企業內部控制與全面風險管理體系建設案例解析

六方合略(天津)企業管理咨詢服務有限責任公司 文/任洪卓

一、企業內部控制與全面風險管理體系建設必要性

1995年2月27日上世紀九十年代英國最大的銀行之一巴林銀行因運行風險破產，1997年9月18日八佰伴日本公司因盲目投資戰略風險破產，2004年6月中航油新加坡有限公司因風險管理失效遭受重大損失，美國《財務》500強排名第七名的安然公司和前百名的世通因財務控制失敗發生財務丑聞宣告破產，2021年下半年恒大因高杠桿投資戰略風險引發龐大債務危機，還有西門子賄賂案，廣東佛山利達玩具有限公司出口玩具被召回、老板上吊自殺等等，國內外一件件內部控制失效、風險管理缺失而導致經營失敗的案例為我們敲響了警鐘。

從現階段我國企業內部控制和風險管理水平來看，仍存在著較多問題亟待解決，例如：控制觀念薄弱﹑控制結構不健全、缺少監督機制、業務流程不規范、審批環節缺失、監控評估整改環節乏力等，直接影響企業管理效率阻礙企業長遠發展。伴隨經濟全球化進程不斷加快，我國大多企業邁向國際市場競爭大潮，越來越多外資企業涌入國內市場。由此可見，目前我國企業不止面臨著外部環境競爭，更迎來更多內部治理經營問題，促使企業需要迎接更為困難的經營風險考驗，但是我國部分企業對于經營風險防范的意識不夠強烈，其工作重心往往向財務管理環節傾斜。此外，結合我國企業內部控制結構相關調查，企業內部控制機制結構尚未健全。

二、企業內部控制與全面風險管理體系建設意義

企業在統一戰略指導之下對內部控制和風險管理進行統籌，通過完善的體系、流程、實施、監控和評價，將風險預防并控制在合理范圍之內，促進企業經營目標實現，來保障企業發展行穩致遠。

企業內部控制管理是企業為增加企業收益、提高資金利用率、擴大企業規模等實施的一系列自我規劃、監督和制約活動或方針。一個企業若沒了內部控制管理則會自亂陣腳，所以說做好企業內控是掌控全局的第一步。當然，企業內控并非孤立存在的，若只利用企業內控對企業目標進行規劃，則很容易使企業內部控制流于形式。一個企業只有結合其自身內部訴求，對項目決策和人員調配進行合適的管控，結合多項管理工作共同進行，貫穿企業發展前進的主線，才能正確提升內部控制效率而不至于使內部控制變成無實用性的冗余物。

全面風險管理是企業生存底線，其精要是將未知風險變成可控風險，關鍵是通過管理將很多相互影響的因素進行統籌，根據企業的目標去作風險分析，把一些主要風險明確下來，然后找到相應的控制手段、管理手段，將風險控制在可承受的風險范圍內，為企業經營目標的實現提供合理的保證。

三、我國企業內部控制與全面風險管理體系建設進程

四、企業內部控制管理與全面風險管理體系簡述

隨著企業規模的擴大、市場競爭的加劇，以及國家各部委、外部監管機構對企業管控力度的不斷加強和公司信息披露的日益透明，進一步加強企業內部控制和全面風險管理成為企業發展的關鍵。

企業內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程，通過準確定位內部控制的目標，要求企業在保證經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果的基礎上，著力促進企業實現發展戰略，構建以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證，相互聯系、相互促進的五要素內部控制框架，并實行內部控制自我評價制度，將各責任單位和全體員工實施內部控制的情況納入績效考評體系。

全面風險管理，是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險管理措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

五、企業內部控制管理與全面風險管理體系建設依據

為確保內部控制與全面風險管理體系建設的合規化及標準化，在遵循企業內部控制相關規定的基礎上，參考目前國際國內通行的內部控制標準，主要依據如下：

■財政部等五部委《企業內部控制基本規范》及配套指引；

■國務院國資委《中央企業全面風險管理指引》；

■中國國家標準化管理委員會《GBT 24353-2009 風險管理：原則與實施指南》；

■COSO《內部控制整體框架》；

■COSO《企業風險管理整合框架》。

六、企業內部控制管理與全面風險管理體系建設具體步驟

1、資料研讀：成立項目組，并對企業提供的公司介紹、公司治理、組織結構、制度文件、公司文件存檔目錄等資料進行研讀。按照部門劃分梳理資料清單、文件匯總，按照組織框架梳理業務流程、管控環節、控制缺陷匯總，參照行業風險事件庫梳理風險點、風險事件，為進一步開展工作奠定基礎。

2、工作計劃：項目組基于對企業提供資料的研讀，確定企業內部控制與全面風險管理體系建設的工作計劃，并根據部門劃分和崗位設置擬定現場訪談提綱、內控問卷和風控問卷，繼而按照工作計劃開展工作。

3、現場訪談：項目組進駐場后，由企業相關負責人組織各部門，全員參與開啟準備會，宣貫企業內部控制與全面風險管理體系建設目的、意義、步驟和工作安排。項目組根據部門劃分和崗位設置對相關人員展開現場訪談，了解部門設置、崗位職責、業務流程、管控環節、審批權限、部門對接、法律審核、內控建議等相關事項，從多個維度立體把控企業內部控制是否合規、流程是否合理、缺陷點何在，在資料研讀的基礎上通過現場訪談進一步確認企業風險點、風險事件。

4、調查問卷：項目組在展開現場訪談的同時，把內控問卷和風控問卷根據部分劃分和崗位設置對應下發，由相關負責人、管理人員、員工填好后收回，由項目組進行研讀和整理。

5、梳理確認：對資料研讀、現場訪談、調查問卷等資料進行匯總、提煉、梳理，整理出流程文件（包含流程清單、業務流程圖、流程描述表）、內部控制缺陷清單、風險事件庫等，交由企業相關人員審核和確認，并根據企業的反饋對文件進行再次修訂和確認。

6、成果文件：項目組結束進駐現場工作后，進入資料整理、內控診斷、風險評估、框架梳理、矩陣描述階段，通過大量的資料整理輸出內部控制管理手冊、內部控制診斷報告、流程框架控制矩陣、內部控制管理與全面風險管理辦法、風險分類框架及風險事件庫等成果文件。

七、企業內部控制與全面風險管理體系成果文件

1、企業內部控制管理手冊，是企業內部控制體系并保障其有效運行的基本制度和實施規范。主要從內部環境、風險評估、控制活動、信息與溝通、內部監督、內部控制工作機制等方面，為企業優化流程管控、推進標準化管理提供依據，為企業開展內部控制工作提供可遵循的標準，以達到建立健全內部控制管理體系、固化形成內部控制工作機制和規范加強內部控制評價工作的目的。

2、企業內部控制診斷報告，參照財政部頒發的《內部控制基本規范》及其配套指引，圍繞公司各項控制目標，結合公司風險水平，從內部控制五要素出發，通過對企業組織架構、戰略管理、合同管理、資產管理、采購管理、財務管理等業務活動內控情況的診斷，實現對企業內部控制存在缺陷或不足的辨識和評價，從而為進一步完善內部控制體系奠定基礎。

3、企業流程框架及控制矩陣，采取調查問卷、資料研讀與詢問訪談等方法，對公司組織架構、發展戰略、人力資源、社會責任、銷售業務、采購業務、合同管理、財務管理等業務活動所涉及的具體流程、風險描述、控制措施、控制責任部門、相關規章制度等進行梳理，并根據業務管理類型進行業務劃分、提煉、細化和總結。

4、企業內部控制與全面風險管理辦法，主要從內部控制管理的組織體系、框架及設計原則、執行及更新維護、評審及缺陷評價、控制報告幾個方面，為企業建立健全風險管理及內部控制體系、有效實施及監督內部控制提供方法遵循，提高企業經營管理水平和風險防范能力，達到促進企業持續、健康發展的目的。

5、企業風險分類框架及風險事件庫，從戰略風險、財務風險、市場風險、法律風險、運營風險等框架維度，對企業存在的風險進行分類和細化，并對風險級別、風險點、風險發生的原因、風險事件、主責部門等進行記錄、釋義、闡述，為企業全面風險管理提供辨識、評估和控制依據。