财政部关于印发《电力行业内部控制操作指南》的通知
历史沿革
2014年12月23日 财政部关于印发《电力行业内部控制操作指南》的通知 财会〔2014〕31号 2014年12月23日 执行
正文
中共中央直属机关事务管理局,国家机关事务管理局,解放军总后勤部,武警部队后勤部,各省、自治区、直辖市、计划单列市财政厅(局),新疆生产建设兵团财务局,有关企业:
为推动电力行业企业有效实施企业内部控制规范体系,进一步提升电力企业经营管理水平和风险防范能力,根据国家有关法律法规、《企业内部控制基本规范》(财会〔2008〕7号)及《企业内部控制配套指引》(财会〔2010〕11号)等相关规定,财政部制定了《电力行业内部控制操作指南》,现予印发。
《电力行业内部控制操作指南》属于参考性文件,供电网企业、发电企业、电力建设企业、电力设计企业和其他辅助性电力企业开展内部控制体系的建立、实施、评价与改进工作中参考使用。由于电力行业包含发电、输电、配电、变电、电力建设、电力设计及电力辅助等多个环节,产业链覆盖电网、发电、电力建设、电力设计等多类企业,业态分布广泛,管控模式各不相同。各电力企业可以参考本指南提供的基本思路,结合内外部环境、发展阶段和业务规模等因素,探索建立并实施符合本企业实际的内部控制体系及内部控制操作手册。涉及境外投资的,还应满足所在国或地区法律法规及有关监管要求。
执行中有何问题,请及时反馈我们。
附件:电力行业内部控制操作指南
电力行业内部控制操作指南
前言
为推动电力行业企业有效实施企业内部控制规范体系,切实提升电力企业经营管理水平和风险管控能力,促进我国电力事业科学健康发展,特制定《电力行业内部控制操作指南》(以下简称《指南》)。
《指南》依据国家有关法律法规、《企业内部控制基本规范》(财会〔2008〕7号)及《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》等相关规定编制而成。在对我国电力行业历史沿革、发展趋势、产业特点和管理现状等作深入分析的基础上,《指南》科学规划了电力企业内部控制体系建设路线图及实施方案。在总结发电、输配电、变电、电力建设、电力设计和其他电力辅助产业等全产业链管理经验的基础上,《指南》系统提出了建立以内部控制环境建设为基础,以风险管理控制为导向,以控制活动为手段,以信息与沟通为桥梁,以内部监督为促进的闭环运行的电力企业内部控制体系。
《指南》包括七章,分别为:
第一章:电力行业基本情况与内部控制建设背景。第一章介绍了电力行业基本情况以及电力发展趋势,简述电力行业内部控制的建设背景。
第二章:内部控制体系建设与运行。在对电力行业深入分析的基础上,第二章科学规划了电力行业内部控制体系建设路线图与建设阶段。电力行业内部控制体系建设将遵循由财务报告内部控制向全面内部控制发展的路径,包括内部控制体系建设、内部控制评价与审计、内部控制体系持续改进与优化三方面的内容。
第三章:内部环境。第三章结合电力行业面临的内外部影响因素以及电力行业特点,分析了电力企业在组织架构、发展战略、人力资源、社会责任、企业文化、反舞弊管理等内部控制环境建设中应关注的要点及管理措施。
第四章:风险评估。第四章介绍了风险评估的概念、程序与方法。电力企业应从目标识别出发,在内部和外部两个层面,经过建立基础、目标设置与分解、风险识别、风险分析、风险评价及风险应对等程序,综合运用定性与定量的方法,全面评估风险,为风险管理提供依据。本章还列示了当前电力行业面临的主要内外部风险,并对其中最具有行业特色的风险提出应对策略。
第五章:信息与沟通。第六章深入分析了电力企业内部信息传递、信息系统日常运营的特点,对电力企业在内部信息传递、信息系统管理中存在的风险进行说明,并提出控制措施和监督评价要点。
第六章:内部监督。电力企业内部控制监督包括日常监督和专项监督,其中,开展内部控制评价是内部监督的普遍做法和重要形式。第七章介绍了内部控制评价的对象、原则、组织形式、内容、方法及工作程序等,并结合电力行业特点,重点介绍了内部控制缺陷的标准及认定程序。
《指南》属于参考性文件,供电网企业、发电企业、电力建设企业、电力设计企业和其他辅助性电力企业在内部控制体系的建立、实施、评价与改进过程中参考使用。由于电力行业包含发电、输电、配电、变电、电力建设、电力设计及电力辅助等多个产业环节,产业链覆盖电网、发电、电力建设、电力设计和其他辅助性多类企业,业态分布广泛、管理水平参差不齐。各电力企业可以参考本指南提供的基本思路,结合内部环境、外部环境、发展阶段和业务规模等因素,探索建立并实施适合本企业的内部控制体系及内部控制操作手册。
第一章 电力行业基本情况与内部控制建设背景
第一节 电力行业基本情况
电力行业是我国国民经济的主要能源提供者,是将自然界的一次能源通过各种发电设备转换成电能,再经输电、变电和配电将电能供应到各用户,是关系国计民生的重要基础性产业。电力系统的重要特征是能源的转换与输配。电力的安全、稳定和充分供应,是国民经济全面、协调、可持续发展的重要保障。根据电能的产生和运转方式,电力行业具有发电、输配电、变电等不同生产环节,并形成相应的电力产业链。电力产业链上的主要企业包括电网企业、发电企业、电力建设企业、电力设计企业和其他辅助性企业。
一、我国电力工业发展历程
我国的电力工业始于1882年,至2014年已有132年的历史。在新中国成立前,我国电力工业发展缓慢,至1949年发电装机容量和发电量分别位居世界第21位和第25位,人均用电量仅有9千瓦时。新中国成立后,我国政府将电力工业作为国民经济的先行基础产业,大力发展电力工业,经过大规模的建设,到1978年发电装机容量和发电量分别比1949年增长了29.9倍和58.7倍。
改革开放以来,电力工业不断跨上新台阶。1987年我国发电装机容量突破1亿千瓦;1995年3月发电装机容量超过2亿千瓦;1996年我国装机容量和发电量跃居世界第2位;截至2013年年底,中国发电装机容量已跃居世界第一、达到12.5亿千瓦。
2013年以来,我国电力生产运行安全平稳,电力供需总体平衡,2013年全社会用电量5.32万亿千瓦时,人均用电量达到3911千瓦时。中国的电力工业规模已位居世界第一位,长期困扰我国的电力供应不足矛盾得到缓解,电力系统的安全性、可靠性、经济性和资源配置能力得到全面提高,基本满足经济社会发展的用电需要。截至2013年,水电、核电、风电、太阳能发电等非火电类型发电装机容量比重已超过25%。清洁能源发电增长强劲,地热发电、光伏发电均呈快速增长之势;同时电网发展也实现重大突破。我国自主设计制造的世界上规模最大,集风电、光伏发电、储能、智能输电于一体的新能源综合利用平台投产使用;亚洲首个柔性直流输电工程投入正式运行,标志着我国在智能电网高端装备方面取得重大突破。电网建设成果显著,结束西藏电网长期孤网运行的历史,使我国内地电网全面互联;目前,我国电力工业正从大机组、超高压、西电东送、全国联网的发展阶段,向绿色发电、特高压、智能电网的发展新阶段转变。
二、我国电力行业管理体制的变革
新中国成立后,电力行业管理体制先后经历了军事管制、燃料工业部、电力工业部、水利电力部、国家电力公司和电力监管委员会等数次变革。1949年至1978年,在新中国成立初期,军事管制委员会对电力等基础设施实行管制。在我国确立并实行计划经济体制期间,电力行业政府管制先后经历了燃料工业部、电力工业部、水利电力部三个时期。其中,在燃料工业部和电力工业部时期,对电力行业实行集中管制,建立东北、华北、华东、中南、西南和西北六大区电业管理局,实行统一领导,垂直垄断、政企合一的电力行业管制体系初步形成;在水利电力部时期,管制权利经历两次下放、两次上收,省(市、自治区)电业管理局分别改成电力工业局。1979年至1997年,在我国实行经济体制转轨期间,电力行业管理体制经历了四次变更,包括再次、第三次设立电力工业部,再次设立水利力部,设立能源部。1997年至2002年,在我国实行社会主义市场经济体制期间,电力行业管理体制经历了三次变更,包括成立国家电力公司、设立国家电力监管委员会、设立国家能源委员会。国家能源委员会设立之后,与国家电力监管委员会并行存在。
2002年4月,国务院公布了《电力体制改革方案》,将国家电力公司拆分为十一家公司,成立了中国华能集团公司、中国大唐集团公司、中国华电集团公司、中国国电集团公司、中国电力投资集团公司五家发电集团公司;成立了国家电网公司、中国南方电网有限责任公司两家电网公司;成立了中国电力工程顾问集团公司、中国水电工程顾问集团公司、中国水利水电建设集团公司、中国葛洲坝集团公司四家辅业集团公司。2011年电网企业进一步主辅分离,电力建设、电力设计企业及其他辅业单位从电网企业分离出来,与原有的四家辅业集团公司重新组建为中国电力建设集团公司和中国能源建设集团公司两家电力辅业集团公司。
经过电力体制改革,电力行业的经营效率显著提高,厂网分开基本完成,发电侧全方位竞争格局初步形成,主辅分离显著推进。经过最近十年的快速发展,我国已拥有包括国家电网公司、中国南方电网有限责任公司、中国华能集团公司、中国大唐集团公司、中国华电集团公司、中国国电集团公司、中国电力投资集团公司、中国电力建设集团公司、中国能源建设集团公司、中国核工业集团公司、中国长江三峡集团公司、神华集团有限责任公司、中国广核集团有限公司等13家大型骨干电力企业集团,成为世界上装机规模最大、电网规模最大、发电量最多的国家。
三、我国电力行业的特点 电力系统是由发电、输配电、变电、用电设备及相应的辅助系统组成的,集电能生产、输送、分配、使用为一体的统一整体,可分为发电、输电、系统调度、配电等环节。电力系统运行有即时平衡和整体互动性两个主要特征,即时平衡是指在庞大的互联电网中,电力的生产与消费必须实时平衡,任何背离都会引起电网频率和系统电压波动,导致设备损坏直至整个电网系统瓦解。整体互动是指电力系统中各部分相互影响,关系复杂,连接在一起的电厂、电网和用电器,可以被视为统一的整体系统,任何单一部件的变化都会对整个电力系统产生影响。
1.发电环节。发电环节是指通过各种生产方式将其他能量转化为电能的电力生产环节。按照能源的转换方式,发电方式主要有火力发电、水力发电、核能发电及其他能源发电。火力发电是指利用煤、石油和天然气等化石燃料所释放的能量进行发电。火力发电在我国能源结构一直处于主导地位,在维护电网电压稳定、频率稳定、持续供应等相对其他能源具有更好的特性。水力发电是将水的势能和动能转化为电能的发电方式。水力发电是再生能源,对环境冲击较小,发电效率高,发电成本低,发电起动快,调节容易。核能发电是利用铀原子核裂变时产生的核能转化为热能,再将热能转变为电能的发电方式。其他新能源发电的方式主要有地热发电、风力发电、太阳能发电、海洋能发电、生物质能发电等。
从电力市场竞争角度,发电经营主要考虑三个方面:装机容量、发电量和由电源类别决定的发电成本结构。装机容量决定了发电企业在电力市场中的供给能力,发电成本结构主要受电源种类影响,例如水电与煤电比较,煤电企业因为购煤而比水电企业承担了较高的生产经营成本。
2.输配电环节。发电厂生产的电能要通过输电系统输送至配电环节,然后再由配电系统供给用户。电能的输送一般采用高压输电,我国已形成东北、华北、华中、华东、川渝、南方四省500千伏跨省市主干网和山东500千伏电网以及西北的结构紧密的330千伏电网,并建成具有世界先进水平的特高压输电工程,电压等级达750千伏,最高可达1000千伏。配电业务基本任务是把电力从输电系统传送、分配给用户。配电环节上接输电系统,下接终端用户,配电系统本身不使用、不储存电能,只负责传送、分配电能。电能通过配电线路流向用户,并由电表记录用户使用的电量。
3.系统调度环节。系统运行调度包括协调发电厂处理和平衡负荷需求两部分内容。电力运行调度时刻监控负荷的变化,下达电厂启动或停机指令,实时调度整个电网。电力调度机构会根据典型负荷曲线提前为电厂排定发电计划。但由于难以预测实际电力需求,电力调度需要对预测电量之外的电量进行平衡,包括增加或减少发电计划,甚至在必要的情况下,调整用户的电力需求。
电力行业未来发展的基本方针是提高能源效率、保护生态环境、加强电网建设、大力开发水电、优化发展煤电、积极推进核电建设、适度发展天然气发电、鼓励新能源和可再生能源发电、带动装备工业发展、深化电力体制改革。
第二节 电力行业内部控制建设背景
2008年以来,财政部、证监会、审计署、银监会、保监会五部委相继出台《企业内部控制基本规范》(财会〔2008〕7号)及其配套指引,对中央企业、上市公司建立健全实施有效的内部控制体系作出了要求,并提供了依据和指导方针。内部控制相关政策、基本规范和配套指引发布后,电力企业积极响应国家的要求,两大电网企业、五大发电集团以及电力建设、电力设计及辅助电力企业都在企业内部控制体系建设工作中做出了表率,积极研究、探索、实施了电力行业的内部控制体系建设。各电力企业按照管理制度化、制度流程化、流程信息化的要求,立足企业实际,倡导全员参与,注重控制实效,抓好内部控制建设的基础工作和关键环节。电力企业通过内部控制体系建设保证了企业经营管理合法合规,有效防止了企业资产流失,保证了财务报告及相关信息真实完整,企业的经营效率和经营业绩逐年提高,有力地促进了电力企业实现发展战略。
我国电力行业正处于快速发展的重要战略机遇期,电力体制改革不断深化,促进了电力企业间的市场竞争。当前,中国经济下行压力加大、煤价波动幅度大、环境保护及社会责任要求高、跨区电力供应与结算等外部风险日益显著。随着竞争加剧,电力企业普遍选择延长产业链多元化发展,经营业务日益复杂,经营风险不断显现。电力企业经营利润空间变小、管理难度变大,尤其是积极实施“走出去”战略,电力企业逐步参与国际市场竞争,面临更多更复杂的局面,对企业风险管理和内部控制提出了更高要求。从近年的外部审计结果分析,当前电力企业在管理方面仍有薄弱环节,内部控制需要进一步完善和加强。
面对困难和挑战,电力企业积极利用风险管理思想和内部控制手段,深度挖潜,向企业内部要效益,涌现出众多典型:国家电网公司全面整合前期内控建设成果,以标准流程为载体,以风险管控为导向,以授权管理为约束,以规章制度为保障,以内控评价为手段,以信息系统为支撑,建立了覆盖全公司、贯穿各层级、具有组织结构扁平化、业务流程标准化、内控责任岗位化、控制手段信息化、监督评价常态化为特征的内部控制体系,探索走出了一条具有电网企业特色的内控建设实施道路,基本实现了全集团内控在线管理和风险实时防控;国电集团选择基建财务内控作为重点突破口,于2011年在哈尔滨热电厂成功完成试点,并在全集团90余家单位进行推广;华能集团高度重视风险管理和内部控制,由总经理任风险管理小组组长,分管副总及总会为副组长,制定了《全面风险管理办法》及《全面风险管理工作指引》、《风险分类总表》等配套细则,完成了公司制度制(修)订305项,成功实现了《总部流程操作手册》试运行,在全集团289家单位完成了风险管理信息化建设。
第二章 内部控制体系建设与运行
内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。电力企业建立与实施内部控制,应当遵循下列原则:一是全面性原则,内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项;二是重要性原则,内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域;三是制衡性原则,内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率;四是适应性原则,内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整;五是成本效益原则,内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
电力企业建立与实施有效的内部控制体系,应当包括下列要素:一是内部环境,它是企业实施内部控制的基础,一般包括组织结构、发展战略、人力资源、社会责任及企业文化等;二是风险评估,是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略;三是控制活动,是指企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内;四是信息与沟通,是指企业及时准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通;五是内部监督,是指企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进。
内部控制体系建设与运行一般分为内部控制体系建设、内部控制评价与审计、内部控制体系持续改进与优化。电力企业应按照《企业内部控制基本规范》和配套指引的要求,建立内部控制体系,结合本企业实际,以提高经营效率和效果为目标,以风险管理为导向,以流程梳理为基础,以关键控制活动为重点,制订内部控制整体建设实施方案,明确总体建设目标和分阶段任务;要按照管理制度化、制度流程化、流程信息化的要求,立足企业实际,倡导全员参与、全业务覆盖,注重控制实效,抓好内部控制建设基础工作和关键环节;要组织开展内部控制年度评价与审计工作,并促进内部控制体系的持续改进与优化。
第一节 内部控制体系建设
内部控制体系建设是指在企业系统化开展内部控制体系建设,包括组建内部控制组织体系、确定内部控制建设范围、开展风险评估、识别业务关键控制环节、优化完善现行制度、建立内部控制标准体系等内容。
一、组建内部控制组织体系
1.健全治理结构。电力企业按照现代企业制度建立完善法人治理结构,依法设置董事会、监事会、经理层等组织机构,确定各自权利和义务。企业结合业务特点和内部控制要求设置内部机构,明确职责权限,将权力与责任落实到各级单位、部门和岗位。
2.成立专门机构。电力企业应在董事会下组建全面风险管理委员会等类似内部控制管理机构,负责企业内部控制与风险管理整体工作;电力企业应在全面风险管理委员会下成立专门的内部控制管理部门或在已有部门中成立具有此类职能的专门机构,具体负责组织协调内部控制的建立、实施、评价及日常运转。该专门机构应配备适当的人员,明确权责范围,并具备以下条件:第一,配备具有内部控制与风险管理专业知识能力的适当人员;第二,具备确保内部控制体系长效运转的资源配备;第三,具备监督与评价内部控制体系工作的权利,并能够对企业职能部门的工作有直接接触和监督评价的权利;第四,归属最高管理层管理,并可直接向董事会或类似权力机构报告工作。
3.强化专业岗位。电力企业各业务部门负责人是本部门内部控制的责任人,有责任指导和监督本专业内部控制工作开展,并配合内部控制管理部门开展风险评估、内部控制评价等相关工作。同时,各业务部门应配备专人或专岗,负责组织开展本专业内部控制相关工作。
4.加强内控监督。电力企业内部控制管理部门以及审计部门等内部监督机构负责对内部控制建设与运行情况进行监督检查,提出持续改进完善建议。
二、确定内部控制建设范围
电力企业内部控制建设范围包括三个层面:企业层面、业务层面和信息系统层面。
在企业层面,电力企业应开展内部环境、风险评估、控制活动、信息与沟通、内部监督建设,确保企业整体内部控制有效性。
在业务层面,电力企业应依据实现企业战略目标所需开展的业务活动,构建企业全业务流程框架。一般来说,随着企业目标的逐级分解,围绕这些目标的实现,也可以将企业业务按照业务模块、价值链环节等划分为不同等级,形成涵盖企业整体范围的全业务流程框架。电力企业应加强重点流程与特殊业务的内部控制,着力抓好资金、投资、采购、基建、销售、产权管理、人力资源管理、质量管理、安全生产等关键业务流程控制,加强境外资产、金融及其衍生业务、重大经济合同和节能减排等特殊业务的内部控制建设,确定内部控制建设业务范围。
在信息系统层面,电力企业应推进内部控制体系建设同信息化建设的融合对接,结合企业信息化建设进程,将业务流程和控制措施逐步固化到信息系统,实现在线运行。
三、开展风险评估
电力企业应基于全业务流程框架,对影响企业目标实现的风险开展识别与评估,确定各类业务风险点,评估风险承受能力,明确相应风险管理策略。业务风险点可参考并覆盖前期在电力企业执行多年的各类管理要求中的风险,如《防止电力重大事故25项反措》、OHSAS18000系列职业健康安全管理体系、HSE健康安全和环境三位一体的管理体系、NOSA五星安健环管理体系等。
四、识别业务关键控制环节
电力企业应依据评估出的业务风险点,识别业务流程中的关键控制点,并记录在内部控制文档中。关键控制点是指在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少或不可代替的。确认关键控制点应作为企业控制活动的重点,对其实行全面、严格的管理,可避免重大风险的产生。
五、优化完善现行制度
电力企业应以流程为基础,将关键控制点、风险点、应对措施、岗位责任等内容以制度形式固化,健全完善企业制度体系。
六、建立内部控制标准体系
电力企业应依据《企业内部控制基本规范》及其配套指引,结合企业运营管理的实际情况,建立覆盖全业务的内部控制标准体系,指导企业生产经营。内部控制标准体系一般应包括但不限于以下内容:
1.内部控制体系建设的范围;
2.内部控制体系建设的主体、职责分工、考核办法;
3.内部控制体系建设的长期、短期目标;
4.内部控制体系建设具体内容;
5.内部控制体系评价的要求(如评价的范围及缺陷评估标准等);
6.内部控制体系持续维护及监督的要求等;
7.内部控制系统报告具体内容;
8.内部控制考核管理内容。
一般情况下,电力企业内部控制记录文档包括以下种类,但企业也可以根据自身情况,制定特殊的记录文档要求:
1.流程图:用符号和图形来表示企业业务和文件凭证在组织内部有序流转的文件。电力企业应以主业务流程的子流程为单位绘制流程图,并重点强调关键控制活动所在的环节。流程图中的关键控制活动应与控制矩阵中的关键控制活动保持一致。
2.流程描述:用文字表述的形式来对企业的业务流程进行详细描述的文档,包括但不限于主流程及其子流程的名称、目标、范围、业务风险以及业务流程中所涉及的对管理活动之间关系的描述。
3.控制矩阵:以表格的形式,按业务流程、二级流程分类记录企业的控制活动的文档,反映控制活动与控制目标之间的关系,一般应包括控制目标编号、控制活动、风险及风险编号、相关制度与文档等要素。同时,文档应记录具体控制措施的属性,例如控制频率、控制性质等。
4.不相容职责表:以表格的形式来表述业务流程、二级流程中各不相容相关责任岗位的文档。描述控制活动中的不同部门、岗位之间的权责分离、相互制约、相互监督等情况。
第二节 内部控制评价与审计
一、内部控制评价
内部控制评价是指对企业内部控制设计和执行的有效性进行评价,识别控制缺陷,形成评价结论,出具评价报告的过程。
电力企业应根据《企业内部控制评价指引》建立相应的程序和组织,完成内部控制评价工作,编制内部控制评价报告。上市公司还应按照监管要求对外披露报告信息。
电力企业内部控制评价程序包括制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等环节。
一般来说,内部控制评价工作组通常由内部控制管理部门和企业内部相关部门的业务骨干组成。内部控制评价工作组在选拔成员时,要特别关注人员的专业胜任能力和职业道德素养。内部控制评价工作组成员分工时,要注意将成员负责的评价工作范围与成员所在部门予以适当分离,确保评价工作的独立性。必要时可以委托具有相应资质的中介机构协助开展内部控制评价工作。
内部控制评价应注意以下几点:
1.内部控制评价工作应当包括内部控制的设计与运行,涵盖企业的各种业务和事项,对实现控制目标的各个方面进行全面、系统、综合的评价。
2.在全面评价的基础上,应重点关注重要业务单位、重大业务事项和高风险领域。对专业管理规范的电力安全生产事项,可组织相关专业专家进行内部控制评价。
3.内部控制评价应当准确揭示企业经营管理的风险状况,如实反映内部控制设计与运行的有效性。评价工作要客观、公正,要通过内部控制评价提高管理层和员工对内部控制工作的认识。
4.内部控制评价工作应与部门绩效考核以及员工奖金收入挂钩,通过检查、评价、考核促进企业全员认真开展内部控制体系建设工作,从而达到通过内部控制评价促进内部控制体系建设,通过内部控制体系建设提高企业管理水平的目的。
企业可以考虑将内部控制评价固化至信息系统中,提高内部控制评价的效率和效果。有条件的企业要通过建设内部控制监控信息系统,实时监控企业业务流程的执行情况,将风险控制防范在事前和事中,避免企业管理停留在事后追究的阶段。
借助于信息系统开展内部控制评价工作具有以下优点:
1.统一管理内部控制评价工作方式、工作规范、工作模板、工作流程,辅助企业有序、高效地开展内部控制评价工作。
2.能够将每个内部控制点有效性的责任落实到具体流程负责人的日常工作和绩效考核中,由流程负责人负责内部控制流程及内部控制点的持续更新及维护。
3.通过建立内部控制文档数据库,统一文档格式及文档编号,收集并汇总在评价过程各个阶段、不同版本的内部控制文档,便于文档管理及维护。
4.利用信息系统功能制定更为详细的评价计划,将评价计划按照管理层级和管理部门分解,并将具体的文档编写、内部控制测试、文档审阅、整改、整改跟进等工作落实到具体的人员,由系统自动记录各项工作的完成过程及状态。
5.可利用信息系统相关功能自动从工作底稿中获得内部控制执行的证据,汇总发现的各类问题等。企业管理层可通过信息系统搜集出现的问题,监督各方面工作的进展。
6.将一些无须人工干预的管理标准、参数等嵌入到信息系统中,通过软件来实现标准化的节点控制,减少内部控制管理的人工控制,实现自动化管控,降低成本同时又能保障执行效率和效果。
二、内部控制审计
内部控制审计是指会计师事务所接受委托,对特定基准时间内部控制的设计与运行的有效性进行审计。内部控制审计作为内部控制体系有效实施的一项重要制度安排,能够监督、推动企业将内部控制体系落到实处,促进企业加强内部控制体系建设,提升企业风险防范能力,是企业建立健全内部控制体系不可或缺的环节。
内部控制审计并不是就企业内部控制自我评价过程及评价结论的验证,也不是对企业内部控制自我评价报告本身发表意见,而是通过对被审计单位的内部控制制度的审查、分析测试、评价,确定其可信程度,从而对内部控制是否有效作出鉴定的一种现代审计方法。
企业应该按照审计要求提供完成内部控制审计所需的充分、适当的审计证据。如果外部审计师认为审计范围受到限制,导致无法获取发表审计意见所需的充分、适当的审计证据,可以不必执行任何其他工作,即对内部控制出具无法表示意见的内部控制审计报告。
外部审计师在发表内部控制审计意见之前,需要获得经企业签署的内部控制书面声明。书面声明内容主要包括:
1.被审计单位董事会认可其对建立健全和有效实施内部控制负责。
2.被审计单位已对内部控制进行了评价,并编制了内部控制评价报告。
3.被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础。
4.被审计单位根据内部控制评价标准评价内部控制有效性得出的结论。
5.被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷。
6.被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊。
7.注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决。
8.在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。
需要强调的是,书面声明不仅应包括企业按照内部控制评价标准完成进行内部控制自我评价形成的评价报告,还应向外部审计师披露所识别出的所有内部控制缺陷及舞弊情况。同时,企业的内部控制评价责任还应延续到报表基准日至其出具书面声明的时点,即企业应对内部控制在该期间是否发生变化做出说明。
在整合审计中,外部审计师出具内部控制审计报告,其日期应该与财务报表审计日期相同。
内部控制审计在对内部控制的有效性形成意见后,注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。
第三节 内部控制持续改进与优化
内部控制持续改进与优化是指对内部控制评价与审计发现的内部控制缺陷,制定整改计划并组织落实,促进内部控制体系的不断完善和提升。内部控制持续改进与优化一般包括以下工作:
一、记录内部控制缺陷
企业应建立内部控制缺陷认定标准,对内部控制评价与审计发现的内部控制缺陷进行记录,说明内部控制缺陷的成因、表现形式和影响程度。内部控制缺陷的认定标准应以对企业战略目标达成的影响程度为标尺予以制定。
企业内部控制缺陷认定的范围应当包括企业在日常监督、专项监督过程中发现的控制缺陷,以及企业内部控制评价及测试过程中发生的缺陷。
二、制定缺陷整改方案
内部控制缺陷认定结束后,企业应根据缺陷评价和认定结果,确定缺陷整改的先后顺序,制定缺陷整改方案。一般来讲,企业应当对每一个内部控制缺陷逐一提出整改建议,并以控制目标为核心,打破部门和流程的局限,设计符合企业运营特点的整改方案。整改方案一般包括整改目标、内容、步骤、措施、方法和期限。此外,还应明确整改责任部门与责任人,并跟进整改进度,保留整改证据。
三、完善企业制度体系
1.版式、内容更新。一是管理制度中规定的内容符合业务现状,但依据公司内部控制的相关要求,需要对行文或格式进行调整;二是管理制度中规定的相关内容已经不适应管理运作现状,需要对相关内容进行调整更新,包括重新编写部分内容,以及对某些制度中的相关内容按照实际情况进行删减、合并或者替换等。
2.制度新增。电力企业开展新业务后,需要相应增加管理制度,并对原有的业务流程进行梳理,视情况增加相关制度。
3.名称更新。完善内部控制管理制度体系,根据制度覆盖面、内容和颗粒度等进行分层划分,统一制度名称。如将内部控制管理制度体系划分为准则或规则、制度、管理办法、细则或程序等。
四、优化内部控制标准体系
随着电力企业经营活动的发展,内部控制标准体系也要随之不断改进与优化。电力企业应制定内部控制标准体系更新维护机制,并由实际负责业务流程操作的业务部门负责根据业务变化实时更新内部控制标准体系,以提高内部控制标准体系的时效性和实用性。
第四节 内部控制信息化建设
内部控制信息化,通常指企业利用计算机和通信技术,设计、开发、运行和维护信息化管理平台,实现对内部控制进行集成、转化和提升的管理过程。依托信息技术,企业可以整合信息管理流程和业务流程,将风险及内部控制管理的职责、流程、标准及具体管理控制要求进行在线固化,改进内部管理信息沟通的效率效果,贯通并规范跨层级、跨部门、跨单位的内部管理行为,确保风险与内部控制体系建设成果有效落地和实际应用,实现内部控制由单一控制转变为多层次、全方位的控制系统,从单要素控制转变为多要素综合控制,打造企业经营运行的管理闭环,提升整体风险防范、应对和自我持续优化能力。
内部控制信息系统应遵循企业风险与内部控制管理的核心业务逻辑,秉承以风险为导向原则,为企业各级业务单元、管理层级和岗位人员开展风险与内部控制管理工作提供统一的信息化平台。依托该管理平台,企业各级管理层、各专业部门能够将风险与内部控制信息的收集、处理和反馈等工作流程固化,并贯通整合企业事前风险识别与评估,健全事中风险应对及内部控制措施,事后持续监督评价改进在内的全过程,构筑起企业风险的动态、闭环管理,并确保企业整体风险与内部控制管理行为的规范性、标准化和一致性。
内部控制信息系统是内部控制体系建设成果固化和推广应用的有效手段。电力企业在内部控制体系建设过程中,往往会形成丰富的规范化工作成果,包括风险数据、业务流程、关键控制点、部门职能、岗位职责、授权体系、制度规范及工作表单等各类风险及内部控制管理要素。为此,就需要依托信息化手段,将各类内部控制建设成果在企业内部固化,并通过构建关联化、集成化的数据环境,实现内部控制成果及相关数据的在线关联,从而借助自动化控制的手段确保其得到有效运行。
第三章 内部环境
内部环境确立企业风险管理的总体态度,是企业有效实施内部控制和风险管理的基础,直接影响到企业内部控制体系的有效执行以及企业经营目标乃至整体战略目标的实现。内部环境一般包括组织架构、发展战略、人力资源、社会责任、企业文化以及反舞弊管理等。电力行业作为关系到国计民生的基础产业,安全生产不仅涉及到电力行业自身效益,而且关系到社会稳定和各用电企业的生产安全。因此,电力企业在运营过程中,应全面遵守国家安全生产相关法律、法规、标准和规程的规定,以追求人、机、环境、管理等要素优化配置,促使电力企业减少安全隐患,有效控制安全事故,达到行为规范、设备先进、环境可靠、管理精细、安全高效的管理目标。电力企业应根据《企业内部控制基本规范》及《企业内部控制应用指引》的要求,在组织架构、发展战略、人力资源、社会责任、企业文化的建设中,充分认识到内部环境建设是决定控制活动能否有效开展的关键,在内部环境建设中提倡行业道德,并建立重视风险、预防为主的风险观。
第一节 组织架构
电力企业的组织架构应符合国家有关法律法规以及财政部、国务院国资委、国家能源局等监管机构的要求。股份制企业还应根据股东(大)会决议和企业章程,结合本企业实际,明确董事会、监事会、经理层和企业内部各层级机构设置、人员编制、职责权限、工作程序和相关要求。
目前,我国的电网企业主要采用层级直线制的组织架构,在董事会或类似权力机构的领导下,由经理层设置职能部门归口管理,并在地方设立省公司,每个省公司下设若干个地市(县)级供电公司,地市(县)级供电公司下设电力调控中心、运营监测(控)中心、客户服务中心等机构。
发电企业生产经营的性质决定了其所属各单位地理位置相对分散。因此,目前我国发电企业一般采用集中与分散相结合的组织架构,一方面在董事会或类似权力机构的领导下,由经理层设置职能部门进行归口管理,另一方面发电企业所属各单位在业务、资产、财务、人员和机构上具有一定的独立自主生产经营权。
一、关注要点
(一)组织机构设置是否科学以及权力集中程度
1.组织架构应科学设计,合理分配权责,避免机构重叠、职能交叉,运行效率低下。
2.组织机构的设置要保证与控股股东相关信息完整披露,避免监管处罚;而且要对非控股股东负责,防止侵害中小股东权益。
3.保证董事会或类似权力机构对企业内部控制制度的建立及实施履行职责。
4.确保经理层的工作处于监督之下,保证组织架构设置合理,权责有效分配。
5.组织机构内部的部门权力应相互制约,避免业务活动的整体工作链条都在一个部门的内部开展,使业务管理在企业内失去监督。
(二)岗位与职责匹配
1.部门岗位与职责分解要科学合理,体现不相容职务相分离的原则。企业的资产、财务、人力资源管理等重要岗位的设置应体现相互制衡的原则。
2.保证董事、监事、经理及其他高级管理人员的任职资格和履职情况符合相关法律法规的规定。
3.关键人员的知识与经营能力应符合岗位要求,特殊工种应持证上岗。
(三)组织结构运行情况顺畅、管理规范
1.企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。
2.企业及时发现组织架构设计和运行可能存在的缺陷,并进行优化调整,使企业的组织架构始终处于高效运行状态。
(四)组织结构变化的适应性
企业随业务发展及生产经营环境的变化定期开展组织架构的评估和优化。
二、管理措施
(一)组织机构设置
1.企业应按照《公司法》的要求,建立现代企业制度和规范的法人治理结构。企业应当按照科学、精简、高效、透明、制衡的原则,并综合考虑电力企业性质、发展战略和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职责交叉、缺失或权责过于集中。
2.企业与控股股东在资产、财务、人员等方面应实现相互独立,并制定关联交易决策制度,规范关联交易舞弊。
3.企业内部机构应按照管理范围确定集中或分散的管理方式。企业对内部机构的设置、各职能部门的职责权限、组织的运行流程等应有明确的书面说明和规定,以防止出现关键职能缺位或职能交叉的现象。
4.企业应建立独立的内部控制管理单位,在企业各项业务活动的最小组织机构中配备内部控制负责人,形成内部控制组织网状体系,把内部控制的各项要求体现在所有的业务活动中。
5.企业应实行专业化、区域化、社会化的分工协作,以提高企业的劳动效率和经济效益。
(二)岗位职责匹配
1.在《公司章程》中对董事会在战略及重大决策的权限做出规定,在企业内部控制制度中明确董事会为内部控制制度建立及实施的最终责任主体,对企业发展战略、风险评估、内部监督及自我评价工作承担最终责任。
2.在《公司章程》及相关制度中对董事、监事、经理及其他高级管理人员的任职资格及职责作出规定,做到分工明确、权限清晰。
3.科学合理分解各部门职能,明确各岗位名称、职责范围、岗位要求、工作内容和沟通关系等,明确具体任职条件和沟通关系等内容。
4.企业应按照以需设岗、因事设岗的原则,结合企业的实际情况,在进行岗位劳动分析基础上,科学设置岗位。企业应当建立关键岗位员工轮换制度和强制休假制度。
5.国有电力企业党委(党组)领导人员与董事会成员、经理层成员还应实行“双向进入、交叉任职”。
(三)组织架构运行
1.企业应根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面的梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。
2.企业应关注董事、监事、经理及其他高级管理人员的任职资格和履职情况,以及董事会、监事会和高级管理层的运行效果。存在问题的,应采取有效措施加以改进。
3.内部控制管理部门应定期检查组织机构运行情况,及时向最高管理层提出组织机构运行情况报告。
4.企业内部组织机构的设置与运行应适应信息沟通的要求,有利于信息的上传、下达和在各层级、各业务活动间传递,有利于为员工提供履行职权所需的信息。
(四)组织架构优化
1.企业对组织架构进行调整时,应充分听取董事、监事、经理层和其他员工的意见,按照规定的权限和程序审批通过后予以调整及优化,并及时将调整结果以适当的形式,通报给企业全体员工。
2.企业应不断健全公司法人治理结构,持续优化内部机构设置,为内部控制管理奠定扎实基础,提升经营管理效能,以实现可持续发展。
3.企业内部组织机构应支持发展战略的实施,并根据环境变化做出及时调整。
第二节 发展战略
电力企业的发展战略和规划,是指企业根据国家发展规划和产业政策,在分析外部环境、内部条件现状及其变化趋势的基础上,为企业的长期生存与发展所作出的未来一定时期内的方向性、整体性、全局性的定位、发展目标和相应的实施方案。电力企业发展战略和规划一般包括3至5年中期发展规划和10年远景目标,编制重点为3至5年中期发展规划。
电力企业制定的发展战略必须服从国家经济建设大局,符合国家整体利益和总体发展战略,同国民经济和社会发展协调一致,保障安全可靠供电,维护社会公共安全,服务经济社会发展。
一、关注要点
(一)环境因素对发展战略协调性的影响
1.电力企业的外部环境、内部资源等因素是影响公司发展战略制定的关键因素。企业应当综合考虑宏观经济政策,国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用的资源水平等影响因素,不同时期的发展战略应与企业管理模式和市场运作方式的快速变化相协调。
2.电力企业在制定发展战略时,应综合平衡各级政府主管部门及上下游产业的制约条件,适应国民经济和社会发展的平衡发展及调控机制,符合国家经济发展布局和经济结构战略性调整方向,确保重大投资决策符合相关战略目标和政策。
(二)发展战略的执行与调整
1.企业发展目标应层层分解落实,确保企业战略规划同各经营计划一致。
2.企业定期持续监控战略的实施效果,确保发展战略在执行中出现偏差时能及时诊断并适时进行调整。
二、管理措施
(一)机构设置与工作要求
1.企业董事会或类似权力机构应下设战略委员会等类似机构,负责战略目标和发展规划的可行性研究和科学论证,制定明确的发展目标。
2.企业的发展战略方案应经过企业最高决策机构批准。
3.战略委员会成员的履历、任职资格及人数应符合有关法律法规规定。
4.战略委员会应定位明确、职责清晰,并按规定流程任命战略委员会成员。
5.战略委员会成员的能力应达到相应要求,并按规定履行相应职责。
6.企业应制定战略委员会议事规则,明确会议召开程序、表决方式、提案审议、保密和会议纪录等内容,满足企业管理要求。
7.企业董事会或类似权力机构在审议方案时,应重点关注其全局性、长期性和可行性,如果发现重大问题,应当责成战略委员会对方案作出调整。
(二)发展战略的环境因素研究
1.国内政策因素。深入研究国家相关政策、规划和体制改革战略,对宏观经济环境、行业整体发展水平、发展趋势等进行认真分析,对导致企业发展战略不符合国家发展规划和产业政策、国有经济布局和能源结构的方案应及时调整,避免企业长期发展目标和战略规划不合理,重大决策失误、导致企业资源严重浪费或企业经营陷入困境。
2.海外政治军事因素。电力企业在海外发展时,要综合分析所在国政权更替、暴乱、战争等因素,防止企业蒙受损失。
3.经济环境因素。包括利率因素、汇率因素、通胀因素等,要特别注重研究发展战略与经济发展趋势的对应关系,防止因盲目追求规模效益,而当电力需求下滑波动时,导致发电资源与网架资源浪费。
4.社会环境因素。电力建设项目属于基础设施建设,往往涉及能源安全、环境保护、移民安置等问题,为此,发展战略的制定应适应当地的社会人文环境。
5.自然环境因素。电力项目对所在地的自然环境,如气象、地质、自然资源、水文条件等有较高的要求,发展战略要综合考虑电力项目可能带来的环境污染、生态破坏等因素,制定妥善措施,以取得更好的发展。
6.市场因素。电力投资项目因建设、运行周期长,往往在项目开发环境、产业配套、竞争格局、电价、电量需求、筹资及合同履约等方面存在较多的不确定性,在制定发展战略时,要对市场因素做好前瞻性预测。
(三)发展战略方案的调查、研究、制定
1.企业在制定发展战略时应广泛征求意见,在企业内部充分沟通,并履行相应的审批程序。
2.各相关部门与单位在制定发展战略和规划过程中,应进行详尽的研究和评价,保证其科学性、前瞻性,并按要求将规划方案上报相关电力主管部门。
3.企业在制定发展战略过程中应实行集体决策制度,并建立决策实施责任制度和决策责任追究制度。
4.企业应建立发展战略制定的授权审批制度,明确相关机构或负责人的审批权限。发展战略与发展规划制定的决策过程应保留完整的书面记录。
(四)发展战略的落实及优化
1.电力企业应根据发展战略,制定发展规划与年度工作计划,将年度目标分解、落实。企业战略委员会应加强对发展战略实施情况的监控,定期收集和分析相关信息。对于明显偏离发展战略的情况,应及时报告。
2.企业所属各级单位及部门应将发展战略方案层层细化落实至企业相关生产经营计划,避免企业生产经营计划与发展战略的实施路径有较大偏差,导致发展战略无法有效实施。
3.企业经理层通过制定年度工作计划和全面预算将发展战略进行分解,细化到季度、月度,并将责任落实到部门和岗位。
4.各相关部门对企业战略执行情况进行及时监控和分析,避免工作偏离目标方向,影响企业发展战略目标的实现。
5.企业应定期召开发展战略工作会议,组织分析生产经营情况,对实施计划的完成情况和存在问题进行检查落实。
6.企业发展战略归口管理部门应定期组织检查实施计划的完成情况,编写发展战略总结。
7.当外部环境、内部条件发生重大变化时,企业应及时修正企业发展战略,企业发展战略应适应外部环境变化。
8.因经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生变化,对企业发展战略实现有较大影响,或是企业内部经营管理发生较大变化,确需对发展战略做出调整优化甚至转型时,企业应按照规定权限和程序,调整发展战略或实现战略转型。
第三节 人力资源
电力行业的人力资源是指电力企业组织生产经营活动而任用的各种人员,包括董事、监事、经理层和全体员工。
总体来看,电力行业人才密集,管理规范,员工忠诚度高,人员流动率低,劳动关系和谐,培训体系健全。但是,当前我国电力企业仍存在一些制约企业竞争力的人才瓶颈问题,主要包括:人力资源战略与规划管理需要强化系统性与前瞻性;人员配置机制不能完全市场化,人才短缺与人员富余并存的结构性矛盾突出;人才评价机制和公开公平的竞争机制有待强化;薪酬分配机制不尽合理,绩效管理精细化水平有待提高;高度集成的人力资源管理信息系统尚未成熟,培训、考核、晋升、待遇、发展一体化的人才成长机制亟待完善;等等。
一、关注要点
(一)人力资源政策与程序
1.人力资源规定符合政策,遵守人力资源的相关法律法规。
2.人力资源工作程序流程清晰,员工招聘、培训、晋升、退出、考核和薪酬等程序规范。
(二)人员招聘与退出
1.人员数量、结构应与业务发展需求相匹配。
2.企业应建立合理的人力资源退出机制,防止可能导致的法律诉讼或企业声誉受损。
3.企业规范办理离职的依据、流程、条件等,签订保密协议,与退出员工约定保守商业秘密和禁止在同业就业的期限,以确保企业知识产权和商业秘密的安全。
(三)员工培训
1.企业应制定培训制度,每年制定员工培训计划。
2.企业应建立员工培训档案,按照制度规定和计划组织实施员工培训,并进行考核和评估。
(四)绩效考核
1.建立绩效考核制度,考核范围应覆盖全员,考核结果应当客观性,并防止绩效考核对关键岗位的激励或约束不足,从而影响员工的积极性和创造力。
2.对关键员工离职进行审查或离任审计,并安排足够时间进行工作交接。
3.对各岗位员工胜任能力进行客观评估,作为绩效考核的依据之一。
(五)薪酬管理
1.人力资源部门根据企业薪酬管理办法进行薪酬管理,并结合年度绩效考核结果进行控制。
2.确保人力资源激励约束制度合理、关键岗位人员管理完善,防止因薪酬可能导致的人才流失、经营效率低下或关键技术泄密等问题。
二、管理措施
(一)人力资源的政策与程序
1.企业应按照精干高效的原则,规范机构设置和中层管理人员职数,减少管理层级,控制管理幅度,提高管理效率,形成规范有序、信息畅通、运转协调、控制有力的管理体系。
2.企业应参照用工标准,核定员工人数,并按定员组织生产。
3.企业应按照以需设岗、因事设岗的原则,结合企业的实际情况,在岗位劳动力需求分析的基础上,科学设置岗位。
4.企业应完善岗位规范,明确工作内容、工作职责、工作标准、工作流程、任职条件。
5.企业应统一规范岗位级别区间,明确典型岗位的级别。各级单位按企业的统一要求,规范岗位级别。对新增岗位和岗位劳动要素发生明显变化的,重新进行岗位劳动测评和定级。
6.企业应在平等自愿、协商一致的基础上,依法与员工签订劳动合同,规范签约双方的行为。企业可参照劳动合同文本,结合本地区、本单位的实际情况,完善劳动合同内容,增强劳动合同的针对性,强化履约监督,突出违约责任,充分发挥劳动合同对于吸引、稳定和留住关键岗位优秀人才的作用。
7.企业应依法开展劳动合同的签订、变更、续订、终止、解除等工作,并视实际情况,依法与员工签订上岗、待岗等有关补充协议。
(二)人员招聘与退出
1.企业应当根据人力资源总体规划,明确各岗位的职责权限、任职条件和工作要求,并结合生产经营实际需要,制定年度人力资源需求计划。
2.企业招聘应遵循德才兼备、以德为先和公开、公平、公正的原则,通过公开招聘、竞争上岗等多种方式选聘优秀人才。
3.招聘工作应由企业人力资源部门统一负责,进行筛选与录用,并依法签订劳动合同。企业应建立选聘人员试用期和上岗前培训制度,试用期满考核合格后,方可正式上岗。
4.企业应按照有关法律法规规定,结合企业实际,建立健全员工辞职、退休等退出机制,明确退出的条件和程序,确保员工退出机制得到有效实施。
5.企业关键岗位人员离职前,应根据有关法律法规的规定进行工作交接或进行离任审计。
(三)职工培训
1.在职企业领导人员应定期参加培训,企业后备干部应在任职前参加岗前培训。
2.集团公司委派、推荐的董事、监事,应结合其岗位职责和能力要求,在上岗前参加相关培训。
3.企业应按照统一规划、统一标准、分级管理、各负其责的原则,制定教育培训规划,建立健全“先培训后就业、先培训后上岗、先培训后转岗”和在职定期培训制度。
3.企业应严格执行持证上岗制度。对需要取得资格证书上岗(转岗、晋升)的员工,应进行岗前资格培训,合格并取得资格证书后方可上岗;已经在岗的员工,要限期取得资格证书。在国家规定实行“资格准入”的专业和岗位上工作的人员,应参加职业资格培训,并在规定的期限内取得职业资格证书。从事特种作业的员工,必须按照国家规定经过培训考核,并取得特种作业资格证书后方能上岗。
4.员工取得岗位资格证书上岗后,还应定期参加岗位所需知识更新和技能提高的培训。在日常工作中,生产技能人员必须按照培训制度的要求,完成技术问答、事故预想、应急演练等培训项目。
5.生产技能人员应按照《职业技能鉴定规范》的要求,经过相关培训,参加职业技能鉴定,取得技能等级证书后方可上岗。企业应坚持职业技能培训与职业鉴定考核相分离的原则,保证鉴定考核结果的客观公正。
6.企业应定期组织专业技术人员和管理人员参加以知识和技能更新、补充、拓展为重点内容的教育培训。高、中、初级专业技术人员和管理人员应按要求接受继续教育。
7.企业应采取必要措施提高员工队伍的文化教育水平,不断改善员工队伍的专业知识结构。技能人员一般应达到技校及以上学历,专业技术人员和管理人员一般应达到大专及以上学历,其中,中、高级经营管理人员和专业技术人员一般应达到大学本科及以上学历。
8.企业应建立和完善培训与使用相结合的制度,将教育培训与薪酬待遇、职位晋升、评先创优挂钩。
9.企业应改革教育培训方式,坚持以岗位培训为主,大力开展岗前培训、岗位培训、转岗培训和再就业培训,广泛进行岗位练兵、技能竞赛和技术交流,鼓励员工自我培训,倡导岗位成才,努力创建学习型企业。
(四)绩效考核
1.企业应在完善绩效考评制度的基础上,全面推行岗位绩效工资制度,实行以岗定薪、岗变薪变、上下浮动,把员工的收入同企业经济效益和员工承担的岗位责任及个人的工作业绩挂钩。
2.企业应简化工资结构,合理拉开收入差距。企业薪酬分配应向关键岗位和优秀人才倾斜,使其收入水平与所在区域人才市场水平相适应,不断提高企业薪酬水平的市场竞争力。
3.企业应将绩效考核结果作为干部任免、晋升、交流、奖惩的重要依据,并作为其他类考核的参照基础。
4.考核指标一般分为年度考核指标和中(长)期考核指标(一般为三年)。企业应根据被考核单位的业务性质、类别,实行基本指标加分类指标的方法,设定考核指标体系。
5.绩效考核应由相关部门制定方案,依据工作完成程度进行绩效考核。相关部门将绩效考核结果予以公告后,人力资源部门应运用考核结果计发绩效工资。
(五)薪酬管理
1.企业薪酬管理应以按劳分配为主,按劳分配与按生产要素分配相结合,效率优先,兼顾公平;企业的工资水平应与其所在地劳动力市场价位相适应。
2.企业可根据国家的有关政策,结合自身实际情况制定具体分配办法,采用灵活多样的工资支付形式和分配方法。
3.企业应建立有效的薪酬管理机制,合理设计薪酬体系,合理安排薪酬支付资金,确保薪酬基数具有激励作用,增强企业的市场竞争力。
4.企业推进企业内部分配制度改革,改进和完善现行工资分配制度,逐步建立以岗位工资为主的基本工资制度,探索适应电力行业特点的岗位工资实现形式(如岗位绩效工资制、岗位薪点工资制、岗位等级工资制等),使职工工资收入体现其岗位职责、工作业绩和实际贡献。
5.企业应对所属企业实行资产经营、安全生产、党风廉政等责任制,并按考核结果对下属企业的经营者进行奖励,使其收入水平反映其承担的责任、业绩、风险。
6.提倡企业对专业技术人员实行按岗位、按任务、按业绩(科技成果)确定薪酬的分配办法。
7.提倡在具备条件的企业积极探索按劳分配和按生产要素分配相结合的薪酬分配方式,使管理、技术、资本等生产要素参与分配。对为企业做出重大贡献的人员,可探索建立项目成果奖励、新增净利润提成、关键技术折价入股、奖励股份期权等制度,形成对优秀人才、紧缺人才的有效激励。
8.实施人才强企战略,企业可对列入人才库的有关人才发放适当津贴。
9.对社会招聘的特殊人才和社会通用工种,企业应按劳动力市场价格确定工资。
10.企业应将工资总额与经济效益挂钩,建立企业工资总额随企业经济效益变动的管理机制。
第四节 社会责任
社会责任是指企业在发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护等。电力行业所承担的社会责任主要包括电力生产、安全监察、用电监察、电能质量、环境保护、电力交易、电网运行、促进就业、员工权益等活动。
电力是社会生活中不可缺少的资源,电力的可靠供应关系到社会的各个方面。电力的特点决定了电力行业属于生产高危行业,安全生产成为重中之重。电力安全生产管理是一个系统工程,涉及电力企业管理工作的诸多方面,本指南第五章第八节对此进行了详细描述。
一、关注要点
(一)安全生产
企业应强化安全生产的法制观念,规范安全生产管理工作,落实各级人员的安全生产责任制和事故责任追究制,完善各项应急处置措施,有效防止重大恶性事故的发生,提高安全生产水平,安全生产措施到位,责任落实,防止企业发生安全事故。
(二)产品质量
电力行业产品质量是指电能质量的有关参数。电能质量参数中电网频率、电压参数等不符合要求,可能导致企业巨额赔偿、形象受损甚至破产。电力企业应对电网频率合格率、主网电压合格率、电压波动与闪变合格率、三相电压不平衡度合格率、电压正旋波畸变合格率等数据重点监控,建立电能质量监督管理组织,专门开展电能质量技术监督工作,提高产品质量,为社会提供安全合格的电能,满足社会用电需求。
(三)环境保护
环境保护投入不足,资源耗费大,容易造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲或停业。电力要与环境保护协调发展,坚持可持续发展战略,实现环境保护与电力建设和生产同步规划、同步实施、同步发展。电力建设和生产应依法保护环境,遵守国家和地方环境保护法律、法规,并依法保护企业合法权益。依靠科技进步,采用新技术,推行文明清洁生产,减少有害物质排放,防治环境污染和其他公害。
(四)就业和员工权益保护
促进就业和员工权益保护不够,可能导致员工工作积极性受挫,影响企业发展。企业应严格执行国家劳动法律法规,与在岗员工签订劳动合同,坚持同工同酬、男女平等、民族平等的用工政策,保持企业工作岗位稳定,促进充分就业。
(五)提高企业管理者社会责任意识
企业管理者对企业落实社会责任发挥领导示范作用,自觉将内部工作转化为社会贡献和综合价值,以回应社会期望提升工作质量。企业应提高管理者的社会责任意识,积极履行社会公益方面的责任和义务,关心帮助社会弱势群体,支持慈善事业。
二、管理措施
(一)安全生产
1.电力企业应建立企业主要负责人为核心的安全生产责任制和三级安全网、安全技术劳动保护措施计划、反事故措施计划、工作票管理、操作票管理、个人防护用品规定、动火作业安全管理制度、紧急救灾预案等一系列安全保障制度。
2.为保证安全生产制度的有效实施,企业应建立安全大检查、事故调查、定期安全活动、隐患整改、事故演练、检查违章作业等落实、检查、监督和评价体系。
3.企业应当落实安全责任制、生产责任制、安全网责任制等。电力企业各级人员应坚持“安全第一,预防为主”的原则,提高安全生产意识,严格执行有关安全生产的规定。
4.对于发生的事故、障碍、异常等不安全情况,企业应坚持事故原因没有查清不放过、事故责任者没有严肃处理不放过、广大职工没有受到教育不放过、防范措施没有落实不放过的原则,认真调查分析,做出正确的事故分析结论。各生产部门对内承包的生产任务和对外承包的经营项目,应遵照有关规定明确各自的安全责任,执行安全措施。
5.企业应充分考虑社会环境因素,科学开展电力建设,全面落实电力建设项目安全与健康管理体系,全面落实电力建设项目环境影响评价和项目竣工环保验收制度。
6.企业应改变传统的周期性检修方式,变以往的“逢停必修”为“应修必修”,实现设备状态检修,节约人力物力,全面提升检修效率。企业应加强与利益相关方的沟通,向社会及时发布检修的相关信息,增强检修工作的透明度,尊重和维护广大用户的利益,赢得各方面的理解和支持。
7.企业应最大限度地保障电网安全稳定运行,杜绝大面积停电事故;最大限度地发挥电网的电力资源优化配置功能,消除安全隐患、提高供电可靠率;最大限度地推进节能环保调度,保证资源的高效利用。
8.企业应制定各级各类安全事故应急救援预案,并定期演练。
9.企业应落实安全生产标准化,促进企业主体安全责任的落实。
10.企业应加强安全生产教育培训,使安全知识成为员工应掌握的基本知识。
(二)质量
1.企业应贯彻电力生产的方针、政策,并组织实施电力运行方面的各项规程、规章制度,建立各级电力运行管理的责任考核制度和电力运行技术监督管理制度,并组织和督促实施。
2.企业应加强对各级运行管理人员的培训和考核,掌握运行部门管理人员及技术人员的配备情况,根据生产需要设置运行机构,调配相应的人员。
3.企业应健全现场生产指挥系统,确保各级人员履行其职责和权限。
4.各级管理人员应以身作则,深入现场,定期组织有关人员进行现场巡视,掌握主要设备的运行状况及存在问题,促进文明生产。
5.对于重要操作和重点工作,管理人员应现场监护和监督指导重要操作及复杂性操作,组织大修后的验收、启动和特殊运行试验等工作。
6.为保证和提高电能质量,电力企业应用信息化手段加强数据管理。
(三)环境保护
1.电力企业应广泛宣传和贯彻执行国家及地方环境保护法律、法规、方针、政策。
2.企业应建立健全企业环境保护管理和环境保护设施设备运行管理制度,确保各类环境保护设施设备安全、有效、正常地运行。
3.企业应定期制订环境保护、资源综合利用的规划和计划并组织实施。
4.企业应组织开展企业环保技术监督、污染源监测、环境统计、排污费交纳等工作。
5.企业应及时处理企业环境污染事故和污染纠纷,制定防止环保突发事件预案。发生污染事故或其他突发性污染事件时,应立即采取防治污染的应急措施。对重大、特大环境污染事故应在发生事故后24小时内上报。
6.企业应负责各类排放污染物的治理,包括固体废弃物综合利用的实施;应负责开展企业生态保护和水土保持工作,防止发生环境污染事故。
7.企业应统筹能源与经济社会环境协调发展,推动能源结构由高碳转向低碳、能源利用由粗放转向集约、能源服务由单向供给转向智能互动,大力发展核电、风电、太阳能等清洁能源。
(四)就业和员工权益保护
1.企业应建立科学的薪酬管理体系,并按规定为员工足额缴纳养老、医疗、工伤、生育和失业等社会保险。
2.企业应建立健全劳动关系协调机制,定期检查劳动合同、集体合同及有关劳动法规的落实情况。企业应健全完善劳动争议调解委员会,加强群众法律监督,依法维护职工的合法权益。
3.企业应认真做好职工代表大会和工会会员代表大会的各项工作,按时召开大会,确保职代会、工代会各项职权的贯彻落实。企业应切实维护职工的合法权益,开展职工代表述职评议工作,做好职工代表提案征集处理落实工作,做好职代会民主评议企业领导干部工作。
4.企业应尊重员工个人尊严和自由,反对强迫劳动。企业应保护员工个人信息与隐私。对于员工个人关键信息应实施加密管理,确保员工个人信息安全。
5.企业应采取适当措施安置富余人员,保护员工权益,防止出现企业不稳定因素。
6.企业应推进和完善集体合同平等协商工作,定期或不定期对集体合同的履行情况进行监督评价,积极进行平等协商,维护集体合同的严肃性和权威性。
7.企业应建立信息公开机制,拓宽信息公开渠道,充分发挥对信息公开工作的监督评价,落实职工的知情权、参与权、监督权。
8.企业应定期开展对职工劳动生产现场高温、噪声、粉尘、有毒等有害部位的巡视检查,对严重危害职工人身安全健康的重大设备隐患及工业危害,应进行专门调查,并将检查情况及解决措施及时报告有关主管部门。
9.企业在生产中发生工伤、死亡事故后,应及时报告有关主管部门,同时组织开展事故调查和处理工作。
10.企业应严格执行《劳动法》有关规定,保障员工的劳动时间,确保员工合法权益。
11.企业应按要求定期进行员工体检工作,切实提高有毒有害工种职工的体检频率,并建立健全有关档案资料。
12.企业应建立健全女职工保护制度和保护措施,根据女职工的生理特点,切实解决她们在生产、工作、学习和生活中的特殊困难,维护女职工的合法权益。
(五)高管理人员社会责任意识
1.企业应将社会责任的指标与各级管理人员的经营绩效考核指标挂钩。
2.企业应定期在管理层进行社会责任的培训与宣传。
3.企业应推动社会责任融入决策管理,并组织管理人员按期开展社会责任管理学习讨论活动。
4.企业应促进社会责任理念与专业管理融合,开展社会责任管理提升,推动综合价值最大化成为专业工作新目标。
5.企业管理人员应组织开展部门、单位及岗位社会责任工作评价考核。6.企业应定期编制企业社会责任报告,披露社会责任信息。
第五节 企业文化
企业文化,是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。电力行业的企业文化建设主要包括:企业文化规范建设、企业文化的贯彻落实与评估,企业愿景、宗旨、价值观、经营理念、企业精神的制定与宣传,以及企业品牌建设与维护等。
一、关注要点
(一)企业文化的建立
建立积极向上、开拓创新、团结合作的企业文化,增强员工对企业的认同感、提高企业综合竞争力。高度重视并妥善处理企业并购重组中的文化差异和理念冲突,促进文化沟通融合。
(二)企业文化的贯彻
企业文化应融入生产经营全过程,增强管理层与员工的责任感和使命感,促使其自身价值在企业生产中得到充分体现。企业应加强对管理层与员工的企业文化教育和熏陶,关注企业文化在企业管理中的影响。电力企业并购重组后,要注重并购重组后的企业文化建设,促进并购双方的文化沟通与融合。
(三)企业文化的评估
缺乏企业文化评估,可能导致企业文化向不良方向发展,影响企业声誉。电力企业不同的管理层理念、经营风格和风险偏好,会极大地影响企业运营。电力企业管理层若忽视企业文化认同的风险,则会造成制度流于形式,可能导致企业发展目标难以实现,影响可持续发展。
二、管理措施
(一)企业文化的建立
1.企业管理层应在企业文化建设中发挥主导和垂范作用,在企业文化纲要制定修订、组建企业文化宣讲团、开展企业文化活动、建立企业形象识别等方面作为牵头人、督导人、把关人,将企业的积极向上、创新进取、诚实守信等文化通过工作和日常行为点滴传输给企业员工,让企业员工感受到企业文化的影响力,增强对企业的认同感。
2.企业应加强文化建设,建立企业核心文化,明确企业精神、战略、经营理念和管理理念。
3.企业应重视并购重组后的企业文化建设,为新加入企业提供企业形象识别和企业文化宣讲,加强与并购重组企业的沟通联系,组织企业之间的学习交流,促进并购企业间的沟通融合。
(二)企业文化的贯彻
1.企业应加强企业文化的宣传贯彻及企业文化在内部各层级的有效沟通,确保全体员工共同遵守。企业文化建设应当融入生产经营全过程,切实做到企业文化与发展战略的有机结合。
2.企业应建立思想宣传工作体系,通过报刊、杂志、局域网等媒介,积极宣传贯彻企业的发展愿景、价值观、经营理念等企业文化内容。
3.企业应规范企业品牌标识,加强品牌管理,加强企业精神文化建设,推动形成先进的企业文化。
4.企业管理层到基层检查指导工作时,应把宣传和推动企业文化建设作为工作的一部分。
5.企业应编制员工手册,定期组织企业文化培训,全面提升员工文化素质及道德修养。企业应加强对新员工的企业文化培训,提升新员工对企业文化的认知。
(三)企业文化的评估
1.企业应制定企业文化建设评价体系,明确评价指标、分值、计分方法和评价方法等内容,通过查阅资料、实地考察及问卷调查的方法,实行定量评价和定性评价相结合,对指标进行评价打分。
2.企业应重视企业文化的评估结果,结合实际,对照评价体系及操作要求,进行自查,对评价过程中发现的问题,应研究影响企业文化建设的不利因素,分析深层次的原因,及时采取措施加以整改。
3.企业应评估企业文化建设融入生产经营过程的情况,记录企业各种内部媒体宣传企业文化的情况,包括宣传优秀员工事迹、发布企业组织的各项活动和比赛安排、比赛结果等,评估企业文化是否传播到每个部门、每位员工。
第六节 反舞弊管理
舞弊是指使用欺骗手段获取不当或非法利益的故意行为,主要表现为:虚假财务报告、资产的不适当处置、不恰当的收入和支出、不当关联方交易、税务欺诈、贪污以及收受贿赂和回扣等方面。有效的反舞弊机制,是企业防范、发现和处理舞弊行为、优化内部环境的重要制度安排。有效的信息沟通是反舞弊程序和控制成功的关键。如果信息交流机制不畅通,就会产生信息不对称的问题,舞弊行为产生的机会就会增大。企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
一、关注要点
(一)建立反舞弊机制
企业制定标准的程序,对证实的或怀疑的舞弊进行跟踪、反馈、调查。
(二)反舞弊情况的信息沟通
企业定期召开反舞弊情况的通报会,通报反舞弊工作情况。
(三)舞弊风险评估
企业成立专门的舞弊风险评估分析小组,负责舞弊风险的分析与评估工作。
二、管理措施
(一)建立反舞弊机制
1.企业应建立预防、识别舞弊风险的内部控制措施与程序,明确有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
2.企业至少应当将下列情形作为反舞弊工作的重点:
(1)经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。
(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。
(3)董事、监事、经理及其他高级管理人员滥用职权。
(4)相关机构或人员串通舞弊。
(二)反舞弊情况的信息沟通
1.建立与外部关系方(包括供应商、客户等)的信息沟通渠道,使外部关系方能够对企业可能的舞弊行为进行投诉及举报。
2.建立内部员工的投诉、举报等沟通渠道,如员工可以通过信访、电话、手机短信和电子邮件等方式反映问题及意见。
3.企业对发现的问题应建立处理和报告机制。对通过各种渠道上报的可能不当行为应进行复核和调查,并依据调查结果和企业相关规定进行处理,对处理结果保留存档记录。
(三)舞弊风险评估
企业应不定期开展舞弊风险评估,通过内部审计、专项调查等形式,对可能的舞弊行为进行调查,并依据调查结果和企业相关规定对相关责任人进行处理,对处理结果保留存档记录。
第四章 风险评估
第一节 对风险和风险管理的认识
一、风险的定义
本指南所述之风险,是指未来的不确定性对企业实现其经营目标的影响。
二、风险的特征
一般来说,风险具有如下特征:
客观性:风险的存在取决于决定风险的各种因素,完全消除或完全控制风险是不可能的。只有认识风险、承认风险,并采取相应的控制措施,才有可能降低或化解风险。
突发性:风险的产生往往突如其来,因而也加剧了风险的破坏性。
多变性:风险会受到各种因素的影响。随着影响因素的变动,风险在性质、破坏程度等方面呈现动态变化的特征。
相对性:企业对风险的承受能力,因拥有资源和管理经验的差异而各不相同,其造成的相对损失及后续影响也不尽相同。
无形性:风险需要运用不同的概念和方法予以界定和估计,使用定性和定量的方法综合分析。
三、风险分类
风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。结合电力行业的行业特点,上述五类风险可以进一步细分。其中:
战略风险中较为典型的风险包括:宏观经济与社会政治风险、政策风险、自然环境与地质风险、电力体制改革风险、电力监管风险、行业竞争风险、公司治理和管控结构风险、战略规划风险、投资决策风险、电源规划风险、备用容量风险、电网规划风险、产能淘汰风险、节能减排风险等。
财务风险中较为典型的风险包括:预算风险、资金及流动性风险、成本管理风险、关联交易风险、融资风险、担保风险、短期投资风险、产权风险、税收策划风险、会计政策、报告及披露风险等。
市场风险中较为典型的风险包括:竞价上网风险、电力市场需求风险、供求平衡风险、信用风险、电煤价格波动风险、燃料价格风险、产业链风险、汇率及利率风险、金融市场波动风险。
运营风险中较为典型的风险包括:市场营销风险、电力交易风险、电力市场辅助服务风险、安全生产风险、输电阻塞风险、输电能力风险、备用率风险、电力可靠性风险、电力稳定性风险、电能质量风险、健康安全环境(HSE)风险、工程建设风险、供应链风险、人力资源风险、技术研发与创新风险、信息系统风险、信息安全与传递风险、部门协作风险、运营监控风险、维稳风险、品牌与舆情风险。
法律风险中较为典型的风险包括:制度合规风险、环保合规风险、合同风险、法律诉讼与纠纷风险、知识产权风险、审计与监察评价风险、信息披露风险、道德与廉政风险。
四、全面风险管理
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。风险应对主要是针对不同的风险级别采取相应的应对措施。风险程度高或中等不可控的重大风险,企业应建立重大风险解决或危机与应急预案方案,落实责任部门的风险管理职责;风险程度低或风险程度高但可控的风险,企业应对照内控制度,评估是否已纳入日常管理范畴,判断制度与流程是否需要优化或修改。企业应将风险应对措施融入业务流程,并在制度中予以固化。不同业务类型的单位可根据自身特点,科学设计风险应对的工作流程。
五、风险管理流程
风险管理流程主要包括信息收集、风险识别、风险分析、风险评估四个步骤。企业应根据实际情况,明确风险管理流程,确定风险识别、评估、应对的周期,原则上每年至少识别、评估风险一次。风险评估是指用规范的语言描述识别出的风险,依据风险度量标准(风险矩阵)进行定性或定量评价,确定风险发生的可能性和影响程度,形成风险分值,排序后初步确定风险等级,形成风险事件库,绘制风险图的过程。
(一)信息收集
在风险管理过程的所有阶段,企业应与内外部利益相关方沟通,制定沟通计划。该计划应阐明与风险本身、风险原因、风险后果有关的事项,以及对其所采取的应对措施。沟通的目的是得到实施风险管理过程的责任人和利益相关方的理解。
风险管理须考虑内、外部环境。在明确环境因素时,企业可以从以下几方面入手:
1.外部环境。如社会、政治、法律;自然环境和竞争环境;对组织目标有影响的关键驱动因素和发展趋势;外部利益相关方;等等。
2.内部环境。如治理结构、内部机构、角色和责任;方针、目标、与内部利益相关方的关系;组织的文化、信息系统、信息流和决策过程;等等。
3.风险管理过程。包括确定风险管理活动的目的和目标;风险管理职责;开展风险管理的范围、深度和广度;风险评估方法;风险管理绩效考评;等等。
4.风险准则。如风险的特性和发生原因的种类、可能出现的后果、以及如何测量;如何确定风险发生的可能性、风险等级、风险可接受或可容忍的等级;等等。
(二)风险识别
风险识别是发现、辨识和表述风险的过程,包括对风险源、风险事件、风险原因和它们的潜在后果的识别。风险识别应重点关注风险识别的全面性、重要性、风险与风险源的关系。风险识别的基本内容包括:潜在的风险事件、风险源、风险原因、潜在的后果、影响范围、控制措施和风险清单等。
(三)风险分析
风险分析是理解风险特性和确定风险大小(定性或定量)的过程,它为风险评价和风险应对提供基础。风险分析的主要内容包括:分析潜在的风险事件、分析风险后果、分析风险发生的可能性、分析控制措施、确定风险等级。风险分析的方法主要有危险与可操作性分析法、危险分析与关键控制点法、因果分析法、事件树分析法、决策树分析法、风险矩阵法等。
(四)风险评估
风险评估是把风险分析的结果与风险准则相比较,以决定风险及其大小是否可以接受或可容忍的过程。风险评估的输出是风险应对的输入。风险评估的主要内容包括:组织的风险偏好、风险后果、可能性的测试指标、风险等级、风险带、风险的可接受性、风险的时间敞口、利益相关方的意见、风险是否需要应对等。风险评估的方法主要包括头脑风暴法、德尔菲法、情景分析法、因果分析法、事件树分析法等。
第二节 风险评估的方法与步骤
一、风险评估的组织管理
企业董事会或类似权力机构决定企业风险管理体系。董事会或类似权力机构下设的公司风险委员会或审计委员会等类似机构,为董事会风险决策提供咨询、建议,对董事会负责,定期听取风险管理部门的汇报,解决风险评估中的重大事项。
企业管理层负责审核风险评估的方案,接受董事会或类似权力机构的授权,指导、协调风险评估工作,定期向董事会或类似权力机构汇报风险管理总体工作进展及重大事项。
企业风险管理部门负责制定并向管理层报告风险评估工作计划或实施方案,负责审核各业务部门风险评估结果的质量,与业务部门建立并保持畅通的沟通机制,具体协调、组织、推进风险评估工作,定期向管理层汇报风险评估工作情况。
二、风险评估的基本方法
(一)确定风险度量标准
企业应根据自身特点,首先确定风险分类,进而明确风险度量标准,可采用定性的方式,也可以采用量化的方式。风险度量标准代表本单位的风险容忍度,其表现形式是风险矩阵。风险矩阵是围绕重要业务领域设定的指标,由风险发生的可能性、影响程度两个维度构成。风险矩阵确定后,企业应根据自身发展状况和外部环境变化定期修正。
在对风险发生可能性的高低进行分析时,可采用定性和定量相结合方法,将发生可能性分为“低、较低、中等、高、极高”五个级别,依次对应1至5分。
在分析风险发生后对目标的影响程度时,采用定性、定量相结合的方法,从企业关注的重点项目,如可以从“产出”、“资金”、“健康安全环保”、“成本”、“储量”等方面将风险影响严重程度分为“不重要、较小、中等、较大、重大”五个级别。
(二)定性与定量评估
企业风险评估方法包括定量和定性方法。两种方法均需明确风险事件的概率和风险损失。定量评估法一般准确度较高,但比较复杂,通常需设定数学模型。定性方法相对简单,但对评估人员的知识、经验及风险事件的背景要求较高。
企业可同时选择一种或多种风险评估方法。常用的方法有:
1.事件库法:详细列出同类型企业常见的潜在事件,及本企业曾经发生过的事件,总结出按相关属性分类的风险事件列表。
2.访谈法:风险管理机构制订详细的访谈计划,访谈熟悉业务流程、有经验的管理人员,讨论、评估风险情况,形成访谈记录。
3.头脑风暴法:组成讨论小组,充分发挥集体智慧,对潜在事件提出各自的意见,通过自由、宽松的讨论,汇总、整理有价值的信息,从而正确、全面地识别风险及其相互关系。
4.德尔菲法:又称专家调查法,针对某个风险同时咨询多个专家,专家们根据自己的经验作出各自的评估,再综合这些评估得出结果,专家据此修改,直至达成一致。
5.风险临界法:将当前交易或事件对照预先定义的风险标准,并在风险达到临界时引起管理层的警觉。一旦发现事件达到临界值,企业则需进一步评估或作出反应。
6.讨论会法:通过组织讨论,综合管理层、员工和其他利益相关者的知识、经验识别风险事项。讨论会主持人应引导与会者,讨论可能影响实现企业或某一业务单元目标的风险事项。
7.流程分析法:通过综合考虑影响流程的内、外部因素,识别出影响实现流程目标的事件。
8.故障树分析法:遵循从结果找原因的原则,通过分析可能造成项目失败的各种因素,画出逻辑框架图,从而确定可能导致项目失败的原因。该方法还可与其他定量分析方法结合使用。
9.事件重要指标法:通过监测与事件相关的资料,识别是否存在引发风险事件的条件。
10.损失事件数据法:结合以往各个损失事件的数据库,识别风险事件发生原因或发展趋势。
11.问卷调查法:通过事先设定的问卷,收集不同级别的人员对风险的态度、认识和经验,并收集风险事项。
三、风险评估实施步骤
风险评估主要步骤如下:
1.成立风险评估工作组织。由企业风险管理机构牵头,各业务部门确定风险协调人,共同组成工作小组。
2.确定风险度量标准。企业初次开展风险评估,尚无风险度量标准的,可向部门经理以上人员发放调查问卷(或访谈),拟订形成风险矩阵,交管理层审定。再次评估风险前,由风险管理部门审核原有风险矩阵,提出修改方案。
3.实施风险评估
(1)风险管理机构向业务部门发放“风险评估调查问卷”,内容一般包括风险编号、风险描述、风险事项发生可能性打分标准、风险评估指标的影响严重程度打分标准及评估人、日期等。
(2)风险管理机构统一对各部门风险评估人员开展风险评估前的培训,培训内容一般包括风险分类、风险评估标准、风险模板、应对策略制定原则等。
(3)部门风险评估人员填写“风险评估调查问卷”,分析风险源、制订初步的应对方案。具体工作程序如下:
本部门评估人在经过相关培训后收到“风险评估调查问卷”,按“风险矩阵”中对应的风险度量标准对识别的风险事项打分;
评估人根据风险发生可能性评估表判断该风险发生的可能性,并将对应的风险级别分值填入“风险发生可能性”栏内;
评估人根据风险发生影响程度评估表判断该风险对所列指标的影响程度,并将对应的风险级别分值填入相关的指标栏内,不影响该项指标的,该栏分值不填,影响多项指标的,应分别填列分值;
对风险影响程度涉及多项指标的,最终分值的确定标准为取最大值作为最终分值;
评分完成后,评估人应填写姓名、日期等内容,并将风险应对方案的具体建议填入备注栏中;
对选定多个评估人评估的,应明确各评估人的分值在最终分值中的权重(可以按评估人的职务高低或专业职务设定不同的权重,也可以采用取平均值的方式);
各业务部门风险协调人收集评估结果,按权重计算综合评估结果(不设权重的,也可采用集体讨论的方式确定最终评估结果),并在“风险评估调查问卷”上签字后,交由风险管理机构组织工作小组审查,对不合格的,应退回重新评估;
“风险评估调查问卷”经审查合格后,由业务部门风险协调人汇总,报风险管理机构; 风险管理机构应计算、汇总、排序各业务部门提交的风险评估结果,根据评估分值确定风险等级,汇总、整理出风险评估初步结果;
根据整理出的风险评估结果,列入风险事件库,录入风险管理信息平台,自动生成风险坐标图;
风险管理机构将问卷、汇总表等原始资料整理后归档。
4.制定风险应对措施。根据风险评估结果,选择相应的风险应对策略和具体方法。
(1)风险应对的原则
一是成本效益原则。企业应充分利用并优化内控制度应对风险,对于评估为高中低级别但可控的风险点,按照“效益、效率、风险平衡”的原则,优化现有内控制度,在确保制度和流程的可操作性的同时,定期检查、持续改进以保证内控制度体系的有效性。
二是风险与回报平衡原则。企业应在充分考虑风险容忍度的基础上,分析风险带来的机遇因素。
三是谨慎性原则。对于评估为高中级别但不可控的风险点,企业应建立风险解决方案或危机与应急预案,明确工作步骤、责任人、完成时限等,确保方案或预案的有效实施。
(2)风险应对的方法
企业应根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
在风险应对时,企业应根据不同业务特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度时,要正确认识和把握风险与收益的平衡,既要防止完全忽视风险,片面追求收益的不当做法,也要纠正单纯为规避风险而放弃发展机遇的错误观念。
企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
另外,企业还应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。
(3)风险应对实施步骤
1.各部门根据风险评估的结果,对不可控风险建立风险解决方案或应急计划,落实责任部门,进行专项追踪。责任部门应拟定具体的实施方案并根据专项追踪的结果制定风险追踪表。
2.对于风险评估后高、中、低级别且可控的操作类风险,各部门可以通过持续优化内控制度来应对。
3.风险管理机构负责风险应对的总体指导和协调,各业务部门完成应对策略及应对方案后,应汇总报风险管理机构。
4.风险管理机构汇总形成风险库,并整理重大风险应对方案或应急计划,定期上报主管领导或风险管理委员会批准。
四、风险评估应当关注的问题
1.在风险评估的实际运用中,定量方法和定性方法应结合使用。定量评估要求明确各变量之间的相关关系,并要求有高度可靠的数据。在定量评估所需的可信数据无法获得,或者获得可信数据不符合成本效益原则时,应采用定性评估方法。
2.企业风险大多不是孤立的,相互之间会存在较多的关联关系。对于这些存在高关联关系的风险事件组合,应综合考虑、综合评估。
五、风险管理报告
在深入开展风险管理工作的基础上,企业可以总结风险管理工作经验,编写风险管理年度报告,并报告企业管理层。
风险管理报告的主要内容可以包括如下事项:一是上一年度企业全面风险管理工作回顾,具体包括企业全面风险管理工作计划完成情况、企业重大风险管理情况、风险管理体系建立运行情况、风险管理信息化有关情况等;二是本年度企业风险评估情况;三是下一年度全面风险管理工作安排。
企业编制风险管理报告可以获得行业发展前景、产业结构、上中下游企业的投资机会、市场行情等方面的信息,提升企业风险识别、评估和应对能力,加强重大风险的全过程管理,将风险管理与日常经营管理有机融合,提高风险管理工作的制度化、规范化水平。
第三节 电力行业主要风险
各类电力企业所面临的宏观政治经济环境、行业监管标准、产业链布局、技术工艺相似,特别是建国后长期实行全国统一管理所沿袭下的管理方式和手段基本类似,为此,电力行业所面临的风险有较多的共性。现阶段电力行业面临的风险主要表现为电力体制改革风险、境外投资风险、流动性风险、电煤价格波动风险、电力市场需求风险、安全生产风险和环保合规风险等。
一、战略风险
战略风险在电力行业中有多种表现形式,主要是电力体制改革风险、境外投资风险、电力监管风险、投资决策风险、行业风险等。这里主要对最具有行业特色的电力体制改革风险和境外投资风险进行阐述。
电力体制改革风险:电力体制改革影响着未来发电、电网企业的经营模式、上网电价和销售电价的定价模式,进而影响各电力企业在行业中的地位,导致各电力企业的发展战略将作出较大调整。
应对策略参考:(1)积极与监管机构进行沟通,争取使电力体制改革既能体现行业发展趋势,又能保护既有投资;(2)研究国外电力体制改革先进成果,积极主动应对,在投资领域和标的选择方面顺应国际先进趋势,主动应变;(3)设立专门的政策研究机构,联合相关科研机构,主动研判未来改革趋势,确定应对策略。
境外投资风险:在国家“走出去”战略的鼓励下,电力企业积极寻求海外投资机会,充分利用国内外市场及资源。但由于意识形态、价值取向、政治制度存在差异,境外投资比国内投资面临着更为复杂的政治、经济和法律环境。在政治环境方面,当前,电力企业大部分海外业务都在发展中国家和政局不稳定的地区开展,极有可能因项目所在国政局的变动,导致项目无法顺利进行;在经济环境方面,经济危机和汇率波动风险在海外工程承包业务中普遍存在,市场经济不发达国家经济结构单一、市场机制不完善、产业链不完整导致经济风险发生的可能性较大,国际汇率市场会因各类政治、军事、经济事件发生很大冲击,在汇率兑换、折算上造成企业经济损失;在法律环境方面,由于缺乏了解当地市场情况、项目核心内容、当地法规和语言的综合型人才,且电力企业往往对项目所在国当地知名律师等司法资源掌控不足,导致国际争端等法律风险较为突出。
应对策略参考:(1)关注项目所在国政治变化,尤其关注政权更迭、军事政变等异常因素,积极将政治因素可能导致风险向国家有关监管机构汇报,获取政府支持和保护;(2)尽可能选择经济环境良好的国家进行投资,若在市场经济不发达国家进行投资,可选择当地实力雄厚的电力公司作为合作伙伴,共同投资;(3)通过汇率互换、汇率期货、汇率期权等手段锁定风险;(4)在正式投资前需对投资国当地法律环境进行全面的风险评估,并与当地知名法律机构建立长期稳定的合作关系,以便随时得到法律援助。
二、财务风险
财务风险在电力行业中有多种表现,主要表现为流动性风险、预算控制风险、融资风险、短期投资风险等。在此,主要对最具有行业特色的流动性风险进行阐述。
流动性风险:电力行业资金流动较其他行业更具同质化特点。对于电网企业而言,从全年的资金变动趋势来看,每年11 月到次年 3月,企业资金往往供不应求,资金缺口增大,易出现流动性风险,5月到9月,企业资金往往供大于求,资金环境相对宽松;从月度的资金变动趋势来看,由于月初电费集中入账,每月下旬资金缺口较大。对于发电企业而言,由于多年成本严重倒挂,一些企业连年亏损,而随着环保投入的持续增长,无疑将进一步加大企业的资金压力。电力企业通过内外部融资提供流动性支持,但由于融资成本和融资能力受到资金市场利率波动及国家限制性政策的限制,资金供应十分有限,流动资金链断裂风险危及着电力企业的生存。
应对策略参考:
(1)研究资金变化趋势,根据历史数据进行资金缺口预测分析;
(2)提前针对资金缺口进行融资安排,将融资需求提前熨平;
(3)建立与商业银行、财务公司的战略合作关系,以便在流动性风险出现时能及时获取资金支持。
三、市场风险
市场风险在电力行业中有多种表现,主要表现为电煤价格波动风险、电力市场需求风险、产业链风险、汇率及利率风险等。在此,主要对最具有行业特色的电煤价格波动风险和电力市场需求风险进行阐述。
电煤价格波动风险:我国“多煤少油贫气”的自然资源分布特点,决定了火电企业中煤炭成本是发电成本的主要部分。煤价涨跌直接导致火电企业利润的多寡,制约火电行业的平稳发展;我国电价由国家发改委统一制定,电力企业并无电价定价权,因此,电煤价格波动风险对发电集团经营影响较大。
应对策略参考:
(1)产业布局中逐步扩大清洁能源的市场份额,逐步降低对煤炭的依赖;
(2)改进生产工艺,降低发电过程中的能耗;
(3)加强与煤炭企业的战略合作,投资战略资源,多渠道开拓市场,控制成本预算。
电力市场需求风险:经济社会发展、生产方式转变、自然气候变化、科学技术进步以及人民群众的用电习惯等因素都直接影响着电力市场需求。以经济结构调整对电力市场需求的影响为例,2001年至2007年,我国经济经历了历史性高速增长,电力消费增长的主要动力来自于重工业尤其是基础原材料冶炼与制造业,呈现高耗能、低产出的重工业化阶段特征,全社会用电量年均增速达到了 13.45%。目前经济发展正向工业化后期阶段转型过渡,新型制造业、信息产业、服务业引领经济发展,从电力消费来看,2008年至2012年为震荡回调阶段,全社会用电量年均增速为8.8%,较上一个五年回落幅度近6个百分点;而‘十二五’期间,全社会用电量年均增速不到7.5%。因此,未来电力市场需求将存在较大的不确定性。
应对策略参考:
(1)主动研判经济形势,在投资新设电厂前进行风险评估,对电厂的常态化上网电量进行预估后再行投产,避免浪费,甚至无法收回成本;
(2)采用节能减排技术控制发电成本,确保在电力市场需求下降时,电厂具有竞价上网优势。
四、运营风险
运营风险在电力行业中有多种表现,主要表现为安全生产风险、健康安全环境(HSE)风险、电能质量风险等。在此,主要对最具有行业特色的安全生产风险进行阐述。
安全生产风险:由于电能不能进行大规模的储存,电力必须处于即时平衡状态,因此其生产过程必须具备相当高的可靠性和连续性,任何一个环节出现问题,都会引发一系列的连锁效应。电力行业若在安全生产上出现问题,可能会出现人员伤亡或者主设备被损坏,甚至导致全电网的崩溃,引起灾难性的事故或者大面积停电;电力企业属于典型技术、资产都比较密集的企业,设备量较大、样式品种多、自动化程度高,对于设备完好性有较高要求。这些内在特征决定了安全生产风险是电力行业固有的重大风险。
应对策略参考:
(1)提高危险防范意识,及时采用综合的防范措施,降低安全风险;
(2)建立相关安全制度,定期依据风险评估结果对安全管理保障制度进行评价、检查,以确保相关安全制度完善有效;
(3)健全安全检查方式,可在季节性大检查的基础上,根据危险源辨识、风险评估的结果增加专业检查项目;
(4)建立健全企业的安全责任制,确保安全网有效运行。
五、法律风险
法律风险在电力行业中有多种表现,主要表现为环保合规风险、公司制度合规风险、合同风险、诉讼风险等。在此,主要对最具有行业特色的环保合规风险进行阐述。
环保合规风险:近年来,“雾霾”等污染问题受到普遍关注,作为污染物排放较多的火力发电企业,成为环境治理的重点领域。2011年7月,环保部和国家质监总局联合发布了新修订的《火电厂大气污染物排放标准》。新标准将烟尘、二氧化硫、氮氧化物的排放浓度缩减了一半多,并新增汞及其化合物的排放指标。2014年国家发改委、国家能源局和环境保护部三部委联合发布《能源行业加强大气污染防治工作方案》,对能源领域大气污染防治工作进行全面部署,国务院办公厅印发《2014—2015年节能减排低碳发展行动方案》,进一步明确节能减排降碳指标、量化任务、强化措施。随着国家环保标准的提高,各省也纷纷提出PM2.5年均浓度控制标准,电力企业的环保合规要求越来越高,火电企业为控制烟气、废水、固体废物以及噪声排放,必须逐年增加环保设施技术改造、环境治理方面的投资。
应对策略参考:
(1)加强对节能减排技术的投资,确保环保合规;
(2)投资建厂时需对当地环保政策进行评估,并作为是否投资的重要依据;
(3)从使用煤炭等一次性能源发电逐步向清洁能源发电转变
第五章 信息与沟通
第一节 内部信息传递
内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。企业内部控制活动离不开信息的沟通与传递,企业应持续不断地收集、识别、整理与归纳来自企业内外部的各类信息,针对不同的信息来源和信息类型,明确信息的收集人员、收集方式、传递程序、报告途径和加工处理要求,通过月度经济分析会、月度安全生产分析会、生产调度会、周例会、管理信息系统等方式,确保各种信息资源得到及时、准确、完整收集,并以内部报告形式传递给内部各管理层级。
一、控制目标
1.及时准确的收集、传递信息,建立顺畅的信息传递渠道,确保信息在公司内部有效沟通、充分利用。
2.实现企业信息管理工作的规范化、制度化、科学化。
3.为企业管理层了解情况、科学决策、指导工作提供信息。
4.内部报告得到妥善保管,避免泄露商业机密。
二、主要风险
1.信息收集的范围不明确,信息收集缺乏针对性,收集不充分、不准确,信息有误,导致企业决策失误。
2.未建立内部报告流程,导致主要信息不能及时传递,或各部门信息不对称,影响企业经营效率和决策。
3.未建立内部报告保密制度,导致内部报告泄密,对公司造成不必要的经济损失,影响公司核心竞争力。
4.未及时对内部报告进行归档,导致相关信息泄漏或遗失。
三、信息传递业务流程
(一)信息
信息指企业生产、经营、管理、改革、发展以及国家政策、市场环境等方面的内容。企业可以根据其实际情况对信息进行分类并建立信息传递业务流程。例如,信息可以分为外部信息及内部信息两类。
1、外部信息主要包括宏观社会环境信息、科学技术发展信息、市场信息等,如国内政治经济形势、社会文化状况、生产所需要的设备、原料、能源等物资的供应和来源分布、市场需求信息、竞争信息等。
2、内部信息主要包括公司管理、生产活动、经济、技术、财务、人事等信息,如计划执行、生产调度、设备运行、安全管理、财务状况、经营成果等情况。
(二)键节点及控制方法
1.内外部信息收集
(1)电力企业应积极关注市场环境、政策变化等外部信息对企业生产经营管理的影响,通过期刊杂志、政府文件、行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,及时获取外部信息;通过公司计划和总结、财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络、各项信息记录等渠道,及时获取内部信息。通过整理分析内外部信息,以内部报告形式及时传递到内部相关管理层级,以便采取应对策略。
(2)电力企业应对收集的内外部信息进行筛选,确保信息具有真实性、客观性和时效性,根据公司制定的不同级次内部报告指标要求对信息进行分析,提取有效数据,形成内部报告。内部报告要内容完整、重点突出、时效性强,对于重大事项应详细反映事项的发展过程及变化趋势。
2.内部报告编制与审批
(1)电力企业应建立内部报告审核制度,根据内部报告类型不同,设置不同的审核权限。内部报告的起草与审核岗位应由不同人员担任,确保不相容岗位分离。部门负责人应对本部门起草的内部报告真实性、准确性负责,报告中涉及其他部门的,应传递至相关部门进行会审,确保信息完整准确。
(2)内部报告经审核无误后应在规定的时间内以办公系统、电子邮件、会议等方式,区分内部报告类型报送管理层。
3.内部报告传递与使用
(1)企业应制定内部报告传递制度,明确各层级在内部报告传递中的职责与权限,根据信息的重要性、内容等特征确定不同的流转程序。指定专人对内部报告的流转情况进行跟踪和记录,对于未按照传递制度进行操作的事件,应当调查原因,并做相应处理。对于重大突发事件,可直接向董事会或类似权力机构呈报内部报告。
(2)相关领导应对内部报告进行审阅、批示,企业管理层及各部门应充分利用报告内容指导经营决策及生产经营活动。对于内部报告反映出的问题应当及时解决,有效利用内部报告准确识别和系统分析公司生产经营活动中的内外部风险,确定风险应对策略,涉及突出问题和重大风险的,应当启动应急预案。
4.内部报告保密及归档
(1)企业应制定内部报告保密制度,明确保密内容、保密措施、密级程度和传递范围,防止泄露商业秘密,保密信息报送过程中形成的草稿、修改稿等在收发传递过程中应及时记录、归档或销毁。相关人员需查阅保密文件时,应履行审批程序。
(2)企业应制定内部报告归档保管制度,指定专人按类别保管内部报告。对影响较大、金额较高的内部报告(如公司重大重组方案、公司债券发行方案等)应严格保管,对影响重大的内部报告(如公司章程及修订记录、公司股东登记表等)应永久保存。
四、监督评价
1.内部报告编制与审批
检查内部报告内容是否内容完整、重点突出、具有时效性。内部报告编制过程中是否经过相关负责人审核、是否经过部门会审。
2.内部报告保密及归档
(1)检查是否制定内部报告保密制度,对于保密信息报送过程中形成的草稿、修改稿等是否及时记录、归档或销毁。相关人员需查阅保密文件时,是否履行审批程序。
(2)检查是否制定内部报告归档保管制度,对各类别内部报告进行妥善保管。
第二节 信息系统
《指南》所称信息系统特指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
现代企业的运营与管理非常依靠信息系统,缺乏信息系统的支撑,企业发展会受到阻碍。电力企业使用的信息系统种类繁多,对业务开展影响巨大,因此如何全面利用信息和数据,如何安全管理信息系统、如何运行维护信息系统成为重要问题。在电力行业中,信息技术成为电力工业发、输、配、变、用等各领域电力生产运营的基础保障,信息和数据成为电力企业生产、管理、运行、决策、服务等各项工作的重要依据,成为电力规划、设计、建设、运营等各业务高效运行的主要纽带;企业信息资源成为电力企业除人(技术)、财(资金)、物(含设备和电能)之外的第四大资源。因此,加强信息系统内部控制对电力行业尤为重要。
一、控制目标
1.设置专门信息化管理部门,明确职责,负责公司信息化总体规划、系统项目实施、系统变更管理、系统运维管理、系统安全管理等工作。
2.优化信息化建设资源,避免信息孤岛,避免因信息系统项目论证不充分、信息系统实施方案与实际需求不符等造成项目失败及资源浪费。
3.在自我开发和外购的方式中,采取有效适当的方式实施信息系统。
4.确保系统开发需求文档充分体现业务处理和内部控制需要,设计方案能够满足业务和控制需求。针对不同数据的输入方式,考虑实现对进入系统数据的检查和校验功能。
5.编写完整可行的上线计划,按照计划进行系统上线工作,确保新旧信息系统顺利切换和平稳衔接。
6.加强信息系统开发全过程的跟踪管理,确保系统在功能、性能、控制要求和安全性等方面符合开发需求。
7.确保信息系统按照规定的程序、制度和操作规范持续稳定运行,保证信息系统运行安全,对信息系统进行访问权限管理,对信息系统变更严格遵照管理流程进行操作。
8.确保信息系统能够抵抗病毒等恶意软件的感染和破坏,加强服务器等关键信息设备的管理,通过数据定期备份机制确保系统数据可用性。
二、主要风险
1.缺乏信息系统的专业管理部门和人员,未制订信息技术长期规划或规划不合理,导致企业信息化工作滞后于业务发展。
2.实施的系统开发项目没有经过充分论证,信息系统开发方式选择不当,导致形成信息孤岛或系统重复建设,信息系统对业务支持不足和投资浪费。
3.信息系统建设缺乏项目计划或者计划不当,信息系统需求分析不符合业务处理和控制的需要,需求表达不明确,有关需求未经评审,设计变更频繁,导致项目进度滞后、费用超支。
4.缺乏完整可行的上线计划,信息系统配置不符合设计方案,数据迁移不完整、不准确,导致信息系统无法正常稳定运行。
5.未对信息系统开发全过程进行跟踪管理,导致系统开发偏离业务需求。
6.信息系统验收不全面,上线未经有效测试,导致系统功能异常无法满足开发需求。
7.未制订日常运维管理规范或规范不健全,未定期对系统运维状况加以检查,未定期妥善备份数据,信息系统运行维护措施不到位,导致信息泄漏或损坏,系统运转异常或损坏后无法恢复,造成重大损失。
8.未建立信息系统变更管理制度,未规定合理的变更审批流程,导致变更管理混乱,系统变更影响系统正常业务和控制功能,影响系统数据的完整性、准确性和安全性。
9.企业员工信息安全意识薄弱,企业对系统和信息安全缺乏有效的监管手段,未确立信息安全管理制度,未明确组织及相关人员的安全职责,信息系统权限和工作职责不符,人员职责及系统权限不符合不相容职责分离的原则,需报废的计算机存储设备及其中所存储的数据处理不当,导致敏感信息和数据得不到有效保护,信息系统管理人员和操作人员非法利用其持有的不适当系统权限从事舞弊活动。
10.信息系统存在程序漏洞或网络防护不当,防病毒软件未及时更新,导致系统受到病毒等恶意软件的感染和破坏,黑客入侵或被不法人员利用盗取信息。
三、关键节点及控制方法
1.信息系统规划
(1)企业应设置信息系统管理部门,制定信息系统相关的管理制度,负责信息系统开发、运维、变更和安全管理等工作。
(2)信息系统管理部门应制定与企业整体战略目标一致的信息系统战略规划,并履行相关审批程序。信息系统管理部门结合企业实际情况、信息化发展需求及公司信息化总体方案等,制定年度信息化建设的重点工作安排。
2.信息系统开发上线
(1)企业应指派信息系统管理部门或委托有资质的机构对信息化项目进行可行性研究,编制项目可行性研究报告并组织相关部门进行论证,对需向国家申报的项目应履行相关审批程序。在项目可研阶段,信息系统管理部门应重点识别项目开发过程中的风险,并制定相应的控制措施。
(2)信息系统管理部门应进行软件选型,确定自行研发或外购。对于外购的项目,需对服务商进行严格筛选,原则上应采用公开招标的形式选择服务商,招标应由相关部门共同参与,应有完整的招标文件并签订合同。
(3)对于自行研发的信息系统,信息系统管理部门应成立专门项目组,编制系统开发总体方案,明确系统需求、功能模块、系统架构、人员配备、职责分工、项目整体计划等相关内容,按照规定程序审批后实施。对于外购的信息系统,信息系统管理部门、相关业务部门与系统服务提供商应组建项目组,编制项目实施总体方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定程序审批后实施。
(4)项目负责人应负责根据项目的具体情况组织编写项目实施计划,与项目实施人员共同讨论项目计划的可行性,项目实施计划应由项目组和企业内部相关部门共同确认才可实施。项目组应在项目实施计划中明确新旧系统切换时的方法及应急预案,保证新系统失效时能够顺利切换回旧系统。项目实施计划中还需明确项目各阶段的目标、人员、分工和进度安排等内容,并由项目负责人按照计划对项目进度进行跟踪管理,以保证过程可控,目标可实现。
(5)信息系统管理部门应组织企业内部相关部门提出系统需求,系统需求应经需求方负责人确认。项目组会同相关业务人员对系统需求进行分析和提炼,形成项目需求和设计方案,确保满足业务流程需求、业务规则要求和风险控制要求。项目组应与企业内部相关部门沟通讨论,说明设计方案对用户需求的覆盖情况。
(6)项目组应在项目实施过程中组织开展单元测试和系统测试工作,制定测试文档,以确保项目实施结果符合功能设计要求,并在测试基础上对设计方案提出改进建议。
(7)系统上线时,项目组应制定信息系统上线计划,在制定计划时考虑可能发生的风险并在计划中进行风险规避。对于涉及系统上线数据迁移的,项目组需制定详细的数据迁移计划,并对迁移结果进行测试。
(8)项目完成后,信息系统管理部门、相关业务部门应对项目进行验收,并在验收报告上签字确认。
3.信息系统日常运维
(1)信息系统管理部门应制定信息系统巡检制度,通过定期巡视机房,检查系统运行报告或日志监测服务器、数据库及网络设备的运行情况,并填写巡检日志,对发现的问题及时解决或报告。
(2)信息系统管理部门应根据业务频率和数据重要性明确数据备份策略,包括备份范围、频率、方法、责任人、存放地点、有效性检查等内容。进行数据备份时,应合理采用磁盘、磁带、光盘等备份存储介质。数据正本与备份应分别存放在不同地方,防止因火灾、水灾、地震等事故导致备份数据无法恢复。另外,应进行数据恢复性测试,以确保备份数据文件的可用性。恢复性测试应至少每年一次。当系统软硬件环境发生重大变化时,也应当进行恢复性测试工作。
(3)信息系统管理部门应制定信息系统相关的应急预案,定期组织相关部门和人员开展应急演练,并对演练中出现的问题进行总结,编制应急演练报告,不断改进应急预案。系统发生重大故障时,根据故障严重程度启动相关应急预案,故障处理完毕后,信息系统管理部门应在规定时间内编写专项报告并在企业内部汇报。
(4)信息系统管理部门应采取统一安装杀毒软件等措施,防范信息系统受到病毒等恶意软件的感染和破坏。对于接入企业内部网络的计算机,应统一安装规定的杀毒软件,并启用杀毒软件自动更新功能。应限制智能手机、平板电脑、PDA等个人设备接入企业内部网络。
4.信息系统变更
(1)信息系统管理部门应建立系统变更申请、审批、执行、测试流程。在对实施系统变更时,由需求方提交变更申请,按照程序经过适当审批后才可实施变更,需求方应对变更后的系统功能进行测试。
(2)对于需要进行程序开发的系统变更,信息系统管理部门应建立单独的系统开发(变更)环境、系统测试环境和系统生产环境。不得在生产环境中进行系统程序的开发、变更和测试工作。做好各环境的权限控制,严格限制可将变更程序从开发、测试环境中迁移至生产环境中的权限,严格限制可对生产环境程序和系统重要配置参数进行变更的权限。
5.信息系统安全
(1)信息系统管理部门应根据业务性质、重要程度、涉密情况等确定信息系统的安全等级,采用相应技术手段保证信息系统运行安全有序。
(2)信息系统管理部门应加强对重要业务系统的访问权限管理。制定不相容职责分离要求,避免将不相容职责授予同一用户。应用系统管理员不应同时兼任系统数据库管理员和服务器操作系统管理员。
(3)需要增加、删除或修改系统账号或权限前,应由系统使用部门人员提交系统用户权限变更申请,按照既定程序由相关管理人员审批后,系统管理员才可在系统中修改用户账号或权限。对于超级用户,严格规定其使用条件和操作程序,并开启系统审计日志功能以记录其在系统中的操作,超级用户权限使用完毕后需及时收回。信息系统管理部门应定期对系统账号和权限进行审查,避免存在授权不当或非授权账号。
(4)信息系统管理部门应制定机房管理制度,明确规定机房禁止非工作人员进入,特殊情况需经过相应授权批准,填写访客登记表。机房应安装门禁和监控设备。
四、监督评价
1.信息系统规划
(1)检查信息系统管理部门的人员配备是否充足,是否制定信息系统相关的制度。
(2)检查是否制定了信息系统战略规划和年度信息化工作计划。
2.信息系统开发上线
(1)检查信息系统开发项目是否存在可行性研究报告,可行性研究报告是否经过相应的审批。
(2)检查外购项目是否采用合理方式(如招标)确定供应商,项目是否签订了有效合同。
(3)检查软件开发总体方案是否明确了系统需求、功能模块、软件架构、工作计划等内容,项目计划是否对于阶段成果目标、人员分工及进度安排进行了规定。
(4)检查需求文档是否涵盖相关业务的各个方面。检查是否存在系统测试计划,单元测试和系统测试文档是否完备,对于测试结果存在问题的环节,是否进行了后续跟进处理。
(5)检查上线计划是否对于上线计划和范围、上线环境准备、基础数据准备及风险防范等进行了说明,上线计划是否经过适当管理人员的审批。
(6)检查是否对项目进行验收,验收报告上是否存在相关部门的签字确认。
3.信息系统日常运维
(1)检查日常巡检报告,对发现的问题是否及时解决或报告。
(2)检查对信息系统数据是否定期备份、异地备份,是否定期进行了数据恢复性测试。
(3)检查信息系统管理部门是否制定了信息系统相关的应急预案,是否定期进行应急演练。
(4)检查企业内网内的计算机是否安装了防病毒软件,杀毒软件版本是否更新。检查员工个人手机和电脑设备是否可以随意接入企业内部网络。
4.信息系统变更
(1)检查信息系统管理部门是否建立系统变更申请、审批、执行、测试的流程。
(2)若存在需要进行程序开发的系统变更活动,检查是否建立了单独的系统开发(变更)环境、系统测试环境和系统生产环境。检查各环境中的人员权限是否得到有效控制,尤其关注可以对生产环境程序和系统重要配置参数进行变更的权限是否授予适当的人员。
(3)检查系统变更活动是否存在经过审批的系统变更申请记录。
5.信息系统安全
(1)检查信息系统管理部门是否明确各信息系统的安全等级。
(2)检查信息系统管理部门是否制定了不相容职责分离要求,检查应用系统管理员是否同时兼任系统数据库管理员和服务器操作系统管理员。
(3)检查进入机房是否需要访客登记,机房是否安装了门禁和监控设备。
第六章 内部监督
第一节 内部监督概述
电力企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一个或者某些方面进行有针对性的监督检查。
电力企业应根据企业内部监督的职责分工实施日常监督,督促各级业务部门领导落实企业内部控制整体要求和具体的流程控制。按照不同的监督主体及相应的管理要求,电力企业日常监督可以体现为不同的形式,例如定期的经营分析会、生产例会、总经理办公会等。由内部审计机构(或经授权的其他监督机构)每年开展内部控制自我评价工作,与管理层就内部控制缺陷进行讨论,向董事会或其他专业委员会汇报评价结果,督促管理层及相关业务部门实施整改,也是日常监督的普遍做法。
专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。电力企业可以根据日常监督的结果,识别内控管理的薄弱环节,进行有针对性的风险评估,组织开展必要的专项监督。
例如,某电力公司在日常监督检查时发现,下属某供电局最近一个季度的电费收入出现大幅下降,但同期抄表电量与前期没有明显差异。经过详细用电检查发现辖区内用电单位绕越计量装置窃电。该供电局及时查处了窃电用户并将相关事件上报了上级单位。不久该电力公司即在全公司各个辖区组织了反窃电专项突击检查,成立了反窃电专项行动小组,制定了反窃电专项行动措施。按照分线分台区,与公安机关建立联动协同机制,开展警电联合执法。根据事先制定的详细整治方案,划定城区内窃电、违约用电嫌疑户及配电线路的“高损区”,跟踪线损波动,采取突击检查、夜间巡查和拉网式检查等方式,对公共变台区、高线损台区、电量异常等用户进行重点排查。活动共出动检查人员200人次,现场检查用户近2万户,查处窃电15户,违约用电8户,并根据有关规定进行了处理,有力震慑了窃电犯罪行为。
第二节 内部控制评价
内部控制评价,是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价是内部监督的一项重要制度安排,是内部控制的重要组成部分,对于建立和实施内部控制具有十分重要的作用。
电力企业应当制定内部控制评价办法,明确评价的职责分工、评价内容、工作程序等内容,规范开展内部控制评价工作。
一、内部控制评价的对象
内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
1.内部控制设计的有效性,是指为实现控制目标所必需具备的内部控制要素及程序都存在,并且设计恰当,能够为控制目标的实现提供合理保证。
设计有效性的根本判断标准是所设计的内部控制是否能为内部控制目标的实现提供合理保证。对于财务报告目标而言,所设计的相关内部控制是否能够防止或发现并纠正财务报告的重大错报,是判断其设计是否有效的标准;对于合规目标而言,所设计的相关内部控制是否能够合理保证遵循适用的法律法规,是判断其设计是否有效的标准;对于资产安全目标而言,所设计的内部控制是否能够合理保证资产的安全、完整,防止资产失;对于战略、经营目标而言,由于其实现还受到许多不可控的因素(尤其是外部因素)的影响,因而判定相关内部控制的设计是否有效的标准,是所设计的内部控制是否能够合理保证董事会和经理层及时了解这些目标的合理性和实现程度、从而调整目标和改进措施。
2.内部控制运行的有效性,是指在内部控制设计有效的前提下,内部控制能够按照设计有效实施,从而为实现控制目标提供合理保证。评价内部控制运行的有效性,应当着重考虑以下几个方面:
(1)相关控制在评价期内是如何运行的;
(2)相关控制是否得到了持续一致的运行;
(3)实施控制的人员是否具备必要的权限和能力。
需要强调的是,即使同时满足设计有效性和运行有效性标准的内部控制,受内部控制固有局限影响,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证,不应不切实际地期望内部控制能够绝对保证内部控制目标的实现,也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。
二、内部控制评价的原则
实施内部控制评价至少应当遵循下列原则:
1.全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
3.客观性原则。评价工作应当准确揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
三、内部控制评价的组织形式和职责安排
企业应当结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业内部控制评价办法应当具体明确内部控制评价的组织形式,特别明确各有关方面在内部控制评价中的职责安排,处理好内部控制评价和内部监督的关系,定期由相对独立的人员对内部控制有效性进行科学的评价,界定内部控制缺陷认定标准,保证内部控制评价有序地开展。
1.内部控制评价的组织形式
企业可以授权内部审计机构或专门机构(下称“内部控制评价机构”)负责内部控制评价的具体组织实施工作。内部控制评价机构必须具备一定的设置条件:一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
具体来说,企业可根据自身特点,决定是否单独设置专门的内部控制评价机构。对于单独设有专门内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实施工作。为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。
企业可以委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。从业务性质上讲,中介机构受托为企业实施内部控制评价是一种非保证服务,内部控制评价报告的责任仍然应由企业董事会承担。另外,为保证审计的独立性,为企业提供内部控制审计的会计师事务所,不得同时为同一家企业提供内部控制评价服务。
2.有关方面在内部控制评价中的职责和任务。
无论采取何种组织形式,董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。一般来说:
(1)董事会对内部控制评价承担最终的责任。企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告,审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。
(2)经理层负责组织实施内部控制评价工作。实际操作中,可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件。经理层应结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
(3)内部控制评价机构根据授权承担内部控制评价的具体组织实施任务,通过复核、汇总、分析内部监督资料,结合经理层要求,拟订合理评价工作方案并认真组织实施;对于评价过程中发现的重大问题,应及时与董事会、审计委员会或经理层沟通,并认定内部控制缺陷,拟订整改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告;沟通外部审计师,督促各部门、所属企业对内、外部内控评价进行整改;根据评价和整改情况拟订内部控制考核方案。
(4)各专业部门应负责组织本部门的内部控制自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制机构复核,配合内控机构(部门)及外部审计师开展企业层面的内控评价工作。
(5)企业所属单位,也应逐级落实内部控制评价责任,建立日常监控机制,开展内部控制自查、测试和定期检查评价,发现问题并认定内部控制有缺陷,需拟订整改方案和计划,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行考核。
四、内部控制评价的内容
电力企业应当根据《企业内部控制基本规范》及其配套指引、本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价,或者就某一方面进行专项评价。
1.组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
2.组织开展风险评估评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合《中央企业全面风险管理指引》和本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
3.组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
4.组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本单位的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
5.组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本单位的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注内部监督机构是否在内部控制设计和运行中有效发挥监督作用。
五、内部控制评价的方法
(一)内部控制评价的频率
企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,按规定执行。如果内部监督程序无效,或所提供信息不足以说明内部控制有效,应增加评价的频率。
(二)内部控制评价的样本量
评价测试人员结合测试目的、经验以及选定的测试方法来确定样本量,在进行抽样测试时,可以参考如下对于样本量的要求,记录需要进行内部控制测试的总体样本量、控制频率和样本量。评价小组在选取样本量时,需要根据控制措施的性质、复杂程度、发生频率、控制执行人员需要具备的能力、控制运行中职业判断使用的程度、控制执行人员是否存在变化以及控制的重要性确定抽样数量,以保证获得足够的支持性证据并保证评价工作的效率。
1.总体样本量
总体样本量是指要执行控制测试并得出结论的对象。在进行控制测试抽样前,需要明确抽样测试的总体以及这些抽样测试的总体是否完整。例如:评价小组要测试所有的收货单是否均已入账,就不能以账面记录的所有收货单作为控制执行的总体样本量。因为针对“账面记录的所有收货单”进行抽样根本无法发现想要发现的控制执行问题,即未入账的收货单。真正合适的总体样本量是测试期间内所有连续编号的收货单。
2.控制频率和样本量
关于控制频率和样本量的确定,可以参考以下方法及标准执行:对于自动控制的样本量确定为1个;对于频率不确定/不定期执行的控制,应根据其实际发生样本总量折算出频率后再选取相应的样本量。
3.整改后控制测试的最低样本量
通常来讲,控制执行的测试在年中或年中稍后的时点进行,那么需要在年中测试后到年底这段时间里,对以下三类控制进行“更新测试”:年中因无样本或其他原因未能测试的控制是否在年底前得到执行,执行是否有效;已经测试过没有问题的控制是否继续有效地执行; 年中测试发现的问题是否在年底前有效整改。
其中,对于第三类控制,即控制整改的测试,评价小组也需要考虑以下因素:这些控制执行问题是否得到有效整改,是否能够满足控制目标的实现;这些整改后的控制是否已经在一个合理的时间段里得到有效运行。
缺陷整改完成后,内部控制有效运行的时间是得出整改后内部控制运行有效性结论时需要重点关注的内容。通常来说,就年中测试发现的问题,只纠正问题或出于应付检查而改正一次(仅执行一次)不能够合理保证这些整改后的控制可以持续有效地执行下去。
(三)内部控制评价的方法
内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
1.个别访谈法
个别访谈法主要用于了解企业内部控制的现状,经常在企业层面评价及业务层面评价的了解阶段使用。访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。
2.调查问卷法
调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。
3.穿行测试法
穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。
4.抽样法
抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
5.实地查验法
实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。
6.比较分析法
比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。
7.专题讨论法
专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。
此外,还可以使用观察、重新执行等方法,也可以利用信息系统开发检查方法,或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的,应在评价方法上注意与人工控制、发现性控制的区别。
六、内部控制评价的程序
电力企业内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。概括而言,主要分为以下几个阶段:
1.准备阶段
(1)制定评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案,经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。
(2)组成评价工作组。评价工作组是在内部控制评价机构领导下,具体承担内部控制检查评价任务。内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业应根据自身条件,尽量建立内部控制评价长效培训机制。
2.实施阶段
(1)了解被评价单位基本情况。充分与企业沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。
(2)确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
(3)开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。
3.汇总评价结果、编制评价报告阶段
评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交企业内部控制评价机构。
内部控制评价机构汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
内部控制评价机构以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送企业经理层、董事会和监事会。企业如果遵循监管机构要求需对外披露内部控制评价报告,则需按规定格式内容编制报告,并由董事会最终审定后对外披露。
4.报告反馈和跟踪阶段
企业对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
企业内部控制评价机构应当就发现的内部控制缺陷提出整改建议,并报经理层、董事会(审计委员会)、监事会批准。获批后,应制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。在整改工作中遇到协调困难甚至阻碍的,内部控制机构有权直接向董事会(审计委员会)报告,董事会(审计委员会)应给予足够的支持和帮助。
企业要建立内部控制重大缺陷追究制度,内部控制评价和审计结果要与履职评估或绩效考核相结合,逐级落实内部控制组织领导责任。企业未开展内部控制工作,或未严格执行内部控制措施,导致发生内部控制缺陷,给公司生产经营、声誉形象、财产安全等方面造成不同程度的影响和损失,对相关责任单位或责任人要追究相关责任,并给予相应的处罚。
第三节 内部控制缺陷认定
一、内部控制缺陷分类
1.按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。
内部控制存在设计缺陷和运行缺陷,会影响内部控制的设计有效性和运行有效性。
2.按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要内部控制评价人员充分运用职业判断。一般而言,如果一个企业存在的内部控制缺陷达到了重大缺陷的程度,就不能说该企业的内部控制是整体有效的。
3.按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
二、内部控制缺陷的认定标准
企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
企业应当根据评价指引,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其影响程度。
1.财务报告内部控制缺陷的认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性。
财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:第一,该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;第二,该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。
(1)重大缺陷
如果一项内部控制缺陷单独或连同其他缺陷具备导致企业严重偏离控制目标,不能及时防止、发现并纠正财务报表中的重大错报,就应将该缺陷认定为重大缺陷。重大错报中的“重大”,涉及企业确定的财务报表的重要性水平。一般而言,企业可以采用绝对金额法(如规定金额超过10,000元的错报应当认定为重大错报)或相对比例法(例如,规定超过净利润5%的错报应当认定为重大错报)来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:董事、监事和高级管理人员舞弊;企业更正已公布的财务报告;注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员和内部审计机构未能对内部控制进行监督。
(2)重要缺陷
如果一项内部控制缺陷单独或连同其他缺陷具备导致企业偏离控制目标,不能及时防止、发现并纠正财务报表中虽未达到重要性水平、但仍应引起董事会和经理层重视的错报,就应将该缺陷认定为重要缺陷。重要缺陷并不影响企业财务报告内部控制的整体有效性,但是应当引起董事会和经理层的重视。对于这类缺陷,应当及时向董事会和经理层报告,因此也称为“应报告情形”。
(3)一般缺陷
不构成重大缺陷和重要缺陷的财务报告内部控制缺陷,应认定为一般缺陷。
2.非财务报告内部控制缺陷的认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。非财务报告评价应当作为企业内部控制评价的重点。
企业可以根据自身的实际情况,参照财务报告内部控制缺陷的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中:定量标准,既可以根据缺陷造成直接财产损失的绝对金额制定,也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定;定性标准,可以根据缺陷潜在负面影响的性质、范围等因素确定。非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。
定性参考标准:
以下迹象通常表明非财务报告的内部控制可能存在重大影响:
企业决策程序不科学,如决策失误,导致并购不成功;严重违反国家法律法规,对企业造成严重负面影响;管理人员或技术人员流失,严重影响企业正常经营;发生重大舆情事件,严重影响企业声誉;重要业务缺乏制度控制或制度系统性失效;一类设备缺陷:指严重威胁主设备安全运行及人身安全,或已造成电力出力降低和影响对外输送电力的重大缺陷;发生对定期报告披露造成负面影响的事项;未按规定执行“三重一大”(重大问题决策、重要干部任免、重大项目投资决策、大额资金使用)审批及执行流程。
为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。
需要强调的是,在内部控制的非财务报告目标中,战略和经营目标的实现往往受到企业不可控的诸多外部因素的影响,企业的内部控制只能合理保证董事会和管理层了解这些目标的实现程度。因而,在认定针对这些控制目标的内部控制缺陷时,我们不能只考虑最终的结果,而主要应该考虑企业制定战略、开展经营活动的机制和程序是否符合内部控制要求,以及不适当的机制和程序对企业战略及经营目标实现可能造成的影响。
三、内部控制缺陷认定程序
进行内部控制缺陷评价的程序主要包括缺陷识别、严重程度评估、初步沟通和最终认定四个环节。
1.缺陷识别
内部控制评价人员可以采用个别访谈法、调查问卷法、穿行测试法、抽样法、实地查验法、文档(凭证、记录)查看法、比较分析法、专题讨论法、重新执行法等手段进行测试,识别内部控制的设计缺陷和运行缺陷。
2.严重程度评估
内部控制评价人员在评估缺陷对控制目标偏离的影响程度时,需要考虑以下因素:
(1)与财务的关联性。
内部控制缺陷与财务报告/主要会计科目/附注的关联性,如果缺陷不直接影响财务报告,除非是极可能导致企业严重偏离控制目标,否则不应当认定为重大缺陷。
(2)重要性。
内部控制缺陷与财务报告直接相关时,应考虑风险发生的可能性以及对偏离目标的影响程度(比如收入、成本、资产等重要性水平),若超过重要性水平则为重大缺陷,否则不应当被认定为重大缺陷。
(3)缺陷的组合效果。
评价人员应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷组合起来的影响,是否构成重大或重要缺陷。
(4)补偿性措施的考虑。
在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,评价人员应当评价补偿性措施的影响。对已经确认的可能导致财务报告重大错报的内部控制缺陷(或缺陷汇总),企业应当评估是否存在补偿性控制,以及该补偿性控制是否按照一定的精确度有效执行,从而降低了该内部控制缺陷或缺陷汇总导致财务报表错报的可能性和/或重要性。为了得出补偿性控制有效执行的结论,企业应当首先分析该补偿性控制是否存在一定程度的精确性。其次,企业应对补偿性控制开展必要的测试验证工作,获取并记录补偿性控制执行有效的证据。
3.初步沟通
内部控制评价机构编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见(针对财务报告内部控制的缺陷,一般还应当反映缺陷对财务报告的具体影响),并以适当的形式与企业相关管理层进行初步沟通。
4.最终认定
内部控制评价机构根据初步沟通结果以及企业缺陷评价标准判断缺陷的严重程度,并根据缺陷的严重程度采取适当的形式与企业董事会及各级管理层沟通。
四、内部控制缺陷报告
企业内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见(针对财务报告内部控制的缺陷,一般还应当反映缺陷对财务报告的具体影响),并以适当的形式向董事会及各级管理层报告。
企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
内部控制缺陷报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。一般而言,内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。对于重大缺陷和重要缺陷及整改方案,应向董事会(审计委员会)或经理层报告并审定。如果出现不适合向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,应当直接向董事会(审计委员会)报告。对于一般缺陷,可以与企业经理层报告,并视情况考虑是否需要向董事会(审计委员会)报告。
合作伙伴
