【作 者】
王 堃
【作者单位】
国网冀北电力有限公司,北京100053
【摘 要】
【摘要】根据国资委、财政部关于构建中央企业内部控制体系的相关要求,本文结合电网企业实际情况,对电网企业内部控制体系建设情况、实施过程和实施效果展开研究。提出以经营类业务和管控类业务为建设突破,逐步建立覆盖全业务、全流程的电网企业内部控制体系;深化实施与应用,开展内部控制评价,认定内控缺陷,以有效识别公司经营管理的潜在风险与薄弱环节;构建风险预警指标体系,实现风险与内控的闭环式链条管理,防范企业经营风险。
【关键词】电网企业;内部控制;风险管理
【中图分类号】F253.7 【文献标识码】A 【文章编号】1004-0994(2016)16-0110-4一、建设背景
1. 国家部委对内部控制建设提出明确要求。2008年,财政部会同证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》。2010年发布企业内部控制18项应用指引、评价指引及审计指引,要求企业制定内部控制制度并组织实施,建立内部控制实施激励约束机制,成立专门机构组织协调相关工作。2012年,国资委下发《关于加快构建中央企业内部控制体系有关事项的通知》,要求各中央企业构建覆盖全集团的内部控制体系,并于2014年起每年向国资委报送内部控制评价报告。
2. 中央企业内部控制建设总体情况。2011年,102家在境内外同时上市的中央企业按照《企业内部控制基本规范》及配套指引,初步完成内部控制建设工作。为积极响应国资委等监督机构的合规要求,同时将先进的管理理念引入企业集团内部,各中央企业积极推动内部控制体系建设,加快落实内部控制体系实施应用。
3. 电网企业内部控制建设现状。电网企业按照国资委内部控制体系建设的要求,以整合提升为主要手段,分析管理现状,整合各业务版块内控建设成果,健全完善内部控制体系,推进内部控制由条块化管理向体系化管理转变,由多标准多形式管理向统一规范管理转变;以经营类业务(投资、融资、工程、采购、营销等)和管控类业务(预算管理、会计核算、合同管理、信息化管理等)为建设突破,初步建立了具有组织架构扁平化、业务流程标准化、内控责任岗位化、控制手段信息化、监督评价常态化特征的电网企业内部控制体系。
二、建设方案
1. 内部控制体系建设方案。
(1)内部控制环境。建立健全内部控制组织机构,成立全面风险管理委员会和内控办公室;建立内部控制工作联络机制,明确各业务部门职责和参与方式;组建内控建设实施业务组,负责各业务领域内部控制建设实施工作。内控体系建设组织架构见下页图1。
(2)跨专业、跨层级的流程贯通。电网企业基于发展战略、组织架构和运行模式,通过厘清各专业、层级间的管理逻辑关系,确定了四层内控流程分级:一级流程是依据业务价值链和管理职能,将运营管理体系分解为有机关联、相互作用的若干业务领域,反映企业整体管理逻辑和业务运作模式;二级流程是按照一级流程的业务全寿命周期细化分解为不同的业务阶段,界定不同专业领域和部门职责的关系;三级流程是依据二级流程的业务活动逻辑关系细化分解为具体业务活动;四级流程是依据三级流程的业务活动性质、先后次序细化分解为不同的工作环节。
(3)分级授权管理体系。根据明确分级授权、有限授权、权责对等、全过程监督的管理原则,构建统一的分级授权体系框架。授权体系包含常规授权和特别授权,其中常规授权分为基本授权和岗位授权。详见图2。
2. 风险管理体系建设方案。
(1)规范风险管理工作程序。电网企业建立了风险闭环管控机制,制定了全面与专项风险评估方案,明确了风险信息收集与评估、风险管理策略确定、风险应对措施实施、风险管理报告编制、风险监督与改进等基本程序,规范统一了各级单位的风险管理工作。
(2)建立统一的风险评估规范。基于战略目标,将公司层、业务层风险与分解细化的管理目标相对应,建立三级风险分类体系。结合风险评估需求,参考风险信息库及分类体系,研究制定风险评估规范与评估方法,明确定性与定量相结合的风险评估标准。详见下页图3。
(3)构建常态与动态风险信息库。电网企业建立了覆盖电网投资、财务、技改大修、电网基建、营销、科研、信息、物资、合同、小型基建、电力交易等专业领域的风险管理体系框架。全方位开展风险信息收集,辨识与经营类、管控类业务相关风险,编制风险列表,明确风险责任部门,提出风险管理策略和解决方案,建立常态风险预警指标,并按照风险事件发生频率补充完善动态风险预警指标,定期跟踪电网、设备、基建等动态风险信息变化,建立具有电网企业特质的风险信息库,构建常态与动态风险联动机制。
3. 风险管理与内控闭环式链条管理。采用全面风险管理“识别——评估——应对——监督”模型,以COSO《企业风险管理——整合框架》为主要理论依据,运用“闭环式链条”管理原理将风险与内控相融合,通过全面识别、分析、评估、应对风险,提出“事前、事中、事后”全过程风险控制;构建风险预警指标体系,动态监控风险高发领域;适时开展关键领域内控评价,创新缺陷认定方法,科学认定实质缺陷等级;整合末端风险防控措施与缺陷整改措施,确定重点管理领域,动态优化重大风险防控举措,以实现内部控制、风险防控的有效融合。详见图4。
三、实施方案
1. 以内控评价为手段,完善闭环式管理机制。
(1)以内控评价为手段,有效识别潜在风险。围绕年度内外部检查重点,以稽核发现重大问题为线索,确定内控评价专题,开展在线与现场评价。运用风控信息系统客观抽取样本,通过对照标准流程的关键控制节点,真实反映缺陷情况。评价时不仅关注符合性缺陷,更深入查找实质性缺陷。对缺前、后端业务进行延伸检查,挖掘缺陷产生根源,优化内控评价程序,强化内控缺陷整改,建立整改督导机制,有效识别与防范经营管理潜在风险与薄弱环节。
(2)科学认定缺陷等级,持续完善内控评价机制。建立内控评价持续改进机制,遵循“执行、评价、完善、提升”闭环管理模式,实行年度整体评价和季度专题评价,综合运用穿行测试、现场检查等方法,对内控流程执行、风险管理、授权分配、制度落实等情况开展评价,查找管理薄弱环节,促进管理水平提升。充分利用定性与定量相结合的方法,建立多维度内控缺陷认定标准。定性标准是将企业的通用标准与规定流程标准相结合,从内控环境、内部监督、社会形象、决策程序、安全生产等方面确定内控缺陷的重要性水平;定量标准主要针对财务报告相关内控缺陷,重要性水平按照数值孰低原则确定,可容忍误差=重要性水平×50%,作为重要缺陷判定临界标准。详见下页图5。
2. 以风险管理为出发点,构建风险防控三道防线。
(1)以“三道防线”为主线,构建风险防控工程。以“风险预控”、“专业管控”、“监督防控”三道防线为主线,围绕影响企业发展的关键管理领域,在风险防控工程实施中突出对关键领域的预控、管控和防控,推动各层级依法决策、各环节依法运营、各专业依法监管,确保电网安全。通过搭建风险防控体系整体框架,分阶段推进风险防控工程各项任务,促使决策、安全、经营、廉政等领域的风险得以有效防范,依法从严治企能力进一步提升。
(2)开展全业务领域风险预警,强化实时监督。构建全业务领域的风险监控预警体系:开展核心指标风险预警,通过监测核心指标异动情况,有效管控企业经营管理活动;开展关键领域风险预警,细化管理规范、明确岗位职责、优化工作流程、强化措施执行,由事后监督向事前预防转化;借助风控信息系统实现业务数据集成共享,建立全面监测、运营分析、协调控制、全景展示模式,全方位监测风险管控要点。
四、建设成效
1. 建设成效显著。通过强化内部控制体系建设与实施系列措施,成功建立了一套具有电网企业特色的内部控制体系。
(1)建立了企业级内控标准。建立了覆盖企业各领域重要业务,全公司统一执行的内部控制流程控制规范、岗位授权规范、执行评价规范和风险评估规范的目标。
(2)开展了跨专业流程衔接。按照业务全寿命周期,明确流程跨专业接口,开展跨专业流程衔接,在电网规划、电网建设、电力交易、营销、物资管理、财务管理与合同管理等业务上建立了跨专业、跨层级、端到端的内控流程,实现了业务横向协同、纵向贯通,推动了公司从业务条块化管理向全流程管理转变。
(3)构建了公司级授权体系框架。建立了包含基本授权和岗位授权的分级授权体系框架,岗位授权与内控流程配套,将各项管控要求逐级落实到各单位、各部门和各岗位。
(4)有力推进了各管理要素系统融合。通过实施内控流程标准,将风险、控制、岗位、职责、制度等要素融入业务流程,建立动态联系,实现了各管理要素的一体化融合。
(5)建立了整套内部控制制度与规范。以内控流程规范为核心,明确了关键控制点、控制措施和要求;以授权管理规范为依据,确立了与流程、岗位相对应的职责、权限;以规章制度规范为准则,建立了流程、岗位与规章制度匹配关系;以风险管理规范为纽带,建立了风险与流程环节、控制点的衔接关系;以内控评价规范为根本,提供了关键控制点的控制程序、工具和方法,推动了流程持续优化。
2. 经济效益提升。通过全面建设与实施内部控制体系,有效打通业务管理壁垒,实现了风险、流程、制度、授权、评价等要素一体化的融合管理,强化合规经营,有力促进了经济效益的提升。
3. 管理成效卓越。通过内控体系的全面实施与应用,有效识别了日常经营管理的薄弱环节与潜在风险。定期组织开展内控评价,客观真实反映内控缺陷情况,借助对缺陷涉及前、后端业务延伸检查,挖掘缺陷根源,全面落实整改;围绕年度重点检查内容与重大风险评估结果,确定内控评价专题,结合财务日常稽核、在线稽核、内外部审计发现的问题,集中领域深入开展内控专题评价。通过风险量化评估的深入持续开展,实时监控动态风险预警指标,有效防范了重大风险事件的发生,企业风险防控能力显著提升。
主要参考文献:
财政部.电力行业内部控制操作指南[M].北京:经济科学出版社,2015.
