內控體系建設過程及問題分析

摘要:《中央企業全面風險管理指引》發布實施以來,越來越多的國有企業、中小型企業逐步建立了內控制度及風險管理體系。在構建體系及風險管理過程中,應該如何構建,內控及風險管理包含哪些內容,針對在其過程中需要注意的問題,淺談編者的一些看法,以便于企業在經營過程中對照相關內容,建立完善的、適合企業發展的內控和風險管理體系,實現企業的管理目標。

關鍵詞:內控制度;風險管理;制度體系框架;體系建設;持續改進

《中央企業全面風險管理指引》發布實施以來,越來越多的企業建立了內控制度及風險管理體系,在企業發展過程中起到了完善內部控制流程、風險防范的作用。在內控制度體系建立過程中,大、中、小型企業,以及不同類別的企業有著自身特點,如何建立、并完善有效的組織職能管理體系,實現內控及風險管理的總體目標,在實踐過程中總結了一些經驗,并淺談一點看法。構建適合企業經營管理的內部控制體系,要圍繞企業目標,對初期風險管理信息進行收集、匯總。在梳理各項業務流程及其重要管理目標的過程中,發現并從現有的制度體系中搜尋具有企業特點的風險,按照風險管理的工作流程,制定有效的預防及控制措施,并使措施得到可靠、有效執行。

1建立內控制度體系制度文件

企業在建立風險管理及內部控制體系之前,頂層設計是必不可少的環節。在集團公司風險管理體系中,一般情況下是自上而下確立制度體系的框架,逐步向分、子公司延伸,以具有可操作性的綱領性制度文件為基礎建立內控制度體系。制度建設是長期的、動態的過程,相對來講制度越少,目標越明確。不少企業在制度制定過程中,追求大而全,造成制度泛濫,制度之間不可避免存在沖突,造成編制及執行過程中的人力資源浪費。因此在確立頂層設計的基礎上,深入完善可操作性的制度文件,避免下游企業重復建設是需要注意的一項重點內容。集團公司制度文件建立完成后,分、子公司可直接引入執行,一方面減少文件數量,避免執行過程中的沖突,并且在后續的修訂過程中能夠做到統一實施,為集團公司總體目標的實現,減少分、子公司編制工作量,統一實施方向和方法具有重要意義。不同類型公司的風險管理體系具有不同特點,例如生產研發、金融管理或加工制造企業,分屬不同的管理策略和目標,在進行風險評估、制定風險策略的重點當然不一致,這就要求側重有所不同,引用不同的規章制度。建立一套相對完整的管理制度并非易事,從現實出發,有必要參照以下內容:首先集團公司建立以部門管理為主線的內控制度體系。實際工作中,可以借鑒同類型企業的管理制度,并將現有的規章制度梳理、匯總、整理,按照部門職責及管理要求形成相對完善的制度體系框架。其次分、子公司的制度建設,在以上級部門管理制度體系的基礎上,要以細則、流程管理為重點。在執行過程中,一部分具有普遍適應性的細則、流程體系文件,在審查以后,可以單獨形成集團公司統一的制度。通過修訂制度文件來適應管理的需求,是建立內控制度體系文件的基本要求。建立內控制度體系文件,應將其它管理體系整合,納入到內控管理的過程中來,避免管理體系之間的不相容和執行過程中的混亂。要將涉及業務流程的行政文件納入到內控管理的過程中來,避免在行文過程中與制度文件相沖突。要將黨建引領下的重大決策納入到管理體系中來,并形成行之有效的風險管理流程。

2完善內控制度體系風險管理解決方案

首先需要明確制度體系建設的管理部門。一個有影響力的部門或組織者,往往對于繁瑣的組織程序,可以達到事半功倍的效果。企業不同,制度體系的組織部門也可不同,一般來講,負有戰略計劃的部門適合作為體系建設的組織部門,審計或其它預算監督部門作為協助部門相對比較合適,另外質量體系的負責人、人力資源等往往要參與制度體系建設的組織。把公司制度文件進行剖析,落實職責及工作流程,是建立內控制度體系的基礎性工作。建立內控制度體系風險管理解決方案,要做好文件的梳理。此項工作的細化程度決定著內控制度體系的可執行度,包括制度文件的框架結構、制度模塊的縱向延伸、編號規則等基礎性文件的建立,是整個風險管理體系的基礎。解決好質量、環境、測量等管理體系與內控體系建設的關系,是將各個分散的體系、文件的融合過程。各個體系既要獨立發揮作用,又要相互協調,顧及各項職責的側重并避免互相矛盾。因此各方參與,自上而下有所引領,自下而上匯總集中,是編制框架制度文件的基本要領。制度文件中相互重復的內容要進行刪減,具體業務管理內容在上一級制度文件中已有的,下一級制度文件中不再規定;同一業務在不同制度文件中不能互相沖突,原則上同一內容只在一項制度中規定,其他制度文件進行條款引用,避免內容重復及冗余問題。另外要根據行業特點,引用的法律、法規,建立目錄作為指引,并在應用條件發生變化時,適時對制度文件進行調整。在內控制度體系文件管理過程中,制度的發布實行集中管理,按照辦公行文規則及發布流程,應用信息化的手段,實施網絡會簽及修訂、廢止等管理措施,可以保證文件的及時性、有效性,便于查閱和實施動態化管理,提高效率。行政部門要參與到制度體系建設中,“三重一大”決策機制是內控管理的重要組成部分,因此內控制度要全面貫徹落實黨組織研究決定事項,企業要把黨的領導融入公司治理各環節,實現制度化、規范化、程序化。各項業務流程和制度文件并非永久不變的。將日常改進措施充分引入,發揮PDCA控制過程的作用,可以形成系統的良性循環。日常的糾正與預防措施的實施,配合適當的內控評價及審計工作,為風險管理進行督促和糾偏,從而保證內控及風險管理的持續改進和提升。

3實施風險目標管理

制度建設是手段,風險管理是目標。企業針對重點風險,有必要建立針對各項重大風險發生后的應急預案,堅持目標和問題導向,有的放矢。在風險管理實施過程中,根據企業管理的需要,針對所有業務流程開展內部控制,特別是控制安全風險、環境風險、在重要經營活動中的投資和融資風險、財務風險、運營風險、法律風險、市場風險,進行內部監督控制審計,通過揭示內部控制缺陷,優化內部控制制度,確保各項業務的合法合規性,依法依規穩健運營。風險無處不在,重要的是發現、規避風險,以至將不可控風險降低到可接受范圍。在實施過程中,一般需要將風險類型進行分級、分類,對重要風險領域以及關鍵業務流程的風險識別、評估及應對。在風險的指標上,能量化的可以量化,或者使用統計方法進行,例如生產成本的影響、對銷售收入的影響、對聲譽的影響等。在風險識別過程中,可能存在識別的風險不全面,未識別出業務活動的主要風險,有漏項或者識別的風險事項不符合實際。有了量化指標即可對風險進行評估,并對照指標內容確定風險等級。在風險應對規避方面,根據風險事項的內容及性質,考慮企業面臨的實際情況,采取風險規避、風險降低、風險分擔以及風險接受等應對風險的方法和策略。企業要以重大風險、重大決策以及重要業務流程為重點進行風險評估工作。風險評估可由企業組織職能部門組織,也可聘請中介機構實施。開展全面風險管理工作應與其他管理工作緊密結合,形成風險管理信息的收集、梳理、實施方案及監督改進的閉環管理、集中管理。在風險管理實施過程中,要把風險管理的各項要求融入企業管理和業務流程中,可以與制度體系的建設同步進行,但后期在形成流程化管理以后,風險管理宜與制度體系建設分離,形成信息傳遞的路徑后,真正將風險置于公司決策層,起到控制風險的作用。

4以人為本,增強持續改進的能力

企業完善內控制度體系建設,使各項業務流程適合于現代企業制度的要求,需要以人為本,增強持續改進的能力。風險管理的核心,一是制度,二是人。在制定了相應的制度文件之后,關鍵還是在于執行。因此,除了加強業務能力培訓,提高員工風險管理意識以外,要充分認識加強內部審計工作的重要性,要做到持續檢查、改進不足之處,并將改進的效果加以保持,形成良性循環,增強持續改進的能力。充分認識內部審計工作的重要性,要嚴格遵循現代企業制度管理的要求,將專業能力較強、職業道德素質較好的優秀人才充實到內控管理工作中,對不相容職務的崗位進行分離,對未分離的崗位進行定期的評估和監督,形成制度與業務之間的緩慢融合,做到事事有章可循,人人能夠習慣于按照制度辦事,在動態過程中提高可執行力和員工的整體素質,鞏固已有成果。企業要得到良好的發展,一方面受外部環境的影響,另一方面要優化內部經營環境,逐漸形成具有企業特色的具有風險意識的企業文化。以人為本,打造一支有凝聚力、素質高、執行力強的經營團隊,樹立正確的風險管理理念,將風險意識融入到企業文化建設過程中,方能在優勝劣汰的市場環境中立于不敗之地,保障企業管理目標實現。

參考文獻

[1]國務院國有資產監督管理委員會.中央企業全面風險管理指引(國資發改革[2006]108號)[S].

[2]譚玉霞.全面風險管理中的內部審計運用分析[J].財會學習,2021(28).

作者：吳濤 單位：山東?；煞萦邢薰?