建筑企业风险与内控体系建设

建筑企业风险与内控体系建设

2014年以来建筑行业整体形势下行，行业竞争加剧，来源于外部风险和内部风险对企业的可持续发展造成不可忽视的威胁，如何摆脱内忧外患，成为各企业的关注点，企业风险与内控体系让企业在控制内外部环境，实现可持续发展上获得有利保障。

1、什么是风险管理与内部控制

美国COSO定义：

（1）内部控制：是由董事会、管理当局和其他职员实施的过程，旨在为各类指标的目标提供合理保证：经营效果和效率；财务报告的可靠性；遵循适用的法律和法规。

（2）企业风险管理：是一个过程，它是由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

内部控制是企业风险管理的重要组成部分，做好风险管理必须要进行内控体系建设。

2、建筑企业面临的风险

主要风险有战略风险（如多元化投资）；市场风险（如供求关系变化、业主诚信）；财务风险（如垫资、拖欠、汇率）；运营风险（如工期拖延、质量安全事故）；法律风险（如分包连带责任、海外司法）；人力资源风险（如项目经理任用）；企业总部管控风险（如失控）等等。

有来自外部的风险，也有来自内部的风险，建筑企业需要识别风险、防范风险和控制风险。

3、风险与内控体系建设方法

2016年7月28至29日，慧朴管理在京参加了中铁建某集团风控体系建设咨询项目启动会。

会议上，集团董事长对风险内控工作提出了四点要求：一是提高认识，统一

观点；二是高度重视，狠抓落实，将内部控制规范转化为企业的领导理念和管理思想；三是加强沟通，保证风控体系建设的工作质量；四是持续完善，形成风险内控体系建设的长效机制。

风险与内控体系建设思路

工作思路由三部分组成，分别为准备及启动阶段、体系建立阶段和运行与改进阶段。

（1）准备及启动阶段

建立内控体系组织体系；

编写内部控制实施方案；

召开内部控制体系建设动员会。

（2）体系建立阶段

梳理各项业务流程；

开展规范对标，编制缺陷清单；

建立风险数据库，绘制风险地图；

将风险数据库与流程（或制度）清单进行匹配；

制定或优化业务流程图；

编制风险控制矩阵；

制定或修订相关管理制度，编制业务工作权限指引表；

编制内部控制手册；

编制内部控制自评价报告、全面风险管理报告。

（3）运行与改进阶段

持续开展内控检查与评价，对发现的缺陷持续改进，更新内部控制手册、制度与流程；

逐步实现内部控制信息化。

风险与内控体系建设具体实施过程

（1）梳理业务流程，搭建流程框架体系

搭建流程框架的首要因素就是识别流程，美国哈默博士提出的定义为：流程是一组能够为客户创造价值的相关联的活动过程。流程的分类可以根据不同的原则进行，美国生产力质量协会（APQC）提出流程分类框架，将流程分为运营流程与管理和支持流程两类。

慧朴管理结合建筑企业的流程特点，提出建筑企业流程分类标准：

建筑企业的运营流程：

是一个从原材料到最终产品并向顾客传输价值的持续流动的过程。

位于建筑业务价值链上的主要环节，直接为实现项目合同要求、满足业主价值诉求设置的流程，如策划与投融资管理流程、项目设计管理流程、竣工保修管理流程等。

对实现产品价值影响至关重要的项目生产资源的管理和控制流程，如劳务管理流程、物资管理流程、设备管理流程等。

建筑企业的管理和支持流程：

是更好的监控建筑业务运行状况的目标及过程管理流程。

虽然不直接满足项目业主的价值需求，但从更好的监控建筑业务运行状况的目标及过程管理流程，如项目进度管理流程、项目成本（费用）管理流程、项目安全管理流程、项目考核管理流程、项目风险与内控管理流程等。

为了更好的支持项目生产资源的组织、使用及评价而设置的辅助支持流程，如合同管理流程、招投标管理流程等。

梳理流程的一般步骤：

1）对各部门主管和骨干、流程专管人员进行流程概念培训；

2）各部门组织，识别部门负债或参与的流程；

3）各部门主管确认，提交流程专管人员；

4）流程专管人员整合清理；

5）合理划分出流程清单的章、节、流程名和编号；

6）形成流程清单。

（2）开展规范对标，编制缺陷清单

按照梳理的各项业务活动，清理现有管理制度中的控制措施，逐一核对《企业内部控制基本规范》及其配套指引、《中央企业全面风险管理指引》以及上级单位的相关管理要求，编制对标缺陷清单。

（3）建立风险数据库，绘制风险地图

结合缺陷清单，分析查找各项业务活动存在的主要风险，按照风险

发生的可能性和影响程度对风险进行评估，编制风险数据库。

根据风险发生的可能性和影响程度，绘制风险地图，并对全院各类风险按照风险等级进行排序。

评估影响程度时，将从影响日常运营、影响企业声誉、造成财务报告的错误、引起经济责任、发生违规等多个角度综合考虑，将影响分为“极轻微”至“灾难性的”五级，分别对应1至5分的数值。

评估发生可能性时，综合运用损失发生次数、发生概率等方法，将风险发生可能性分为“极低”到“极高”五个等级，分别对应1至5分的数值。

风险等级= = 影响程度* *

（4）将风险数据库与流程清单进行匹配

将流程清单与风险数据库进行匹配，以便明确某个风险体现在哪个流程中，某个流程中有哪些风险。

这个匹配首先在风险类别层面进行，为下一步全面识别具体风险点与流程中的控制点的匹配打下基础。

（5）制定或优化业务流程

结合风险和控制措施，制定或者优化业务流程图，降低或避免风险。