揭秘內控體系路線圖中國版薩班斯系誤讀

年5月29日揭秘內控體系路線圖中國版薩班斯系誤讀文檔僅供參考揭秘內控體系路線圖中國版薩班斯系誤讀8月30日9點32分來源:首席財務官相關標簽:內控體系路線圖[下一頁]第[1][2][3][4][5][6]頁4月26日,財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布<企業(yè)內部控制配套指引>(以下簡稱”配套指引”),各界對于內控話題的熱度持續(xù)升溫,而在未來的幾年里,中國所有上市公司的CFO都將面臨內控建設的考驗。五部委聯(lián)合發(fā)布的<企業(yè)內部控制基本規(guī)范>和<企業(yè)內部控制配套指引>(以下簡稱”內控規(guī)范體系”),突破了中國傳統(tǒng)的將內部控制局限于會計與審計的局面,將內部控制嵌入公司治理并融入生產、人接受采訪的各方人士一致認為,<內控指引>的出臺明確了各方的責任,本土CFO們應當利用這個契機,借助這部有著國家級高度的”內部控制規(guī)范”完成之前可望不可及的整體運營風險的源頭控制?！敝袊嫠_班斯”是誤讀在財政部財政科學研究所研究員楊小舟看來,”內控規(guī)范體系”有如以下幾點令其印象深刻:體系完整、層次較高、體現(xiàn)中國特色、定位準確。曾在清華同方任CFO多年的楊小舟進一步提到,關于企業(yè)的內部控制,不同的人其實有不同的理解,能夠分成三個層次或三種觀點:第一種觀點認為內部控制主要是指與財務報告相關的內部控制;第二種觀點認為,不論叫做內部控制也好,風險管理也好,都是指對企業(yè)各種各樣經(jīng)營風險進行的(包括公司層面、運營層面和操作層面的業(yè)務與財務風險)管控;第三種觀點將公司治理的目標、治理風險也納入內部控制的范疇,這是一種最寬廣的內部控制概念。對于不同層次的內部控制,各國的政府機構或研究機構、咨詢機構都發(fā)布了不同的控制框架。例如,美國的”薩班斯法案”(全稱為”公眾公司會計改革和投資者保護法案”),強調的是與財務報告相關的內部控制的有效性,目標是為了促使企業(yè)的財務報告按照美國GAAP編制,以確保企業(yè)財務報告的可靠性。美國COSO發(fā)布的”企業(yè)風險管理整合框架”,實際上是第二個層次的內部控制。至于第三個層次上的內部控制,系統(tǒng)性的觀點少,但實務中不少企業(yè)是這么做的。一個公司的治理結構是不是完善,最根本的判斷標準,還是看是否有利于企業(yè)戰(zhàn)略層面的風險管理,是否有利于企業(yè)經(jīng)營戰(zhàn)略和長遠目標的實現(xiàn)?！绷私膺@一點非常重要,否則我們對于企業(yè)內部控制的深入討論就缺乏一個共同的基礎。'中國版薩班斯’的說法是一種明顯的、重大的誤讀和誤解。'內控規(guī)范體系’無論是從目標、要素,還是指引所規(guī)范的內容上看,至少是第二層次的內部控制概念?！睂Υ?普華永道北京風險管理及內部控制合伙人季瑞華解釋,”中國版薩班斯”的說法,主要是由于中國的基本規(guī)范和美國的”薩班斯法案”同樣有要求上市公司對其內部控制進行自我評價以及需要外部審計師進行獨立審計。但中國基本規(guī)范和美國”薩班斯法案”的側重點和其它方面都不盡相同,因此不應該一概而論。而身為中國會計學會企業(yè)內部控制專業(yè)委員會委員的楊小舟認為,”內控規(guī)范體系”在很多方面都體現(xiàn)出了中國特色。例如,在<基本規(guī)范>第二章中強調了公司治理結構完善對內部控制的重要性,有些經(jīng)營層面上的風險,根源還是在治理結構、治理機制的不完善上。再如,基本規(guī)范第37條指出,企業(yè)應當建立重大風險預警和突發(fā)事件的應急處理機制等。這些都反映出”內控規(guī)范體系”既借鑒吸收了國際先進的風險管理理論,也考慮并體現(xiàn)出了中國企業(yè)風險管理的實際。從6月開始,財政部就陸續(xù)發(fā)布了<企業(yè)內部會計控制－基本規(guī)范>,以及一些內部會計控制具體規(guī)范(如貨幣資金等)的征求意見稿。但這些征求意見稿之因此沒有得到企業(yè)應有的重視,其中重要的一個原因是企業(yè)的內部控制機制或體系是一個完整的系統(tǒng),將內部控制分成會計控制和管理控制,無異于將”美玉擊成碎片”。而此次”內控規(guī)范體系”很好地解決了這一問題。特別值是一提的是,為了促進內控規(guī)范體系的有效實施,內部控制審計指引指出,注冊會計師不但應當對企業(yè)財務報告內部控制的有效性發(fā)表審計意見,同時還應當對企業(yè)財務報告審計過程中注意到的非財務報告內部控制的重大缺陷,在內部控制審計報告增加描述段予以說明。這能夠說是中國內部控制規(guī)范體系的一個創(chuàng)造,體現(xiàn)出規(guī)范制定者的務實態(tài)度和高超的解決現(xiàn)實問題的能力。德勤北京企業(yè)風險管理服務合伙人謝安在采訪中也表示,”配套指引”的制定充分考慮了中國國情,涉及內部控制建設、評價和審計的全面指導。謝安指出,”配套指引”并未體現(xiàn)行業(yè)特點和企業(yè)規(guī)模,通用性強,是各企業(yè)均能夠參照執(zhí)行的。但企業(yè)在實施過程中,必須結合自己的實際情況來執(zhí)行,而不能生搬硬套;應加強針對配套指引的培訓。中國企業(yè),除一些已經(jīng)同時在有監(jiān)管要求的境外資本市場上市的公司,其它公司對本公司如何切實加強內控的認識差異很大,因此加強培訓是必要的。此次”配套指引”的出臺,讓謝安印象最為深刻的是:第一,有明確的時間表,境內外同時上市的,1月1日起開始實施,僅在境內主板上市的,1月1日起開始實施;第二,實施配套指引的企業(yè),應當報送或披露年度內部控制評價報告和審計報告,顯示了監(jiān)管層的決心和力度。上海汽車集團股份有限公司CFO谷峰認為,<企業(yè)內部控制配套指引>的出臺,應該說是企業(yè)所熱盼的,因為之前的<企業(yè)內部控制基本規(guī)范>只是提出了一個有關內部控制的框架概念,著重對內部控制的各個組成要素進行了解釋,可是并沒有針對具體的業(yè)務領域應該設置怎樣的內部控制提出指導意見,也未對企業(yè)應該如何開展內部控制評價提出要求?！迸涮字敢泵鞔_了內部控制評價指引,內部控制審計指引以及18項具體的應用指引,這對企業(yè)建立健全內部控制體系,規(guī)范開展內部控制評價,將產生巨大的指導作用。內控動力:內部還是外部?”內控也好、風險管理也好,其目的都是為了管理好企業(yè)經(jīng)營過程中可能遇到的各種各樣的風險,使企業(yè)能夠持久、健康地發(fā)展,從而為股東、為社會創(chuàng)造更多價值。因此,從原理上來說,建立和健全內部控制的動力,毫無疑問應該來自企業(yè)的內部?！睏钚≈蹐猿终J為內控的動力來自于企業(yè)內部。而中國社科院公司治理研究中心主任魯桐則認為,這應該是市場的基本要求,做收益的話不控制風險這是很懸的事情,有爭議就應該有控制。在<企業(yè)內部控制基本規(guī)范>推出來后,原來7月1日要在所有上市公司推行,后來財政部也發(fā)現(xiàn)內控不是一兩天建成的,就把時間表推了,到了覺得不能無限推下去,因此今年內無論如何要在上市公司推行,兩地同時上市的公司動得比較早,可能基礎也比較好,問題不太大。問題大的是規(guī)模不是很大的小公司,推行起來在時間、人力、財力等方面都不太足,因此魯桐認為內外兩方面的壓力都會有,企業(yè)自身也是有這方面的渴望。謝安的觀點是,從近幾年接觸的企業(yè)完善內部控制的實踐來看,最初的動力多來自于外部的監(jiān)管要求,但企業(yè)在開展這項工作的過程中逐漸認識到,內控有助于實質性地提升企業(yè)的管理基礎,因此動力慢慢地由外部監(jiān)管轉化為內部的管理需求?！苯谖覀冊絹碓蕉嗟乜吹?一些未被監(jiān)管的企業(yè),出于管理和運營的需要,也在積極探索完善內部控制,這是一個可喜的現(xiàn)象,也正是內控的真正使命所在?！眱瓤爻杀镜霓q證觀成本問題曾經(jīng)讓美國”薩班斯法案”飽受非議。在中國企業(yè)內控建設中,同樣存在成本問題。對此魯桐表示,”基于我們對上市公司的調查,能夠建立完整的內控體系需要三年的時間,內控不是短期內就能見效的,實際上有不同的階段,我們觀察到三年是必要的,每年都要特別重視,要有很多的投入,內控成本確實比較大,從硬件到軟件,再到人員?！背艘脑煨畔⑾到y(tǒng),還要對風險進行測試,測試需要很多人員來參與,一年測一次周期也比較長。而且各個行業(yè)的內控是不一樣的,并不是說有一個菜單和一個方法大家就都能夠用,實際上每個行業(yè)、每個公司自己的業(yè)務特點都不同,內控的側重點和所要花的時間、精力、成本都不一樣,雖然有這么多配套指引和規(guī)范,可是每一家的情況都是各種各樣的。甫瀚咨詢公司董事總經(jīng)理兼大中華區(qū)總裁劉建新認為,內控是管理體系的轉變,管理體系體現(xiàn)企業(yè)的政策、信息數(shù)據(jù),在建立體系的時候要從企業(yè)戰(zhàn)略到流程,建立相應的組織和信息系統(tǒng)數(shù)據(jù),這是內控當中的一部分,建立這個體系的成本會涉及到由于對人員的聘用、組織結構的調整、考核機制的改變而產生的外部費用。普華永道中國北部審計部主管合伙人楊偉志也非常認同”具體情況具體分析”。她強調,”配套指引”要逐步實施,要有充分準備,兩地上市的企業(yè)在某個程度上有一定的基礎,企業(yè)基礎的不同決定了內控建設成本的差異,因此成本多少很難一概而論。”企業(yè)要充分體會到,這個要求對企業(yè)價值的提升,而不是單純以合規(guī)為目的。如果認真做,價值遠遠高于付出的成本?！眱炔靠刂蒲葑?yōu)椤笨刂苾炔俊?<企業(yè)內部控制應用指引>對企業(yè)提出了包括財務報告和非財務報告風險管控的要求。同時,<企業(yè)內部控制評價指引>要求企業(yè)的評價工作包括內部控制的設計與運行,以及涵蓋企業(yè)及其所屬單位的業(yè)務和事項,并在全面評價的基礎上關注主要業(yè)務單位、重大業(yè)務事項和高風險領域。<首席財務官>雜志在大量采訪中觀察到,現(xiàn)在企業(yè)內控存在一個誤區(qū),往往會演變成”控制內部”,也就是應該控制業(yè)務風險卻專注于各項成本與費用的控制?！边@是對內控的片面理解。內部控制應該是滲透在企業(yè)運營的方方面面,而不但僅是成本與費用的控制?？刂茦I(yè)務風險也只是內控的一個方面,應該說企業(yè)開展內部控制工作,應該以風險為導向,對于那些風險高的領域,應該花更多的時間和資源去進行管理和控制?！痹谥x安看來,積極完善的內部控制不但有助于企業(yè)降低成本費用,同樣有助于企業(yè)把握業(yè)務機會,有效控制業(yè)務風險,提升企業(yè)整體運營水平。楊偉志認為,之因此會出現(xiàn)這樣的誤區(qū),主要是在于設定內控時缺乏整體目標。如果具體的事情沒有總的方向,那么每個部門按自己的理解和看法去行動時,就缺乏對整體方向的把握?！眱瓤貞撌菑纳隙?全面覆蓋。從整個企業(yè)所追求的發(fā)展目標,然后再具體落實到各個層面,如果做得好,內控成本不會浪費,會很有效?！奔救鹑A補充道,”內控建設里最關鍵的步驟是培訓。其中一個目的就是把常見的誤區(qū)說清楚。假如企業(yè)不去考慮自身的經(jīng)營風險,而僅僅抱著合規(guī)的心態(tài)去做內控,那很有可能會過于關注細節(jié),而非關注業(yè)務風險。”對于業(yè)務風險的關注,劉建新也表示,”盡管大部分公司管理層內部控制的意識比往年大幅度提高,也主動地對內部控制和運營流程進行了梳理工作,卻往往忽視了最為重要的一個環(huán)節(jié)——風險管理'先行’。僅停留于對現(xiàn)有內控的梳理是不夠的,要對風險做到事先排察、'未雨綢繆’。一些管理層對內部控制和風險管理的認識尚不全面,往往認為'有比風險管理更加重要的事情等著要做’,比如大幅提升銷售業(yè)績。然而卻忽略了風險的后果已經(jīng)在這場金融危機中顯露無遺。企業(yè)必須對現(xiàn)有的控制環(huán)境加以全面評估,有針對性地找到最重大的風險,才能有的放矢地完善風險控制體系,推動企業(yè)實現(xiàn)目標。”谷峰也十分認同上述觀點。內部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整,提高經(jīng)營效率和效果,促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略,是貫穿企業(yè)經(jīng)營管理的全過程,不能片面地將”內部控制”理解成”控制內部”?！盋FO3.0”根據(jù)德勤剛剛發(fā)布的”中國上市公司內部控制調查分析報告”顯示,中國的上市公司逐漸提高了對內部控制系統(tǒng)的理解與重視,但實施阻力依然存在。其中53%的受訪者認為實施內控的阻力之一是缺乏與內控相關的信息系統(tǒng)。據(jù)IDC預計,～,國內風險管理解決方案市場將以22.4%的復合增長率快速增長。有業(yè)內人士表示,近2～3年內,國內市場將迎來一個需求大量增長的時期。SAP中國區(qū)商務用戶和技術平臺事業(yè)部總經(jīng)理張俠表示,合規(guī)和風險管控方面一直是SAP的重點努力方向。在SAP收購了全球領先的Virsa系統(tǒng)公司。Virsa是一家在”薩班斯-奧克斯利”(Sarbanes-Oxley)領域處在絕對領先地位的軟件公司,收購完成后SAP也推出了一個相關的產品——GRC(公司治理、風險管理與合規(guī)),參照中國的內控規(guī)范體系的相關要求,在位于上海的中國研究院的實驗室為中國企業(yè)量身定做。”GRC是真正意義上的企業(yè)性能管理的核心。我們要讓客戶能夠充分地了解所有的風險和機會,這樣才能做出非常良好的決策,這一直是SAP公司戰(zhàn)略的重要組成部分?！盨APBusinessObjects首席財務官兼辦公室績效優(yōu)化應用軟件部全球副總裁FrdricLaluyaux強調,”我們實際上是要用SAPGRC的解決方案使客戶能夠真正在發(fā)展業(yè)務中具有自己的優(yōu)勢,這就說明客戶不但僅要實現(xiàn)合規(guī),同時還要能夠非常清楚地了解自己在公司運營方面的風險以及相應的機會。在了解了這些風險和機會的過程中,再來實現(xiàn)自己公司業(yè)務的成長?！蓖瑫r她還進一步說明,有兩個支柱是應該關注的,第一是數(shù)據(jù)的可用性,也就是說對于整個生態(tài)系統(tǒng)來說,如何使用各種已有的數(shù)據(jù),而且如何使這些數(shù)據(jù)無論是按企業(yè)預置(On-Premise)、按需隨選(On-Demand)和移動應用(On-Device)型的都能夠很好地被企業(yè)各個部門所使用;第二個支柱是如何能夠培養(yǎng)企業(yè)在運行這種應用方面的能力。企業(yè)要發(fā)展自己的業(yè)務,同時也要對自己的環(huán)境和風險有很好的控制,而不是說這個企業(yè)的業(yè)務像坐過山車一樣上上下下有急劇的變化?！蔽覀冇X得所有的中國企業(yè)應該都能夠奔著有控制之下的企業(yè)增長目的去發(fā)展,而SAP所提供的平臺就是要使企業(yè)有控制的成長成為可能?！盕rdricLaluyaux為我們提出了一個”CFO3.0”的概念,她認為,”CFO1.0,是說那個時候的CFO只是對公司和企業(yè)內部的核心財務流程進行管理;CFO2.0則是讓這個CFO更加接近于在戰(zhàn)略和執(zhí)行之間找到很好的平衡,同時可能也會涉及到一部分GRC的產品和解決方案的提供;而CFO3.0,則是讓這個CFO在真正意義上成為企業(yè)CEO的戰(zhàn)略型顧問。這樣做就能夠讓公司更快地提高自己的性能和業(yè)績,而且能夠讓公司迅速進入到一個新的機會領域。這是一個三步走的過程。SAP亞太及日本區(qū)商務用戶和技術平臺事業(yè)部副總裁AtulPatel認為,作為一個企業(yè)的CFO,不能只看到合規(guī)的問題,而更多的是要有一個全盤的視角來看待所有風險,甚至于政治方面的風險也必須考慮在內。只有以這樣全面的視角看待所有的風險,才能把相關的風險控制與自己企業(yè)的運營系統(tǒng)聯(lián)系在一起。這些運營系統(tǒng)不但包括企業(yè)的人力資源系統(tǒng),也包括各種相關的財務系統(tǒng)。機會大于壓力,意識高于技術內控指引明確了各方的責任,對CFO來講正好利用這個機會,完成以前很難推動的源頭風險控制?？墒瞧髽I(yè)整體對內控的認識與接受,往往都要經(jīng)歷從被動接受到主動運用的過程。這其中作為執(zhí)行層的CFO,壓力與契機并存。作為SAP中國區(qū)商務用戶和技術平臺事業(yè)部總經(jīng)理,張俠接觸過多家大型企業(yè)CFO。對于在內控建設中CFO的壓力與挑戰(zhàn),張俠認為,真正比較優(yōu)秀的CFO會把這個看作是一個機遇,利用這個機遇能夠把自己與財務有關的工作進行梳理,以做得更好。最好的CFO可能就是把整個合規(guī)和風險管控不光是看作一個需要遵循的事情,而是把它看作一個企業(yè)核心的競爭力,或者是一個商業(yè)機會?！惫芾盹L險本身就是對業(yè)務最好的管理,因此它可能變成一個核心競爭力,能夠變成一個和別的企業(yè)形成差異性的東西。有遠見的CFO從更廣義的角度出發(fā),會在這些事情上主動發(fā)揮一些主導的作用,而不是僅僅把這個機會當做是負擔?！盇tulPatel向記者介紹,SAP現(xiàn)在有很多客戶,在她們披露年報的過程中已經(jīng)采用了”三重底線”的年報方式,就是除了要在年報中披露財務數(shù)據(jù)之外,同時還要披露一些相關的社會、經(jīng)濟以及環(huán)境等方面的因素,這樣做能夠讓這個企業(yè)變得非常與眾不同,因為在公司或者是企業(yè)的年報當中,有的時候并不要求對環(huán)境方面的因素也要加以披露,可是有些公司的確已經(jīng)這樣做了,這樣做的好處是能夠讓與這個企業(yè)相關的各個方面,包括企業(yè)的投資方,或者是企業(yè)所處的社區(qū)、企業(yè)的員工,甚至企業(yè)的供應商都能夠感覺到企業(yè)實際上是領先一步在做很多工作。

同樣贊同”機會說”的楊小舟也強調,CFO應該借”內控規(guī)范體系”全面實施的東風,因地制宜,加強企業(yè)內部控制體系建設。谷峰介紹,上汽從開始啟動了新一輪的內部控制體系建設,經(jīng)過借鑒COSO的<內部控制整合框架>以及五部委的<企業(yè)內部控制基本規(guī)范>,內部控制體系建設日趨完善。應該說上汽為執(zhí)行<企業(yè)內部控制基本規(guī)范>已經(jīng)提前做好了準備,一方面加強制度建設,編制<內控手冊>并持續(xù)完善,同時建立了長效的內部控制自我評估機制和監(jiān)督檢查機制。在風險管理方面,上汽主要借鑒了國務院國資委發(fā)布的<中央企業(yè)全面風險管理指引>,各職能部門在日常工作中持續(xù)開展風險信息收集、風險識別、風險評估以及風險應對等風險管理工作,并定期開展風險管理自查和檢驗,同時還由審計部門負責實施風險管理的監(jiān)督評價。同時,受訪的專家和CFO普遍擔心”內控規(guī)范體系”的實施有可能流于表面的問題?！敝恢匾晿I(yè)務流程和管理流程的設計,很可能本末倒置;只強調框架的研究,總體風險的把握,不注重制度的設計與實施,又會陷于空談,執(zhí)行力不強。因此企業(yè)不但要加強內控體系的設計,也要時時評估內部體系的運行效率和效果,如發(fā)現(xiàn)重大缺陷和漏洞,應及時改正?！睏钚≈厶貏e提醒道,”注意風險的層次性也很重要。企業(yè)的風險可能來自于不同的層面:治理層面、戰(zhàn)略層面、經(jīng)營層面和操作層面,只有準確掌握風險形成的層面,才有可能設計出相應的、有效的內部控制機制和流程?！薄币粋€有效的手段是將內控的執(zhí)行情況納入考核體系。”謝安建議,控制措施必須融合進企業(yè)的實際運營工作中的制度、流程,使大家在日常工作中,按照正確的做法工作,就自然而然地遵行了內控的要求,避免實際運營與內控”兩張皮”。楊偉志談到,”隨著企業(yè)本身的發(fā)展,內控也要持續(xù)發(fā)展。不是一個項目、一個時點,而是長期的、持續(xù)的,也需要重新評估。根據(jù)企業(yè)外部發(fā)展環(huán)境的變化,進而改變企業(yè)內部控制關鍵點等,需要重新審核?！彼J為,企業(yè)在執(zhí)行內控時,盡管存在一定程度的技術性障礙,但經(jīng)過培訓或者外部專業(yè)機構的幫助都能克服。而意識層面的問題則是決定企業(yè)內控能夠成功的關鍵。如果能充分認識到這個工作的價值,領導層的推動力就很強。任何人對于改變都有本能的抗拒,要克服這種心態(tài),需要領導出來親自組織。季瑞華打了一個生動的比喻,”好比一個人做體檢,如果為了得到一個好的結果就提前三天不喝酒、多吃青菜,那這樣的結果也是自欺欺人。內部控制亦是如此,其關鍵不在技術,而在于人。”【案例分享】作為A+H上市的公司,中國神華的內部控制建設和全面風險管理在業(yè)界一直被評為標桿。<首席財務官>雜志特別專訪了中國神華能源股份有限公司CFO張克慧女士,分享其先進經(jīng)驗,以期對正在進行內控建設中的企業(yè)有所借鑒。中國神華的內控路線圖對風險有著強烈憂患意識張克慧一貫將內部控制與風險管理視為”底線管理”,因此其推進神華內控體系建設的過程中采取了穩(wěn)扎穩(wěn)打的策略,迅速打開了局面。確定咨詢機構”為了能選擇一個完全勝任本項目的咨詢機構,我們經(jīng)過各種渠道,詳細了解各主要咨詢機構的咨詢能力、工作素質、服務態(tài)度、咨詢業(yè)績,初步確定了咨詢機構的類別和范圍;制定嚴格的評價標準,具體細化每一個標準及分值;在招標文件中,我們經(jīng)過充分研究,編制了項目建議書,不但確定了內控建設的基本原則和思路,還細化到具體要求。在招標文件中制定了一套項目質量控制體系,其中有一項就是要求國際咨詢機構必須采用我們起草的合同,按我們提出的需求執(zhí)行合同。合同的商務、技術和質量條款都是經(jīng)過重復斟酌,針對項目關鍵風險設計的。事實證明,咨詢機構的選擇和控制對于內控建設的成敗至關重要。許多咨詢機構不了解國企實際,把國外現(xiàn)成的模板、套路照抄照搬,在這方面失敗的教訓和例子不少。”現(xiàn)狀評估神華對煤、電、路、港四大業(yè)務板塊的主要企業(yè)進行了調查研究,組織咨詢機構訪談了高管層、部門負責人、重要子(分)公司的領導和相關人員,發(fā)放調查問卷,組織各部門研討,組織向高管層專題匯報等,審閱了公司所有重要的管理制度、流程,對內控現(xiàn)狀進行了系統(tǒng)的評估和診斷。對照監(jiān)管要求和國際最佳實踐,進行了內控體系評估和對標分析,分析研究了公司內控體系各環(huán)節(jié)、要素與國際一流能源公司的差距,確定了公司內控體系建設的重點、發(fā)展路徑和規(guī)劃。最終神華將內控建設劃分為”內控基礎建設、內控促進管理、內控融入管理三個階段。”搭建體系”內控為管理提出了一個方法論,同時也是新的工具。”張克慧強調,企業(yè)內控建設是一個循環(huán)的過程,神華將內部控制環(huán)境建設、目標設定中的風險考量、風險評估、業(yè)務管理流程控制、信息與溝通、監(jiān)控與評價以及管理改進緊密聯(lián)系,形成建設、檢查和改進的閉環(huán)控制體系。內控體系明確了各組織、部門、子(分)公司在體系各環(huán)節(jié)中的角色和應承擔的責任,制定了實現(xiàn)相應目標、履行相應職責的流程、具體要求、方法和參考工具,整個體系強調了對風險的控制與監(jiān)督。公司明確了內控與風險管理組織職能的分層管理。按照責任和功能,組織職能能夠分為決策層、經(jīng)營層、監(jiān)控層和實施層。推進實施為了確保執(zhí)行到位,神華創(chuàng)造性地引入自我檢查、自我改進的方法和機制,將內部控制貫穿于日常管理活動之中,著力打造持續(xù)改進的長效機制。張克慧介紹,在這種機制下,更加具體地突出了風險管理和制度建設,更加明確了公司重要業(yè)務和管理流程中的重要風險、控制重點、控制活動、檢查方法及責任主體。簡單的說,這種機制主要規(guī)定了管控什么?怎么管控?如何自我評估?如何管理改進?”管控什么”即基于公司層面的風險,確定了重要流程,識別和評估流程中的具體風險和針對具體風險的管控重點;”怎么管控”即對管控重點制定或改進應對措施和控制措施;”如何自我評估”即根據(jù)提供的模板測試和確定控制活動的情況;”如何管理改進”即針對自我評估中的管控缺陷開展管理改進。完善內控體系經(jīng)過自評測試,神華各部門對當前的管控現(xiàn)狀有了更加清晰的理解,熟悉了自我評估的方法,找出了流程管控中的主要缺陷和改進重點;經(jīng)過自評測試,進一步明確了改進目標,提出了有針對性的改進計劃和方案。以來,神華每年都經(jīng)過風險辨識、評估和高管層訪談、確認,分析出面臨的重大風險,制定相應的風險管理策略和風險解決方案。神華形成了年初進行風險評估,年中風險監(jiān)控,年末進行內控自我評價和缺陷改進的工作機制。同時,根據(jù)日常和專項檢查監(jiān)督、內部控制自我評價工作的結果和相關信息,如內部控制組織結構的設置情況、制度建設情況、董事會內部控制職責的完成情況等,編制<內部控制檢查監(jiān)督工作報告>,評價公司內部控制的建立和實施情況。在此基礎上,形成年度<內部控制自我評估報告>,并在年報中披露?？墒菑埧嘶蹚娬{,內控建設工作是一項長期而艱巨的任務,必須有重點、分階段地持續(xù)改進和完善。分子公司不搞一刀切