公司風險管理和內部控制體系建設的評價體系構建研究

文/孫樂，中國航發南方工業有限公司

為充分發揮風險管理和內部控制“揭問題、強管理、防風險、推改革、促發展”的作用，上市公司、國有大中型企業、其他企業積極開展風險管理和內部控制體系建設。但是，大部分企業尚未建立風險管理和內部控制體系建設的評價模型，不利于對公司風險管理和內部控制體系的建設情況進行定量評價，也不利于集團各所屬單位風險管理和內部控制體系建設的橫向比較。

1 公司風險管理和內部控制體系建設評價體系的構建原則

1.1 適應性原則。風險管理和內部控制評價體系應適應公司經營模式及發展階段、公司風險管理和內部控制體系建設階段的需要，促進建立健全大型企業集團各層面協調一致的、符合外部規范及公司內部需求的風險管理和內部控制體系。

1.2 有效性原則。風險管理和內部控制體系建設評價旨在促進形成各項主要業務活動中風險管理和內部控制機制健全有效，重大風險監控到位，突發應急預案健全，風險管理和內部控制工作日常化、系統化、信息化運行并具備自我完善功能。

1.3 以評促建原則。對公司風險管理和內部控制體系建設工作及其成果進行評價，發現不足，提出建議，促進公司風險管理和內部控制機制體制迭代完善。

2 公司風險管理和內部控制體系建設評價體系的構建方案

公司風險管理和內部控制體系建設評價體系分為內部環境、風險評估、控制活動、信息與溝通、內部監督等5 個部分，共360 分。《風險管理和內部控制體系建設評價表》見下表：

風險管理和內部控制體系建設評價表

2.1 內部環境評價

內部環境總分65 分。《內部環境評價表》見下表：

內部環境評價表

其他領導機構承擔風險管理和內部控制領導職責。3風險管理和內部控制領導機構履行職責，審核風險管理和內部控制重要工作方案、工作成果，參與風險管理和內部控制工作會議，對風險管理和內部控制工作提出建議或做出批示。5 4按照“業務誰主管，風險誰主抓”的原則，充分發揮業務部門風險管理第一道防線的職能作用。明確各業務部門在風險管理和內部控制工作中的職責，將風險管理和內部控制的工作要求落實到具體業務流程中。10 5 明確風險管理和內部控制牽頭部門；具備條件的單位，單獨成立風險管理部門或處室。5（二）人員配備6 配備風險管理和內部控制專職人員，專職人員應具備一定的專業知識和崗位勝任能力。5 7 各業務部門配備至少一名風險管理和內部控制兼職人員，并明確其崗位職責。5（三）政策制度8建立風險管理和內部控制相關制度，制度內容完善，涵蓋風險管理和內部控制主要要素，如組織結構、工作內容、工作程序等。5 9編制公司風險管理和內部控制工作規劃和年度計劃，并在計劃時間內完成風險管理和內部控制規劃和年度計劃。5（四）文化建設10通過多種手段對風險管理知識和理念進行宣傳（如培訓、報紙、期刊、簡報、風險管理網絡平臺等），每年至少進行2 次宣傳。5（五）績效考核體系11 建立風險管理和內部控制考核辦法，明確考核指標體系、考核程序等。5 12明確風險管理和內部控制考核結果的運用，如是否和部門/單位年終考核、人才選用、干部任免等相掛鉤。5

2.2 風險評估評價

風險評估總分85 分。《風險評估評價表》見下表：

風險評估評價表

告機制。4加強對未來面臨風險的全局性、趨勢性研判，運用風險列舉、對標檢查、穿行測試等方法，廣泛、持續不斷地收集與本公司風險和風險管理相關的內部、外部初始信息，建立公司層面重大風險的評估機制、標準和程序。5（二）風險識別5 把收集初始信息的職責分工落實到各有關職能部門和業務單位。5 6風險初始信息包括廉潔、法律、保密安全、對外投資、宏觀環境、市場、質量、戰略、運營、財務、人力資源等方面。5 7建立公司內部的風險事件庫，風險數據庫應覆蓋全面，描述到位，其中風險事件不少于30 項。6（三）風險分析8對公司前十大風險進行全面、清晰、準確的風險動因分析，評估公司前十大風險發生的可能性，以及對公司實現目標的影響程度。5 9 公司部門負責人、業務骨干參與風險評估。5 10 繪制《風險坐標圖》，對各項風險進行比較，初步確定對各項風險的管理優先順序和策略。5 11 明確公司前十大風險的風險偏好、風險承受度。5 12針對公司前十大風險設定風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的風險管理工具。5 13根據風險與收益相平衡的原則和各風險在風險坐標圖上的位置，進一步確定風險管理的優選順序，明確控制風險的組織體系、人力資源、應對措施等總體安排。5（四）風險應對14 風險偏好、風險承受度和風險管理工具報風險管理和內部控制領導機構審批。3 15 定期總結和分析已制定的風險管理策略的有效性和合理性，結合實際不斷修訂和完善。3 16制定公司前十大風險的解決方案。風險管理解決方案應包括風險源、主要表現及原因、風險發生后對單位的影響、風險管理策略、責任主體和管理改進計劃及方案等。5 17 風險管理部門定期跟蹤監督風險解決方案的執行情況。5 18對風險管理報告中反映的已發生風險事件進行分析，對照風險管理和內部控制工作要求，檢查風險預警情況、應對措施制定和執行情況，分析原因，制定改進計劃并予以實施，形成風險事件分析工作總結。5

2.3 控制活動評價

控制活動總分130 分。《控制活動評價表》見下表：

控制活動評價表

理、診斷和優o 化整性。3根據本單位實際搭建公司流程體系框架，流程體系框架應涵蓋公司主要經營管理業務，至少細化至二級流程。4 4結合業務現狀、現有制度、對公司內部業務流程進行分類和梳理，針對公司流程框架中的重要業務流程，繪制流程圖。5 5流程圖的主要內容和基本要素包括具體執行部門、具體實施崗位、具體實施步驟、輸入和輸出文檔、和流程控制點等。4 6針對公司流程框架中的重要業務流程，編寫《流程描述》。詳盡描述每一個流程的控制措施的具體信息，包括責任部門及崗位、涉及公司制度、流程步驟描述、輸出文檔等。針對每個控制措施，詳盡描述控制點的要素信息。5 7形成完備的制度體系。深入了解公司的組織架構、業務內容、管理需求等，通過梳理公司現有制度體系文件，將業務流程和制度緊密匹配，建立業務流程對應的規章制度基礎框架。4 8 識別制度體系中的結構型缺陷，并結合流程體系框架，實現制度流程一體化管理。4 9內控措施一般包括不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。4 10 對流程進行分類，并明確各業務歸口責任部門。4 11根據梳理的流程文檔，編制公司流程框架中各業務流程的《風險控制矩陣》。風險控制矩陣真實、完整、準確地反映控制目標、風險屬性、控制措施、控制屬性、責任部門及崗位、實施證據等內容。5 12從實際經營管理活動出發，根據對流程控制目標的影響程度和概率，識別流程層面的管理和業務風險，建立流程層面風險數據庫。將公司層面風險與操作層面風險進行對接，實現重大風險管理的有效落地。4 13評價現有風險控制措施的有效性，識別流程層面控制缺陷，針對已識別的剩余風險進行控制措施設計，提出改進建議，進行業務流程優化。4 14總結體系建設過程中發現的控制缺陷及建議，推進流程優化和管理提升，編寫《管理建議報告》。4 15以業務為基礎，編制《風險管理和內部控制手冊》。風險管理和內部控制手冊包括適用范圍、各業務的控制目標、職責權限表、工作流程等要素。10 16風險管理和內部控制主管部門匯總流程中管理缺陷與建議，明確責任部門崗位、管理層反饋、整改跟蹤情況，監督各業務部門整改內控缺陷的及時性、有效性、完整性，對整改不力的缺陷，風險管理和內部控制主管部門應了解原因，督促整改，編寫《內控缺陷跟蹤報告》。5

17制度流程中體現不相容職務相互分離的要求。全面系統地分析、梳理業務流程中所涉及的不相容職務，實施相應分離措施。4 18制度流程中體現授權審批的要求。各崗位辦理業務和事項的權限范圍、審批程序和相應責任有明確規定。4 19制度流程中體現會計系統控制的要求。嚴格執行國家統一的會計準則制度，會計資料真實完整。4 20制度流程中體現財產保護控制的要求。建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。4 21制度流程中體現預算控制的要求。實施全面預算管理制度，明確各責任部門在預算管理中的職責權限，規范預算的編制、審定、下達和執行程序，強化預算約束。4 22制度流程中體現運營分析控制的要求。建立運營情況分析制度，定期開展運營情況分析，發現存在的問題，及時查明原因并加以改進。4 23制度流程中體現績效考評控制的要求。建立和實施績效考評制度，科學設置考核指標體系，進行定期考核和客觀評價，考評結果作為確定職工薪酬和職務晉升的依據。4 24將控制措施和業務表單等嵌入已有的業務信息系統；改進信息化系統中的內控設計和執行缺陷。4 25 在已有的業務管理模塊上嵌入風險管理模塊，搭建業務監控信息平臺。4 26風險管理和內部控制主管部門組織開展重大重要風險預警指標研究工作。編制重大重要風險預警指標庫，明確重大重要風險預警指標名稱、指標描述、指標計算規則、預警區間、數據收集方法及頻率、監控執行部門等。4 27 建立重大風險危機管理機制，明確危機管理組織結構和報告處理程序。3（三）控制活動（四）風險管理和內部控制信息化建設（五）風險預警管理(六)重大風險危機管理28 制定針對各項重大風險發生后的危機處理計劃。3（七）專項風險防控29開展1 項專項風險防控工作。運用與全面風險防控體系建設相同的方法和程序，按照重要性原則對專項風險制定細化的風險成因分析、具體的風險防控措施和明確的風險防控責任主體，形成專項風險管理方案。4

2.4 信息與溝通評價

信息與溝通總分30 分。《信息與溝通評價表》見下表：

信息與溝通評價表

管理和內部控制工作情況、重大風險管理信息。（二）風險管理報告5建立風險管理和內部控制審核機制，風險管理報告、內部控制評價報告、簡報、報表及重大決策應經過嚴格的審批方可上報、執行。5 6 公司定期上報風險管理和內部控制工作報告，報告內容符合公司實際經營管理狀況。5

2.5 內部監督評價

內部監督評價總分50 分。《內部監督評價表》見下表：

內部監督評價表