基于内部控制视角的建筑企业风险管理

建筑企业风险课题研究之基于内部控制视角的建筑企业风险管理班级 工程管理0701班 姓名 于 青 学号 1202070123 指导老师 王孟均 【案例】 建筑企业内部控制问题的探析与应对由湖南株洲塌桥事故引发的思考近年来，建筑企业在各行各业的发展中异军突起，在国民经济中的地位也越来越重要，而建筑行业之间的恶性竞争、总体技能低下、质量安全管控缺失也是不争的事实。2008年11月发生的杭州地铁坍塌案，被称为中国地铁建筑史上伤亡最严重的事故，仅事隔半年，2009年5月17日湖南株洲又发生罕见的城市高架桥大面积坍塌事故，造成9人死亡，16人受伤，24辆车被损毁的严重后果，在建筑重大事故史上添加了重重一笔。塌桥事故后果非常严重，暴露出了建筑企业在管理过程中隐藏的风险，也再一次警示管理者：要想企业长治久安，必须重视风险管理，构建有效的内部控制管理体系。一、塌桥事件的内部控制问题探析 （一）招投标过程中的非理性定价导致了施工项目价格过低，为后期管理埋下隐患事发的红旗路高架桥原管理单位表示，该桥的拆除耗资应在3 000万元左右，而红旗路改造工程(爆破拆除部分)招标公告显示，某民爆工程有限公司以296.9421万元中标。在招投标过程中，可以看出投标单位没有合理核算工程所需承担的成本，为了中标，不惜在以远低于成本价的基础上恶性竞争，最后以不可思议的1/10成本价中标。（二）缺少企业风险评估体系，对高难度高风险项目事先未采取防范措施按企业内部控制基本规范要求，企业必须对自身运营中所面监的风险作全面评估，构建企业风险清单，制定应对风险控制的措施。对于建筑企业而言，至少要对环境风险、技术风险、市场信用风险、合同风险作评估。红旗路高架桥爆破作为全国最长的城市市区高架桥爆破工程，其爆破环境之复杂、作业难度之高不言而喻，但爆破公司并未意识到其中的严重性和高风险性，事先未采取防范措施，导致灾难的发生。（三）非法转包，施工方缺乏资质，导致质量与安全失控按照国家相关规定，建筑工程总承包方可以将部分工程分包给有资质的其他单位。但根据相关规定，禁止承包单位将其承包的全部建筑工程转包给他人，禁止承包单位将其承包的全部建筑工程肢解以后以分包的名义分别转包给他人。然而，一些施工单位忽视法律法规或者钻法律漏洞，采用挂靠转包方式转包工程，仅向承包者收取极低的管理费。红旗路高架桥爆破拆除的承包方是某民爆工程有限公司，而负责爆破拆除施工的是挂靠在民爆工程有限公司名下的一建筑公司。调查发现，该挂靠公司是一家不具备资质的建筑装饰公司。这一非法转包行为直接导致了爆破拆除过程中的塌桥事故。（四）施工方违反安全施工原则与流程，违规施工众所周知，安全生产需要健全的安监机制和得力的监管。但透过公共信息层面，安监漏洞比比皆是，譬如拆除工程一直没有采取封闭措施。在株洲“5.17”垮桥事故发生前的5天，该市安监局曾就施工工地存在的“安全隐患、手续不齐全”等问题，下发了停工整改通知书。然而，停工整改通知书发到施工方时，施工方却毫不重视，拒不执行。最终导致了灾难的发生。二、针对重大建筑工程项目，对建筑企业加强内部控制的建议（一）以管控架构为方向调整组织结构，明确划分责、权、利目前我国建筑企业大多存在着管理层次多、组织结构不够合理等问题。而且由于管理层次过多，造成了企业运行效率不高，在实际运作中多采取项目分包的形式，项目经理绕过公司层面的管理，使企业的财务、审计、质检部门形同虚设。这样做的后果一方面导致工程项目质量失控，另一方面还会导致公司失去控制力与核心竞争力。建筑企业（尤其是集团型建筑企业）应把人、财、物权进行合理划分，将最终的控制权放到董事会层面，应强化总部的财务、审计及质量控制的功能，以明确的部门职责、管理制度约束项目经理或分支机构的权利，明确项目或分支机构中的关键岗位，建立有效的内部奖惩机制，实现对核心员工的有效监督与激励。（二）建立风险评估体系，对企业风险进行全面评估全面评估企业的风险是构建有效内控体系的前提。建筑企业应当成立专门的风险管理团队（或内控团队）系统识别企业的风险，分析风险发生的后果及发生的频率，建立风险数据库，区别重大风险、重要风险及一般风险，明确企业对不同风险的应对策略，实施全面风险管理（见表1）。（三）以重大风险、关键流程为核心加强内部控制构建有效的内控体系是一个循序渐进的过程，是企业中制度再梳理、权利再分配的过程，各种不同的思想、权利、制度会在这个过程中碰撞、博弈，所以管理层要想取得内控方面真正的进步，就要从关键循环、关键控制点入手，由浅入深，打一场“持久战”。企业的内控问题分布在企业运营环节的方方面面，由此可以把整个内控的改进分为几个阶段，制定短期、中期、长期的目标：有重大缺陷的放在短期的目标中，非重大缺陷按其严重程度放到中期和长期目标中。内控工作应由管理层牵头，“重症猛药”进行整改，在取得一定成效后，再加以巩固，逐层推进。就目前我国建筑行业来看，企业的内控缺陷往往集中存在于资金管理、采购循环管理、合同管理、工程管理这几个关键环节，因此构建内控体系，可以这几个循环为核心，针对关键风险点制定控制目标和措施，并规范相关的流程、制度和表单，实施操作。以施工项目成本控制为例，工程管理部可以为施工项目组制定成本控制指标体系（见表2），在施工过程中定期对施工项目进行评审打分，项目完工后以评审成果来决定奖罚。（四）强化培训与监督稽核，优化内控环境企业内控的执行有效依赖于一个良好的内控环境，包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。要改进建筑类企业的内控状况，优化内控环境是关键，而要实现内控环境的改进，除了管理层要端正态度、组织结构合理、责权分明外，加强培训与监督是必不可少的手段。建筑企业应给员工制定培训课程，其中应包括工作技能、安全法规、企业文化、内部控制等相关内容，而奖惩机制配套的日常监督和专项监督能提高内控制度执行的有效性。（五）建立良好的信息沟通机制绝大多数的企业在发生重大管理事故前几乎都有征兆，如杭州地铁坍塌案中，在事故发生前几日就有人向管理层反映地面有十多米长的裂缝，基坑的维护墙面明显已经断裂，然而这个信息并没有被有效传递到相关部门，施工负责人只说已经上报，在等上级批示，结果一直等到悲剧发生，上级也没有给予任何批示，一些本可以避免的事故就因信息传递的失误而发生。对于企业来说，建立良好的信息沟通机制，可以提示危机、释放风险，弥补内控体系中的漏洞从企业内部控制的视角谈如何进行建筑企业风险管理随着我国建筑业市场化进程的加快和行业的不断发展壮大，建筑市场供大于求的现象非常突出，这导致了建筑企业之间的恶性竞争愈演愈烈，利润空间越来越小，而建筑企业面临的的风险却无所不在，如何通过有效的风险管理取得市场竞争优势地位已成为建筑企业必须正视和着力解决的全新课题。下面就建筑企业风险管理的一个方面内部控制，来谈建筑企业风险管理。一、内部控制定义为实现经营管理目标、组织内部经营活动而建立的各职能部门之间对业务活动进行组织、制约、考核、和调节的方法、程序和措施。是指一单位内部的管理控制系统,即为保证单位经济活动正常进行所采取的一系列必要的管理措施,不仅包括单位最高管理当局用来授权与指挥经济活动的各种方式方法,也包括核算,审核,分析各种信息资料及报告的程序和步骤,还包括对单位经济活动进行综合计划,控制和评价而制定的各项规章制度.内部控制的目标,尽管理论界有多种表述,但最根本的是保护单位财产,检查有关数据的正确性和可靠性,提高经营效率,贯彻既定的管理方针等四个方面。2004年COSO委员会发布企业风险管理整合框架。企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在风险,以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力地、更广泛地关注于企业风险管理这一更加宽泛的领域。二、目前建筑企业风险管理内部控制现状和存在的问题（一）、现状：在市场经济条件下，企业已成为市场竞争的主体，它所面临的风险将比其他任何经济制度中的风险都要复杂。风险和企业风险管理问题已成为现代企业能否健康发展的关键，加强对风险的管理已成为现代企业经营管理中一项十分重要的内容。目前我国许多建筑企业对风险管理尚处于起步阶段，主要依靠经验积累，方法操作简单，缺少规范和有效的科学管理程序，抵御风险能力弱，至今仍然存在着以罚代控、高度集权、僵化运作、过分依赖人的素质、忽视制度建设和机制建设等弊端。（二）、存在问题1、多数建筑企业不重视内部环境的改善（1）企业风险管理文化贫乏目前我国建筑企业风险管理文化总的来说仍处于一种原始的、无意识的自发状态，不适应日益激烈的国内外竞争。建筑业属于劳动密集型行业，文化底蕴不足的历史根源及管理粗放的经营现状，导致企业文化建设与生产经营结合不紧，生产效率低下、员工对企业的忠诚度不高，人员更迭频繁，组织结构不合理,人员配备及素质满足不了企业发展的需求, 责权利制度不完善,存在管理盲区。（2）公司治理不到位虽然大部分企业进行了公司制改革，建立起股东会、董事会、监事会的制衡机制，但高管层仍习惯沿袭计划经济下的管理模式，缺乏主动的风险管理理念，导致决策时有失误。董事会“不懂事”使得其在内部控制方面未起到应有的作用。2、风险控制目标设定不合理建筑企业对投标、合同、工期、质量、安全、成本、资金等任一环节风险控制目标的不完善，就可能导致项目出现重大风险。如某些建筑企业对应收账款管理松散，未根据企业经营情况设立清欠目标，导致资金严重不足，使企业陷入财务危机的困局中难以自拨。又如安全出了事故,导致整个工程受损等等。3、缺少风险识别、风险评估的专业人才和机构国内大多数建筑企业对风险管理没有明确的定位，不注重风险管理人才的培养,在组织结构设置上未考虑风险管理部门和职能，缺乏专职部门和人员履行风险管理职责。企业内部风险机制不健全，使得化解、抵御风险的能力降低，增加了组织结构的运行风险。4、控制活动不到位相当一部分建筑企业对项目流程中关键点的控制不到位，不能化解、规避、降低面临的风险，给企业带来经济损失。如对项目班子权限缺乏有效制衡，导致项目经理或项目班子其他成员徇私舞弊，又如对于工程变更的追加成本，项目人员不能及时得到发包方或监理签认，最终结算时发包方拒绝承认，导致工程结算工作成了“拉锯战”。5、信息沟通不畅国内多数建筑企业风险信息管理比较滞后, 信息管理系统常常分散或过时。往往缺乏以关键业绩指标为基础的定期汇总的管理报告提交和分析机制;常常过度依赖书面报告中的数字,而忽视对业务实际情况的定期考查。不注重收集、传递风险信息，决策层不能及时获得并有效使用风险信息。如对项目施工过程中不断发生的各种变化把握不准，在风险到来时不能及时做出合理的调整。6、监督体系不健全建筑企业内部控制系统虽然有自我检测，会计控制、内部审计等监督关口，但这些关口从本质上看都属于会计、审计监督的范畴，缺乏对非会计、审计领域的监督关口。习惯于以人际关系或非正式手段进行监控;内审职能还停留在传统的合规性稽核审计;内审人员配备不足,职能缺乏独立性;审计委员会的监督作用常常较为薄弱。三、构建内部控制体系的有效措施（一）优化建筑企业内部控制环境1、培育健康的企业风险管理文化良好的风险管理文化是企业文化的重要组成部分，其主要内容包括企业的风险管理理念、风险控制行为、风险道德标准和风险管理环境。在风险管理文化的建设中， 要倡导和强化“全员的风险管理意识”，要通过各种途径将风险管理理念传递给每一个员工， 内化为员工的职业态度和工作习惯，在整个企业形成一种风险控制的文化氛围， 形成一种风险防范的道德评价和职业环境，以确保企业在当今高风险的环境中，能够敏锐地感知风险、分析风险和防范风险。2、设立风险管理机构风险管理机构由对建筑企业风险情况十分了解，并能针对特殊个案作出评估和指导的各类专家组成(包括企业的领导人、法律顾问、各职能部门人员等)，其成员一般是兼职的。根据建筑企业的业务结构和经营特点，确立风险控制的重点环节和重点对象，列出各部门、各单位风险清单，制定相应的处置方案；监督企业决策层以及各部门、各单位的规范运作；在风险发生时，对全面工作进行有效地指导和协调，从而在组织和人员配备上保证风险控制的系统性和足够的工作力度。3、制定切合建筑企业实际的人力资源政策建筑行业属于劳动密集型行业，其人力资源的数量、质量以及人力资源所具有的忠诚度和积极性、创造性会直接影响到建筑企业的发展。因此建筑企业应在倡导“以人为本”的前提下，积极培养风险管理专业人才，搞好相应的内部控制建设，包括建立合理的人才引进机制、整套的人才选拔程序，建立员工的培训、考核、激励制度。如在施工现场人力资源方面的内部控制建设中，应制定严格的规章制度规范员工的行为,实行工资与效益、贡献挂钩方法,让员工自觉地改进作业流程中的薄弱环节,促使经营者和员工保质保量地完成自己的任务。 4、提高管理层综合素质和职业道德，确立董事会的核心地位企业的兴衰取决于高管层的决策能力、监控能力和认识水平。因此要求他们拥有专业知识、才能和智慧，确保履行其监控、引导责任。在管理风险时, 高管层应形成一套系统的经营理念, 以影响整个企业员工的道德行为、思维方式和品行。另外，管理当局的风险偏好，决定公司对风险事件的态度，管理当局和董事会必须明确战略目标及其执行过程中的风险和回报。董事会是企业的领导核心，当然也是风险控制系统的核心，他负责为公司管理层制定内部控制博弈规则。ERM框架要求董事会在企业风险管理方面负总体责任，并要求其变得更加警惕。这就要求建立专业化、社会化的董事会制度，建立风险控制常设机构，设立外部独立董事,以期对内部人员形成一定的监督约束力,保证企业目标的实现,维护企业的权益不受侵害。5、 对权力和责任进行合理分配 内部控制的有效执行有赖于全员参与，而只有企业内每个人均清楚地知道自己所拥有的责任和权力，才能认真履行自己的职责，提高内部控制的执行力度。所以应在坚持不相容职务分离的原则下，分别赋予各层次员工不同的责任，并将这些责任制度化、明晰化，使不相容职务能够分离开来。不相容职务分离可以防止员工通过伪造记录的方式来掩盖他们对于所保管财物的盗用；防止批准虚假或不正确的交易,隐瞒对公司财产的侵占;防止以伪造的会计记录来掩盖未被授权的虚假交易。企业应当全面系统地分析、梳理业务流程中涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。（二）制定适应本企业实际的风险管理目标当前建筑企业风险管理目标趋向更高层次的战略控制目标，控制结构趋向逐步补充和扩展的过程，风险管理的重点也由传统的关注业务执行的合法性与合规性，向关注业务执行效率、效果以及风险控制转变，这是实现科学管理及风险防范的内在要求。这一转变过程是将科学的目标体系转变成为易于理解、执行的科学风险管理政策体系，也就是要求各级管理部门负责制定清晰、统一的风险管理政策( 主要的包括投标风险管理政策、合同风险管理政策，施工过程风险管理政策等等)， 提高风险管理制度的系统性和可操作性。（三）树立科学的风险应对策略观企业风险应对策略包括规避风险、减少风险、分担风险、接受风险等。建筑企业要树立科学的风险应对策略观，也就是要从整体层面来分析风险影响效果, 以企业价值最大化为原则来选择具体的应对策略，其中十分重要的是要评估成本效益比。对于不能承受的风险, 企业要主动回避； 对于可以采取措施降低、分担的风险，企业要综合运用管理措施和保险方法管理；而对于风险不大的低概率业务， 选择风险承受也是一种积极的风险管理方式。在风险应对策略方面，河北省第四建筑工程公司(以下简称河北四建)制定实施的风险控制策略，成功规避了许多重大经营风险，值得推广。对于投标风险，河北四建坚持投入大额履约保证金的不承接，业主诚信低，实力不强、合同条款过于苛刻的不承接，经过经济预测，理论上亏损的不承接；对于低价中标的工程坚持“低中标，勤签证，高索赔”；施工过程中坚持安全、质量、资金、成本、工期五统一；对于分包商风险，坚持培育“黄金队伍”。（四）建立科学的风险控制体系建筑行业业务循环的过程，是以项目工程成本为核心，合理配置人力、机械，原材料构筑工程实体，通过合同结算换回资金。针对各个风险控制点建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险控制、风险报告对各种风险进行全面防范和控制。应当强调的是，风险管理制度虽然重要， 但它抵抗不了风险， 真正的执行才是最重要的。（五）建立高效的风险信息沟通网络由于建筑行业存在工程项目分散，难以集中管理的特殊性。因此利用信息技术建立统一、高效的风险信息沟通系统，开发专业化、网络化的管理软件，提取财务软件、预算软件、资源管理软件、工程量统计软件中的关键数据，对存在于建筑项目生命周期全过程的风险以及建筑企业管理和内部控制系统各环节的风险进行动态管理，实现信息在企业各层次、各部门之间迅速的传递和交流。（六）建立科学完善的内部控制检查、评价与考核机制1、强化内部审计作用，拓展内部审计的责权目前，建筑企业内审部门作用主要停留在监督和威慑方面。为保证企业全面风险管理监控体系的正常运行,有必要扩展内部审计的责权, 关注重点转移至各个风险管理构成要素能否在全面风险管理体系中正常运行, 业务流程是否满足防范风险的需要, 各种量化管理的内部模型是否有效等。通过持续的监控活动, 来实现对风险管理的评价，并对发现的问题及时采取措施作出优化。2、制定建筑企业内部控制检查评价与考核办法，形成持续监督的企业氛围将内部控制的监督活动纳入各级人员的工作职责和业绩考核之中，组建公司总部、分公司、项目部三级领导小组，形成总部检查评价、分公司检查评价，项目部自查评价三级检查评价机制，在纵向上形成由内控领导小组、总部各职能部门自查及对口检查、分公司检查、项目部自查四级监督网络；在横向上形成总部派驻的内控检查小组、总部各职能部门、分公司分别提交综合评价报告，再由内控领导小组最终形成年度综合评价报告并报董事会核准的二级报告制度，做到程序规范、依据科学、报告准确。同时，根据考评需要，分别从内部控制环境评价、自查情况评价，业务流程综合检查评价，内部控制日常工作评价等方面，绘制完整、规范的评价流程，使内部控制评价体系始终遵循统一的方法步骤，确保监督考评的有效性。四、构建内部控制系统应注意的问题 1、以预防为主、查处为辅 企业建立内部控制制度主要是为了防止单位的经营管理发生无效率和不法行为,即防止错弊发生和对已发生的不法事件的揭露和处理情况,查处只是维护内控制度严肃性的手段而非内部控制的目的。 2、注重选择关键控制点 内部控制工作的效率性和成本效益原则决定了管理者应当也只能将注意力集中于业务处理过程中发挥作用较大、影响范围较广、对保证整个业务活动的控制目标至关重要的关键控制点上,不可祈求面面俱到。 3、做到适度控制 即控制的范围、程度和频度要恰到好处。为此,控制过程中要注意既能满足对企业经营管理活动监督和检查的需要,又要防止与企业成员发生强烈的冲突。适度的控制应能同时体现这两个方面的要求:一方面要注意到过多的控制会扼杀企业成员的积极性、主动性和创造性,从而影响个人能力的发挥和工作热情的提高,最终影响单位的效率;另一方面也要注意到过少的控制将不能使企业经营管理活动有序地进行。 4、设立补救措施 现代企业是由人、财、物、信息技术等要素构成的复杂有机整体,其受时空变化和环境影响较大,加之随机因素较多,既定的内部控制制度也就难以按照预期的目标发挥功效。内部控制必须保证在发生了一些未能预测的事件情况下,如环境突变、计划变更、计划失败等,控制工作仍然有效,不受剧烈影响。六、结束语 内部控制是一个动态的过程,是使企业经营管理活动遵循既定目标前进的过程,是一个“发现问题解决问题再发现问题再解决问题”的循环往复的过程,它本身是企业防范风险的一种手段而不是一种目的。目前，我国风险管理水平较低，风险管理手段落后，风险管理思想和理论尚未融入我国企业管理当中。重收益，轻风险的错误行径，造成我国许多企业在国际市场上缺乏竞争力，所以加强企业风险管理迫在眉睫，作为风险管理重要的一个方面，加强内部控制也就变得尤其重要。