钢铁企业风险管控及预警体系建设
发表时间:2017-06-30
根据财政部等五部委发布的企业内部控制基本规范及配套指引,许多上市企业都建立了风险管控体系,但有的企业风险管控体系建设还停留在一些原则性规定,没有把风险管控同企业的日常经营管理紧密结合,未能起到有效监控风险、防范风险事件的目的。本文运用PDCA循环机制,结合钢铁企业实践加以探讨,为企业风险管控及预警体系构建提供参考。
近年来,由于我国钢铁产能过剩,宏观经济持续下行,钢铁企业面临严重的生存危机,比以往面临更多的不确定性,湘钢通过导人风控体系,采用PDCA循环机制,建立三道风险防线,实施风险评估,构建重大风险预警体系,以及开展内外审计,营造了良好的风险管理和内部控制环境,将重要业务领域风险控制在合理水平,保障公司持续健康发展。
一、设计全面风险管控体系框架
湘钢风险管控采用PDCA循环机制,运用“一、二、三”管控模式:即一个中心、二个轮子,三驾马车。以全面风险管控体系为中心,以风险管理和内部控制两个轮子为支撑,以业务管理部门、风险管理部门、监察审计部门三驾马车共同驾驭和管控风险。风险管控PDCA机制本质上以风险为导向、以流程为对象、以控制为手段、用基础平台融合,不断推进业务流程规范化、重大风险显性化、风险控制常态化,优化流程和强化管控,使内部控制与风险管理的理念和方法有效融人业务过程,实现风险、流程、制度、控制相统一,循环改进,促进风险管控能力不断提升,最终实现风险PDCA循环长效管控。风险管理是一个PDCA循环过程,要进行风险识别、评估评价、风险应对、日常监控。然后,再利用日一常监控和复核的反馈结果来改进风险识别、评估、应对过程,如此循环反复,力求把风险导致的各种不利后果降到最低程度。
内部控制也是一个PDCA循环过程,它围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部评价具体内容。通过自查和抽查,内控测试及外部审计,对缺陷项实施整改闭环。
“风险管理”和“内部控制”融合成一个大的PDCA循环,需要借助风险管控基础平台,这个平台就是法律、法规、政策、制度、流程、组织、绩效、文化、组织、信息、知识、方法、工具等,见图1。三驾马车即三个(业务管理部门、风险管理部门、监察审计部门)部门共同驾驭和管控风险也分别代表湘钢风险管控体系的三道防线。
第一道防线:业务管理部门(规划、采购、生产、技术、销售、人力资源、财务等)。各业务部门负责在日常业务过程中控制风险。业务部门识别出来的风险,大都体现在财务指标上。财务部是管理风险牵头部门,通过财务风险管控,力争把风险控制在第一道防线可控范围内。
第二道防线:风险管理部门。在风险管理委员会的领导下,管理创新部负责组织建立湘钢风险管控体系,组织建立重大风险预警体系,并推进风险管理日常工作,包括日常监管、内部测试、外部审计。
管理创新部以流程和制度为抓手,用体系的思路和方法管理企业,不断提高风险管控体系运行的有效性和效率。
第三道防线:监察审计部,即独立审计机构,监察审计部对风险管理体系建设情况及工作效果进行客观、独立的监督。以评价内控控制是否足以应对舞弊风险,风险管控是否到达预期效果为目的。监察审计部从专业角度审视风险管控、预警体系运行,提示企业相关风险,防范风险事件。
二、建立内控风险管控体系
1.健全组织建设
湘钢于2010年启动全面风险管理体系建设工作,成立了内控与风险管理委员会,由总经理任主任,总会计师任副主任。内控与风险管理委员会下设办公室,办公室主任由管理创新部部长担任,副主任由监察审计部部长、财务部部长、管理创新部内控与风险主管副部长担任,成员由管理创新部、监察审计部、财务部的相关主管组成。各相关部门设内控与风险管理联络员,其业务工作由办公室统一布置、统一管理。
2.完善制度建设
根据湖南省国资委《关于加强企业全面风险管理工作的通知》,公司制订了《内控与风险管理办法》。根据财政部等国家五部委颁布的《企业内部控制荃本规范》的要求,又制定了(内控手册》。以《内控手册》、《内控与风险管理办法》为纲领,以流程管理为主线,以财务管理为重心,围绕公司发展战略和核心业务管理职能,将风险管理基本理念和风险管理墓本流程融人到战略管理、财务管理、商业管理、运营管理等重要业务管控环节。在不变更现行有效制度体系前提下,将现有质量、职业健康安全、环境、测量等管理体系与风险体系有机结合,同时针对风险管控体系需要,新增内控与风险方而专项管理制度,如《客户信用及应收帐款管理办法》、《营运资金管理办法》、《保兑仓管理办法》等制度,建立了一整套适合企业特色的风险管控体系,每年通过开展风险的识别与分析,对制度进行评审,同时对内控测试底稿进行修订,重点对本地化控制活动描述进行完善,夯实本地化控制活动管理基础,使风险管控制度体系不断完善。
公司风险评估涵盖18个部门,涉及21大业务流程及所辖业务和岗位。评估涵盖战略风险、财务风险、商业风险和运营风险四个风险领域,其中包括26个风险种类,共计222个风险事件。风险数据库表单如下:
风险成因虽化分析:在年度风险辨识的基础上,采用定性+定址的方式,建立两个评价标准,以确定需优先关注的重大风险领域。
风险发生可能性评价标准(定性+定虽):极低1分,较低2分,「扣等3分,较高4分,极高5分,5个分值分别规定相应的定性和定虽评价标准。
风险发生后影响程度评价标准(定性+定童):极低I分,较低2分,III等3分,较高4分,极高5分。根据风险评估的结果,建立了风险矩阵图谱,确定重大风险7个,一般风险54个。
公司按照《内控与风险管理办法》对重大风险和一般风险的管理进行定期跟踪、分析和评价((PDCA),其竹理流程运行结果纳人内控监督与考核。
三、建立重大风险预警体系
1.强化重大风险预警
为加强重大风险管理,有效实施风险预警,防止风险事件发生,提高重大风险管控效果,真正将内部风险控制落到实处,公司构建了重大风险预警体系。针‘对7个重大风险,进行了流程分析,明确了31个预警指标:预警值,数据来源,测评次数。责任部门等,将《风险数据库、重大风险预警体系及管控方案》以公司文件的形式公布。
2.设立三道防线监控
为确保预警体系有效运行,公司建立了三道管控防线,分别由业务部门、风险管理部门、监察审计部门实施监控,运用PDCA,不断循环改进。
业务部门实施预警。对重大风险实行日监控、周汇总、月报表制度,当风险达到预警仇时,重大风险业务部门将预警信息反馈公司主管领导、管理创新部,由责任部门开展预警分析、查找原因、制定措施、实施改进,从而实现对重大风险的预防与控制。风险管理部门组织日常风险预警工作,召开风险讲评会。各风险业务管理部门根据风险控制情况,对风险情况进行讲评,掌握现象,分析问题,总结经验,实施动态管理,确保指标起到预警和预防风险事件发生的作用。监察审计部针对预警指标开展专项审计,出具专项审计报告,确保各监控指标数据真实、有效。
对重大风险预警指标体系实行动态管理。管理创新部每半年组织对风险指标进行识别,评估,实施动态管理,确保指标起到预警和预防风险事件发生的作用。
四、体系运行评价与内控审计
公司每年对内控测试进行周密策划,对8个公司层面和13个业务层面管理流程制定自我评价工作方案,编写内控测试计划,成立内控测试组,根据上年度内、外审计测试结果、重大风险管控情况,对重要业务单位、重大业务事项、主要业务流程和高风险领域,安排专业骨干人员实施重点审计。为了确保控测试效果,每次测试前,首先对内控测试底稿进行完善,同时开展内控和风险知识培训,使参加测试人员既懂专业,又熟悉业务,测试工作要达到既有广度,又有深度,测试组负责编制内控测试报告,各责任单位针对内控测试发现的缺陷项实施整改。
公司每年外部审计工作,均安排骨干人员作为向导,外部审计既是一个发现问题不断完善体系的过程,同时又是一个学习改进的过程,骨干人员业务水平和能力也得到提升。目前,湘钢通过内控测试、外部审计,已培养了一批自评骨干,实现了由三钢互相测试,转变为自我独立测试,初步建立了内控自我评价改进机制。
五、结束语
风险管控及预警体系化建设不是新增一套管理体系,而是以现有管理体系为基础,融人风险管理理念后,再优化、完善的过程。构建符合风险管理与内控要求的管理体系,需要运用PDCA循环机制,严把三道防线,使企业管理进入“螺旋式上升”的PDCA良性循环,最终为企业持续健康的发展保驾护航。