3.1營造良好的內部控制環境
內部控制環境是實施內部控制的根本環境,是企業發展的動力,也是其他風險管理因素實施的基礎,對企業內部控制的建設和實施具有重大影響。可以說,企業的控制環境直接決定了內部控制和風險管理的效率和效果。
(1)深化對內部控制的認識,樹立風險管理的理念。深化對內部控制的認識,首先要突破對傳統內部控制的認識,認識到內部控制並不局限於會計層面,而是包含更高層次的戰略目標。在電力設計企業向多元化經營、工程總承包和海外項目轉型發展的過程中,必須從戰略高度進行風險管理和內部控制。再者,企業的管理層和員工都要有風險管理意識,風險管理意識要貫穿企業的生產經營,包括業務管理、職能管理、質量安全管理等等。風險管理理念的培養可以通過企業領導的示範作用、相關培訓和相關規章制度來實現。
(2)建立法人治理結構,充分發揮各機構的職責。壹個企業的各個層次、各個部門都要有明確的分工,互相監督、互相制約。公司可以通過公司章程的規定和相關激勵約束機制的完善來保障公司制度責任的實現。電力設計企業的最高管理機構應負責內部控制的建立和實施,這壹點非常重要。企業應當設立內部控制和風險管理的建設、監督和管理機構,各機構負責各方面的工作,並相互監督和制約。
5.1完善公司治理結構,為全面風險管理內控體系建設創造良好的內控環境。建立完善的內部控制制度實際上是完善公司治理結構的體現。大多數電力設計企業都設立了內部審計機構,但大多數都在財務總監或總經理的領導下。因此,將電力設計企業內部審計機構升格為公司董事會審計委員會的組成部分或工作部門,將進壹步明確內部審計機構在電力設計企業內部控制中的主體地位。
(3)培養員工的職業道德和能力。企業員工是企業生產經營活動的執行者,員工良好的職業道德可以保證企業經營活動的順利進行,避免舞弊行為的發生。員工的知識和技能必須與其崗位所要求的能力相匹配,這是業務活動和內部控制活動有效運行的基本保證。因此,企業要把誠信等職業道德作為員工的行為準則,建立獎懲機制,加強對員工的再教育,對關鍵崗位實行定期輪崗制度。
3.2設定企業的戰略目標
企業應該根據自己的使命或願景來設定戰略目標,這是企業的最高目標,其他目標都為其服務。根據戰略目標,將企業層層分解,由各個部門實施。戰略目標的制定要考慮企業的風險承受能力,企業實現戰略目標所面臨的風險要在企業的風險承受能力之內。
3.3完善風險管理體系
企業應建立以風險為導向的內部控制體系,只有在企業的各個環節實施風險管理,才能控制風險。完善企業風險管理體系,應註意以下幾點:
第壹,建立風險預警機制。企業應通過目標分析、過程分析等方法識別影響企業目標實現的內外部潛在問題,區分潛在問題是機遇還是風險,明確風險預警標準。風險預警機制的建立對於企業抓住發展機遇、及時評估和應對風險具有重要意義。
第二,建立風險評估體系。企業應當對已識別的風險進壹步分析和評估,分析潛在風險是固有風險還是剩余風險,分析風險發生的可能性和影響,關註重大風險。評估現有內部控制對風險的適用性,以及是否需要額外的程序。評估風險時應註意使用風險組合觀。
第三,建立風險應對機制。風險應對是控制風險的關鍵步驟。風險評估後,企業應根據風險發生的可能性和影響的不同程度采取不同的措施,其中重大風險應予以特別關註。風險應對措施包括避免、減少、承擔和分擔風險。同時,風險應對要考慮成本和效率。
3.4建立良好的控制活動
企業應當建立良好的控制活動,確保管理層為應對風險而采取的各項措施得到有效實施。控制活動貫穿於企業的所有部門、層次和活動之中。控制活動應包括:對員工績效的分析和評估、部門的自我評審、信息處理的控制(包括壹般控制和應用控制)、實物資產的控制、不相容崗位職責的分離。
3.5充分的信息和溝通
企業在運營過程中,應建立信息傳遞和溝通,確保員工了解內部控制,明確職責。同時,通過對外部市場信息、政策信息、客戶信息、競爭對手信息的了解和掌握,通過與各方的溝通,有利於企業及時應對風險,抓住機遇,實現更好的發展。企業可以通過員工手冊和建立信息收集和處理系統來實現這壹點。
3.6建立內部控制監督和評價機制
內部控制的監督和評價是保證內部控制制度有效實施的重要手段,同時有利於企業管理層及時了解內部控制存在的問題,為內部控制的改進提供建議,有利於內部控制制度的不斷完善,從而幫助企業控制各種風險。內部控制監督評價機制的建立主要包括內部和外部兩個方面:
首先,企業應建立獨立、權威的內部審計機構。內部審計機構的設立應與其他職能部門相分離。內部審計機構應有權執行審計決定和審計結論,可以建立由董事會或監事會領導的獨立性和權威性較強的內部審計機構。內部審計不應僅限於對財務報表的審計,而應全面監督和評價企業資質內部控制制度,包括對企業的財務信息、經營活動和控制活動進行審計和評價。同時,要提高內部審計人員的職業道德和素質,形成不同崗位之間相互檢查和監督的機制。
第二,完善外部監督和評估。由於內部審計主要對企業領導負責,具有先天的局限性,可能導致壹些控制缺陷在權力的幹預下被掩蓋,不利於企業內部控制的完善。因此,通常需要壹個獨立的第三方來參與對企業的監督和評價,以實現監督職能。首先,要完善內部控制信息披露制度,讓企業接受政府和社會的廣泛監督。再者,可以借助第三方審計力量,最常見的是聘請註冊會計師定期對企業內部控制的設計和執行情況進行審計和評價,並出具評價報告。這也有利於監督企業內部控制的建設和執行,也有利於及時發現企業內部控制存在的問題。
(2)風險評估
各部門根據企業的發展目標,收集綜合信息確定企業的風險承受能力,根據企業可能面臨的內外部風險,建立以內部控制為基礎的風險評估和控制體系,對企業目標實現有重大影響的關鍵環節進行全面風險評估。為各部門面臨的風險和責任制定內部控制程序。根據內審結果和管理過程中發現的問題,中石化不斷修訂內控手冊,各分公司(子公司)也不斷修訂實施細則。動態風險評估和應對為企業實現目標提供了保障。
(3)控制活動
中國石化的控制措施包括:不相容職務分離控制、授權審批控制(以授權指引為中心)、會計系統控制(已建立統壹的財務管理信息系統)、資金支付控制、財產保護控制、信息技術控制(由先進的ERP管理信息系統控制)、計劃控制、預算控制(全面預算控制)、合同管理控制、經營分析控制和科學的績效考核控制。人工控制與自動控制相結合,預防控制與發現控制相結合,建立重大風險預警機制和應急處置機制。通過業務控制矩陣定義各控制點的業務目標、風險、責任單位、不相容崗位、記錄和文件,為內部控制責任的落實提供指導。風險描述體現了全面風險管理的內部控制要求。
中國石化的內部控制手冊確保了內部控制活動。內部控制手冊包括采購、資產、信息管理、內部審計等18大類,59個業務流程,涵蓋了企業管理活動的方方面面。
(4)信息和通信
中國石化采用先進的ERP管理信息系統、會計系統、資金集中管理系統、全面預算管理系統和各項業務管理系統,實行財務信息系統集中管理。系統允許所有業務部門人員的業務操作統壹在ERP系統上。企業錄入業務數據後,生產和銷售環節會根據相應的業務流程生成相關信息,並發送到公司總部的數據庫進行監控和分析。中國石化制定了相關管理辦法和業務流程,從通用控制和應用控制兩個方面對信息系統進行規範和控制。企業不斷完善信息收集機制和信息溝通平臺,內部控制手冊也有相應的規定,保證部門之間、部門與分支機構或子公司之間、管理層與外界的溝通順暢。中國石油按照相關法律法規定期進行信息披露,對外信息披露由董事會和總裁辦審核。
(五)內部監督
中石化成立了審計委員會對財務報告和內部控制進行審查,審計部門定期對分支機構和子公司進行獨立審查。企業建立了雙極內控日常監督機制,雙極評價是指總部的全面檢查和分支機構、子公司的自查測試。總部的全面檢查主要是內部控制領導小組的年度全面檢查,以及審計部門對至少25家分支機構(子公司)的獨立檢查,以及對總部的檢查。分公司和子公司的自檢測試工作主要是企業通過部門過程測試和有審計參與的綜合檢查評估進行的自檢測試,以及總部部門的自檢和抽查評估。除了日常監督,中國石化還建立了對內部控制壹些主要方面的監督檢查。
此外,中國石化制定了《中國石化監管制度匯編》,完善了企業反欺詐體系。通過設定內部控制執行指標來評價內部控制。每年定期對內部控制的設計和執行情況進行評價,出具內部控制自我評價報告,對外披露,接受外界的廣泛監督,聘請外部註冊會計師對財務報告內部控制進行審計。
4.4中國石化內部控制評價
中國石化制定了《內部控制檢查評價考核辦法》和《企業內部控制評價指引》。並根據內控手冊,檢查內控設計是否健全;根據內部控制手冊的適用內容和範圍,檢查內部控制實施的合規性和有效性。中國石化主要通過識別內部控制缺陷和量化得分對內部控制進行自我評價。從內部控制要素、全面檢查業務流程、單位自查等方面對內部控制進行評價,並制定規範的內部控制自我評價流程圖,以規範評價,保證評價的公正性。
4.5中國石化內部控制實施以來的效果
自2005年實施內部控制以來,中國石化不僅提高了管理水平,也增強了盈利能力。具體來說,中國石化制度化管理體系不斷完善,逐步形成了以內部控制為保障的具有中國石化特色的制度化管理體系。不僅提高了企業的抗風險能力,保證了企業目標的實現,也為國內其他企業建立內部控制樹立了榜樣。中國石化的管理水平不斷提高。中國石油實行統壹的物資采購管理,規範企業物資采購,為企業節約物資成本。建立了原材料等產品的消耗標準,使企業的生產經營管理日益精細化。通過IT風險控制體系的建立,企業的風險能力日益增強。內部控制及其審計提高了審計的效率和效果,提高了企業的管理水平。內部控制的實施加快了企業規章制度的建立,明確了企業、部門、崗位的責任和權力,規範了業務操作流程,也提高了企業的管理效率和水平。中國石化內部控制的實施符合外部監管的要求。作為壹家在境內外三地上市的公司,中國石化內部控制的實施和披露符合各上市地的要求,內部控制自實施以來不斷完善。內部控制的實施不斷優化了中國石化的內部環境。內部控制的實施保障了公司的體制改革,完善了公司治理結構,統壹和落實了企業文化。《員工守則》的制定,規範了員工的行為,也讓風險管理、誠信經營的理念深入人心。