中铁XX局全面风险管理及内控体系建设

中铁XX局全面风险管理及内控体系建设1.项目背景中铁XX局作为全国首批工程总承包建筑企业，具有铁路工程施工总承包特级资质及公路工程、房屋建筑、市政工程总承包一级资质，主要从事新(改、扩)建铁路，电气化铁路、临管运营及公路、桥梁、隧道、市政、城市轻轨、地下铁道、工民建筑等土木工程的施工和勘测设计。中铁XX局通过运作大量建筑业上游领域的项目，积累了丰富的施工和管理经验。依据国家层面、股份公司层面并结合中铁XX局自身的长远发展层面，中铁XX局高层领导认为有必要借目前建筑业迅速增长的有利契机，建立和完善全面风险管理及内部控制体系。（1）从国家层面来看，自2006年起五部委、国资委都对大中型国有企业的风险管控工作提出了要求，并制定了相关文件；（2）从股份公司层面来看，中国中铁股份公司着手建立内控体系，加强风险管理能力；为此，中铁XX局为响应国家五部委及国资委的要求，并进一步完善集团公司的风险管理及内控体系建设，中铁XX局高层领导决定邀请专业管理咨询机构为企业进行管理咨询2.项目目标与质量要求20XX年XX月，慧朴管理与中铁XX局正式签订协议，由慧朴管理代为提供管理咨询服务，项目目标：形成中铁XX局总部层面全面风险管理及内部控制体系（以下简称内控体系），并完成规划在集团公司领导层、职能部门管理层、子分公司管理层的培训、咨询。项目质量要求：（1）《流程及控制文档》、《内控手册》和《管理建议报告》及《内控体系运行管理办法》等文件得到招标方认可；（2）内控体系应符合国家政策、法规及招标方实际；（3）内控体系应便于实际操作和提高运行效率，有软件系统支持，在行业中处于领先地位；（4）符合五部委发布的《企业内部控制基本规范》、《企业内部控制配套指引》，国资委的《中央企业全面风险管理指引》，建立相应的组织体系、工作机制和信息系统，建立风险信息库及重大风险监控、报告体系；（5）满足内外部监管机构的合规要求，适用于集团公司管理工作，使各项相关措施落地、运行流畅、信息充分。并做好相关知识转移及培训、指导工作。3.分析框架及思路针对中铁XX局企业管理方面面临的问题，慧朴管理通过在深入调研的基础上，选择合适的风险管理的基本框架进行中铁某局风险管理及内控体系建设现状的分析（1）在内部环境方面，设立专门的风险管理工作部门/机构，并赋予这些机构相应的工作职责和权限①企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。一般来讲，具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。②对于初步建立风险管理体系的企业，可以根据自身实际情况成立风险管理工作组/部门/机构。（2）根据不同的风险层面，分别从集团外部和集团内部识别可能存在的风险来源风险层面外部内部战略决策层面•经营环境风险•经济因素变化•行业经营形势•政治环境变化•社会人文因素•自然环境变化•战略决策风险•区域定位•产品定位•价值链定位公司运营层面•公共关系•政府部门管理•竞争对手•业主风险•分包商•监理、咨询机构•……•经营风险•合同风险•技术风险•法律风险•投资风险•采购风险•财务风险•信息化风险项目管理层面•工程环境•地质•气候•公共关系•业主和相关方•……•质量风险•安全风险•进度风险•成本风险•……（3）在风险识别环节，对中铁XX局梳理各项关键管理流程，识别风险管理关键环节（4）风险分析的程序4.提出方案（1）制定中铁某局集团公司层面的全面风险管理制度，并进行培训宣导移交运营施工运行控制与考核合同进度战略规划管理人力资源管理资产获取、维护与使用管理品牌与文化管理审计监察管理行政后勤管理施工过程/施工要素管理劳务物资设备资金技术成本质量安全现场项目管控类流程建设方价值链/基础设施项目生命周期策划与投融资管理竣工保修管理项目设计管理项目运营流程投资方价值链用户方价值链最终目标：用户价值施工准备管理考核资产运营管理资产移交管理企业管控类流程企业业务类流程建造实施建造前期定量分析1．数据收集和表现技术2．定量风险分析和建模技术3．专家判断风险登记册（更新）1．风险登记册2．风险管理计划3．项目范围说明书4．组织过程资产5．成本管理计划6．进度管理计划定性分析1．风险概率和影响评估2．概率影响矩阵3．风险数据质量评估4．风险分类5．风险紧迫性评估6．专家判断（2）深化到实施层面，建立一系列制度文件集成内部控制体系《内控岗位授权制度》对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定《内控审计检查制度》结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等《内控报告制度》明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等《内控考核评价制度》具备条件的企业应把各业务单位，风险管理执行情况与绩效薪酬挂钩《内控批准制度》对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任《重大风险预警制度》对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施《内控责任制度》按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度《企业法律顾问制度》以总法律顾问制度为核心，大力加强企业法律风险防范机制建设，形成多方共同参与的法律风险责任体系《重要岗位权力制衡制度》明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等（3）建议中铁XX局运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。