基于ERM框架下内部控制体系的构建
2016-12-03曹倩
曹倩
摘 要:随着金融改革的不断深化,金融业面临的内外部环境愈加复杂,风险管控面临严峻的挑战。近年来,中国华电集团财务有限公司(以下简称“华电财务”或“公司”)作为一家全国性非银行金融机构,不断适应复杂多变的内外部经营形势,学习借鉴国际先进的COSO框架和COSO-ERM框架,积极探索构建以风险为导向的内部控制体系,努力打造集团金融风险防控中心,保证了公司的持续健康发展。
关键词:COSO框架 ERM框架 内控 风险管理
中图分类号:F231.6 文献标识码:A
文章编号:1004-4914(2016)10-111-02
一、COSO框架、ERM框架和《企业内部控制基本规范》介绍
(一)COSO框架和ERM框架
1992年9月美国COSO发布《内部控制——整合框架》,并于1994年进行了完善,COSO框架是目前国际上认同度最高和最权威的内部控制概念框架。自COSO框架发布以来,已被世界上许多企业采用,但是随着实践的发展,理论界和实务界纷纷提出COSO框架的建立应与企业的风险管理相结合。2004年9月,COSO发布了《企业风险管理——整合框架》(简称《ERM框架》),新的框架是在1992年COSO框架的基础上,结合《SOX法案》在报告方面的要求,将构成要素扩展至八个要素,具体对比如下:
与COSO框架相比,ERM框架更为广泛,无论在内容还是范围上都有所扩大和提高,引入了风险管理的理念,拓展和细化了内部控制,形成了一个更全面、更强有力的风险整合系统。
(二)《企业内部控制基本规范》
为了规范国有企业内部控制建设,五部委在2008年联合发布《企业内部控制基本规范》(以下简称“规范”)以及一些配套指引。规范及配套指引的发布,标志着我国内部控制规范体系的基本形成,是我们内控体系建设的里程碑,对加强和规范国内企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益具有重要意义。这些都充分表明国家对内部控制和风险管理的高度重视,在日益发达的市场经济环境中,在利率市场化的大背景下,风险无处不在、无时不在,企业只有建立了健全的内部控制体系,才能实现企业的持续稳健经营,才能安全抵达美好愿景的彼岸。
二、构建ERM框架下的内部控制体系
财务公司作为集团的风险管控中心、资金集中管理中心,在集团发展战略中起着双重作用,既要对内培育和完善企业集团的内部“金融市场”,又要实现盈利目标保障公司持续性发展。因此,财务公司开展内部控制体系建设,既是深入贯彻上级要求,保障集团公司持续健康发展的重大举措,也是财务公司应对复杂经济环境,提升企业管理水平的内在需要。
2012年12月,公司作为集团公司内部控制体系建设试点单位之一,按照《中国华电集团公司内部控制与全面风险管理建设指导意见》相关要求,正式启动内部控制体系建设工作。华电财务公司通过深入研究国际先进的COSO、COSO-ERM、BASELⅢ的内部控制理论,结合自身实际确立了以控制环境为前提、以风险评估为基础、以控制活动为主体、以持续监督为手段、以信息沟通为保障的内控总体框架,之后不断进行完善。内控框架如下图1所示:
公司内部控制体系各要素基本内涵和主要做法包括以下几个方面:
(一)培育依法合规、全员参与的内部控制环境
内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,如果没有内控环境的保证,设计得再完美的内部控制制度、机制也只是“镜中花,水中月”,发挥不出应有的作用。公司高度重视培育企业文化,将内控文化融入到公司的“金帆文化”中去,公司优秀的企业文化促进了董事、监事、高级管理人员和全体员工的思想和意志的统一,激发了全体员工的潜力和热情,纷纷积极投入到内控体系建设中去,全体员工都成为了风险的监控者、管理者,使内控真正“内化于心,固化于制,外化于行”。
(二)建立全方位、全过程的风险管理体系
华电财务根据ERM框架拓展了风险评估的内容,将风险管理过程分为目标设定、风险识别、风险分析、风险应对四个步骤,将公司的管理重心更多地向风险管理转移,四个要素环环相扣,共同构成了风险管理的完整过程。
1.目标设定:风险管理目标是公司进行风险管理的起点,只有设定了正确、清晰的目标才能保证公司的战略航向不发生偏离。为此,公司每年根据实际情况,通过研判集团、公司战略、利益相关方诉求等确定公司的总体风险偏好管理策略,作为公司风险管理的统领性文件。
2.风险识别:风险识别是风险分析的基础,风险识别是否全面、深刻直接影响风险分析的质量,进而影响风险管理目标能否实现。华电财务从实际出发,全面解构公司风险,建立风险数据库,按照战略风险、合规风险、信用风险、市场风险、流动性风险和操作风险等分类建立控制规范和底层风险数据,通过对各类风险的识别、评估、分析,制定《风险数据库管理办法》,形成风险数据的收集与分析、处理与反馈、更新及维护的动态化运行机制。
3.风险分析。明确风险发生的可能行和影响程度是风险分析的两大核心任务,华电财务根据风险发生的可能性将风险分为高、中、低三种情况,将风险对目标的影响程度分为重大风险、重要风险、一般风险三级。根据风险发生的可能性和影响程度绘制风险坐标图,如图所示:
其中,A区域是低风险区域;B区域是中风险领域;C区域是高风险领域。公司选择承担A区域的各项风险且不再增加控制措施;严格控制B区域的各项风险且专门补充各项控制措施;确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。公司编制了覆盖公司全业务流程的内部控制矩阵,根据风险控制点的重要性程度将风险设为高、中、低三个级别,针对不同级别的风险确定不同的评价频率,对于内控评价发现的风险,根据其所在的风险区域分析风险发生的情况、原因、整改措施等,确保将有效的管理资源用在关键风险点管控之处。
4.风险应对。风险应对是指企业根据风险识别和分析的结果,结合自身的风险承受度和风险偏好,确定风险管理策略,制定风险解决方案,进而把风险控制在风险承受度范围之内,以实现企业风险管理目标的过程。华电财务的风险应对目标与公司的战略目标保持一致,通过采用专业的风险计量方法,将定性和定量相结合,匡算出公司总体的风险资本,分别确定了公司总的风险管理策略和各类风险的风险容忍度、风险限额、风险管理策略,通过风险规避、风险降低、风险转移以及风险承受等方式达到公司风险—收益的平衡。
(三)设置岗位清晰、权责分明的内部控制措施
良好的内部控制措施是保障公司内部控制体系顺利运行的重要保障,华电财务在全公司范围内设计并实施了相应的内部控制措施,确保所有的业务运行规范可控。针对所有业务流程绘制岗位职责不相容矩阵图,通过不相容职务分离、计算机信息技术和轮岗等手段确保形成各司其职、各负其责、相互制约的工作机制;公司为了避免出现“一支笔”制度和盲目授权,制定了《授权管理办法》及各项具体业务制度,对业务的办理实行逐级有限授权,对于重大的业务和事项实行集体决策审批或者联签制度,要求任何个人不得单独进行决策或者擅自改变集体决策。
(四)建立顺畅、有效的信息交流与反馈机制
信息与沟通是指企业及时、准确、完整收集整理与企业经营管理相关的各种内外部信息,并借助信息技术,促使这些信息以签单的方式在企业各个层级之间进行及时传递、有效沟通和正确使用的过程。在制度上,华电财务建立信息与沟通的相关制度,确保董事会、监事会、高级管理层及时全面了解公司的经营管理、财务、经营合规性及风险状况,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行;在系统上,建立“信息共享平台”,及时发布公司各个层面的信息和数据,确保公司信息传递及时、准确、有效。
(五)构建内控评价、内部审计与纪检监察相结合的内部监督体系
内部监督是企业内部控制得以有效实施的机制保障,在内部控制构成要素中,具有十分重要的作用。华电财务内部监督体系分为:内部控制评价体系、内部审计体系、纪检监察体系。公司定期开展内控日常评价和年终评价,采取各部门自评价和风险部门再评价的方式,风险部最终出具内控评价报告,编制《内控待完善事项汇总表》,列明完善标准、完善期限,责任具体到部门,定期由风险部门进行督促跟踪,确保内控评价成果的落地;将内部审计监督职能与内控有机结合起来,将公司内部审计发现问题纳入到公司内控评价整改事项中去,实现了内控与内审的资源共享、相融共生;公司配备了专职的纪检组长,设立了纪检办公室,配备了相应的纪检监察人员,并定期对纪检监察人员进行培训。
三、结束语
“有控则正、无控则乱、得控则强、失控则弱”,公司通过建立以企业风险管理为导向的内部控制体系,有效防范了风险,保障了公司的持续稳健经营。随着内外部环境的不断变化,公司只有树立牢固的风险防范意识,不断总结内控建设过程中的经验和教训,坚持与时俱进,不断改进创新,才能不断完善内部控制体系,才能在日益激烈的市场竞争中立于不败之地,才能为集团公司提质增效、转型升级,建成“三化一流”能源集团作出应有的贡献。
参考文献:
[1] 池国华,朱荣著.内部控制与风险管理[M].中国人民大学出版社,2015
[2] 张丽琼.一种基于COSO框架的内部控制体系建设方法[J].中国管理信息化,2011(12)
(作者单位:中国华电集团财务公司 北京 100031)
(责编:玉山)