核電管理體系與內(nèi)控體系之融合

徐曉強 郭 峰

(遼寧紅沿河核電有限公司，遼寧 大連116001)

1 內(nèi)部控制概述

1.1 內(nèi)部控制的必要性

財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會于2008年5月22日印發(fā)了《企業(yè)內(nèi)部控制基本規(guī)范》（以下簡稱《規(guī)范》），《規(guī)范》中明確，該規(guī)范適用于中華人民共和國境內(nèi)設立的大中型企業(yè)。2010年10月，五部委印發(fā)了《關(guān)于印發(fā)企業(yè)內(nèi)部控制配套指引的通知》，要求自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行，鼓勵非上市大中型企業(yè)提前執(zhí)行。此外，國資委、財政部于2012年5月發(fā)布了 《關(guān)于加快構(gòu)建中央企業(yè)內(nèi)部控制體系有關(guān)事項的通知》，要求各央企在2013年建立起覆蓋全集團的內(nèi)部控制體系。

鑒于我國核電企業(yè)均為央企或其子企業(yè)，基于上述要求，核電企業(yè)特別是上市集團下屬核電企業(yè)均需建立內(nèi)部控制體系。

1.2 內(nèi)部控制的定義和目標

《規(guī)范》明確了內(nèi)部控制的定義，即：由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。

內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關(guān)信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。

1.3 內(nèi)部控制的原則

內(nèi)部控制原則是企業(yè)建立和實施內(nèi)部控制管理程序的基本標準，應遵循如下原則：

1.3.1 全面性原則

內(nèi)部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項。

1.3.2 重要性原則

內(nèi)部控制應當在全面控制的基礎上，關(guān)注重要業(yè)務事項和高風險領域。

1.3.3 制衡性原則

內(nèi)部控制應當在治理結(jié)構(gòu)、機構(gòu)設置及權(quán)責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。

1.3.4 適應性原則

內(nèi)部控制應當與企業(yè)經(jīng)營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調(diào)整。

1.3.5 成本效益原則

內(nèi)部控制應當權(quán)衡實施成本與預期效益，以適當?shù)某杀緦崿F(xiàn)有效控制。

1.4 內(nèi)部控制的要素

企業(yè)建立與實施有效的內(nèi)部控制應當包括下列要素：

1.4.1 內(nèi)部環(huán)境

內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎，一般包括治理結(jié)構(gòu)、機構(gòu)設置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。

1.4.2 風險評估

風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險，合理確定風險應對策略。

1.4.3 控制活動

控制活動是企業(yè)根據(jù)風險評估結(jié)果，采用相應的控制措施，將風險控制在可承受度之內(nèi)。

1.4.4 信息與溝通

信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。

1.4.5 內(nèi)部監(jiān)督

內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。

2 體系融合的基礎

核電管理體系存在與內(nèi)部控制要求不一致的情況，通過融合的方式建立核電內(nèi)部控制體系是必要的、可行的。

2.1 核電管理體系與內(nèi)部控制要求的差異

核電企業(yè)的管理體系最初來源于核設施質(zhì)量保證體系，該體系建立的基本依據(jù)為國家核安全局頒布的核安全法規(guī)HAF003《核電廠質(zhì)量保證安全規(guī)定》（以下簡稱《質(zhì)保規(guī)定》），后又加入了安全和環(huán)境相關(guān)的管理規(guī)定。此法規(guī)提出了核電企業(yè)的質(zhì)量保證必須滿足的基本要求，即為確保核電企業(yè)的物項和活動的質(zhì)量而必須采取的一整套保證質(zhì)量的措施。此法規(guī)是國務院授權(quán)國家核安全局頒布的強制性執(zhí)行的法規(guī)，核電企業(yè)必須遵照執(zhí)行。該法規(guī)所規(guī)定的核設施質(zhì)量保證體系，旨在使物項或服務與規(guī)定的質(zhì)量要求相符合。

《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引，是指導企業(yè)具體開展內(nèi)控工作的技術(shù)性文件。因兩套體系建立的出發(fā)點不同，其管理要求存在一定差異。對比《質(zhì)保規(guī)定》及《企業(yè)內(nèi)部控制基本規(guī)范》可發(fā)現(xiàn)，兩者涵蓋的管理要素既有交叉、又各有特殊要求，即核電管理體系存在不符合內(nèi)控管理要求的缺陷、有待完善。

2.2 體系融合的必要性

核電管理體系與內(nèi)控體系融合是必要的。因管理提升的需要，基于不同的標準建立多個體系已比較常見。多體系融合、統(tǒng)一運作，有利于可提高體系運作效率，避免了多個文件對同一工作要求不一致導致無法執(zhí)行的問題，減少了文件編寫及產(chǎn)生記錄的工作量，同時降低了管理體系評審給企業(yè)帶來的工作負荷。

2.3 體系融合的可行性

核電管理體系與內(nèi)控體系融合是可行的。一是兩套管理體系都應用了流程管理方法，且部分業(yè)務流程一致；二是都通過評審、審計等方式進行體系改進與維護；三是兩體系文件的格式要求基本一致；四是兩套體系的管理要求雖有差異，但無矛盾之處。

圖1 核電管理體系與內(nèi)控體系融合思路

圖2 核電管理體系與內(nèi)部控制體系關(guān)系

3 體系融合方案

3.1 體系構(gòu)架

核電管理體系滿足部分內(nèi)部控制管理要求，內(nèi)部控制一直存在于管理活動中，文件體系中體現(xiàn)了內(nèi)部控制的相關(guān)思想。內(nèi)控體系與核電管理體系的融合，是把內(nèi)控規(guī)范的要求注入到已有的制度流程體系中，使其符合內(nèi)控規(guī)范的要求，即對現(xiàn)有管理體系中不符合內(nèi)控要求或缺失的文件進行修改或增補，并通過定期評價、審計推動持續(xù)改進，如圖1所示。

表1 風險控制矩陣

融合后的內(nèi)控體系文件形式上為核電管理體系文件的一部分，包括頂層文件《內(nèi)部控制手冊》及內(nèi)部控制相關(guān)的“管理政策程序”和“工作執(zhí)行層文件”。兩體系關(guān)系如圖2所示。

《內(nèi)部控制手冊》分為《總則分冊》、《控制活動分冊》及 《評價分冊》，是內(nèi)控體系建設、評價的綱領性文件。《總則分冊》根據(jù)《規(guī)范》中提出的五個內(nèi)控要素，明確內(nèi)控體系的建設要求。《活動分冊》確定了風險矩陣及其對應的下游程序名稱，是內(nèi)控體系建設的指導性文件。《評價分冊》明確了評價的分工、內(nèi)容、方法、缺陷的認定等，是內(nèi)控體系評價的指導性文件。

3.2 建立風險控制矩陣

根據(jù)《規(guī)范》及其配套指引，結(jié)合核電企業(yè)的具體情況，梳理建立風險控制矩陣，其中包括風險描述、控制措施、對應下游程序情況等信息，如表1所示。下游程序梳理的結(jié)果，可能有對應的程序，也可能程序缺失或者有缺陷。風險控制矩陣是《控制活動分冊》的核心內(nèi)容。

3.3 完善內(nèi)控體系文件

根據(jù)風險控制矩陣梳理的下游程序情況，對于程序缺失的，補充新編；對于有缺陷的，修改升版。涉及《控制活動分冊》中風險及控制措施的程序，應補充“內(nèi)控風險及控制措施”小節(jié)，承接《控制活動分冊》中的風險矩陣，并在流程圖中標注風險點R及控制措施KC，如圖3所示。如此，《內(nèi)部控制手冊》及所有有“內(nèi)控風險及控制措施”小節(jié)的程序，即構(gòu)成了內(nèi)部控制管理體系文件。

3.4 體系運行與監(jiān)督

內(nèi)控體系的運行與監(jiān)督通過程序?qū)彶椤⒃u價及審計等方式實現(xiàn)。

第一，在程序?qū)徟h(huán)節(jié)中，增加內(nèi)控審查環(huán)節(jié)，由職責部門結(jié)合內(nèi)控規(guī)范及《控制活動分冊》的要求，對程序進行內(nèi)控審查，確保內(nèi)控文件落實了內(nèi)控風險控制措施，符合內(nèi)控管理要求。

第二，按照《評價分冊》的要求，審計部門每年組織一次內(nèi)控體系評價，并針對評價結(jié)果編制《內(nèi)控自評價報告》及《內(nèi)控缺陷評價匯總表》，對缺陷提出改進建議及責任部門，明確整改計劃并跟蹤落實。《內(nèi)控自評價報告》經(jīng)董事會審批后提交國資委。

第三，每年委托會計師事務所對特定基準日內(nèi)部控制設計與運行的有效性進行審計，編制《內(nèi)部控制審計報告》。

圖3流程圖示例

4 結(jié)束語

內(nèi)部控制體系建設是公司治理的重要環(huán)節(jié)，是企業(yè)風險管理的重要內(nèi)容，也是提升企業(yè)管理水平的重要舉措。本文從內(nèi)部控制概念出發(fā)，分析了核電管理體系與內(nèi)控管理要求的差異，設計了核電管理體系與內(nèi)部控制體系的融合方案。文中所述方案有待在實踐中進一步探索與完善。

［1］《企業(yè)內(nèi)部控制基本規(guī)范》編寫組.企業(yè)內(nèi)部控制基本規(guī)范[M].上海：立信會計出版社，2008：1-42.

［2］許鐵民,等.QHSE 體系與內(nèi)控體系之融合[J].中國石油企業(yè)，2005(1)：54-55.