以风控一体化升级内控管理

本篇文章1558字，读完约4分钟

2012年5月，国资委发布《关于加快中央企业内部控制制度建设的通知》，标志着中央企业内部控制建设全面启动。

经过三年多的发展，不同的企业有不同的内部控制目标，导致内部控制效果的显著差异。一些企业从内部控制和规范管理的实践出发，不仅建立和完善了内部控制制度，而且逐步实现了内部控制的正常运行，将内部控制与风险管理和企业日常经营融为一体。一些企业的目标是满足监管要求，内部控制建设主要是表面的和正式的操作。内部控制建设的成果往往被束之高阁，或者内部控制和管理各行其是。那么，如何做好集团企业的内部控制管理呢？汇点科技风险控制管理高级顾问秦认为，内部控制管理应考虑与风险管理的深度融合。风险管理和内部控制管理在管理目标、工作方法、管理对象和工作成果等方面有许多交集，可以相互借鉴和共享，形成一个集成的管理模式，共同进行企业业务流程管理。

在秦看来，风险控制的整合不仅可以共享风险管理和内部控制管理的成果，还可以促进风险管理战略的实施，通过内部控制管理手段和方法实现内部风险的可控和可管理。同时，内部控制管理的关键领域是通过风险管理中标记的主要风险来定义的。通过重大风险防控，增强业务部门参与风险控制管理的力度，增强主动防范风险的主人翁意识，逐步形成各业务部门独立出击、齐心协力的局面。

因此，秦认为，企业在进行风险控制信息化建设时，应着眼于如何实现风险管理与内部控制工作的全面深入整合，将环境建立、风险识别、分析、评价和响应等风险管理流程与内部控制矩阵、内部控制评价、缺陷识别和整改等内部控制管理流程充分整合和渗透，明确和固化全面风险管理与内部控制工作的匹配点和渗透点

他强调，风险控制平台不仅是风险控制部门的工作平台，更应该定位为全集团的风险控制管理平台。任何部门都可以利用平台提供的标准流程、标准工具和标准模板主动开展风险控制管理工作，并通过系统的应用将专业的风险控制管理方法传递给各级管理人员，成为他们防范业务风险、提高业务管理水平的利器。

那么，如何实现风控制在系统中的集成呢？秦认为，该系统的设计可以借鉴iso31000中的风险管理流程，将系统划分为环境建立、风险识别、风险分析、风险评价和风险响应五个功能模块，并将控制识别、内部控制评价、缺陷识别和缺陷整改的功能嵌入到内部控制管理中。

他强调，系统中风险管理的全过程应以业务流程为管理对象，以风险事件为管理起点:通过明确业务流程，明确风险控制管理的范围、参与者以及与流程相关的环境和风险标准；风险事件是风险控制系统设计的核心要素，它与风险分类、流程框架、内部控制措施、系统条款和风险指标等管理要素联系在一起。

系统设计的风险控制管理过程可以简单描述为根据环境信息的变化随时识别风险事件，在识别风险事件的同时识别现有的控制措施，并评价控制措施的有效性。根据内部控制评价结果，系统对风险事件的可能性和影响程度进行评分，并自动生成风险图和风险排序。地图中风险事件的位置和等级可用作确定内部控制缺陷等级的基础。在风险应对过程中，我们也应该把风险事件作为应对对象，不仅要考虑纠正现有内部控制措施的实施缺陷，还要从风险防范的角度考虑内部控制措施的设计。当内部控制措施不能有效控制风险时，我们也应该利用风险转移和风险规避来应对风险；从而形成风险控制的集成管理模式，在企业的业务流程管理中协同工作。

此外，为了更好地支持集团型企业的风险控制管理，系统还应满足集中、分级、分类风险控制管理的要求:集中是指整个集团采用统一的工具和风险管理语言，实现风险信息、风险管理工具和方法的集中管理；分层是指建立各级单位的风险控制库和风险标准，支持各级单位评估和管理自身的风险控制工作；分类是指根据职能线、管理目标和业务流程划分风险控制范围，支持各部门在各自管理范围内进行日常评估和管理。