BJNY集团成立于2004年，注册资本130亿元，业务涉及电力能源、热力供应、地产置业、节能环保和金融证券五大板块。2010年下半年，BJNY集团根据《企业内部控制基本规范》和《企业内部控制配套指引》等文件精神，全面升级和改造了其内部控制体系，开启了以风险为导向的企业内部控制建设之路。经过两年多的实践，BJNY集团内部控制的升级和改造工作取得了显著成效，企业内部控制的效率效果明显提升。

一、通过书面文件定义风险管理职责和授权，明确风险归属

BJNY集团制定了统一的《权限指引》，根据不同层次、不同级别的职责范围和管理要求，清晰地配置权限和责任，对授权进行系统管理，明确风险责任归属。在集团公司的内部监督体系中，董事会、监事会、审计委员会和内部审计是最主要的监督主体。集团董事会不仅负责集团公司目标的设定与管理，对风险管理机制的建立及有效性总体负责，而且对战略风险和集团经营、筹资和投资活动中的重大风险负责，对总经理、副总经理、子公司等其他重要风险管理主体进行督导；监事会主要对董事、经理和其他高级管理人员的业务胜任能力、道德操守、履行职责的合规性、重大活动的合规性等进行监督；审计委员会协助董事会履行其内部控制、风险管理和财务报告方面的职能，监督复核与财务报告相关的风险和重要判断、内部审计制度及其实施情况、反舞弊机制的建立和实施情况、重大财务活动的风险控制等；内部审计在内部控制体系中主要执行持续监督和内部控制评价职能，协助董事会、管理层和业务单元持续改进风险管理机制，对日常监督风险负责。相关职能部门在风险管理职责中发挥重要作用，如合规部对相关活动的合法合规性负责；财务部应协助业务部门加强和改进风险管理机制，同时对财务活动中的相关风险负责；纪检委主要对员工操守和行为进行监督。对普通员工而言，实施岗位责任制管理，员工对岗位操作风险负责。

二、根据风险评估结果设计和执行监督流程，配置监督资源

BJNY集团全体成员按照风险归属，全面系统地梳理了企业生产经营和管理活动中的各类风险，按照内部控制的五大目标，将风险分为战略风险、运营风险、报告风险、合规风险和资产安全风险五类一级风险，并向下延伸细化，形成了70多个二级风险、500多个三级风险和2000多个具体风险点。集团建立了统一风险评估模板，采用问卷调查、访谈、专项会议、专家打分、统计分析等定性和定量相结合的方法，对已识别风险进行分析和评估。BJNY集团的风险评估按照不确定性事件发生的可能性（很大5、较大4、中等3、较小2和很小1）与事件可能造成的潜在后果（很严重5、较严重4、中等严重3、较不严重2和影响很小1）的乘积计算确定风险系数，并按风险系数将风险等级分为四级，即重大风险（风险系数为20～25）、高度风险（风险系数为15～20）、中等风险（风险系数为10～15）和低度风险（风险系数为10以下）。对重大风险和高度风险实施优先控制，风险降低前不应进行任何作业；对于中度风险采取一般控制措施；对于低度风险，不须采用额外措施，但保持关注，以确保已有控制有效。通过风险评估，BJNY集团制定了全面详细的风险清单并建立了风险数据库，为持续开展和不断改进控制活动及内部监督提供依据。

三、系统梳理监督流程各环节的主要风险，并有针对性地采取控制措施

1.监督结果排序。监督结果排序是一项十分精细的工作，涉及到根据标准对缺陷进行单独评价和联合分析同质缺陷对控制目标的综合影响两个方面。二者缺一不可，否则会影响到监督结果排序的准确性和完整性。而监督人员可能因缺少明确统一的缺陷认定标准和恰当的缺陷后果分析方法等风险导致排序不当。为达到高效准确排序，恰当确定报告对象的目标：一方面，BJNY集团董事会依据行业特性和企业自身情况制定了缺陷的定量和定性确认标准。定量方面包括缺陷的可能损失占资产、收入或利润等的比率，定性方面可依据缺陷潜在负面影响的性质、范围等因素确定。另一方面，集团还通过外部专家和内部经验丰富的员工，借助统计模型和职业判断对多个内部控制缺陷联合可能导致的后果及概率进行综合判断，从而确保监督结果排序的准确性。

2.报告监督结果。BJNY集团对监督结果的报告反馈强调高效、准确、完整。针对该环节中可能存在监督结果汇总呈报方式不完整、报告主体不清晰、信息沟通传递渠道不通畅等风险，集团采取了如下措施：第一，制定统一的监督结果呈报要求，对报告内容、方式等作了明确规定，并草拟了报告范例。第二，在确定监督结果报告主体方面，出台相关权责配置文件，明确了董事会、监事会、审计委员会和管理层受理监督结果的权责。例如，内部审计履行监督结果报告责任时，对发现的违规和舞弊行为，应视层级和严重程度确定报告对象。涉及集团董事、经理和其他高管的，应直接向董事会和监事会同时报告；涉及财务报告、会计核算和财务收支的，应通过审计委员会报告给董事会；涉及业务层面的违规和舞弊行为，应向分管副总经理或总经理报告。第三，制定清晰的信息沟通传递路线图，为防止因重大缺陷导致的正常沟通渠道失效的风险，集团还建立了特别沟通渠道。

3.后续追踪。有效的内部监督机制强调“双重有效”，不仅要对当前执行的内部控制进行有效监督，对内部控制缺陷整改方案进行后续追踪也是一项非常重要的监督管理过程。一方面，企业可能缺乏对内部控制缺陷整改方案的可行性论证，导致缺陷整改措施不到位。针对该项风险，BJNY集团要求对于重大缺陷整改方案必须从可行性、成本效益等方面进行综合考察并实行集体决策，必要时则要聘请专家协助。另一方面，缺陷整改方案实施质量的提高，既要靠监督人员的推动，更需要执行人员的配合，为了保证整改方案实施效果，集团建立了科学的绩效考核与激励约束机制，依据方案实施进度表和监督质量控制标准，定期对执行人员和监督人员的工作进行考核并以此作为奖惩依据，有效地调动了参与人员的积极性，实现了参与人员责权利协调统一。此外，集团还为每项缺陷及相应的整改流程建立了详细的档案记录，具体包括：缺陷发生的时间、造成缺陷的原因、缺陷的性质、产生的后果、缺陷整改措施、措施执行情况、整改方案实施效果评估、相关人员签字确认等，为提高监督效果、建立有效的内部控制提供历史参考。

四、几点启示

监督既是内部控制的构成要素之一，同时又对内部控制的其他要素进行监控，是保障内部控制有效性的关键。通过对BJNY集团实施风险导向的内部监督实践经验的介绍，企业在实施风险导向的内部控制时需要关注以下几点：

1.企业必须明确风险归属，使所有风险都有人负责，通过书面文件清晰定义有关风险管理的职责和授权。各部门、各岗位不仅要对自身的绩效负责，同时要对自身应负担的风险负责。

2.企业需要设计科学合理的内部监督流程，包括建立良好的监督基础、设计和执行监督程序、评估和报告监督结果、形成内部控制有效性的结论等。

3.无论是持续监督，还是单独评估，都需要将风险评估与内部监督相联系，根据风险评估结果进行风险排序，识别关键控制点，确定监督侧重点，关注重大风险控制的有效性。

4.企业内、外环境的变化会影响风险评估结果，风险点及其重要性水平可能随时间的推移而有所不同，监督者应及时了解变化，通过持续监督进行动态跟进，必要时调整监督侧重点。

5.企业需要全面系统地识别和分析内部监督流程各环节的主要风险点，针对风险点设置关键控制点，实施相应的风险控制措施，从而实现内部监督目标。■

责任编辑 达青