徐曉強 郭 峰

(遼寧紅沿河核電有限公司，遼寧 大連116001)

1 內部控制概述

1.1 內部控制的必要性

財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會于2008年5月22日印發(fā)了《企業(yè)內部控制基本規(guī)范》（以下簡稱《規(guī)范》），《規(guī)范》中明確，該規(guī)范適用于中華人民共和國境內設立的大中型企業(yè)。2010年10月，五部委印發(fā)了《關于印發(fā)企業(yè)內部控制配套指引的通知》，要求自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行，鼓勵非上市大中型企業(yè)提前執(zhí)行。此外，國資委、財政部于2012年5月發(fā)布了 《關于加快構建中央企業(yè)內部控制體系有關事項的通知》，要求各央企在2013年建立起覆蓋全集團的內部控制體系。

鑒于我國核電企業(yè)均為央企或其子企業(yè)，基于上述要求，核電企業(yè)特別是上市集團下屬核電企業(yè)均需建立內部控制體系。

1.2 內部控制的定義和目標

《規(guī)范》明確了內部控制的定義，即：由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現控制目標的過程。

內部控制的目標是合理保證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現發(fā)展戰(zhàn)略。

1.3 內部控制的原則

內部控制原則是企業(yè)建立和實施內部控制管理程序的基本標準，應遵循如下原則：

1.3.1 全面性原則

內部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項。

1.3.2 重要性原則

內部控制應當在全面控制的基礎上，關注重要業(yè)務事項和高風險領域。

1.3.3 制衡性原則

內部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。

1.3.4 適應性原則

內部控制應當與企業(yè)經營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。

1.3.5 成本效益原則

內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。

1.4 內部控制的要素

企業(yè)建立與實施有效的內部控制應當包括下列要素：

1.4.1 內部環(huán)境

內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。

1.4.2 風險評估

風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。

1.4.3 控制活動

控制活動是企業(yè)根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。

1.4.4 信息與溝通

信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。

1.4.5 內部監(jiān)督

內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現內部控制缺陷，應當及時加以改進。

2 體系融合的基礎

核電管理體系存在與內部控制要求不一致的情況，通過融合的方式建立核電內部控制體系是必要的、可行的。

2.1 核電管理體系與內部控制要求的差異

核電企業(yè)的管理體系最初來源于核設施質量保證體系，該體系建立的基本依據為國家核安全局頒布的核安全法規(guī)HAF003《核電廠質量保證安全規(guī)定》（以下簡稱《質保規(guī)定》），后又加入了安全和環(huán)境相關的管理規(guī)定。此法規(guī)提出了核電企業(yè)的質量保證必須滿足的基本要求，即為確保核電企業(yè)的物項和活動的質量而必須采取的一整套保證質量的措施。此法規(guī)是國務院授權國家核安全局頒布的強制性執(zhí)行的法規(guī)，核電企業(yè)必須遵照執(zhí)行。該法規(guī)所規(guī)定的核設施質量保證體系，旨在使物項或服務與規(guī)定的質量要求相符合。

《企業(yè)內部控制基本規(guī)范》及其配套指引，是指導企業(yè)具體開展內控工作的技術性文件。因兩套體系建立的出發(fā)點不同，其管理要求存在一定差異。對比《質保規(guī)定》及《企業(yè)內部控制基本規(guī)范》可發(fā)現，兩者涵蓋的管理要素既有交叉、又各有特殊要求，即核電管理體系存在不符合內控管理要求的缺陷、有待完善。

2.2 體系融合的必要性

核電管理體系與內控體系融合是必要的。因管理提升的需要，基于不同的標準建立多個體系已比較常見。多體系融合、統(tǒng)一運作，有利于可提高體系運作效率，避免了多個文件對同一工作要求不一致導致無法執(zhí)行的問題，減少了文件編寫及產生記錄的工作量，同時降低了管理體系評審給企業(yè)帶來的工作負荷。

2.3 體系融合的可行性

核電管理體系與內控體系融合是可行的。一是兩套管理體系都應用了流程管理方法，且部分業(yè)務流程一致；二是都通過評審、審計等方式進行體系改進與維護；三是兩體系文件的格式要求基本一致；四是兩套體系的管理要求雖有差異，但無矛盾之處。

圖1 核電管理體系與內控體系融合思路

圖2 核電管理體系與內部控制體系關系

3 體系融合方案

3.1 體系構架

核電管理體系滿足部分內部控制管理要求，內部控制一直存在于管理活動中，文件體系中體現了內部控制的相關思想。內控體系與核電管理體系的融合，是把內控規(guī)范的要求注入到已有的制度流程體系中，使其符合內控規(guī)范的要求，即對現有管理體系中不符合內控要求或缺失的文件進行修改或增補，并通過定期評價、審計推動持續(xù)改進，如圖1所示。

表1 風險控制矩陣

融合后的內控體系文件形式上為核電管理體系文件的一部分，包括頂層文件《內部控制手冊》及內部控制相關的“管理政策程序”和“工作執(zhí)行層文件”。兩體系關系如圖2所示。

《內部控制手冊》分為《總則分冊》、《控制活動分冊》及 《評價分冊》，是內控體系建設、評價的綱領性文件。《總則分冊》根據《規(guī)范》中提出的五個內控要素，明確內控體系的建設要求?！痘顒臃謨浴反_定了風險矩陣及其對應的下游程序名稱，是內控體系建設的指導性文件。《評價分冊》明確了評價的分工、內容、方法、缺陷的認定等，是內控體系評價的指導性文件。

3.2 建立風險控制矩陣

根據《規(guī)范》及其配套指引，結合核電企業(yè)的具體情況，梳理建立風險控制矩陣，其中包括風險描述、控制措施、對應下游程序情況等信息，如表1所示。下游程序梳理的結果，可能有對應的程序，也可能程序缺失或者有缺陷。風險控制矩陣是《控制活動分冊》的核心內容。

3.3 完善內控體系文件

根據風險控制矩陣梳理的下游程序情況，對于程序缺失的，補充新編；對于有缺陷的，修改升版。涉及《控制活動分冊》中風險及控制措施的程序，應補充“內控風險及控制措施”小節(jié)，承接《控制活動分冊》中的風險矩陣，并在流程圖中標注風險點R及控制措施KC，如圖3所示。如此，《內部控制手冊》及所有有“內控風險及控制措施”小節(jié)的程序，即構成了內部控制管理體系文件。

3.4 體系運行與監(jiān)督

內控體系的運行與監(jiān)督通過程序審查、評價及審計等方式實現。

第一，在程序審批環(huán)節(jié)中，增加內控審查環(huán)節(jié)，由職責部門結合內控規(guī)范及《控制活動分冊》的要求，對程序進行內控審查，確保內控文件落實了內控風險控制措施，符合內控管理要求。

第二，按照《評價分冊》的要求，審計部門每年組織一次內控體系評價，并針對評價結果編制《內控自評價報告》及《內控缺陷評價匯總表》，對缺陷提出改進建議及責任部門，明確整改計劃并跟蹤落實?！秲瓤刈栽u價報告》經董事會審批后提交國資委。

第三，每年委托會計師事務所對特定基準日內部控制設計與運行的有效性進行審計，編制《內部控制審計報告》。

圖3流程圖示例

4 結束語

內部控制體系建設是公司治理的重要環(huán)節(jié)，是企業(yè)風險管理的重要內容，也是提升企業(yè)管理水平的重要舉措。本文從內部控制概念出發(fā)，分析了核電管理體系與內控管理要求的差異，設計了核電管理體系與內部控制體系的融合方案。文中所述方案有待在實踐中進一步探索與完善。

［1］《企業(yè)內部控制基本規(guī)范》編寫組.企業(yè)內部控制基本規(guī)范[M].上海：立信會計出版社，2008：1-42.

［2］許鐵民,等.QHSE 體系與內控體系之融合[J].中國石油企業(yè)，2005(1)：54-55.