中国改革开放事业经过30多年的发展,使中国的很多企业形成了企业集团的管理实践基础。目前我们的改革已经行至深水区,深水区意味着已无石头可摸,这是我们大家的共识。由于各个企业的风险管理与内控水平仍然参差不齐,内控体系建设不系统,其风险管理和内控实践与国际一流企业相比还有一定差距。特别是伴随着各个企业集团业务范围的不断扩大,产业链条的快速延伸,面临的潜在风险也在迅速加大,业务范围正逐步超出过去经验和能力所覆盖的范围,这使得各个企业集团处于既面临着重大发展机遇,同时也面临着重大不确定性和风险管理的严峻挑战。
国务院国资委于2006年6月出台了《中央企业全面风险管理指引》,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述,对《指引》的贯彻落实也提出了明确要求。2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委联合并发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
一、目前我国内部控制体系建设存在的问题
(一)企业战略与企业风险管理不匹配
企业在制定战略时就应该对自身所承担的风险进行系统的分析,并考虑其承担的风险容量。来自一项战略的期望报酬应该与企业的风险容量相协调。由于不同的战略会使企业面临不同程度的风险,应用于企业战略制定的企业风险管理可以有效帮助企业管理当局选择一个与企业自身的风险容量相匹配的战略。而我国很多企业在战略目标的制定上有一个很大特点就是急于求成,结果使企业在发展的过程中承担了过多自身不可承受的风险,导致企业应对市场变化能力不强,产品的生命周期大大缩短、企业发展后劲不足、甚至个别企业在重大风险事件发生之时无从应对,导致巨额损失。
(二)企业内部控制制度体系与风险管理制度体系缺少有效的衔接
很多企业在制订内部控制制度体系时没有引入风险管理的内容,缺少对事项的风险识别、风险评估及风险应对措施,风险管理文化建设滞后,风险管理制度体系建设缺少,或者有的企业在现有的内部控制体系增加一套全面风险管理制度体系,现有的管理制度体系与风险管理制度没有有效的融合,形成两个独立的管理制度体系,导致在管理与业务实践过程缺乏有效的预防及风险管控手段。
(三)企业缺少持续完善规范的管理流程与制度,没有充分发挥制度执行的有效性
针对企业存在的空白点和薄弱点,出现的新情况、新问题,没有及时进行修订完善。很多企业没有建立责权分明、规章健全、运作有序、制约有效的集团内部控制制度,存在工作职责、业务范围和权限不明确,无法形成各个岗位职责分明、经营管理活动环环相扣的内控管理模式。精细化管理水平较差,企业整体优势无法发挥,优质资源有效整合力差等。
(四)重视具体的风险管理,缺乏风险管理整体策略
我国很大一部分企业更多地将精力投入到具体风险管理中,缺乏系统、整体性地考虑企业风险组合与风险的相互关系,从而导致风险管理的资源分配不均,影响企业整体风险管理的效率和效果。对公司的主要业务缺乏风险识别、评估、管理和监控。企业现有的风险管理职能、职责散落在各个部门和岗位之中,缺乏明确且针对不同层面的风险管理的职能描述和职责要求,考核和激励机制中尚未明确提出风险管理的内容,导致缺乏保障风险管理顺利运行的职能架构。
(五)企业缺乏规范、科学、合理的法人治理结构设置
企业没有设置专门机构对风险进行定期的复核和再评估,降低了企业适应环境变化、管理和规避风险的能力,也容易使企业目标发生偏离;在迅速扩张的过程中,易造成企业财务与业务失控,无法进行财务风险预警、防范。
二、基于COSO整合框架的企业内部控制体系构建
根据“持续完善、与时俱进”的原则和“全员参与、全过程控制、全方位监督”的指导思想,以完善内部控制体系为核心,以风险管理信息平台与ERP为技术平台,构建覆盖企业管理、运营及项目建设等各个业务环节的纵横结合,全员参与并实施全过程控制和全过程监督的内部控制体系,促进企业各项管理工作实现程序化、规范化、制度化、标准化,建立全面风险管理基础支持体系。
目前很多企业根据美国2002年颁布的萨班斯法案开展了内部控制合规工作,并以建立健全集团内部控制为契机,通过业务流程再造与优化,查找风险点,重新建立了全面风险管理导向的企业内部控制体系。例如,中国石油天然气集团公司以流程管理为载体,采取“自上而下,逐步延伸”的实施策略,以总部业务主管部门为引领,推进重点专业流程梳理,成熟后作为公司专业流程规范,在公司所属各单位推广实施,形成端到端的全业务流程规范,将全面风险管理工作落实到经营管理各业务环节。中国海洋总公司按照效益、效率和风险平衡的风险管理理念,结合本公司特点,逐步探索形成三级制度体系建设的内控制度体系化建设,实现企业内控制度体系化、规范化,逐级建设完善,可在系统内逐级复制、操作性强的内控体系。
强化风险管理相关的管理理念和企业风险文化,为企业风险管理树立清晰的战略目标及工作程序与方法指引,将风险管理流程融入到企业的日常经营管理活动中,使企业所有经营管理环节都处于受控状态,并起到有效防范风险,增强抵御风险的能力,同时建立科学的内部控制评价机制,对内控体系持续监控、循环改进、不断提升整体风险管理能力,以保持企业高效高速、健康可持续发展,为实现企业战略发展目标提供合理保障。
通过以风险为导向、支撑企业正常运营的内控制度体系化建设与实施,将风险控制在可接受的范围内,将风险应对策略和方法嵌入到企业各业务流程的具体业务活动中,融入内部控制体系的各项规章制度,以基本制度、管理办法、操作细则及流程图等三个层级,不断完善并优化内控制度体系,使企业在正常运营过程中有效地防范风险、提高运营效率,从而为企业实现战略目标提供有力的制度保障。
(一)以风险管理为导向的内部控制体系框架横向结构至少应包括:风险管理制度体系、管理与业务运营制度体系
企业可以根据公司经营管理的实际情况需要,将内控制度体系从横向上划分为风险管理制度体系和管理与业务运营制度两大体系。
1.风险管理制度体系建设
建立系统化、专业化的风险管理的工作方法,融入到企业经营的各个环节中。在构建企业风险管理制度体系的基础上,应注重向外扩展,与管理及业务内部控制相比,风险管理更偏向对企业各业务领域风险的预防管理,因此各业务领域的管理过程中,将风险管理计划、风险识别、风险评估、风险应对、策略执行、检查与评价、持续改进等科学、规范的工作方法融入到整个管理过程,形成各业务管理单元、风险管理机构、监督机构三道防线各司其职、全员参与、全方位监督、全过程控制的管理格局,从而为实现企业的战略目标提供合理的保证。
风险管理制度体系的内容应包括但不仅限于:企业全面风险管理工作(或建设)指引、风险管理组织框架、风险管理策略、风险预警体系、应急预案与危机处理和绩效、激励与监督改进机制等。风险管理基本流程主要有:初始信息收集、风险评估、制定风险管理策略、制定风险实施解决方案和监督与改进等。
2.管理与业务运营制度体系建设
管理与业务运营制度体系建设的内容应包括但不仅限于:公司治理、战略计划、科研管理、财务管理、采办管理、物资管理、人力资源、法律管理、健康安全环保、行政管理、生产管理、销售管理、内部监督、信息技术、工程管理和党工团管理16个内控子体系。16个子体系构成集团管理与业务内控制度体系的框架,涵盖了集团运营各个业务环节,使内部控制建设清晰明了,具有可复制性、可选择性、针对性,各单位可以按照体系化的思路完善内控建设,将管理真正纳入体系化、标准化和制度化轨道。
案例1:某企业的公司治理子体系制度建设主要有(见图1):
(二)内控体系纵向结构
从纵向上,风险管理制度与公司管理和业务制度各个内控制度子体系均可按照基本制度、管理办法和操作细则等三个层级编写。
基本制度属于内控制度体系的第一层级文件,是制定管理办法、操作细则的基础和依据。
管理办法属于内控制度体系的第二层级文件,是依据基本制度建立的管理文件,是基本制度的细化和展开。
操作细则属于内控制度体系的第三层级文件,是依据管理办法编制的、指导具体操作的管理文件。操作细则主要包括文字描述、反映业务控制和流转过程的业务流程图、控制点、列明控制点责任的内控活动列表等内容。每个子体系都必须有基本制度,根据基本制度制订一个或若干个管理办法,每个管理办法下可根据需要制订一个或若干个操作细则。
案例2:某企业财务内控制度子体系建设(见图2):
该企业的财务内控制度子体系制定了包括1个基本管理制度、17个管理办法、20多个操作细则及对应的流程图,使财务管理的制度体系逐步建立健全,并根据公司业务的发展,按照系统性、专业性、强制性、适时性及财务内控制度“有效循环、适时完善”的要求,满足企业经营管理的动态需求,实现企业财务管理目标,及时完善企业财务内控制度体系。