基于ERM框架下內部控制體系的構建

曹倩

摘 要：隨著金融改革的不斷深化，金融業面臨的內外部環境愈加復雜，風險管控面臨嚴峻的挑戰。近年來，中國華電集團財務有限公司（以下簡稱“華電財務”或“公司”）作為一家全國性非銀行金融機構，不斷適應復雜多變的內外部經營形勢，學習借鑒國際先進的COSO框架和COSO-ERM框架，積極探索構建以風險為導向的內部控制體系，努力打造集團金融風險防控中心，保證了公司的持續健康發展。

關鍵詞：COSO框架 ERM框架 內控 風險管理

中圖分類號：F231.6 文獻標識碼：A

文章編號：1004-4914（2016）10-111-02

一、COSO框架、ERM框架和《企業內部控制基本規范》介紹

（一）COSO框架和ERM框架

1992年9月美國COSO發布《內部控制——整合框架》，并于1994年進行了完善，COSO框架是目前國際上認同度最高和最權威的內部控制概念框架。自COSO框架發布以來，已被世界上許多企業采用，但是隨著實踐的發展，理論界和實務界紛紛提出COSO框架的建立應與企業的風險管理相結合。2004年9月，COSO發布了《企業風險管理——整合框架》（簡稱《ERM框架》），新的框架是在1992年COSO框架的基礎上，結合《SOX法案》在報告方面的要求，將構成要素擴展至八個要素，具體對比如下：

與COSO框架相比，ERM框架更為廣泛，無論在內容還是范圍上都有所擴大和提高，引入了風險管理的理念，拓展和細化了內部控制，形成了一個更全面、更強有力的風險整合系統。

（二）《企業內部控制基本規范》

為了規范國有企業內部控制建設，五部委在2008年聯合發布《企業內部控制基本規范》（以下簡稱“規范”）以及一些配套指引。規范及配套指引的發布，標志著我國內部控制規范體系的基本形成，是我們內控體系建設的里程碑，對加強和規范國內企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益具有重要意義。這些都充分表明國家對內部控制和風險管理的高度重視，在日益發達的市場經濟環境中，在利率市場化的大背景下，風險無處不在、無時不在，企業只有建立了健全的內部控制體系，才能實現企業的持續穩健經營，才能安全抵達美好愿景的彼岸。

二、構建ERM框架下的內部控制體系

財務公司作為集團的風險管控中心、資金集中管理中心，在集團發展戰略中起著雙重作用，既要對內培育和完善企業集團的內部“金融市場”，又要實現盈利目標保障公司持續性發展。因此，財務公司開展內部控制體系建設，既是深入貫徹上級要求，保障集團公司持續健康發展的重大舉措，也是財務公司應對復雜經濟環境，提升企業管理水平的內在需要。

2012年12月，公司作為集團公司內部控制體系建設試點單位之一，按照《中國華電集團公司內部控制與全面風險管理建設指導意見》相關要求，正式啟動內部控制體系建設工作。華電財務公司通過深入研究國際先進的COSO、COSO-ERM、BASELⅢ的內部控制理論，結合自身實際確立了以控制環境為前提、以風險評估為基礎、以控制活動為主體、以持續監督為手段、以信息溝通為保障的內控總體框架，之后不斷進行完善。內控框架如下圖1所示：

公司內部控制體系各要素基本內涵和主要做法包括以下幾個方面：

（一）培育依法合規、全員參與的內部控制環境

內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等，如果沒有內控環境的保證，設計得再完美的內部控制制度、機制也只是“鏡中花，水中月”，發揮不出應有的作用。公司高度重視培育企業文化，將內控文化融入到公司的“金帆文化”中去，公司優秀的企業文化促進了董事、監事、高級管理人員和全體員工的思想和意志的統一，激發了全體員工的潛力和熱情，紛紛積極投入到內控體系建設中去，全體員工都成為了風險的監控者、管理者，使內控真正“內化于心，固化于制，外化于行”。

（二）建立全方位、全過程的風險管理體系

華電財務根據ERM框架拓展了風險評估的內容，將風險管理過程分為目標設定、風險識別、風險分析、風險應對四個步驟，將公司的管理重心更多地向風險管理轉移，四個要素環環相扣，共同構成了風險管理的完整過程。

1.目標設定：風險管理目標是公司進行風險管理的起點，只有設定了正確、清晰的目標才能保證公司的戰略航向不發生偏離。為此，公司每年根據實際情況，通過研判集團、公司戰略、利益相關方訴求等確定公司的總體風險偏好管理策略，作為公司風險管理的統領性文件。

2.風險識別：風險識別是風險分析的基礎，風險識別是否全面、深刻直接影響風險分析的質量，進而影響風險管理目標能否實現。華電財務從實際出發，全面解構公司風險，建立風險數據庫，按照戰略風險、合規風險、信用風險、市場風險、流動性風險和操作風險等分類建立控制規范和底層風險數據，通過對各類風險的識別、評估、分析，制定《風險數據庫管理辦法》，形成風險數據的收集與分析、處理與反饋、更新及維護的動態化運行機制。

3.風險分析。明確風險發生的可能行和影響程度是風險分析的兩大核心任務，華電財務根據風險發生的可能性將風險分為高、中、低三種情況，將風險對目標的影響程度分為重大風險、重要風險、一般風險三級。根據風險發生的可能性和影響程度繪制風險坐標圖，如圖所示：

其中，A區域是低風險區域；B區域是中風險領域；C區域是高風險領域。公司選擇承擔A區域的各項風險且不再增加控制措施；嚴格控制B區域的各項風險且專門補充各項控制措施；確保規避和轉移C區域中的各項風險且優先安排實施各項防范措施。公司編制了覆蓋公司全業務流程的內部控制矩陣，根據風險控制點的重要性程度將風險設為高、中、低三個級別，針對不同級別的風險確定不同的評價頻率，對于內控評價發現的風險，根據其所在的風險區域分析風險發生的情況、原因、整改措施等，確保將有效的管理資源用在關鍵風險點管控之處。

4.風險應對。風險應對是指企業根據風險識別和分析的結果，結合自身的風險承受度和風險偏好，確定風險管理策略，制定風險解決方案，進而把風險控制在風險承受度范圍之內，以實現企業風險管理目標的過程。華電財務的風險應對目標與公司的戰略目標保持一致，通過采用專業的風險計量方法，將定性和定量相結合，匡算出公司總體的風險資本，分別確定了公司總的風險管理策略和各類風險的風險容忍度、風險限額、風險管理策略，通過風險規避、風險降低、風險轉移以及風險承受等方式達到公司風險—收益的平衡。

（三）設置崗位清晰、權責分明的內部控制措施

良好的內部控制措施是保障公司內部控制體系順利運行的重要保障，華電財務在全公司范圍內設計并實施了相應的內部控制措施，確保所有的業務運行規范可控。針對所有業務流程繪制崗位職責不相容矩陣圖，通過不相容職務分離、計算機信息技術和輪崗等手段確保形成各司其職、各負其責、相互制約的工作機制；公司為了避免出現“一支筆”制度和盲目授權，制定了《授權管理辦法》及各項具體業務制度，對業務的辦理實行逐級有限授權，對于重大的業務和事項實行集體決策審批或者聯簽制度，要求任何個人不得單獨進行決策或者擅自改變集體決策。

（四）建立順暢、有效的信息交流與反饋機制

信息與溝通是指企業及時、準確、完整收集整理與企業經營管理相關的各種內外部信息，并借助信息技術，促使這些信息以簽單的方式在企業各個層級之間進行及時傳遞、有效溝通和正確使用的過程。在制度上，華電財務建立信息與溝通的相關制度，確保董事會、監事會、高級管理層及時全面了解公司的經營管理、財務、經營合規性及風險狀況，明確內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行；在系統上，建立“信息共享平臺”，及時發布公司各個層面的信息和數據，確保公司信息傳遞及時、準確、有效。

（五）構建內控評價、內部審計與紀檢監察相結合的內部監督體系

內部監督是企業內部控制得以有效實施的機制保障，在內部控制構成要素中，具有十分重要的作用。華電財務內部監督體系分為：內部控制評價體系、內部審計體系、紀檢監察體系。公司定期開展內控日常評價和年終評價，采取各部門自評價和風險部門再評價的方式，風險部最終出具內控評價報告，編制《內控待完善事項匯總表》，列明完善標準、完善期限，責任具體到部門，定期由風險部門進行督促跟蹤，確保內控評價成果的落地；將內部審計監督職能與內控有機結合起來，將公司內部審計發現問題納入到公司內控評價整改事項中去，實現了內控與內審的資源共享、相融共生；公司配備了專職的紀檢組長，設立了紀檢辦公室，配備了相應的紀檢監察人員，并定期對紀檢監察人員進行培訓。

三、結束語

“有控則正、無控則亂、得控則強、失控則弱”，公司通過建立以企業風險管理為導向的內部控制體系，有效防范了風險，保障了公司的持續穩健經營。隨著內外部環境的不斷變化，公司只有樹立牢固的風險防范意識，不斷總結內控建設過程中的經驗和教訓，堅持與時俱進，不斷改進創新，才能不斷完善內部控制體系，才能在日益激烈的市場競爭中立于不敗之地，才能為集團公司提質增效、轉型升級，建成“三化一流”能源集團作出應有的貢獻。

參考文獻：

[1] 池國華，朱榮著.內部控制與風險管理[M].中國人民大學出版社，2015

[2] 張麗瓊.一種基于COSO框架的內部控制體系建設方法[J].中國管理信息化，2011（12）

（作者單位：中國華電集團財務公司 北京 100031）

（責編：玉山）