改善部作為風險管理的綜合管理部門，對全面風險管理的日常工作進行協(xié)調(diào)和推進。第三道防線建設：審計部負責對風險管理體系的建設情況及工作效果進行客觀、獨立的監(jiān)督評價。對各單位內(nèi)部控制的合理性、完整性、有效性、可靠性作出評價，及時發(fā)現(xiàn)流程中存在的問題，提出內(nèi)控完善的建議。

　　(二)與管控模式相結(jié)合，制定風險管理策略和流程

　　寶鋼采取的是“戰(zhàn)略控制型”的管控模式，即總部通過對策略性、全局性業(yè)務進行管控來確保戰(zhàn)略意圖的實現(xiàn)，對于具體執(zhí)行性業(yè)務則授權(quán)給各子公司來執(zhí)行，以確保整體運作效率和響應速度。

　　因此，寶鋼的風險管理體系分集團公司和各子公司兩個層面推進。集團公司以兼并重組、子公司管控和輔業(yè)改制等重大決策、重要業(yè)務和流程的風險管理為重點，通過推進風險管理文化建設、推動內(nèi)控系統(tǒng)優(yōu)化，確定重大風險的應對策略、完善重大風險預警和報告機制、強化風險管理的檢查監(jiān)督機制等措施，建立并不斷完善風險管理體系。各子公司則結(jié)合自身產(chǎn)業(yè)特征，從防范運營風險的角度出發(fā)，重點推進四項工作：1.建立風險管理的組織體系和工作機制;2.對重大風險進行識別和評估，形成重大風險清單，確定風險管理的重點領域;3.針對重大風險涉及的重要業(yè)務流程和重大事件，評估、完善內(nèi)控體系，并落實為工作規(guī)范，制定管理制度，形成內(nèi)控手冊;4.針對可能發(fā)生重大突發(fā)事件的業(yè)務領域，建立預警機制，制定應急預案。

　　(三)建立了財務預警指標體系，使得財務風險以及可能造成的損失可以通過財務指標的計算和分析得到量化和預警

　　在應急預案方面，在總部和子公司層面編制了一系列應急預案，提高寶鋼處置突發(fā)事件、保障公共安全的能力，最大程度地預防和減少突發(fā)事件及其造成的損害。

　　四、整合的風險管理框架設想

　　(一)風險管理系統(tǒng)應與公司治理系統(tǒng)進行整合

　　整合風險管理與公司治理就是在公司治理框架中加入風險管理的角色。在這種拓展的公司治理框架中，高管和風險主管應當直接承擔風險管理的責任，董事會則應積極參與增值型的風險管理活動，如在風險管理的過程中對管理層進行指導、授權(quán)和監(jiān)督等活動。

　　(二)風險管理系統(tǒng)應與公司戰(zhàn)略管理系統(tǒng)相整合

　　將戰(zhàn)略管理系統(tǒng)與風險管理系統(tǒng)相整合，有利于以較低的成本順利實現(xiàn)企業(yè)的戰(zhàn)略目標。公司治理確定企業(yè)風險管理的范圍和邊界，并為風險管理提供政策;而戰(zhàn)略管理則為風險管理提供資源與支持。公司實施不同的戰(zhàn)略，會引起不同的風險，也應采取不同的風險應對措施。因此，不同的戰(zhàn)略模式將會導致在不同的領域配置風險管理的資源。

　　企業(yè)戰(zhàn)略管理的最終目標是為了實現(xiàn)企業(yè)價值的持續(xù)增長，企業(yè)價值創(chuàng)造路徑應圍繞“股東價值←客戶價值←業(yè)務流程←核心資源”這一路徑展開，該路徑表明企業(yè)長期股東價值的增長來自于客戶價值的增長。企業(yè)要獲得長期穩(wěn)定的客戶價值，必須具有高效、快捷和質(zhì)量可靠的業(yè)務流程，這些業(yè)務流程的價值創(chuàng)造能力又依賴于企業(yè)核心資源的研究與開發(fā)。這也是企業(yè)價值鏈的形成路徑，企業(yè)風險管理也應遵循這一路徑而展開。

　　總之，整合的風險管理框架應該是由公司治理層面確定風險管理的政策;由高管確定風險管理的偏好;由戰(zhàn)略管理層確定風險管理流程、文件和模型;在應用和基礎設施層面配備相應自動控制裝置，以促進事件的自動處理和報告的自動生成，并使用分析工具對這些事件及其組合與公司政策的相關性進行分析，為決策者提供風險應對的信息。