建企丨这些实用的风险控制技巧99%的企业还不了解

许丽49tvl963l9 2016-10-28

展开全文

什么是风险管理与内部控制

美国COSO定义：

（1）内部控制：是由董事会、管理当局和其他职员实施的过程，旨在为各类指标的目标提供合理保证：经营效果和效率；财务报告的可靠性；遵循适用的法律和法规。

（2）企业风险管理：是一个过程，它是由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

内部控制是企业风险管理的重要组成部分，做好风险管理必须要进行内控体系建设。

建筑企业面临的风险

主要风险有战略风险（如多元化投资）；市场风险（如供求关系变化、业主诚信）；财务风险（如垫资、拖欠、汇率）；运营风险（如工期拖延、质量安全事故）；法律风险（如分包连带责任、海外司法）；人力资源风险（如项目经理任用）；企业总部管控风险（如失控）等等。

有来自外部的风险，也有来自内部的风险，建筑企业需要识别风险、防范风险和控制风险。

风险与内控体系建设方法

2016年7月28至29日，慧朴管理在京参加了中铁建某集团风控体系建设咨询项目启动会。

会议上，集团董事长对风险内控工作提出了四点要求：一是提高认识，统一观点；二是高度重视，狠抓落实，将内部控制规范转化为企业的领导理念和管理思想；三是加强沟通，保证风控体系建设的工作质量；四是持续完善，形成风险内控体系建设的长效机制。

风险与内控体系建设思路

工作思路由三部分组成，分别为准备及启动阶段、体系建立阶段和运行与改进阶段。

（1）准备及启动阶段

建立内控体系组织体系；

编写内部控制实施方案；

召开内部控制体系建设动员会。

（2）体系建立阶段

梳理各项业务流程；

开展规范对标，编制缺陷清单；

建立风险数据库，绘制风险地图；

将风险数据库与流程（或制度）清单进行匹配；

制定或优化业务流程图；

编制风险控制矩阵；

制定或修订相关管理制度，编制业务工作权限指引表；

编制内部控制手册；

编制内部控制自评价报告、全面风险管理报告。

（3）运行与改进阶段

持续开展内控检查与评价，对发现的缺陷持续改进，更新内部控制手册、制度与流程；

逐步实现内部控制信息化

风险与内控体系建设具体实施过程

（1）梳理业务流程，搭建流程框架体系

搭建流程框架的首要因素就是识别流程，美国哈默博士提出的定义为：流程是一组能够为客户创造价值的相关联的活动过程。流程的分类可以根据不同的原则进行，美国生产力质量协会（APQC）提出流程分类框架，将流程分为运营流程与管理和支持流程两类。

慧朴管理结合建筑企业的流程特点，提出建筑企业流程分类标准：

建筑企业的运营流程：

是一个从原材料到最终产品并向顾客传输价值的持续流动的过程。

位于建筑业务价值链上的主要环节，直接为实现项目合同要求、满足业主价值诉求设置的流程，如策划与投融资管理流程、项目设计管理流程、竣工保修管理流程等。
对实现产品价值影响至关重要的项目生产资源的管理和控制流程，如劳务管理流程、物资管理流程、设备管理流程等。

建筑企业的管理和支持流程：

是更好的监控建筑业务运行状况的目标及过程管理流程。

虽然不直接满足项目业主的价值需求，但从更好的监控建筑业务运行状况的目标及过程管理流程，如项目进度管理流程、项目成本（费用）管理流程、项目安全管理流程、项目考核管理流程、项目风险与内控管理流程等。
为了更好的支持项目生产资源的组织、使用及评价而设置的辅助支持流程，如合同管理流程、招投标管理流程等。

梳理流程的一般步骤：

1）对各部门主管和骨干、流程专管人员进行流程概念培训；

2）各部门组织，识别部门负债或参与的流程；

3）各部门主管确认，提交流程专管人员；

4）流程专管人员整合清理；

5）合理划分出流程清单的章、节、流程名和编号；

6）形成流程清单。

（2）开展规范对标，编制缺陷清单

按照梳理的各项业务活动，清理现有管理制度中的控制措施，逐一核对《企业内部控制基本规范》及其配套指引、《中央企业全面风险管理指引》以及上级单位的相关管理要求，编制对标缺陷清单。

（3）建立风险数据库，绘制风险地图

结合缺陷清单，分析查找各项业务活动存在的主要风险，按照风险

发生的可能性和影响程度对风险进行评估，编制风险数据库。

根据风险发生的可能性和影响程度，绘制风险地图，并对全院各类风险按照风险等级进行排序。
评估影响程度时，将从影响日常运营、影响企业声誉、造成财务报告的错误、引起经济责任、发生违规等多个角度综合考虑，将影响分为“极轻微”至“灾难性的”五级，分别对应1至5分的数值。
评估发生可能性时，综合运用损失发生次数、发生概率等方法，将风险发生可能性分为“极低”到“极高”五个等级，分别对应1至5分的数值。
风险等级= = 影响程度* *

（4）将风险数据库与流程清单进行匹配

将流程清单与风险数据库进行匹配，以便明确某个风险体现在哪个流程中，某个流程中有哪些风险。
这个匹配首先在风险类别层面进行，为下一步全面识别具体风险点与流程中的控制点的匹配打下基础。

（5）制定或优化业务流程

结合风险和控制措施，制定或者优化业务流程图，降低或避免风险。

（6）制定风险控制矩阵

根据风险数据库，基于业务流程图确定业务活动的关键控制点，制定关键控制点的具体控制措施，建立风险控制矩阵（包括企业级、项目级、流程级）

（7）制定或修订相关管理制度，编制权限指引表

编制内部控制与风险管理相关管理制度，如内控管理办法，内控评价管理办法、内控监督管理办法，全面风险管理办法等。

基于业务流程图编制业务活动权限指引表，明确各项业务参与者的工作分工和执行权限，进一步明确内控与风险工作权责分配关系。

（8）编制内部控制手册

制定公司内部控制手册，包括内部环境手册、风险评估手册、控制活动手册、信息与沟通手册和内部监督手册，作为内部控制体系建设、运行、维护、评价的依据，确保全公司从思想和行为上对内部控制体系保持高度统一。

（9）开展内部控制与风险管理监督检查与评价

监督检查与评价包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五大方面。

监督检查方式包括审计、监察、内审/ / 外审、管理评审等方式。

编制《内部控制自评价报告》，报告的主要内容：

——内部控制报告真实性的声明，评价工作的总体情况，评价依据，评价的范围，评价的程序和方法，内部控制缺陷及其认定，、整改情况，内部控制有效性的结论。

编制《全面风险管理报告》，报告的主要内容：

——年度企业内部控制管理工作回顾，年度企业风险评估情况，年度内部控制管理工作安排，有关意见和建议

结语：做好全面风险管理是现今时代背景下的重要工作内容，也是应对未来挑战的有力保障。

精品课程

针对建筑企业设计出建筑企业风险与内控体系建设课程，供参考：

【背景分析】

“十三五”期间，升级转型成为众多集团公司的首要任务，而管理优化是集团公司实现转型升级的基础和前提。转型是业务要转型，升级是管理要升级。要通过组织架构调整，业务结构调整，集中优势资源不断做实做强做优。
内部控制与全面风险管理是充分结合国内企业实际提出的科学的管理体系，涉及到企业管理的方方面面，推进风控体系建设，其本质与核心是进一步夯实管理基础，全面推进集团公司管理优化工作。风控体系建设既是国家部委、股份公司对集团公司合规性方面的要求，更是推进集团公司管理优化、转型升级的内在需求。

【课程收益】

企业战略目标的实现需要高效的组织与有效的运营来支撑；
内部控制管理的内容涉及到企业管理的方方面面，以风险为导向，以建立健全企业制度与流程为载体，可系统提升企业管理水平；
内部控制管理的内容涉及到企业管理的方方面面，以风险为导向，以建立健全企业制度与流程为载体，可系统提升企业管理水平；
企业内部控制管理能有效避免企业因人员的升迁、变动或轮换出现的“管理回潮” ，避免每个人在低水平位置做效益低下的重复工作，并重点对重要业务、重大事项、高风险业务进行全方位、全过程的规范管理。

模块	内容
一、内部控制与风险管理基础知识	1. 国外典型风险事件及其影响 2. 国外有关风险管理与内部控制的监管演进历程 3. 国内有关风险管理与内部控制的监管演进历程 4. 内部控制与风险管理的涵义 5. 内部控制与风险管理的关系 6. 内部控制的常见误区与几点认识
二、如何建立企业风险与内部控制体系	1. 企业建立和实施内部控制的原则与思路 2. 企业建立风控体系的方法、工具及案例 1) 梳理业务流程，搭建流程框架体系 2) 开展规范对标，编制缺陷清单 3) 建立风险数据库，绘制风险地图 4) 将风险数据库与流程清单进行匹配 5) 制定风险控制矩阵 6) 制定或优化业务流程图 7) 建立健全相关管理制度，编制权限指引表 8) 编制内部控制手册 9) 开展内部控制与风险管理监督检查与评价 10) 建筑企业风控案例分析 3. 风险管理与内部控制的三个阶段简介 1) 价值型、管理型、合规型 2) 各阶段的特点分析 3) 各阶段的差异分析
三、建立风控体系的方法、工具及案例	1. 流程管理SIPOC模型 2. 组织管理RACI模型 3. 运营管理行动计划跟踪Action Plan Tracing工具
四、建筑企业风险与内控实例分析	1. 市政工程投资类项目的风险管理 2. 电力工程EPC项目的风险管理 3. 建筑工程来自业主的风险管理 4. 某建筑企业一体化内控管理体系实施案例 5. 某建筑企业集团基于风控体系建设的整体管理优化实施案例