2017年最新内部控制工作的问题意见和建议

2017年最新内部控制工作的问题意见和建议 一、如何做好全面风险管理体系建设工作 ? (一 )成立组织机构，主要领导亲自挂帅 各单位应在确定开展全面风险管理体系之初，即着手制定本单位及所属基层企业的全面风险管理体系建设工作方案。在建设工作方案中，明确本单位全面风险管理体系建设领导小组和工作小组，建议公司主要领导担任领导小组组长，公司领导班子成员任领导小组成员，领导小组中应明确一人作为分管风险管理工作领导，主抓本单位全面风险管理工作 ;工作小组由分管风险管理工作领导任组长，本单位全体部门负责人为小组成员，共同参 与全面风险管理。 组织机构明确后，应择机召开全面风险管理体系建设工作启动会，主要领导出席会议，布置工作任务。二级单位召开启动会，应在确定有关中介咨询机构之后，邀请集团公司财务管理部出席启动会，并作宣贯培训。 全面风险管理体系建设的重要任务之一，是在公司现有治理结构上，明确董事会 (或总经理办公会 )在风险管理过程中决策机构地位，并在董事会 (或总经理办公会 )下设审计与风险管理委员会，审议与风险管理有关的议题 ;已经在董事会设立审计委员会的上市公司、股份制企业，应参照集团公司全面风险管理指引有关要求，变更名称为 “审计与风险管理委员会 ”，并在公司章程、董事会议事规则等方面调整相应权限 ;原则上，审计与风险管理委员会成员可以不与各单位公司党委领导班子完全重叠，且出于审批效率的考量，建议全面风险管理工作领导小组与审计与风险管理委员会合署开展工作。 全面风险管理体系建设工作方案应由各单位主导编写，或安排有关咨询机构统筹编写，内容包括但不限于：建设思路和目标、建设原则、组织机构和职责分工、建设内容 (风险管理目标、组织体系、流程体系、文化体系、信息系统、日常工作机制 )、工作安排、工作要求等。方案应经公司有关决策程序审批后，发 布执行并指导工作开展。 (二 )明确项目计划，分管领导主抓实施 各单位应在全面风险管理体系建设工作方案中，明确本单位开展体系建设的项目工作计划，包括但不限于工作目标、建设范围和内容、工作组织和职责分工、沟通机制、量、质、期要求等。各单位分管风险管理工作领导应协调本单位各业务部门，共同开展全面风险管理体系建设与日常管理工作，组织召开公司内部各种形式的沟通协调会，确定影响体系建设进度的重大问题解决方案，组织对风险管理日常工作使用的风险监控指标、风险评估结果等进行论证，结合企业经营管理和发展实际情况，不断优化全 面风险管理工作机制，向领导小组定期汇报工作开展进度。 (三 )梳理工作方案， “三道防线 ”齐抓共管 各单位应在全面风险管理体系建设工作方案中，明确本单位风险管理工作办公室，明确挂靠一个职能部门，负责牵头开展本单位全面风险管理工作。风险管理部门牵头组织有关咨询机构对建设工作方案进行梳理，形成项目工作计划及明确的工作时间表，组织咨询机构开展体系建设工作。各业务部门应在全面风险管理体系建设工作小组的直接领导下，积极开展协作配合，在满足咨询机构基本工作要求的同时，协助风险管理部门开展有益的风险管理探索和尝试，总结提炼专业风险防控成熟经验和做法，完善风险监控指标体系，协助分析风险成因，提出风险应对措施并落实检查整改措施。 (四 )确定咨询机构，做好关键环节设计 各单位应严格按照集团公司有关招投标和采购管理办法要求，确定相关咨询机构开展全面风险管理体系建设工作。在咨询机构的选择方面，各有关单位应与采购部门做好充分沟通，详细了解按照程序操作确定咨询机构的时间长度，避免因周期过长的原因耽搁正常工作开展。咨询机构的选定与否，是各单位能否召开体系建设启动会的前提。 关注并做好体系建设过程中影响成果质量的关键环节，包括但不限于： 1. 向全体人员发布风险环境测量问卷：咨询机构会梳理风险环境测量问卷，在体系建设过程中向本单位全体成员发布，风险管理部门应充分向各部门说明问卷设置用意和填答须知，咨询机构应加强填答过程辅导，各业务部门应组织全员共同参与，提高环境测量问卷的质量。 2. 组织开展全员风险评估工作并确定重大风险：风险环境测量问卷与风险评估侧重点不同，风险管理部门应在开展风险评估工作之前，充分论证工作开展的必要性和现实困难，准备较为详细的评估操作指南，咨询机构应加强业务辅导，针对参与评估人员对风险评估态度谨慎、分值偏低的情况进行纠偏 ，确保样本质量的真实性、可用性，便于后续在汇总分析后提炼重大风险。此外，各单位还应注意，在开展体系建设过程中的风险评估与集团公司开展的年度风险评估尽管性质趋同，但因组织开展时间不同，评估结果和应用范围存在不同，不可以混为一谈或者机械替代使用年度风险评估的结果。 3. 开展领导人员和中层干部管理访谈：咨询机构在获取被咨询服务单位基本情况后，会整理管理访谈问题清单和提纲，并与各级领导人员和中层干部以及部分重点岗位管理人员进行访谈，面对面获取工作人员对风险认知能力和信息，提炼公司级、业务级、流程级风险观点，印证内 部控制体系建设和执行情况。风险管理部门应制定访谈工作方案和时间计划，报工作小组审议后，确定访谈时间安排，过程中应安排专人全程跟进访谈工作，避免咨询机构因提问方式、问题内容不符合业务实际而造成的沟通问题，访谈期间应提示被访谈人，有关观点仅供咨询机构提炼观点参考，不会对外披露或录音留作证据，打消被访谈者顾虑，提高访谈沟通质量。 4. 协助提供制度办法并梳理流程：在开展体系建设过程中，会反复向各级单位、业务部门获取制度办法，梳理有关管理业务审批流程。此项工作涉及制度办法管理部门、各业务部门的执行情况，本单位各部门 应提高对制度建设和执行情况的认识程度，如实向咨询机构反映现有业务流程执行情况，便于咨询机构发现管理缺陷，共同提出改进方案，督促有关部门整改。 5. 按照内部控制岗位分离要求明确审批权限等：咨询机构在开展现场工作中，会对涉及关键审批流程事项中重点部门、重点岗位的内控岗位分离提出符合性测试要求。对于不符合内控岗位分离基本要求的，各单位应第一时间明确整改方案，不得以人员编制不够等理由拒不整改，集团公司将在体系建设过程中加强对内控岗位分离设计和执行方面的跟踪检查。此外，在关键岗位有限分离的同时，各单位风险管理部门还 应结合流程设计，关注不同岗位审批权限的设计问题，组织有关业务部门加强研究和整改，杜绝流程空转空传、层层审批但层层漏网，最终造成重大损失的情形出现。 (五 )重视成果沟通，适度前瞻管理变革 各单位应高度重视体系建设成果在过程中的沟通工作，咨询机构是体系建设的协助单位，但不能取代体系建设过程中各单位的主体作用。各单位风险管理部门应切实担负起体系建设成果的过程沟通任务，采取沟通会议、邮件往来等多重形式，在沟通过程中适当考虑本单位和上下级企业管理变革，对企业未来面临的风险和管控机制适度前瞻，保证体系建设成果能够与企业 管控实际相匹配。 (六 )形成汇报机制，及时解决问题不足 各单位应形成全面风险管理体系建设 “双周报 ”工作机制，定期向本单位领导小组、工作小组汇报工作进展，梳理体系建设过程中存在的不足和亟待协调的问题。 “双周报 ”由咨询机构负责编写，风险管理部门负责审核，主送本单位各部门，抄送公司领导。 (七 )履行决策程序，发布标准成果文本 各单位应在结束体系建设现场工作，确定建设成果文本后，按照有关决策程序，提交审计与风险管理委员会，履行审查程序后，报董事会 (或总经理办公会 )审批，审批后面向全公司发布标准文本成果，并安排审计部 门及时进行有效性评价，保证体系建设成果有效在用和及时更新。 标准文本成果内容包括但不限于：全面风险管理办法、内部控制制度、全面风险管理操作手册、风险信息库、风险案例库、内部控制手册、内部控制评价手册、内部控制缺陷认定意见。 (八 )开展宣贯教育，做好人员过手培训 各单位要抓住各种机会、利用各种形式开展全面风险管理文化体系建设和宣贯教育工作，利用广播、报纸、微信公众平台等形式，加强阵地宣传，营造舆论氛围。各单位要做好风险管理工作人员的过手培训工作，确保人员在开展正常的岗位轮换、更迭的同时，工作质量不打折扣。 当 前，集团公司财务管理部可以无偿为各单位提供风险管理知识体系和应用方面的常规培训，各单位可根据自身实际情况提前与财务管理部风险管理处沟通有关培训事宜。 二、风险评估怎么做 ? (一 )明确风险评估目的 为满足本单位董事会 (或总经理办公会 )把握年度重大风险情况，满足年度风险管理报告编报要求，按照集团公司关于风险分类管理和重大风险的防控措施要求，利用科学方法和评估工具，开展年度重大风险评估工作。此外，在开展全面风险管理体系建设过程中，或为满足项目发展需求，论证项目发展可行性，需开展专项或不定期风险评估工作。 (二 )年 度风险评估的方法选取 风险评估采取定量评分和定性评估相结合的工作方式。 定量评分主要是采取目前国内比较通行的 “打分法 ”，按照风险损失度和风险发生可能性两个维度评分，每个维度分值均为 1表不同的损失度或可能性层次，根据风险打分情况，绘制风险地图，并在风险地图明确三个分值区间，对应一般风险、中等风险、重大风险三个等级。 定性评估主要是根据本单位主要领导管理经验，对未来一段时期可能面临的重大风险进行评估和预期，主要用于定量方法结果的纠偏与论证，对打分评估结果进行修正，按照决策层、中层干部、基层员工在打分过 程中因分值权重不同得到的不同分值，对打分评估结果进行校正，按照二级风险和三级风险两个级别，确定年度重大风险。 (三 )年度风险评估的原则 一是全面覆盖。风险评估打分工作涵盖集团公司所属各单位管理主体，各分 (子 )公司、研究院组织所属基层单位开展本次风险评估工作，报送主体以管理口径为主，产权口径为辅，即一厂多制企业、一班人马多块牌子企业、区域性集中管理企业均报送一套评估汇总表。评估工作由各单位明确风险管理职能部门作为牵头部门，工作方式以在本单位横向推进为主，须争取本单位主要领导的支持，让所有业务部门充分配合完成。 二是逐级汇总。各分 (子 )公司、研究院是风险评估结果的汇总单位，除完成管理本部的风险评估工作外，还要组织所属基层单位完成本次风险评估底稿的收集和汇总工作，检查本区域管辖单位的风险评估分值是否有效、合理，逐级汇总后形成上报结果，连同基层企业评估底稿、汇总表一并报送集团公司财务管理部。 三是重点关注。各分 (子 )公司、研究院根据管理需要、业态板块等因素选择在区域内有代表性企业参与本次评估，也可放大参与范围安排全部单位参与评估。已开展全面风险管理体系试点建设的单位必须全级次参与风险评估。其余二级单位自行安排，原则上 参与评估的单位在企业户数的 1/3左右。需要注意的是，各单位所属的低效无效、僵尸特困企业、待处置资产均不需要开展风险评估和风险管理报告编报工作，只需要二级单位在汇总风险评估总结和年度风险管理报告中提到项目处置和当前进展即可。 四是评估本级。风险评估工具用于各单位在本企业开展风险评估工作，各单位参与人员在收到打分表后，不必纠结打分表中 “集团公司 ” 没有改为 “” 的字眼，一律按本单位可能存在的风险进行评分。对于风险损失标准可参考风险评估打分表中的风险评估标准，在基层企业确实不适用的损失标准，可根据 本单位实际情况进行评判。未来，集团公司将进一步在风险损失度方面统一标准。 (四 )年度风险评估工具的使用 在目前尚未开展全面风险管理信息系统部署的前提下，集团公司财务管理部会同中审众环会计师事务所 (特殊普通合伙 )咨询人员研发了简易 于集团公司本部、二级单位和基层企业开展风险评估现场打分收集整理汇总工作，同步配发中国国电集团公司全面风险评估填报工具使用说明和关于 2017年度风险评估与风险管理报告编报过程中有关问题的答疑说明。各单位应按照有关说明文件，组织二级单位本部和部分有代 表性基层企业和人员参与风险评估。 (五 )参与年度风险评估人员的分配 一是权重设置。按照公司领导、部门中层、基层员工三个类别设置分值参与运算的权重，分别为 60%、 30%、 10%。公司领导、部门中层参与打分的人员是本单位重大风险评判的主要力量。 二是人员分配。各单位在组织风险评估打分工作时，主要关注权重较高的公司领导、总师助理、部门中层正副职，基层员工建议选择管理部门的关键岗位、主管人员参与，生产部门的专工、班组长以上人员可以酌情安排参与，每个单位样本量不要超过 150个。确切的说，二级和三级单位的党委委员、总师 助理、部门中层正职 (含主持工作的副职 )是肯定要全部参加的，部门中层副职、基层员工可根据总样本量酌情安排，不做硬性要求。 (六 )如何适当的打分 一是正确认识评估工具。各单位风险管理部门应按照使用说明，以本单位为例模拟三个层次人员的打分结果汇总测试成功后，再发送正式的文件，布置工作任务。 二是按照打分规则评分。风险评估打分表按照集团公司风险信息库总体架构，对一级风险 (5个，分别为：战略风险、市场风险、财务风险、运营风险和法律风险 )、二级风险及三级风险进行了罗列，按照风险损失度、风险发生可能性两个维度，对风险事项打分评价。出于海量样本收集整理的考虑，打分表中的每一项都要打分，对于不了解或者不涉足领域的风险，如果没有确凿依据或者充分理由可以给予适当评分的，建议打 1分，但不要不评分或选择 “-”，否则视为废票。 三是合理估计未来风险。通过对个别单位风险评估工作的了解，绝大多数单位人员对本单位未来风险的估计和预期都偏谨慎，评估分值相对较低，导致公司整体评估分值无法达到中等风险、重大风险的分值。在此，建议各单位给参与评估的人员以充分的信任，可以 通过匿名收取反馈评估表的形式，让参与评估的人员放下顾虑，给参与评估工作的人员讲清楚，风险评估的主体是各单位的管理人员，评估工作中扮演的角色是在集团公司收取的海量样本中体现对重大风险的共同甄别效果，要让大家充分按照自己的管理经验和对业务风险的理解，充分体现 “人 ”这个企业管理中最基本要素对企业风险的认识和预期。 风险是客观存在的，具有极大的不确定性，只要认定是重大风险的，可以分值选择 5、 4等高分值，确定不了解或者认为不重要的，也可以选择为 1分，不必求中庸，更不必担心评分结果会对个人、对本单位造成其他不利影响。与 此同时，还应在开展风险评估工作之处，强化对评估人员的风险客观性、不确定性的宣贯，减少因对风险认识存在偏差，评估分值偏低的影响。 (七 )评估结果的使用 风险分值是风险损失度和风险发生可能性二者乘积，评估分值分为 (0， 4代表一般风险 ,(4表中等风险 ,(9表重大风险，部分单位没有重大或中等风险评估结果的，建议采取定性评估方式加以辅助，确定重大风险。 (八 )评估结果如果没有重大风险应该如何处理 在开展企业风险评估工作中，没有重大风险，其实是一个伪命题。只要是一家公司，不会没有重大风险。但是如果确 实公司领导认为没有重大风险或没有必要披露重大风险，评估汇总表的分值又没法人为调整，可参考下述办法做适当处理修正： 一是全表分值倒序排序。应针对本单位评估汇总表的结果，按照评估分值的降序选择 5议以数值为主，尊重本单位汇总的风险评估分值 ;经验为辅，适当调整明显不合理且分值靠前的风险。 二是征求本单位公司领导意见。按照分值降序和管理经验调整出重大风险后，应征求本单位分管领导及主要领导意见，或专题形成汇报上会研究，确定本单位年度重大风险。一般情况下，可补充较为明显的形势政策风险和市场环境 风险等内容作为重大风险。 各单位应具有强烈的风险意识和忧患意识，充分认识当前经济下行、电力体制改革、发电产能过剩等大环境对企业经营发展的影响，要对当前发电企业严峻形势充分估计，要落实主体责任，提高防范风险的工作主动性，宏观审慎研判全年及今后中长期企业面临的重大风险，敢于作为，勇于担当，组织有关部门制定详细的应对措施，并在本单位年度风险管理报告中予以披露。 三、年度风险管理报告如何编写 ? (一 )明确报告结构 按照国资委文件要求，年度风险管理报告的结构为四部分：一是上一年度风险管理工作回顾，二是本年度风险管理工 作安排，三是本年度风险管理策略，四是有关意见和建议。年度风险管理报告的编写内容时间区域为前后两年，例如 2017年 4月份确定 2017年度风险管理报告，报告总结 2016年度风险管理情况，确定 2017年度重大风险及应对措施等。 (二 )按时履行决策后报送 按照关于做好 2017年全面风险管理工作的通知 (国电集财 2017 66号 )要求，集团公司自今年起，将年度风险管理报告作为风险管理日常工作机制的重要组成部分，各二级单位应按照集团公司要求，组织管理本部及相关基层企业，开展年度风险管理报告的编报工作。由于当前各 单位管理基础不同，集团公司组织开展年度风险管理报告编报工作的时间较晚，一般在每年 2月中旬布置相关工作， 3月中下旬汇总各单位有关指标数据和报告文本，汇总形成集团公司汇总报告后，经集团公司党组会、董办会、董事会审计与风险管理委员会审议后，经年度第二次董事会审批后，于每年 4月 30日前报送国资委。各单位应统筹好年度风险管理报告的编报时间，收集相关素材，需履行必要的内部汇报与决策程序后报送集团公司备案。集团公司将根据全面风险管理体系扩大试点建设情况，逐步提前年度风险管理报告的编报时间，以满足各方监管和报送需求。 (三 )把好数据来源关，加强形势政策研究 年度风险管理报告应具备较高质量文字分析的基础上，积极在各单位业务部门间，横向获取数据支撑素材，包括但不限于风险监控指标和主要预算指标完成情况，企业经营发展有关数据分析 ;同时，作为年度风险管理报告，应深入分析本单位在企业发展与经营过程中面临的形势，搜集政策变化与执行情况，从内、外部环境变化、企业禀赋等因素做综合分析研判，特别是要对未来一段时期的重大风险和相应管控措施做应对方案。年度风险管理报告，一般应具备企业战略层级或区域、行业板块分析的高度和深度，对形势政策研究、文字功底 、综合数据分析能力有较高的要求，建议在基层企业由风险管理部门负责人亲自组织开展工作和编写，二级单位在明确风险管理部门的同时，明确在上述工作要求方面具备专长的同志负责，形成良好的上下沟通机制，提高报告分析质量水平。 年度风险管理报告不仅是一个汇报材料，更是一个年度风险趋势的预测分析，一定要带有对政策的解读和适当的前瞻性，已经确定的事项可以往报告上罗列，但是不能占太大篇幅，更多的篇幅应当是依据风险评估结果，对重大风险进行排列，针对不同风险，明确相对应的风险管理部门，在业务部门的协助下，提出风险管理策略和应对措施 。 四、月度、季度风险监控指标如何填报 ? (一 )填报时间和路径 每月 8号前报送月度风险监控指标上报文件，每季度结束次月 15日前与季度风险分析报告一并提交。提交文件格式为远光财务管控系统月报上报文件 (扩展文件名为 *同步报送 送路径为集团公司快报邮箱 (二 )报表结构和设计初衷 在全面风险管理信息系统尚未部署的前提下，我们在远光财务管控系统的月报模板中设置了两张表格，开展关键风险指标的收集和运算。表格一是风险监控指标填报表，是年报格式，属于数据 源表，意在通过一张表格收集整理一家填报单位全年各月全级次口径的风险监控数据指标，便于后续进行大数据分析 ;二是风险监控指标汇总表，是月报格式，是对填报表数据的运算结果，也是决策辅助信息表，是根据各风险监控指标阈值进行运算后，用于各单位编写季度风险分析报告，前表为后表运算提供依据，二者互相印证。 (三 )关注数据是否可汇总 为便于各单位进行填报，集团公司财务管理部编制了中国国电集团公司风险监控指标表填报说明，明确了当前 62个监控指标体系设计背景、填报须知、指标性质等，明确了每个风险监控指标的计算因素、单位 、公式、指标性质、填报频次、阈值区间、数据来源、表间结构等信息。特别是指标体系中，有些指标是可以汇总的，如电量、利润完成金额，有些指标是不可汇总的，如区域资产负债率、资金归集率等，因此建议慎用或不使用合并汇总功能，如果使用，请核实可汇总型数据的准确性后再使用，合并汇总完毕后，还应对不可汇总型指标进行校验，还原为汇总层级的数据全貌。来自于业务部门的数据应全面考量管理口径和产权口径的差异。 五、季度风险分析报告如何编写 ? (一 )明确分析报告结构 季度风险分析报告共四个部分：第一部分是风险监控情况，以表格形式简述 本单位上一季度风险异常、报警指标的汇总情况，主要针对五个风险一级分类进行分别阐述，主要体现风险监控指标整体处于什么水平 ;第二部分是季度风险事件的发生情况 ;第三部分是风险分析评价，主要对本单位上一个季度的风险表现进行分析评价，以月度或季度指标监控异常、报警的风险为主要分析对象 ;第四部分是对下一季度本单位风险的整体评估。 (二 )报告内容的侧重点 由于风险的不确定性，年度评估的重大风险，各年度内不同时期，具有不同的呈现方式和表现特点。各单位在季度风险分析报告编写过程中，应侧重分析内容的真实性、全面性。真实性是要对 指标的监控填报情况进行核实，确保监控数据指标符合企业实际情况，单户企业应当具备同一企业对外报送口径一致，合并单位口径应保证数据在合并口径的合理和准确性。全面性要求是要结合风险监控情况，对风险成因、风险表现情况、风险影响程度进行综合分析评价，管理评价意见应符合企业管理实际情况，涵盖所有业务风险管理部门管控实际。 (三 )聚焦重大风险和指标异常及报警情况 各单位应结合现行指标体系，扣除与本单位经营管理业务无关的指标后，将指标异常或报警的原因进行深入分析，报纳入季度风险分析报告中。 六、如何开展专项风险防控工作 ? (一 )专项风险防控课题选定原则 1. 聚焦集团公司发展战略 坚定不移地实施 “一五五 ”战略，积极践行 “五大发展理念 ”，牢牢把握 “六个必须 ”，推动企业健康可持续发展。关注影响集团公司科学健康发展的问题，深入研究深化体制改革的途径，努力寻找克服困难挑战的方法，确保专项风险管控工作解决实际问题，助力集团发展。 2. 兼顾三级法人管控层级 以集团公司关注的重大风险为基础，突出集团公司风险集中管控与应对的战略中心地位，明确二级单位法人实体管控角色，针对基层企业因地制宜、因企施策，不断充实完善集团三级法人管控体制解决具体 问题和风险矛盾的能力。 3. 关注当前主要经营风险 当前及今后一段时期，集团公司受发电行业 “