摘要:2008年以来,财政部等五部委相继出台《企业内部控制基本规范》和相关配套指引,对中央企业、上市公司建立健全内部控制体系做出了要求。我国电力行业正处于快速发展的重要战略时期,电力体制改革不断深化,促进了电力企业间的市场竞争。特别是在当前我国经济增长压力加大、煤炭价格波动幅度扩大、环境保护要求提高的经营环境下,电力企业的利润空间变小、管理难度变大、经营业务更加复杂、经营风险不断显现。如何在电力企业高效、规范地建设内部控制体系,从而达到控制风险、增收节支、提高盈利能力的目的,是企业管理层急需思考和解决的问题。本文围绕这一主题,分析了电力企业内部控制体系构建的操作过程和实施要点,以期为各电力企业提供参考。
一、电力企业内部控制体系构建
(一)电力企业内部控制体系建设阶段及其目标
目前,电力企业内部控制基础较好,体系建设正在积极推进中。体系建设通常可分为四个阶段:分别是内部控制梳理、内部控制优化、内部控制评价和内部控制审计。其中,前三阶段是电力企业内部控制建设的核心工作,由电力企业自身主导完成,而内部控制审计应由外部审计师或内部审计师在电力企业各部门配合下进行,更好地评价内部控制的有效性。
内部控制梳理阶段的工作目标是:在确定梳理范围的基础上,对企业管理现状进行全面、深入了解,包括企业目标、发展规划、业务流程、主要风险点、现有控制措施等。
内部控制优化阶段的工作目标是:就内部控制梳理过程中识别的问题设计整改方案并实施整改,通过内部控制缺陷整改提升内部控制管理水平。
内部控制评价阶段的工作目标是:针对优化后的内部控制体系,通过全面、系统的内部控制评价过程,判断内部控制体系是否能从设计和执行两个层面上保证企业目标的实现,并针对企业目标实现中仍存在较大风险的领域,展开新一轮内部控制体系建设工作。
内部控制审计阶段的工作目标是:对特定时间内部控制的设计与运行的有效性进行审计。
电力企业通过内部控制梳理、内部控制优化、内部控制评价、内部控制审计的全闭环工作过程,可建立起持续、长效的内部控制体系运转机制,有力保障企业目标的实现。
(二)建立电力企业内部控制管理防线
内部控制体系的建设和有效运行需要各部门和员工的全面参与。因此,电力企业可建立内部控制管理三道防线。
1. 各个企业业务单位作为内部控制防线。主要由各个业务单位、业务部门组成,是内部控制与风险管理的第一责任人,通过自我评估、自我检查、自我整改、自我培训来履行业务经营过程中的自我风险控制职能。
大多数电力企业是集团化企业,集团下属单位众多,下属单位包含电力集团大部分的资产和业务,在日常工作中直接面临着各类风险,是电力集团运营和管理的前线。因此,电力企业必须把内部控制防线融入到最小法人单位的部门级业务单位的工作与流程中,按照法律、法规和有关制度、流程的规定,对经营和管理业务流程中的风险主动进行识别、评估和控制,针对薄弱环节及时进行整改,建立防范风险的防线。多数电力集团企业是三级管理体制,业务部门是同级内部控制体系管理架构的防线,对该级业务单元承担着规范管理、严格执行业务流程、防范风险的职责。
2. 内部控制管理部门作为内部控制第二道防线。这是在业务单位、业务部门之上建立的一个更高层次的内部控制责任单位。第二道防线通过制定内部控制和风险管理的政策、标准和要求,为防线提供内部控制和风险管理的方法、流程、工具,促进内部控制和风险管理的一致性和有效性。内控管理部门制订业务检查计划,就防线执行各项规章制度的情况根据内部控制要求开展检查,并监督整改。通过建立内部控制和操作风险管理信息收集、分析和报告制度,评估和监控防线的内部控制和风险状况,对其工作提供指导。
对内部控制体系进行监督评价是内部控制管理部门即第二道防线的重要工作。内部控制管理部门在内部控制体系建设初期,要进行常态化的检查与考核,对重大风险和关键环节要主动参与。而在内部控制系统能够规范运行后,内部控制管理部门可适当减少检查与考核的频率,可邀请其他集团从事内部控制的部门或外部咨询机构来进行互查,以相互借鉴,不断进步。
需要注意的是,要防止内部控制变成内部控制管理部门的专项工作,要让企业员工认识到,内部控制的关键在基层,在管理的最小单位,第二道防线是对内部控制是否起到作用的判断、监督、评价、持续改进的部门。
3. 内部审计作为内部控制第三道防线,由审计部门负责。审计部门通过系统化、规范化的方式,审查内部控制的适当性和有效性,目标是协助董事会和管理层履行职责,确保国家有关经济法律法规、方针政策、监管部门规章的贯彻执行,改善组织运营、有效控制风险、提升企业价值,是内部控制体系的保障手段。
二、建立电力企业内部控制体系的要点
(一)建立内部控制管理机构是内部控制的基础
电力企业应当成立专门的内部控制管理部门或在已有部门中成立具有此类职能的专门机构,具体负责组织协调内部控制的建立、实施及日常运转,该机构应配备适当的人员,明确权责范围,应归属最高管理层管理,并应当具备以下条件:第一,人员要具备内部控制与风险管理专业知识能力;第二,具备确保内部控制体系长效运转的资源配备;第三,具备监督与评价内部控制体系工作的权利,并能够对企业职能部门的工作有直接接触和监督检查的权力;第四,内部控制管理部门应向董事会及下属的审计委员会或最高管理层报告工作。
企业内部控制需由企业董事会、监事会、经理层和全体员工共同实施。董事会不仅要负责企业内部控制机构的建立和有效工作,还要负责内部控制评价报告的真实性。经理层是企业管理的执行层,负责组织领导所在部门的内部控制日常运行。
(二)内部环境建设是内部控制的重点
内部环境是有效实施风险管理的保障,直接影响内部控制体系的执行和公司经营目标及整体战略目标的实现。内部环境包括诚信与道德价值观、组织架构、发展目标、管理理念、社会责任、企业文化、风险管理策略、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等内容。
电力行业作为关系到国计民生的基础产业,安全生产与电能质量不仅涉及到行业自身,而且关系到社会稳定和各用电企业的安全。因此电力行业在内部环境建设中,必须要全面遵守国家安全生产相关法律、法规、标准和规程的规定,要追求人、机、环境、管理等要素优化配置,达到行为规范、设备先进、环境可靠、管理精细、安全高效的管理目标。
(三)风险辨识是内部控制的前提
有效地识别企业面临的风险是内部控制体系建设的前提。电力行业由于长期实行统一领导、垂直垄断、政企合一的管理体制,相对于经营管理创新、增强利润而言,电力企业更加重视安全生产工作,重视社会效益。因此在电力企业的风险管理中,对安全生产的风险识别较为全面,可以借助现有的安全生产管理体系,但对于经营性风险、环境影响因素风险、社会责任风险等要高度重视、重点辨识。
现阶段电力企业风险辨识要重点关注以下方面:一是战略风险,主要表现为电力体制改革风险和境外投资风险。电力体制改革影响着电力企业的经营模式和各电力企业在行业中的地位。由于意识形态、价值取向、政治制度存在差异,境外投资比国内投资具有更为复杂的政治、经济和法律环境。二是市场风险,中国经济形势的整体走向,决定了电力企业的效益,电力企业要作好国家经济形势的市场风险分析,对影响企业效益的关键因素要高度关注。三是运营风险,电力企业特殊的生产环境,决定了安全生产风险是电力行业固有的重大风险,电力企业应始终重视安全生产的风险分析;同时,对经营环境变化引起的企业运营风险也要主动预控。四是财务风险,主要表现为流动性风险。电力行业资金变动趋势明显,要通过分析前几年的资金需求阶段性变化,为电力企业内外部融资提供支持,防止流动资金链断裂危及到企业的生存。五是法律风险,主要表现为环保合规风险。近年来,“雾霾”等污染问题受到社会普遍关注,发电企业成为环境治理的重点领域。随着国家环保标准的提高,电力企业在环保设施技术改造、环境治理方面的投资将逐年增加,一旦违反环保法律法规,电力企业将付出巨额罚款、强制停产或吊销资格等沉重代价。
(四)控制活动是内部控制的体现
电力企业本质上是资源密集型的生产企业,协调调动好企业的各项资源,使电力设备充分发挥效能、产生更大效益是企业的根本追求。相较于电力企业长期形成的安全生产文化,其在经营、投资、抵押担保、业务外包等环节发生经营风险的概率较高,电力企业在进行控制活动分析时,要把经营活动作为重点。
电力企业应识别管理流程中的风险点和控制点,并记录在内部控制文档中。关键控制点是指在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少或不可代替的。确认关键控制点应作为企业控制活动的重点,对其实行全面、严格的管理。要根据内部控制全面性、制衡性、重要性原则,确认控制措施是否符合内控要求。
(五)内部控制评价是内部控制的关键
电力企业内部控制评价的目的是以评价促建设,推动企业内部控制体系的持续优化。内部控制评价是提高企业全体员工对内部控制认识与理解的过程,可促使内部控制更有效地发挥作用,是建立一个完善的内部控制体系所必不可少的环节。
电力企业内部控制评价应由内部控制管理部门牵头,组织相关部门或聘请中介机构组成内部控制评价工作组。工作组人员应当注意吸收企业相关部门的业务骨干参加,选拔时要特别注意人员的专业胜任能力和职业道德素养。工作组成员分工要注意成员负责的评价工作范围与其所在部门的适当分离,确保负责内部控制评价的独立性。内部控制评价工作应直接向董事会和审计委员会报告工作,保证内部控制工作组能够独立行使对内部控制系统建立和运行过程及结果进行监督的权力。
内部控制评价要注意以下几点:一是应当包括内部控制的设计与运行,涵盖企业的各种业务和事项,对实现控制目标的各个方面进行全面、系统、综合的评价;二是在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域,对专业性较强的安全生产规范事项,可组织专家评价;对经营管理、财务领域要重点评价;三是内部控制评价应当准确揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性;四是内部控制评价工作要与部门绩效考核、员工奖金收入挂钩,通过高频率的检查、评价、考核促进企业全员认真开展内部控制工作。
(六)信息化是内部控制的重要手段
电力企业的信息化建设较全面,各类信息系统基本覆盖了管理的各项业务,可以考虑将内部控制固化至信息系统中,提高内部控制管理的效率和效果。有条件的企业要通过建设内部控制监控信息系统,实时监控企业业务流程的规范执行情况,将风险控制关口前移,避免给企业管理带来较大的损失。
在内部控制过程中使用信息系统一是可以统一管理内控评价工作方式、工作规范、工作模板、工作流程,使企业能高效地开展内控评价工作;二是能够将每个内部控制点的责任落实到具体流程负责人的日常工作和绩效考核中,促使流程负责人持续改进完善内部控制流程;三是利用信息系统的监控功能,自动获得内部控制执行的证据,汇总发现的各类问题;四是将管理标准、参数等嵌入到IT系统中,通过软件来实现标准化的节点控制,减少人为干扰,降低成本同时又使内部控制执行到位。