缅甸皇家国际

关于全面风险管理及内部控制制度的解读

11-30 阅读次数: 新闻作者:审计与内控部

为提升集团风险管理水平,建立全面风险管理及内部控制体系,促进风险管理机制在集团内部的有效运转,2010年集团首次发布了《全面风险管理办法》、《风险管理流程》及《内部控制管理办法》,为全面宣贯和深入理解以上制度的主旨内容,我们从工作背景、制度体系及主要内容等方面进行解读,以供大家参考。

一、制度出台的工作背景

2006年6月《中央企业全面风险管理指引》正式下发,明确要求中央企业要重视和开展全面风险管理,提出具备条件的企业应全面推进,尽快建立全面风险管理体系;其他企业应制定开展全面风险管理的总体规划,分步实施。在指引的指导下,中央企业都不同程度开展全面风险管理工作,个别作为国资委试点的央企全面风险管理工作已初见成效。

集团作为北京市电力能源的投融资主体,业务单元涉及电力能源、房地产、金融投资、高新技术等,业务分布地域范围较广。截止2009年底,总资产已超过900亿元,权益装机容量1474万千瓦,集团正向千亿元资产大关迈进,随着集团发展速度的加快和资产规模的扩展,对提升管理水平、防范运营风险提出迫切的要求。

2009年6月集团启动了全面风险管理工作,由原法律审计部与咨询机构共同组成项目小组,开展集团层面的全面风险评估。为推进全面风险管理工作,逐步建立风险管控的工作机制,集团于2009年底成立了风险管理专职部门“审计与内控部”,初步建立了集团层面的全面风险管理组织框架,也迈出了构建集团全面风险管理及内部控制体系的第一步。

二、制度的内容框架与关系

1、三项制度的内容框架

体系建设,制度先行。首批发布的风险管理及内部控制制度主要是三个基本制度,其中:《全面风险管理办法》作为集团全面风险管理工作的纲领性文件,办法涵盖了集团全面风险管理目标、体系要素、组织职能及工作程序等刚性要求。《风险管理流程》作为集团风险管理工作操作层面的制度,主要明确风险管理的工作流程、风险管理报告的内容及路径,并针对常规性的风险管理工作制定了具体的工作模板。《内部控制管理办法》是对风险管理核心工作的指导文件,提出了内部环境、控制活动、信息与沟通、内部控制监督、内部控制评价等工作的规范性要求。今后随着风险管理及内部控制工作的推进,风险管理制度体系还将根据工作需要继续补充完善。

2、风险管理与内部控制的关系

为什么首批制度中除了全面风险管理办法及流程外,要同时出台内部控制管理制度,应从风险管理与内部控制的关系来解释。内部控制是全面风险管理必不可少的一部分,属于全面风险管理体系的重要子系统,也是全面风险管理体系建设的基础,从内部控制到全面风险管理,是一个逐渐深化的过程。而全面风险管理的范围比内部控制的范围更为广泛,是对内部控制在目标、手段、对象等方面的扩展,全面风险管理解决的不仅是制度及流程问题,更重要的是战略决策、应急处理问题等。集团全面风险管理体系的构建以内部控制体系为切入点,在内控基础完善的前提下推广全面风险管理体系,因此内部控制制度作为首批风险管理关联制度发布,与体系建设同步。

三、风险管理及内部控制体系规划

集团构建全面风险管理体系,要求在公司层面建立风险管理策略、组织职能体系和内部控制系统;在业务层面各管理部室和业务单位要执行风险管理的基本流程;在人员意识层面应树立风险防范意识,逐步培育风险管理文化,在此基础上,全面风险管理信息系统又贯穿始终,全面覆盖。该体系的构建是一项横到边,纵到底、复杂的系统工程,要建立相对完善的全面风险管理体系需要3-5年的时间,并随着集团发展所处环境的变化而不断更新,又是一个长效机制的艰苦任务。

1、关于全面风险管理体系的构建目标:《全面风险管理办法》第5.1.2条提出,集团开展全面风险管理应确保将风险控制在与战略目标相适应并可承受的范围内,内外部信息沟通的真实、充分、可靠,有关规章制度和各项措施的贯彻执行,提高经营活动的效率和效果,降低实现经营目标的不确定性。建立针对各项重大风险发生后的危机处理计划,保护集团不因灾害性风险或人为失误而遭受重大损失。

2、关于全面风险管理的组织体系:《全面风险管理办法》第5.2节提出,集团应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门以及其他有关职能部室、所属企业的组织领导机构及其职责。

3、关于风险管理策略:《全面风险管理办法》第5.3.4条提出,风险管理策略是根据集团内部条件和外部环境,围绕集团发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。

4、关于风险管理基本流程:《全面风险管理办法》第5.3节提出,开展全面风险管理,应履行以下基本程序,主要包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出风险管理解决方案、实施内部控制活动、风险管理的监督与改进、风险管理报告。在《风险管理流程》中又明确风险管理的日常工作任务及操作流程,具体包括风险评估、风险应对方案制定、风险动态监控以及风险管理评价与改进、风险管理报告的闭环控制系统。

5、关于内部控制体系:《全面风险管理办法》第3.3条提出,内部控制系统指围绕风险管理策略目标,针对公司战略、规划、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、销售、质量、基本建设、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。在《内部控制管理办法》中又对内部控制体系的基本内容,如内部环境、具体控制活动、信息与沟通、内部控制监督、内部控制评价等工作要求进行具体规范。

6、关于风险管理信息系统:《全面风险管理办法》第5.4节提出,应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,对各种风险进行分析、监控、预警、传递和披露,实现信息在各职能部门、业务单位之间的集成与共享,既满足单项业务风险管理的要求,也能满足集团整体和跨职能部门、业务单位的风险管理综合要求。

7、关于风险管理文化:《全面风险管理办法》第5.5节提出,应采取多种方式和途径,进行风险文化的宣传及学习培训,增强员工的风险意识,提高员工的风险管理素质。在风险管理文化培育过程中,董事会和高级管理人员要起到表率作用,还要将风险管理文化建设工作与员工的激励约束机制挂钩,鼓励、支持基层员工参与企业风险管理文化的具体工作,增强风险管理工作的主动性。

8、关于风险管理的绩效考核:《全面风险管理办法》第5.6节提出,集团应建立对全面风险管理工作的考核机制,考核内容包括对风险管理体系建设工作和风险管理具体工作绩效的考核,考核将纳入集团年度绩效考核体系,集团各职能部室及所属企业应将全面风险管理工作任务列入年度工作计划和折子工程,集团根据风险管理考核结果,确定各职能部室及所属企业的风险管理责任,对出现重大风险损失事件的责任人应追究责任。

四、风险管理组织体系的职能分工

全面风险管理是一项系统工程,需要集团上下各个层面共同参与、密切配合。集团应建立由董事会总负责,经营层(总经理办公会)直接领导,以风险管理机构为依托,相关职能部室密切配合,覆盖所有业务单位的风险管理组织体系。集团审计与内控部作为风险管理专职部门,主要负责对集团全面风险管理工作的规划、组织、指导和协调,而全面风险管理工作的具体实施和各专项风险管理责任需要集团各职能部室和各下属企业来承担,集团各职能部室和各下属企业是风险防范和风险应对工作的具体责任单位。

1、董事会是集团风险管理工作的战略决策机构,董事会下设风险管理委员会,是集团风险管理工作的专业指导机构。

2、经营层(以总经理为主导的经营班子,决策形式是总经理办公会)负责主持全面风险管理的日常工作,对全面风险管理工作的有效性向董事会负责。

3、风险管理主管领导负责指导监督风险管理部门的日常工作,协调和推进跨专业风险管理的重要事项。

4、集团设立专职的风险管理部门,负责风险管理体系的建设和整体运转,负责风险管理工作的组织协调,为集团重大风险管理决策提供专业意见。

5、董事会审计委员会和内部审计机构作为监督机构,主要职责就是研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展风险管理监督与评价工作,出具全面风险管理监督评价的专项报告。

6、集团各职能部室作为风险防范和风险应对工作的具体管理部门,各职能部室负责人是本部门风险管理负责人,各职能部室明确1至2名风险管理协调员,协助部门负责人开展本部门风险管理工作。各职能部室应接受风险管理部门和内部审计机构的组织、协调、指导和监督。

7、集团所属企业应建立本企业全面风险管理体系,完成本企业各项风险管理活动,配合集团风险管理部门和有关职能部室的风险管理工作。所属企业负责人为本企业风险管理最终责任人。所属企业应按照集团风险管理组织架构和职责分工,建立本企业风险管理组织机构体系,结合企业实际情况可采取渐进方式,先在相关部门设置风险管理岗位或职能,待相关条件成熟后逐步健全风险管理组织机构。