风险内控管理的改进举措
1 完善风险内控管理制度体系完备的风险内控管理制度体系是开展风险内控工作的基础。
一是应当设定风险内控活动目标,将风险内控工作与单位的目标相连接,包括风险内控活动目标设定和风险承受度设定两项内容。
二是围绕战略目标和支持其实现的经营目标、报告目标、合规目标及资产安全目标等相关目标进行设定,分为单位层面目标和业务层面目标。战略目标是最高层次目标,与单位使命相连并支撑其使命,是单位在一定时期内经营活动的方向及其所要达到的水平。相关目标之经营目标与单位经营的有效性和效率有关,包括业绩额及盈利目标的实现。相关目标之报告目标与报告的真实性和可靠性有关,包括对内和对外报告。相关目标之合规目标指经营管理活动必须符合相关法律法规和上级监管要求等。相关目标之资产安全目标包括防止亏损 经营、损失资产;防止高层舞弊侵吞资产;防止国有资产流失、贬值等。单位层面目标设定可以从单位战略目标、年度经营目标及特定的重大事项工作目标中进行选择。业务层面的目标设定可以从支持战略目标的具体业务经营目标及特定业务事项目标中进行选择。
三是应当聚焦风险内控工作的管理目标,结合单位实际建立风险内控指导手册、风险内控管理办法、风险内控管理专项指引等风险内控管理制度,分层分级,将风险内控的管理要求与经营管理业务深度融合,形成风险内控管理制度体系,明确风险内控的管理流程,为风险内控规范管理奠定基础。
内控管理
2 健全风险内控管理机制
【建立风险辨识与评估机制】 强化风险内控管理,开展风险辨识与评估应涵盖治理与科研生产经营管理活动中的以下环节。围绕单位的单位层面和业务层面及相关目标,各涉及风险相关业务部门按照分工,根据所内外部环境的变化,在辨识风险信息的基础上,围绕对目标实现的影响因素或流程关键控制点开展风险识别;并视情采用定性分析与定量分析相结合、问卷调研、访谈、统计分析、SWOT分析法、集体讨论/头脑风暴、专家意见、检查表法、流程分析法、现场观察法、组织图分析法、财务报表分析法、风险坐标图、情景分析法、压力测试法、穿行测试法、层次分析法等方法,确定业务事项中是否存在风险及风险大小程度;在风险分析的基础上,针对风险的发生可能性、影响程度开展风险评估。
【建立风险应对机制】 风险应对是在风险辨识与评估的基础上,通过选择风险应对策略、制定及实施风险应对方案,将风险水平控制在期望范围内的过程。单位层面的风险应对,由风险内控归口管理部门牵头组织各相关业务部门实施风险应对,或者制定合适的业务部门承担风险主管职责,组织实施风险应对。]各业务层面的风险应对,由相应业务主管部门负责组织开展;各业务主管部门应结合部门职责和业务流程安排,在相关业务管理规范中明确关键业务重大风险应对的职责安排和工作程序,在日常工作中开展业务重大风险应对工作。风险应对策略是根据单位自身条件和外部环境,围绕发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择适当的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配备原则。风险应对策略视情选择风险承担、风险规避、风险转移、风险对冲、风险补偿及风险控制等手段。基于风险的具体情况,可以视情采用调整决策、加强风险监控预警、完善内部控制、加强应急管理等手段应对风险。调整决策,即通过调整决策,影响风险在单位内部的传导路径,从而改变风险可能导致的影响。加强风险监控预警,即通过动态跟踪与风险相关的量化指标变化情况,并在指标表现异常时及时组织应对,以尽量从源头上防范管控风险。完善内部控制,即通过对内部管理程序和方法中存在的缺失和不足进行完善,降低风险发生的概率及风险发生后导致的影响,包括完善制度、规范流程、优化流程、优化控制措施、优化表单和标准等。加强应急管理,通过规范风险发生后的处置程序,并通过演练等手段提升风险发生后的处置能力,尽量降低风险发生后导致的损失。
【建立风险监控预警机制】 各业务部门对发现或可能出现的风险,应及时预警、无保留的向风险内控归口管理部门报告有关风险的真实信息,并协同及时开展风险应对;并通过有效的沟通和反馈,使决策层、管理层及各业务部门及时了解业务和资产的风险状况,同时相应调整风险管理政策和管理措施。突发风险事件应急应对工作是风险管理的应急保障机制,避免突发风险事件进一步扩大为危机事件。各业务部门应根据所涉及的风险制定突发风险事件应急预案,应急预案应包括应急组织机构、应急准备、应急响应、应急处置、应急保障及应急恢复等全过程。发生风险事件应急预案以外的风险事件,相关责任部门首先应以缓解事态发展为目标采取紧急风险控制措施,并及时上报内控归口管理部门,同时制定应急应对方案并组织实施。突发风险事件应急应对后,风险管理主责部门应编写总结报告并建立相应风险事件应急预案,上报内控归口管理部门备案。
【建立内部控制改进优化机制】 内部控制建设是将风险应对落实在业务流程中,从而使风险管控活动规范化、程序化和显性化的过程。一是结合单位AOS管理体系建设,开展业务流程梳理、梳理关键控制环节、构建端到端流程体系,并进行管控诊断、优化风险管控,持续开展内部控制评价,不断完善内部控制。二是内部控制优化与改进的内容包括权责优化、制度优化、流程优化、表单优化和措施优化。权责优化,包括明确归口管理、厘清“三道防线”职责交叉、设置不相容岗位、优化授权等。制度优化,包括补充、完善管理制度,修订制度之间、制度与实际执行之间冲突等。流程优化,包括调整流程走向,增加或减少流程环节等。表单优化,包括规范、细化表单及表单填写要求等。措施优化,包括补充、修订控制措施,保障措施有效性。三是自上推进内部控制优化与改进单位内部控制优化与改进工作执行统一规划,上下结合的方法。风险内控归口管理部门对于内外部监督检查、审计、自评价、风险评估发现的内控缺陷,组织编写内控缺陷整改建议表。内控缺陷整改建议表主要包括:缺陷名称、问题描述、改进建议、整改期限、意见反馈、责任人。风险内控归口管理部门组织相关业务部门实施整改。各相关业务部门应当按照内控缺陷整改要求及时开展整改工作;风险内控归口管理部门负责整改工作的监督检查;各相关业务部门应当在整改期限内完成内控缺陷整改,并及时报送风险内控归口管理部门备案。四是自下推进内部控制优化与改进。各业务部门在发生国家法律法规、行业从业规定、监管部门要求等发生变化;单位战略规划、业务范围、组织机构、管理职责等内部环境发生调整变化等情形时;通过自评价发现现有内控体系不足以实现控制风险的目标;发生内部控制重大失控事件。
【建立风险内控监督与评价机制】 监督与评价工作是对风险内控工作情况进行检查,发现缺陷和不足,及时改进提升,从而推动风险内控工作持续优化的工作过程。单位本部内部控制有效性评价工作包括两个阶段:一是各业务部门开展本部门内部控制自我评价工作,本部各业务部门完成本部门内部控制运行情况工作总结及内控底稿的填制工作。工作总结内容包括本年度制度、流程的修订,内控运行情况及内控运行中存在的问题与缺陷等方面。二是由纪检审计部门对内部控制的有效性进行全面性评价、形成评价结论、出具评价报告。纪检审计部门应制定内部控制有效性评价现场测试工作方案,包括工作内容、人员组织、进度安排,并根据各业务部门报送的自我评价底稿组成内部控制评价工作组,工作组成员应当吸收相关业务部门熟悉业务的骨干参加,开展内部控制现场测试工作。三是内部控制评价工作组在进行内部控制有效性现场测试时,要综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价对象内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。四是内部控制评价工作组根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度和认定标准分为重大缺陷、重要缺陷和一般缺陷。内控缺陷认定标准主要包括认定方式、认定标准两大部分。其中认定方式包含:定性方式、定量方式;认定标准包含:重大缺陷、重要缺陷、一般缺陷。重大缺陷,指一个或多个控制缺陷的组合,可能导致单位严重偏离控制目标。重要缺陷,指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致单位偏离控制目标。一般缺陷,指重大缺陷、重要缺陷之外的其他缺陷。
【建立风险内控管理报告机制】 一是单位本部各业务部门对监控中或者专项检查中发现的重大风险或者风险隐患问题应及时具体描述重大风险行为,并制定应对措施,并立即报送风险内控归口管理部门报送;由风险内控归口管理部门组织编写专项风险管理报告,专项风险管理报告主要包含风险事件简单描述;风险事件的发生情况;风险事件的处置情况;风险事件的影响及经验教训总结。 二是风险内控归口管理部门根据纪检审计部门的年度内控监督评价结果和子公司上报的自评价报告,编制年度内控体系工作报告,主要包含年风险内控体系建设与监督工作情况(内控体系架构及履职情况、内控制度建设及执行情况、重大经营风险评估及监测情况、内控信息化建设情况、内部监督协同配合情况)、风险内控体系建设与监督工作取得主要成效(内控监督评价覆盖情况、内控监督评价发现问题情况、内控缺陷整改情况及成效)和风险内控工作存在的问题困难和有关政策建议。
【建立风险内控责任追究机制】 对违反或拒不执行全面风险与内部控制制度要求;在风险内控监督评价中弄虚作假不如实披露信息;拒报、瞒报或者不据实报送风险管理信息;发生重大风险事件或者内控缺陷未及时报告;未按时报送风险管理报告或者工作总结;因决策失误、管理失职、行为失当或者违法违规等引发风险事件或者内控缺陷等行为按单位有关规定追究相关人员的责任。
3 推进风险内控“三道防线”协同进一步厘清风险内控“三道防线”职责且推进协同共治。
一是各业务部门是风险内控工作的具体执行机构,风险内控管理的“第一道防线”,将风险内控运行的 相关要求嵌入业务运营制度流程和信息系统,并做好与风险内控归口管理部门的信息共享。
二是风险内控管理的归口管理部门,是风险内控管理的“第二道防线”,牵头开展风险内控体系建设并促进有效运行,推动风险内控体系运行,其相关要求嵌入业务运行和制度流程。
三是纪检审计部门是风险内控工作的监督评价部门,是风险内控管理的“第三道防线,将风险内控审计纳入年度审计计划并统筹安排;将风险内控体系的健全性和有效性纳入经济责任审计、合规经营管理审计等审计内容;针对高风险业务、问题易发多发等业务领域开展风控专项审计;与风险内控归口管理部门共享审计监督发现的缺陷问题与风险事项;督促检查被审计责任部门抓紧抓实审计查出问题整改与风险应对;查处风险内控中违法违规违纪行为和责任人,并进行责任追究。
结语
通过聚焦风险内控管理存在的缺陷且采取针对性改进举措,不断完善风险内控管理制度体系;改进管理缺陷,完善工作内容,使风险内控管理工作“制度化”、“显性化”和“机制化”,并定期开展风险识别与评估,积极开展风险应对,形成动态管理机制,使风险辨识、风险评估、风险应对及风险监测可追溯,可监管,构建行之有效的风险内控管理体系,有效预防风险事件发生,达到强有力支撑国有企业高质量发展的目标实现。