淺析施工企業內部控制與風險管理

? 通常將企業風險管理分為八個相互關聯的組成要素，即內部環境、目標設定、事件識別、評估風險、應對風險、控制活動、信息溝通和監督。

隨著信息技術和網絡技術的高速發展，企業面臨的經營環境具有復雜性、多變性和高度的不確定性等特點，企業的經營活動處于完全的市場競爭環境之中，施工企業顯得尤其突出。也可以說施工企業面臨的風險是無處不在，如何應對和適應瞬息萬變的環境，實現企業管理的戰略目標和短期經營管理目標，筆者認為：只有依靠建立健全科學有效的內部控制制度和流程，有效實施對企業的全面風險管理才是必由之路。

一、施工企業內部控制與經營風險管理的特點

施工企業內部控制：施工企業經營的特點是面臨環境的多變性、復雜性和不確定性。施工企業的內部控制是為了實現其經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制。其目標是貫徹執行國家法律法規和企業各項內部規章制度，合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現經營目標和發展戰略。其基本要素包括內部控制環境、風險識別與評估、內部控制措施、信息交流與反饋、監督評價與糾正等五個方面。

施工企業經營風險管理：施工企業的經營風險具有影響的普遍性、較強的隱蔽性和不可逆轉性。經營風險是損失的可能性和盈利的機會，這是雙側風險概念。企業風險管理（ERM）是指“綜合管理業務風險、財務風險、經營風險和風險轉移，力求公司股東價值最大化。”也就是說，通過統一分析公司內外的風險，制定系統的管理策略來處理這些風險，從而提高公司的盈利能力和實現企業目標。由此可知有效的風險管理能為企業創造價值。

內部控制與風險管理的聯系與區別：1992年，美國COSO委員會發布了《內部控制框架》（簡稱COSO報告），自從COSO報告發布以后看，已被世界大多數國家廣泛采用，包括我國五部委2008年頒布的“企業內部控制基本規范”也不例外。但隨著內外部環境的發展，人們逐漸認識到內部控制必須與企業的風險管理相結合。新的企業風險管理框架就是在這基礎上，結合《薩班斯一奧克斯法案》在報告方面的要求，研究得到的。研發人員認為，新報告中有60％的內容得益于COSO1992年所做的工作。風險是一個比內部控制更為廣泛的概念，因此，新框架中的許多討論比92年的報告要更全面、更深刻。此外，COSO也認為風險管理框架是建立在內部控制框架的基礎上，內部控制是企業風險管理必不可少的一部分，但風險管理框架的范圍比內部控制框架的范圍更為廣泛，是對內部控制框架的擴展，是一個主要針對風險的更為明確的概念。概而言之，內控強調的是對具體目標實現的過程管理，著重于正確的做事；風險管理強調的是對整體目標的管理，著重于做正確的事。

二、施工企業經營過程中的主要內部控制框架

企業內部控制是由受企業董事會、管理層和其他員工影響并實施，旨在實現企業經營效果和效率、財務報告的真實性和可靠性及法律的遵循性等目標，而采用的一系列具有控制作用的方法、措施和程序，并以規范化、系統化、制度化所形成的一套比較完整、嚴密、科學的控制機制。

內部控制的措施一般包括：不相容職務分離控制，授權審批控制，會計系統控制，財產保護控制，預算控制，營運分析控制和績效考核控制。

1、投標業務的內部控制。施工企業投標業務的內部控制重點是：首先是建立投標信息的歸類收集與歸口管理制度，根據收集歸類的信息組織時時分析和篩選制度，按照“五不攬、四慎攬”的原則進行選擇投標，做到有的放矢；其次是建立施工技術標中的施工方案三級分工復核制度；再次是建立商務標中的投標報價三級分工復核制度；最后是建立實施對投標業務的綜合評審制度。

2、施工運營的內部控制。施工企業施工實施階段的內部控制重點是：首先是建立施工方案預控制度，即建立公司層面、項目部層面、作業層面三級施工方案預控制度；其次是建立安全質量預控制度，即制定安全質量控制總體目標的基礎之上，制定出關鍵控制性單位工程、重點接點控制性單位工程的詳細安全質量保證措施，以及發生安全質量事故處理的應急預案措施等；再次是建立成本預控制度，即建立公司層面、項目部層面、責任中心層面的責任成本管理制度。

3、竣工交付的內部控制。施工企業項目竣工交付階段的內部控制重點：首先是建立項目竣工交付技術資料歸類整理制度，關鍵在于對各類技術交底、檢驗實驗、施工日志等資料的收集、整理和歸類，編制竣工圖紙；其次是建立項目竣工決算責任制度，確定竣工決算目標，明確責任職責與范圍，尤其是建立對合同外變更索賠的清理責任制度。

4、資源管理的內部控制。施工企業資源管理的內部控制重點：首先是建立人力資源管理、物質設備管理、內部資金管理、勞務用工管理等四大中心管理制度，促進企業各項生產要素在企業內部合理、有序、受控的流動，確保各項資源的有效組合。其次是建立企業資源配置制度，按照標準化管理中專業化施工要求對四大要素進行配置。

5、投資業務的內部控制。施工企業投資業務的內部控制重點：首先是建立企業投資可行性分析制度，按照技術上可行、經濟上合理、風險上可控、投資回報上優先的原則進行分析，按照“三重一大”的要求實行集體決策制度，重大投資實行上報審批制度；其次是投資項目的過程跟蹤制度，防止實施過程中的偏差過大、對風險的估計不足而導致的重大損失；再次建立投資項目最終評價制度。從項目投資的事前分析，到事中控制，再到事后評價等全過程進行跟蹤，從而達到對企業投資的營運風險進行掌控。

6、法務管理的內部控制。施工企業法務管理的內部控制重點：首先是建立施工企業的合同管理制度，堅持企業依法經營、合法經營這個前提；其次是建立企業的合同評審制度，堅持對外的所有合同必須進行合同評審方為有效的原則；再次是制定企業對外合同的統一范本，避免政出多門的弊端。從而對施工企業在經營過程中的合同風險、稅務風險、監管風險等法律風險進行掌控。

三、施工企業從內部控制到全面經營風險管理的實現

根據管理者經營方式的不同，通常將企業風險管理分為八個相互關聯的組成要素，即內部環境、目標設定、事件識別、評估風險、應對風險、控制活動、信息與溝通和監督。這八個要素體現的是一個動態過程，是一個有機整體。借鑒COSO風險管理模式在施工企業推行全面經營風險管理。

1、優化施工企業的內部環境。企業的內部環境不僅影響企業戰略和目標的制定、業務活動的組織和對風險的識別、評估和反應，還影響企業控制活動、信息和溝通系統以及監控活動的設計和執行，董事會、管理層是內部環境的重要組成部分。主要包括：培育健康的風險管理文化、制定切合施工企業實際的人力資源政策、設立風險管理機構、提高高管層綜合素質和確立董事會的核心地位、對權力和責任進行合理分配等。

2、制定適應本企業實際的風險管理目標。目標的制定和實施是一個企業的重要工作，企業風險管理要確保企業有一個科學的目標制定流程、以及企業選擇的目標與企業的長遠發展規劃相一致、與企業對待風險的態度相一致。

3、建立適合施工企業業務的風險預警和識別系統。企業目標的實現有賴于大量的經濟活動，這些經濟活動的發生對企業可能產生正面的影響、也可能產生負面的影響。因此，風險是指某一對企業目標的實觀可能造成負面影響的事項發生的可能性，要求管理層首先對其加以識別，然后進行評估和作出應對。

4、建立科學合理的風險評估機制。當風險被識別出以后，就要對它的影響度加以評估。首先應對企業的固有風險進行評估，這有利于制定應對固有風險的管理措施；然后，根據實施的管理措施，再對企業的剩余風險進行評估。

5、樹立科學的風險應對策略觀。風險管理的目的不是去消滅風險，而是將企業風險發生的可能性和影響都控制在可接收到風險容忍度范圍內。如投標階段的“五不攬、四慎攬”原則，施工階段的“兩掛鉤、兩不準”制度等都是施工企業應對經營風險的具體措施。

6、建立科學規范的風險控制體系。控制活動是應對風險的相關政策和程序。控制活動存在于企業的各部分、各個層面，通常包括兩個要素：確定應該做什么和應該怎么做的一系列政策和程序。應當強調的是，風險管理制度雖然重要，但它抵抗不了風險，真正的執行才是最重要的。

7、建立高效的風險信息溝通網絡。企業內部和外部的相關信息必須以一定的格式和時間間隔進行確認、記錄和傳遞，以保證企業的員工能夠執行各自的職責。有效的溝通包括企業內自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關的信息與企業外部相關方的溝通和交換，如客戶、供應商、行政管理部門和股東等。

8、建立科學完善的內部控制檢查、評價與考核機制。對企業風險管理的有效性必須從整體上予以監督，并在必要時不斷修訂。這種監督常常是通過持續的管理活動和獨立的評價來實施的。包括：強化內部審計作用，拓展內部審計的責權、制定施工企業內部控制檢查評價與考核辦法，形成持續監督的企業氛圍。

（本文作者涂連友工作單位系中鐵二十四局集團西南指揮部）