王 超 秦小崴 張 悅

（中國建筑第二工程局有限公司）

一、引言

2022年12月召開的中央經濟工作會議指出，我國經濟發(fā)展面臨需求收縮、供給沖擊、預期轉弱三重壓力，但我國經濟韌性強，長期向好的基本面不會改變。同時，會議也強調，必須堅持以經濟建設為中心，嚴守不發(fā)生系統(tǒng)性風險的底線，穩(wěn)中求進，推動國民經濟實現質的穩(wěn)步提升和量的合理增長。

“十四五”時期全面開啟，我國經濟和社會發(fā)展到了新的階段，建筑行業(yè)也迎來了新的起點。由于建筑工程項目的特殊性以及建筑行業(yè)與房地產行業(yè)的緊密聯系，建筑企業(yè)面臨的風險與合規(guī)挑戰(zhàn)更加復雜。這要求建筑企業(yè)必須系統(tǒng)整合各業(yè)務部門識別防范風險的能力，使得企業(yè)整體在規(guī)避或降低風險的基礎上實現穩(wěn)步發(fā)展。從這一角度來看，內部審計無疑是一個很好的切入點。

新形勢下，建筑企業(yè)內審部門應拓展審計視角，在企業(yè)風險與合規(guī)管理方面發(fā)揮建設性作用，加快風險與合規(guī)管理組織體系與制度體系建設，建立健全風險與合規(guī)管理信息系統(tǒng)，全面筑牢風險與合規(guī)管理防線。

二、建筑行業(yè)背景分析

作為國民經濟的重要支柱產業(yè)之一，建筑行業(yè)的持續(xù)穩(wěn)定健康發(fā)展對于國家整體經濟發(fā)展戰(zhàn)略目標的實現具有重大意義。在國家產業(yè)政策扶持和房地產行業(yè)紅利的推動下，建筑企業(yè)生產和經營規(guī)模不斷擴大，總產值快速增長，行業(yè)整體發(fā)展呈穩(wěn)定態(tài)勢。根據國家統(tǒng)計局的數據顯示，2010—2020年，建筑企業(yè)單位數量從7.2萬家增長至11.7萬家，增幅為61.49%[1]。

然而，在國民經濟產業(yè)結構調整的大背景下，建筑行業(yè)對國民經濟生產總值的邊際貢獻率也正在下降，建筑行業(yè)的發(fā)展開始遭遇瓶頸。從行業(yè)發(fā)展空間看，在降杠桿減負債的背景下，整體增速水平將進一步趨于平緩，增量主要集中在城市群都市圈和鄉(xiāng)村振興等產業(yè)模塊。行業(yè)內頭部企業(yè)之間的競爭將從市場端深入到產品端、服務端和模式端，競爭方式更加高級，競爭程度更加激烈，對建筑企業(yè)發(fā)展提出新的挑戰(zhàn)[2]。

疫情沖擊下，百年變局加速演進，建筑行業(yè)內外部環(huán)境更趨復雜嚴峻和不確定。戰(zhàn)略風險、財務風險、市場風險、運營風險、法律與合規(guī)風險等風險因素沖擊下，建筑企業(yè)全面風險管理顯得尤為迫切和重要。

三、全面風險管理（ERM）發(fā)展現狀

早在2006年，國資委就頒布了《中央企業(yè)全面風險管理指引》并明確提出“全面風險管理”概念，即企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，建立健全全面風險管理體系，包括策略、措施、組織職能體系和內部控制系統(tǒng)[3]。

此后，國資委于2021年10月出臺《關于進一步深化法治央企建設的意見》，要求央企持續(xù)鞏固規(guī)章制度、經濟合同、重要決策法律審核制度，完善后評估機制，反向查找工作不足，持續(xù)提升審核質量；常態(tài)化開展風險隱患排查處置；嚴格落實重大法律合規(guī)風險事件報告制度，發(fā)生重大法律合規(guī)風險事件，應當及時向國資委報告[4]。

由于全面風險管理理論在我國發(fā)展歷程較短，加之建筑工程項目的特殊性，建筑企業(yè)的管理往往相對粗放，全面風險管理相對比較滯后，如何精準及時識別風險、正確客觀評估風險、合理有效應對風險成為擺在建筑企業(yè)面前的亟需解決的問題。

四、國有建筑企業(yè)A公司的全面風險管理框架

A公司是一家國有大型建筑安裝企業(yè)，具有土木建筑、設備安裝、市政工程施工等專業(yè)施工和設計、投資等多元化經營能力。近年來，A公司為應對日益嚴峻的風險挑戰(zhàn)，按照國資委要求，全力推行全面風險管理，加快提升依法合規(guī)經營管理水平，推進企業(yè)持續(xù)健康發(fā)展，穩(wěn)步實現企業(yè)戰(zhàn)略目標。

A公司明確內部審計部門為全面風險管理的牽頭機構，構建全面風險管理框架體系（見圖1）。

圖1 A公司全面風險管理框架

各業(yè)務層級具體職責分工如下：

（一）董事會

1.負責督導A公司全面風險管理與合規(guī)管理的建立健全與有效實施，聽取相關工作報告。

2.批準企業(yè)合規(guī)管理基本制度和年度報告、推動完善合規(guī)管理體系、研究決定有關重大事項等。

（二）監(jiān)事會

監(jiān)事會是A公司負責監(jiān)督董事會合規(guī)管理職責履行的監(jiān)督機構，監(jiān)督董事會的決策與流程是否合規(guī)、監(jiān)督董事和高級管理人員合規(guī)管理職責履行情況等。

（三）法治建設暨合規(guī)與風險管理委員會

1.承擔法治建設暨合規(guī)風險管理的組織領導和統(tǒng)籌協調工作并審議A公司法治建設、合規(guī)與風控體系建設方案。

2.研究決定合規(guī)管理重大事項，指導、監(jiān)督和評價管理體系建設工作并審議重大合規(guī)、風險的處置方案。

（四）全面風險管理、合規(guī)管理歸口部門

內部審計部門為全面風險管理、合規(guī)管理歸口部門，除了在企業(yè)全面風險管理中承擔內部審計和監(jiān)督職責，還負責組織、協調和監(jiān)督全面風險管理與合規(guī)管理工作，為其他部門提供合規(guī)支持，具體如下：

1.研究起草全面風險管理與合規(guī)管理基本制度，對制度和流程進行合規(guī)性評價，督促違規(guī)整改。

2.持續(xù)關注法律法規(guī)等規(guī)則變化，組織開展合規(guī)風險識別和預警，參與企業(yè)重大事項合規(guī)審查和風險應對。

3.聯合紀檢監(jiān)督工作部受理違規(guī)舉報，組織或參與對違規(guī)事件的調查，并提出處理建議；組織或協助業(yè)務部門、人力資源部等開展全面風險管理與合規(guī)管理培訓。

（五）各業(yè)務部門

各部門負責承擔專項業(yè)務風險工作與合規(guī)管理工作，并在本部門職責范圍內，將全面風險管理與部門的制度管理體系、日常管理工作等進行緊密結合，做到相互融合滲透。

全面風險管理體系的建立，在很大程度上實現了對A公司各業(yè)務層級和環(huán)節(jié)可能涉及到的風險和合規(guī)事項的監(jiān)控，抑制了風險在企業(yè)內的蔓延，促進了A公司的安全穩(wěn)定發(fā)展?？墒请S著A公司經營規(guī)模的不斷擴大，面臨的風險環(huán)境也更加嚴峻和復雜，這套風險防控機制的管理效率和效果都不可避免地打了折扣。

五、A公司全面風險管理框架下風險與合規(guī)防線探索

為全面提升企業(yè)風險防控能力，提高風險識別、應對的效率，A公司內審部門對風險識別與應對方法進行積極探索，在原有全面風險管理體系的基礎上，結合風險管理的三個階段，提出風險與合規(guī)管理的“三道防線”并將PFMEA方法運用到風險與合規(guī)評價中，很大程度上提升了風險管理效率。

（一）風險管理的三個階段（見圖2）

圖2 風險管理三階段

1.識別階段：各業(yè)務部門收集業(yè)務范圍內與企業(yè)相關的內外部環(huán)境信息，確定企業(yè)風險承受度，明確風險與合規(guī)評價標準，并經分管領導或總經理辦公會評審。

2.評估階段：各業(yè)務部門開展風險與合規(guī)評估：（1）分類：對風險源、影響范圍、發(fā)生原因及可能的后果等要素進行分類；（2）分析：對已經識別的風險進行定性和定量分析，為評價和制定應對措施提供依據；（3）評價：將分析結果與風險準則進行比較，評價風險與合規(guī)等級。

3.控制階段：（1）風險與合規(guī)應對；（2）全面風險管理與合規(guī)管理監(jiān)督評價；（3）全面風險管理與合規(guī)管理動態(tài)改進；（4）全面風險管理/合規(guī)管理專項報告；（5）編制年度全面風險/合規(guī)管理綜合報告；（6）年度全面風險/合規(guī)管理報告的審批、備案、上報及發(fā)布。

（二）風險與合規(guī)管理的“三道防線”

1.第一道防線為各部門、下屬單位。各部門主要負責人為該部門風險與合規(guī)管理負責人。下屬單位應在職責范圍內承擔合規(guī)管理責任，編制重點崗位合規(guī)職責清單，在具體業(yè)務中做好風險識別并通過自查自糾，實現風險遏制。

2.第二道防線為法律事務部。通過各相關業(yè)務部門管理制度與管理流程的建立健全、執(zhí)行落實和定期檢查，體現全面風險管理、合規(guī)管理體系的要求。

3.第三道防線為審計部門。通過指導、監(jiān)督和評價各級全面風險管理與合規(guī)管理工作，加強對重點領域的監(jiān)督檢查，提出整改建議并對造成損失的按照規(guī)定嚴肅開展問責，真正發(fā)揮“第三道防線”震懾作用[5]。

（三）PFMEA方法在風險與合規(guī)管理中的應用

1. PFMEA簡介

PFMEA是指過程潛在失效模式及影響分析，用以最大限度地保證各種潛在的失效模式及其相關的起因或機理已得到充分的考慮和論述，是防范風險的有效管理工具。申晨（2016）、吳小超（2020）等學者將PFMEA方法應用到項目管理風險評估中，建立了科學有效的風險評估機制。陳湘（2022）在效應分析的基礎上利用PFMEA方法研究醫(yī)療設備耗材管理，定位了關鍵因素。

在對各風險因子進行失效分析時，PFMEA根據風險的概率、可探測性及危害程度，計算風險系數（RPN），RPN值由風險嚴重度數值（S）、風險發(fā)生度數值（O）和風險探測度數值（D）三者的乘積計算得出，即RPN=S×O×D。S、O、D取值范圍均為1～10分，RPN得分越高說明風險越高[6]。

2.評分標準的確定

（1）風險與合規(guī)發(fā)生可能性評分標準

本文在公司現行風險與合規(guī)管理規(guī)范的基礎上結合實際審計工作中遇到的各類風險事項的發(fā)生概率制定了風險與合規(guī)發(fā)生可能性評分標準，詳情見表1。

表1 風險與合規(guī)發(fā)生可能性評分標準

（2）風險與合規(guī)影響程度評分標準

由于各風險事項對公司運營情況及公司戰(zhàn)略目標的實現具有不同程度的影響，本文從對公司內部控制、財務損失、人員安全及企業(yè)聲譽四個角度對風險與合規(guī)事項影響程度制定評分標準，詳見表2。

表2 風險與合規(guī)影響程度評分標準

3.評價矩陣的構造

按發(fā)生可能性和影響程度來判定是否為重大風險，利用風險與合規(guī)評價矩陣圖進行判斷，將影響程度和發(fā)生可能性兩者相乘，并按照綜合評分劃分風險區(qū)域，詳情見表3。

表3 風險與合規(guī)評價矩陣

（1）藍色區(qū)域：綜合評分小于50，綜合風險等級判定為低風險；（2）黃色區(qū)域：綜合評分介于50～80之間，綜合風險等級判定為一般風險；（3）橙色區(qū)域：綜合評分介于80～120之間，綜合風險等級判定為較大風險；（4）紅色區(qū)域：綜合評分大于120，綜合風險等級判定為重大風險。值得強調的是，考慮到風險事項發(fā)生的嚴重后果，影響程度為災難性的風險，無論發(fā)生可能性多大，均為重大風險。

六、審計案例

為提升經營管理合規(guī)性，保障企業(yè)健康穩(wěn)定發(fā)展，A公司分別在2021年3月和11月在公司范圍內開展審計工作，審計中發(fā)現的部分風險事項、結果分析及其審計建議如下：

（一）制度執(zhí)行存在缺陷

審計結果：2021年3月審計發(fā)現2家下屬單位未對從事貨幣資金業(yè)務、采購等關鍵崗位人員及時進行崗位輪換；2021年11月審計發(fā)現2家下屬單位無內部報告的評估制度。

審計結果分析：根據PFMEA方法，該審計問題屬于“極少情況下才發(fā)生（每年發(fā)生1～2次）”，風險與合規(guī)發(fā)生可能性評分=1.9（嚴重度）×1.2（發(fā)生度）×2.4（探測度）=5.47。同時，該問題屬于“內部控制設計或運行有缺陷；對戰(zhàn)略目標有中度影響，情況需要上級支持才能得到控制”，風險與合規(guī)發(fā)生影響程度評分=3.0（嚴重度）×1.5（發(fā)生度）×2.7（探測度）=12.15。根據風險與合規(guī)評價矩陣，影響程度與風險發(fā)生可能性的乘積得分66.46分，介于50～80之間，判定為一般風險。

審計建議：1.內部審計提出“夯實制度基礎，補齊短板弱項”的建議，進一步完善采購、資金等關鍵崗位員工定期輪崗制度，明確輪崗范圍、輪崗周期、輪崗方式等，并嚴格落實到位。2.各單位要在公司內部報告評估制度的基礎上，結合自身業(yè)務實際，制定本級單位內部報告的評估制度。

（二）分包（分供）采購管理松散

審計結果：2021年3月審計發(fā)現下屬單位5個項目部無計劃擅自采購或超計劃采購，造成物資積壓、失效、變質、浪費，合計核定損失308萬元；2021年11月審計發(fā)現兩家下屬單位新引進的3家分供方不在公司合格分供方名錄內。

審計結果分析：根據PFMEA方法，該審計問題屬于“某些情況下發(fā)生（每季度發(fā)生1～2次）”，風險與合規(guī)可能性評分為9.00分。同時，該問題屬于“中等財務損失（對公司合同額的影響在人民幣1億～2億元之間的或對公司利潤影響在人民幣300萬～600萬元之間的）”，風險與合規(guī)影響程度評分為12.15。根據風險與合規(guī)評價矩陣，影響程度與風險發(fā)生可能性的乘積得分109.35分，介于80～120之間，判定為較大風險。

審計建議：1.根據物資管理辦法深化項目管理制度辦法，責任落實到人。2.結合項目實際情況分化各項管理制度，分級化考核。3.根據制度要求，編制采購訂購單，且確保與需用計劃數據一致，深化對比分析表做到數據隨時可查，避免成本超標。

（三）涉訴案件處置不當

審計結果：2021年3月審計發(fā)現下屬單位存在未經決策審批程序，擅自改變合同實質性內容，對外出具書面承諾致使我方承擔不利后果、利益糾紛等其他法律責任的情況，合計核定損失345萬元；2021年11月審計發(fā)現下屬單位存在對于案件事實及金額無爭議，卻多次怠于解決糾紛而決定以訴訟或仲裁程序解決，而產生仲裁費、訴訟費、代理費、鑒定費等費用的情況，合計核定損失260萬元。

審計結果分析：根據PFMEA方法，該審計問題屬于“較多情況下發(fā)生（每月發(fā)生1～2次）”，風險與合規(guī)可能性評分為13.57分。同時，該問題屬于“重大財務損失（對公司合同額的影響在人民幣2億～5億元之間的或對公司利潤影響在人民幣600萬～1500萬元之間的）”，風險與合規(guī)影響程度評分為18.27分。根據風險與合規(guī)評價矩陣，影響程度與風險發(fā)生可能性的乘積得分247.92分，大于120分，判定為重大風險。對于重大風險，各部門報分管領導或總經理辦公會審核后，由審計部匯總重大風險清單，組織召開重大風險與合規(guī)評審會，審核通過后發(fā)布。

審計建議：1.建議對合同管理制度進行完善，明確合同談判歸口部門，合同應經過相關評審部門審批齊全。2.建議積極開展法律、合規(guī)培訓，培養(yǎng)風險、法律、合規(guī)文化和意識。3.被審計單位應根據風險清單落實整改責任并積極配合相關問題后續(xù)審計工作。

七、結語

從案例可以看出，PFMEA方法可以快速評估出審計問題的風險水平，確定風險項目的等級，并針對性地提出風險承受、風險規(guī)避、風險分擔及風險降低的應對措施，以達到控制風險發(fā)生概率或者風險發(fā)生后嚴重程度。在此基礎上，內部審計部門則可以根據風險控制目標和風險優(yōu)先級系數，確定是否進行風險控制及采用何種策略并通過企業(yè)信息化管理平臺推動三道防線協調運作，預先建立相應預防和改進措施，從而助力企業(yè)提升應對風險的能力，切實有效防范化解經營、財務、投資、海外經營等重大風險。

新形勢下，國有建筑企業(yè)必須明確合規(guī)要求并將合規(guī)要求與自身經營管理活動結合，以打造“治理完善、經營合規(guī)、管理規(guī)范”的一流法治企業(yè)目標為引領，進一步加強風險防控與合規(guī)管理制度建設，完善機制與隊伍建設，精準定位各業(yè)務層面及業(yè)務環(huán)節(jié)可能存在的合規(guī)風險并不斷優(yōu)化合規(guī)風險管控措施，構建風險、合規(guī)、法律“三位一體”的企業(yè)健康穩(wěn)定發(fā)展防線。