张 哲

(中铁二十四局集团南昌铁路工程有限公司，江西 南昌 330002)

1 当前全面风险管理与内部控制工作的回顾

全面风险管理与内部控制工作是企业的一项基础管理工作，也是国家主管部门、监管部门的硬性要求，对于提高企业的经营管理水平和风险防范能力，促进企业可持续发展有着十分重要的意义。近年来，公司依据《企业风险管理－总体框架》、国资委《中央企业全面风险管理指引》、财务部等五部委《企业内部控制基本规范》及其配套指引、《中国铁建股份有限公司内部控制与全面风险管理办法(暂行)》等，结合自身的生产经营实际，通过持续开展风险管理与内部控制工作，将风险管理理念与内部控制活动融入日常经营管理活动之中，初步建立了横向到边、纵向到底、兼顾效益、效率和风险控制平衡的内控制度体系，力争使企业所有经营活动都处于受控状态，依靠科学的评价机制，对内控制度体系持续监控，不断提升了整体风险管控能力。

首先是依据整体设计、分步实施、全面与重点、与现行管理体系有效结合的原则，建立了内控与风险管理组织领导机构，制定了年度评价计划，对评价小组成员、评价范围、评价时间等做了具体的规定，确保认识、人员、责任、经费、工作五方面到位。其次是全面系统地分析与梳理所有业务流程和事项，制定合理、有效的内控体系，陆续建立了如内控责任制度、审计制度、考核评价制度、重大风险预警制度、以总会计师为核心的企业法律顾问制度、资金集中管理制度、全面预算管理制度、全过程资金监管制度等。三是公司明确将安全风险、市场风险、资金风险、项目管理风险列为重大风险，将人力资源风险、投资风险、财务风险、外部劳务使用风险、法律风险列为重要风险。在工作中采取通过督促各基层单位及业务部门提交风险管控报告的形式，及时发现风险源，以便加强沟通与处置，采取回避、分担、降低等策略加强管控。如核算部门报告反映某些项目存在零星点工、台班的签认具有随意性，经分析原因为现场施工员存在计价把控不严、工序拆分现象较多、对规章制度的执行力弱等，评估后果为将造成项目效益的严重流失。由于预警及时，处置有针对性，堵塞了效益流失的黑洞。另一方面，公司充分运用层次分析法，即用一定的标度把对公司的主观判断进行量化，将定性问题进行定量化分析，对内部环境、风险评估、信息沟通、内部监督四方面二十一项内容进行了评价，并同时认定内部控制缺陷;对业务流程层面的资金管理、采购、资产管理、销售、担保、成本费用、全面预算、合同管理、财务报告、信息系统、项目承接、工程施工、研究与开发、业务外包等，依据业务目标及其产生的业务风险和应控制的要点，结合设定的权重分值，通过调查问卷、现场访谈、书面检查、观察、流程图法、抽样、穿行测试法、证据检查法、分析性复核法等评价手段，进行控制活动的评价。通过评价，清晰地反映出我们在内部环境、风险评估、研究与开发、信息系统、成本费用等方面的薄弱之处。

总之，突出风险识别、风险评估、风险应对、风险执行、检查与评价、持续改进等全过程控制，形成的PDCA持续改进的管理“闭环”，对于推动公司各业务职能部门全面梳理与反思在风险管理与内部控制工作中的不足起着重要的作用，不断提升着公司的全面风险管理与内部控制水平。

2 当前工作中存在的主要问题

(1)认识与观念上存在误区。一是对全面风险管理与内部控制划等号，全面风险管理是对内部控制的扩展，内部控制是风险管理必不可少的一部分，而在工作中往往片面地认为全面风险管理目的就是为了进行风险控制，如规避风险、减少风险。强调了控制活动，而忽视了目标制定、事项识别等风险管理要素。一提起风险，就认为是不好的事情，是应对“威胁”，就意味着亏损，而不是抓取“机会”，混淆了纯粹风险、机会风险的区别。二是认为风险越大，秘密越大，就越应该保密，总希望将潜在的风险留在本单位、本部门处理，不及时予以批露，也因此存在着管控不及时而丧失最佳处理时机的可能。三是某些同志一提起风险管控，就认为是某些部门、某些人的事情，事不关己，高高挂起;还有认为风险管理就意味着过多的控制，控制过多就可能导致妨碍发展。四是用静态的观点看待风险管控，偏面认为全面风险管理与内部控制的体系建设过程就是建章立制的过程，依赖于在管理文件中找答案，而不是将此过程嵌入于日常管理的机制来建设。诸如此类的理解其实质是风险理念的缺失。

(2)对风险的管控多体现为分类管理。针对在生产中出现的新问题，公司定期修改各职能部门的管理制度文件，强化控制手段，防范风险的发生，体现了风险管理的分类管理原则，即视具体风险的管理需要和现有公司的职能体系分工，把不同风险的管理责任落实到不同的部门，这些部门根据自己的专业立足点主导管理相应的风险，其它部门根据需要给予协助或支持，对生产起到了很好的约束、规范与指导性作用。但在工作中我们也发现，一是各职能部门对于风险的管理依然停留在自身的业务经营和管理中，并未将整体的风险进行统筹考虑，存在风险管理分散、不成体系和专业化水平较低的问题，存在着管住了自身的小风险而忽视了整体的大风险及风险组合观的意识。二是由于对同一风险各职能部门的理解水平的不同、导致采取的手段不一，甚至存在推诿与扯皮的现象，防止风险的效果可能并不是最佳。三是当风险量大且种类复杂、风险管理需求较多;某些风险呈现出多样性的趋势，一个风险的发生，会派生出更多风险的可能性，仅凭分类管控风险的方法效果并不理想。如公司当前明确规定各项目租赁、劳务等合同的签订应由法律、物设、纪监等部门审核后方可执行，集中体现了公司运用整体的风险组合观集中管控各项目法律合同风险，起到了很好的预控作用。

(3)对风险评估的手段尚显单一。众所周知，风险评估的方法包括定量与定性两种方法。在实际工作中各职能部门对各类风险评估手段多为定性的方法，即是借助于经验与判断能力进行评价的方法，运用于风险控制对象不特别重要或者发生事故后不会产生严重后果的情况。由于不需要统计资料与复杂的计算，故进行起来较容易。如调查问卷、现场访谈、书面检查、观察、流程图法等评价手段。而由于定量与定性分析、尤其是定量分析的风险坐标图法、概率树分析法、蒙特卡罗方法(国资委推荐的方法)等是技术性要求很高的工作，有的往往需要借助于专业模型与计算机做出深入的研究并结合丰富的工作经验才能解决问题。例如风险管理的核心－财务风险管理，公司内目前普遍采用实用性较强的财务指标分析方法，而从本质上讲财务风险评估的过程是一个财务风险量化的过程，需运用风险定量技术来予以衡量，但由于过于专业而难以掌握，故基本没有采用。因此在今后的工作中亟待加强风险评估与内部控制的作业水平。

(4)内控环境有待改善，风险管控活动有待加强。必须清醒地认识到，我们的风险管理与内部控制工作与中国五矿、上海宝钢等单位相比，有着较大的差距。从整体上看，公司尚未形成良好的风险管理与内部控制基础环境。虽然建立健全了各项管理制度，开展了定员定岗，对各工作岗位进行了职责描述，对岗位的权限作了界定，但这种职责、权限的描述和界定往往偏重于管理事项及其相应权限的划分，缺乏明确的关键控制点和控制标准。风险管控活动主要还是以财务、审计、工程项目控制为主，往往只重视具体的控制活动，对于控制目标、控制责任、战略等方面的控制体系总体较薄弱。在工作中，往往把工作重心与工作范围局限在对风险控制的事中与事后的过程控制中。对风险的管理还缺乏有效的信息反馈与检查约束机制，总体还是以事后应对为主，事前防范、事中控制不足;个别还存在规章制度不少，但执行力不强，管理过程不受控，有令难行，有禁难止，制度规定与实际执行“两张皮”的现象。亟待我们从内部控制和风险管控入手，加强和改善管理，促进经营管理水平的提高。

3 应取采取的相关措施

(1)加强宣贯力度。2009年11月国际风险管理标准ISO31000出台，国资委明确提出2012年起全国央企实行风险管理报告制度，这一系列的举动表明企业推行全面风险管理与内部控制已迫在眉睫。全面风险管理与内部控制工作是一项关系到企业健康发展的大事，是一项长期与全员参与的综合性工作。《企业风险管理－总体框架》认为:企业风险管理的优点是所有企业都是在有风险的环境下经营，企业风险管理是使管理者能够在充满风险的环境中更加有效地经营，使管理者能够:①将风险偏好与企业的战略结合在一起;②将企业成长、风险和收益联系起来;③使企业的经营意外和损失最小化……。因此提高风险管控水平关系到企业风险管理的成败。应加强对全面风险管理与内部控制的宣传教育力度，力争在员工层面普及风险管理基础知识和基本框架，突出风险意识、强调系统的动态过程意识、强调与经营管理过程相结合的意识、明确责任负责意识等，提高员工对风险管控的认知程度，将风险管控工作植根于经营业务中，融入具有施工企业特色的风险管理文化中。

(2)加大对风险管理与内部控制人员的培训力度，将风险管理与内部控制人员真正落实到位。控制环境作为内部控制整体框架中所有构成要素的基础，人力资源要素则是控制环境的基础要素，为内部控制提供了前提和结构。鉴于此项工作具有较强的专业性与综合性，需要有足够数量的高素质专业管理人才来支撑。因此抓好人员的培训与取证(如CERM－注册企业风险管理师)显得尤为重要。而目前此项工作的参与人员多为各业务部门的指定兼职人员，且素质参差不齐，为此迫切需要建立一个包括风险管理负责人、一般专业管理人员、非专业风险管理人员组成的风险管理的组织体系，并根据风险产生的原因和阶段不断地进行调整，并通过健全的制度来明确相互之间的责、权、利，使企业有风险管理体系成为一个有机的整体。“始于教育，终于教育”是我们今后工作努力的目标之一。

(3)依据健全的组织体系，在普遍进行分类管理风险的同时，加大集中管理风险的力度。在单个部门的风险承受度以内的风险可能存在于不同的部门，但组合风险就有可能超过企业的风险偏好，这迫切需要我们设立专业风险管理机构，对公司面临的风险作总体思考，设立统一应对策略，统一分配管理资源，对分散风险信息作汇总分析和评估，对跨部门和业务单位的风险管理工作做组织协调。

(4)依照成本效益原则，适时建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。对风险的辨识与评估是一个反复的过程，全面风险管理与内部控制是一个实践的过程，不可能一蹴而就，我们应充分利用现有成熟的工作方式，实现风险内控与经营管理的有机结合，逐步提升管控水平，形成具有建筑施工企业自身特色的风险管理文化。在今后可能的条件下，根据《中央企业全面风险管理指引》的要求，适时建立风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等，对风险进行实时监控，将管理风险消除在萌芽状态。目前公司通过制定风险管理的制度、流程、指定专兼职管理人员等，将风险管理措施涵盖了大部分的风险类别以及所有的业务，处于全面风险管理的态势。而通过信息系统的运用，统一信息收集与度量标准，达到信息共享，实现信息数据的系统分析、报送、评估，达到自上而下或自下而上的完美结合，可以彻底解决各个职能部门各自为战、相互之间主动联系沟通渠道不畅的缺陷，达到快速地发现和解决问题的目的，做到主动式风险管理。

当前，企业已处于全面风险管理与内部控制时期，信息系统管理工作亟待完善，相信随着工作开展的不断深入，企业的风险管理政策与策略必将日趋完善。只有达到企业风险管理的政策为所有风险的管理与监督提供指导，风险管理流程渗透到各业务和作业单元，使风险管理在保存价值的同时也实现创造价值，从而将风险变成竞争优势的来源，才能得到风险管理的高回报，达到战略风险管理的理想境界，实现企业可持续发展的目标。

［1］《企业风险管理—总体框架》、《中央企业全面风险管理指引》、《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《企业全面风险管理辅导手册》、《中国铁建股份有限公司内部控制与全面风险管理办法(暂行)》