内控体系建设过程中的问题探讨
2022-11-25吴涛
吴 涛
(山东海化股份有限公司,山东 潍坊 262737)
《中央企业全面风险管理指引》发布实施以来,越来越多的企业建立了内控制度及风险管理体系,在企业发展过程中起到了完善内部控制流程、风险防范的作用。在内控制度体系建立过程中,大、中、小型企业,以及不同类别的企业有着自身特点,如何建立、并完善有效的组织职能管理体系,实现内控及风险管理的总体目标,在实践过程中总结了一些经验,并浅谈一点看法。
构建适合企业经营管理的内部控制体系,要围绕企业目标,对初期风险管理信息进行收集、汇总。在梳理各项业务流程及其重要管理目标的过程中,发现并从现有的制度体系中搜寻具有企业特点的风险,按照风险管理的工作流程,制定有效的预防及控制措施,并使措施得到可靠、有效执行。
1 建立内控制度体系制度文件
企业在建立风险管理及内部控制体系之前,顶层设计是必不可少的环节。在集团公司风险管理体系中,一般情况下是自上而下确立制度体系的框架,逐步向分、子公司延伸,以具有可操作性的纲领性制度文件为基础建立内控制度体系。制度建设是长期的、动态的过程,相对来讲制度越少,目标越明确。不少企业在制度制定过程中,追求大而全,造成制度泛滥,制度之间不可避免存在冲突,造成编制及执行过程中的人力资源浪费。因此在确立顶层设计的基础上,深入完善可操作性的制度文件,避免下游企业重复建设是需要注意的一项重点内容。集团公司制度文件建立完成后,分、子公司可直接引入执行,一方面减少文件数量,避免执行过程中的冲突,并且在后续的修订过程中能够做到统一实施,为集团公司总体目标的实现,减少分、子公司编制工作量,统一实施方向和方法具有重要意义。
不同类型公司的风险管理体系具有不同特点,例如生产研发、金融管理或加工制造企业,分属不同的管理策略和目标,在进行风险评估、制定风险策略的重点当然不一致,这就要求侧重有所不同,引用不同的规章制度。建立一套相对完整的管理制度并非易事,从现实出发,有必要参照以下内容:
首先集团公司建立以部门管理为主线的内控制度体系。实际工作中,可以借鉴同类型企业的管理制度,并将现有的规章制度梳理、汇总、整理,按照部门职责及管理要求形成相对完善的制度体系框架。
其次分、子公司的制度建设,在以上级部门管理制度体系的基础上,要以细则、流程管理为重点。在执行过程中,一部分具有普遍适应性的细则、流程体系文件,在审查以后,可以单独形成集团公司统一的制度。
通过修订制度文件来适应管理的需求,是建立内控制度体系文件的基本要求。建立内控制度体系文件,应将其它管理体系整合,纳入到内控管理的过程中来,避免管理体系之间的不相容和执行过程中的混乱。要将涉及业务流程的行政文件纳入到内控管理的过程中来,避免在行文过程中与制度文件相冲突。要将党建引领下的重大决策纳入到管理体系中来,并形成行之有效的风险管理流程。
2 完善内控制度体系风险管理解决方案
首先需要明确制度体系建设的管理部门。一个有影响力的部门或组织者,往往对于繁琐的组织程序,可以达到事半功倍的效果。企业不同,制度体系的组织部门也可不同,一般来讲,负有战略计划的部门适合作为体系建设的组织部门,审计或其它预算监督部门作为协助部门相对比较合适,另外质量体系的负责人、人力资源等往往要参与制度体系建设的组织。把公司制度文件进行剖析,落实职责及工作流程,是建立内控制度体系的基础性工作。
建立内控制度体系风险管理解决方案,要做好文件的梳理。此项工作的细化程度决定着内控制度体系的可执行度,包括制度文件的框架结构、制度模块的纵向延伸、编号规则等基础性文件的建立,是整个风险管理体系的基础。
解决好质量、环境、测量等管理体系与内控体系建设的关系,是将各个分散的体系、文件的融合过程。各个体系既要独立发挥作用,又要相互协调,顾及各项职责的侧重并避免互相矛盾。因此各方参与,自上而下有所引领,自下而上汇总集中,是编制框架制度文件的基本要领。制度文件中相互重复的内容要进行删减,具体业务管理内容在上一级制度文件中已有的,下一级制度文件中不再规定;同一业务在不同制度文件中不能互相冲突,原则上同一内容只在一项制度中规定,其他制度文件进行条款引用,避免内容重复及冗余问题。另外要根据行业特点,引用的法律、法规,建立目录作为指引,并在应用条件发生变化时,适时对制度文件进行调整。
在内控制度体系文件管理过程中,制度的发布实行集中管理,按照办公行文规则及发布流程,应用信息化的手段,实施网络会签及修订、废止等管理措施,可以保证文件的及时性、有效性,便于查阅和实施动态化管理,提高效率。行政部门要参与到制度体系建设中,“三重一大”决策机制是内控管理的重要组成部分,因此内控制度要全面贯彻落实党组织研究决定事项,企业要把党的领导融入公司治理各环节,实现制度化、规范化、程序化。
各项业务流程和制度文件并非永久不变的。将日常改进措施充分引入,发挥PDCA控制过程的作用,可以形成系统的良性循环。日常的纠正与预防措施的实施,配合适当的内控评价及审计工作,为风险管理进行督促和纠偏,从而保证内控及风险管理的持续改进和提升。
3 实施风险目标管理
制度建设是手段,风险管理是目标。企业针对重点风险,有必要建立针对各项重大风险发生后的应急预案,坚持目标和问题导向,有的放矢。在风险管理实施过程中,根据企业管理的需要,针对所有业务流程开展内部控制,特别是控制安全风险、环境风险、在重要经营活动中的投资和融资风险、财务风险、运营风险、法律风险、市场风险,进行内部监督控制审计,通过揭示内部控制缺陷,优化内部控制制度,确保各项业务的合法合规性,依法依规稳健运营。
风险无处不在,重要的是发现、规避风险,以至将不可控风险降低到可接受范围。在实施过程中,一般需要将风险类型进行分级、分类,对重要风险领域以及关键业务流程的风险识别、评估及应对。在风险的指标上,能量化的可以量化,或者使用统计方法进行,例如生产成本的影响、对销售收入的影响、对声誉的影响等。在风险识别过程中,可能存在识别的风险不全面,未识别出业务活动的主要风险,有漏项或者识别的风险事项不符合实际。有了量化指标即可对风险进行评估,并对照指标内容确定风险等级。在风险应对规避方面,根据风险事项的内容及性质,考虑企业面临的实际情况,采取风险规避、风险降低、风险分担以及风险接受等应对风险的方法和策略。企业要以重大风险、重大决策以及重要业务流程为重点进行风险评估工作。风险评估可由企业组织职能部门组织,也可聘请中介机构实施。
开展全面风险管理工作应与其他管理工作紧密结合,形成风险管理信息的收集、梳理、实施方案及监督改进的闭环管理、集中管理。在风险管理实施过程中,要把风险管理的各项要求融入企业管理和业务流程中,可以与制度体系的建设同步进行,但后期在形成流程化管理以后,风险管理宜与制度体系建设分离,形成信息传递的路径后,真正将风险置于公司决策层,起到控制风险的作用。
4 以人为本,增强持续改进的能力
企业完善内控制度体系建设,使各项业务流程适合于现代企业制度的要求,需要以人为本,增强持续改进的能力。风险管理的核心,一是制度,二是人。在制定了相应的制度文件之后,关键还是在于执行。因此,除了加强业务能力培训,提高员工风险管理意识以外,要充分认识加强内部审计工作的重要性,要做到持续检查、改进不足之处,并将改进的效果加以保持,形成良性循环,增强持续改进的能力。
充分认识内部审计工作的重要性,要严格遵循现代企业制度管理的要求,将专业能力较强、职业道德素质 较好的优秀人才充实到内控管理工作中,对不相容职务的岗位进行分离,对未分离的岗位进行定期的评估和监督,形成制度与业务之间的缓慢融合,做到事事有章可循,人人能够习惯于按照制度办事,在动态过程中提高可执行力和员工的整体素质,巩固已有成果。
企业要得到良好的发展,一方面受外部环境的影响,另一方面要优化内部经营环境,逐渐形成具有企业特色的具有风险意识的企业文化。以人为本,打造一支有凝聚力、素质高、执行力强的经营团队,树立正确的风险管理理念,将风险意识融入到企业文化建设过程中,方能在优胜劣汰的市场环境中立于不败之地,保障企业管理目标实现。