基于风险管控的企业“三位一体”内控管理体系构建

深化国有企业改革的基本原则之一就是要坚持增强活力和科学化监管相结合。增强活力是搞好国有企业的必然要求，科学化监管是搞好国有企业的基础保障，务必保证两者之间有机融合。在改革实践中必须既讲效率又讲质量、既讲收益又讲风险、既讲柔性又要讲规范性、既讲放权激活又要讲科学化监管。要以内部审计为基础、以风险管控为重要环节，以内部控制为关键抓手，构筑风险防范与价值增值相统一的“三位一体”内部控管理体系，其实质是将企业运营体系与目标的内部控制、过程的风险管控、结果的内部审计一体化融合、无缝对接，形成“三位一体”全面内控、全过程风控、全方位的内审的管控体系，实现放权激活与科学化管控的辩证统一，为企业深化改革、提质增效起到保证、保障、维护作用。

一、内部控制体系与全面风险管理的一体化融合

全过程的风险管理与全面的内部控制体系建设都是支撑企业健康持续发展的内在要求，两者之间相互交融，相得益彰，内控是风险管理的内在要求和工作基础，风险管理是内部控制的目标导向和内容延伸。要围绕全面建设治理完善、经营合规、管理规范、守法诚信的法治国企目标，坚持依法治理、依法经营、依法管理同步推进，坚持法治体系、法治能力、法治文化一体化建设，以健全公司法人治理结构为起点，以促进依法经营管理为着力点，以提升企业法律管理能力为落脚点，大力推动企业治理体系和治理能力现代化。

一是完善法人治理结构，有效控制战略决策风险。公司进一步健全了公司及子公司的董事会、监事会和经理层等法人治理结构，明确了各自的权责，按照现代企业管理制度的基本要求和公司章程的相关规定完善了《董事会议事规则》、《总经理办公会议事规则》、《“三重一大”议事规则》等制度，并且把党委会嵌入公司章程，重大事项事前需经过党委会审议。从而，确保“三重一大”等事项决策程序的合规性，战略导向性和贯彻落实的针对性，以此做到方向正确、协同支持、执行有力、监督到位，有效化解了企业内外各种风险，实现了对战略规划的有效控制，保证了公司改革措施落地执行。

二是强化法律事务管理，有效控制法律风险，把法律工作摆在重要的议事日程，作为“一把手”工程，将法律工作融入经营管理的全过程，做到法律工作与经营管理等各项工作的统一部署、一体化推进。切实将法律工作延伸到公司治理、经营管理、重大项目决策等的各个环节，贯穿各业务领域、各管理层级、各工作岗位，实现法治工作同中心工作和经营管理的“两个深度融合”，把法治要求贯穿于决策、执行、监督各环节，构建超前预控、过程受控、结果管控的法律工作全流程运行机制。

要建立总法律顾问制度，并由事务所派律师在公司常驻。总法律顾问全面参与企业重大经营决策，突出强化法律风险防范、合规管理、法律监督“三项职能”，实行重大事项法律审核制度，凡是重大经营决策，事前必须经过法律论证和把关审批，确保企业重大项目未经法律审核不决策，规章制度未经法律审核不出台，经济合同未经法律审核不签署。

二、内控管理与内部审计的一体化融合

内部审计与内部控制体系之间存在一种互为因果、相互支撑的内在联系。内部审计是评价企业的经营成果和过程管控效果，它是对内部控制体系的健全性和有效性做出的客观评价。内控管理与内部审计的一体化是要求内部审计做到事前预防、事中监督、事后检查，把公司的免疫系统前移，内部审计人员工作前移，站在内部控制和风险管理第一线。主要体现在以下三方面：

一是在实施内控体系建设实践中，将审计系统作为关键的组成部门参与项目团队，审计人员全过程参与内部控制体系建设的设计。为了发挥内部审计的咨询和参谋，内部审计以内控风险评估的思路和内控流程为依据对内控进行评价。在实施中，首先组织审计人员学习相关法规政策和内控制度，掌握内控的基本原理、基本内容和基本方法，并贯穿始终，从审计角度评估公司面临的招标采购、投融资、企业并购、财务管理、重大决策、对外合资合作、重大经济合同等重大事项目标是否都有相应的控制措施，确定内控的重点环节；相关人员依据缺陷诊断结果、风险评估、审计评估等的基础资料和内控指引，制定风险评价标准；根据评价标准进行过程跟踪与结果复核，进行内控评价工作并有效利用审计手段与资源对各项内控活动进行穿行测试，评价，并提出内控是否有效的意见和建议，形成内部管控的闭合回路。

二是创新内部审计模式，力争实现审计全覆盖。利用内部控制体系一体化的优势，在审计过程中根据审计任务需要可以抽调相关等相关部门的人员建立联动的“大审计”。审计业务重点由财务审计转向经营审计，不仅停留在财务收支审计和干部经济责任审计，还延伸到内控审计、项目审计、合同审计、采购审计、固定资产审计、人力资源审计、投资并购审计等各个方面，实现了审计对经营业务的全覆盖。在审计结果运用时，针对审计结果反映的普遍性、典型性、苗头性、倾向性问题要及时对接交流，作为制定相关措施、修改完善相关管理制度的依据之一；针对管理中存在的漏洞和风险，要向被审计单位出具审计问题整改通知单，限期整改。通过审计全覆盖，解决了内部控制的盲区，堵塞了经营中的缺陷，可以有效提高内控的质效。

三是审计监督与内控有机融合，强化内部审计的过程监督。将审计业务将审计工作从结果评价向过程监督管控前移，审计人员参与市场调研、商务谈判、合同签订、固定资产验收、经营督查等业务活动的过程监督。在此过程中对被审计单位正在进行的违反国家法律法规和公司规定的行为或浪费现象，有权做出临时制止的决定，或者建议有关部门予以制止，审计监督严格审核经济业务活动的合法性、合规性、真实性和有效性，将问题解决于萌芽状态。同时，将内控体系各子系统监督检查过程中发现的倾向性、苗头性问题作为审计的线索，重点跟踪审查。

三、内控管理流程的一体化融合

管理流程与组织结构密切相关，内控组织体系一体化必然要求内控管理流程一体化。内控管理流程是内控管理的轨迹的反映，内控管理流程一体化实际上是流程再造的过程。主要体现在以下几方面：

一是以内控任务为导向重构流程图，确保内控流程畅通。企业应对相关内控业务进行了归集和整合，构建起与建筑施工企业的生产经营业务情况相适应的内控子系统，形成了招标、采购、仓储、销售、合同、资金支付等经营子系统；职责确定、机构设置、职能划分、人员配备等决策管理子系统；会计、计划、审计、计算机信息等支持保障子系统。为每个内控子系统列出了流程图，实行流程化管理，以内控为导向把各个内控子系统的工作流程连接起来，明确各个节点的标准要求、谁来做、怎么做、什么时间完成，从而将内控管理工作细分，实现端到端的流程通畅，解决了内控盲点的问题，确保信息交流顺畅。

二是对内控管理流程进行优化设计。运用精益管理的方法，通过“取消、合并、重排、简化、”等技术对已有的管理流程进行优化设计。通过价值分析法列出的无效动因或者非增值节点，取消这些流程节点；合并动因相同或功能相近的流程节点；根据需要对流程的先后顺序进行合理排列，或者是变串联为并联；根据需要简化部分流程节点，简化表格、减少审批环节、减轻流程的负担。

三是强化对关键点的控制。通过对各子系统进行认真研究和梳理，确定各子系统运行中的主要风险、关键环节和关键控制点。如通过对物资采购活动风险评估，列出其风险源主要来自于数量、价格、质量这三个变量，其关键控制点是计划、合同、验收、付款这四个关键控制点。针对合同管控虽然是减少了审批流程，但是强化审核力度，增加了合同签订前的手续审查、主体的合法性审查、合同的实质性审查、合同的形式审查、合同内容的有效性审查等内容。

[1]刘飚.企业业务流程分析及再造评价方法研究[D].武汉:华中科技大学硕士论文,2003.

[2]李玉环.企业控制中的风险评估[J].会计之友,2008(10).