H公司基于风险导向的内部控制探索与实践

梁森林

摘要：H公司（以下简称公司）是一家集酒店旅游、物业管理、房地产开发、物流贸易和国外后勤服务的多元经营企业。随着公司的发展，逐渐形成了自己独特的内部控制体系。本文就公司从风险防控能力的客观需要、内部控制体系框架的构建和运行管理等角度，论述基于风险导向的内部控制的探索与实践，提供一些借鉴。

关键词：风险导向 内部控制

针对多业态跨区域经营特点，为加强企业风险管控，公司结合生产经营实际，积极探索适合企业发展需要的以风险为导向的内部控制体系建设及管控模式。经过几年的探索实践，增强了企业风险管控能力，提升了企业经营管理水平，为实现公司战略目标起到了积极的促进作用。

一、建立以风险为导向的内控体系是提升公司风险防控能力的客观需要

（一）防控风险已经成为公司管理的重要目标

世界经济进入全球化时代，企业经营业务多元，地域分散，复杂的社会经济环境影响着公司的经营、稳定和发展。随着企业经营规模扩张，交易金额增大，交易频率加快，企业面临的不确定性因素增多，传统的企业管理制度局限性日益凸显。分析国内外企业倒闭或衰败的例证，总结本公司多年经营中的经验和教训，无不与企业风险管控密切相关，经营过程中的风险防控已经成为企业管理的重要目标和焦点。建设和完善风险为导向的内部控制体系已成为企业防控风险重要措施。

（二）防控企业风险要靠严密的内部控制体系做保障

公司风险管控经历了三个阶段，一是凭经验管理（公司初创时期），对有风险的业务选派“经验丰富”的人去管理，经营决策靠有经验的领导把关，被称为经验管控阶段。二是靠单项制度控制，针对高风险业务制定专门的控制措施，做到一事一制度，方法虽然简单，但由此步入了制度控制阶段。经过一段时间摸索，积累了一套行之有效的管理制度，在规范企业管理和防控风险中发挥了重要的作用。但由于规章制度多为单项规定，程序性规定很少，标准制度没有流程保证，且各专业部门颁布的管理制度都带有不同程度的局限性，缺乏系统性、全局性，已不能适应企业全面风险管理的要求。三是进入了体系控制阶段，为做好企业风险防控工作，公司结合不同风险特征，对现有的制度、标准和程序进行了完善，对业务流程进行了重构，提高了制度的可操作性、严谨性和规范性。将原有的内控制度提升以风险为导向内部控制体系，实现了风险管理多维度的体系控制。

（三）防控风险是提升公司综合管理能力有力手段

以风险为导向的内部控制体系建设及实施，不仅提升风险管控能力，而且提升了公司的综合管控能力，该体系明确了控制活动的对象，规范了交易活动源头控制的业务流程，强化了控制主体责任，使公司各种经济活动实现了全面受控。通过系统严谨闭环管控措施的落实，很好的与企业经营活动结合起来，逐步改善企业的内控管理，使公司综合管理能力不断提高。

二、以风险为导向的内部控制体系框架及做法

公司借鉴国内外内部控制实践经验，以COSO框架及财政部等五部委颁发的《企业内部控制基本规范》和国资委发布的《中央企业全面风险管理指引》为基础，结合企业实际，建立以公司战略为核心，以风险为导向，以责任为主线，以业务流程管控为方法，以监督与评价为手段，注重管理改进的企业内部控制管理系统。从确定内部控制体系的目标、辨识评估风险、梳理管控流程、制定控制措施、开展内控监督与评价和持续改进等五个方面，推动、构建和完善了以风险为导向的内部控制体系建设。

（一）确定以风险为导向的内部控制目标

目标设定是以风险为导向的内部控制体系建立的前提条件，在风险管理过程中是一个重要环节。首先是在设定内部控制目标的过程中，要充分考虑各种风险对企业经营管理的影响程度，把握对重大风险的判断。其次是要根据内部控制目标设定，确定内部控制实施方案，并随着目标改变适时进行必要的调整。三是风险控制措施根据内部控制目标的存在而确定，随着目标的改变而改变，只有先明确了内部控制目标，才能对识别出的风险制定相应控制措施。

公司围绕经营及管理风险，确立以资产的存在、完整、归属、计价正确和收益等属性的落实为风险控制的现实目标，以实现“体系可靠、风险可控、运行可持续”为体系规划目标。总目标是：以国家相关法律法规为依据，以公司现有资源为基础，以财务报告风险、法律风险、经营风险为切入点，以源头治理和过程控制为核心，以防范风险为重点，对企业现有管理制度、职责分工、权限分配和业务流程进行全面梳理，建立起设计科学、简洁适用、运行有效的内部控制体系，推进科学治企。

（二）建立风险数据库

通过收集风险事件，确定公司层面风险分类和风险名称，形成公司层面风险事件库和风险数据库。针对风险事件关联性，主要收集了连续三年公司内部风险事件案例、行业内相关历史事件和未来风险预测，包括公司相关材料记载的相关事件、内外部审计发现的问题、各业务部门存在的重大问题或隐患等。通过分析筛选，选取具有代表性的、对公司影响较大的事件共77条，形成公司层面的《风险事件库》。

在收集风险信息过程中。按照内外部、业务板块、部门单位等条件将各类风险因素进行分类汇总，厘清各个问题之间的因果关系，方便从整体上把握风险和机会，有助于各职能部门更好地认识和关注与其直接相关的风险。经过比对分析，确定公司各项业务、重要经营活动及重要业务流程中的风险，并予以客观准确地表述。通过与各职能部门以及所属单位反复沟通，识别出可能影响公司实现经营目标的风险因素，进行整理分析并编制《风险汇总表》，最终确定了公司层面风险分类和风险名称，共4大类24个风险，形成公司层面的《风险数据库》。

（三）识别与评估风险

风险是指可以识别的不确定性事项，它能对企业经济利益造成有利或不利影响，其来源及影响具有不确定性。风险评估的目的是对影响公司的不确定性因素进行识别，对其进行科学评估、量化，指导对不确定性因素的把控。