0引言
风险存在于企业内控的各个环节,存在于企业生产经营全过程。企业内部控制与风险管理好坏已成为其管理水平高低的重要评判标准。我公司是国内民用建筑设计企业中最早采用ISO9001质量管理体系管理设计产品质量的企业之一。近年来,公司又大力推进企业内控与风险管理体系建设,不断强化内控与风险管理工作,已取得明显成效。本文结合我公司内控与风险管理体系建设中的一些做法,对建筑设计企业如何有效构建内控与风险管理体系课题进行探讨。
1健全内部控制管理机构
建立健全内部控制管理机构是做好企业内控与风险管理工作的保证。根据公司章程规定及企业内控与风险管理工作的需要,公司内控管理机构包括内控与风险管理决策机构、实施机构和评价机构。内控与风险管理决策机构为公司董事会。内控与风险管理实施机构包括董事会审计与风险委员会、审监部、公司各职能部门及下属单位。审监部是公司内控与风险管理归口管理部门。
2完善内部控制制度
建立健全严谨规范的各项内部控制制度是做好企业内控与风险管理的基础。企业经营管理中出现风险的环节,往往是该环节无相关制度进行规范与防范,或者有制度但制度内容不严谨,或者有严谨规范的内部控制制度但未得到有效执行。为规范公司内控管理,近年来公司制定(或修订)各类内控管理制度90多项,内容涉及公司治理、战略管理、经营管理、业务管理、财务管理、投资管理、人事管理、信息管理、企业文化建设等等,并将各类内控管理制度整理印制成《制度汇编》,发放给员工作为管理工具书。一系列内控管理制度的制定和实施使公司从法人治理到经营管理,从宏观战略管理到微观业务管理,从对内业务管理到对外信息管理等,都有了制度规范。
3编制内控业务流程
内控业务流程包括人力资源管理、资金管理、采购管理、资产管理、租赁管理、研发管理、财务报告管理、合同管理、全面预算管理、内部信息传递管理、内部审计管理等。企业内控业务流程编制主要按以下程序进行。
3.1梳理内部控制现状
对内控现状进行梳理主要包括3个环节:首先,梳理确定公司内控业务主要业务流程。我公司经过梳理,确定14个主要业务流程,包括:合同管理、人力资源管理、资金管理、采购管理、资产管理、设计与咨询管理、房屋租赁管理、研究与开发、业务分包、财务报告管理、全面预算、内部信息传递、信息系统、内部审计。其次,对各业务流程按管理活动环节进行流程分解。为便于管理控制,流程分解的环节不宜过长,一般分解到2级或3级,见表1。最后,确定流程环节的工作内容、责任部门(或岗位)、流程生成的工作记录及文档资料。以合同管理为例,表2为“合同订立”流程环节的工作内容、责任部门(或岗位)及流程文档。
3.2编制风险控制矩阵
风险控制矩阵就是以表格化形式将企业内控相关流转环节可能出现的重大风险点及其应对措施列示出来。编制风险控制矩阵有利于相关流转环节责任人简洁直观地了解面临的重点风险点,熟悉如何防范和控制重大风险,了解该环节风险管理的制度依据。以合同管理为例,表3为“合同订立”流程环节的风险控制矩阵。
3.3内控缺陷诊断与完善
内控缺陷是指公司内控的设计或运行无法合理保证内控目标的实现。一般可分为设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标的必须控制,或现存的控制并不合理及未能满足控制目标。运行缺陷是指设计合理及有效的内控,但在运作上没有被正确地执行,包括不恰当的人员执行,未按设计的方式运行,如频率不当等。内控缺陷诊断就是对流程管理的必需的控制制度是否制定,制度控制规定是否合理、是否满足控制目标,控制制度是否得到正确有效地执行等环节进行检查,并标识和记录存在缺陷的控制点(或控制环节),以利于进行补充或纠正,从而完善内控程序。以“合同管理流程”内控缺陷诊断为例(见图1),本次诊断发现3个缺陷,其中2个设计缺陷(即合同管理制度不完备、合同管理部门不明确),1个运行缺陷(即合同经办部门进行谈判时未形成“合同谈判记录”)。缺陷完善措施:1)制定《合同管理办法》。2)明确“经营管理部”为合同管理部门。3)合同谈判过程与成果要形成《合同谈判记录》,并由合同谈判人员签字确认。
3.4绘制流程图
通过绘制流程图可以将内控流程各环节直观地描述出来,使内控执行者对控制流程、责任部门、流程涉及部门及领导、重大风险点、流程输出文档等控制信息一目了然。绘制流程图可以有效预防和减少内控各流程环节的差错,从而降低管理风险。以“合同管理流程”为例,图2为“合同履行、变更与纠纷处理流程图”(倒三角标识的是“重大风险点”代码)。
4编制《内控管理手册》
4.1编制《内控管理手册》的必要性
内控与风险管理工作涉及的内容广泛、流程环节复杂,编制《内控管理手册》可以优化流程管控、为推进标准化管理提供依据,为公司开展内控工作提供可遵循的标准,同时有效满足外部监管机构要求。《内控管理手册》是内控与风险管理体系建设成果记载,有利于建立健全内控管理体系,为合规经营、资产安全和信息真实提供合理保证;可以固化形成内控工作机制,为公司管理规范化和决策科学化提供参照和支持;有利于规范加强内控评价工作,全面提升公司管理水平和风险管控能力。
4.2《内控管理手册》主要内容
公司《内控管理手册》主要包括5部分内容:1)总则。主要介绍《内控管理手册》编制的目的、原则、依据、手册执行与更新、适用范围与生效。2)组织架构与职责。主要介绍内控管理组织架构体系建设及各职能部门(或岗位)的内控职责。3)内控基本架构。主要介绍公司内控环境、内控风险评估、控制活动、内控信息与沟通及内控监督。4)内控评价。主要介绍内控评价适用范围、内控评价组织职责、内控自评价方法、内控评价程序及内控缺陷认定标准。5)业务流程文档。主要包括公司主要内控管理环节的流程分解、流程描述、流程责任管理、流程制度适用及流程图等。
4.3《内控管理手册》的维护与更新
公司《内控管理手册》内容不是一成不变的。随着公司不断壮大,外部经营环境和外部机构监管要求不断调整变化,公司内部管控模式、组织架构、业务管控活动及工作流程也将不断进行动态调整,公司内控经验不断累积,信息化水平提升等等。这些因素变化都要求公司内控与风险管理工作不断地调整和完善。因此,公司应适时改进和完善《内控管理手册》的具体内容。审监部作为《内控管理手册》管理与维护的归口部门,原则上根据年度内控实际情况,每年开展一次评估,并根据需要进行更新。更新资料主要来源于:公司决策层、管理层及各部门对内控的要求及建议、公司及下属公司的管理实践、年度内控评价结果。持续修订、完善和更新后的《内控手册》作为公司沉淀优秀管理经验,创新标准化管理和实现管理样板性目标的重要工具之一。《内控管理手册》维护与更新工作步骤:1)进行内控自评价。2)发现设计缺陷和执行缺陷。3)修订制度完善流程。4)更新内控管理手册。
5组织内控评价
首先,公司职能部门和下属单位进行内控自评价。各职能部门和下属单位对各业务流程进行穿行测试,对业务流程的内控有效性进行评价并填写《穿行测试底稿》。在穿行测试中发现业务流程存在运行缺陷,且属于风险控制点的,评价人员则需对该风险控制措施进行扩充样本测试并填写《风险控制措施测试底稿》。其次,评价工作小组通过询问、抽查样本、重新测试等方法,检查各部门自评价过程以及结果,对各部门自评价结果的真实性、客观性作出独立性评价结论;并对重大风险管控措施的内控有效性进行评价;整理汇总自评价过程以及日常经营活动中发现的公司内控缺陷,并明确缺陷整改责任部门、整改计划等。最后,评价工作小组根据内控自评价的实际范围、评价方法、评价程序以及评价结果等,编写《内控评价报告》,并报董事会批准。
6重视内控环境建设
6.1进行全方位内控培训
培训内容包括全员参加的内控基本知识和针对各层级管理人员及内控人员的内控专题培训。公司通过一系列的培训和辅导,可以解决“为什么企业要进行内控体系建设”“哪些人员需要参加内控体系建设”“如何进行内控体系建设”问题,提高各层级管理人员和基础员工对内控工作的认识,营造有利的内控工作开展的文化环境。
6.2建立内控工作沟通机制
为了保证内控工作的有效推进,公司建立了内控工作沟通机制,实现了内控工作信息的实时传递。首先,建立内控与风险管理例会制度。内控领导小组每季度组织召开内控工作例会,公司各职能部门及下属单位在会上汇报内控与风险管理工作开展情况、存在的问题及解决方案、遇到的困难以及需要公司协助解决的事项,内控领导小组负责人对相关的具体问题提出意见和工作指导,会后审监部跟踪所有问题和困难的落实情况。其次,公司建立内控体系的半年工作总结。每半年公司内控管理部门对内控开展情况进行工作总结,并通报给各职能部门和下属单位负责人。第三,建立重大风险项目即时汇报机制。对于公司内控中发现的重大问题要求及时向内控领导小组和审监部进行汇报,以实时处理可能发生的重大风险。
6.3将内控管理工作纳入绩效考核
为有效发挥各职能部门和下属单位管理者在内控管理工作中的推动作用和积极性,公司将各部门、各单位的年度内控评价结果纳入其年度绩效考核的指标中,并与部门和单位负责人年度绩效薪酬挂钩,从而激励管理层切实关注和推动内控管理工作。
6.4聘请专业中介机构协助内控体系建设
为了提高内控体系建设的工作效率和工作效果,建议聘请专业中介机构协助公司内控体系建设工作。中介机构可以发挥专业优势,协助公司建立一个内容完整、程序规范、控制有力的内控体系;可以对公司人员进行内控培训,提高公司人员内控理念和工作技能。中介机构还具有独立性方面优势,有利于突破公司内部管理的固有局限对内控体系建设的影响。
作者:曹茂柱 忻国社 单位:深圳市建筑设计研究总院有限公司