內控與風險管理指南

文/中興新云·財務云

各種不同行業、不同業態的企業有不同的內控與風險管理的方法，但其最終目的都是幫助企業在業務經營活動中防范及規避風險的發生，避免給企業帶來經濟損失。

公司治理、風險及合規管理（Governance，Risk & Compliance，以下簡稱“GRC”）是指企業為滿足內部和外部的法定要求和標準，而開展的建立公司治理結構、識別并設計受法規影響的流程、識別及評估風險、設計及實施內部控制系統、監督并改進內部控制系統的有效性等工作。

風險內控及合規管理定義

1、企業風險管理

一個持續經營的企業不可避免地會面對各種各樣的風險，如因環境變化或不明朗的政策引起的環境風險、因不適當的引導綱領和規劃而產生的戰略風險以及企業參與投資活動產生投資風險，企業運作必然會有資金風險，甚至因為人為原因產生的道德風險，特別是隨著社會和經濟的發展，企業在不斷變化的市場環境下的交易行為和自身組織創新也產生了各種風險。

企業風險管理的目標是通過對企業的風險進行控制和管理，盡可能使得某一風險事件或行為造成的損失比預期小，創造的價值比預期大，即風險溢價最大化。具體地說，根據企業確定的任務或預期，管理者制定企業的戰略目標，選擇戰略并確定其他與之相關的目標在企業內層層分解和落實。確定了企業的目標，才能夠確定對目標的實現有潛在影響的事項。企業風險管理就是提供給企業管理者一個適當的過程，既能夠幫助制定企業的目標，又能夠將目標與企業的任務或預期聯系在一起，并且保證制定的目標與企業的風險偏好相一致。企業風險管理目的在于企業目標的實現，保證股東財富的最大化。

企業風險管理涉及企業各個層次的員工，滲透于企業各項活動中的一系列行動，這些行動普遍存在管理者對企業的日常管理中，是企業日常管理所固有的。企業必須從全局、從總體層面上考慮企業的各項活動，應以風險組合的觀點看待風險。風險管理過程應用于企業內部每個層次和部門，應考慮組織內所有層面的活動，從企業總體的活動（如戰略計劃和資源分配）到業務部門的活動（如市場部、人力資源部），再到業務流程（如生產過程和新客戶信用符合），而不是孤立地進行若干個獨立的風險管理。對企業管理者而言，對企業所面臨的風險應樹立總體層面上的風險組合觀，應從風險管理的有效性考慮，通過對企業不同階段不同方面的各種風險的識別和評價，并在此基礎上優化組合各種風險防范策略，對風險實施有效的控制和監督，以最少的成本獲得最大的風險溢價。

風險是客觀存在的，企業無法回避它給企業發展帶來的影響，企業需要有意識地面對風險。風險是可以預防和控制的，通過風險管理、風險控制，不僅可以帶來風險價值，也可以創造風險溢價，這是成功風險管理的關鍵。

2、企業內部控制

企業內部控制是風險應對的手段，正是因為存在各種各樣的風險，企業才有必要建立良好的內部控制系統，從而保證企業目標的實現。內部控制有利于提高企業經營效率，降低資產損失風險，有助于保證財務報表的可靠性、企業經營活動的合法合規性。

內部控制體系能夠有效地監督業務流程的運行情況，并在發生違規業務時及時報告。內部控制體系設計不是一成不變的，需要根據企業實際的狀態以及所開展的業務靈活設定，但是必須要遵循一定的標準體系。企業在初創期和業務發展期，由于業務發生的需要，通常會制定較為靈活的政策和業務流程，從而適應客戶多變的需求。而進入穩定期且業務成熟以后，其靈活的業務流程會慢慢地向標準化和規范化演變，會更加注重業務流程執行的合規性，保證企業的長期穩定和健康發展。應當說，企業業務流程執行合規與否，與企業內部控制建設和推行力度有非常密切的關系。

COSO《企業風險管理框架》（如圖1所示）。

3、企業合規管理

企業的合規管理是指企業通過制定合規政策，按照外部法規的要求統一制定并持續修改內部規范，監督內部規范的執行，以實現增強內部控制，對違規行為進行持續監測、識別、預警、防范、控制、化解合規風險的一整套管理活動和機制。合規管理，是內控的一個重要方面，也是風險管理的一個關鍵環節。全球化經營的企業尤其要關注海外經營國的合規要求，防范合規風險。

全球貿易條款，越來越多的中國企業開始執行跨境貿易，跨境貿易與境內貿易不同，除了在管理貿易合同、費用結算、收發貨等傳統的內容之外，更需要關注與各國海外相關的關務事宜、關稅事宜以及在跨境貿易過程中不可避免的貿易禁運、貿易黑名單、自由貿易協定、貿易最惠國待遇等內容。

圖1 COSO 企業風險管理整合框架

內控&風險管理系統概述

1、內控&風險管理系統體系架構

內控&風險管理系統，處于企業財務信息系統架構中的管理層（如圖2所示），專注于企業如何防范風險、如何做到更有效的內部控制，規避企業在業務經營過程中所可能發生的各類風險和不合規行為。內控&風險管理系統與企業的多個業務系統和財務系統集成，因為企業的內控和風險管理體現在所有業務流程和信息系統中，而并非某個單獨的系統中。

2、內控&風險管理系統產生的背景

（1）難以滿足持續合規要求。由于企業內外部環境的變化，企業需要相應的調整管理體系，以滿足持續合規的要求。首先，外部法律法規及標準的增加或調整，需要企業增加新的管理體系或調整已有管理體系以滿足合規要求。其次，當公司的組織結構、業務模式及業務流程發生變化時，也需要相應調整管理體系，以真實反映公司業務現實，滿足合規要求。

基于傳統的手工式的管理方式，內控管理不僅效率低下，而且無法保留完整的證據鏈，可追溯性差，難以保證內控與風險管理的有效性，不能完全滿足外部監管需求，也不能為管理層的對外承諾提供保障。

（2）內控規則與業務活動難以融合。業務流程管理是企業管理的基礎，也是進行內部控制的基礎，內控管理要在企業中充分發揮作用就必須與企業業務流程管理進行結合，傳統的人工檢查，難以覆蓋并深入到企業的各個業務流程中，在企業新業務模式不斷出現的情況下，內控難以實現，或滯后于業務發展。

（3）風險管理缺乏系統、科學的工具。企業中風險管理活動往往是瞬間或間斷性的，很多企業意識到了就進行管理或者根本是在無意識狀態中進行，缺乏系統、科學的管理工具。風險管理工作，沒有統一的系統來規范形成統一的術語、標準，各業務單位有的使用自己的IT工具來管理，有的完全依賴Excel表格。企業對風險數據的搜集匯總分析完全依靠手工，無法通過IT監控建立預警指標，影響風險管控的精準性與時效性。另外，企業總部與業務單位之間的信息往來溝通安全性差、周期長、低價值的重復性工作較多，不利于數據積累和沉淀，也在一定程度上制約了風險報告預測決策性價值的發揮。

圖2 內控&風險管理系統架構圖

圖3 企業全面風險管理與內控管理的四道防線

內控&風險管理系統流程

企業的全面風險管理與內控管理流程中，可以分解為四道防線（如圖3所示）。

企業的董事會和高管層是全面風險管理工作能夠順利開展和推進的基石，沒有領導的支持，這樣的工作是無法完成的，董事會和企業高管層在制定企業戰略目標的過程中，應當考慮其可能面臨的風險，并通過逐級推進的方式對這些風險進行應對和控制，從而保證企業戰略目標的達成，這是第零道防線。

第一道防線是企業的各級業務部門。各級業務部門在執行業務的過程中，需要具有風險防范的意識和方法，并及時阻止可能出現的風險事件。這要求企業在其發展過程中，需要具備良好的風險管理文化和風險管理意識。

第二道防線是企業風險與內控管理的職能部門。對于第二道防線來說，需要為處于第一道防線的業務部門提供有效的風險規避與防范工具，例如定期的風險評估、實時的風險預警體系建設等，這些都是風險管理職能部門需要做到的。而對于內部控制職能部門來說，建立有效的內部控制體系，進行定期的評估和測試，并對所發現的內部控制問題或者內部控制缺陷進行有效地不間斷地跟蹤，以確保內部控制體系能夠有效地實行，這是內部控制職能部門的職責所在。

第三道防線是企業的內部審計部門，這是企業在業務風險管理與控制層面的最后一道防線。內部審計部門開展的工作對于企業業務的穩定運行和企業的可持續發展是非常重要的，其職責范圍主要定位于對企業的業務經營信息和狀況進行定期的審查和內部稽核。

健康的風險管理和內部控制體系是需要上述的四道防線緊密協同工作的。業務部門處于業務的第一線，利用風控管理職能部門在風險控制方面的理念、方法、工具等及時地發現業務風險，采取應對手段和控制措施。風控管理職能部門則需要在企業推行良好的風險管理文化和風險控制體系，為業務部門輸送可以應用于實際業務的“彈藥”。內部審計部門作為企業風險控制和業務稽核工作的最后一道防線，通過嚴格的審計方法和審計程序執行稽核，保證企業重大業務事項的順利開展和推進。

圖4 內控&風險管理系統功能框架

圖5 風險管理模塊系統邏輯

內控&風險管理系統功能介紹

1、內控&風險管理系統總體功能框架

完整的、整合的內控&風險管理系統是企業風險管理和內部控制的綜合性智能管理平臺，包括分析、設計、測試、整改、監控等GRC全流程系統化，在系統上實現工作流的自動化。系統自動掃描相關系統的控制，實現實時控制監控，并擁有強大的報告功能，保證管理層能夠及時地、全面地了解企業內部控制在合規上存在的問題。內控&風險管理系統一般包括風險管理、內控管理、審計管理等模塊（如圖4所示）。

2、內控&風險管理系統具體功能

（1）風險管理。

風險管理功能將風險記錄以及處理過程信息化，替代目前的風險清單的手工提交和匯總過程，從而逐步建立風險庫，實現風險報告自動化，并通過建立風險估算和分析模型的方式將風險管理融入到業務的實時環境中。風險管理模塊系統邏輯（如圖5所示）。

風險識別，主要完成收集、梳理、辨識戰略風險、運營風險、財務風險和法律風險等風險事件，并分類提交到風險事件庫中。風險問卷子模塊內置了多種辨識問卷，如財務類、運營類等風險問卷，可通過評估問卷的在線發布，讓風險專家等通過網頁方式進行風險評估，提高效率。

風險評估，風險評估的結果可以是定性的，也可以是定量的或者混合型的，風險評估的方法可以是單人評估，也可以是多人同時進行評估，風險評估子模塊中可以自由設置用戶權重，并根據相應的計算公式，自動完成統計評估結果，提高評估階段的工作效率。風險評估的手段可以通過直接登錄評估表單進行，也可以通過調查問卷的方式進行。風險評估的結果能夠直接反應在風險管理熱圖中。

風險應對，內控&風險管理系統既能夠支持一般意義上的風險應對計劃，也可以支持通過內控管理進行風險應對。風險應對計劃可以線下執行，線上更新結果，也可以和其他系統中的特定業務流程掛鉤，自動更新應對結果和實際效果。

風險監控與報告，監控關鍵風險指標以及風險應對的有效性和完整性，記錄風險事件和損失，生成風險報告。

除了風險管理主流程的系統功能，內控&風險管理系統還具有基本信息管理、風險矩陣、風險熱圖、風險預警、損失事件管理及駕駛艙展示等功能。

基本信息管理，與風險管理相關的各類國家相關制度、案例，企業風險管理手冊指引等規章制度。

風險矩陣，將風險矩陣中的風險列表分解到各部門、對應維護人員，進而可擴充維護信息。風險矩陣能夠分層級（比如標準風險庫、總部風險庫、分公司風險庫、項目風險庫）、分類別（比如戰略風險、財務風險、市場風險、運營風險、法律風險）的管理風險，可按層級或業務領域輸出風險矩陣和風險清單。在風險矩陣中，可以連接相關制度條款、查看風險相關事件、對應的控制點及內控流程，實現風險與內控、制度的關聯。同時，通過與流程的關聯，可實現風險列表與各業務崗位的關聯。

風險熱圖，基于風險評估過程，生成反映公司總體和各級單位的風險分布圖表，以及按業務流程或業務領域的視角來輸出，可以輸出流程和組織不同維度的圖標。對于評估風險等級高的風險點可進行“新增控制措施”和“優化控制措施”操作，同時將風險等級高的風險點落點區域標記為高風險領域。風險熱圖可以多維度展示，從可能性、影響程度、變動趨勢等維度對固有風險和剩余風險進行分析，分析結果可以直觀的柱狀圖、餅狀圖、折線圖等方式進行展示。

風險預警，含關鍵風險指標的設置、派發，關鍵風險指標數據的呈報、關鍵風險指標數據的查看等子功能。支持預警管理功能，運用關鍵風險指標和模型等手段對風險實施監控，收集和維護企業內外部風險事件及相關數據，為預警監控提供數據基礎和依據。內控&風險管理系統與其他系統對接，使用數據倉儲技術（Extract-Transform-Load ETL）工具來自動形成指標數據的展示。指標的異常能夠與行動計劃工作流整合，比如觸發郵件、輸入分析內容等。

損失事件管理，內控&風險管理系統支持風險損失事件的管理，包括按照業務類型和原因進行時間分類和記錄歸檔，維護風險損失事件數據庫；已經發生的損失事件，可以與以前的風險管理過程數據進行比對，分析原因，便于相應的處理調整。能夠在按既定格式提供的接口文件中讀取數據，亦可通過系統內的工作流搜集損失事件數據，與行動計劃工作流整合。

駕駛艙，類似商業智能系統的展示功能，將風險管理關鍵數據以儀表盤、柱狀圖、折線圖等直觀方式進行推送（如圖6所示）。提供各類風險報告模板，支持定制客戶化風險及內控相關報告、報表；支持報告編制、審批、發布的全過程管理；支持自動計算、匯總風險管理報告所需數據，自動匯總、傳遞企業內部及各個層面之間的溝通信息、內部專題通報等。通過可視化圖表分析風險數據，提供決策支持依據。

（2）內控管理。

內控手冊，內部控制手冊是企業開展內部控制工作必要的基礎內容，也是指導企業開展內部控制非常重要的內部指引性文件。內部控制手冊的主體內容是企業內部控制矩陣，包含企業內部控制所涉及的所有業務流程、子流程、風險點、控制點、相關的政策及法律法規、控制點測試步驟及方法、所負責的業務部門以及相關的負責人等信息。內控手冊維護如圖7所示。

內控評估與測試，是企業內部控制工作開展的主要內容。用結構化的方法開展自我評估，關注業務過程和控制成效。通過設計、規劃和運行內部自我評估程序，有組織性地對管理控制和治理負責。

①測試程序設置。基于風險矩陣數據，為每一個控制措施定義其測試指引信息，如樣本來源、樣本數量、抽樣方法以及測試程序等信息。

圖6 風險管理駕駛艙示例

圖7 內控手冊維護

②測試工作展開。基于測試程序要求，記錄測試過程；支持基于樣本和總體的測試；基于測試過程中發現的問題，能夠調整內控手冊描述、修改制度等；記錄缺陷評價、整改措施。

③自動測試。關鍵內控點監控與管理，挑選控制點中能夠量化的關鍵控制點，通過系統集成的方式進行實時監控，及時預警。通過數據集成方法，實現與其他業務系統的數據采集、清洗、轉換、裝載，可利用規則算法對采集到的監控數據進行規則計算和處理，實現對業務系統內控執行的數據變化情況進行實時監控和分析，提取出可用的樣本信息，加入樣本庫，分配至內控評價工作底稿，進行多角度的內控評價和樣本測試，對于可量化的樣本可進行自動測試。

④內控缺陷整改。內部控制測試過程中所發現的問題被稱之為內控缺陷。對于內控缺陷的管理是所有企業在內部控制評估項目過程中最為重視的內容，也是在內部控制報告發布的內容中最為關鍵的部分。內部控制缺陷管理的過程包括在測試評估過程中所發現內控缺陷的報告，后續整改計劃的制定、執行和進度跟進，內部控制缺陷發布等級的逐級認定過程，以及內部控制缺陷和內控報告的簽核過程。內部控制缺陷等級的逐級認定是在企業年度內部控制測試評估項目中非常重要的環節，所認定的等級與內部控制自評報告中所發布的等級一致，因此對于企業管理層來說非常重要和關鍵。

內控報告，統一提供大量預置的內部控制報告和報表，允許用戶在系統中進行各類信息的查詢和跟進。報表的內容主要包括內部控制矩陣、內部控制測試和評估進度、內部控制測試和評估結果統計分析、內部控制缺陷報告以及內部控制缺陷整改報告等內容。

（3）內審管理。

審計功能模塊的總體目標有以下五個方面：

①以風險為導向的審計：按業務流程和風險因素編制風險導向的審計計劃；提供深度風險管理報告；匯總公司各類風險情況，確定和安排審計工作。

②電子工作底稿：采用統一的審計方法，高質量地完成審計工作；全面記錄工作內容和重要信息；審計結論與過程記錄保持一致，任何一點均可隨時追溯并復核；審核工作不受地域限制；實現審計報告自動化，縮短報告編制時間；共享知識以備下次審計。

③審計跟蹤：監控和追蹤審計發現的后續整改；幫助審計對象實施整改追蹤；提升擴大審計成效。

④審計資源管理：維護審計人員技能和知識檔案；根據審計項目需要的技能和知識分配資源；實現審計資源利用率最大化。

⑤審計知識庫：記錄并交流最佳實踐審計經驗；復用和改進審計方法；共享各種知識，包括法律法規、審計報告、審計底稿、審計問題、技巧方法等。

內審管理模塊功能如圖8所示，具體可以分解為：

年度審計計劃，年度計劃的制定依據，均有系統支撐及相關記錄。年度計劃可以分解為半年計劃、季度計劃、月度計劃以及各類計劃的變更、查詢功能。

審計項目開展，項目啟動時，項目組長根據項目特點，可以從部門標準知識庫中選擇適當的審計方案。若是以往未開展過的或未規程化的審計項目，審計組可以在部門已有標準知識庫的基礎上有選擇性地選用適合的程序或制定新的審計程序，然后擴充更新到部門標準知識庫中，供以后使用。項目組長完成方案編制，并審批完成，根據方案中的內容，為項目成員分派任務。

電子底稿管理，底稿由系統自動編號，對底稿模式、審計信息等要素進行統一規范，清晰地反映審計任務目標、執行步驟/要求/指令、審計過程記錄、審計問題、審計建議、審計結論、底稿編制人及修改/編制時間、各級底稿復核人及復核時間等。

圖8 內審管理模塊功能

圖9 內控&風險管理系統對接示意圖

審計任務和工作底稿的完成進度隨完成情況自動更新，并可以提供實時完成進度統計，包括：程序/底稿完成待審閱數量、程序/底稿審閱完成數量、程序/底稿正在執行中數量、未開始執行的程序/底稿數量等，方便項目組長實時管控項目進度。項目組長可以看到項目組成員上傳的審計底稿，進行底稿審閱、進行批注，項目組成員根據底稿審閱意見進行相應修改。

底稿能夠支持自動轉化為審計報告。根據事先配置好的原則，抓取電子工作底稿中相關內容，轉化至審計報告草稿模板。底稿中要體現審計報告中的各要素，從一開始編制底稿，就是為編制報告而服務，相關干系人都可以參與提供建議或幫助。

審計報告，支持審計報告征求意見環節：按權限分發審計報告征求意見稿，對方直接回復意見，可進行郵件催辦。支持審計報告的發送、借閱、檢索、日志管理。

審計知識庫，審計人員可將收集整理的審計方法、審計程序、分析模型、工作經驗、作業經驗等按照不同分類，分別存儲到審計經驗庫中。在工作過程中，審計方案、底稿等內容，可轉換整理到審計知識庫中。審計資源庫實現對各種法律法規及內部制度的集中管理。能夠自定義多級分類，對各種法律法規及公司內部制度進行分類管理，如：會計法、會計準則、審計準則、合同法、公司法、稅法、票據法等分類創建。可按多個條件進行檢索，并能夠在編制審計底稿的同時將相關法律條款進行引用，自動嵌入審計底稿中，并支持權限控制下的法規維護。

內控&風險管理系統信息對接管理

內控&風險管理系統與企業多個系統存在對接關系，包括業務系統、HR系統、門戶系統以及OA系統和郵件系統（如圖9所示）。

內控&風險管理系統與企業多個應用系統對接，嵌入企業整體運營流程，實現了風險管理、流程內控和信息訪問權限事前、事中和事后的全程管理。內控&風險管理系統通過一定的程序和方法對其他應用系統中所涉及的流程和關鍵控制點進行定期的檢查和確認（信息系統審計和稽核過程），確保系統的配置或參數設置是符合企業的實際要求的，而對于流程的變更、配置或者參數的變更是經過必要的變更流程（審批流程），在應用系統中有相應的變更日志記錄所有發生的變更內容、發生時間和相關執行變更的人員。

因此通過內控風險管理這樣專業化的系統對其他系統中的現有流程、關鍵控制點進行連續不間斷地實時監控，可以實時檢查其他系統的流程控制點設置及其變更情況，及時了解其他系統中業務流程的合規性狀況，并給相應的合規性報告。

內控&風險管理系統實施意義

內控&風險管理系統是企業風險管理與內部控制的整合性平臺，從風險信息的收集，到風險智庫的建立，再到風險點的調查與評估、風險點的應對和控制以及風險管理與控制的報告生成等，均在統一的平臺上完成。內控&風險管理系統在應用過程中將企業在風險管理和內部控制的體系架構、管控內容進行落地和實現，從而幫助企業更有效率地執行其風險管理與控制工作。

（1）搭建統一透明的內控平臺。內控&風險管理系統將所有的流程、控制描述，測試文檔和合規報告統一在一個系統平臺上，顯著降低了管理多個地區合規操作的人力和成本，也更有利于管理層識別合規缺陷與差距。同時，借助內控&風險管理系統，企業所有的管理層和內控部門可以在一個平臺上校驗系統內可能存在的不合理權限設置和職責沖突風險，讓各個部門中存在的風險盡可能完全透明化。

（2）將風險管理由事后核查轉變為事先預防。對于任何權限審批與變更，內控&風險管理系統都強制要求經過預定流程，并且調用職責分離規則來自動地分析識別新舊角色和權限之間是否存在沖突，實時作出提醒和預警，這樣各級領導在審批權限的時候就能知曉是否造成職責沖突，迅速判別潛在風險，避免在風險影響到業務的時候才采取“馬后炮”式的補救措施，強制性的流程設置也杜絕了因人為疏忽和徇私舞弊造成的訪問例外情況。

（3）提供全面準確的風險圖譜，提升風險應對效果。內控&風險管理系統幫助企業開展主動的，各方面協作的流程以平衡企業所有層次上財務，合規及業務操作方面的機會與風險，統一公司的風險語言，強化預警效果，提升風險應對效果，釋放低價值方面的工作內容，并且給企業管理層提供全面的、準確的、實時的企業風險圖譜，幫助管理層風險排序，安排應對方案。