内部控制在供电企业业扩报装业务流程中应用研究.docVIP

内部控制在供电企业业扩报装业务流程中应用研究 　　【摘 要】 内外部环境的不确定性对企业影响加剧，传统的内部控制已难以适应企业整体层面风险管理的实际需要。风险管理的发展拓展了内部控制的外延，但在流程风险控制的操作上仍未实现与内部控制的整合。文章在内部控制局限研究的基础上，提出了基于风险管理的内部控制方法，希望采用风险管理对企业整体风险的管理方法，整合并应用到内部控制体系之中，并以风险为导向优化和提升内部控制。文章以供电企业业扩报装业务流程为实证研究对象，具体论证了业扩报装流程的风险特点、风险管理方法的应用、基于风险管理的内部控制方法等。 　　【关键词】 内部控制； 风险管理； 业扩报装； 风险控制 　　 　　一、内部控制在企业应用中的局限 　　内部控制是社会经济发展和企业管理实践的必然产物，是企业制度的重要反映，经历了内部牵制、控制制度、会计控制、整合控制、风险管理等发展阶段。1992年COSO的《企业内部控制――综合框架》①强调对企业经营的效率效果、财务报告的可靠性和相关法规的遵循性等目标，该框架一经发布即被企业广泛接受和采用。2002年美国国会和政府通过的萨班斯―奥克斯利法案（简称SOX法案）②对企业财务报告的可靠性和信息披露提出了严格要求，并将COSO《企业内部控制――综合框架》作为企业合规要求的主要参考标准，该法案进一步推动了内部控制在企业的实施。2004年COSO发布的《企业风险管理――整合框架》强调风险管理对战略制定和实施过程的保证，体现了内部控制向风险管理的演变，但该框架由于是主要延伸了内部控制的思路和方法，大多企业在实施过程中与内部控制的差异不大。 　　内部控制对企业控制风险、完善内部制度和规范管理程序等发挥了重要作用，但随着内外部环境的不确定对企业影响的加剧，内部控制的局限性制约了复杂风险的管理需要。 　　（一）风险观的局限 　　内部控制将风险的概念定位于损失的可能性这一表述，关注于管理中可能存在的缺陷、制度和流程的遵循等流程层面的风险，但对制度和流程之间的联系、决定制度与流程的企业因素、外部环境的影响等方面的整体层面风险关注不足，而这些风险恰恰是企业影响最大、最应关注的风险。 　　（二）控制手段的局限 　　内部控制手段往往局限于规范流程上的审批、审核、权责配置等有限手段，缺乏针对战略及业务等整体层面风险的战略性措施和结构性管理手段，如业务结构的调整、客户导向的管理机制、外部合作关系变化等高级手段，而这些是解决整体层面风险的必需手段，也是落实流程内部控制的基本依据。 　　（三）控制机制的局限 　　内部控制强调以制度和流程为基础的日常控制程序，主要体现在对业务流程固有风险的常态化控制，对流程相关企业整体层面的风险和需要整合管理的风险通常无能为力，并难以适应环境变化和企业风险管理能力、资源变化而需要实现的优化控制。 　　2006年国务院国资委发布的《中央企业全面风险管理指引》 ③提出了一套系统的风险管理框架，更加关注于企业整体层面的风险管理，并将内部控制作为风险管理体系的重要组成部分，但仍未具体明确与内部控制的整合方法，因此在复杂的业务流程风险控制上仍主要借助内部控制的方法。2008年财政部等五部委发布的《企业内部控制基本规范》④是对传统内部控制的继承和发扬，并借鉴了《中央企业全面风险管理指引》中的一些风险管理方法，拓展了内部控制对企业战略和整体风险的关注，但在如何实现对企业整体层面风险与业务流程的内部控制之间的联系仍未具体明确。 　　二、基于风险管理的内部控制方法 　　传统的内部控制难以适应风险的变化和整体层面风险管理的需要，发展中的全面风险管理方法对业务流程上的风险控制缺乏有效手段，因此，综合内部控制与全面风险管理方法成为企业的必然选择。笔者在研究中发现，内部控制与风险管理的方法可以通过整合实现优势互补，可以通过风险管理的方法解决整体层面的风险管理，并以其形成的风险解决方案为基础，结合内部控制落实流程上的风险控制，即通过基于风险管理的内部控制整合解决企业各层面的风险。同时，基于风险管理的内部控制进一步强调以风险为导向，以风险识别和评估为基础控制风险，继而分析、设计和实施内部控制。 　　基于风险管理的内部控制主要包括三个方面的内涵：一是以风险管理的方法解决传统内部控制的局限，特别是解决企业整体层面风险；二是在业务流程上相应采用内部控制的手段落实整体风险解决方案，并解决流程层面的风险；三是强调风险为导向的控制策略与内部控制措施。基于风险管理的内部控制主要方法结构如图1所示。 　　具体来讲，基于风险管理的内部控制需要在风险评估、风险控制策略和控制方案、风险管理组织职责、内部控制手段等方面实现整合，表现为一个闭环的管理过程（如图2所示）。 　　（一）整合风险评估 　　风险评估以