內控評價與風險評估信息管理模式探討

楊 帆，富 瓊

(中國電力工程顧問集團東北電力設計院有限公司，吉林 長春 130021)

在現有企業生存環境中，無論是市場競爭、管理提升的訴求，還是國家、行業或上級出臺的文件要求，都給予了內部控制和風險管理體系至關重要的地位。有賴于信息技術的飛速發展與應用，信息系統對市場運行和競爭方式的影響逐步深化，在強化現代公司內部控制與風險管理領域，將先進的信息技術引入應用將更具有現實的戰略意義。伴隨著在體系建設上的不斷投入，我國企業正積極構建現代化模式下的內部控制和風險管理體系，在取得矚目成就的同時其發展和完善水平卻呈現了不均衡態勢。

以筆者所在的中國電力工程顧問集團東北電力設計院有限公司(以下簡稱東北院公司)為例，雖然已經基本建成了相對完善的內部控制和風險管理體系，但其仍使用傳統的人工數據傳遞及處理等操作方式，流程效率低、環節耗時過長已經成為開展該流程所面臨的突出問題。因此，本文對公司內部控制和風險管理業務的新模式展開了探討，分析和研究使用現代化工具作為載體對該業務流程效率和效果的影響，旨在通過開發、構建內部控制和風險管理信息系統，以提高公司內部控制和風險管理的效率、效果和規范性。

1 實施背景

1.1 內部控制與風險評估工作現狀

財政部等五部委、國務院國資委相繼頒布《企業內部控制基本規范》及配套指引、《中央企業全面風險管理指引》，在結合我國內部控制和風險管理實際情況的基礎上為企業開展內部控制和全面風險管理工作提供指導，要求企業建立、完善內部控制和風險管理體系,目前國內多數企業已經初步構建起內部控制與風險管理體系。同時，以信息技術發展為契機，各領域均實現了不同程度的信息化，但在內部控制和風險管理方面尚未形成具有規模的、規范的、得到廣泛認可的應用。無論在體系建設和完善方面，或是信息化應用等方面，其在不同行業、地域、規模之間的發展并不均衡，在經濟發達地區、金融行業、大中型企業中內控和風險管理體系相對完善、信息化應用程度相對較高；而其他企業在體系建立和完善、信息化發展方面相對落后，內部控制和風險管理的效率、效果難以有效提升。

1.2 管理優化的必要性

目前，東北院公司已經基本建立起了相對完善的內部控制和風險管理體系，但其在業務開展上仍是以傳統人工方式進行數據的發放、收集、計算和分析等業務，信息化程度較低且僅作為簡單的計算匯總工具。通過對現有公司內控評價和風險評估業務流程進行梳理和分析，歸納出流程節點主要包括了前期信息整理和模板準備、信息填報、數據處理、決策審批、評價落實情況并形成報告這5個部分，同時對這些節點的耗時情況進行統計發現，流程總耗時達到356天，結合各個節點的參與人次得出流程的總人均耗時為34.9天，對不同節點的人均耗時數據進行了分析，見圖1。

圖1 流程各節點人均耗時對比圖

通過分析發現，現有公司流程中存在著前期信息整理、模板準備和數據處理等節點耗時長、效率不高的問題。其中人工數據處理節點耗時是其他節點耗時的2～28倍，影響了東北院公司內部控制和風險管理水平的不斷提升。同時，進一步對數據處理耗時長這一節點進行原因收集，并對所收集的因素進行逐個分析，最終確定“數據處理耗時長”這一癥結的主要原因為人工數據處理量過大。

為了縮短流程耗時、提高流程效率、改變以紙介質文件為基礎而進行的人工方式內控評價和風險評估流程，經研究論證，通過引入現代信息技術、優化業務流程、將業務流程固化到信息系統中等一系列措施是解決現有問題的必然選擇。同時，開展信息化手段的內部控制和風險管理工作將滿足“管理制度化、制度流程化、流程信息化”的要求，更具有現實的戰略意義，有利于提高公司內部控制和風險管理業務水平。

1.3 管理優化的目標

東北院公司管理優化的目標在于利用信息技術，提高流程效率，進而發揮和提高公司內部控制和風險管理的能力，改善公司的產品和服務質量，以增強市場競爭力。

具體來說，首先要進一步優化公司內部控制評價和風險評估流程，對流程進行深層次解構和重組，識別關鍵流程節點，建立更適合現有公司戰略的、適合信息化應用的業務流程；其次，通過將內控評價和風險評估業務固化到信息系統中，實現工作流程的制度化、標準化，以規范的流程設計強化內部控制和風險管理思路，注重流程的過程控制；最后，運用信息技術對大量內部控制和風險數據的收集、處理、應用及儲存進行操作，提高業務流程效率和數據準確性，為擴大信息收集范圍和系統應用領域、提高數據挖掘分析和風險預警能力等功能方面奠定基礎。

2 內涵和主要做法

2.1 內涵

運用信息技術構建內控評價和風險評估信息管理系統，提高內部控制和風險管理效率和效果是公司管理優化的核心，具體有以下幾個方面的內容：

第一，建立符合信息化操作的、適合公司現狀的業務流程。根據現有內控評價和風險評估工作的開展程序、人員職責、權限設定、評價和評估內容等，對業務流程進行深層分解，同時結合信息技術操作特征構建更完善的業務流程，最終以數據流的形式推進流程。

第二，搭建內部控制與風險管理業務信息平臺，并與現有公司綜合管理信息系統銜接。通過登錄通道以及消息任務、辦公任務的集成，實現該平臺與企業級辦公平臺的一體化，將內部控制和風險管理理念滲透到公司決策以及日常運營的各項業務中。

第三，進一步拓展原有固定用途的流程適用領域，擴大數字信息的采集、處理和應用范圍。以內控評價和風險評估信息系統為基礎，擴展參與人員、部門范圍，延伸評價內容、深度，增強數據信息處理能力及風險預警能力，從現有公司層面評價擴大到對業務層面風險和專項風險等不同層次需求的評估工作，對數據進行深層分析，為公司各項決策提供數據支持。

2.2 主要做法

(1)建立公司內部控制和全面風險管理的內部環境

內部控制是風險管理的一部分；風險管理是目標，內部控制是實現目標的手段。根據公司的全面風險管理框架(見圖2)，建立和實施有效的內部控制應包括內部環境、風險評估、控制活動、信息與溝通和內部監督等要素。圍繞著風險管理策略目標，通過設置組織機構、制定并發布內部控制相關制度、流程手冊等體系文件，搭建起公司內部控制體系，將風險管理理念嵌入到公司的整體戰略、運營政策和企業文化中，保障內部控制和風險管理工作的有效開展。

圖2 全面風險管理框架

(2)全面梳理業務流程，識別關鍵內部控制節點，建立規范的、適合現狀的工作流程

按照不同節點上的人員分工和相應職責對業務流程進行逐一分解，再根據各個環節之間的相互關系重新聯結起來，同時明確不同控制節點的順序、具體控制內容以及對應職責權限，突出流程控制重點和目標，為后續構建信息管理系統提供依據。例如通過明確業務數據流向及處理方式，將某項重大風險涉及的所有部門均收到并填報防控措施內容的流程調整為指定某一個歸口管理部門，由其進行防控數據的收集和后續整改跟蹤，理順了該節點的數據流，有利于業務流程的有序開展，且方便信息化的人員操作，梳理后公司內控評價和風險評估工作的基本流程見圖3。

圖3 內控評價和風險評估流程圖

(3)在信息系統平臺上固化內控評價和風險評估全過程，搭建內部控制評價和風險評估信息管理系統，實現業務管理方式的優化

基于經梳理過的內控評價和風險評估業務流程，東北院公司以數據處理為起點，通過對數據的錄入、運算、傳遞、審批、匯集等操作進行信息化轉變，并根據梳理后的流程次序將各節點連接起來，最終開發出內控評價和風險評估信息管理系統。以數據流的形式實現了從風險調查問卷制作、風險識別、風險分析到風險評價整個風險評估過程和風險應對、防控跟蹤過程，以及從內部控制自我評價、內控整改措施開展、職能管理部門獨立評價到缺陷整改追蹤的全過程信息化操作與監督，減少不必要的信息匯集、傳遞、編輯等過程，數據流示意見圖4。

圖4 數據流傳遞示意圖

在規范了數據信息及流程的同時，涵蓋了對人員職責分工與流程各個節點的精確匹配、不同角色的權重設置與管理、風險得分自動計算、排序及抽選、5×5風險矩陣分析、風險坐標圖一鍵生成、內控評價和風險評估數據庫管理、全范圍風險信息收集等，輔以系統判斷避免漏填、觸發違反流程走向按鍵等輔助功能。見圖5為東北院公司開發出的風險評估調查問卷信息化填報界面，根據填報結果管理員可以一鍵生成公司年度重大風險同時提供風險地圖，見圖6，為公司進一步決策提供數據支持。

該內控評價和風險評估信息管理系統將內部控制和風險管理業務范圍內涉及的人員、數據、業務等內容全部整合在以現有綜合管理信息系統(OA系統)為基礎的操作平臺上，采用B/S結構模式，用戶采用一鍵式登錄綜合系統，并與綜合管理信息系統進行了消息任務和辦公任務的集成，實現了內控和風險管控平臺與企業級辦公平臺的一體化，做到功能界面清晰、簡潔、操作便捷，同時提供側邊導航菜單，實現管理員對流程節點的快速定位、查看及實施跟蹤監督和催辦等輔助功能，見圖7。

圖5 風險評估調查問填報界面

圖6 重大風險確認界面(風險地圖)

圖7 內控評價與風險評估信息系統側邊導航菜單

3 實施效果

3.1 管理提升效果

(1)內控評價和風險評估信息管理系統是嚴格基于經梳理后、規范的業務流程構建的，流程各節點對應人員職責內容、操作權限明確，有利于不同職責間的整體協同。以點對點、角色對角色的數據流方式固化流程，避免了跨環節、跨職責分工開展內控評價和風險評估業務等問題，使流程更具有規范性，滿足“管理制度化、制度流程化、流程信息化”的要求。

(2)經過對內控評價流程和風險評估流程的測試和運行，在實際工作流程中尚未發生不可預知的問題，用戶能快速上手操作，并且節省了傳統流程方式中紙介質文件制作和傳遞、人員審批、會議召集、數據處理、繪制風險地圖等過程耗費的人工、物料和時間成本，增加了大量數據錄入、計算和分析的速度及準確性。

經對主要流程節點的耗時及參與人次進行重新的統計和計算，各流程節點的人均耗時均有不同程度的減少，具體比較結果見圖8。其中，數據處理節點的人均耗時從19.89天減少為為2.33天，一次完整流程總人均耗時也由34.9天減少為16.12天，較傳統人工方式流程節省了耗時50%以上、節約耗紙近千張，大大提升了內控評價和風險評估業務的工作效率，原有人工方式開展流程效率低的主要癥結也得到了徹底改善。

圖8 優化活動前后各節點人均耗時對比圖

3.2 社會效益

內控評價和風險評估信息管理系統的開發與應用在行業內仍處于領先地位，為信息化在內部控制與全面風險管理工作領域的發展起到了強有力的推動作用，進一步幫助企業增強內部控制和風險管理能力，對推動市場健康發展、企業有效競爭具有重要的戰略意義。

4 結語

現有內控評價和風險評估信息系統能有滿足公司發展、外部監管需要，但對其的應用仍有很大的擴展空間。

首先，擴大內控評價和風險評估信息收集的范圍。應用信息系統能夠實現獲取更廣泛、更全面的評估、反饋信息，同時實現參與內控和風險管理工作的人員范圍涵蓋從業務執行層到決策層，真正達到與企業文化相結合，人人參與人人防控。

其次，擴展系統的應用領域。先有系統僅在公司層面風險評估工作中應用，可以延伸到業務層面風險和專項風險評估層面等不同層次需求的評估工作。

最后，深入系統功能開發。開發并細化如數據庫管理、數據多種類多方式分析、風險預警等功能，加強系統的實用性，并積極應用和推廣，為公司戰略決策提供數據支持。

[1] 中國內部審計協會．中國內部審計信息化發展報告[J]．中國內部審計，2014，(3)．

[2] 財政部 證監會 審計署 銀監會 保監會．企業內部控制基本規范 [2008] 7號[Z]．2008．

[3] 國務院國有資產監督管理委員會．中央企業全面風險管理指引[2006]108號[Z]．2006．

[4] 張悅涵．內部審計信息化的發展現狀、趨勢與對策[J]．中國內部審計，2013， (8)．

[5] 趙晶，張輝，關振宇．信息化下內部控制—風險評估應對方案探討[J]．商業會計，2015，1(2)．