第五章 完善 A 企业内部控制的若干建议
为切实加强 A 企业内部控制的效率效果,提高内控制度的科学性、实用性,真正实现"制度落地",我们认为,应主要针对 A 企业内部控制实施过程中存在的成本费用控制松弛、风险管控力度不够、矿山生产等业务流程不够完善、信息沟通渠道不畅等问题对 A 企业内控制度加以补充完善。首先应站在 A 企业战略目标的角度对 A企业面临的关键风险点加以梳理,并逐步构建风险管理体系,其次要加强流程控制,再造业务流程,完善信息沟通渠道,同时提高内部审计对内控制度运行的监督作用。
5.1 整理关键风险点,建构风险管理体系。
企业应全面、科学、系统地进行信息收集工作,并综合运用定性与定量分析方法,进行风险评估,对识别风险进行分析排序,进而确定出关键风险点。在此基础上,结合企业风险承受度等多方面因素采取风险规避、降低、分担等多种风险应对策略。
股东大会、董事会应该对风险管理工作高度重视,结合 A 企业现有的组织架构和职责分工,确立经营管理科下设置风险管理部门,建构风险管理工作体系。组织起包含董事会,监事会,设计委员会,管理层,经营管理部门等各部门在内的风险管理组织结构。其流程包括风险管理信息的收集,风险识别与评估,制定风险管理策略,提出解决方案等。
5.1.1 风险信息收集在董事会领导和部署下,由经营管理部门牵头组织各部门持续性地收集与本部门以及与风险管理相关的内外部风险信息,并进行筛选、提炼、分类、对比和分析,形成风险信息库。内部信息可由各部门、各单位收集本部门、本单位相关制度文件、工作总结、计划等资料。外部信息可通过平面媒体或互联网获取国内外行业宏观政策与信息;或由各部门、各单位收集相关行业及主管部门发布的制度文件等资料。企业各部门和各单位按职责分工参与风险信息的收集工作,共同识别风险。经营管理部在各部门、各单位收集风险事件的基础上进行归纳、合并、提升,形成公司层面的风险事件,并在此基础上,建立 A 企业的风险分类框架和分类标准。
5.1.2 风险识别的程序和方法A 企业全体员工都有风险识别的义务,日常识别由公司各部门、各单位根据生产经营情况组织实施,经营管理部每年至少组织一次集中识别。
(1)日常识别程序:A 企业各部门、各单位在开展风险识别工作时,组织本部门、本单位各专业人员成立风险识别小组,在风险识别的基本原则下综合运用各种风险识别方法对风险的发生概率进行诊断、识别,识别后建立风险列表。经本部门、本单位的负责人审核后,提交经营管理部。
(2)集中识别程序:经营管理部组织集中识别时,由 A 企业各部门专业人员成立风险识别小组协助识别,必要时可聘请外部专家。风险识别小组运用各种方法进行风险识别,建立风险列表,经营管理部进行汇总,经经营管理部部长审核后,提交公司管理层审批。
其中,风险识别的方法主要有:分解分析法、生产流程分析法、风险专家调查列举法、资产财务状况分析法以及失误树分析方法等。
5.1.3 风险分析与评估经营管理部应负责组织风险评估工作,日常评估由公司各部门、各单位自行组织,集中评估由经营管理部每年至少组织一次。以过去的可观察事项的持续性的内部数据和外部数据等作为客观依据,对风险的影响程度和可能性进行估计。A 企业经营管理部将审批后的评估报告加入风险列表,作为风险应对的依据。A 企业需要对收集的本部门和风险管理相关的内外部原始信息进行加工、整理,并分析出 A 企业整体层面可能面临的各种风险,设计相关调研问卷,请相关部门及管理层对公司层面风险进行评估排序,并对重大风险评估调研问卷进行统计、计算,得出各种风险的大小及排序。
A 企业可以绘制风险坐标图进行直观观察,将"风险造成后果的严重程度"和"风险发生的可能性"均分为五级,分别对应的数值为 1、2、3、4 和 5,数值 5 表示风险发生的可能性最大或造成后果的严重程度最高。
5.1.4 选择风险管理策略一般情况下,可采取风险控制、转移、承担、规避等方法应对战略、财务、运营和法律风险。对于通过对冲交易、期货、保险等金融手段进行理财而带来的风险,可以考虑采用风险补偿、风险对冲和风险转移等方法进行应对。
(1)A 企业应该根据不同业务的特点来确定风险承受能力和风险偏好程度,设定风险应对策略,同时明确风险承受能力的上下限水平和风险预警线。同时要保持发展与风险管理的平衡,实现"发展却不碰预警线,管控却不妨碍发展"的平衡状态。
(2)确定风险管理的优先顺序。依据各类风险在风险坐标图上的定位以及风险与收益相平衡原则确立风险管理的优先顺序,并明确风险管理的人员分配、组织体系和相关应对措施。
(3)A 企业应定期回顾和总结风险管理策略的适用性和局限性,并加以补充完善。特别是依据风险预警线、风险承受能力的上下限水平和风险的偏好程度三者之间的匹配情况,不断优化修正 A 企业的风险管理方案。
5.1.5 制定风险解决方案风险管理方案一般应包括具体目标,组织领导,所涉及的管理及业务流程,所需的资源,风险事件的前、中、后应对措施以及风险管理工具。A 企业各部门、各单位执行经审批的风险应对方案,并定期向管理层汇报风险应对情况,以便及时采取其他措施。
A 企业在制定解决风险管理问题外包方案时,应当满足风险控制与经营效果平衡原则以及风险与经营管理战略相一致原则,特别要注重防范外包依赖性、外包质量、成本与收益相平衡等风险因素,并制定相应的预防和控制措施。在解决风险问题的内部控制方案指定时,对于各项管理和业务流程设计全流程风险管理机制,并特别注重挖掘关键点,并对之采取控制措施。
5.1.6 风险管理的监督与改进为更好地促进 A 企业风险管理工作的开展,A 企业应定期开展风险管理自查和检验工作。由经营管理部负责对各部门、各单位风险管理工作的实施情况进行专项检查,分析各部门、各企业风险管理策略的有效性,并出具风险管理评价报告。风险管理评价报告报送 A 企业总经理或其分管副总经理,必要时报送审计委员会,通过后,再报送至董事会审批。特别的,A 企业审计部每年要对各部门是否严格按照规定开展风险管理工作进行全方位全过程的检查、监督、评价,负责制定经营管理部负责考核内容、考核标准、考核流程及考核措施,负责发布审计委员会评价审计报告等在内的风险管理考核体系的设计和制定工作。