郑金生 陈蕾 许战坡

【摘 要】 内外部环境的不确定性对企业影响加剧，传统的内部控制已难以适应企业整体层面风险管理的实际需要。风险管理的发展拓展了内部控制的外延，但在流程风险控制的操作上仍未实现与内部控制的整合。文章在内部控制局限研究的基础上，提出了基于风险管理的内部控制方法，希望采用风险管理对企业整体风险的管理方法，整合并应用到内部控制体系之中，并以风险为导向优化和提升内部控制。文章以供电企业业扩报装业务流程为实证研究对象，具体论证了业扩报装流程的风险特点、风险管理方法的应用、基于风险管理的内部控制方法等。

【关键词】 内部控制； 风险管理； 业扩报装； 风险控制

一、内部控制在企业应用中的局限

内部控制是社会经济发展和企业管理实践的必然产物，是企业制度的重要反映，经历了内部牵制、控制制度、会计控制、整合控制、风险管理等发展阶段。1992年COSO的《企业内部控制——综合框架》①强调对企业经营的效率效果、财务报告的可靠性和相关法规的遵循性等目标，该框架一经发布即被企业广泛接受和采用。2002年美国国会和政府通过的萨班斯—奥克斯利法案（简称SOX法案）②对企业财务报告的可靠性和信息披露提出了严格要求，并将COSO《企业内部控制——综合框架》作为企业合规要求的主要参考标准，该法案进一步推动了内部控制在企业的实施。2004年COSO发布的《企业风险管理——整合框架》强调风险管理对战略制定和实施过程的保证，体现了内部控制向风险管理的演变，但该框架由于是主要延伸了内部控制的思路和方法，大多企业在实施过程中与内部控制的差异不大。

内部控制对企业控制风险、完善内部制度和规范管理程序等发挥了重要作用，但随着内外部环境的不确定对企业影响的加剧，内部控制的局限性制约了复杂风险的管理需要。

（一）风险观的局限

内部控制将风险的概念定位于损失的可能性这一表述，关注于管理中可能存在的缺陷、制度和流程的遵循等流程层面的风险，但对制度和流程之间的联系、决定制度与流程的企业因素、外部环境的影响等方面的整体层面风险关注不足，而这些风险恰恰是企业影响最大、最应关注的风险。

（二）控制手段的局限

内部控制手段往往局限于规范流程上的审批、审核、权责配置等有限手段，缺乏针对战略及业务等整体层面风险的战略性措施和结构性管理手段，如业务结构的调整、客户导向的管理机制、外部合作关系变化等高级手段，而这些是解决整体层面风险的必需手段，也是落实流程内部控制的基本依据。

（三）控制机制的局限

内部控制强调以制度和流程为基础的日常控制程序，主要体现在对业务流程固有风险的常态化控制，对流程相关企业整体层面的风险和需要整合管理的风险通常无能为力，并难以适应环境变化和企业风险管理能力、资源变化而需要实现的优化控制。

2006年国务院国资委发布的《中央企业全面风险管理指引》 ③提出了一套系统的风险管理框架，更加关注于企业整体层面的风险管理，并将内部控制作为风险管理体系的重要组成部分，但仍未具体明确与内部控制的整合方法，因此在复杂的业务流程风险控制上仍主要借助内部控制的方法。2008年财政部等五部委发布的《企业内部控制基本规范》④是对传统内部控制的继承和发扬，并借鉴了《中央企业全面风险管理指引》中的一些风险管理方法，拓展了内部控制对企业战略和整体风险的关注，但在如何实现对企业整体层面风险与业务流程的内部控制之间的联系仍未具体明确。

二、基于风险管理的内部控制方法

传统的内部控制难以适应风险的变化和整体层面风险管理的需要，发展中的全面风险管理方法对业务流程上的风险控制缺乏有效手段，因此，综合内部控制与全面风险管理方法成为企业的必然选择。笔者在研究中发现，内部控制与风险管理的方法可以通过整合实现优势互补，可以通过风险管理的方法解决整体层面的风险管理，并以其形成的风险解决方案为基础，结合内部控制落实流程上的风险控制，即通过基于风险管理的内部控制整合解决企业各层面的风险。同时，基于风险管理的内部控制进一步强调以风险为导向，以风险识别和评估为基础控制风险，继而分析、设计和实施内部控制。

基于风险管理的内部控制主要包括三个方面的内涵：一是以风险管理的方法解决传统内部控制的局限，特别是解决企业整体层面风险；二是在业务流程上相应采用内部控制的手段落实整体风险解决方案，并解决流程层面的风险；三是强调风险为导向的控制策略与内部控制措施。基于风险管理的内部控制主要方法结构如图1所示。

具体来讲，基于风险管理的内部控制需要在风险评估、风险控制策略和控制方案、风险管理组织职责、内部控制手段等方面实现整合，表现为一个闭环的管理过程（如图2所示）。

（一）整合风险评估

风险评估以业务目标为基准，考虑到业务活动中的内外部风险因素，从风险的不确定性对业务目标的影响角度实现对整体层面风险与流程层面风险的整合评估。同时，分析风险的具体成因和影响方式，并确定需要重点管理的风险。

（二）制定风险控制策略与控制方案

基于风险管理目标和不同的风险及其特征，特别是针对重大风险，制定相应的控制策略，包括规避、接受、控制、转移等，以及实现控制策略的具体风险控制方案。风险控制方案包括整体层面风险的风险管理措施、流程层面风险的内部控制措施等，为优化组织职责和具体落实流程内部控制提供指导方向。

（三）优化风险管理组织职责

根据风险控制方案调整或优化具体的组织职责，并利用内部控制的方法明确业务活动的制衡关系、重要的决策授权权限和关键业务环节的分工界面等。特别需要强调，在业务流程中落实风险管理三道防线的职责关系，根据风险控制职责分工、风险管理专责机构的定位等，将具体职责与关键控制环节结合起来落实。

（四）落实流程内部控制

根据风险控制方案，实现内部控制措施对风险控制方案在具体业务流程中的承接和落实。同时，在流程上设置关键控制点，具体规范控制措施、控制责任、控制方式以及控制检查手段等，并修订和完善相关制度及标准。

（五）监督与改进

强调风险管理第二、三道防线的作用，通过关键控制点的控制检查及时监督内部控制的执行情况，同时，采用内控自评价和内控审计等实现内部控制的改进及持续提升。

三、供电企业业扩报装业务流程的应用实践

供电企业的业扩报装业务是指为客户提供新装、增容及变更用电，从受理申请到正式供电的全过程，包括为客户提供用电咨询、受理用电申请、设计供电方案、供电工程设计与施工管理、装表接电等14个主要流程的全过程服务，涉及营销、客服中心、生产技术部、发展策划部、计量中心、调度中心等多个职能与业务管理领域，业务与管理的复杂程度较高。其中，客户服务中心履行业务的主体职责，发展策划部、生产技术部、调度中心、计量中心、招投标管理中心、法律部履行辅助职责，营销部履行政策及制度标准制定和监督检查职责，但基建部、监察部、风险管理主责部门的职责在现有业务中未有体现。

供电企业的业扩报装业务主要采用传统的内部控制方法，有着一套相对完整的制度体系和流程体系，遵循国家和地方相关行政法规、国家电网公司相关规章制度以及企业自身的管理制度，已经实现了对一般流程风险的有效控制。然而，随着业务环境的变化，不确定因素对业务的影响显著，传统的内部控制已难以适应风险管理的要求。

（一）业扩报装业务主要风险与风险特征

通过对业扩报装业务风险的整合评估，确定了业务相关的12项风险和若干风险点，包括客户服务风险、依法合规风险、工程设计与可研风险、工程招标及采购风险、多经风险、生产运行风险、电能计量风险、管理机制风险、工程概预算管理风险、廉政监察风险、工程施工风险、生产设备设施风险等。其中，风险主要集中在确定供电方案与收费方案、供电工程设计与审查、供电工程施工、电费管理与监督检查等几个关键环节。各项风险反映了不同的风险特征，主要表现在如下方面：

多经风险、管理机制风险、廉政监察风险、工程招标及采购风险反映出的风险特点主要是影响整个业务流程的整体层面风险。其中，多经风险反映了供电企业与附属多经企业之间的管控关系模糊、关联交易不规范和供电企业对多经企业保护等问题对业扩报装业务优质服务的不利影响，并可能由此产生违规和廉政风险；管理机制风险主要反映了流程部分管理职责缺失、部分部门的职责定位不合理、组织职责不明确和流程环节工作界面不清晰等问题对业务流程的影响；廉政监察风险主要反映在业务流程廉政问题显现和相关廉政监察机制缺失方面的问题，可能仍将产生廉政风险；工程招标及采购风险主要反映了代理客户招标和直接收取工程款项的管理方式可能违背“三不指定”（即不指定工程设计单位、不指定队伍、不指定设备材料）的要求，并可能产生廉政风险。

·生产设备设施风险反映了供电企业因电网基础设施的投入不足、电网布局不合理等原因产生的供电能力不足的问题，在短期内难以解决。

·其他风险，包括客户服务风险、依法合规风险、工程设计与可研风险、工程概预算管理风险、工程施工风险、生产运行风险、电能计量风险等，主要反映了供电企业在业务活动的流程设计与执行方面的问题。

（二）风险控制策略与控制方案

为有效控制业扩报装业务风险，采用基于风险管理的内部控制方法，优化和提升供电企业业扩报装业务流程内部控制。首先明确业扩报装业务风险控制的主要目标：

·保证符合国家、行业法律法规要求，满足国网公司基本政策和公司内部制度规定。

·确保接电运行后电网安全可靠。

·合理控制接电成本、线损成本等，并努力提高业务收益。

·客户导向，为客户提供高效和高质量服务。

·杜绝业务过程中的廉政与行风问题。

基于风险控制的目标要求和风险偏好，以风险为导向，并根据各项风险的特征，制定风险控制策略和控制方案，其中：

·多经风险采用风险控制策略，调整与多经企业的业务管控关系，规范关联交易和业务过程，从而降低风险发生的可能性和影响，并在设计与施工单位资质管理、工程招标、工程施工质量控制等活动中按调整后的方案控制。

·管理机制风险采用风险控制策略，增加基建部门、纪检监察部和风险管理专职机构在业务流程相关环节中的作用，优化客服中心在业务中的定位及具体职责，明确业务相关各个部门的具体职责和关键环节的工作界面。

·廉政监察风险采用风险规避策略，增加纪检监察部在易产生廉政问题流程环节的监督与检查职责，并规范具体的检查措施。

·工程招标及采购风险采用风险规避策略，调整代理客户招标模式，规避代理合同风险，并取消代收工程款项的规定。

·生产设备设施风险采用短期风险接受的策略，短期内接受该风险对企业的不利影响，长期通过设备设施的发展、更替等降低风险的可能性及影响。

·客户服务风险、依法合规风险、工程设计与可研风险、工程概预算管理风险、工程施工风险、生产运行风险、电能计量风险等各项流程层面的风险根据其风险特征，分别采用风险规避或控制等策略措施，并明确具体的风险控制措施。

（三）风险管理的组织职责

根据风险控制策略和控制方案，具体调整和优化业务相关部门的风险管理组织职责，包括：增加基建部对工程设计图的审核职责，增加风险管理专职部门对关键控制点的风险控制检查职责和监察部的廉政风险检查职责，调查客户服务中心独立现场勘察和中间检查的职责，强化营销部业务程序与标准的控制职责，强化发展策划、生产技术、调度中心和计量中心在相关环节中的风险控制职责等。

同时，具体明确业扩报装的不相容职责、主要授权审批权限，并规范各部门在关键流程上的分工界面等，其中：

·不相容职责包括供电方案设计与供电方案审批、供电方案设计与供电合同审批、工程咨询与工程招标、设计图审核与工程招标、工程招标与中间检查及竣工验收、装表接电与运行检查等。

·授权权限包括受理客户申请、确定供电方案与收费方案、设计图审核、施工单位审核、中间检查、竣工验收、确定计量方案、供电合同审批等权限，在企业内部领导层和部门间合理分配相应的授权。

·工作分工界面包括客户中心、营销部、发展策划部、生产部、基建部、调度中心、计量中心、经法部、风险管理专职部门、监察部等部门在前期咨询、用电申请与受理、现场勘察、供电方案与收费方案设计、供电方案与收费方案审批、工程设计与施工招标、工程设计图审核、工程施工、中间检查、竣工验收、签订供电合同、装表接电、常规运行等环节的具体工作分工界面。

（四）流程内部控制

基于风险控制策略与控制方案，并在完善风险控制职责的基础上，采用流程内部的方法具体落实风险控制方案，包括：

·明确业扩报装各项流程的流程目标，流程相关部门的工作职责，并以流程图和流程说明的方式规范具体流程程序。

·确定各项流程的关键控制点，规范控制点的控制部门和控制岗位、具体的控制措施和控制标准、控制的制度与标准依据、控制频率和控制方式等，形成内控矩阵。

·选择关键控制点，确定控制点的检查方法、检查责任和检查频率，作为内部控制的保障措施。

·根据确定的流程内部控制措施，修订和完善相关的制度和标准，落实业扩报装业务流程内部控制的制度保障。

（五）监督与改进

业扩报装业务流程的内部控制采用过程监督、内控自评估和内控审计的方式保证内部控制的有效性。

·过程监督主要基于内部控制检查的方法，由风险管理专责部门按照关键控制点的检查方法检查关键控制点的执行情况，并由纪检监察部检查廉政情况，根据检查结果做出及时改进。

·内控自评估主要由业务流程相关部门定期对本部门的内控执行情况做出评估，并提出自我改进的意见。

·内控审计主要由内审部门根据年度风险评估情况，选择业扩报装业务相关重大风险，执行重大风险相关内控审计。

四、结语

基于风险管理的内部控制是综合了风险管理与内部控制相对优势而形成的系统性方法，是当前风险管理与内部控制理论及方法仍不成熟阶段风险控制的有效选择，也是未来实现内部控制与风险管理整合的有益探索。基于风险管理的内部控制方法在供电企业业扩报装业务流程的实践应用证明了该方法的有效性，也为类似业务的风险控制提供了具体参考。

应该指出的是，基于风险管理的内部控制方法在控制机制方面仍然未达到全面风险管理的效果，企业需要在实践中不断探索和完善，也是未来风险管理与内部控制整合工作需要进一步研究的内容。