房地产企业如何建立实质有效的内控风险管理体系
撰稿人:赛普咨询 雷宏
 
 
一、前言
 
      2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。2010年4月26日,财政部等五部委又联合并发布了《企业内部控制配套指引》,该配套指引连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
      按照要求,自2011年1月1日起首先对在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行,同时鼓励非上市大中型企业提前执行。
      这一套控制规范被称为中国的“萨班斯法案”,自正式实施之日起,执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。

 
二、房地产开发企业内控风险管理建设过程中的困惑
 
      根据房地产开发行业价值链和赛普VAC模型分析,房地产企业具有以下几个显著特征:
 
      受政策影响大——宏观经济形势、行业调控的影响以及地方政府的应对政策
      对资源需求大——资金、土地、人才
      内外部接口多——政府、供应商、内部员工、消费者
      对人的要求高——能力素质、道德、驱动激励
 
      以上几个方面充分说明了房地产企业的高风险特征。近年来,根据监管法规的要求和企业自身的需要,越来越多的房地产开发企业开始重视内控风险管理体系的建设。
      在实际执行的过程中,不少企业的风险管理部门都会花很大精力按照规范的要求,开展了风险识别、风险评估等工作,形成了厚厚的《风险管理手册》、《风险清单》、《风险案例库》等文件,但往往是此项阶段性工作一结束,内控报告一通过,这项工作似乎就变冷了,工作成果似乎就束之高阁了。有时甚至会出现“花了大力气(指开展了内控风险体系建设工作)不一定没有风险(事件),没花力气不一定有风险(事件)”的尴尬现象。
      在内控风险管理体系建设过程中,房地产企业高层领导和内控风险管理部门人员往往有以下几个方面的困惑:
 
      房地产开发企业内控风险管理的重点是什么?
      房地产开发企业行之有效的风险识别和评估的专业方法是什么?
      房地产开发企业内控风险管理工作如何与开发业务管理工作有机结合、相互促进?
      如何根据本企业的发展阶段逐步建立和提升企业的内控风险管理体系?
 
      简而言之:房地产开发企业如何有针对性地建立符合行业特点、与本企业发展阶段适应、实质有效的内控风险管理体系?
      根据十年来赛普管理咨询开展的四百多家客户千余个管理咨询项目和近年来为房地产企业内控风险体系建设项目的经验,针对如何有效建立房地产开发企业内控风险管理体系这个问题,我们提出了以下十六字方针:明确重点、优化方法、系统融合、逐步提升。
 
三、明确重点——明确房地产开发企业内控环境建设和开发价值链的风险控制的重点
 
      组织管控体系—根据内控规范的要求,企业内部环境主要涉及治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,是企业实施内部控制的重要基础。在这五项内控环境因素中,大中型房地产开发企业的组织机构设置、项目管理模式和权责分配往往容易存在问题,而这方面的问题往往是影响企业发展的重大问题,所以一定要按照系统的原则方法和房地产企业组织管控发展的一般规律建立适合的组织管控体系。尤其是对近年来发展速度很快,开发规模和区域急剧扩大的大中型房地产开发企业,建立定位清晰、责权明确、风险受控、激励有效的组织管控体系,更是建立内控风险管理体系的重中之重。
 

 
      开发价值链前端—根据房地产开发价值链的特征,需要重点关注开发价值链前端项目拓展阶段、项目定位策划阶段和项目规划设计阶段的风险识别和控制。
 
 
       人力资源体系——企业经营活动离不开人,企业的一切风险归根到底都是人的风险。一个有效的内控风险体系一定要把人力资源体系作为重要的基础环境。一个企业只有能够吸引并留住符合企业发展需要的具有良好的能力素质和道德的员工,并能够给予良好的驱动和激励,这才是控制风险最根本的方法。在这方面,《企业内部控制基本规范》关于制定和实施人力资源政策、员工职业道德修养和专业胜任能力都提出了明确的要求。
以上三个方面是房地产开发企业建立内控风险管理体系必须特别关注的重点。此外,一个实质有效的内控风险管理体系一定要建立在全面完善的企业基础管理体系之上,所以在突出重点的同时,企业还要按照管理金字塔的逻辑持续开展制度流程体系、信息化等基础管理体系的建设。
 
四、优化方法——房地产开发企业风险识别和评估
 
      风险评估是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险、合理确定风险应对策略的过程。这是企业实施内部控制的重要环节。
      风险识别的基本方法主要有风险事件评估法流程风险分析法两大类。
      风险事件评估法适用范围广,是指在一定时期内通过内部人员、外部专家的访谈、问卷调查、穿行测试、资料分析等方式广泛的了解企业存在的风险。这种方法应用比较普遍,但由于该方法是比较分散地从风险事件和风险损失来识别风险,没有直接与具体的业务流程建立关联关系,所以难以在流程环节中找到流程风险源并检查落实风险控制活动。主要适用于公司层面(如内控环境、信息与沟通、检查监督)的风险识别。
      流程风险分析法是指将企业的各项业务或管理活动按照其内在的逻辑联系建立一系列的流程图,针对流程图中的每一个环节逐一进行调查、研究和分析,从中发现潜在的风险的一种风险辨识方法。这种方法的系统性较强,可以实现风险管理与业务流程管理一体化。
       为了做好流程风险分析,需要按照下图所示的系统方法梳理和建立房地产开发企业的系统完整、层次分明、易于操作的业务流程体系文件。
 

      针对规划出来的具体的业务流程,要在其中明确流程步骤S、风险点R、控制点CP(事前控制,事中控制、事后控制)。如下表为某企业设计变更流程——设计变更论证及审批阶段风险识别示例:

 
      通过流程风险分析法,可以清楚地发现具体业务过程中的风险点和缺陷点(即没有任何控制措施的风险点),并可以有针对性地针对缺陷点采用内控规范和指引提出的控制措施进行风险防范。
      以上只是一个具体流程其中的一个阶段的风险识别示例。针对整个房地产开发价值链7+2一级流程环节,赛普对某企业进行流程风险识别后的风险矩阵如下所示:

五、系统融合——内控风险管理和业务流程管理的融合
 
      系统融合,一方面是指为了建立企业实质有效的内控风险管理体系,应该加强企业内控风险管理职能和业务流程管理职能的融合。主要有以下两个方面的途径和方式:
      内控风险管理部门全面组织,在业务流程风险识别分析时采用流程风险分析专业方法,各业务部门深度参与。
      在房地产企业总部之下的业务一线公司,将内控风险管理职能和业务流程管理职能合二为一。如目前万科等企业部分一线城市公司成立流程风险管理部,就是体现了“实质性内控”的思想,将风险控制嵌入到业务流程环节的有效组织措施。
      系统融合,另一方面是指在业务流程体系设计或优化时,要以企业发展战略为指导,一方面保证企业在效率、质量、成本方面形成核心竞争优势的需要,同时还要同步融入风险管控的要求,兼顾效率和风险两方面的平衡。
 

 
六、逐步提升——从内控管理到全面风险管理
 
      2004年9月COSO提出了《企业风险管理-综合框架》,在内控五要素的基础上发展增加为八要素,并在目标上并增加了战略目标,这标志着从内控管理到全面风险管理的提升。
      根据国内目前房地产开发企业不同的发展阶段,企业内控风险管理体系的建设可分为合规型基础内控、管理型实质内控和战略型全面风险管理几个阶段,每个阶段所处的内控管理环境、管理特征和主要目标是不相同的。

      房地产开发企业要根据自身的发展阶段和需要,逐步实现从基础型内控到全面风险管理的发展提升。如华润集团内部审计的发展也经历了由财务会计审计到营运管理审计、内控与风险审计的演变过程。根据有关资料显示,15年前的华润集团的审计报告基本是财务会计内容,而目前的审计报告中财务会计内容不超过五分之一,战略、流程、内控及风险等内容占据了审计报告的绝大部分篇幅,反映出华润集团内审工作随着集团业务的发展及整体管理水平的提升而作出的适应性转型与提升。
 
七、赛普房地产开发企业建立内控风险管理体系的六步法简介
 
      根据赛普近年来为房地产开发企业建立内控风险管理体系的咨询经验,对于一个已经建立了基础管理体系和业务流程体系的房地产开发企业,一般可以按照以下六个步骤开展内控体系建设工作:
 
      第一步:项目准备及启动——本阶段的工作重点是通过周密的项目工作计划明确各方的职责、工作内容,并通过宣导培训等方式提升和统一大家对企业内控风险管理体系建设的思路。
 
      第二步:调研诊断、信息收集及分析——本阶段的工作重点是通过访谈、调研问卷等方法对企业的发展战略、内控环境进行了解和分析,为开展后续工作明确目标和奠定基础。
 
      第三步:风险识别——本阶段的工作重点是通过专业的风险识别方法识别并建立企业风险事件库(公司层面、流程层面),其中实质性的工作为前文介绍的流程风险分析,需要花大力气针对企业已经建立的各项业务流程进行认真的分析。
 
      第四步:风险评估——本阶段的工作重点是根据风险分类和评估标准建立本企业的风险分类树、风险评估矩阵、重大风险表,其核心要点是建立本企业的风险评价因素和标准,并以此为依据识别出重大风险、一般风险和次要风险。
 
      第五步:风险应对——本阶段的工作重点是根据本企业的风险应对策略和实际情况制定出重大风险应对策略和方案。
 
      第六步:风险管理体系——本阶段的工作重点是对企业的风险管理体系提出优化建议(包括风险管理组织体系、风险管理运作机制等),并建立涵盖企业风险管理全过程制度和流程的《风险管理手册》;针对重大风险建立风险预警体系(指标),并提出与运营信息体系和绩效管理体系建立关联的建议。
 
      在企业内控体系建设基本完成后,还需要开展企业内控体系运行跟踪、内控自我评价和内控审计等工作。
 
 
员工调查 问卷调查 邮件中心 员工通道