企业内部控制与全面风险管理体系建设案例解析|经营|财务

企业内部控制与全面风险管理体系建设案例解析

六方合略(天津)企业管理咨询服务有限责任公司文/任洪卓

一、企业内部控制与全面风险管理体系建设必要性

1995年2月27日上世纪九十年代英国最大的银行之一巴林银行因运行风险破产，1997年9月18日八佰伴日本公司因盲目投资战略风险破产，2004年6月中航油新加坡有限公司因风险管理失效遭受重大损失，美国《财务》500强排名第七名的安然公司和前百名的世通因财务控制失败发生财务丑闻宣告破产，2021年下半年恒大因高杠杆投资战略风险引发庞大债务危机，还有西门子贿赂案，广东佛山利达玩具有限公司出口玩具被召回、老板上吊自杀等等，国内外一件件内部控制失效、风险管理缺失而导致经营失败的案例为我们敲响了警钟。

从现阶段我国企业内部控制和风险管理水平来看，仍存在着较多问题亟待解决，例如：控制观念薄弱﹑控制结构不健全、缺少监督机制、业务流程不规范、审批环节缺失、监控评估整改环节乏力等，直接影响企业管理效率阻碍企业长远发展。伴随经济全球化进程不断加快，我国大多企业迈向国际市场竞争大潮，越来越多外资企业涌入国内市场。由此可见，目前我国企业不止面临着外部环境竞争，更迎来更多内部治理经营问题，促使企业需要迎接更为困难的经营风险考验，但是我国部分企业对于经营风险防范的意识不够强烈，其工作重心往往向财务管理环节倾斜。此外，结合我国企业内部控制结构相关调查，企业内部控制机制结构尚未健全。

二、企业内部控制与全面风险管理体系建设意义

企业在统一战略指导之下对内部控制和风险管理进行统筹，通过完善的体系、流程、实施、监控和评价，将风险预防并控制在合理范围之内，促进企业经营目标实现，来保障企业发展行稳致远。

企业内部控制管理是企业为增加企业收益、提高资金利用率、扩大企业规模等实施的一系列自我规划、监督和制约活动或方针。一个企业若没了内部控制管理则会自乱阵脚，所以说做好企业内控是掌控全局的第一步。当然，企业内控并非孤立存在的，若只利用企业内控对企业目标进行规划，则很容易使企业内部控制流于形式。一个企业只有结合其自身内部诉求，对项目决策和人员调配进行合适的管控，结合多项管理工作共同进行，贯穿企业发展前进的主线，才能正确提升内部控制效率而不至于使内部控制变成无实用性的冗余物。

全面风险管理是企业生存底线，其精要是将未知风险变成可控风险，关键是通过管理将很多相互影响的因素进行统筹，根据企业的目标去作风险分析，把一些主要风险明确下来，然后找到相应的控制手段、管理手段，将风险控制在可承受的风险范围内，为企业经营目标的实现提供合理的保证。

三、我国企业内部控制与全面风险管理体系建设进程

四、企业内部控制管理与全面风险管理体系简述

随着企业规模的扩大、市场竞争的加剧，以及国家各部委、外部监管机构对企业管控力度的不断加强和公司信息披露的日益透明，进一步加强企业内部控制和全面风险管理成为企业发展的关键。

企业内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，通过准确定位内部控制的目标，要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略，构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架，并实行内部控制自我评价制度，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

五、企业内部控制管理与全面风险管理体系建设依据

为确保内部控制与全面风险管理体系建设的合规化及标准化，在遵循企业内部控制相关规定的基础上，参考目前国际国内通行的内部控制标准，主要依据如下：

■财政部等五部委《企业内部控制基本规范》及配套指引；

■国务院国资委《中央企业全面风险管理指引》；

■中国国家标准化管理委员会《GBT 24353-2009 风险管理：原则与实施指南》；

■COSO《内部控制整体框架》；

■COSO《企业风险管理整合框架》。

六、企业内部控制管理与全面风险管理体系建设具体步骤

1、资料研读：成立项目组，并对企业提供的公司介绍、公司治理、组织结构、制度文件、公司文件存档目录等资料进行研读。按照部门划分梳理资料清单、文件汇总，按照组织框架梳理业务流程、管控环节、控制缺陷汇总，参照行业风险事件库梳理风险点、风险事件，为进一步开展工作奠定基础。

2、工作计划：项目组基于对企业提供资料的研读，确定企业内部控制与全面风险管理体系建设的工作计划，并根据部门划分和岗位设置拟定现场访谈提纲、内控问卷和风控问卷，继而按照工作计划开展工作。

3、现场访谈：项目组进驻场后，由企业相关负责人组织各部门，全员参与开启准备会，宣贯企业内部控制与全面风险管理体系建设目的、意义、步骤和工作安排。项目组根据部门划分和岗位设置对相关人员展开现场访谈，了解部门设置、岗位职责、业务流程、管控环节、审批权限、部门对接、法律审核、内控建议等相关事项，从多个维度立体把控企业内部控制是否合规、流程是否合理、缺陷点何在，在资料研读的基础上通过现场访谈进一步确认企业风险点、风险事件。

4、调查问卷：项目组在展开现场访谈的同时，把内控问卷和风控问卷根据部分划分和岗位设置对应下发，由相关负责人、管理人员、员工填好后收回，由项目组进行研读和整理。

5、梳理确认：对资料研读、现场访谈、调查问卷等资料进行汇总、提炼、梳理，整理出流程文件（包含流程清单、业务流程图、流程描述表）、内部控制缺陷清单、风险事件库等，交由企业相关人员审核和确认，并根据企业的反馈对文件进行再次修订和确认。

6、成果文件：项目组结束进驻现场工作后，进入资料整理、内控诊断、风险评估、框架梳理、矩阵描述阶段，通过大量的资料整理输出内部控制管理手册、内部控制诊断报告、流程框架控制矩阵、内部控制管理与全面风险管理办法、风险分类框架及风险事件库等成果文件。

七、企业内部控制与全面风险管理体系成果文件

1、企业内部控制管理手册，是企业内部控制体系并保障其有效运行的基本制度和实施规范。主要从内部环境、风险评估、控制活动、信息与沟通、内部监督、内部控制工作机制等方面，为企业优化流程管控、推进标准化管理提供依据，为企业开展内部控制工作提供可遵循的标准，以达到建立健全内部控制管理体系、固化形成内部控制工作机制和规范加强内部控制评价工作的目的。

2、企业内部控制诊断报告，参照财政部颁发的《内部控制基本规范》及其配套指引，围绕公司各项控制目标，结合公司风险水平，从内部控制五要素出发，通过对企业组织架构、战略管理、合同管理、资产管理、采购管理、财务管理等业务活动内控情况的诊断，实现对企业内部控制存在缺陷或不足的辨识和评价，从而为进一步完善内部控制体系奠定基础。

3、企业流程框架及控制矩阵，采取调查问卷、资料研读与询问访谈等方法，对公司组织架构、发展战略、人力资源、社会责任、销售业务、采购业务、合同管理、财务管理等业务活动所涉及的具体流程、风险描述、控制措施、控制责任部门、相关规章制度等进行梳理，并根据业务管理类型进行业务划分、提炼、细化和总结。

4、企业内部控制与全面风险管理办法，主要从内部控制管理的组织体系、框架及设计原则、执行及更新维护、评审及缺陷评价、控制报告几个方面，为企业建立健全风险管理及内部控制体系、有效实施及监督内部控制提供方法遵循，提高企业经营管理水平和风险防范能力，达到促进企业持续、健康发展的目的。

5、企业风险分类框架及风险事件库，从战略风险、财务风险、市场风险、法律风险、运营风险等框架维度，对企业存在的风险进行分类和细化，并对风险级别、风险点、风险发生的原因、风险事件、主责部门等进行记录、释义、阐述，为企业全面风险管理提供辨识、评估和控制依据。