探索流程信息共享中心,梳理多维度风险数据库，编制风险控制文档，建立权限指引表，明确业务流程与管理制度的对应关系。

文/彭立民

关键词：河北招标  内部控制体系  风险数据库  风险控制

     河北招标集团有限公司（以下简称河北招标）是原河北省机械设备成套局、省机电设备招标局转企改制而组建的国有独资公司。随着经营业务规模不断增长，内部管理迫切需要有一套与之协调的内部控制体系，保障公司的合法合规经营，提高经营效率，达成战略目标。
     河北招标建立了多层次、多方位的内部控制体系建设小组，总经理为组长，副总经理兼财务总监为副组长，各主要核心高管为成员，以领导推动的方式对内部控制体系建设工作进行总体筹划、组织和推进。同时，公司利用信息化手段构建业务流程框架，探索流程信息共享中心,编制业务流程图；梳理多维度风险数据库，利用信息化系统建立一体化风险管控体系；编制风险控制文档，固化风险点；建立权限指引表，明确各级机构权限和职责义务；明确业务流程与管理制度的对应关系。
 

一、构建业务流程目录框架，编制业务流程图
1.构建业务流程目录框架，探索信息共享中心
     结合ERP系统,河北招标通过访谈、梳理、研究和分析等方式，编制具有自身特色的流程目录框架,探索业务流程的信息共享中心,促进业务信息共享。河北招标业务流程目录框架包括内部环境类、控制活动类、控制手段类共十八个方面的控制活动，以此为基础利用ERP系统,对各业务流程按特点自动归类,形成业务流程信息共享中心,使得业务流程信息集约化、可视化，每个流程都处于可控的状态之下。
2.编制业务流程图
     在内部控制体系建设过程中，河北招标内部控制工作小组梳理了众多一级流程目录以及末级流程，并编制流程图；同时，以ERP系统为依托，将业务流程图归类到各个流程目录之内，使得企业的业务流程化、可视化，实现视窗化管理，并对企业业务流程和管理过程进行优化，梳理出公司的业务风险点，根据企业特点和业务需要最终将规范化流程、风险和控制有机结合，构成了河北招标完善的业务流程体系。
    
二、梳理多维度风险数据库，建立一体化风险管控体系
1.梳理业务风险，建立多维度风险数据库
     河北招标对业务风险进行收集、识别和评估，对风险级别进行优先归类，对发生概率较高、影响重大的风险优先考虑，建立适用于河北招标的风险决策判断标准，并根据风险严重程度和风险承受程度采取不同决策。同时，河北招标在内部控制体系建设过程中根据设定的控制目标，持续、系统地收集信息，并结合企业实际情况，及时进行风险评估。
     建立战略风险、财务风险、运营风险、法律风险、市场风险等多种类的风险数据库，为下一步建立风险应对措施打下坚实的基础。
2.利用信息化手段建立一体化风险管控体系
     利用ERP系统及EAS系统对河北招标的各种经营风险进行管控，建立一体化的风险管控体系，对货币资金、采购与付款、销售与收款等进行管理和控制。
货币资金控制方面。严格实行和遵守不兼容岗位分离原则，建立货币资金岗位责任制和严格的授权批准制度。经办人员按照审批人的批准意见办理货币资金业务；出纳作为独立的岗位，与稽核、会计档案保管和收入、支出、费用、债权债务账目的登记工作实行严格的分离。货币资金支付业务按照请款、审批、复核、支付的程序严格执行。
     河北招标严格按规定限额使用现金，库存现金每日盘点，月末在会计部监督下盘点现金，确保现金余额无误；实行定期核对银行账户的制度，编制银行余额调节表，并由财务部主管审核，确定银行存款账面余额与银行对账单余额是否相符。同时明确各种票据的购买、保管、领用、背书转让、注销等环节的职责权限和程序。
采购与付款方面。实行总体控制，分工协作。
     请购与审批：河北招标产品的生产原料按照采购类型可以分为原材料、辅助材料、外协材料等，均通过EAS的物料管理系统加以管控，请购与审批人员均有地理的账号及权限。
     供应商的确定：制定相关询价、议价制度，对重大采购事项建立招投标管理制度，对供应商的资质进行严格审查。
     采购控制：在EAS系统中，物流中心根据制造分厂发出的采购请求，拟定采购合同，生成采购订单，物流中心据此按时发货。
     验收控制：河北招标制定了严格的材料验收制度，对于采购来料，须经过质量管理部门对其品种、规格、质量等要素进行验收，出具验收单后才能入库。
     付款控制：河北招标财务部根据采购合同上约定的付款条件办理付款业务时，对采购发票、结算凭证、验收证明等相关原始凭证的真实性、完整性、合法性及合规性进行严格审查。对预付款项进行严格的审批制度，由申请人在EAS系统中打印付款申请单，经部门主任审核、分管领导复核、财务总监审批后，方可交由财务部付款。
销售与收款方面。河北招标下设市场发展部门和各领域分管部门，负责公司的销售与收款业务。同时，建立销售与收款的岗位责任制，明确相关部门和岗位的职责、权限，确保办理销售与收款业务的不兼容岗位互相分离、制约和监督。

    
三、编制风险控制文档，固化风险点
1.风险控制文档实现风险应对
     在集成产品研发（IPD）系统中，对于每个节点都需要进行决策检查点会议（DCP），对项目风险进行罗列并讨论，最终做出决策。河北招标将企业运营风险一一罗列，构建风险控制文档（RCD），对风险控制文档所涉及的流程进行纵向分级。业务流程最多可分为四级，上级流程包含其下级流程，具体级数视流程复杂程度而定。原则上，末级流程通过流程图和风险控制文档对具体业务流程进行描述，非末级流程仅展示为流程目录，以体现业务架构。
     河北招标内部控制体系建设所涉及的风险主要描述业务流程中存在的战略风险、经营风险、财务风险、市场风险和法律风险点，控制措施则为应对主要风险点所采取的具体控制方法和手段，包括采取的具体控制活动、控制活动涉及的制度文件和实施控制活动留下的相关表单等证据文件三部分内容。
     河北招标在内部控制体系建设中编制的风险控制文档将流程、风险、控制措施结合在一起，将控制措施分配给具体部门和岗位，明确何时做、做什么、形成什么证据文件等一系列举措，有效实现风险应对，有序降低企业运营风险。
     2.风险控制文档固化风险点
     利用ERP系统、EAS系统以及OA系统将河北招标各业务流程进行归类，结合风险控制文档,在各相关系统中建立各业务流程风险控制图，业务流程风险控制图将业务流程、各节点、各风险点进行固化，各流程、节点以及风险点等在信息系统中都有固定的节点控制人，节点控制人拥有审批和审核的权限。
     流程推进必须经过这些节点和潜在的风险点，各节点和风险点在有明确的完成证明之后，由各节点控制人进行审核和审批，经过当前节点控制人审批通过的流程才能进行下一步工作，进行到下一个流程节点和风险点，如此类推，直至工作顺利完成。
     节点控制人对进行到当前的业务流程进行审核和审批，一旦有一个风险点和节点未完成，流程则无法进行，直到节点处理好，并由节点控制人审批通过。以此达到风险固化，降低运营风险的目的。
    
四、建立权限指引表，明确各级机构权限和职责义务
     河北招标利用ERP系统构建具有自身运营特色的权限指引表，明确各相关部门和人员的权限和职责，将河北招标的一级流程，如发展战略这个一级流程分解为中长期发展规划制定与调整、年度业务计划制定等若干个末级流程，每一级流程有一个责任部门，对于业务需要所涉及的外部主管单位，也应根据业务权限需要描述其在末级流程中的权限及职责。
     对涉及内部管理层的末级流程，在内部控制体系中也相应地描述总经理办公会权限及职责；权限向下，涉及总经理一级，副总、总经理助理、副总工程师一级，直至部门主任一级，并相应地进行了权限和职责描述。对涉及子公司的末级流程，也相应地描述了其权限以及职责。
     河北招标权限指引表将企业每个重要业务流程中涉及的关键角色进行了权限梳理，有效避免了部门职能交叉、岗位职责不清的情况出现，最大限度地降低了推诿扯皮现象。
    
五、明确业务流程与管理制度的对应关系
     在业务流程梳理过程中，河北招标结合现有的管理制度，有机地将两者结合在一起，形成业务流程与管理制度之间的对应关系，通过制度进行约束，逐步建立流程的威信；同时，管理制度的激励作用也促使管理流程逐步得到优化。通过制度和流程一一对应的过程，河北招标对现存制度进行大整理、大汇编，使企业制度得以规范化、系统化，使制度切实可行，保证了制度的落地。
     在内部控制体系建设过程中，根据业务流程特点结合河北招标管理制度以及各部门、岗位职责，进行梳理并查漏补缺，找出相应的缺陷整改项，构建《业务流程问题及建议整改表》和《业务流程与制度对照整改表》，河北招标从企业组织架构、社会责任、人力资源、业务管理、国际业务管理、科技业务管理等方面共整理了多条内控缺陷，在理清、划分和落实岗位职责的基础上，将整改工作责任落实到部门以及相应的岗位，内控缺陷的整改使企业风险防范能力得到大幅提升。■

作者单位 河北招标集团有限公司