第 4 章 GN 公司基于风险管控的内部控制体系设计
4.1 内部控制体系建设背景与意义
2005 年 7 月,经国务院批准,财政部、证监会等监管机构共同参加成立了“企业内部控制标准委员会”,由其指定的《企业内部控制基本规范》由财政部、等五部委联合颁布实施。作为省内能源行业的重要组成,GN 公司一方面响应政策和形势的号召,开始着手内部控制体系的建设;另一方面,2000 年 GN 公司出现了较为严重的财务资金管理问题,2001 年,公司在工商银行某支行存款计 1200万元被人冒用公司印鉴全部盗走,一系列的内部控制失效事件不断出现,公司高层也开始关注公司的内部控制,不断加强公司内部专项治理,并逐步筹划建立完善健全的内部控制体系,来尽可能减少公司的各类风险,保证公司的长期稳定发展。
4.1.1 建设内控体系,是促进企业防范重大风险的必然要求
近年来,伴随着我国企业较快的扩张和发展,尽管大多数公司建立了一个个管理制度,但是这些企业内部制度通常以零散的形式存在,缺乏系统性,且经常被公司部分管理人员有意或无意违反,即使在号称体制设计最先进的部分上市公司中,已经建立了股东会、董事会、监事会等组织机构,但职责分工不够明确,无法建立起规范的议事和决策程序,企业内部重大问题的决策往往缺乏民主性、科学性、合规性。各种潜在的风险日益显现,会计造假等案例时有发生。
事实证明,在我国经济快速增长的背景下,内部控制尽管不是万能的,但没有内部控制是万万不能的。只有建立和实施科学的内控体系,才能提升风险防范能力,实现企业可持续发展战略。
公司内控体系建设和实施的主体包括董事会、监事会、经理层和全体员工,是全员参与的一个动态过程。内控建设不仅仅在于制度、流程、表格的建立,不仅仅是董事会、监事会、管理人员的参与,公司每一名员工都对内部控制负有责任并受到内部控制的影响。内部控制触角涉及企业经营管理的各个环节和各个方面,企业的各项经营管理活动均纳入了内部控制范围,只有公司所有员工明确自己的责任和权限,才能切实保证内控体系建设和实施的有效性。
4.1.2 建设内控体系是监管部门合规要求的基本标准
国家财政部、中国证监会等五部委于 2008 年 5 月联合发布了《企业内部控制基本规范》,2010 年 4 月又联合发布了 18 项具体工作指引,规定自 2011 年 1月 1 日起在境内外同时上市的公司施行,2012 年 1 月 1 日起扩大到在上交所、深交所主板上市公司施行,内部控制进入了强制执行阶段。各级监管机关纷纷开展了针对性部署。中国证监会已经明确表示,要给予在本次内控体系建设工作中表现积极、成果显着的上市公司在开展资产重组、实施再融资等资本运作方面给予一定政策倾斜,内控建设有效,可以考虑开通融资绿色通道。相反,也要对本次内控体系建设工作中推动不力,达不到证监会要求的上市公司取消相应的政策优惠,并在融资方面给予限制。
近年来,公司内部控制制度建设和执行情况已有了较大的改进和提高。一是管理层内控意识、风险防范意识增强,内控建设环境得到明显改善,公司自2009 年起,每年依据《基本规范》及证券监管部门要求,对公司内控进行全面自查并出具自我评价报告,公司内部控制总体上符合中国证监会和深交所关于上市公司内部控制的相关要求。二是按照内部控制原则和防范风险的要求,公司持续完善治理结构、调整组织架构,明确职责,制定和修订了大量的业务规章制度,风险控制措施逐步健全。三是不断更新的管理信息系统支持了企业风险管理的需求。四是公司建立了独立的内部审计体系,内部审计的独立性不断增强。但对照《基本规范》和《配套指引》的要求,公司的内部控制仍处于分散、不系统的阶段,诸如有的控制制度尚未建立或尚不健全;管理部门之间的衔接不充分。开展内部控制建设就是要将公司内部控制提升到体系完整、系统完善的高度,公司内控建设活动也就是一个不断完善,不断提高的“过程”.
4.1.3 建设内控体系是公司持续提升经营管理水平的内在需要
国内外企业经营管理实践表明,企业内部控制工作的完善程度反映了企业管理水平的高低,同时,内控体系的建设也是提升管理水平的有效手段。《基本规范》和《指引》的出台,对我国企业而言,既是对企业内部控制水平的检验,更是一种前所未有的挑战。建立健全企业内部控制体系是现代企业制度建设的需要,也是市场经济竞争与发展的内在要求。企业内控体系建设是一项持续性长效工作,企业内生的需求与外部监管形成的合力能够促进企业内部控制体系工作更好更快地发展。公司之所以要大张旗鼓开展内控体系建设,并不是单纯应付证券监管部门的要求,不是做表面文章、得出一些书面结果就万事大吉,而是要以建立健全内控体系为契机,通过公司全体员工亲力亲为,将内控体系的每一项制度、每一个流程融入到我们的思想、观念中去、融入到公司日常每一项管理行为中,使公司全体员工遵循、贯彻内控制度的意识从“必然”提升到“自觉”,切实提高公司综合管理水平。
4.2 内部控制体系建设方案
建立健全并有效实施内部控制是公司董事会及管理层的责任,同时需要公司全体员工的紧密配合和监督。
4.2.1 内部控制体系建设目标
公司内控体系建设的目标为合理保证公司经营管理合法合规、提高公司经营效率,保障公司资产安全,确保公司财务报告及相关信息披露的真实、准确、完整和公平,提高公司经营管理水平,促进公司健康可持续发展。
4.2.2 内部控制体系建设组织
公司成立了公司内部控制建设领导小组及相关工作机构,并制定内部控制规范实施工作方案交公司董事会审议通过,正式启动内部控制体系建设工作。
公司内控建设领导小组由董事长担任组长,高管人员及下属电厂主要负责人也在小组之中。
公司内控体系建设共分为筹划准备阶段、梳理建设阶段、自我评价阶段及独立审计阶段。
公司在没有聘请中介机构的情况下,独立开展内控评价工作,具体工作授权领导小组承担,在领导小组下设立内部控制评价工作办公室,办公室由公司各部门各下属单位业务骨干组成,负责实施现场测试工作。
董事会随时掌握内控评价工作的进展情况,并对相关重大事项进行决策。
此外,公司还召开了股东大会聘请专业会计师事务所对公司当年财务报告内部控制的有效性进行审计。
4.2.3 内部控制体系建设范围
(1) 主体范围:通过调研与分析,公司确定本次内部控制基本规范实施范围是公司合并报表范围内所有分公司,分别为 GN 公司本部及下属全资火电厂一家、水电厂两家,上述单位当年总资产、营业收入占公司合并财务报表对应项目的 99.8%以上。
(2) 重点业务流程范围根据公司自身特点及实际情况,GN 公司内部控制体系建设的主要业务流程范围包括:公司治理、战略管理、资金管理、投资管理、财务报告、燃料管理、安全生产管理、资产管理、运营管理、人力资源、工程项目、信息系统等业务一级流程以及相关的二、三级流程。上述业务的内部控制涵盖了公司及其分公司经营管理的主要方面,不存在重大遗漏。
4.2.4 内部控制体系建设要素
依据内部控制理论,GN 公司的内部控制主要从企业的内部环境、企业的风险评估、企业的控制活动、企业的信息与沟通、企业的内部监督五个因素进行。
其中企业的内部环境包括企业的治理结构、企业的机构设置及权责分配、企业的内部审计、企业的人力资源政策和企业的文化等。企业的风险评估则包括企业内部的风险和企业外部的风险,此次研究主要是基于公司层面的风险。企业的控制活动则从制度和实施等多个方面进行控制,从制度上加强控制的方向和力度,在实施中落实控制要点。企业的信息与沟通则重点关注集团本部与下属企业、上层高管与下层员工之间的信息沟通,防范信息披露、内幕交易和舞弊事件等的发生。企业的内部监督旨在建立从上而下、持续的监督工作,针对发现的问题及时进行改正和完善,加强内部控制体系的有效性和时效性,保证公司的长足发展。
4.2.5 流程梳理及风险识别
为了能够更加有效地识别风险,公司在风险识别初期,首先对公司现有的内控制度及业务流程进行了收集及梳理,依据本单位、部门的职能填报管理制度、业务流程名称,初步识别流程层面风险,然后根据以上调查结果,对照相关要求,搭建以公司治理、财产管理、运营管理等为主干的流程框架,接着根据流程框架,要求各单位、部门对照内控基本规范及具体指引逐个梳理原有制度,按统一设定的工作模板编制业务流程,一并填报业务流程调查表(范例见表 4.1),然后在公司各业务单元、主要经营活动,重要业务流程中仔细查找可能存在的风险,重点关注重要业务事项和高风险领域,抓住关键控制点,找出核心制度、流程进行梳理,识别具体的流程层面风险,并设计控制措施对风险加以控制,形成流程风险控制矩阵(范例见表 4.2)。风险查找的过程应当确保查找的完整性,即风险是否被有效地发现,确保没有重要的风险疏漏;准确性,即查找出来的风险是否确实存在。
4.2.6 风险评估
对公司重要业务领域可能存在的风险进行梳理后,通过风险归类,并分层整理编制风险清单,将公司现有的制度、流程、风险清单等与相关现行的法律、行业规则进行核查比较,以发现公司可能存在的制度或流程上的缺陷,从缺陷的成因、表现和严重性上进行分析,建立内控缺陷汇总表,进而对风险进行评估。风险评估即是指,在风险事件发生之前或之后(但还没有结束),该事件给公司运营管理等方面造成的影响和损失的可能性进行量化评估的工作。其目的是为了要识别出哪些风险是最重要最紧急,需要立刻解决的;哪些风险是需要在今后的生产经营活动中持续关注的;哪些风险是无关紧要,可以暂时忽略的。
在风险评估的过程中,需要关注的主要有风险发生的可能性、风险对公司的影响程度、风险持续影响公司的时间等几个方面。
4.2.7 内部控制体系设计的流程管理
在风险评估的基础上,根据公司自身情况,结合公司外部环境及相关法律法规,以内控建设目标为核心,制定出适合公司运营特点的风险应对策略,是公司基于风险管控的内部控制体系设计的重要环节。作为风险管控的组成部分,公司应当比较不同的风险应对策略,并对其将对公司产生的影响进行评估,进而选择出符合公司实际的应对策略。公司还应当对初步选择的应对策略进行整体测试,形成内控缺陷清单追踪整改进度,检查整改效果,确保整改工作落到实处。
4.3 内部控制体系建设情况分析
依据内部控制理论,GN 公司的内部控制规范建设主要从以下五个方面开展。
4.3.1 内部环境
组织架构:公司设有股东大会作为最高权力机构,决定公司战略发展方针,审批公司的年度财务方案、利润分配方案等公司各重大事项。
公司股东大会下设董事会,为公司的常设决策机构,由股东大会选举产生。
董事会下设战略与投资委员会、审计委员会、提名薪酬与考核委员会三个专门委员会,分别就各自专业领域内事项开展工作。
监事会是股东大会领导下的公司常设监察机构,对股东大会负责,履行监督职能。
以上述“三会”规范运作为基础,公司建立了完善的法人治理结,具体公司组织机构图见图 4 1.
内部审计:公司设立了审计监察部,审计监察部对公司本部及下属各单位进行内部审计监督,为提高管理效能提供了有力保障。
人力资源:公司实行全员劳动合同制,并制定了系统的人力资源管理制度。
企业文化:公司一直秉承特有的企业精神,不断通过公司杂志、心远读书会、公司合唱团及“GN 杯”篮球比赛等平台宣传、培育具有 GN 特色的企业文化,增强凝聚力。努力朝着“科学发展、二次创业、再造 GN”的方向奋斗,以实现企业宗旨--股东责任、社会责任、环保责任。
社会责任:社会责任是公司坚持履行的“三大责任”之一,其中包括环保、节约、就业、职工福利等多方面。公司建立了电力安全生产、危急事件管理等一系列的规章制度,并能严格执行,使得公司得以保持良好的长周期安全生产记录。公司按照环保要求不断加强和改进脱硫、除尘等环保设施的维护管理,所属 FC 二期发电厂正在实施脱硝改造工程。
公司设立了工会委员会,保护员工权益;公司还积极开展文明创建和文明帮建活动等,实现公司与员工、公司与社会、公司与环境的健康和谐发展。
4.3.2 风险评估
根据企业目标,结合公司实际情况,公司系统的收集相关信息,最大程度的识别内部风险因素和外部风险因素。对已识别的公司层面风险进行分析和排序,确定关注重点和优先控制的风险。对已识别的业务层面风险,结合风险承受度分析,确定风险应对策略,并以此为依据编制业务流程风险控制矩阵,在流程中采取适当的控制措施管理风险。
目前公司面临风险及应对策略:
12014 年,受国家整体经济发展水平放缓以及产业结构调整影响,发电企业的上网电价有进一步调整的风险,发电企业的利润可能受到压缩,这将导致省内发电行业市场份额的竞争更趋激烈。
应对策略:加强自身生产设备管理、确保所属电厂机组全年安全稳定运行,跟踪和及时分析电力市场变化趋势,及时调整生产经营策略,通过电量结构的调整多发有效益电;积极应对电力市场压力,加强政策研究及与有关部门的沟通协调,争取更多市场份额;抓好售电管理,提高电费结算水平。
2、发电成本风险。
电煤价格仍然不稳定,尽管煤炭价格整体呈下行态势,但自 2013 年 10 月份以来,受前期国际煤炭价格上涨、国际海运费飙升、下游用户加大补库力度等多重因素影响,国内三大煤炭企业在进入冬季的第一周就纷纷较大幅度上调动力煤价格,国内煤价整体出现止跌企稳,甚至逐步回升的迹象,电煤市场供应呈现国内国际价格同升的趋势,煤炭价格的不稳定在短期内将处于反复状态,公司经营形势存有潜在压力。
应对策略:公司将以控制煤价为首要原则,围绕市场抓好燃料采购工作,通过客观分析煤炭走势和价格行情,制定合理对策,加大调运力度,做到保障供应、保证煤质、调整结构、确保盈利目标。同时,结合市场形势同步调整进煤方式,不断优化物流模式,建立合理的调运及厂存策略。
3、环保压力和资金压力并存的风险。
近年来,国家不断加强能源结构调整和产业政策变革,对火电厂大气污染物排放标准逐渐收紧,公司所属火电厂脱硫、脱硝、除尘等环保设施的技改成本、运营成本将继续上升。参股的核电项目因国家能源“十二五”规划中提出暂不安排建设内陆核电项目而暂缓开工建设,公司前期投资暂不能发挥效益,资金占用成本加大,加之 2013 年金融市场“钱荒”的影响依然存在,且国内股市尚处低迷状态,资本市场融资能力受到较大影响。
应对策略:公司将跟踪环保政策变化,制定技术响应方案,通过改造不断提高环保设备等级,与发电主机设备同级别进行运行维护与内部管理,提高环保设备稳定性、可靠性;积极探索清洁能源领域,减轻公司的环保压力。
同时,公司将持续提高资金管理和运作水平。通过主动运作,提高公司及所属企业资金使用效率;通过加大融资品种方面的研究,适时通过灵活运用配股、定向增发、资产证券化、短期融资券等丰富了公司融资手段。
4.3.3 控制活动
公司根据风险评估结果,采取相应的控制措施,包括:不相容职务分离、授权审批、会计系统控制、财产保护控制、全面预算管理、经济活动分析和绩效考核等,均融入公司内部控制规范体系之中。
公司根据有关法律法规,建立了公司内部控制规范体系,修订、完善了原有规章制度,重新建立了业务流程及流程风险控制矩阵。包括“三会”议事规则、《独立董事年报工作制度》、《发展战略管理制度》、《项目投资管理办法》、《资金管理办法》、《财务报告管理办法》、《燃料管理制度》、《全面预算管理办法》、《合同管理办法》、《安全生产工作管理办法》、《员工绩效考核评价管理办法》、《经济活动分析管理办法》、《“三重一大”事项集体决策管理制度》等及相应的流程、流程的风险控制矩阵,基本涵盖了公司治理和经营管理的重要环节,为公司运营提供了合理保障。
公司同时制定了《公司内部控制评价管理办法》,明确了评价方式、程序、内部控制缺陷认定标准等,对发现的缺陷及时采取措施整改。
4.3.4 信息与沟通
公司建立了内部信息管理系统,并制定了《信息管理系统管理制度》、《内部信息报告制度》等,管理层能及时获得进行决策所需要的相关信息。公司本部、各部门、所属单位定期召开各层级工作例会,研究部署工作。
对外信息披露方面制定了《信息披露管理制度》、《内幕信息知情人登记备案管理制度》等,公司能够与供应商、中介机构、监管部门等有关方面进行良好的沟通。
公司以预防优先为原则,制定了《反舞弊及投诉举报工作制度》及其他纪检监察工作制度,明确了舞弊案件、举报投诉的处理、报告途径等。
目前,公司内部信息与沟通顺畅,对外履行了信息披露义务,耐心、真诚的接待来电、来访,建立了稳定的投资者关系。
4.3.5 内部监督
公司对内部控制规范体系的监督包括董事会审计委员会、监事会和内部审计机构。
审计委员会审议公司内部控制评价报告,并向董事会报告。监事会对董事会建立与实施内部控制及内部控制评价制度的情况进行监督。内部审计的基本制度经董事会批准后实施,公司审计监察部对公司内部控制进行审计监督,并接受董事会审计委员会指导。