内控评价与风险评估信息管理模式探讨

杨 帆，富 琼

(中国电力工程顾问集团东北电力设计院有限公司，吉林 长春 130021)

在现有企业生存环境中，无论是市场竞争、管理提升的诉求，还是国家、行业或上级出台的文件要求，都给予了内部控制和风险管理体系至关重要的地位。有赖于信息技术的飞速发展与应用，信息系统对市场运行和竞争方式的影响逐步深化，在强化现代公司内部控制与风险管理领域，将先进的信息技术引入应用将更具有现实的战略意义。伴随着在体系建设上的不断投入，我国企业正积极构建现代化模式下的内部控制和风险管理体系，在取得瞩目成就的同时其发展和完善水平却呈现了不均衡态势。

以笔者所在的中国电力工程顾问集团东北电力设计院有限公司(以下简称东北院公司)为例，虽然已经基本建成了相对完善的内部控制和风险管理体系，但其仍使用传统的人工数据传递及处理等操作方式，流程效率低、环节耗时过长已经成为开展该流程所面临的突出问题。因此，本文对公司内部控制和风险管理业务的新模式展开了探讨，分析和研究使用现代化工具作为载体对该业务流程效率和效果的影响，旨在通过开发、构建内部控制和风险管理信息系统，以提高公司内部控制和风险管理的效率、效果和规范性。

1 实施背景

1.1 内部控制与风险评估工作现状

财政部等五部委、国务院国资委相继颁布《企业内部控制基本规范》及配套指引、《中央企业全面风险管理指引》，在结合我国内部控制和风险管理实际情况的基础上为企业开展内部控制和全面风险管理工作提供指导，要求企业建立、完善内部控制和风险管理体系,目前国内多数企业已经初步构建起内部控制与风险管理体系。同时，以信息技术发展为契机，各领域均实现了不同程度的信息化，但在内部控制和风险管理方面尚未形成具有规模的、规范的、得到广泛认可的应用。无论在体系建设和完善方面，或是信息化应用等方面，其在不同行业、地域、规模之间的发展并不均衡，在经济发达地区、金融行业、大中型企业中内控和风险管理体系相对完善、信息化应用程度相对较高；而其他企业在体系建立和完善、信息化发展方面相对落后，内部控制和风险管理的效率、效果难以有效提升。

1.2 管理优化的必要性

目前，东北院公司已经基本建立起了相对完善的内部控制和风险管理体系，但其在业务开展上仍是以传统人工方式进行数据的发放、收集、计算和分析等业务，信息化程度较低且仅作为简单的计算汇总工具。通过对现有公司内控评价和风险评估业务流程进行梳理和分析，归纳出流程节点主要包括了前期信息整理和模板准备、信息填报、数据处理、决策审批、评价落实情况并形成报告这5个部分，同时对这些节点的耗时情况进行统计发现，流程总耗时达到356天，结合各个节点的参与人次得出流程的总人均耗时为34.9天，对不同节点的人均耗时数据进行了分析，见图1。

图1 流程各节点人均耗时对比图

通过分析发现，现有公司流程中存在着前期信息整理、模板准备和数据处理等节点耗时长、效率不高的问题。其中人工数据处理节点耗时是其他节点耗时的2～28倍，影响了东北院公司内部控制和风险管理水平的不断提升。同时，进一步对数据处理耗时长这一节点进行原因收集，并对所收集的因素进行逐个分析，最终确定“数据处理耗时长”这一症结的主要原因为人工数据处理量过大。

为了缩短流程耗时、提高流程效率、改变以纸介质文件为基础而进行的人工方式内控评价和风险评估流程，经研究论证，通过引入现代信息技术、优化业务流程、将业务流程固化到信息系统中等一系列措施是解决现有问题的必然选择。同时，开展信息化手段的内部控制和风险管理工作将满足“管理制度化、制度流程化、流程信息化”的要求，更具有现实的战略意义，有利于提高公司内部控制和风险管理业务水平。

1.3 管理优化的目标

东北院公司管理优化的目标在于利用信息技术，提高流程效率，进而发挥和提高公司内部控制和风险管理的能力，改善公司的产品和服务质量，以增强市场竞争力。

具体来说，首先要进一步优化公司内部控制评价和风险评估流程，对流程进行深层次解构和重组，识别关键流程节点，建立更适合现有公司战略的、适合信息化应用的业务流程；其次，通过将内控评价和风险评估业务固化到信息系统中，实现工作流程的制度化、标准化，以规范的流程设计强化内部控制和风险管理思路，注重流程的过程控制；最后，运用信息技术对大量内部控制和风险数据的收集、处理、应用及储存进行操作，提高业务流程效率和数据准确性，为扩大信息收集范围和系统应用领域、提高数据挖掘分析和风险预警能力等功能方面奠定基础。

2 内涵和主要做法

2.1 内涵

运用信息技术构建内控评价和风险评估信息管理系统，提高内部控制和风险管理效率和效果是公司管理优化的核心，具体有以下几个方面的内容：

第一，建立符合信息化操作的、适合公司现状的业务流程。根据现有内控评价和风险评估工作的开展程序、人员职责、权限设定、评价和评估内容等，对业务流程进行深层分解，同时结合信息技术操作特征构建更完善的业务流程，最终以数据流的形式推进流程。

第二，搭建内部控制与风险管理业务信息平台，并与现有公司综合管理信息系统衔接。通过登录通道以及消息任务、办公任务的集成，实现该平台与企业级办公平台的一体化，将内部控制和风险管理理念渗透到公司决策以及日常运营的各项业务中。

第三，进一步拓展原有固定用途的流程适用领域，扩大数字信息的采集、处理和应用范围。以内控评价和风险评估信息系统为基础，扩展参与人员、部门范围，延伸评价内容、深度，增强数据信息处理能力及风险预警能力，从现有公司层面评价扩大到对业务层面风险和专项风险等不同层次需求的评估工作，对数据进行深层分析，为公司各项决策提供数据支持。

2.2 主要做法

(1)建立公司内部控制和全面风险管理的内部环境

内部控制是风险管理的一部分；风险管理是目标，内部控制是实现目标的手段。根据公司的全面风险管理框架(见图2)，建立和实施有效的内部控制应包括内部环境、风险评估、控制活动、信息与沟通和内部监督等要素。围绕着风险管理策略目标，通过设置组织机构、制定并发布内部控制相关制度、流程手册等体系文件，搭建起公司内部控制体系，将风险管理理念嵌入到公司的整体战略、运营政策和企业文化中，保障内部控制和风险管理工作的有效开展。

图2 全面风险管理框架

(2)全面梳理业务流程，识别关键内部控制节点，建立规范的、适合现状的工作流程

按照不同节点上的人员分工和相应职责对业务流程进行逐一分解，再根据各个环节之间的相互关系重新联结起来，同时明确不同控制节点的顺序、具体控制内容以及对应职责权限，突出流程控制重点和目标，为后续构建信息管理系统提供依据。例如通过明确业务数据流向及处理方式，将某项重大风险涉及的所有部门均收到并填报防控措施内容的流程调整为指定某一个归口管理部门，由其进行防控数据的收集和后续整改跟踪，理顺了该节点的数据流，有利于业务流程的有序开展，且方便信息化的人员操作，梳理后公司内控评价和风险评估工作的基本流程见图3。

图3 内控评价和风险评估流程图

(3)在信息系统平台上固化内控评价和风险评估全过程，搭建内部控制评价和风险评估信息管理系统，实现业务管理方式的优化

基于经梳理过的内控评价和风险评估业务流程，东北院公司以数据处理为起点，通过对数据的录入、运算、传递、审批、汇集等操作进行信息化转变，并根据梳理后的流程次序将各节点连接起来，最终开发出内控评价和风险评估信息管理系统。以数据流的形式实现了从风险调查问卷制作、风险识别、风险分析到风险评价整个风险评估过程和风险应对、防控跟踪过程，以及从内部控制自我评价、内控整改措施开展、职能管理部门独立评价到缺陷整改追踪的全过程信息化操作与监督，减少不必要的信息汇集、传递、编辑等过程，数据流示意见图4。

图4 数据流传递示意图

在规范了数据信息及流程的同时，涵盖了对人员职责分工与流程各个节点的精确匹配、不同角色的权重设置与管理、风险得分自动计算、排序及抽选、5×5风险矩阵分析、风险坐标图一键生成、内控评价和风险评估数据库管理、全范围风险信息收集等，辅以系统判断避免漏填、触发违反流程走向按键等辅助功能。见图5为东北院公司开发出的风险评估调查问卷信息化填报界面，根据填报结果管理员可以一键生成公司年度重大风险同时提供风险地图，见图6，为公司进一步决策提供数据支持。

该内控评价和风险评估信息管理系统将内部控制和风险管理业务范围内涉及的人员、数据、业务等内容全部整合在以现有综合管理信息系统(OA系统)为基础的操作平台上，采用B/S结构模式，用户采用一键式登录综合系统，并与综合管理信息系统进行了消息任务和办公任务的集成，实现了内控和风险管控平台与企业级办公平台的一体化，做到功能界面清晰、简洁、操作便捷，同时提供侧边导航菜单，实现管理员对流程节点的快速定位、查看及实施跟踪监督和催办等辅助功能，见图7。

图5 风险评估调查问填报界面

图6 重大风险确认界面(风险地图)

图7 内控评价与风险评估信息系统侧边导航菜单

3 实施效果

3.1 管理提升效果

(1)内控评价和风险评估信息管理系统是严格基于经梳理后、规范的业务流程构建的，流程各节点对应人员职责内容、操作权限明确，有利于不同职责间的整体协同。以点对点、角色对角色的数据流方式固化流程，避免了跨环节、跨职责分工开展内控评价和风险评估业务等问题，使流程更具有规范性，满足“管理制度化、制度流程化、流程信息化”的要求。

(2)经过对内控评价流程和风险评估流程的测试和运行，在实际工作流程中尚未发生不可预知的问题，用户能快速上手操作，并且节省了传统流程方式中纸介质文件制作和传递、人员审批、会议召集、数据处理、绘制风险地图等过程耗费的人工、物料和时间成本，增加了大量数据录入、计算和分析的速度及准确性。

经对主要流程节点的耗时及参与人次进行重新的统计和计算，各流程节点的人均耗时均有不同程度的减少，具体比较结果见图8。其中，数据处理节点的人均耗时从19.89天减少为为2.33天，一次完整流程总人均耗时也由34.9天减少为16.12天，较传统人工方式流程节省了耗时50%以上、节约耗纸近千张，大大提升了内控评价和风险评估业务的工作效率，原有人工方式开展流程效率低的主要症结也得到了彻底改善。

图8 优化活动前后各节点人均耗时对比图

3.2 社会效益

内控评价和风险评估信息管理系统的开发与应用在行业内仍处于领先地位，为信息化在内部控制与全面风险管理工作领域的发展起到了强有力的推动作用，进一步帮助企业增强内部控制和风险管理能力，对推动市场健康发展、企业有效竞争具有重要的战略意义。

4 结语

现有内控评价和风险评估信息系统能有满足公司发展、外部监管需要，但对其的应用仍有很大的扩展空间。

首先，扩大内控评价和风险评估信息收集的范围。应用信息系统能够实现获取更广泛、更全面的评估、反馈信息，同时实现参与内控和风险管理工作的人员范围涵盖从业务执行层到决策层，真正达到与企业文化相结合，人人参与人人防控。

其次，扩展系统的应用领域。先有系统仅在公司层面风险评估工作中应用，可以延伸到业务层面风险和专项风险评估层面等不同层次需求的评估工作。

最后，深入系统功能开发。开发并细化如数据库管理、数据多种类多方式分析、风险预警等功能，加强系统的实用性，并积极应用和推广，为公司战略决策提供数据支持。

[1] 中国内部审计协会．中国内部审计信息化发展报告[J]．中国内部审计，2014，(3)．

[2] 财政部 证监会 审计署 银监会 保监会．企业内部控制基本规范 [2008] 7号[Z]．2008．

[3] 国务院国有资产监督管理委员会．中央企业全面风险管理指引[2006]108号[Z]．2006．

[4] 张悦涵．内部审计信息化的发展现状、趋势与对策[J]．中国内部审计，2013， (8)．

[5] 赵晶，张辉，关振宇．信息化下内部控制—风险评估应对方案探讨[J]．商业会计，2015，1(2)．