徐晓强 郭 峰

(辽宁红沿河核电有限公司，辽宁 大连116001)

1 内部控制概述

1.1 内部控制的必要性

财政部会同证监会、审计署、银监会、保监会于2008年5月22日印发了《企业内部控制基本规范》（以下简称《规范》），《规范》中明确，该规范适用于中华人民共和国境内设立的大中型企业。2010年10月，五部委印发了《关于印发企业内部控制配套指引的通知》，要求自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行，鼓励非上市大中型企业提前执行。此外，国资委、财政部于2012年5月发布了 《关于加快构建中央企业内部控制体系有关事项的通知》，要求各央企在2013年建立起覆盖全集团的内部控制体系。

鉴于我国核电企业均为央企或其子企业，基于上述要求，核电企业特别是上市集团下属核电企业均需建立内部控制体系。

1.2 内部控制的定义和目标

《规范》明确了内部控制的定义，即：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

1.3 内部控制的原则

内部控制原则是企业建立和实施内部控制管理程序的基本标准，应遵循如下原则：

1.3.1 全面性原则

内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

1.3.2 重要性原则

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

1.3.3 制衡性原则

内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

1.3.4 适应性原则

内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

1.3.5 成本效益原则

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

1.4 内部控制的要素

企业建立与实施有效的内部控制应当包括下列要素：

1.4.1 内部环境

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

1.4.2 风险评估

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

1.4.3 控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

1.4.4 信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

1.4.5 内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

2 体系融合的基础

核电管理体系存在与内部控制要求不一致的情况，通过融合的方式建立核电内部控制体系是必要的、可行的。

2.1 核电管理体系与内部控制要求的差异

核电企业的管理体系最初来源于核设施质量保证体系，该体系建立的基本依据为国家核安全局颁布的核安全法规HAF003《核电厂质量保证安全规定》（以下简称《质保规定》），后又加入了安全和环境相关的管理规定。此法规提出了核电企业的质量保证必须满足的基本要求，即为确保核电企业的物项和活动的质量而必须采取的一整套保证质量的措施。此法规是国务院授权国家核安全局颁布的强制性执行的法规，核电企业必须遵照执行。该法规所规定的核设施质量保证体系，旨在使物项或服务与规定的质量要求相符合。

《企业内部控制基本规范》及其配套指引，是指导企业具体开展内控工作的技术性文件。因两套体系建立的出发点不同，其管理要求存在一定差异。对比《质保规定》及《企业内部控制基本规范》可发现，两者涵盖的管理要素既有交叉、又各有特殊要求，即核电管理体系存在不符合内控管理要求的缺陷、有待完善。

2.2 体系融合的必要性

核电管理体系与内控体系融合是必要的。因管理提升的需要，基于不同的标准建立多个体系已比较常见。多体系融合、统一运作，有利于可提高体系运作效率，避免了多个文件对同一工作要求不一致导致无法执行的问题，减少了文件编写及产生记录的工作量，同时降低了管理体系评审给企业带来的工作负荷。

2.3 体系融合的可行性

核电管理体系与内控体系融合是可行的。一是两套管理体系都应用了流程管理方法，且部分业务流程一致；二是都通过评审、审计等方式进行体系改进与维护；三是两体系文件的格式要求基本一致；四是两套体系的管理要求虽有差异，但无矛盾之处。

图1 核电管理体系与内控体系融合思路

图2 核电管理体系与内部控制体系关系

3 体系融合方案

3.1 体系构架

核电管理体系满足部分内部控制管理要求，内部控制一直存在于管理活动中，文件体系中体现了内部控制的相关思想。内控体系与核电管理体系的融合，是把内控规范的要求注入到已有的制度流程体系中，使其符合内控规范的要求，即对现有管理体系中不符合内控要求或缺失的文件进行修改或增补，并通过定期评价、审计推动持续改进，如图1所示。

表1 风险控制矩阵

融合后的内控体系文件形式上为核电管理体系文件的一部分，包括顶层文件《内部控制手册》及内部控制相关的“管理政策程序”和“工作执行层文件”。两体系关系如图2所示。

《内部控制手册》分为《总则分册》、《控制活动分册》及 《评价分册》，是内控体系建设、评价的纲领性文件。《总则分册》根据《规范》中提出的五个内控要素，明确内控体系的建设要求。《活动分册》确定了风险矩阵及其对应的下游程序名称，是内控体系建设的指导性文件。《评价分册》明确了评价的分工、内容、方法、缺陷的认定等，是内控体系评价的指导性文件。

3.2 建立风险控制矩阵

根据《规范》及其配套指引，结合核电企业的具体情况，梳理建立风险控制矩阵，其中包括风险描述、控制措施、对应下游程序情况等信息，如表1所示。下游程序梳理的结果，可能有对应的程序，也可能程序缺失或者有缺陷。风险控制矩阵是《控制活动分册》的核心内容。

3.3 完善内控体系文件

根据风险控制矩阵梳理的下游程序情况，对于程序缺失的，补充新编；对于有缺陷的，修改升版。涉及《控制活动分册》中风险及控制措施的程序，应补充“内控风险及控制措施”小节，承接《控制活动分册》中的风险矩阵，并在流程图中标注风险点R及控制措施KC，如图3所示。如此，《内部控制手册》及所有有“内控风险及控制措施”小节的程序，即构成了内部控制管理体系文件。

3.4 体系运行与监督

内控体系的运行与监督通过程序审查、评价及审计等方式实现。

第一，在程序审批环节中，增加内控审查环节，由职责部门结合内控规范及《控制活动分册》的要求，对程序进行内控审查，确保内控文件落实了内控风险控制措施，符合内控管理要求。

第二，按照《评价分册》的要求，审计部门每年组织一次内控体系评价，并针对评价结果编制《内控自评价报告》及《内控缺陷评价汇总表》，对缺陷提出改进建议及责任部门，明确整改计划并跟踪落实。《内控自评价报告》经董事会审批后提交国资委。

第三，每年委托会计师事务所对特定基准日内部控制设计与运行的有效性进行审计，编制《内部控制审计报告》。

图3流程图示例

4 结束语

内部控制体系建设是公司治理的重要环节，是企业风险管理的重要内容，也是提升企业管理水平的重要举措。本文从内部控制概念出发，分析了核电管理体系与内控管理要求的差异，设计了核电管理体系与内部控制体系的融合方案。文中所述方案有待在实践中进一步探索与完善。

［1］《企业内部控制基本规范》编写组.企业内部控制基本规范[M].上海：立信会计出版社，2008：1-42.

［2］许铁民,等.QHSE 体系与内控体系之融合[J].中国石油企业，2005(1)：54-55.