2012年5月,国资委《关于加快构建中央企业内部控制体系有关事项的通知》的发布,标志着央企内控建设的全面启动。
经过三年多的发展,由于不同企业开展内部控制的目标不同,导致内控效果也差异显著。有些企业以做实内控、规范管理为出发,不但建立健全了内部控制体系,并逐步实现了内部控制的常态化运行,将内部控制与风险管理、企业日常经营较好的融合。也有企业以满足监管要求为定位,内控建设主要是表面文章、形式化操作,内控建设成果经常被束之高阁,或内控与管理各行其道。那么,集团型企业的内控管理怎么才能做好呢?内控管理应考虑和风险管理深度融合,风险管理和内控管理在管理目标、工作方式、管理对象和工作成果上有许多交集,可以相互借鉴、相互共享,形成一体化管理模式共同作用于企业业务流程管理。
风控一体化不仅可以实现风险管理和内控管理的成果分享,还能促进风险管理战略的落地,通过内控管理手段和方式实现企业内部风险可控、可管,同时,通过风险管理中标注的重大风险明确内控管理的重点领域。通过重大风险的防控工作提升业务部门对风控管理的参与度,强化其主动防范风险的主人翁意识,逐步形成各业务部门自主出击、齐抓共管的局面。
企业在进行风控信息化建设时,要重点考虑如何实现风险管理与内部控制工作全面、深度的融合,在工作组织、业务流程、工具手段、方式方法等多方面将环境建立、风险识别、分析、评价、应对等风险管理过程与内控矩阵、内控评价、缺陷认定和整改等内部控制管理过程充分整合和贯通,明确并固化全面风险管理和内部控制工作的契合点和贯通纽带,实现全面风险管理和内部控制工作的无缝对接。
风控平台不仅仅是风控部门的工作平台,而应将其定位为整个集团的风控管理平台,任意部门均可利用该平台提供的标准流程、标准工具、标准模板主动开展风控管理工作,通过系统的应用将专业的风控管理方法传递给各级管理者,成为他们防范业务风险,提升业务管理水平的一个利器。
那么,如何在系统中实现风控一体化呢? 系统的设计可以参考ISO31000中的“风险管理过程”,将系统划分为环境建立、风险识别、风险分析、风险评价和风险应对五大功能模块,并在风险识别、风险分析、风险评价和风险应对中分别嵌入内控管理中的控制识别、内控评价、缺陷认定和缺陷整改功能。
在系统中开展风险管理的全过程应以业务流程为管理对象,以风险事件为管理抓手:通过明确业务流程界定风控管理范围、参与人员和与该流程相关的环境、风险准则;而风险事件是风控系统设计中的核心元素,衔接了风险分类、流程框架、内控措施、制度条款和风险指标等多个管理元素。
系统中设计的风控管理过程可以简单描述为基于环境信息的变化可随时开展风险事件的识别工作,在识别风险事件的同时识别现有的控制措施,并对控制措施的有效性进行评价。系统根据内控评价结果对风险事件发生的可能性和影响程度进行评分,自动生成风险地图和风险排序。风险事件在地图中的位置和排序可作为内控缺陷等级认定的依据。在风险应对环节,也要以风险事件为应对对象,不仅要考虑整改现有内控措施的执行缺陷,更应从防范风险的角度对内控措施的设计进行考量,在内控措施无法有效控制风险时,还应借助风险转移、风险规避等方式进行风险应对;从而形成风控一体化的管理模式,共同作用于企业业务流程管理。
此外,为了更好地支持集团型架构企业的风控管理工作开展,系统还要满足“集中、分层、分类”的风控管理要求:“集中”指的是全集团采用统一的工具和风险管理语言,实现对风险信息、风险管理工具、方法等的集中管理;“分层”指的是建立各层级单位的风险控制库、风险准则等,支撑各级单位对自身风控工作进行评估和管理;“分类”是指按照职能条线、管理目标和业务流程等形式划分风控范围,支持各部门开展自身管理范围内的日常评估和管理工作。
