公司风险管理和内部控制体系建设的评价体系构建研究

2019-12-28孙乐中国航发南方工业有限公司

新商务周刊 2019年18期

文/孙乐，中国航发南方工业有限公司

为充分发挥风险管理和内部控制“揭问题、强管理、防风险、推改革、促发展”的作用，上市公司、国有大中型企业、其他企业积极开展风险管理和内部控制体系建设。但是，大部分企业尚未建立风险管理和内部控制体系建设的评价模型，不利于对公司风险管理和内部控制体系的建设情况进行定量评价，也不利于集团各所属单位风险管理和内部控制体系建设的横向比较。

1 公司风险管理和内部控制体系建设评价体系的构建原则

1.1 适应性原则。风险管理和内部控制评价体系应适应公司经营模式及发展阶段、公司风险管理和内部控制体系建设阶段的需要，促进建立健全大型企业集团各层面协调一致的、符合外部规范及公司内部需求的风险管理和内部控制体系。

1.2 有效性原则。风险管理和内部控制体系建设评价旨在促进形成各项主要业务活动中风险管理和内部控制机制健全有效，重大风险监控到位，突发应急预案健全，风险管理和内部控制工作日常化、系统化、信息化运行并具备自我完善功能。

1.3 以评促建原则。对公司风险管理和内部控制体系建设工作及其成果进行评价，发现不足，提出建议，促进公司风险管理和内部控制机制体制迭代完善。

2 公司风险管理和内部控制体系建设评价体系的构建方案

公司风险管理和内部控制体系建设评价体系分为内部环境、风险评估、控制活动、信息与沟通、内部监督等5 个部分，共360 分。《风险管理和内部控制体系建设评价表》见下表：

风险管理和内部控制体系建设评价表

2.1 内部环境评价

内部环境总分65 分。《内部环境评价表》见下表：

内部环境评价表

其他领导机构承担风险管理和内部控制领导职责。3风险管理和内部控制领导机构履行职责，审核风险管理和内部控制重要工作方案、工作成果，参与风险管理和内部控制工作会议，对风险管理和内部控制工作提出建议或做出批示。5 4按照“业务谁主管，风险谁主抓”的原则，充分发挥业务部门风险管理第一道防线的职能作用。明确各业务部门在风险管理和内部控制工作中的职责，将风险管理和内部控制的工作要求落实到具体业务流程中。10 5 明确风险管理和内部控制牵头部门；具备条件的单位，单独成立风险管理部门或处室。5（二）人员配备6 配备风险管理和内部控制专职人员，专职人员应具备一定的专业知识和岗位胜任能力。5 7 各业务部门配备至少一名风险管理和内部控制兼职人员，并明确其岗位职责。5（三）政策制度8建立风险管理和内部控制相关制度，制度内容完善，涵盖风险管理和内部控制主要要素，如组织结构、工作内容、工作程序等。5 9编制公司风险管理和内部控制工作规划和年度计划，并在计划时间内完成风险管理和内部控制规划和年度计划。5（四）文化建设10通过多种手段对风险管理知识和理念进行宣传（如培训、报纸、期刊、简报、风险管理网络平台等），每年至少进行2 次宣传。5（五）绩效考核体系11 建立风险管理和内部控制考核办法，明确考核指标体系、考核程序等。5 12明确风险管理和内部控制考核结果的运用，如是否和部门/单位年终考核、人才选用、干部任免等相挂钩。5

2.2 风险评估评价

风险评估总分85 分。《风险评估评价表》见下表：

风险评估评价表

告机制。4加强对未来面临风险的全局性、趋势性研判，运用风险列举、对标检查、穿行测试等方法，广泛、持续不断地收集与本公司风险和风险管理相关的内部、外部初始信息，建立公司层面重大风险的评估机制、标准和程序。5（二）风险识别5 把收集初始信息的职责分工落实到各有关职能部门和业务单位。5 6风险初始信息包括廉洁、法律、保密安全、对外投资、宏观环境、市场、质量、战略、运营、财务、人力资源等方面。5 7建立公司内部的风险事件库，风险数据库应覆盖全面，描述到位，其中风险事件不少于30 项。6（三）风险分析8对公司前十大风险进行全面、清晰、准确的风险动因分析，评估公司前十大风险发生的可能性，以及对公司实现目标的影响程度。5 9 公司部门负责人、业务骨干参与风险评估。5 10 绘制《风险坐标图》，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。5 11 明确公司前十大风险的风险偏好、风险承受度。5 12针对公司前十大风险设定风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具。5 13根据风险与收益相平衡的原则和各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，明确控制风险的组织体系、人力资源、应对措施等总体安排。5（四）风险应对14 风险偏好、风险承受度和风险管理工具报风险管理和内部控制领导机构审批。3 15 定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。3 16制定公司前十大风险的解决方案。风险管理解决方案应包括风险源、主要表现及原因、风险发生后对单位的影响、风险管理策略、责任主体和管理改进计划及方案等。5 17 风险管理部门定期跟踪监督风险解决方案的执行情况。5 18对风险管理报告中反映的已发生风险事件进行分析，对照风险管理和内部控制工作要求，检查风险预警情况、应对措施制定和执行情况，分析原因，制定改进计划并予以实施，形成风险事件分析工作总结。5

2.3 控制活动评价

控制活动总分130 分。《控制活动评价表》见下表：

控制活动评价表

理、诊断和优o 化整性。3根据本单位实际搭建公司流程体系框架，流程体系框架应涵盖公司主要经营管理业务，至少细化至二级流程。4 4结合业务现状、现有制度、对公司内部业务流程进行分类和梳理，针对公司流程框架中的重要业务流程，绘制流程图。5 5流程图的主要内容和基本要素包括具体执行部门、具体实施岗位、具体实施步骤、输入和输出文档、和流程控制点等。4 6针对公司流程框架中的重要业务流程，编写《流程描述》。详尽描述每一个流程的控制措施的具体信息，包括责任部门及岗位、涉及公司制度、流程步骤描述、输出文档等。针对每个控制措施，详尽描述控制点的要素信息。5 7形成完备的制度体系。深入了解公司的组织架构、业务内容、管理需求等，通过梳理公司现有制度体系文件，将业务流程和制度紧密匹配，建立业务流程对应的规章制度基础框架。4 8 识别制度体系中的结构型缺陷，并结合流程体系框架，实现制度流程一体化管理。4 9内控措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。4 10 对流程进行分类，并明确各业务归口责任部门。4 11根据梳理的流程文档，编制公司流程框架中各业务流程的《风险控制矩阵》。风险控制矩阵真实、完整、准确地反映控制目标、风险属性、控制措施、控制属性、责任部门及岗位、实施证据等内容。5 12从实际经营管理活动出发，根据对流程控制目标的影响程度和概率，识别流程层面的管理和业务风险，建立流程层面风险数据库。将公司层面风险与操作层面风险进行对接，实现重大风险管理的有效落地。4 13评价现有风险控制措施的有效性，识别流程层面控制缺陷，针对已识别的剩余风险进行控制措施设计，提出改进建议，进行业务流程优化。4 14总结体系建设过程中发现的控制缺陷及建议，推进流程优化和管理提升，编写《管理建议报告》。4 15以业务为基础，编制《风险管理和内部控制手册》。风险管理和内部控制手册包括适用范围、各业务的控制目标、职责权限表、工作流程等要素。10 16风险管理和内部控制主管部门汇总流程中管理缺陷与建议，明确责任部门岗位、管理层反馈、整改跟踪情况，监督各业务部门整改内控缺陷的及时性、有效性、完整性，对整改不力的缺陷，风险管理和内部控制主管部门应了解原因，督促整改，编写《内控缺陷跟踪报告》。5

17制度流程中体现不相容职务相互分离的要求。全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应分离措施。4 18制度流程中体现授权审批的要求。各岗位办理业务和事项的权限范围、审批程序和相应责任有明确规定。4 19制度流程中体现会计系统控制的要求。严格执行国家统一的会计准则制度，会计资料真实完整。4 20制度流程中体现财产保护控制的要求。建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。4 21制度流程中体现预算控制的要求。实施全面预算管理制度，明确各责任部门在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。4 22制度流程中体现运营分析控制的要求。建立运营情况分析制度，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。4 23制度流程中体现绩效考评控制的要求。建立和实施绩效考评制度，科学设置考核指标体系，进行定期考核和客观评价，考评结果作为确定职工薪酬和职务晋升的依据。4 24将控制措施和业务表单等嵌入已有的业务信息系统；改进信息化系统中的内控设计和执行缺陷。4 25 在已有的业务管理模块上嵌入风险管理模块，搭建业务监控信息平台。4 26风险管理和内部控制主管部门组织开展重大重要风险预警指标研究工作。编制重大重要风险预警指标库，明确重大重要风险预警指标名称、指标描述、指标计算规则、预警区间、数据收集方法及频率、监控执行部门等。4 27 建立重大风险危机管理机制，明确危机管理组织结构和报告处理程序。3（三）控制活动（四）风险管理和内部控制信息化建设（五）风险预警管理(六)重大风险危机管理28 制定针对各项重大风险发生后的危机处理计划。3（七）专项风险防控29开展1 项专项风险防控工作。运用与全面风险防控体系建设相同的方法和程序，按照重要性原则对专项风险制定细化的风险成因分析、具体的风险防控措施和明确的风险防控责任主体，形成专项风险管理方案。4