摘要:H公司(以下简称公司)是一家集酒店旅游、物业管理、房地产开发、物流贸易和国外后勤服务的多元经营企业。随着公司的发展,逐渐形成了自己独特的内部控制体系。本文就公司从风险防控能力的客观需要、内部控制体系框架的构建和运行管理等角度,论述基于风险导向的内部控制的探索与实践,提供一些借鉴。
关键词:风险导向 内部控制
针对多业态跨区域经营特点,为加强企业风险管控,公司结合生产经营实际,积极探索适合企业发展需要的以风险为导向的内部控制体系建设及管控模式。经过几年的探索实践,增强了企业风险管控能力,提升了企业经营管理水平,为实现公司战略目标起到了积极的促进作用。
一、建立以风险为导向的内控体系是提升公司风险防控能力的客观需要
(一)防控风险已经成为公司管理的重要目标
世界经济进入全球化时代,企业经营业务多元,地域分散,复杂的社会经济环境影响着公司的经营、稳定和发展。随着企业经营规模扩张,交易金额增大,交易频率加快,企业面临的不确定性因素增多,传统的企业管理制度局限性日益凸显。分析国内外企业倒闭或衰败的例证,总结本公司多年经营中的经验和教训,无不与企业风险管控密切相关,经营过程中的风险防控已经成为企业管理的重要目标和焦点。建设和完善风险为导向的内部控制体系已成为企业防控风险重要措施。
(二)防控企业风险要靠严密的内部控制体系做保障
公司风险管控经历了三个阶段,一是凭经验管理(公司初创时期),对有风险的业务选派“经验丰富”的人去管理,经营决策靠有经验的领导把关,被称为经验管控阶段。二是靠单项制度控制,针对高风险业务制定专门的控制措施,做到一事一制度,方法虽然简单,但由此步入了制度控制阶段。经过一段时间摸索,积累了一套行之有效的管理制度,在规范企业管理和防控风险中发挥了重要的作用。但由于规章制度多为单项规定,程序性规定很少,标准制度没有流程保证,且各专业部门颁布的管理制度都带有不同程度的局限性,缺乏系统性、全局性,已不能适应企业全面风险管理的要求。三是进入了体系控制阶段,为做好企业风险防控工作,公司结合不同风险特征,对现有的制度、标准和程序进行了完善,对业务流程进行了重构,提高了制度的可操作性、严谨性和规范性。将原有的内控制度提升以风险为导向内部控制体系,实现了风险管理多维度的体系控制。
(三)防控风险是提升公司综合管理能力有力手段
以风险为导向的内部控制体系建设及实施,不仅提升风险管控能力,而且提升了公司的综合管控能力,该体系明确了控制活动的对象,规范了交易活动源头控制的业务流程,强化了控制主体责任,使公司各种经济活动实现了全面受控。通过系统严谨闭环管控措施的落实,很好的与企业经营活动结合起来,逐步改善企业的内控管理,使公司综合管理能力不断提高。
二、以风险为导向的内部控制体系框架及做法
公司借鉴国内外内部控制实践经验,以COSO框架及财政部等五部委颁发的《企业内部控制基本规范》和国资委发布的《中央企业全面风险管理指引》为基础,结合企业实际,建立以公司战略为核心,以风险为导向,以责任为主线,以业务流程管控为方法,以监督与评价为手段,注重管理改进的企业内部控制管理系统。从确定内部控制体系的目标、辨识评估风险、梳理管控流程、制定控制措施、开展内控监督与评价和持续改进等五个方面,推动、构建和完善了以风险为导向的内部控制体系建设。
(一)确定以风险为导向的内部控制目标
目标设定是以风险为导向的内部控制体系建立的前提条件,在风险管理过程中是一个重要环节。首先是在设定内部控制目标的过程中,要充分考虑各种风险对企业经营管理的影响程度,把握对重大风险的判断。其次是要根据内部控制目标设定,确定内部控制实施方案,并随着目标改变适时进行必要的调整。三是风险控制措施根据内部控制目标的存在而确定,随着目标的改变而改变,只有先明确了内部控制目标,才能对识别出的风险制定相应控制措施。
公司围绕经营及管理风险,确立以资产的存在、完整、归属、计价正确和收益等属性的落实为风险控制的现实目标,以实现“体系可靠、风险可控、运行可持续”为体系规划目标。总目标是:以国家相关法律法规为依据,以公司现有资源为基础,以财务报告风险、法律风险、经营风险为切入点,以源头治理和过程控制为核心,以防范风险为重点,对企业现有管理制度、职责分工、权限分配和业务流程进行全面梳理,建立起设计科学、简洁适用、运行有效的内部控制体系,推进科学治企。
(二)建立风险数据库
通过收集风险事件,确定公司层面风险分类和风险名称,形成公司层面风险事件库和风险数据库。针对风险事件关联性,主要收集了连续三年公司内部风险事件案例、行业内相关历史事件和未来风险预测,包括公司相关材料记载的相关事件、内外部审计发现的问题、各业务部门存在的重大问题或隐患等。通过分析筛选,选取具有代表性的、对公司影响较大的事件共77条,形成公司层面的《风险事件库》。
在收集风险信息过程中。按照内外部、业务板块、部门单位等条件将各类风险因素进行分类汇总,厘清各个问题之间的因果关系,方便从整体上把握风险和机会,有助于各职能部门更好地认识和关注与其直接相关的风险。经过比对分析,确定公司各项业务、重要经营活动及重要业务流程中的风险,并予以客观准确地表述。通过与各职能部门以及所属单位反复沟通,识别出可能影响公司实现经营目标的风险因素,进行整理分析并编制《风险汇总表》,最终确定了公司层面风险分类和风险名称,共4大类24个风险,形成公司层面的《风险数据库》。
(三)识别与评估风险
风险是指可以识别的不确定性事项,它能对企业经济利益造成有利或不利影响,其来源及影响具有不确定性。风险评估的目的是对影响公司的不确定性因素进行识别,对其进行科学评估、量化,指导对不确定性因素的把控。 风险识别是风险评估的基础,其结果直接影响着整个风险管理流程的节点设置,公司各职能部门及所属各单位运用确定的风险识别方法,结合内外部风险事件信息,对本部门及本单位业务涉及的风险事项进行识别、归类,在分析的基础上确定本部门及本单位公司层面、业务活动层面、信息层面的风险。根据各部门及各单位识别出的风险,进行分类整理、分析汇总,确定公司存在的各类风险。
风险评估。在编制公司层面风险事件库和风险数据库的基础上,根据获得的历史数据和行业资料等信息,查找风险发生的内外部原因,组织开展公司风险发生的可能性及影响程度评分分析,对公司层面24个风险发生的可能性和影响程度进行评分,并计算个体评分的风险值。按照风险评分人员的业务能力、技术水平和工作经历等,对参与风险评分人员划分类别,设置相应权重,并采用加权平均的方法计算风险等级分值,评估公司面临的风险。按照上述方法计算24个风险的加权平均风险值并排序,依据公司风险等级标准,确定公司层面重要风险12个。
(四)梳理管控流程
按照《企业内部控制基本规范》,遵循内部控制体系固定的框架及文本模板,编制组织结构图,描述部门及岗位职责,建立起业务管理流程。公司针对确定的各类风险,按照规范及重要性原则,以实现业务不交叉、管理不重叠和责任不遗漏为前提,实现各类资源的优化配置,提升管理效率和市场反应速度,防控风险的目的。业务流程管理遵循风险导向、业务驱动、规范描述和强化执行的原则,突出流程与业务与管理的深度融合,将业务操作、管理制度、工作职责和信息化建设有机结合起来,形成了脉络清晰的流程架构。公司共梳理一级流程22个,二级流程165个,三级流程553个。设置318个风险点。建立了一套清晰顺畅、完整严密的业务及管理流程体系。
(五)制定控制措施
根据风险评估的结果制定控制措施是内控体系的关键环节,一是要针对重要业务流程,分析控制重点,按照公司各项规章规章制度,制定控制措施。二是参照《企业内部控制基本规范》,查找现有控制措施中的缺项和遗漏,设计改进措施方案。三是落实相关部门和责任岗位,固化到内部控制的各环节中。四是根据控制措施的描述,补充相关管理制度,完善以风险导向的内部控制体系的各项控制措施。五是对公司层面的控制主体、信息系统和内部监督等总体控制进行系统衔接,形成完备的内部控制措施体系。
制定公司层面风险管理策略。各责任部门根据风险的定义、影响因素及风险表现,结合本业务的风险偏好,确定应对风险的具体策略。根据业务流程确定风险领域和风险源,依据风险源来找寻关键风险成因,并确定相应的风险预警指标数值或区间,从控制风险的目的、组织、方式和监督等方面制定风险管理策略70条,关键控制点240个,制定控制措施368条。
基于风险导向的内控体系是以风险识别、评估为基础,进而分析、设计和实施内部控制的风险管理行为,亦是以流程为载体,管理界面、岗位职责、管理权限和控制措施清晰,满足风险控制要求及涵盖经营管理全部业务的内部控制体系,是公司实施对风险有效管控的制度保证。
三、以风险为导向的内部控制体系的运行管理
内部控制体系重在建设、关键是执行。公司在内部控制体系的建设过程中,根据内部控制体系建设总体要求,统筹安排各项具体工作。公司对颁布《内部控制管理手册》、内部控制体系组织实施、内部控制体系监督、测试、评价及改进等工作进行了周密部署,提出了加强内部控制环境建设的要求,制定了打造内部控制支持系统的具体措施,确定了内部控制体系推行的阶段性目标。
(一)颁布并全面实施内部控制管理手册
按照内部控制体系建设总体实施方案,公司把内部控制体系的执行作为内控管理的关键环节来抓。落实过程中,一是由公司总经理签发,以公司文件形式颁布内部控制体系实施令,确保内部控制管理手册的权威性和各单位、各业务层面及各管理岗位的全面执行。二是充分考虑企业整体经营管理现状,采取近期目标和远期目标相结合,优先解决风险管理中的薄弱环节,突出对重要单位、重要业务、重要流程和重要风险点的管控,实现将企业的风险控制在合理水平的目标,力求取得控制实效。三是根据公司业务发展的不同阶段,在内部控制基本手册推广执行基础上,结合海外后勤服务和房地产开发业务的特殊管理需要,分别编制公司海外后勤服务和房地产开发业务内部控制分册,在相关业务领域发布实施。四是统筹公司总部、各单位和各经营业务内部控制管理手册执行的管理,疏通内部职能部门之间、上下游业务之间及横向同级单位之间的流程管理接口,形成较为畅通的运行管道,使内部控制管理体系的管控触角横向到边,纵向到底,不留死角。
(二)编制年度风险管理报告,实施风险动态评估
公司为推动以风险为导向的内部控制体系建设,使风险管理向规范化、科学化和常态化方向发展。公司每年开展一次包括所属单位在内的风险管理报告编制工作,完善企业重大风险管理报告机制。一是强调全面反映本单位存在所有风险,明确面临重大风险,剖析风险产生的原因,反映造成直接和间接经济损失的量化指标,以及对企业的影响程度。二是报告内容要突出风险管理的动态、量化和信息化控制目标。三是对公司重大风险,要明确责任单位和人员,提出风险管控要求,完善风险应对措施,建立风险预警指标体系,合理配置管控资源,确保重大风险管理责任到位。
公司每年编制并发布风险管理报告,拓展对企业风险认识的深度和广度,并以风险管理报告为抓手,对重大风险统筹管控,确定管控目标,明晰管控措施,制定管控责任,实现对公司风险评估的持续推进和对风险的动态监控。
(三)开展内部控制体系运行控测试及评价
按照内部控制体系建设总体要求,公司依据《公司风险管理与内部控制体系评价管理办法》每年一次对内部控制体系运行情况进行测试及评价,并出具对风险管控体系设计科学性与运行有效性的评价结论。测试主要围绕公司层面,包括职业道德、高管基调、权利及责任分配、信访举报与违规处理、反舞弊程序和控制;业务活动层面,包括财务管理(资金管理、资产管理、会计核算、财务报告)、物资管理、合同管理;信息系统层面,包括控制环境、信息安全、变更管理、项目管理、日常运维和最终用户操作等六个部分进行测试。并根据公司主营业务,对重要业务流程进行跟单和关键控制测试,同时对电子表格的内容、密码保护、保存地点、变更和备份等进行符合测试。
通过持续开展内部控制体系的运行测试、内部控制审计和内部控制综合检查,全方位督促内部控制体系的落实,切实提高了内部控制体系的运行效果。几年来,公司层面风险由4大类24个风险,下降为3大类12个风险。公司内部控制体系运行总体评价一直保持在“良好”以上水平。
(四)持续修订完善《内部控制管理手册》
针对公司经营业务变化调整和企业管理提升,不可避免存在已实施的《风险管理与内部控制管理手册》与企业发展及管理强化不相适应的矛盾。因此,要保证内部控制体系持续有效运行。一是根据国家法律法规等政策调整,对内部控制体系的合法性控制条款进行补充修订,增强内部控制体系条法约束。二是在公司经营和管理等环境发生重大变化或部门职责、流程和人员等发生调整时,及时对涉及的相关业务流程重新进行梳理、评估及修订,并适当增加关键控制措施。三是针对内部控制体系评价中发现的管控缺陷和提出的管理建议,制定切实可行的改进措施和方案,对管控体系进行持续完善,优化控制措施,形成内部控制提升管理、管理推动内部控制的互动机制。四是在总结海外后勤基地服务和房地产开发业务内部控制管理分册运行成果的基础上,加大对包括酒店物业等公司内部控制手册分册的编制和推广力度,增加内部控制手册专业分册的覆盖面,提高特殊专业领域关键控制措施的针对性,增强控制效果,推进公司内部控制手册向专业化管理方向发展。
公司通过以风险为导向的内控体系建设实践,企业员工风险意思普遍增强,风险管控措施得到了较好的落实,企业风险得到了有效控制,内部控制管理能力大幅提高,公司以风险为导向的内部控制管理为企业效益提升和稳步发展做出了积极的贡献。
