本实现有效控制。
电力企业建立与实施有效的内部控制体系,应当包括下列要素:一是内部环境,它是企业实施内部控制的基础,一般包括组织结构、发展战略、人力资源、社会责任及企业文化等;二是风险评估,是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略;三是控制活动,是指企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内;四是信息与沟通,是指企业及时准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通;五是内部监督,是指企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进。
内部控制体系建设与运行一般分为内部控制体系建设、内部控制评价与审计、内部控制体系持续改进与优化。电力企业应按照《企业内部控制基本规范》和配套指引的要求,建立内部控制体系,结合本企业实际,以提高经营效率和效果为目标,以风险管理为导向,以流程梳理为基础,以关键控制活动为重点,制订内部控制整体建设实施方案,明确总体建设目标和分阶段任务;要按照管理制度化、制度流程化、流程信息化的要求,立足企业实际,倡导全员参与、全业务覆盖,注重控制实效,抓好内部控制建设基础工作和关键环节;要组织开展内部控制年度评价与审计工作,并促进内部控制体系的持续改进与优化。
第一节 内部控制体系建设
内部控制体系建设是指在企业系统化开展内部控制体系建设,包括组建内部控制组织体系、确定内部控制建设范围、开展风险评估、识别业务关键控制环节、优化完善现行制度、建立内部控制标准体系等内容。 一、 组建内部控制组织体系 1.健全治理结构。电力企业按照现代企业制度建立完善法人治理结构,依法设置董事会、监事会、经理层等组织机构,确定各自权利和义务。企业结合业务特点和内部控制要求设置内部机构,明确职责权限,将权力与责任落实到各级单位、部门和岗位。 2.成立专门机构。电力企业应在董事会下组建全面风险管理委员会等类似内部控制管理机构,负责企业内部控制与风险管理整体工作;电力企业应在全面风险管理委员会下成立专门的内部控制管理部门或在已有部门中成立具有此类职能的专门机构,具体负责组织协调内部控制的建立、实施、评价及日常运转。该专门机构应配备适当的人员,明确权责范围,并具备以下条件:第一,配备具有内部控制与风险管理专业知识能力的适当人员;第二,具备确保内部控制体系长效运转的资源配备;第三,具备监督与评价内部控制体系工作的权利,并能够对企业职能部门的工作有直接接触和监督评价的权利;第四,归属最高管理层管理,并可直接向董事会或类似权力机构报告工作。
3.强化专业岗位。电力企业各业务部门负责人是本部门内部控制的责任人,有责任指导和监督本专业内部控制工作开展,并配合内部控制管理部门开展风险评估、内部控制评价等相关工作。同时,各业务部门应配备专人或专岗,负责组织开展本专业内部控制相关工作。 4.加强内控监督。电力企业内部控制管理部门以及审计部门等内部监督机构负责对内部控制建设与运行情况进行监督检查,提出持续改进完善建议。 二、 确定内部控制建设范围
电力企业内部控制建设范围包括三个层面:企业层面、业务层面和信息系统层面。 在企业层面,电力企业应开展内部环境、风险评估、控制活动、信息与沟通、内部监督建设,确保企业整体内部控制有效性。 在业务层面,电力企业应依据实现企业战略目标所需开展的业务活动,构建企业全业务流程框架。一般来说,随着企业目标的逐级分解,围绕这些目标的实现,也可以将企业业务
按照业务模块、价值链环节等划分为不同等级,形成涵盖企业整体范围的全业务流程框架。电力企业应加强重点流程与特殊业务的内部控制,着力抓好资金、投资、采购、基建、销售、产权管理、人力资源管理、质量管理、安全生产等关键业务流程控制,加强境外资产、金融及其衍生业务、重大经济合同和节能减排等特殊业务的内部控制建设,确定内部控制建设业务范围。
在信息系统层面,电力企业应推进内部控制体系建设同信息化建设的融合对接,结合企业信息化建设进程,将业务流程和控制措施逐步固化到信息系统,实现在线运行。 三、 开展风险评估
电力企业应基于全业务流程框架,对影响企业目标实现的风险开展识别与评估,确定各类业务风险点,评估风险承受能力,明确相应风险管理策略。业务风险点可参考并覆盖前期在电力企业执行多年的各类管理要求中的风险,如《防止电力重大事故 25 项反措》、OHSAS18000 系列职业健康安全管理体系、HSE健康安全和环境三位一体的管理体系、NOSA五星安健环管理体系等。 四、 识别业务关键控制环节
电力企业应依据评估出的业务风险点,识别业务流程中的关键控制点,并记录在内部控制文档中。关键控制点是指在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少或不可代替的。确认关键控制点应作为企业控制活动的重点,对其实行全面、严格的管理,可避免重大风险的产生。 五、 优化完善现行制度
电力企业应以流程为基础,将关键控制点、风险点、应对措施、岗位责任等内容以制度形式固化,健全完善企业制度体系。 六、 建立内部控制标准体系
电力企业应依据《企业内部控制基本规范》及其配套指引,结合企业运营管理的实际情况,建立覆盖全业务的内部控制标准体系,指导企业生产经营。内部控制标准体系一般应包括但不限于以下内容:
1.内部控制体系建设的范围;
2.内部控制体系建设的主体、职责分工、考核办法; 3.内部控制体系建设的长期、短期目标; 4.内部控制体系建设具体内容;
5.内部控制体系评价的要求(如评价的范围及缺陷评估标准等); 6.内部控制体系持续维护及监督的要求等; 7.内部控制系统报告具体内容; 8.内部控制考核管理内容。
一般情况下,电力企业内部控制记录文档包括以下种类,但企业也可以根据自身情况,制定特殊的记录文档要求:
1.流程图:用符号和图形来表示企业业务和文件凭证在组织内部有序流转的文件。电力企业应以主业务流程的子流程为单位绘制流程图,并重点强调关键控制活动所在的环节。流程图中的关键控制活动应与控制矩阵中的关键控制活动保持一致。
2.流程描述:用文字表述的形式来对企业的业务流程进行详细描述的文档,包括但不限于主流程及其子流程的名称、目标、范围、业务风险以及业务流程中所涉及的对管理活动之间关系的描述。
3.控制矩阵:以表格的形式,按业务流程、二级流程分类记录企业的控制活动的文档,反映控制活动与控制目标之间的关系,一般应包括控制目标编号、控制活动、风险及风险编号、相关制度与文档等要素。同时,文档应记录具体控制措施的属性,例如控制频率、控制
性质等。
4.不相容职责表:以表格的形式来表述业务流程、二级流程中各不相容相关责任岗位的文档。描述控制活动中的不同部门、岗位之间的权责分离、相互制约、相互监督等情况。
第二节 内部控制评价与审计 一、 内部控制评价
内部控制评价是指对企业内部控制设计和执行的有效性进行评价,识别控制缺陷,形成评价结论,出具评价报告的过程。
电力企业应根据《企业内部控制评价指引》建立相应的程序和组织,完成内部控制评价工作,编制内部控制评价报告。上市公司还应按照监管要求对外披露报告信息。
电力企业内部控制评价程序包括制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等环节。 一般来说,内部控制评价工作组通常由内部控制管理部门和企业内部相关部门的业务骨干组成。内部控制评价工作组在选拔成员时,要特别关注人员的专业胜任能力和职业道德素养。内部控制评价工作组成员分工时,要注意将成员负责的评价工作范围与成员所在部门予以适当分离,确保评价工作的独立性。必要时可以委托具有相应资质的中介机构协助开展内部控制评价工作。
内部控制评价应注意以下几点:
1.内部控制评价工作应当包括内部控制的设计与运行,涵盖企业的各种业务和事项,对实现控制目标的各个方面进行全面、系统、综合的评价。
2.在全面评价的基础上,应重点关注重要业务单位、重大业务事项和高风险领域。对专业管理规范的电力安全生产事项,可组织相关专业专家进行内部控制评价。
3.内部控制评价应当准确揭示企业经营管理的风险状况,如实反映内部控制设计与运行的有效性。评价工作要客观、公正,要通过内部控制评价提高管理层和员工对内部控制工作的认识。
4.内部控制评价工作应与部门绩效考核以及员工奖金收入挂钩,通过检查、评价、考核促进企业全员认真开展内部控制体系建设工作,从而达到通过内部控制评价促进内部控制体系建设,通过内部控制体系建设提高企业管理水平的目的。 企业可以考虑将内部控制评价固化至信息系统中,提高内部控制评价的效率和效果。有条件的企业要通过建设内部控制监控信息系统,实时监控企业业务流程的执行情况,将风险控制防范在事前和事中,避免企业管理停留在事后追究的阶段。 借助于信息系统开展内部控制评价工作具有以下优点:
1.统一管理内部控制评价工作方式、工作规范、工作模板、工作流程,辅助企业有序、高效地开展内部控制评价工作。
2.能够将每个内部控制点有效性的责任落实到具体流程负责人的日常工作和绩效考核中,由流程负责人负责内部控制流程及内部控制点的持续更新及维护。
3.通过建立内部控制文档数据库,统一文档格式及文档编号,收集并汇总在评价过程各个阶段、不同版本的内部控制文档,便于文档管理及维护。
4.利用信息系统功能制定更为详细的评价计划,将评价计划按照管理层级和管理部门分解,并将具体的文档编写、内部控制测试、文档审阅、整改、整改跟进等工作落实到具体的人员,由系统自动记录各项工作的完成过程及状态。
5.可利用信息系统相关功能自动从工作底稿中获得内部控制执行的证据,汇总发现的各类问题等。企业管理层可通过信息系统搜集出现的问题,监督各方面工作的进展。
6.将一些无须人工干预的管理标准、参数等嵌入到信息系统中,通过软件来实现标准化
的节点控制,减少内部控制管理的人工控制,实现自动化管控,降低成本同时又能保障执行效率和效果。
二、 内部控制审计
内部控制审计是指会计师事务所接受委托,对特定基准时间内部控制的设计与运行的有效性进行审计。内部控制审计作为内部控制体系有效实施的一项重要制度安排,能够监督、推动企业将内部控制体系落到实处,促进企业加强内部控制体系建设,提升企业风险防范能力,是企业建立健全内部控制体系不可或缺的环节。
内部控制审计并不是就企业内部控制自我评价过程及评价结论的验证,也不是对企业内部控制自我评价报告本身发表意见,而是通过对被审计单位的内部控制制度的审查、分析测试、评价,确定其可信程度,从而对内部控制是否有效作出鉴定的一种现代审计方法。 企业应该按照审计要求提供完成内部控制审计所需的充分、适当的审计证据。如果外部审计师认为审计范围受到限制,导致无法获取发表审计意见所需的充分、适当的审计证据,可以不必执行任何其他工作,即对内部控制出具无法表示意见的内部控制审计报告。
外部审计师在发表内部控制审计意见之前,需要获得经企业签署的内部控制书面声明。书面声明内容主要包括:
1.被审计单位董事会认可其对建立健全和有效实施内部控制负责。 2.被审计单位已对内部控制进行了评价,并编制了内部控制评价报告。
3.被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础。
4.被审计单位根据内部控制评价标准评价内部控制有效性得出的结论。 5.被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷。
6.被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊。
7.注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决。
8.在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。 需要强调的是,书面声明不仅应包括企业按照内部控制评价标准完成进行内部控制自我评价形成的评价报告,还应向外部审计师披露所识别出的所有内部控制缺陷及舞弊情况。同时,企业的内部控制评价责任还应延续到报表基准日至其出具书面声明的时点,即企业应对内部控制在该期间是否发生变化做出说明。 在整合审计中,外部审计师出具内部控制审计报告,其日期应该与财务报表审计日期相同。
内部控制审计在对内部控制的有效性形成意见后,注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。
第三节 内部控制持续改进与优化
内部控制持续改进与优化是指对内部控制评价与审计发现的内部控制缺陷,制定整改计划并组织落实,促进内部控制体系的不断完善和提升。内部控制持续改进与优化一般包括以下工作:
相关推荐:
loading