王 超 秦小崴 张 悦

（中国建筑第二工程局有限公司）

一、引言

2022年12月召开的中央经济工作会议指出，我国经济发展面临需求收缩、供给冲击、预期转弱三重压力，但我国经济韧性强，长期向好的基本面不会改变。同时，会议也强调，必须坚持以经济建设为中心，严守不发生系统性风险的底线，稳中求进，推动国民经济实现质的稳步提升和量的合理增长。

“十四五”时期全面开启，我国经济和社会发展到了新的阶段，建筑行业也迎来了新的起点。由于建筑工程项目的特殊性以及建筑行业与房地产行业的紧密联系，建筑企业面临的风险与合规挑战更加复杂。这要求建筑企业必须系统整合各业务部门识别防范风险的能力，使得企业整体在规避或降低风险的基础上实现稳步发展。从这一角度来看，内部审计无疑是一个很好的切入点。

新形势下，建筑企业内审部门应拓展审计视角，在企业风险与合规管理方面发挥建设性作用，加快风险与合规管理组织体系与制度体系建设，建立健全风险与合规管理信息系统，全面筑牢风险与合规管理防线。

二、建筑行业背景分析

作为国民经济的重要支柱产业之一，建筑行业的持续稳定健康发展对于国家整体经济发展战略目标的实现具有重大意义。在国家产业政策扶持和房地产行业红利的推动下，建筑企业生产和经营规模不断扩大，总产值快速增长，行业整体发展呈稳定态势。根据国家统计局的数据显示，2010—2020年，建筑企业单位数量从7.2万家增长至11.7万家，增幅为61.49%[1]。

然而，在国民经济产业结构调整的大背景下，建筑行业对国民经济生产总值的边际贡献率也正在下降，建筑行业的发展开始遭遇瓶颈。从行业发展空间看，在降杠杆减负债的背景下，整体增速水平将进一步趋于平缓，增量主要集中在城市群都市圈和乡村振兴等产业模块。行业内头部企业之间的竞争将从市场端深入到产品端、服务端和模式端，竞争方式更加高级，竞争程度更加激烈，对建筑企业发展提出新的挑战[2]。

疫情冲击下，百年变局加速演进，建筑行业内外部环境更趋复杂严峻和不确定。战略风险、财务风险、市场风险、运营风险、法律与合规风险等风险因素冲击下，建筑企业全面风险管理显得尤为迫切和重要。

三、全面风险管理（ERM）发展现状

早在2006年，国资委就颁布了《中央企业全面风险管理指引》并明确提出“全面风险管理”概念，即企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，建立健全全面风险管理体系，包括策略、措施、组织职能体系和内部控制系统[3]。

此后，国资委于2021年10月出台《关于进一步深化法治央企建设的意见》，要求央企持续巩固规章制度、经济合同、重要决策法律审核制度，完善后评估机制，反向查找工作不足，持续提升审核质量；常态化开展风险隐患排查处置；严格落实重大法律合规风险事件报告制度，发生重大法律合规风险事件，应当及时向国资委报告[4]。

由于全面风险管理理论在我国发展历程较短，加之建筑工程项目的特殊性，建筑企业的管理往往相对粗放，全面风险管理相对比较滞后，如何精准及时识别风险、正确客观评估风险、合理有效应对风险成为摆在建筑企业面前的亟需解决的问题。

四、国有建筑企业A公司的全面风险管理框架

A公司是一家国有大型建筑安装企业，具有土木建筑、设备安装、市政工程施工等专业施工和设计、投资等多元化经营能力。近年来，A公司为应对日益严峻的风险挑战，按照国资委要求，全力推行全面风险管理，加快提升依法合规经营管理水平，推进企业持续健康发展，稳步实现企业战略目标。

A公司明确内部审计部门为全面风险管理的牵头机构，构建全面风险管理框架体系（见图1）。

图1 A公司全面风险管理框架

各业务层级具体职责分工如下：

（一）董事会

1.负责督导A公司全面风险管理与合规管理的建立健全与有效实施，听取相关工作报告。

2.批准企业合规管理基本制度和年度报告、推动完善合规管理体系、研究决定有关重大事项等。

（二）监事会

监事会是A公司负责监督董事会合规管理职责履行的监督机构，监督董事会的决策与流程是否合规、监督董事和高级管理人员合规管理职责履行情况等。

（三）法治建设暨合规与风险管理委员会

1.承担法治建设暨合规风险管理的组织领导和统筹协调工作并审议A公司法治建设、合规与风控体系建设方案。

2.研究决定合规管理重大事项，指导、监督和评价管理体系建设工作并审议重大合规、风险的处置方案。

（四）全面风险管理、合规管理归口部门

内部审计部门为全面风险管理、合规管理归口部门，除了在企业全面风险管理中承担内部审计和监督职责，还负责组织、协调和监督全面风险管理与合规管理工作，为其他部门提供合规支持，具体如下：

1.研究起草全面风险管理与合规管理基本制度，对制度和流程进行合规性评价，督促违规整改。

2.持续关注法律法规等规则变化，组织开展合规风险识别和预警，参与企业重大事项合规审查和风险应对。

3.联合纪检监督工作部受理违规举报，组织或参与对违规事件的调查，并提出处理建议；组织或协助业务部门、人力资源部等开展全面风险管理与合规管理培训。

（五）各业务部门

各部门负责承担专项业务风险工作与合规管理工作，并在本部门职责范围内，将全面风险管理与部门的制度管理体系、日常管理工作等进行紧密结合，做到相互融合渗透。

全面风险管理体系的建立，在很大程度上实现了对A公司各业务层级和环节可能涉及到的风险和合规事项的监控，抑制了风险在企业内的蔓延，促进了A公司的安全稳定发展。可是随着A公司经营规模的不断扩大，面临的风险环境也更加严峻和复杂，这套风险防控机制的管理效率和效果都不可避免地打了折扣。

五、A公司全面风险管理框架下风险与合规防线探索

为全面提升企业风险防控能力，提高风险识别、应对的效率，A公司内审部门对风险识别与应对方法进行积极探索，在原有全面风险管理体系的基础上，结合风险管理的三个阶段，提出风险与合规管理的“三道防线”并将PFMEA方法运用到风险与合规评价中，很大程度上提升了风险管理效率。

（一）风险管理的三个阶段（见图2）

图2 风险管理三阶段

1.识别阶段：各业务部门收集业务范围内与企业相关的内外部环境信息，确定企业风险承受度，明确风险与合规评价标准，并经分管领导或总经理办公会评审。

2.评估阶段：各业务部门开展风险与合规评估：（1）分类：对风险源、影响范围、发生原因及可能的后果等要素进行分类；（2）分析：对已经识别的风险进行定性和定量分析，为评价和制定应对措施提供依据；（3）评价：将分析结果与风险准则进行比较，评价风险与合规等级。

3.控制阶段：（1）风险与合规应对；（2）全面风险管理与合规管理监督评价；（3）全面风险管理与合规管理动态改进；（4）全面风险管理/合规管理专项报告；（5）编制年度全面风险/合规管理综合报告；（6）年度全面风险/合规管理报告的审批、备案、上报及发布。

（二）风险与合规管理的“三道防线”

1.第一道防线为各部门、下属单位。各部门主要负责人为该部门风险与合规管理负责人。下属单位应在职责范围内承担合规管理责任，编制重点岗位合规职责清单，在具体业务中做好风险识别并通过自查自纠，实现风险遏制。

2.第二道防线为法律事务部。通过各相关业务部门管理制度与管理流程的建立健全、执行落实和定期检查，体现全面风险管理、合规管理体系的要求。

3.第三道防线为审计部门。通过指导、监督和评价各级全面风险管理与合规管理工作，加强对重点领域的监督检查，提出整改建议并对造成损失的按照规定严肃开展问责，真正发挥“第三道防线”震慑作用[5]。

（三）PFMEA方法在风险与合规管理中的应用

1. PFMEA简介

PFMEA是指过程潜在失效模式及影响分析，用以最大限度地保证各种潜在的失效模式及其相关的起因或机理已得到充分的考虑和论述，是防范风险的有效管理工具。申晨（2016）、吴小超（2020）等学者将PFMEA方法应用到项目管理风险评估中，建立了科学有效的风险评估机制。陈湘（2022）在效应分析的基础上利用PFMEA方法研究医疗设备耗材管理，定位了关键因素。

在对各风险因子进行失效分析时，PFMEA根据风险的概率、可探测性及危害程度，计算风险系数（RPN），RPN值由风险严重度数值（S）、风险发生度数值（O）和风险探测度数值（D）三者的乘积计算得出，即RPN=S×O×D。S、O、D取值范围均为1～10分，RPN得分越高说明风险越高[6]。

2.评分标准的确定

（1）风险与合规发生可能性评分标准

本文在公司现行风险与合规管理规范的基础上结合实际审计工作中遇到的各类风险事项的发生概率制定了风险与合规发生可能性评分标准，详情见表1。

表1 风险与合规发生可能性评分标准

（2）风险与合规影响程度评分标准

由于各风险事项对公司运营情况及公司战略目标的实现具有不同程度的影响，本文从对公司内部控制、财务损失、人员安全及企业声誉四个角度对风险与合规事项影响程度制定评分标准，详见表2。

表2 风险与合规影响程度评分标准

3.评价矩阵的构造

按发生可能性和影响程度来判定是否为重大风险，利用风险与合规评价矩阵图进行判断，将影响程度和发生可能性两者相乘，并按照综合评分划分风险区域，详情见表3。

表3 风险与合规评价矩阵

（1）蓝色区域：综合评分小于50，综合风险等级判定为低风险；（2）黄色区域：综合评分介于50～80之间，综合风险等级判定为一般风险；（3）橙色区域：综合评分介于80～120之间，综合风险等级判定为较大风险；（4）红色区域：综合评分大于120，综合风险等级判定为重大风险。值得强调的是，考虑到风险事项发生的严重后果，影响程度为灾难性的风险，无论发生可能性多大，均为重大风险。

六、审计案例

为提升经营管理合规性，保障企业健康稳定发展，A公司分别在2021年3月和11月在公司范围内开展审计工作，审计中发现的部分风险事项、结果分析及其审计建议如下：

（一）制度执行存在缺陷

审计结果：2021年3月审计发现2家下属单位未对从事货币资金业务、采购等关键岗位人员及时进行岗位轮换；2021年11月审计发现2家下属单位无内部报告的评估制度。

审计结果分析：根据PFMEA方法，该审计问题属于“极少情况下才发生（每年发生1～2次）”，风险与合规发生可能性评分=1.9（严重度）×1.2（发生度）×2.4（探测度）=5.47。同时，该问题属于“内部控制设计或运行有缺陷；对战略目标有中度影响，情况需要上级支持才能得到控制”，风险与合规发生影响程度评分=3.0（严重度）×1.5（发生度）×2.7（探测度）=12.15。根据风险与合规评价矩阵，影响程度与风险发生可能性的乘积得分66.46分，介于50～80之间，判定为一般风险。

审计建议：1.内部审计提出“夯实制度基础，补齐短板弱项”的建议，进一步完善采购、资金等关键岗位员工定期轮岗制度，明确轮岗范围、轮岗周期、轮岗方式等，并严格落实到位。2.各单位要在公司内部报告评估制度的基础上，结合自身业务实际，制定本级单位内部报告的评估制度。

（二）分包（分供）采购管理松散

审计结果：2021年3月审计发现下属单位5个项目部无计划擅自采购或超计划采购，造成物资积压、失效、变质、浪费，合计核定损失308万元；2021年11月审计发现两家下属单位新引进的3家分供方不在公司合格分供方名录内。

审计结果分析：根据PFMEA方法，该审计问题属于“某些情况下发生（每季度发生1～2次）”，风险与合规可能性评分为9.00分。同时，该问题属于“中等财务损失（对公司合同额的影响在人民币1亿～2亿元之间的或对公司利润影响在人民币300万～600万元之间的）”，风险与合规影响程度评分为12.15。根据风险与合规评价矩阵，影响程度与风险发生可能性的乘积得分109.35分，介于80～120之间，判定为较大风险。

审计建议：1.根据物资管理办法深化项目管理制度办法，责任落实到人。2.结合项目实际情况分化各项管理制度，分级化考核。3.根据制度要求，编制采购订购单，且确保与需用计划数据一致，深化对比分析表做到数据随时可查，避免成本超标。

（三）涉诉案件处置不当

审计结果：2021年3月审计发现下属单位存在未经决策审批程序，擅自改变合同实质性内容，对外出具书面承诺致使我方承担不利后果、利益纠纷等其他法律责任的情况，合计核定损失345万元；2021年11月审计发现下属单位存在对于案件事实及金额无争议，却多次怠于解决纠纷而决定以诉讼或仲裁程序解决，而产生仲裁费、诉讼费、代理费、鉴定费等费用的情况，合计核定损失260万元。

审计结果分析：根据PFMEA方法，该审计问题属于“较多情况下发生（每月发生1～2次）”，风险与合规可能性评分为13.57分。同时，该问题属于“重大财务损失（对公司合同额的影响在人民币2亿～5亿元之间的或对公司利润影响在人民币600万～1500万元之间的）”，风险与合规影响程度评分为18.27分。根据风险与合规评价矩阵，影响程度与风险发生可能性的乘积得分247.92分，大于120分，判定为重大风险。对于重大风险，各部门报分管领导或总经理办公会审核后，由审计部汇总重大风险清单，组织召开重大风险与合规评审会，审核通过后发布。

审计建议：1.建议对合同管理制度进行完善，明确合同谈判归口部门，合同应经过相关评审部门审批齐全。2.建议积极开展法律、合规培训，培养风险、法律、合规文化和意识。3.被审计单位应根据风险清单落实整改责任并积极配合相关问题后续审计工作。

七、结语

从案例可以看出，PFMEA方法可以快速评估出审计问题的风险水平，确定风险项目的等级，并针对性地提出风险承受、风险规避、风险分担及风险降低的应对措施，以达到控制风险发生概率或者风险发生后严重程度。在此基础上，内部审计部门则可以根据风险控制目标和风险优先级系数，确定是否进行风险控制及采用何种策略并通过企业信息化管理平台推动三道防线协调运作，预先建立相应预防和改进措施，从而助力企业提升应对风险的能力，切实有效防范化解经营、财务、投资、海外经营等重大风险。

新形势下，国有建筑企业必须明确合规要求并将合规要求与自身经营管理活动结合，以打造“治理完善、经营合规、管理规范”的一流法治企业目标为引领，进一步加强风险防控与合规管理制度建设，完善机制与队伍建设，精准定位各业务层面及业务环节可能存在的合规风险并不断优化合规风险管控措施，构建风险、合规、法律“三位一体”的企业健康稳定发展防线。