中国电力工程顾问集团公司(简称顾问集团)是国资委管理的国有独资企业集团之一,主要从事电力规划研究、电力建设咨询评估、设计、总承包及新能源电力项目投资等业务。公司总部及所属子企业都成立了相对独立的内审部门,配备了内审人员。多年来审计工作以任期审计、离任审计等经济责任审计为主要内容,以对下级的监督审计为重点,在防止资产流失、加强内部管理、促使资产保值增值方面曾发挥了积极的作用。但是,随着企业规模的扩大和业务的转型,企业的收入结构、成本结构呈现出多元化、复杂化。为适应企业快速扩张的战略需要,2006年,顾问公司引入COSO内部控制理论,开展了以加强内部控制制度建设、提升核心竞争力为主要内容的管理年活动。内部审计部门也以此为契机,对内部审计的职能进行了再定位,提出内部审计应以经济责任审计、内部控制评审为主,同级监督与监督下级并重的观点,开展了制度建设和人员培训等基础工作,逐步推动内部审计工作的转型。 监督评审是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称,是内部控制得以有效执行和持续改进的重要环节。为此,顾问集团在内部控制制度的设计上,构建了企业风险防范和监督评审的三道防线。 第一道防线是各业务部门。公司业务部门是最贴近市场、最熟悉业务的部门,也是最先感受风险、接受风险的部门。按照不相容岗位相互分离的原则,集团采取了岗位之间、部门之间相互牵制,后一道程序对前一道程序进行监督,上级对下级进行监督的机制。各业务部门及时分析和研究内控管理中出现的情况和问题,将大量的风险问题在第一道防线予以切实解决。在第一道防线上,除了按照业务流程进行监督外,还要定期对本部门开展的控制活动进行自我评价,提出改进控制和进一步化解风险的措施,自我评价包括实行离岗检查、交叉检查和岗位轮换等。 第二道防线是单位的财务部门。会计监督是《会计法》赋予财务人员的职责。企业各项经济业务在会计核算中的反映,经济业务结果在财务报告中的体现,都是财务人员通过对有关业务原始单据的审核得以实现的,因此保证核算的真实、准确和完整,这本身就是一种监督。但是这种监督只是事后的监督,只能起到亡羊补牢的效果。为防止重大损失的发生,财务人员还应参与重大经济业务的决策和执行,发表专业意见,进行事前、事中的监督。财务部门不仅要把第一道防线上遗漏掉的问题尽力查找出来,而且要从管理会计的角度,在更深层次和更大范围内(例如在跨部门乃至全单位范围)发现问题,研究对策,预测风险,并提供信息。 第三道防线是内部审计部门。内部审计部门要对内控制度定期进行独立、有效和全面的评审,并将结果向管理层直接报告,这是企业控制风险的第三道防线,也是企业内控体系不可或缺的重要组成部分。由于内部审计部门地位相对独立、评审手段相对专业,因此对内部控制进行再监督和再评价就十分重要,这种重要性主要表现在内审部门在严密的计划和组织之下,能够独立地按照法人要求,有选择地对内控的各方面行使其检查职能,能够将检查评价结果直接反映到高级管理层乃至最高级领导人,并有权督促内审监察建议的落实。 企业内部控制的三道防线,不存在严格的先后之分。顾问集团在内控制度设计上,注重发挥财务监督、审计监督的作用,在重要经济事项的决策、执行等方面,赋予了财务部门、审计部门适时监督权,提前了监督的时间,更有利于发挥监督作用,防范内控风险。企业内部控制的三道防线,也不存在严格的主次之分。内部控制是公司合理保证其各项目标实现的动态过程,内控程序涉及的集团工作目标的确立、风险的识别和分析、控制措施的制定、控制活动的开展、信息交流和监督评审等,都是各级经营管理部门的基本职责。但是,受内部考核制度、分配制度以及人性自身的弱点影响,经营管理部门并不愿意主动暴露内控管理方面的不足或失误,或者受内部分工、部门局限,经营管理部门也无法充分发现内控方面的不足或失误,特别是系统性的不足。因此,通过内部审计对经营管理的内控系统进行有效的和全面的审计再监督,建议和敦促经营管理部门纠正控制的缺陷,就十分必要。三道防线必须是一个有机的整体,才能充分发挥内部控制的作用,三者缺一不可。 在这三道防线中,内部审计是最后一道防线。要充分发挥内部审计的作用,必须保持内部审计的相对独立性。内部审计的相对独立性应体现在以下几个方面:内部审计机构必须独立于其他职能部门,不得与其他职能部门重叠、合并;内部审计机构由单位主要负责人直接领导,直接向单位主要负责人报告工作;内部审计机构只能行使内部审计相关职责,不得独立承担任何其他管理工作或经营工作;对内部审计机构的考核办法应有别于其他职能部门,要有利于其发表独立的审计意见、独立行使内部控制的监督评审职责。 为了保证企业风险防范的三道防线有效进行,顾问集团主要从制度建设和人员培训等方面推进内部控制工作。 在制度建设方面,一是选聘中介机构进行内部控制制度的评审,在评审的基础上进行了流程再造和制度设计,基本建立了符合单位业务需要的内部控制体系。二是在主要控制风险环节,增加了内部审计部门进行监督。三是内审部门参与了评审和制度制定的全过程,有利于内审人员全面了解企业内控制度的构成体系,发现关键控制点,准确理解各项内控目的、控制环境、控制方法、控制程序。此外,还健全了内部审计工作制度,包括工作任务、范围、职责、权限和组织形式、人员任务、审计程序、审计质量控制及审计档案管理等方面的规定;制定了审计标准,如人员岗位、实施程序、审计报告等,以保证内审工作效率与质量;制定了《内部控制评审办法》,明确了内审部门开展内部控制评审的职责、程序、方法及评审报告的结构、传递程序等。