PPP项目公司风险管理与内部控制的关系及应用

来源:汉盛律师

文章摘要
引 言 随着经济的发展,市场竞争日益激烈,各类风险集聚涌现,我国企业的生存与发展遇到了前所未有的挑战,特别在“中兴事件”发生后,国家层面再次出台合规标准指导企业进行合规管理,对风险控制有更高要求的风险

引 言
随着经济的发展,市场竞争日益激烈,各类风险集聚涌现,我国企业的生存与发展遇到了前所未有的挑战,特别在“中兴事件”发生后,国家层面再次出台合规标准指导企业进行合规管理,对风险控制有更高要求的风险管理和内部控制也备受各企业的关注。企业的快速发展必须依赖有效的风险管控,而有效的风险管控则需要借助适应自身发展的风险管控模式。就PPP项目公司而言,其作为SPV公司一般属于子孙公司,其对风险管控模式的选择需要更加谨慎。若盲目选择某种风险管控模式或盲目融合企业风险管理和内部控制二者的具体措施,极大可能增加企业成本、影响经营效率。由此可知,研究企业风险管理和内部控制之间的关系对于建立健全企业全面风险防控体系及企业选择有效的控制体系有着重大意义。
本文将结合近期笔者为一家PPP项目公司提供全面风险管理咨询服务过程中发现的问题进行论述。
1.企业风险管理与内部控制的概述
1.1 概念
2006年国资委《中央企业全面风险管理指引》对全面风险管理的定义:全面风险管理指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理战略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和办法。
2008年财政部、证监会、审计署、银监会、保监会五部委共同发布的《企业内部控制基本规范》对内部控制的定义:内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理的合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
1.2 PPP项目公司运用风险管理和内部控制的现状
笔者近期为一家PPP项目公司提供全面风险管理咨询服务,该公司由某国企集团控股,政府资本方只负责投资和履行部分监督职能,现为某市建设一个交通项目。2019年某国企集团要求旗下各子公司针对企业自身的实际情况建立符合需求的风险防控体系,并倾向于各子孙公司建立自己的全面风险管理体系。本所接受该PPP项目公司的委托后对该PPP项目公司开展全面风险调研、排查,并将所发现的不合法、不合规的行为(如违反PPP合同约定、项目超概、未经批准擅自变更工程量等)并向该公司反馈。经过沟通,笔者了解到该公司的决策层更倾向于解决眼下已发生的重大风险,对识别出的其他风险的重视度不足,且对建立有效的风险管理体系缺乏一定积极性。据此,笔者对PPP项目公司普遍存在的问题在此进行粗略归纳,具体如下:
(1)对风险管理与内部控制的重视度不足
PPP项目公司基本是工程建设类单位,主要负责包括融资、设计、建设、运营、移交等多项具体事务,不是产品化的公司。PPP项目公司基于其SPV的特殊性,其名下主要资产在一定期限后需要移交政府机构或其代表单位。社会资本方在建设期和运营期内更加关注的是经济效益,PPP项目公司在项目实际实施过程中,通常会采取粗放的管理模式,容易直接忽视内部控制和风险管理的重要性, 缺乏必要的精细化管理手段和完善的符合实际的制度和标准1,导致很多岗位无法发挥风险管控作用,降低了企业抗风险能力, 甚至出现内部管理混乱、内部控制质量低下等问题。以一些大型建设单位为例,其所投资的项目具有金额巨大、一次性建造的特点,而薄弱的风险管理将直接导致投资资金的浪费,有时甚至造成巨大的经济损失和法律后果2。
(2)风险管理与内部控制的制度体系不全面
客观而言,专门针对工程建设单位的风险管理和内部控制体系的研究和应用较少,国内仍然缺乏足够的经验, 可借鉴的案例经验较少,主要还是集中在施工单位的风险防控体系建设。有的PPP项目公司虽然建立了风险管理或内部控制体系,但是缺乏对企业自身实际情况的分析, 导致制度体系设置不合理, 流程繁杂不具可操作性,没有发挥其风控价值,最终流于形式,甚至可能因为企业风险管理和内部控制活动机制不健全,控制活动不规范,导致企业全面风险管理工作效率不高,进而影响了企业内部的平稳运行,给企业埋下了一定的风险隐患3。另一方面,PPP项目公司在社会资本方建设和运营期间,基本属于社会资本方的控股子孙公司,是否直接适用母公司的风险管理或内部控制体系,还可能受到政府方约束,这一定程度上影响了风险管理与内部控制的体系建立。
(3)风险管理与内部控制的信息化管理手段单一
现代信息技术逐渐渗入到各个行业, 在企业管理中, 信息技术有效提升了企业管理效率和质量。目前市场上企业风险管理或内部控制系统都是批量化产品或使用集团统一下发的系统,缺乏针对性;若自行研发,系统开发成本较高,中小企业无法承受。与此同时,信息系统同样面临信息泄露等安全问题, 应当加强对网络安全的维护。
因此,厘清风险管理和内部控制的关系有现实的必要性,通过对二者关系理论的深入研究,便于企业根据自身的需求选择和建设自己的风险管控模式。
2 企业风险管理与内部控制的关系
目前,国内外关于企业风险管理与内部控制关系的观点仍未达成一致,主要有以下几种观点:第一种观点认为内部控制属于风险管理的范畴,美国COSO持此观点,即认为内部控制属于企业风险管理不可分割的一部分,风险管理较内部控制的内涵更加丰富,是内部控制的进一步延伸、细化和发展;第二种观点认为风险管理属于内部控制的范畴,加拿大COSO持此观点,认为内部控制体系包含风险管理,风险管理与风险评估是并列关系,同属于内部控制的关键要素;第三种观点认为风险管理和内部控制具有相互交叉的一致性。4对于风险管理和内部控制发展了数十年,风险管理意识较强,已经具备成熟的风险管理体系、丰富的风险管理经验及拥有较大数量风控人才的发达国家而言,企业风险管理、内部控制和合规管理早已有机结合、水乳交融,风险管理和内部控制措施渗透到企业运营的方方面面,由此讨论二者谁包含谁已然没有太大的实际意义。但对于风险管理和内部控制起步晚且尚未具备成熟的风险管理经验的国家而言,笔者认为无论从风险管理和内部控制的演进过程的角度还是从两种风控框架的实践应用情况看,由于内部控制理论先于全面风险管理理论存在,且目前两种风控框架仍被广泛使用,既不能单纯地将二者视为包含和被包含的关系,也不能片面地、独立地进行分析。因此,笔者认为企业风险管理与内部控制是相互交叉、相互交融的关系,二者实质上都是对风险的管控,只是所关注的风险和管理手段有所差异、管理的形式和内容有所侧重。不同监管机构可基于不同目的的管理要求选择符合自身经营目标的模式。
2.1 企业风险管理和内部控制的交叉点
风险管理和内部控制理论,经过几百年以来的不断研究和实践,主要经历了四个发展阶段:内部控制发展的初始环节→整体内部控制环节→风险导向内部控制环节→全面风险管理环节。前两个发展阶段只是单纯的内部控制,不包含风险管理的内容,为了进一步发挥内部控制的功能和作用,适应经济的发展,从第三个发展阶段开始逐步引入风险识别和风险测评作为内部控制体系的内容,全面风险管理体系是最新的风险管理框架体系。因此,企业风险管理和内部控制的交叉点主要对比后两个发展阶段。
(1)二者的终极目标是一致的,都是通过对企业进行有效风险防控实现企业价值的最大化。
(2)二者均要求全员参与。要求企业形成一种风险管理的文化,并渗透到每一位员工的观念中,通过发挥员工的主观能动性和积极性促进企业的经营管理。因此,都会采取相应的监督和员工激励措施,提高员工的参与度和积极性。
(3)二者都是为企业的经营管理提供合理保证。风险管理和内部控制虽然都采取许多技术和手段对企业进行风险的管理,但二者都不是万能的,仍可能因为各种不完善因素的存在(如信息不对称、不完全、认知偏差等),无法实现风险的全面排除。
(4)二者在实施过程中都需要综合各种手段和技术。风险的普遍性、不确定性、破坏性等特征,要求综合各种相关的新兴的技术和学科,如审计、经济、管理、健全性测试、流程图等,提升风险管理的能力。
(5)二者都强调动态跟踪监督的过程。因风险具有很强的转化性,若不实行动态的跟踪管理,风险一旦爆发,即可陷入难以把控的状态。风险管理和内部控制都侧重对风险的事中防控和事后化解、监督。
2.2 企业风险管理和内部控制的不同点
(1)风险管理涉及的范围大于内部控制
根据二者的定义,全面风险管理贯穿整个企业的经营管理过程的各个环节,主要围绕是否符合企业战略经营目标,“自上而下”地全面辨识、评估、分析风险,并提出风险预警防范和应急管理的策略和措施,从事前预控、事中防控、事后化解及监管优化全方位进行风险管理。其管理体系包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。全面风险管理视角下的内部控制,与风险管理中的内部控制系统存在着交叉甚至是重合。
内部控制是从企业经营管理合法合规、资产安全、财务报告及相关信息真实完整方面,以内部环境为基础“自下而上”地诊断具体运营流程中的内部控制缺陷,并进行整改,主要通过事中和事后的防控实现经营目标,并未贯穿整个经营管理过程的全部环节,对风险的管理程度不及全面风险管理体系。
(2)关注的侧重点不同
风险管理侧重关注战略、整体层面的风险,同时兼顾机会风险,通常与战略决策紧密相关,如战略方向、市场策略、业务组合、经营模式等方面的风险。
内部控制侧重关注常规活动中的负面风险,通常是流程过程中的风险,如经营合规、财务真实、质量保证、安全生产等方面的风险。
(3)风险管理较内部控制更注重系统性和程序性
风险管理通过目标设定、事件识别、风险评估、风险应对、风险监控、评价改进六个因素形成了一个应对风险的严密的、完整的、系统的、闭环的逻辑体系。这种完整的风险管理过程有利于企业对风险的特别关注和管理。而内部控制仅仅将风险评估作为控制的一个目标,却无法做到对风险的特别关注。
(4)风险管理需要借助更专业的技术和手段
全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的目标,因此投入的成本也是巨大的。5这些是内部控制无法做到的。
3 企业风险管理和内部控制的应用探究
众所周知,全面风险管理作为现代风险管理理论的最新发展,它是以一种先进的风险管理理念为指导,以全面的风险管理范围、全程的风险管理过程、全新的风险管理办法、全员的风险管理文化、全额的风险管理计量等全面风险管理概念为核心的一种崭新的风险管理模式。6为实现其战略目标和利益最大化,企业必然优先选择全面风险管理。然而,结合我国实际情况,一方面基于我国的风险管理和内部控制起步较晚、企业对风险管理意识不强、缺乏风险管理人才等因素,风险管理和内部控制仍处于初级阶段;另一方面囿于每个企业的风险特点、成本承受能力以及风险管理目标,想要迅速建立和健全全面风险管理体系是不现实的,需要结合具体环境、政策、自身条件等因素选择有效的风险管理模式,以便更好更快地激发经营活力,提高应用价值。
国家顶层设计已经意识到我国企业风险管理的问题所在,从2006年国资委发布《中央企业全面风险管理指引》、2008年财政部、证监会、审计署、银监会、保监会五部委发布《企业内部控制基本规范》、2017年底国家标准委发布的GB/T35770《合规管理体系指南》等文件的内容并结合实践可知,全面风险管理主要还是针对央企、集团化公司等大中型企业。大中型企业的风险管理起步早,资金、人力、财力各方面资源丰富,风险管理意识强,有足够的能力对接并实施国际上先进的风险管理理论。
针对PPP项目公司,其风险主要体现还是在一些常见的风险上,如违反招投标法、超出工程概算、违法分包转包、融资、审计等财务和法律风险。目前,内部控制理论已经发展到风险导向的内部控制环节,即内部控制已经逐渐引入了风险管理理念,通过建立以风险识别和风险测评为基础的内部控制体系,引导企业结合实际,加强风险评估,可以满足整个控制活动和风险管理的基本需求。风险导向的内部控制主要体现是2013年COSO新内部控制框架,该框架更加细化了内控框架的结构内容,扩大了报告目标的范畴,更加强调管理层判断的使用,强化公司治理的理念,增加了反舞弊和反腐败的内容,充分考虑了不同商业模式和组织结构的内部控制。因此,对于PPP项目公司,按照最新的内部控制框架建立和健全内部控制体系也可满足其风险管理的需求,不必然需要立即建立起全面风险管理体系;此外,企业在建立内部控制的基础上,可与集团企业全面风险管理体系进行有机结合,借助集团企业全面风险管理的优势地位,以实现风险的全面管理并降低成本。
结语
本文通过对风险管理和内部控制的概念、关系及应用进行剖析,分析了PPP项目公司风险管理和内部控制的现状和关系,总结出当前PPP项目公司应如何选择风险管理的模式。文中阐述主要是PPP项目公司,其他企业也可参考借鉴。
本文的不足之处:风险管理和内部控制体系都是一个比较庞大的体系,不同企业会有不同的情况,本文限于篇幅,很多内容只能由点代面,未能全面展开。
参考文献
[1] 李真.PPP项目企业风险管理及控制研究.[J].中国国际财经,2018(06)
[2] 周蔚萱、王锴.我国建设单位现状分析及全面风险管理改进建议.[J] .经济管理者,2016(16)
[3] 吴德福.全面风险管理在企业管理中的应用研究[J].企业改革与管理,2016(05):13-14.
[4] 杨春妮.企业风险管理与内部控制的关系与应用[J].经管空间.2018
[5] 内部控制和全面风险管理的关系,https://wenku.baidu.com/view/9b172d9f876fb84ae45c3b3567ec102de2bddfba.html
[6] 张绪能.论工程项目全面风险管理[J]. 投资与合作. 2011

技术驱动法律,专业成就未来