风险防控导向内控管理体系研究与应用
——以A供电公司为例

李汶瑾

(重庆市生态环境科学研究院 重庆 400000)

一、研究背景

(一)外部监管的要求

2012年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，发布了《企业内部控制配套指引》。该配套指引连同2008年5月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系。内部控制的核心即是风险管理，通过风险管理达到合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略等目标(方红星等,2015)。国务院国资委2006年6月6日发布了《中央企业全面风险管理指引》，要求所有的中央企业根据实际情况推行企业风险管理工作。国务院国资委和财政部在2012年5月11日联合发布《关于加快构建中央企业内部控制体系有关事项的通知》等要求。外部监管要求公司全面完成部控制体系建设，建立风险评估机制与内控评价机制，定期编报全面风险管理与内控评价报告，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。

(二)依法治企的要求

同时随着电力体制改革深入推进，发改委、物价部门及能源主管部门等对公司电网投资和价格监管，将由“先投资、再算价格”的事后监管转变为“先算价格、再投资”的事前监管，成本监审更加严格、更加频繁，公司投资、成本、收入等环节要求进一步公开透明，积极适应监管新要求。

(三)风险防控的要求

“十三五”期间，经济增速放缓、经济结构调整、增长动力转变等新常态发展趋势将延续。市场环境趋于恶化，客户资金紧张，应收款项回款困难；国资委要求效益持续提升，利润增长压力较大。同时从公司内部管理现状来看，一些“发热点”、“出血点”没有完全消除，这些都将导致公司经营风险持续增大，需要公司进一步完善内控制度，提高经营风险应对能力。

二、内涵和主要措施

2012年，A公司首次进行内控管理体系建设，以保证合规为目标，主要在外部专业机构指导下进行内部控制管理体系建设，将外部评价与自我评价相结合，既能提高评价的全面性和评价质量，又能选择符合企业目标的控制行为(戴彦，2006)。A公司从组织机构调整、制度全面建设、编制内控手册以及梳理业务流程图几个方面建立起内控体系的整体框架。公司在企业年度报告中对内控情况作了整体汇报，对《年度内部控制自我评估报告》进行了披露。

2013年至今，A公司以持续完善内控管理体系为目标，开展由内审部门牵头，业务部门配合的内控自评，对缺陷进行认定和跟踪整改，并以此为切入点，结合内外部环境和政策变化对相关制度和业务流程进行修订。公司在企业年度报告中对内控情况作了整体汇报，同时披露了《年度内部控制自我评估报告》和由外部审计机构出具的《内部控制审计报告》。

(一)内部控制体系建设

2012年公司进行内控管理体系建设，经过两轮内控自评对当前公司层面内部控制和业务流程层面内部控制的涉及和执行情况进行全面评价。根据评估情况同步进行流程梳理，通过建立控制制度体系、设计业务流程图、制定考核标准，保证内部控制体系有效运行。

1.评价准备阶段

截止2012年3季度，A公司内控自评准备阶段工作基本完成，一是制定了评价实施方案；二是准备评价工作底稿模板。

(1)内控自我评价方案

A公司制定了《年度企业内控自我评价实施方案》，把内控工作组织结构、评价范围和内容、评价的程序与工作计划等在方案中进行了明确。

一是公司董事会授权审计部负责内部控制评价的具体组织实施工作，对纳入评价范围的高风险领域进行评价。公司按照《企业内部控制基本规范》等制度规定要求，成立了内部控制领导小组，下设内部控制工作小组和内部控制评价小组。

为保证内部控制体系建设的专业性、有效性，A公司聘请了中介机构提供内部控制咨询服务及协助开展2012年度内控自我评价工作。

二是确定了内部控制评价内容涉及公司层面和业务流程层面两个方面。公司层面的内部控制即内部控制的五要素，包括内部环境、风险评估、信息与沟通、内部监督和信息系统总体控制。业务流程层面的内部控制主要涉及经营管理中主要业务流程的各项控制活动，包括：资金管理、资产管理、存货管理、采购管理、销售管理、工程项目管理、担保管理、财务报告及信息披露、合同管理、预算管理等。

三是确定了评价方法。内控自我评价需要根据控制的性质以及专业判断以决定适当的评价方法，并综合运用评价方法，充分收集相关证据，以评价内部控制设计和运行是否有效，并研究分析内控控制缺陷。

(2)企业风险评估

公司聘请中介机构对企业风险进行初估并出具《企业风险评估调研报告》和《内部控制体系建设项目问题发现总结报告》。通过风险评估，使后续自我评价测试更具有针对性，能够更有效的挖掘内部控制中存在的缺陷并进行整改，以确保重要风险得到有效控制。

《企业风险评估调研报告》指出公司在控制环境、人力资源、工程管理、社会责任、资金活动等方面存在风险，其中主要风险点需要立即采取应对措施；次要风险点可以通过内部控制进行消除，并实时关注；低风险点可暂不予以考虑。

《内部控制体系建设项目问题发现总结报告》对公司层面(主要包括反舞弊程序、人力资源管理、文化建设、发展战略、组织架构、董事会及下属委员会/内部审计、社会责任、公司政策与法律法规、信息与沟通、信息技术环境)和流程层面(主要包括自己运营、工程项目、合同管理、销售管理、采购管理、资产管理、财务报告、信息技术管理)进行了内部控制评估，对其在内部环境(发展战略、组织架构、人力资源)、风险评估、控制活动(资金活动、工程项目、采购管理、销售管理、资产管理、合同管理、财务报告)、信息与沟通、内部监督五个要素中存在的典型问题进行的详细描述，并提出建议。

(3)准备评价工作底稿模板

按照《企业内部控制配套指引》和《企业内部控制基本规范》，同时考虑本身的适应性，A公司针对公司层面和业务层面均设计了内部控制自我评价测试工作底稿模板。

模板对每一层面中所涉及流程进行了归纳，每一流程下引用了相关指引对该流程的控制要求，列示了可能存在的风险。在接下来的自我评价测试中，通过询问、观察、检查等方式测试公司的各项流程，在表中反映“现有控制描述”、“控制相关制度”、“控制点发生频率”、“控制类型”等要素，并对其内控设计有效性和内控运行有效性进行评价。

2.第一轮测试

A公司考虑了《企业风险评估调研报告》和《内部控制体系建设项目问题发现总结报告》所反映出的问题，设计控制点，并有侧重的进行测试。

A公司对每一个控制点的设计有效性和运行有效性进行测试，测试容包括现有控制情况、频率、样本描述等。在测试中，并不是所有的控制点都能通过测试，部分在内控设计有效性评价或内控运行有效性评价方面存在缺陷，需要进行缺陷整改。

3.梳理流程

A公司对评价发现的内部控制缺陷，及时分析缺陷性质和产生的原因，并按照成因分为设计缺陷和运行缺陷。对于设计缺陷，从企业组织机构设计和内部的管理制度入手查找原因，对组织机构重新进行设计，对管理制度及时进行新增修订，并同时改进内部控制体系的设计，弥补设计缺陷的漏洞；对于运行缺陷，则分析出现的原因，查清责任人，并有针对性地进行整改。

A公司 将第一轮测试发现的缺陷梳理汇总，反馈给相关业务部门，要求业务部门在按照公司统一的流程梳理安排的同时，结合缺陷整改表内容，完成缺陷整改。

(1)组织机构调整

A公司结合实际情况，按照集约化、扁平化、专业化的要求对内部机构进行调整。制订或修订部门职责文件、安全责任书等，明确了各部门的职责权限和相互之间的责权关系，形成各司其职、各负其责、相互协调、相互制约的部门工作机制，也使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。

通过机构调整，达到完善公司组织管理体系，改善劳动组织方式，优化人力资源配置的目的。

(2)制度建设

A公司设立了制度建设委员会，委员会由办公室担任组长，业务部门作为成员，对制度建设的全过程进行监督、审查。委员会要求个业务部门按照《企业内部控制基本规范》及配套指引中要求企业应建立的制度清单，同时参考系统内其他单位管理标准和技术标准，结合公司实际梳理出公司适用的制度清单，对现有制度制定新增、修订、废除计划。制度委员会每周组织召开一次制度审查会，按业务部门报送的制度建设计划对新增和修订。

通过制度建设，公司将风险管理融入到日常管理之中，对所面临的政策风险、行业风险、技术风险、经营风险、财务风险等内外部风险均进行充分的评估，结合公司风险承受度进行详尽分析，权衡风险与收益，确定风险应对策略，做到风险可控。

通过制度建设，公司主要经营活动都有相应的控制政策和程序进行规范，包括授权审批控制、不相容职务相互分离控制、凭证与记录控制、财产保护控制、独立稽查控制、风险控制等。

(3)内控手册

A公司编制了《内部控制手册》，对内部控制五要素即内部环境、控制活动、信息与沟通、风险评估、内部监督等方面的风险、控制活动、控制活动相关部门和人员、控制活动相关表单和单据、控制相关制度等进行了描述，对完善企业内部控制制度，进一步规范公司内部各个管理层次相关业务流程，分解和落实责任，控制企业风险，保证财务报告真实性，确保企业资产安全高效运行具有较强的现实意义。

(4)业务流程图

A公司在修订制度的同时，对每一个关键业务设计了业务流程图，与制度内容相配合，经过制度委员会审议通过，力求使各项业务，特别是跨部门业务的处理过程更易于阅读和理解，提升流程的合理性和可操作性，使内部管理更加优质高效。

4.第二轮测试

A公司主要针对年末发生的控制及上一轮测试发现的缺陷整改结果进行测试，除此之外，A公司除对报告期内发现的内部控制缺陷，将通过编制《内部控制缺陷认定表》，对内部控制缺陷的成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见和改进建议，制定内控缺陷整改方案，采取相应的整改措施，包括采取补偿性控制措施及修订、完善内控制度，编制《内部控制缺陷认定汇总表》，明确整改责任部门和责任人，整改完成时间，督促相关部门落实整改，确保整改到位。

5.形成自评报告

A公司披露了2012年度内部控制自我评估报告，报告对2012年内部控制体系建立的目标、措施和成效做了陈述，承诺截至2012年12月31日，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行，达到了公司内部控制的目标，不存在重大缺陷和重要缺陷。A公司聘请的会计师事务所已对公司财务报告相关内部控制的有效性进行了审计，出具了审计意见。

(二)内部控制体系的持续改进

内部控制是一个不断循环的、优化的过程，我们应当根据法律法规的调整、内外部监管环境的变化、公司业务的发展对制度、程序和措施进行持续改进，使其能够与各种变化相适应，切实发挥其风险防控的作用。

1、加强内部控制业务培训，提高认识

一方面积极参加内部控制建设培训，加深对内部控制认识和理解；另一方面邀请专家结合公司实际讲授内部控制相关知识，进一步提高全员风险意识和内部控制主动意识。

2、修订完善制度，持续改进内控体系

根据内外部环境变化和公司实际需要，将不适用制度进行了废止或者修改，及时修订和完善公司内部控制制度,优化业务流程,并加强对内部控制制度设计有效性和运行有效性的检查、监督和整改工作,持续改进内部控制体系。

3、定期自我测评，跟踪缺陷整改

每年组织进行一次内部控制自我评价，对内控缺陷进行认定，对前期发现的缺陷进行跟踪监督，确保整改落到实处。

三、实施效果

(一)制度体系不断完善

不断的修订和完善使各项制度更适应公司实际情况，充分发挥制度管理的作用。

(二)缺陷整改成效显著

经过几年时间的内部控制建设，公司财务报告及非财务报告内部控制均不存在内部控制重大缺陷和重要缺陷。针对本报告期内存在的一般性控制缺陷，评价小组向董事会及经理层进行了汇报，并责成相关职能部门制定整改方案，落实相应的整改措施，明确界定了整改责任人及整改时限。经过落实整改，总体完成控制目标的实现。

(三)有效降低管理风险

首先，通过内部自我评价和外部机构风险评估，明确了当前存在的各种缺陷及潜在风险，使公司管理层充分认识内控管理体系建设的必要性，推动建设进度和深度；其次，通过制度建设和编制内控手册，明确了组织机构的职责分工和管理责任，使公司和员工在应对风险时有依据、有预案、有归属，及时、有效的防范和处理风险；最后，内控管理体系的建立和不断完善的过程，提高了管理层和员工对风险的敏感度，提高了识别风险的能力，进一步降低管理风险。