中国南方电网公司自成立以来，一直致力于治理机制的不断完善，积极促进全网一体化、规范化和标准化管理进程和发展，持续强化内部控制制度的健全和完善，取得了很大的成效。但是构建一个全面风险防范体系的思想还没有融入到公司治理体制中去，使得公司的战略目标和年度规划由于未足够关注全面风险管理而缺乏前瞻性和科学性，造成统筹考量公司全面风险管理的子战略缺失，由此会引发更多的风险。因此，深入推动全面风险管理和内控监管理念、加快启动内控监督评价工作、全面提升内部控制与风险管理水平势在必行。

一、中国南方电网公司内控现状

目前，中国南方电网公司所属的一些子公司在内控评价方面做出了一些有益的探索，主要实践成果：一是已基本完成全面风险管理体系建设，初步形成内控监督评价常态化工作机制；二是由内控体系建设和监督评价并重转型为重点关注内控监督评价工作；三是部分单位已经将内控评价结果纳入组织绩效与个人绩效进行考核；四是内控评价融入常规审计项目等。但另一方面，在内控评价工作开展过程中，仍存在一些问题：公司一体化战略管理决定下的全面风险内控管理组织架构和内控体系尚未构建；审计一体化战略思路下的内控监督评价体系、工作机制、评价标准及运行环境尚未启动；没有形成内控文化，意识淡薄；控制环境不理想，执行不力；评审双方信息不对称的矛盾比较突出；传统项目审计与内控监督评价分离，没有形成整合效应，成果无法共享，服务结果缺乏实效，内控评价意见的权威性不足。

二、公司系统内控监督评价体系的构建

1.设置公司内部控制体系组织机构

为确保内控评价工作的独立性及有效性，公司在组织机构中界定了内控责任和审计责任。一是设置内部控制委员会负责公司的内控工作。内部控制委员会隶属于董事会，直接对董事会负责。在内部控制委员会下设办公室（挂靠战略部或企业管理部门），主要负责公司内控体系建设与推动，组织各业务领域进行风险管控等日常工作。二是设置公司审计委员会负责公司的内部审计及内控评价工作。审计委员会隶属于董事会，直接对董事会负责。在审计委员会下设审计委员会办公室（挂靠在审计部），主要负责内审计工作和内控执行情况的评价和重大风险预警。各业务部门、分子公司根据内控体系委员会的要求，按照内控委员会办公室下达的指令执行日常风险管控，并接受审计委员会办公室的监督评价。据此建立起以业务部门建设管理为主导、审计监督评价为保障的完整的公司内控组织架构（见图1）。

2.建立公司全面风险管理内部控制体系

全面风险管理内控体系的功能是进行目标设定、事项识别和风险应对。完善的内部控制流程支持与风险管控的融入是内控体系构建成功的关键，也是电力企业构建内控体系的核心原则。基于此，南方电网公司构建了以风险环境和风险管理信息系统为基础，以流程为依托、内控管理运行机制为保障、内控目标为最终导向的内控管理体系（见图2）。

3.公司内控监督评价体系模型构建

以coso内控框架为基础，按照控制环境、风险识别与评估、控制活动、信息沟通与反馈、监督评价五要素来设计，实务操作充分融合《企业内部控制基本规范》、《企业内部控制配套指引》和《企业内部控制审计指引》要求，设计了全面风险管理和内控监督评价相结合的公司内控监督评价模型。据此模型可以识别和判定公司各管理层面和业务层面的风险与内控缺陷，并促成风险的防范和缺陷的持续改进（见图3）。

4.形成公司内控管理机制和内控评价工作机制

（1）内控管理机制。依据国际最新的内控理论，搭建适合公司情况的内控理论框架，内控体系形成风险战略管理机制、业务风险自我控制机制、内控信息沟通机制、内控监督评价奖惩机制等四大管理机制，风险管控逐步常态化。

（2）内控评价工作机制。在内控监督评价四大管理机制的框架下，形成四大工作机制来具体落实内控评价工作。包括建立以业务部门为主导、审计监督评价为保障的内控工作机制；建立将内控工作结果纳入组织绩效和个人绩效进行考核的内控评价结果考核制度；建立以提升审计效能为目的、审计成果共享的内控评价与内部审计整合工作机制；建立以审前调查为目标、深入挖掘风险点的内控访谈工作机制。

5.内控监督评价程序

中国南方电网公司尝试将全面风险管理引入内控评价工作。风险评估是一个动态、闭环、持续的过程，其程序可分为三个步骤：制定审计计划、实施审计程序、编制审计报告。而内控风险分析评价有四个步骤，即风险的识别、评估、应对和管控。两者的核心理念是一致的，都是将风险点实行动态管理和实时监控；两者管理的程序和内容也趋近相同，都是对风险点进行识别、梳理和管控。只是在具体方法上略有不同。中国南方电网公司将风险导向审计引入内控风险分析，实现全面风险导向的内控评审，无论在理论上，还是审计实践方面，都是一个非常有益的尝试。具体程序如下：①分析内外部环境，识别风险，检查风险清单。②进行风险分析，确定风险类型，划分风险等级。③检查是否真正将风险控制点植入流程管理，通过流程再造和流程优化活动，对风险点进行适时管控。④合理配置审计资源，重点测试与评价高风险审计领域。⑤开展内部控制评价，综合评价风险防范和控制能力与水平。⑥综合风险评估、内部控制评价及实质性测试的结果，出具审计报告。⑦根据评价结果，对风险进行应对和管控。

6.内控评价工作信息系统支持

内控评价的信息系统支持在一定程度上决定了内控评价工作的效能，是开发或者完善、升级改造信息系统，做好信息化手段的技术支撑，可以保证现场查证突出重点，整体评价内容全面，管理改进持续有效，评价结果客观准确，还可以提高评价质量控制测试的深度广度，增强评价的客观性与可比性。主要设计为：

（1）开发非现场审计系统，嵌入或升级改造现有审计系统。可考虑在公司审计信息管理系统中嵌入内控模块进行评价，也可在内控管理系统以可插拔接口方式接入内部审计模块，实现公司审计信息系统与内控管理系统的数据交互使用。

（2）开发现场作业工具，如内控测试工具、转换工具、校正工具和评价工具，利用内控评价的信息化手段来提高现场作业效率。也可以梳理编制内部控制测试表、重大控制风险事项统计标准及统计结果矩阵等程序来提高评价能力。

开展内控监督评价工作，特别是以内控评价和内部审计项目的整合为出发点进行实践，更有利于企业节约审计资源，最大程度地成果共享，把内控评价工作做出深度，做出实效来。南方电网公司充分利用个别子公司的内控工作实践成果，既修正又保留、既传承又发展，在内控评价充分融入内审工作方面下大力气做实做细，为下一步公司系统推行全面风险管理及内控监督评价工作打下实践基础。■

责任编辑 达青