风险管理与内控管理在企业财务的作用

一、华北电网有限公司风险管理与内控管理的现状

华北电网有限公司于2009年开始启动财务风险管理系统建设项目。目前已经初步建成理念创新、方法先进、亮点突出、体现华北公司业务特色的风险管理系统。（1）风险管理组织架构建设：按照国资委建立风险管理三道防线的要求，以及国家电网的建立风险管理架构要求，华北公司建立了包括全面风险管理委员会、全面风险管理办公室、公司各业务部门的组织架构，且在各直属单位建立了同样的组织架构。（2）逐步形成公司风险管理文化：完成《财务风险管理手册》中《资金分册》、《预算分册》、《基建分册》、《会计报告分册》和《产权分册》的编写；完善公司的《风险管理数据检查方案》用于规范各单位的数据使用；制定《华北电网有限公司财务管理定性评价办法》，使综合管理和专业管理相结合，逐步形成公司财务管理评价的制度体系；初步编写完成《华北电网公司财务风险管理使用规范》，规范上线单位和非上线单位的风险管理工作。（3）公司提出“三条主线”的风险管理核心思路：提出指标预警看风险、内部控制查风险、管理评价控风险的核心思路。通过设定指标阀值对风险情况进行分级预警，以此对指标异动分析发现风险；将风险管理活动嵌入在业务环节中，及时发现业务缺陷，促进各单位完善各项内控措施；通过管理评价，促进财务工作标准化、规范化、流程化和绩效评价科学化。

二、华北电网有限公司财务内部控制体系建设的现状

自2009年开始，华北电网有限公司开始建立企业内部控制管理体系。公司与2010年颁布《华北电网财务内部控制手册》，用于规范企业财务管理。财务内部控制手册是对华北电网有限公司有效执行内部控制规范做出的具体规定和详细说明。财务内部控制手册按照公司财务不同业务将财务内部控制划分为15项具体内容：资金管理、采购、收入、工程项目、固定资产与无形资产管理、存货、融资、对外投资、预算管理、生产成本、担保、关联交易、税金、财务报告及信息系统。财务内部控制手册以业务流程为线索，每一项具体内容即为一个业务流程，通过对每一项具体业务的分析，识别财务部在该业务中的风险点，找出或设计应对风险的控制点，以完善财务内部控制建设。财务内部控制手册适用于华北电网有限公司本部、直属公司、分支机构及下属地市公司财务部。手册中国家电网公司总部简称国网总部，华北电网有限公司简称本部，省网公司简称省公司，华北电网有限公司的直属公司、分支机构及下属地市公司简称地市公司。为提高公司财务内部控制执行力，建立健全财务内部控制体系，规范财务管理，防范财务风险，实现国有资产保值增值，促进公司持续健康稳定发展，制定本办法。公司于2010年下半年，正式颁布《华北电网有限公司财务内部控制评价指引》，对各单位财务内部控制体系的建立健全和执行情况，开展调查、测试、分析和评估的工作。同时，公司不断地通过信息化手段促进制度的落实。公司财务风险管理系统建立了财务管理评价子系统，用于对地市级公司及县级公司财务管理工作的评价。管理评价子系统分为：评价指标库和管理评价流程两大功能。其中，评价指标基于国网公司管理内部控制评价指引的要求建立，形成了具有华北特色的八大业务类别，共有100多项评价指标。管理评价流程基于华北特色，形成了自评打分和二次评价打分相结合的评价机制，更好地体现了评价的科学性，增强了评价结果的可信度。

三、华北电网有限公司财务管理与内控管理的实施

华北电网财务风险管理和财务内控管理的建设分为三个阶段：风险管理咨询阶段、风险管理系统建设阶段、风险管理推广实施阶段。表1是关于风险管理和内控管理的重要时间表。其一，风险管理与内控管理的系统外结合———财务风险管理手册（见图1）。财务风险管理手册作为财务风险管理系统的有机组成部分，其测试结果与系统内特定风险事件相关联，可追溯至特定风险源及相应防控、缓控措施。财务风险管理手册内容架构财务风险管理手册分为资金管理、预算绩效、资产与产权、电价管理、会计核算与财务报告、财务信息系统六个业务分册。每个业务分册包含华北电网对应业务方面的主要业务流程，每个业务流程由若干子流程构成。每个主业务流程包含结构索引、业务概述、华北电网业务概况、流程描述四大部分。（1）结构索引。结构索引为编制本手册的内在理论逻辑。以财政部颁布的《企业内部控制配套指引》为基准，扩展到对应业务点的标准化内控流程———包括控制目标和控制活动及测试方法。在章节的子流程中，控制活动与华北电网的具体业务环节相对应。特定的业务环节作为控制活动保证企业控制目标的实现，并从风险管理角度对应到相应风险事件及防控缓控措施。见表2：结构索引以《企业内部控制配套指引》为基准，为企业内部控制制度的全面性和合规性提供依据。标准化内控流程为内控指引在企业实际业务中的具体运用，包括特定控制目标、保证目标实现的控制活动及针对性的测试方法，有助于检测企业具体业务流程中内控设计的完整性和合理性。对应风险为特定业务环节保证失效时产生的企业经营风险，以及针对风险应采取的事先防控和事后缓控措施。（2）业务概述。业务概述为该业务流程的普遍定义及一般性内容。（3）华北电网业务概况。华北电网业务概况为华北电网该业务流程的特点。包括业务内容特点、业务权限特点、业务范围特点等。（4）流程描述。流程描述为该主流程下的子流程内容细化，每个子流程包含六个部分：一是业务流程图。业务流程图为该子流程主要操作的图形展示。按照业务环节操作关系进行环节编号，表示其先后时间或逻辑顺序。环节编号与下一步内容中的业务环节描述相对应。二是业务环节描述。业务环节描述是对流程图中每一个业务环节的细化描述，包括每个业务环节的操作部门及职位、操作内容、流转单据等，其环节编号与流程图内环节编号对应一致，并与主流程结构索引中的内部控制-控制活动相对应，是标准化内控在企业具体实务作业中的展现。三是业务风险索引。业务风险索引是针对每一个业务流程中的业务环节与控制活动、风险事件建立的对应关系。四是业务记录。业务记录是该项业务进行过程中流转的单据及保存的记录，是内控测试的主要对象。业务记录既包括企业的内部业务单据如支付申请、系统发票等，也包括外部第三方的原始单据如银行进账单、供应商发票等，还包括企业账务处理的记录单据如入账凭证等。财务风险管理手册的业务记录包括单据及其编制人、审核人、审批人及其所对应的业务环节编号，是业务记录与业务流程的对应和统一。五是账务处理。账务处理为该子流程中涉及到的会计处理内容，部分流程如采购合同签订、年度资金计划编制等不涉及该部分内容。账务处理是内部控制手册与华北电网标准化会计核算流程的统一，其目的是为企业的财务信息准确性和完整性提供保证。见表3：六是内控测试数据。内控测试数据为该子流程对应的内控测试内容，是财务风险管理手册系统化的关键内容。其主要包括该子流程中的主要业务记录及流转单据间的逻辑关系。其逻辑关系是通过各记录及单据主要字段间的追踪匹配来实现的。以目前系统内已实现的采购流程为例，采购合同、采购订单、支付申请、资金计划、入账凭证、银行单据等构成采购流程的主要业务记录。对各记录的主要字段进行数据抽取，对照企业业务规范进行测试，对异常记录进行汇总报告。财务风险管理手册宏观上以《企业内部控制配套指引》为基准，微观上落实到流程中的具体业务环节，业务环节描述、业务记录、账务处理、业务流程图中的业务环节通过统一的环节编号相互索引，并同时关联到标准化控制活动及控制偏差引发的风险事件。见图2：其二，风险管理与内控管理的系统内结合———财务风险管理系统。风险管理与内控管理的系统内结合主要体现在：风险基础信息库、风险地图、内控测试、内控任务、日常工作稽核。（1）风险基础信息库。风险信息库是风险识别的成果，把识别出来的风险事件库转化到信息系统中，是整个财务风险管理系统的基础，包括风险管理的所有基础信息。风险信息库有效结合了风险管理体系中的风险事件库和内控管理体系中的控制矩阵。以控制活动与风险事件的对应关系为切入点，把风险管理与内控管理相结合。通过风险事件库的核心风险—风险事件、内控矩阵中的控制活动，搭建风险管理和内控管理的结合点。（2）风险地图。根据财务风险管理手册，结合财务风险管理系统开发风险地图功能模块，把手册中的流程图、业务环节描述、风险点索引、业务记录落地到系统中。通过风险地图上的操作可以查看风险点、分析风险点、测试风险等。（3）内控测试。内控测试是对业务流程中存在的风险点、控制点进行的测试，包括穿行测试和控制测试。通过内控测试发现问题可以在风险管理中进行风险应对。穿行测试是指选择具有代表性的经济交易事项作为测试样本，对贯穿业务流程中所有控制点进行检查的活动。测试的目的是验证风险控制矩阵（索引）中描述的控制活动是否正确，各环节是否按照其相关规定进行运行，是否存在控制设计及执行缺陷。测试对象为流程中各个子流程的所有控制点。控制测试是指根据既定的抽样原则、方法和样本量规定，对控制点是否按照内部控制手册和控制矩阵（索引）的规定持续有效的执行进行检查的活动。测试的目的是确认各子流程中关键控制点、重要控制点、一般控制点是否按照既定的控制设计持续有效执行。测试对象为各个子流程中的关键控制点、重要控制点、一般控制点。（4）内控任务。内控任务是指企业根据内控测试、专项稽核等工作中发现问题，通过内部的自查、抽查、整改进行内控管理的一种机制。内控任务的系统实现如下：通过内控测试报告中发起整改，进入系统中的发起整改页面，可以对相关单位的人员发起整改，并在整改完成后系统自动通知整改发起人。在任务表头可以填写任务部门、计划完成时间、任务岗位等。通过抄送可以把任务说明抄送给相关部门领导。通过内控任务将企业的内控流程固化到系统中。（5）日常工作稽核。稽核本身是企业内部管理的一种手段，日常稽核是对会计凭证、账簿、财务报表等相关会计资料，以及会计岗位设置、会计核算、财务报告、档案管理等财务基础工作的审核，是保障日常财务工作的真实、合法、合规的必要手段。日常稽核的目的是及时纠正或者制止会计核算工作中的疏忽、错误，有效预防差错和舞弊，保证会计信息的真实、准确，提高会计核算工作的质量。日常稽核的系统化本身就是对内控管理落地的一个体现。通过日常稽核的发起、审批、稽核、复核、反馈、评价等完成日常稽核的落地。综上所述，华北电网财务风险管理和财务内控管理的思路、发展情况反映了风险管理与内控管理在系统外和系统内的有效结合。

作者:胡汇 单位:武汉科技大学城市学院

参考文献：

［1］刘晓宏：《外汇风险管理战略研究》，《复旦大学学报》2009年第10期。

［2］杨轲：《中国企业特征与风险管理程度的实证分析》，《会计研究》2010年第9期。