“三维一体”风险导向内控体系的构建
摘要:本文通过分析大型央企ABC集团存在的组织结构复杂、管理层级多、业务范围广等特点,剖析ABC集¿团内控体系构建的过程,提炼出“三维一体”风险导向的内控体系框架,即以风险导向为核心,以组织架构―制度架构―业务流程为维度的内控体系。该体系将复杂的内控体系分为三个维度,再从三个维度分别进行企业内控体系的构建,是对现行内控体系构建方法的创新。
关键词:“三维一体”内控体系 大型央企 ABC集团
内控体系的建设一直是我国学术界和理论界研究的重点,但鲜有文章从个案研究出发,透彻分析一个大型集团的内控建设。在我国,国资委下属的大型央企在国民经济中占据主导地位,关系着国计民生,其内控管理风险也是国资委考核的一个重要方面。而大型央企与一般企业具有不同的特点,央企大部分是在政府的干预下,兼并重组成为一个集团公司,其内部管理存在较大的差异性,内控体系的建设也更加复杂化和多样化。本文以大型央企ABC集团为案例,从ABC集团实施的内控体系实践过程中,提炼出一套适合大型央企的内控体系,以指导其他大型央企的内控建设。
一、文献回顾
大型企业集团具有组织结构复杂、经营范围广泛、职能部门多、职责相互交叉等特点,构建一个大型企业集团的内控体系,需要协调不同的部门、满足不同的经营板块的管理要求。本文综合COSO风险管理框架和《央企全面风险管理》要求,展开构建风险导向内控体系的研究。
二、案例分析
ABC集团是由国资委投资成立的国有独资公司,注册地为北京,先后在H股和A股上市。ABC集团主营重要的能源物资――煤炭,不但负责煤炭的生产与销售,还进行煤炭物资的运输,经营着港口和铁路。ABC集团主营业务涵盖范围广,下属公司分布地域广,组织结构层级多,经营种类繁多。
(三)管理职能不清,暗藏职能风险。ABC集团在风险管理职能部门设置方面,存在互相交叉、重叠的现象,安全生产风险由安全部门进行监控和管理,产品质量风险由质检部门具体负责,市场营销风险由营销部门管控,财务风险由财务部门监督检查,经济合同风险由法律事务部门具体负责,企业风险管理职能分散;特别是涉及企业改革发展中的综合性风险,如企业法人治理结构的建设、产权制度改革、企业战略规划的制定和实施,企业兼并重组、整合破产、上市投资等行为,缺少统一有效的全面风险管理的组织协调。
(四)业务流程复杂,流程风险较多。ABC集团作为煤炭一体化运行的大型企业,既存在系统风险,也存在特有风险。在能源储备环节,面临国家政策变动的风险,煤炭属于国家重要能源物资,其开发和使用受到国家宏观政策的影响,ABC集团并不能自主决定开采规模和开采数量,若开工不足,则会让ABC集团陷入停工待业的风险,若国家需要大量煤炭资源,则ABC集团需要在短♒期内调动人力物力进行开采和生产。在进行新矿建设、铁路建设、港口建设的时候,属于固定资产大额投资项目,需要进行环境评估、投资可行性分析等工作,投资回报率存在一定的不确定性。在电力市场,存在供过于求、替代品的出现等风险,煤炭市场价格受到国际市场价格波动的影响,存在不可控的因素。
针对ABC♥集团现状分析可知,其存在组织风险、市场风险、职能风险、业务流程风险等各方面的风险,需要重新梳理和建立内控体系,建立三维一体风险导向的内控体系。
三、“三维一体”风险导向内控体系的构建
如图1所示,ABC集团建立的“三维一体”风险导向的内控体系如下:以风险管理为核心,以组织架构―制度架构―业务流程构成的三维一体的闭环系统,形成了由组织、制度、流程共同构成的内控风险防御系统,以内控基本七要素,再辅之三维一体的内控风险导向整体框架,共同构成了ABC集团的全新的内控系统。
(一)以风险导向为核心。所谓的以风险导向为核心,就是在组织架构、制度架构、业务流程中,要始终贯穿风险观。组织架构方面:设计组织结构、公司治理结构、人员选拔与聘用、人力资源政策的时候,关注各环节存在的潜在风险。组织架构存在的风险:组织结构的设置风险、组织结构的运行风险、组织结构的监控风险。只有全面了解组织架构中存在的风险,才能在内部控制设计的过程中,全面贯彻风险观,将风险控制在可容忍范围内。制度架构方面:制度架构方面存在的风险较难以察觉,但是产生的后果却是致命的。业务流程方面:ABC集团作为一个大型集团公司,业务范围广泛,作业流程差异大,每个业务板块所面临的作业流程风险点不一样,内控关键控制点也不同。此时,要充分贯彻风险导向观,关注风险源。
(二)以组织架构为起点。在建立风险导向的内控体系过程中,要以组织架构的设计为起点,理顺组织架构之间的关系,内控制度才能得到落实。如图2所示,为了全面防范存在的组织风险,需要重新理顺管理层与监督层的关系,将内控审计部门独立出来,直接受董事会领导下的审计委员会指导,向审计委员会报告,保持内控审计部门的独立性,可以直接监督管理层,一定程度上解决代理问题,使其在组织结构的设计上,避免潜在风险。
(三)以制€度架构为桥梁。任何组织的健康运行都需要制度来保障,制度是连接人与业务的桥梁,员工在制度规定的范围内,执行各项业务。如图3所示,风险导向内控体系的制度架构由内部控制手册和自我控制共同构成,内部控制手册是保障内部控制得以构建和有效运行的基本制度,是开展内部控制管理的纲领性文件,规定了内部控制的目标、概念和方法;其主要♋内容包括风险导向内控体系的七要素;自我评估手册是规范自我评估工作的基本流程,是以强化内控执行力为核心,通过一系列的自我评估工作,发现内部控制存在的缺陷,提出并改进的闭环过程。
(四)以业务流程为载体。流程是内部控制体系的载体,是制度架构和组织架构的承载者,只有落实到具体的业务环节中,设计的组织架构、制度架构才有意义。流程管理是建立内部控制体系的切入点,流程应当按照不同的标准进行划分,结合具体的业务环节进行梳理。如图4所示,按照不同等级可以划分为一级业务流程、二级业务流程、三级及三级以下业务流程;按照不同的属性可以再划分为适合于所有部门和分子公司的标准化流程、适合于某一板块的板块化流程以及只有个别适用的个性化流程。
在建立内控过程中,对业务流程的梳理过程,就是建立各业务板块、各分子公司关键控制点的过程。对不同类型的流程,应采取不同的方法进行管控。标准化流程、板块化流程、个性化流程彼此是紧密联系的,在执行内控的过程中相互交叉、相互结合,没有明确的界限。
四、结论
“三维一体”风险导向的内控体系是以风险管理为核心,由组织架构―制度架构―业务流程构成的三维一体的闭环系统,形成了由组织、制度、流程共同构成的内控风险防御系统。该内控体系围绕风险理念,将复杂的企业内控体系分解成三个维度:组织架构、制度架构及业务流程。组织架构是起点,包括公司治理结构、人力资源建设等,制度架构包括所有企业管理制度,业务流程是企业所有业务管控的集合。案例研究毕竟是个案,建立健全内控系统需要积累更多的案例,观察更多的企业执行情况,也要进一步跟踪ABC集团内控实施情况,丰富内控体系建立理论。