風險防控導向內控管理體系研究與應用
——以A供電公司為例

李汶瑾

(重慶市生態環境科學研究院 重慶 400000)

一、研究背景

(一)外部監管的要求

2012年4月26日，財政部會同證監會、審計署、國資委、銀監會、保監會等部門在北京召開聯合發布會，發布了《企業內部控制配套指引》。該配套指引連同2008年5月發布的《企業內部控制基本規范》，共同構建了中國企業內部控制規范體系。內部控制的核心即是風險管理，通過風險管理達到合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略等目標(方紅星等,2015)。國務院國資委2006年6月6日發布了《中央企業全面風險管理指引》，要求所有的中央企業根據實際情況推行企業風險管理工作。國務院國資委和財政部在2012年5月11日聯合發布《關于加快構建中央企業內部控制體系有關事項的通知》等要求。外部監管要求公司全面完成部控制體系建設，建立風險評估機制與內控評價機制，定期編報全面風險管理與內控評價報告，披露年度自我評價報告，同時聘請會計師事務所對其財務報告內部控制的有效性進行審計，出具審計報告。

(二)依法治企的要求

同時隨著電力體制改革深入推進，發改委、物價部門及能源主管部門等對公司電網投資和價格監管，將由“先投資、再算價格”的事后監管轉變為“先算價格、再投資”的事前監管，成本監審更加嚴格、更加頻繁，公司投資、成本、收入等環節要求進一步公開透明，積極適應監管新要求。

(三)風險防控的要求

“十三五”期間，經濟增速放緩、經濟結構調整、增長動力轉變等新常態發展趨勢將延續。市場環境趨于惡化，客戶資金緊張，應收款項回款困難；國資委要求效益持續提升，利潤增長壓力較大。同時從公司內部管理現狀來看，一些“發熱點”、“出血點”沒有完全消除，這些都將導致公司經營風險持續增大，需要公司進一步完善內控制度，提高經營風險應對能力。

二、內涵和主要措施

2012年，A公司首次進行內控管理體系建設，以保證合規為目標，主要在外部專業機構指導下進行內部控制管理體系建設，將外部評價與自我評價相結合，既能提高評價的全面性和評價質量，又能選擇符合企業目標的控制行為(戴彥，2006)。A公司從組織機構調整、制度全面建設、編制內控手冊以及梳理業務流程圖幾個方面建立起內控體系的整體框架。公司在企業年度報告中對內控情況作了整體匯報，對《年度內部控制自我評估報告》進行了披露。

2013年至今，A公司以持續完善內控管理體系為目標，開展由內審部門牽頭，業務部門配合的內控自評，對缺陷進行認定和跟蹤整改，并以此為切入點，結合內外部環境和政策變化對相關制度和業務流程進行修訂。公司在企業年度報告中對內控情況作了整體匯報，同時披露了《年度內部控制自我評估報告》和由外部審計機構出具的《內部控制審計報告》。

(一)內部控制體系建設

2012年公司進行內控管理體系建設，經過兩輪內控自評對當前公司層面內部控制和業務流程層面內部控制的涉及和執行情況進行全面評價。根據評估情況同步進行流程梳理，通過建立控制制度體系、設計業務流程圖、制定考核標準，保證內部控制體系有效運行。

1.評價準備階段

截止2012年3季度，A公司內控自評準備階段工作基本完成，一是制定了評價實施方案；二是準備評價工作底稿模板。

(1)內控自我評價方案

A公司制定了《年度企業內控自我評價實施方案》，把內控工作組織結構、評價范圍和內容、評價的程序與工作計劃等在方案中進行了明確。

一是公司董事會授權審計部負責內部控制評價的具體組織實施工作，對納入評價范圍的高風險領域進行評價。公司按照《企業內部控制基本規范》等制度規定要求，成立了內部控制領導小組，下設內部控制工作小組和內部控制評價小組。

為保證內部控制體系建設的專業性、有效性，A公司聘請了中介機構提供內部控制咨詢服務及協助開展2012年度內控自我評價工作。

二是確定了內部控制評價內容涉及公司層面和業務流程層面兩個方面。公司層面的內部控制即內部控制的五要素，包括內部環境、風險評估、信息與溝通、內部監督和信息系統總體控制。業務流程層面的內部控制主要涉及經營管理中主要業務流程的各項控制活動，包括：資金管理、資產管理、存貨管理、采購管理、銷售管理、工程項目管理、擔保管理、財務報告及信息披露、合同管理、預算管理等。

三是確定了評價方法。內控自我評價需要根據控制的性質以及專業判斷以決定適當的評價方法，并綜合運用評價方法，充分收集相關證據，以評價內部控制設計和運行是否有效，并研究分析內控控制缺陷。

(2)企業風險評估

公司聘請中介機構對企業風險進行初估并出具《企業風險評估調研報告》和《內部控制體系建設項目問題發現總結報告》。通過風險評估，使后續自我評價測試更具有針對性，能夠更有效的挖掘內部控制中存在的缺陷并進行整改，以確保重要風險得到有效控制。

《企業風險評估調研報告》指出公司在控制環境、人力資源、工程管理、社會責任、資金活動等方面存在風險，其中主要風險點需要立即采取應對措施；次要風險點可以通過內部控制進行消除，并實時關注；低風險點可暫不予以考慮。

《內部控制體系建設項目問題發現總結報告》對公司層面(主要包括反舞弊程序、人力資源管理、文化建設、發展戰略、組織架構、董事會及下屬委員會/內部審計、社會責任、公司政策與法律法規、信息與溝通、信息技術環境)和流程層面(主要包括自己運營、工程項目、合同管理、銷售管理、采購管理、資產管理、財務報告、信息技術管理)進行了內部控制評估，對其在內部環境(發展戰略、組織架構、人力資源)、風險評估、控制活動(資金活動、工程項目、采購管理、銷售管理、資產管理、合同管理、財務報告)、信息與溝通、內部監督五個要素中存在的典型問題進行的詳細描述，并提出建議。

(3)準備評價工作底稿模板

按照《企業內部控制配套指引》和《企業內部控制基本規范》，同時考慮本身的適應性，A公司針對公司層面和業務層面均設計了內部控制自我評價測試工作底稿模板。

模板對每一層面中所涉及流程進行了歸納，每一流程下引用了相關指引對該流程的控制要求，列示了可能存在的風險。在接下來的自我評價測試中，通過詢問、觀察、檢查等方式測試公司的各項流程，在表中反映“現有控制描述”、“控制相關制度”、“控制點發生頻率”、“控制類型”等要素，并對其內控設計有效性和內控運行有效性進行評價。

2.第一輪測試

A公司考慮了《企業風險評估調研報告》和《內部控制體系建設項目問題發現總結報告》所反映出的問題，設計控制點，并有側重的進行測試。

A公司對每一個控制點的設計有效性和運行有效性進行測試，測試容包括現有控制情況、頻率、樣本描述等。在測試中，并不是所有的控制點都能通過測試，部分在內控設計有效性評價或內控運行有效性評價方面存在缺陷，需要進行缺陷整改。

3.梳理流程

A公司對評價發現的內部控制缺陷，及時分析缺陷性質和產生的原因，并按照成因分為設計缺陷和運行缺陷。對于設計缺陷，從企業組織機構設計和內部的管理制度入手查找原因，對組織機構重新進行設計，對管理制度及時進行新增修訂，并同時改進內部控制體系的設計，彌補設計缺陷的漏洞；對于運行缺陷，則分析出現的原因，查清責任人，并有針對性地進行整改。

A公司 將第一輪測試發現的缺陷梳理匯總，反饋給相關業務部門，要求業務部門在按照公司統一的流程梳理安排的同時，結合缺陷整改表內容，完成缺陷整改。

(1)組織機構調整

A公司結合實際情況，按照集約化、扁平化、專業化的要求對內部機構進行調整。制訂或修訂部門職責文件、安全責任書等，明確了各部門的職責權限和相互之間的責權關系，形成各司其職、各負其責、相互協調、相互制約的部門工作機制，也使全體員工掌握內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權。

通過機構調整，達到完善公司組織管理體系，改善勞動組織方式，優化人力資源配置的目的。

(2)制度建設

A公司設立了制度建設委員會，委員會由辦公室擔任組長，業務部門作為成員，對制度建設的全過程進行監督、審查。委員會要求個業務部門按照《企業內部控制基本規范》及配套指引中要求企業應建立的制度清單，同時參考系統內其他單位管理標準和技術標準，結合公司實際梳理出公司適用的制度清單，對現有制度制定新增、修訂、廢除計劃。制度委員會每周組織召開一次制度審查會，按業務部門報送的制度建設計劃對新增和修訂。

通過制度建設，公司將風險管理融入到日常管理之中，對所面臨的政策風險、行業風險、技術風險、經營風險、財務風險等內外部風險均進行充分的評估，結合公司風險承受度進行詳盡分析，權衡風險與收益，確定風險應對策略，做到風險可控。

通過制度建設，公司主要經營活動都有相應的控制政策和程序進行規范，包括授權審批控制、不相容職務相互分離控制、憑證與記錄控制、財產保護控制、獨立稽查控制、風險控制等。

(3)內控手冊

A公司編制了《內部控制手冊》，對內部控制五要素即內部環境、控制活動、信息與溝通、風險評估、內部監督等方面的風險、控制活動、控制活動相關部門和人員、控制活動相關表單和單據、控制相關制度等進行了描述，對完善企業內部控制制度，進一步規范公司內部各個管理層次相關業務流程，分解和落實責任，控制企業風險，保證財務報告真實性，確保企業資產安全高效運行具有較強的現實意義。

(4)業務流程圖

A公司在修訂制度的同時，對每一個關鍵業務設計了業務流程圖，與制度內容相配合，經過制度委員會審議通過，力求使各項業務，特別是跨部門業務的處理過程更易于閱讀和理解，提升流程的合理性和可操作性，使內部管理更加優質高效。

4.第二輪測試

A公司主要針對年末發生的控制及上一輪測試發現的缺陷整改結果進行測試，除此之外，A公司除對報告期內發現的內部控制缺陷，將通過編制《內部控制缺陷認定表》，對內部控制缺陷的成因、表現形式和影響程度進行綜合分析和全面復核，提出認定意見和改進建議，制定內控缺陷整改方案，采取相應的整改措施，包括采取補償性控制措施及修訂、完善內控制度，編制《內部控制缺陷認定匯總表》，明確整改責任部門和責任人，整改完成時間，督促相關部門落實整改，確保整改到位。

5.形成自評報告

A公司披露了2012年度內部控制自我評估報告，報告對2012年內部控制體系建立的目標、措施和成效做了陳述，承諾截至2012年12月31日，公司對納入評價范圍的業務與事項均已建立了內部控制，并得以有效執行，達到了公司內部控制的目標，不存在重大缺陷和重要缺陷。A公司聘請的會計師事務所已對公司財務報告相關內部控制的有效性進行了審計，出具了審計意見。

(二)內部控制體系的持續改進

內部控制是一個不斷循環的、優化的過程，我們應當根據法律法規的調整、內外部監管環境的變化、公司業務的發展對制度、程序和措施進行持續改進，使其能夠與各種變化相適應，切實發揮其風險防控的作用。

1、加強內部控制業務培訓，提高認識

一方面積極參加內部控制建設培訓，加深對內部控制認識和理解；另一方面邀請專家結合公司實際講授內部控制相關知識，進一步提高全員風險意識和內部控制主動意識。

2、修訂完善制度，持續改進內控體系

根據內外部環境變化和公司實際需要，將不適用制度進行了廢止或者修改，及時修訂和完善公司內部控制制度,優化業務流程,并加強對內部控制制度設計有效性和運行有效性的檢查、監督和整改工作,持續改進內部控制體系。

3、定期自我測評，跟蹤缺陷整改

每年組織進行一次內部控制自我評價，對內控缺陷進行認定，對前期發現的缺陷進行跟蹤監督，確保整改落到實處。

三、實施效果

(一)制度體系不斷完善

不斷的修訂和完善使各項制度更適應公司實際情況，充分發揮制度管理的作用。

(二)缺陷整改成效顯著

經過幾年時間的內部控制建設，公司財務報告及非財務報告內部控制均不存在內部控制重大缺陷和重要缺陷。針對本報告期內存在的一般性控制缺陷，評價小組向董事會及經理層進行了匯報，并責成相關職能部門制定整改方案，落實相應的整改措施，明確界定了整改責任人及整改時限。經過落實整改，總體完成控制目標的實現。

(三)有效降低管理風險

首先，通過內部自我評價和外部機構風險評估，明確了當前存在的各種缺陷及潛在風險，使公司管理層充分認識內控管理體系建設的必要性，推動建設進度和深度；其次，通過制度建設和編制內控手冊，明確了組織機構的職責分工和管理責任，使公司和員工在應對風險時有依據、有預案、有歸屬，及時、有效的防范和處理風險；最后，內控管理體系的建立和不斷完善的過程，提高了管理層和員工對風險的敏感度，提高了識別風險的能力，進一步降低管理風險。