H公司基于風險導向的內部控制探索與實踐

梁森林

摘要：H公司（以下簡稱公司）是一家集酒店旅游、物業管理、房地產開發、物流貿易和國外后勤服務的多元經營企業。隨著公司的發展，逐漸形成了自己獨特的內部控制體系。本文就公司從風險防控能力的客觀需要、內部控制體系框架的構建和運行管理等角度，論述基于風險導向的內部控制的探索與實踐，提供一些借鑒。

關鍵詞：風險導向 內部控制

針對多業態跨區域經營特點，為加強企業風險管控，公司結合生產經營實際，積極探索適合企業發展需要的以風險為導向的內部控制體系建設及管控模式。經過幾年的探索實踐，增強了企業風險管控能力，提升了企業經營管理水平，為實現公司戰略目標起到了積極的促進作用。

一、建立以風險為導向的內控體系是提升公司風險防控能力的客觀需要

（一）防控風險已經成為公司管理的重要目標

世界經濟進入全球化時代，企業經營業務多元，地域分散，復雜的社會經濟環境影響著公司的經營、穩定和發展。隨著企業經營規模擴張，交易金額增大，交易頻率加快，企業面臨的不確定性因素增多，傳統的企業管理制度局限性日益凸顯。分析國內外企業倒閉或衰敗的例證，總結本公司多年經營中的經驗和教訓，無不與企業風險管控密切相關，經營過程中的風險防控已經成為企業管理的重要目標和焦點。建設和完善風險為導向的內部控制體系已成為企業防控風險重要措施。

（二）防控企業風險要靠嚴密的內部控制體系做保障

公司風險管控經歷了三個階段，一是憑經驗管理（公司初創時期），對有風險的業務選派“經驗豐富”的人去管理，經營決策靠有經驗的領導把關，被稱為經驗管控階段。二是靠單項制度控制，針對高風險業務制定專門的控制措施，做到一事一制度，方法雖然簡單，但由此步入了制度控制階段。經過一段時間摸索，積累了一套行之有效的管理制度，在規范企業管理和防控風險中發揮了重要的作用。但由于規章制度多為單項規定，程序性規定很少，標準制度沒有流程保證，且各專業部門頒布的管理制度都帶有不同程度的局限性，缺乏系統性、全局性，已不能適應企業全面風險管理的要求。三是進入了體系控制階段，為做好企業風險防控工作，公司結合不同風險特征，對現有的制度、標準和程序進行了完善，對業務流程進行了重構，提高了制度的可操作性、嚴謹性和規范性。將原有的內控制度提升以風險為導向內部控制體系，實現了風險管理多維度的體系控制。

（三）防控風險是提升公司綜合管理能力有力手段

以風險為導向的內部控制體系建設及實施，不僅提升風險管控能力，而且提升了公司的綜合管控能力，該體系明確了控制活動的對象，規范了交易活動源頭控制的業務流程，強化了控制主體責任，使公司各種經濟活動實現了全面受控。通過系統嚴謹閉環管控措施的落實，很好的與企業經營活動結合起來，逐步改善企業的內控管理，使公司綜合管理能力不斷提高。

二、以風險為導向的內部控制體系框架及做法

公司借鑒國內外內部控制實踐經驗，以COSO框架及財政部等五部委頒發的《企業內部控制基本規范》和國資委發布的《中央企業全面風險管理指引》為基礎，結合企業實際，建立以公司戰略為核心，以風險為導向，以責任為主線，以業務流程管控為方法，以監督與評價為手段，注重管理改進的企業內部控制管理系統。從確定內部控制體系的目標、辨識評估風險、梳理管控流程、制定控制措施、開展內控監督與評價和持續改進等五個方面，推動、構建和完善了以風險為導向的內部控制體系建設。

（一）確定以風險為導向的內部控制目標

目標設定是以風險為導向的內部控制體系建立的前提條件，在風險管理過程中是一個重要環節。首先是在設定內部控制目標的過程中，要充分考慮各種風險對企業經營管理的影響程度，把握對重大風險的判斷。其次是要根據內部控制目標設定，確定內部控制實施方案，并隨著目標改變適時進行必要的調整。三是風險控制措施根據內部控制目標的存在而確定，隨著目標的改變而改變，只有先明確了內部控制目標，才能對識別出的風險制定相應控制措施。

公司圍繞經營及管理風險，確立以資產的存在、完整、歸屬、計價正確和收益等屬性的落實為風險控制的現實目標，以實現“體系可靠、風險可控、運行可持續”為體系規劃目標。總目標是：以國家相關法律法規為依據，以公司現有資源為基礎，以財務報告風險、法律風險、經營風險為切入點，以源頭治理和過程控制為核心，以防范風險為重點，對企業現有管理制度、職責分工、權限分配和業務流程進行全面梳理，建立起設計科學、簡潔適用、運行有效的內部控制體系，推進科學治企。

（二）建立風險數據庫

通過收集風險事件，確定公司層面風險分類和風險名稱，形成公司層面風險事件庫和風險數據庫。針對風險事件關聯性，主要收集了連續三年公司內部風險事件案例、行業內相關歷史事件和未來風險預測，包括公司相關材料記載的相關事件、內外部審計發現的問題、各業務部門存在的重大問題或隱患等。通過分析篩選，選取具有代表性的、對公司影響較大的事件共77條，形成公司層面的《風險事件庫》。

在收集風險信息過程中。按照內外部、業務板塊、部門單位等條件將各類風險因素進行分類匯總，厘清各個問題之間的因果關系，方便從整體上把握風險和機會，有助于各職能部門更好地認識和關注與其直接相關的風險。經過比對分析，確定公司各項業務、重要經營活動及重要業務流程中的風險，并予以客觀準確地表述。通過與各職能部門以及所屬單位反復溝通，識別出可能影響公司實現經營目標的風險因素，進行整理分析并編制《風險匯總表》，最終確定了公司層面風險分類和風險名稱，共4大類24個風險，形成公司層面的《風險數據庫》。

（三）識別與評估風險

風險是指可以識別的不確定性事項，它能對企業經濟利益造成有利或不利影響，其來源及影響具有不確定性。風險評估的目的是對影響公司的不確定性因素進行識別，對其進行科學評估、量化，指導對不確定性因素的把控。