曹倩

摘 要：随着金融改革的不断深化，金融业面临的内外部环境愈加复杂，风险管控面临严峻的挑战。近年来，中国华电集团财务有限公司（以下简称“华电财务”或“公司”）作为一家全国性非银行金融机构，不断适应复杂多变的内外部经营形势，学习借鉴国际先进的COSO框架和COSO-ERM框架，积极探索构建以风险为导向的内部控制体系，努力打造集团金融风险防控中心，保证了公司的持续健康发展。

关键词：COSO框架 ERM框架 内控 风险管理

中图分类号：F231.6 文献标识码：A

文章编号：1004-4914（2016）10-111-02

一、COSO框架、ERM框架和《企业内部控制基本规范》介绍

（一）COSO框架和ERM框架

1992年9月美国COSO发布《内部控制——整合框架》，并于1994年进行了完善，COSO框架是目前国际上认同度最高和最权威的内部控制概念框架。自COSO框架发布以来，已被世界上许多企业采用，但是随着实践的发展，理论界和实务界纷纷提出COSO框架的建立应与企业的风险管理相结合。2004年9月，COSO发布了《企业风险管理——整合框架》（简称《ERM框架》），新的框架是在1992年COSO框架的基础上，结合《SOX法案》在报告方面的要求，将构成要素扩展至八个要素，具体对比如下：

与COSO框架相比，ERM框架更为广泛，无论在内容还是范围上都有所扩大和提高，引入了风险管理的理念，拓展和细化了内部控制，形成了一个更全面、更强有力的风险整合系统。

（二）《企业内部控制基本规范》

为了规范国有企业内部控制建设，五部委在2008年联合发布《企业内部控制基本规范》（以下简称“规范”）以及一些配套指引。规范及配套指引的发布，标志着我国内部控制规范体系的基本形成，是我们内控体系建设的里程碑，对加强和规范国内企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益具有重要意义。这些都充分表明国家对内部控制和风险管理的高度重视，在日益发达的市场经济环境中，在利率市场化的大背景下，风险无处不在、无时不在，企业只有建立了健全的内部控制体系，才能实现企业的持续稳健经营，才能安全抵达美好愿景的彼岸。

二、构建ERM框架下的内部控制体系

财务公司作为集团的风险管控中心、资金集中管理中心，在集团发展战略中起着双重作用，既要对内培育和完善企业集团的内部“金融市场”，又要实现盈利目标保障公司持续性发展。因此，财务公司开展内部控制体系建设，既是深入贯彻上级要求，保障集团公司持续健康发展的重大举措，也是财务公司应对复杂经济环境，提升企业管理水平的内在需要。

2012年12月，公司作为集团公司内部控制体系建设试点单位之一，按照《中国华电集团公司内部控制与全面风险管理建设指导意见》相关要求，正式启动内部控制体系建设工作。华电财务公司通过深入研究国际先进的COSO、COSO-ERM、BASELⅢ的内部控制理论，结合自身实际确立了以控制环境为前提、以风险评估为基础、以控制活动为主体、以持续监督为手段、以信息沟通为保障的内控总体框架，之后不断进行完善。内控框架如下图1所示：

公司内部控制体系各要素基本内涵和主要做法包括以下几个方面：

（一）培育依法合规、全员参与的内部控制环境

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等，如果没有内控环境的保证，设计得再完美的内部控制制度、机制也只是“镜中花，水中月”，发挥不出应有的作用。公司高度重视培育企业文化，将内控文化融入到公司的“金帆文化”中去，公司优秀的企业文化促进了董事、监事、高级管理人员和全体员工的思想和意志的统一，激发了全体员工的潜力和热情，纷纷积极投入到内控体系建设中去，全体员工都成为了风险的监控者、管理者，使内控真正“内化于心，固化于制，外化于行”。

（二）建立全方位、全过程的风险管理体系

华电财务根据ERM框架拓展了风险评估的内容，将风险管理过程分为目标设定、风险识别、风险分析、风险应对四个步骤，将公司的管理重心更多地向风险管理转移，四个要素环环相扣，共同构成了风险管理的完整过程。

1.目标设定：风险管理目标是公司进行风险管理的起点，只有设定了正确、清晰的目标才能保证公司的战略航向不发生偏离。为此，公司每年根据实际情况，通过研判集团、公司战略、利益相关方诉求等确定公司的总体风险偏好管理策略，作为公司风险管理的统领性文件。

2.风险识别：风险识别是风险分析的基础，风险识别是否全面、深刻直接影响风险分析的质量，进而影响风险管理目标能否实现。华电财务从实际出发，全面解构公司风险，建立风险数据库，按照战略风险、合规风险、信用风险、市场风险、流动性风险和操作风险等分类建立控制规范和底层风险数据，通过对各类风险的识别、评估、分析，制定《风险数据库管理办法》，形成风险数据的收集与分析、处理与反馈、更新及维护的动态化运行机制。

3.风险分析。明确风险发生的可能行和影响程度是风险分析的两大核心任务，华电财务根据风险发生的可能性将风险分为高、中、低三种情况，将风险对目标的影响程度分为重大风险、重要风险、一般风险三级。根据风险发生的可能性和影响程度绘制风险坐标图，如图所示：

其中，A区域是低风险区域；B区域是中风险领域；C区域是高风险领域。公司选择承担A区域的各项风险且不再增加控制措施；严格控制B区域的各项风险且专门补充各项控制措施；确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。公司编制了覆盖公司全业务流程的内部控制矩阵，根据风险控制点的重要性程度将风险设为高、中、低三个级别，针对不同级别的风险确定不同的评价频率，对于内控评价发现的风险，根据其所在的风险区域分析风险发生的情况、原因、整改措施等，确保将有效的管理资源用在关键风险点管控之处。

4.风险应对。风险应对是指企业根据风险识别和分析的结果，结合自身的风险承受度和风险偏好，确定风险管理策略，制定风险解决方案，进而把风险控制在风险承受度范围之内，以实现企业风险管理目标的过程。华电财务的风险应对目标与公司的战略目标保持一致，通过采用专业的风险计量方法，将定性和定量相结合，匡算出公司总体的风险资本，分别确定了公司总的风险管理策略和各类风险的风险容忍度、风险限额、风险管理策略，通过风险规避、风险降低、风险转移以及风险承受等方式达到公司风险—收益的平衡。

（三）设置岗位清晰、权责分明的内部控制措施

良好的内部控制措施是保障公司内部控制体系顺利运行的重要保障，华电财务在全公司范围内设计并实施了相应的内部控制措施，确保所有的业务运行规范可控。针对所有业务流程绘制岗位职责不相容矩阵图，通过不相容职务分离、计算机信息技术和轮岗等手段确保形成各司其职、各负其责、相互制约的工作机制；公司为了避免出现“一支笔”制度和盲目授权，制定了《授权管理办法》及各项具体业务制度，对业务的办理实行逐级有限授权，对于重大的业务和事项实行集体决策审批或者联签制度，要求任何个人不得单独进行决策或者擅自改变集体决策。

（四）建立顺畅、有效的信息交流与反馈机制

信息与沟通是指企业及时、准确、完整收集整理与企业经营管理相关的各种内外部信息，并借助信息技术，促使这些信息以签单的方式在企业各个层级之间进行及时传递、有效沟通和正确使用的过程。在制度上，华电财务建立信息与沟通的相关制度，确保董事会、监事会、高级管理层及时全面了解公司的经营管理、财务、经营合规性及风险状况，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行；在系统上，建立“信息共享平台”，及时发布公司各个层面的信息和数据，确保公司信息传递及时、准确、有效。

（五）构建内控评价、内部审计与纪检监察相结合的内部监督体系

内部监督是企业内部控制得以有效实施的机制保障，在内部控制构成要素中，具有十分重要的作用。华电财务内部监督体系分为：内部控制评价体系、内部审计体系、纪检监察体系。公司定期开展内控日常评价和年终评价，采取各部门自评价和风险部门再评价的方式，风险部最终出具内控评价报告，编制《内控待完善事项汇总表》，列明完善标准、完善期限，责任具体到部门，定期由风险部门进行督促跟踪，确保内控评价成果的落地；将内部审计监督职能与内控有机结合起来，将公司内部审计发现问题纳入到公司内控评价整改事项中去，实现了内控与内审的资源共享、相融共生；公司配备了专职的纪检组长，设立了纪检办公室，配备了相应的纪检监察人员，并定期对纪检监察人员进行培训。

三、结束语

“有控则正、无控则乱、得控则强、失控则弱”，公司通过建立以企业风险管理为导向的内部控制体系，有效防范了风险，保障了公司的持续稳健经营。随着内外部环境的不断变化，公司只有树立牢固的风险防范意识，不断总结内控建设过程中的经验和教训，坚持与时俱进，不断改进创新，才能不断完善内部控制体系，才能在日益激烈的市场竞争中立于不败之地，才能为集团公司提质增效、转型升级，建成“三化一流”能源集团作出应有的贡献。

参考文献：

[1] 池国华，朱荣著.内部控制与风险管理[M].中国人民大学出版社，2015

[2] 张丽琼.一种基于COSO框架的内部控制体系建设方法[J].中国管理信息化，2011（12）

（作者单位：中国华电集团财务公司 北京 100031）

（责编：玉山）