國有控股上市公司全面風險管理與內控體系建設實踐探索

吳小雪

摘 要：在現代企業制度下，國有控股上市公司按照深交所要求，建立了內控制度。國資委頒布了《中央企業全面風險管理指引》，要求開展風險的防范工作。如何將風險管理與內控體系建設實際工作相結合，這是改革開放以來國有控股上市公司審計工作者一直在探討研究的問題。本文通過中材科技股份有限公司全面風險管理和內控體系建設過程剖析，探索全面風險和內控體系建立的具體方式和可行措施。

關鍵詞：全面風險管理；內控體系建設實踐

自從國際的金融危機爆發以后，先進國家和地區對金融制度和經濟結構不斷進行著重大的調整，各個國都在加大科研創新，紛紛將新材料、新能源、新技術作為新一輪產業發展重點，搶占經濟發展的制高點。隨著經濟環境日趨復雜，公司的經營活動面臨著更多的不確定性。所以建立全面風險管理和內控體系，成為了我國國有上市公司的工作重點。

一、全面風險管理和內部控制體系的關系和意義

1.全面風險管理的發展歷程和目標

后危機時代的中國企業面臨著來自方方面面的危機，2004年中航油新加坡公司風險管理失敗事件后，2006年6月國資委頒布了《中央企業全面風險管理指引》，對開展全面風險管理工作作出了明確規定，并要求報送年度風險管理報告。全面風險管理，指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現風險管理的總體目標提供合理保證的過程和方法。

2.內部控制的發展歷程和目標

2001年12月，美國最大的能源公司--安然公司突然申請破產保護，暴露出美國上市公司治理結構和外部監督的缺失，美國加速通過了《薩班斯法案》，要求建立公司建立內部控制體系。2008年和2010年，中國五部委聯合發布了《企業內部控制基本規范》和《企業內部控制配套指引》后，中國證監會強力推進上市公司內控建設。

3.全面風險管理和內部控制的關系

全面風險管理和內部控制目標是一致的。內部控制的目標是防范和控制風險并促進企業實現發展戰略，風險管理也是為了促進企業實現發展戰略，要求將風險控制在可承受范圍之內。兩者之間不是對立的，而是協調、統一的整體。

全面風險管理和內部控制內容互相包容。內部控制是一類控制風險的措施，是一種風險治理的解決方案，旨在最小化風險。因此，全面風險管理和內部控制管理內容是相互包容的。

4.全面風險管理和內控體系建設的意義

積極開展全面風險管理和內控體系的建設，發揮好審計部在風險管理工作中的第三道防線，進行風險監督，對公司持續健康發展有舉重輕重的作用。為了更好的開展全面風險管理和內控制度的建設工作，并落實到日常管理工作中。公司應將全面風險管理和內部控制相結合，在現有體系基礎上融入風險管理的要素，建立健全全面風險管理和內控體系。

二、全面風險管理和內控體系建設的治理結構

公司治理是公司全面風險管理和內部控制的核心，良好的公司治理是提高公司經營管理效率的基本要素。全面風險和內部控制體系作為公司為履行管理目標，建立了規則、政策和程序，與公司管理及公司治理密不可分。

1.全面風險管理和內控治理機構的一致性

公司治理是現代公司在決策、激勵、監督約束方面的制度、原則，涉及利益相關者之間在權力與責任方面的分配、制衡以及效率經營與科學決策。在《中央企業全面風險管理指引》與《企業內部控制基本規范》中均規定，企業應建立并健全公司的治理結構，明確責權限，形成有效科學職責分工制衡機制。全面風險管理與內控控制體系組織結構共同包括：股東大會、董事會、監事會、審計委員會、內部審計機構等。

2.全面風險管理和內控治理機構的差異性

雖然全面風險體系和內部控制體系在治理機構中存在著很多的一致性，但仍存在部分差異。

全面風險體系治理結構還包括：風險管理委員會、風險管理部門等。內部控制體系治理結構還包括：經理層、內部控制管理機構

三、企業開展全面風險管理和內控體系建設實踐

1.全面風險管理體系建設

公司已初步建立了相關內部控制體系，但隨著公司的快速發展，以及公司經營管理水平的不斷提高的需要，內控體系也應作相應調整和補充完善，對此開展了全面風險管理和內控體系建設。

（1）全面風險管理和內控體系框架

為了加強公司全面風險管理工作，建立健全全面風險管理和內控體系，根據境內外相關法律法規，結合公司實際，制定了《全面風險管理手冊》。明確了風險管理的組織機構和管理流程，形成風險管理長效機制。

（2）全面風險管理和內控體系建設的流程與操作

風險管理流程分為四個主要流程：風險辨識評估流程、重大風險管控流程、風險管理監控與改進流程、風險管理總結與報告流程。風險管理各主要流程存在著緊密的內在關聯性，且各工作流程呈遞進關系。

2.內控自評價持續完善

全面風險管理和內控體系建設是一個持續改進的過程，建立是最開始的一部分內容，對建立的全面風險管理和內控體系建設和執行情況進行評價更是促進體系改善的有效手段；制度執行又是體系建設最關鍵的環節，建立再好的體系，不執行也是無效的。公司對全面風險管理和內控體系運行的有效性進行定期及不定期檢查，開展全面風險管理和內控自評價審計。

（1）全面風險和內部控制管理測試評價

全面風險和內部控制管理測試評價包括：全面風險管理和內部控制健全性檢查評價、全面風險管理和內部控制有效性測試、全面風險管理和內部控制實質性測試、全面風險管理和內部控制合理科學性綜合評價。

（2）全面風險管理和內部控制管理缺陷判定

內控制度審計評價應對內部控制進行綜合的判斷，按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。被審計單位應建立內部控制缺陷的整改機制，明確內部各管理層級和單位整改職責分工，確保內部控制設計和運行中的重大風險和主要問題得到及時解決和有效控制。

（3）出具全面風險管理和內控自評價報告

出具內控審計報告，書寫審計結論，向公司管理層報告內控審計結果。審計報告主要內容包括：審查和評價內部控制管理的目的、范圍、依據、主要實施程序的描述；對內部控制管理的評價；審計結論；對改善內部控制管理的建議。

（4）全面風險管理和內控自評價審計整改

按照PDCA方法，加強過程審計，通過制定審計計劃、按照方案實施審計，針對審計發現問題，制定整改措施，形成閉環。將各類審計結果轉化為審計成果，有效維護體系運轉。

四、全面風險管理和內控體系建設效果

通過全面風險管理與內控體系的建立，加強了公司風險管理與內控的有效融合。全面風險管理體系建設是在已有內控體系的基礎上，導入風險管理的概念，經過辯識、評估等一系列科學系統的方法，建立的風險與內控體系。內控體系重點在于防范與規避風險；全面風險管理體系更強調在防范與規避的基礎上，有效利用風險創造更大價值。內控體系更強調執行層面；全面風險管理體系更關注企業全局。建設過程中更加強調：全面風險管理體系建設與內控體系深度融合。

五、全面風險管理和內控體系建設存在的問題

全面風險管理和內控體系建設工作，涉及面廣，參與人員多。在企業經營工作繁重的情況下，即要按照計劃進度完成工作，又要保證體系建設質量，是體系建設中的重要環節。

六、全面風險管理和內控體系建設建議

加強組織領導。體系建設負責人要高度重視、統籌安排此項工作。制定具體落實方案，將任務落實到位。

參考文獻：

[1]蒲育軍.淺析風險導向審計在國有商業銀行的應用[J].中國內部審計，2010（127），48-51.

[2]鄺滿維.內部審計在企業內部控制評價中的應用研究[J].中國內部審計，2010（127），40-43.

[3]劉德恒.國有企業內部控制框架[M].機械工業出版社，2009.

[4]馬紅亮.房地產公司風險導向內部審計案例分析[J].中國內部審計，2012（160），54-55.

[5]馬劍華.風險導向審計在大型企業集團的應用策略[J].中國內部審計，2012（154），60-61.