企业内部控制和风险管理要点
3.1营造良好的内部控制环境
内部控制环境是实施内部控制的根本环境,是企业发展的动力,也是其他风险管理因素实施的基础,对企业内部控制的建设和实施具有重大影响。可以说,企业的控制环境直接决定了内部控制和风险管理的效率和效果。
(1)深化对内部控制的认识,树立风险管理的理念。深化对内部控制的认识,首先要突破对传统内部控制的认识,认识到内部控制并不局限于会计层面,而是包含更高层次的战略目标。在电力设计企业向多元化经营、工程总承包和海外项目转型发展的过程中,必须从战略高度进行风险管理和内部控制。再者,企业的管理层和员工都要有风险管理意识,风险管理意识要贯穿企业的生产经营,包括业务管理、职能管理、质量安全管理等等。风险管理理念的培养可以通过企业领导的示范作用、相关培训和相关规章制度来实现。
(2)建立法人治理结构,充分发挥各机构的职责。一个企业的各个层次、各个部门都要有明确的分工,互相监督、互相制约。公司可以通过公司章程的规定和相关激励约束机制的完善来保障公司制度责任的实现。电力设计企业的最高管理机构应负责内部控制的建立和实施,这一点非常重要。企业应当设立内部控制和风险管理的建设、监督和管理机构,各机构负责各方面的工作,并相互监督和制约。
5.1完善公司治理结构,为全面风险管理内控体系建设创造良好的内控环境。建立完善的内部控制制度实际上是完善公司治理结构的体现。大多数电力设计企业都设立了内部审计机构,但大多数都在财务总监或总经理的领导下。因此,将电力设计企业内部审计机构升格为公司董事会审计委员会的组成部分或工作部门,将进一步明确内部审计机构在电力设计企业内部控制中的主体地位。
(3)培养员工的职业道德和能力。企业员工是企业生产经营活动的执行者,员工良好的职业道德可以保证企业经营活动的顺利进行,避免舞弊行为的发生。员工的知识和技能必须与其岗位所要求的能力相匹配,这是业务活动和内部控制活动有效运行的基本保证。因此,企业要把诚信等职业道德作为员工的行为准则,建立奖惩机制,加强对员工的再教育,对关键岗位实行定期轮岗制度。
3.2设定企业的战略目标
企业应该根据自己的使命或愿景来设定战略目标,这是企业的最高目标,其他目标都为其服务。根据战略目标,将企业层层分解,由各个部门实施。战略目标的制定要考虑企业的风险承受能力,企业实现战略目标所面临的风险要在企业的风险承受能力之内。
3.3完善风险管理体系
企业应建立以风险为导向的内部控制体系,只有在企业的各个环节实施风险管理,才能控制风险。完善企业风险管理体系,应注意以下几点:
第一,建立风险预警机制。企业应通过目标分析、过程分析等方法识别影响企业目标实现的内外部潜在问题,区分潜在问题是机遇还是风险,明确风险预警标准。风险预警机制的建立对于企业抓住发展机遇、及时评估和应对风险具有重要意义。
第二,建立风险评估体系。企业应当对已识别的风险进一步分析和评估,分析潜在风险是固有风险还是剩余风险,分析风险发生的可能性和影响,关注重大风险。评估现有内部控制对风险的适用性,以及是否需要额外的程序。评估风险时应注意使用风险组合观。
第三,建立风险应对机制。风险应对是控制风险的关键步骤。风险评估后,企业应根据风险发生的可能性和影响的不同程度采取不同的措施,其中重大风险应予以特别关注。风险应对措施包括避免、减少、承担和分担风险。同时,风险应对要考虑成本和效率。
3.4建立良好的控制活动
企业应当建立良好的控制活动,确保管理层为应对风险而采取的各项措施得到有效实施。控制活动贯穿于企业的所有部门、层次和活动之中。控制活动应包括:对员工绩效的分析和评估、部门的自我评审、信息处理的控制(包括一般控制和应用控制)、实物资产的控制、不相容岗位职责的分离。
3.5充分的信息和沟通
企业在运营过程中,应建立信息传递和沟通,确保员工了解内部控制,明确职责。同时,通过对外部市场信息、政策信息、客户信息、竞争对手信息的了解和掌握,通过与各方的沟通,有利于企业及时应对风险,抓住机遇,实现更好的发展。企业可以通过员工手册和建立信息收集和处理系统来实现这一点。
3.6建立内部控制监督和评价机制
内部控制的监督和评价是保证内部控制制度有效实施的重要手段,同时有利于企业管理层及时了解内部控制存在的问题,为内部控制的改进提供建议,有利于内部控制制度的不断完善,从而帮助企业控制各种风险。内部控制监督评价机制的建立主要包括内部和外部两个方面:
首先,企业应建立独立、权威的内部审计机构。内部审计机构的设立应与其他职能部门相分离。内部审计机构应有权执行审计决定和审计结论,可以建立由董事会或监事会领导的独立性和权威性较强的内部审计机构。内部审计不应仅限于对财务报表的审计,而应全面监督和评价企业资质内部控制制度,包括对企业的财务信息、经营活动和控制活动进行审计和评价。同时,要提高内部审计人员的职业道德和素质,形成不同岗位之间相互检查和监督的机制。
第二,完善外部监督和评估。由于内部审计主要对企业领导负责,具有先天的局限性,可能导致一些控制缺陷在权力的干预下被掩盖,不利于企业内部控制的完善。因此,通常需要一个独立的第三方来参与对企业的监督和评价,以实现监督职能。首先,要完善内部控制信息披露制度,让企业接受政府和社会的广泛监督。再者,可以借助第三方审计力量,最常见的是聘请注册会计师定期对企业内部控制的设计和执行情况进行审计和评价,并出具评价报告。这也有利于监督企业内部控制的建设和执行,也有利于及时发现企业内部控制存在的问题。
(2)风险评估
各部门根据企业的发展目标,收集综合信息确定企业的风险承受能力,根据企业可能面临的内外部风险,建立以内部控制为基础的风险评估和控制体系,对企业目标实现有重大影响的关键环节进行全面风险评估。为各部门面临的风险和责任制定内部控制程序。根据内审结果和管理过程中发现的问题,中石化不断修订内控手册,各分公司(子公司)也不断修订实施细则。动态风险评估和应对为企业实现目标提供了保障。
(3)控制活动
中国石化的控制措施包括:不相容职务分离控制、授权审批控制(以授权指引为中心)、会计系统控制(已建立统一的财务管理信息系统)、资金支付控制、财产保护控制、信息技术控制(由先进的ERP管理信息系统控制)、计划控制、预算控制(全面预算控制)、合同管理控制、经营分析控制和科学的绩效考核控制。人工控制与自动控制相结合,预防控制与发现控制相结合,建立重大风险预警机制和应急处置机制。通过业务控制矩阵定义各控制点的业务目标、风险、责任单位、不相容岗位、记录和文件,为内部控制责任的落实提供指导。风险描述体现了全面风险管理的内部控制要求。
中国石化的内部控制手册确保了内部控制活动。内部控制手册包括采购、资产、信息管理、内部审计等18大类,59个业务流程,涵盖了企业管理活动的方方面面。
(4)信息和通信
中国石化采用先进的ERP管理信息系统、会计系统、资金集中管理系统、全面预算管理系统和各项业务管理系统,实行财务信息系统集中管理。系统允许所有业务部门人员的业务操作统一在ERP系统上。企业录入业务数据后,生产和销售环节会根据相应的业务流程生成相关信息,并发送到公司总部的数据库进行监控和分析。中国石化制定了相关管理办法和业务流程,从通用控制和应用控制两个方面对信息系统进行规范和控制。企业不断完善信息收集机制和信息沟通平台,内部控制手册也有相应的规定,保证部门之间、部门与分支机构或子公司之间、管理层与外界的沟通顺畅。中国石油按照相关法律法规定期进行信息披露,对外信息披露由董事会和总裁办审核。
(五)内部监督
中石化成立了审计委员会对财务报告和内部控制进行审查,审计部门定期对分支机构和子公司进行独立审查。企业建立了双极内控日常监督机制,双极评价是指总部的全面检查和分支机构、子公司的自查测试。总部的全面检查主要是内部控制领导小组的年度全面检查,以及审计部门对至少25家分支机构(子公司)的独立检查,以及对总部的检查。分公司和子公司的自检测试工作主要是企业通过部门过程测试和有审计参与的综合检查评估进行的自检测试,以及总部部门的自检和抽查评估。除了日常监督,中国石化还建立了对内部控制一些主要方面的监督检查。
此外,中国石化制定了《中国石化监管制度汇编》,完善了企业反欺诈体系。通过设定内部控制执行指标来评价内部控制。每年定期对内部控制的设计和执行情况进行评价,出具内部控制自我评价报告,对外披露,接受外界的广泛监督,聘请外部注册会计师对财务报告内部控制进行审计。
4.4中国石化内部控制评价
中国石化制定了《内部控制检查评价考核办法》和《企业内部控制评价指引》。并根据内控手册,检查内控设计是否健全;根据内部控制手册的适用内容和范围,检查内部控制实施的合规性和有效性。中国石化主要通过识别内部控制缺陷和量化得分对内部控制进行自我评价。从内部控制要素、全面检查业务流程、单位自查等方面对内部控制进行评价,并制定规范的内部控制自我评价流程图,以规范评价,保证评价的公正性。
4.5中国石化内部控制实施以来的效果
自2005年实施内部控制以来,中国石化不仅提高了管理水平,也增强了盈利能力。具体来说,中国石化制度化管理体系不断完善,逐步形成了以内部控制为保障的具有中国石化特色的制度化管理体系。不仅提高了企业的抗风险能力,保证了企业目标的实现,也为国内其他企业建立内部控制树立了榜样。中国石化的管理水平不断提高。中国石油实行统一的物资采购管理,规范企业物资采购,为企业节约物资成本。建立了原材料等产品的消耗标准,使企业的生产经营管理日益精细化。通过IT风险控制体系的建立,企业的风险能力日益增强。内部控制及其审计提高了审计的效率和效果,提高了企业的管理水平。内部控制的实施加快了企业规章制度的建立,明确了企业、部门、岗位的责任和权力,规范了业务操作流程,也提高了企业的管理效率和水平。中国石化内部控制的实施符合外部监管的要求。作为一家在境内外三地上市的公司,中国石化内部控制的实施和披露符合各上市地的要求,内部控制自实施以来不断完善。内部控制的实施不断优化了中国石化的内部环境。内部控制的实施保障了公司的体制改革,完善了公司治理结构,统一和落实了企业文化。《员工守则》的制定,规范了员工的行为,也让风险管理、诚信经营的理念深入人心。