会计专业学士毕业论文.

本科毕业设计(论文)

题目：风险管理下的电力企业内部控制探析

院系：会计学院

专业：会计学

学号：姓名： * *

指导教师：张晓艳

2016年 6月

摘要

由于我国经济水平的不断上升，大环境发生了改变，这导致企业的竞争压力越来越大，然而机遇与风险是同时存在的，如何更好地发展下去，更需要慎重进行决策，在此基础上如何更好地应对风险，构建以风险管理为导向的内控体系成为大家关注的重点。我国内部控制的理论和实践方便，都起步比较晚，人们对风险管理的认识明显不够，虽然以风险管理为导向的内部控制理论与实际操作已经开始慢慢受到重视，但目前大多数企业还没有风险评估意识，企业内部控制系统存在一定的缺陷，无法构建出完整的风险管理与内部控制相融合的成熟内控体系。内部控制以风险管理为导向，就是将风险管理与内部控制完美结合，这必将成为未来企业发展的新趋势。本文的研究可以加深一些管理者对风险管理与内部控制相融合的理解，增强企业管理者的风险管理意识，从而对企业构建更好的内控体系提供帮助，这对于其他企业也有很好的借鉴作用。本文采用理论结合实际的方法，先介绍风险管理与内部控制的相关理论知识，再通过分析风险管理下电力企业的内部控制问题，主要是组织结构方面的问题、货币资金业务方面的问题、信息与沟通方面的问题以及监督方面的问题，然后从实际出发，具体问题具体分析，找出解决办法，帮助电力企业更好地应对风险、提高风险防范能力，从而分析总结得出结论，以便相关企业能够有所参考，更好的应对风险，稳定发展。

关键词：内部控制；风险管理；电力企业

Abstract

Due to the rising of China's economy and environment changed, which leads to the

enterprise competition pressure is getting bigger and bigger. However, opportunities and risks exist at the same time, how to better survive and develop, require careful decision-making, based on how to better deal with risk, construction risk management oriented internal control system become the focus of attention. Theory and practice of internal control in our country is convenient, have started relatively late, people's understanding of risk management is obviously not enough, although to risk management oriented internal control theory and practice has begun to slowly attention, but the most enterprises haven't consciousness risk assessment, enterprise internal control system exists some defects, cannot establish a mature internal control system for integration of complete risk management and internal control. Internal control risk management oriented, which combine the risk management and internal control is perfect, it will become a new trend in the future development of enterprises. This study can deepen some managers of risk management and internal control integrated understanding, enhance enterprise management and risk management consciousness, thus the enterprise build better internal control system to help, which for other enterprises also have very good reference. In this paper, the theory and practical methods, first introduced the related theory knowledge of risk management and internal control, through analysis of risk management of electric power enterprise's internal control problem, communication problems and supervision of the organizational structure, monetary funds business issues, information and channel is the main, then embarks from the reality, concrete analysis of concrete problems, find solutions and help electric power enterprises to better cope with risks, improve the ability of risk prevention, and analyzed and summarized the conclusion so that enterprises can have reference and better cope with risks and stable development.

Key words: internal control; risk management; power enterprise

1 绪论 . .................................................................................................................................................... 1

1.1 论文研究的背景和意义 . ......................................................................................................... 1

1.1.1 研究背景 . ...................................................................................................................... 1

1.1.2 研究意义 . ...................................................................................................................... 1

1.2 国内外研究情况 . ..................................................................................................................... 1

1.2.1 国内研究情况 . .............................................................................................................. 1

1.2.2 国外研究情况 . .............................................................................................................. 2

1.3 研究的内容 . ............................................................................................................................. 2

1.4 研究的重点难点及研究方法 . ................................................................................................. 2

1.4.1 本文的重点难点 . .......................................................................................................... 2

1.4.2 本文的研究方法 . .......................................................................................................... 3

2 内部控制与风险管理概述 . ................................................................................................................ 4

2.1 内部控制概述 . ......................................................................................................................... 4

2.2 风险管理概述 . ......................................................................................................................... 4

2.3 风险管理与内部控制两者之间的联系 .................................................................................. 4

2.4 风险管理与内部控制两者之间的融合 .................................................................................. 5

3 风险管理下企业内部控制体系构建 . ................................................................................................ 6

3.1 内部控制框架 . ......................................................................................................................... 6

3.1.1 内部控制的目标 . .......................................................................................................... 6

3.1.2 内部控制的构成要素 . .................................................................................................. 6

3.2 风险管理下的企业内部控制构建 . ......................................................................................... 7

3.2.1 风险管理下的企业内部控制系统的发展现状 ........................................................... 7

3.2.2 风险管理下的企业内部控制体系的构建 ................................................................... 8

4 风险管理下的SX 电力企业内部控制问题 . ...................................................................................... 9

4.1 SX电力企业概况 . .................................................................................................................... 9

4.2 SX电力企业现状及问题 . ........................................................................................................ 9

4.2.1 SX电力企业组织结构不合理 ...................................................................................... 9

4.2.2 货币支付流程与制度、计划不符 ............................................................................. 10

4.2.3 系统软件存在缺陷 . .................................................................................................... 11

4.2.4 监督不够全面 . ............................................................................................................ 12

5 构建风险管理下的SX 电力企业内部控制体系 ............................................................................. 13

5.1 建立完善的全面风险管理组织体系 .................................................................................... 13

5.2 建立相关制度与机制 . ........................................................................................................... 13

5.3 设立专管员、制定应急预案 . ............................................................................................... 14

5.4 强化企业内部监督 . ............................................................................................................... 15

6 结论 . .................................................................................................................................................. 16

参考文献 . ................................................................................................................................................ 17

1 绪论

1.1 论文研究的背景和意义

1.1.1 研究背景

内部控制是指“企业为了确保实现经营目标而实施的一些手段、方法和制度，是当代企业为了实现更高效率的管理水平，保证企业信息和资产的准确可靠，完成企业的发展战略并且获得可持续发展的一种重要管理手段。”内部控制可以有效提高企业的工作效率，督促企业遵守相关法律法规，提前预防、避免或解决企业有可能发生的一些不必要的问题，从而使企业不会受到名誉损害和其他一些不良影响。由于国家电力行业体制的改革不断加深，电力企业的市场竞争力越来越强，随之而来的便是电力物资的集约化管理控制和资金的精准细化、科学管理的要求不断加强。我国电力企业还普遍存在着对风险管理不够关注、风险管理机制缺失或者不健全的现象。这些状况要求电力企业必须提高对企业自身的风险管理能力。而怎样在原有企业内部控制的基础上更深一步的加强风险管理，构建企业的风险战略管理、完善内部控制的基础环境、风险控制机制、信息交流与沟通机制以及监督机制成为企业当下的重要任务。

基于以上背景，笔者尝试在风险管理导向下构建电力企业的内部控制框架体系，将两者和谐的融合在一起，互相学习借鉴。这样电力企业的风险管理水平将会大大提高，从而使企业更好地去完成所制定的战略目标，勇敢的迎接市场上的机遇与挑战。

1.1.2 研究意义

全文以风险管理作为前提指导，对SX 电力企业的内控系统进行研究分析，找出其问题并合理解决，从实际出发，将风险管理与内部控制相互结合起来。本文的研究可以加深一些管理者对风险管理与内部控制相融合的理解，增强企业管理者的风险管理意识，从而对企业构建更好的内控体系提供帮助，这对于其他企业也有很好的借鉴作用。

1.2 国内外研究情况

1.2.1 国内研究情况

内部控制是社会经济发展到一定阶段的必然产物。内部控制起源较早，但20世纪40年代之后才得到了真正的发展和完善。

朱荣恩等（2011）以问卷调查为基础，针对当时中国企业内部会计控制的具体

实施情况，从企业内部会计控制的目标、方法等方面入手，进行了深入研究。

丁友刚等（2012）是从系统观出发，指出内部控制系统是企业风险控制机制的

重要组成部分，应该融入到企业综合风险管理框架中, 2013年6月，财政部等四部门联合颁发的《企业内部控制基本规范》里提出：“内部控制是由企业董事长、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。” 1.2.2 国外研究情况

南非 King II Report(2010)指出，传统的内部控制系统所能控制的风险相对是较少的，不全面的，它并不能控制政治、法律和技术等方面的风险，风险管理把内部控制看做是控制与减轻风险的一种关键措施，因此相对于内部控制来说风险管理是一个更为复杂的过程。

Lauraf.Spira(2013)在对Turnbull 指南进行分析时指出，重新定义了内部控制性质，将内部控制与风险管理相结合，并使用社会学关于风险的观点重新构建了关于内部控制与风险的关系。

1.3 研究的内容

本文主要从电力企业内部控制等相关概念入手，具体分析存在的问题，理论与

实践相结合，认真研究，从而提出合理的解决办法。

全文有六个章节：

第一章节是绪论，先介绍文章的研究背景与意义，再介绍内部控制理论和风险

管理理论在国内外的研究状况；

第二章节是内部控制与风险管理概述，介绍的是二者的内涵、联系与融合；

第三章节讲的是风险管理下的企业内部控制体系构建的设想；

第四章节是分析SX 电力企业内部控制现状并找出问题；

第五章节是提出解决SX 电力企业内部控制问题的措施；

第六章节是结论。

1.4 研究的重点难点及研究方法

1.4.1 本文的重点难点

研究重点难点主要体现在：第一，由于我国电力企业风险管理机制不够健全，

大多数内控制度中对风险管理的关注较少，因此，在查找数据信息的方面存在很多不足，导致数据也不够充分和精确。第二，由于研究条件有限，对具体案例的分析研究不够准确透彻，而且所掌握的资料中对于风险管理下企业的内部控制进行深度分析研究的实例比较少，无法获得丰富完整的资料。第三，由于本人专业能力有限，

对研究对象中的一小部分问题没有研究透彻。

1.4.2 本文的研究方法

(1) 查阅文献资料：通过对学校及省图书馆现有的各种中外文图书、期刊和图书馆的数据库、查询中国电力行业相关网站，获取分析对电力企业内部控制有价值的数据信息。

(2) 交流与沟通：和老师同学互相交流探讨，吸取相关经验与教训，加强相关联的专业知识学习，及时和老师沟通自己不懂或不理解的地方，避免在写作过程中走弯路。

2 内部控制与风险管理概述

2.1 内部控制概述

控制就是使被控制对象不脱离既定的运行轨道，平稳高效的达到既定目标。企业内部控制就是“以实现企业控制目标为目的，由企业的董事会、监事会、经理层及所有员工实施的过程。”企业内部控制制度的作用就在于“它能保证贯彻企业经营方针，实现经营的目标，维护企业财产的安全完整，保障各个部门的生产经营活动可以协调有效地进行，提高经营效率，以及保证所有经济信息的正确与可靠。”

内部控制的整体框架则主要由：①控制环境 ②风险评估 ③控制活动 ④信息与沟通 ⑤监督这五个相互关联的组成要素构成。

2.2 风险管理概述

风险管理相对内部控制来说是一门新兴的学科，它的发展比较晚。自风险管理学形成发展以来，广大学者对它的研究热情总是很高，但由于研究的侧重点不一样，认识上也就有了偏差，形成了很多不一样的看法和观点。我国有学者认为最具有代表性的观点应分为英国学说与美国学说，前者认为风险管理主要应该研究经济控制这一方面，而后者认为风险管理其对象应该是纯粹风险，这种观点的理解是比较狭义的。风险管理的概念是在1930年美国管理协会召开的关于保险问题的一次会议上提出来的，是由美国宾夕法尼亚大学博士所罗门·许布纳（Solomon Schbner ）首次提出的。在当时的那个年代，“保险是风险应对的主要手段，风险管理所研究的内容主要是可保风险以及财务风险。”后来由于生产力的大大提高，科学技术的迅猛发展，概率论与数据统计技术被广泛应用到风险管理的研究领域，使得风险管理研究发生了极大的改变，从以往的经验慢慢走向了科学研究发展。一直未能全面定义的风险管理，直到COSO 发布的COSO-ERM 框架（《企业风险管理—总体框架》）出来，我们才觉得可以相对比较全面的定义风险管理，它提出企业风险管理应该是一种流程，是在企业进行决策的过程中，为了确定可能发生的潜在问题并且对这些风险进行有效管理，由董事会、企业管理层及其他人员实施，以便保证预期目标的顺利实现。也就是说风险管理的本质是针对各种风险的一系列管理活动的总称，包括了风险的识别、评估、应对、控制等全部过程。

2.3 风险管理与内部控制两者之间的联系

企业内部控制是以防范风险和有效监管为目的，从风险控制的手段和方法上分析说明风险控制。在进行风险处理和风险管理时，健全内部控制是非常重要的策略，

适当的内部控制虽然可以降低企业所有的风险到可以接受的范围，但却做不到完全消灭一切风险。因此风险管理要想提高自身价值就需要完善内部控制，提高其效率与效果。内部控制主要解决一般的常规性风险，风险管理则是用来解决非常规性风险。内部控制是风险管理的主要内容和重要手段，是其重要组成部分和基础，这两者存在内在一致性与统一性。加拿大的COCO 报告也阐明了内部控制与风险管理的关系：“当你把握机会和管理风险时，你同时正在实施着控制。”

内部控制与风险管理的控制活动是一致的，内部控制与风险管理的过程中都强调了要与企业的经营管理过程相结合，且受人的因素影响，强调了精神层面带给企业的作用和产生的风险意识，如管理好一个企业的发展理念、企业文化等可以让企业更好的发展，不同的企业拥有不同的发展理念和企业文化。

2.4 风险管理与内部控制两者之间的融合

随着经济的不断发展，大数据时代到来，企业的技术能力不断创新和提高，社会竞争能力和生存能力不断加强，企业在置身于愈加激烈的市场压力和竞争中，面临着巨大的挑战与风险。这个大环境使得内部控制与风险管理必然走向互相借鉴、互相融合的道路。内部控制虽然在企业经营中占据着重要地位，而且未来很长时间里都会成为企业不可缺少的内部管理制度，但同时也要不断改进，制定出更能和市场相适应的战略。风险管理是一个比内部控制范围涵盖更为广泛的概念，它不仅仅关注的是内部控制的建立，更重要的是关注着内部控制的运行与评价过程，是从全部内外风险的角度出发，给企业改善内部控制的设计与运行提供了很好的思路。内部控制是风险管理的基础，将内部控制与风险管理相结合，企业就可以在实现内部控制需要的同时让风险管理更全面的发展下去。目前，我国企业在实施经营管理的过程中，并未完全的将内部控制与风险管理很好的融合渗透到经营管理系统中去，因此，应该在这一方面加强改进。

3 风险管理下企业内部控制体系构建

3.1 内部控制框架

COSO 内部控制框架认为：“内部控制系统是由控制环境、风险评估、控制活动、

信息与沟通、监督这五个要素组成的，它们由管理层经营企业的方式所决定，并且融入企业管理过程的本身，”其相互关系可以用其模型表示，如下图所示

内部控制框架图

3.1.1 内部控制的目标

企业的内部控制控制整体上可分为合规性目标、运营目标、报告目标这三类，而这三大类在国家《基本规范》中归纳为五方面：

⑴ 合理保证企业经营管理合法合规。企业的经营与管理必须合乎一切法律法规的规定，不得为了个人利益违反法律规范。

⑵ 合理保证企业的资产安全。资产安全是企业稳定持久发展的物质基础，是所有利益相关者都极其关注的重要问题，因此内部控制的目标必须包括保证企业资产的安全，良好的内控制度要为企业资产安全提供扎实的保障。

⑶ 合理保证企业财务报告及相关信息真实完整。财务报告和相关信息对企业具有很大的作用，能够让企业及时做出科学合理的决策，因此保证其真实完整必不可少。

⑷ 提高经营效率和效果。企业要结合自身经济环境、所处的经营行业等等特点条件建立健全有效的内部控制体系，提高其经营管理活动中的盈利能力和管理水平。

⑸ 促进企业实现发展战略。帮助企业更好的完成既定目标和发展要求。

3.1.2 内部控制的构成要素

内部控制的内容是由五个要素构成的。内部控制的内容和形式取决于这些要素

的构成方式。内部控制主要包括以下五个要素。

①控制环境它指的是企业在进行内部控制的基础，它会影响员工的控制行为。控制环境主要包括企业的治理结构，企业的传承文化，内部审计能力，员工的工作能力、品德修养和集体荣誉感，经营理念，权责分配方式以及人力资源政策等。

②风险评估它是企业风险管理的基础，是识别、分析企业经营过程中的相关风险从而实现企业的预定目标。

③控制活动它是指在风险评估完成之后，根据评估结果，采取相对于的措施，来保证各类风险得到有效控制。

④信息与沟通它是指识别、获得并通过一定的形式及时传递企业经营管理所需的信息，以使员工很好履行职责。信息包括了企业经营决策内部产生的信息和对外报告的相关信息。企业应该有畅通的渠道和机制以保证员工都能及时的获取他们在执行、管理和控制企业经营过程中所需要的信息，并交换这个信息。

⑤监督活动监督活动是企业为了衡量内部控制是否有效，及时发现其中的缺陷并进行改进，对企业内部控制进行全过程的监督检查。一般由内部审计人员或者外面的专业人员进行监控活动。

3.2 风险管理下的企业内部控制构建

3.2.1 风险管理下的企业内部控制系统的发展现状

我国对于内部控制的研究起步较晚，很多企业对于内部控制意识认识薄弱。在发生了大大小小的内控事件之后，国家开始加强内部控制建设，企业的内部控制和风险管理观念开始逐渐增强，企业慢慢意识到内部控制的重要性。为了使内部控制规范化、法律化，我国在2008年发布了《企业内部控制基本规范》，这为我国企业建立并实施内部控制提供了极其有效的参考和规范。我国财政部2009年规定《基本规范》在所有上市公司范围内施行，并且要据此对公司内部控制的有效性进行自我评价，还有披露内部控制年度自我评价报告。这种强制手段一定程度上推动了公司管理者产生内部控制和风险管理意识。

我国企业的内部控制实务非常薄弱。这主要是因为管理者对内部控制理解较浅，只是按照法律法规去执行，并没有从企业实际情况出发，深刻的理解并识别企业经营活动中存在的风险，从发现的风险上着手进行内部控制应对。这就导致内控制度和实际执行并不统一，没有起到控制风险的作用，而所产生的后果就是一旦出现一点状况，那些看似经营良好的企业就会倒闭、破产。目前我国很多企业在开展内部控制实务的过程中对内部控制的理解不够深入，且缺乏风险管理意识，没有建立独

立的风险管理机构，这使得一些管理者搞不清楚内部控制与风险管理之间到底是什么关系，对我国企业的发展非常不利。该文就是在《基本规范》的基础上，研究如何在实际环境下建立风险管理为导向的内部控制体系，从而增强电力企业的抗风险能力。

3.2.2 风险管理下的企业内部控制体系的构建

目前我国企业的内部控制体系必须依照《基本规范》来构建，本文中风险管理下的内部控制体系构建仍然采用《基本规范》的要素。重点在于分析每个要素的关键点，并将五个要素进行配合，以便有效构建企业的内部控制体系。在以风险管理为基础的内部控制体系中，所谓的以风险管理为基础就是风险管理要贯穿于企业内部控制的各个环节。

五要素之间的关系

控制环境是内部控制的基础。它决定企业的治理结构、机构设置、权责分配，制定良好的人力资源政策，塑造着整个企业文化，可以说企业的发展离不开合理的内部环境。风险评估是企业的控制活动和信息与沟通的基础，只有准确的进行风险评估后才能进行控制活动和信息沟通。监督活动则是企业内部控制必不可少的，主要是为了衡量内部控制是否有效，及时发现其中的缺陷并进行改进，从而完善内部控制，这对企业来说是非常重要的。

4 风险管理下的SX 电力企业内部控制问题分析

4.1 SX电力企业概况

SX 电力企业的总厂占地面积为370.28公顷。该企业及其分公司主要是在省内建设发电厂，经营管理电力供应，满足更多人的生活需要。主要经营的范围为：经营管理电厂及开发、投资、经营与电厂有关的其他相关企业、热力生产及供应。该企业机组总体科技含量较高，处于全国前沿，与一起相互竞争的企业相比，效率相对较高，大概提高了3个百分点，而每度电的耗煤量也比别的企业低了十几克。据了解，目前，SX 电力企业的分公司又要开始扩建施工，由于目前的生产力已经满足不了人民的需求，还有同行业的企业所带来的压力日渐增长，因此必须投入更高产能、更高效率的设备。而听SX 电力企业总经理张全介绍，该项目完工投产以后，每年能够提高发电量40亿度以上，这不但能够使企业的实力更进一步，还能带动相关联行业、企业的迅速发展。该企业目前正处在高速发展状态，合理经营的话，未来还会有很大的提升空间。

4.2 SX电力企业现状及问题分析

4.2.1 SX电力企业组织结构现状及问题

由下面的图可以看出该企业缺乏独立的风险管理部门，内部控制覆盖企业整个经营活动中的方方面面, 因此必须确保内部控制制度涉及到企业的每一层。目前, 在企业中发放风险管理调查问卷200份，其中有效问卷160份。在收回的企业风险管理调查问卷中，“员工是否明确自己的工作目标”这一问题，有78%的人选择“是”；“员工是否明确自己工作范围内的风险管理职能”这一问题，有75%人选择“否”；“你对企业是否应该加强风险管理”这一问题，有85%的人选择“是”。根据调查问卷可以发现，企业大部分员工对自己的工作目标很明确，但并不明确风险管理职能。由于企业现有的风险管理职能和职责是分散的，由各个风险相关的部门岗位分别负责各自的风险，并没有统一规划分配：比如说电费回收风险由营销部负责，安全生产风险由生产技术部负责，财务指标风险由财务资产部负责。没有专门的规章制度去说明不同层面风险管理的职能和职责该如何划分以及如何处理。通过翻看企业内部控制规章，我们还发现了该企业没有在考核和激励机制中明确提出全面风险管理的内容，这有可能会导致问题处理不完善。由于电力企业风险管理的组织结构还不全面, 没有专门的机构和人员进行企业的风险管理, 使得企业不能对风险进行定期的复核和再评估, 这也会降低企业的风险反应能力。同时还会造成企业对风险的管

理始终停留在目前层次，只顾眼前的短暂收益，不去考虑长远发展，使风险管理不能达到企业战略高度。

SX 电力企业组织结构图如下：

4.2.2 货币资金业务控制现状及问题

SX 电力企业的货币资金包括现金和银行存款。现金主要用于支付职工工资、福利费用、差旅费的报销、支付产生的日常管理费用等, 银行存款主要是用来支付各类成本费用。

(1) SX电力企业的货币资金控制流程现状:

①年初, 财务部编制各项财务收支计划, 经过领导层讨论通过之后下达给各部门。再由各部门根据需要提出申请，最后由财务部发放。

②各部门计划内的成本支出应该由经办人提出申请, 再由负责人进行查审，经确认审批之后报财务部，然后由财务部门列支成本费用。

③各部门计划外的成本支出由经办人提出申请, 再由负责人进行查审和确认, 之后报企业财务部门审核, 再由企业总会计师进行审批, 最后由财务部门划拨资金并办理成本费用列支手续。

④公司各部门费用报销先由经办人提出申请, 再由部门的负责人进行审查和确认, 之后报企业财务部门审核, 再由企业总会计师进行审批，最后由出纳支付应报销

的费用。

(2) SX电力企业的货币资金控制流程存在的问题

虽然目前企业资金控制相关规范比较明确合理，但资金管理还存在一些问题及风险。这些问题主要包括下面三方面:

①资金支付结算审批实际执行过程中不能完全按照制度与计划执行。主要是由于企业发展迅速，出现资金供不应求的现象，这直接导致企业资金分配不均，各项目资金分配产生冲突。再加上企业内部投资资金占用流动资金形成拖欠这一举动进一步加剧了流动资金的急缺。而且由于对外投资使得投资资金紧张，导致投资需求不足, 将投资资金紧张再转化为流动资金紧张之后, 这样进一步加剧了流动资金的紧张。

②信息不透明, 导致不能及时做出科学的决策。在现代企业的管理过程中信息是前提条件, 企业只有迅速及时的掌握了准确信才能控制好资金流动并做出明智的决策。但是该企业信息不及时、不透明、不准确。企业的高级管理层无法获取精准的财务信息, 对公司下层的情况不够了解。而信息的不准确, 会影响企业的决策和管理效果。

③监控不得力, 缺乏严格的监督程序。企业目前现状就是对各资金运动环节存在着个别监控不力等现象，尽管制定了各种监督制度, 但由于很多原因导致不能及时有效地发挥作用。决策和约束机制也存在着一些漏洞, 资金流向、控制还存在着一定的风险。

4.2.3 信息与沟通方面现状及问题

由于这几年企业不断致力于加强信息化，信息化与企业的联系已经越来越密切，对信息系统的要求也越来越高，必须保证其能够安全稳定的运行。但因为企业短时间内突然投入并运行大量的信息系统，部分信息系统存在着网络安全体系结构不合理、系统软件存在缺陷等安全隐患，再加上信息运行维护人员比较少、技术力量过弱等问题，不能及时排除安全隐患、解决相关问题，给信息系统的安全稳定运行埋下隐患。目前企业不少员工的操作水平和信息安全防范意识较差，部分人员拥有超出一般范围的信息系统操作权限，没有建立合理的监督体制，部分厂家人员在系统投入运行后并没有完全退出，还具有系统管理员的操作权限，如果遇到职业道德素质低下的人员，为了个人利益，很可能会泄露企业的各种信息，导致企业发生巨大的信息泄露和经济损失。而且企业生产部门使用的信息系统直接影响着企业的安全生产和电网的安全稳定运行，信息系统如果发生故障会使整个公司的生产经营出现

问题。该信息系统的漏洞和安全措施不到位也有可能导致公司机密信息泄露，造成企业的社会形象受到损害。

4.2.4 监督现状及问题

该企业根据《审计法》和《审计署关于内部审计工作的规定》建立了内部审计机制。监察审计部是企业内部审计的集中管理部门。在企业总经理和审计委员会的领导下由监察审计部行使独立内部审计监督权并进行审计工作，对企业总部和所属分公司的财务收支及其经济效益进行审计监督、控制和评价，对企业内部控制体系的设计和有效运行进行监督，为了完成真伪屯的财务报表计监督，通过工艺上的会计处理为重点，多道工序及合并财务报表和其他报告的最后部分的重点督办。为监控企业内部控制情况、评估部门业绩和个人绩效，改进内部控制并纠正缺陷，企业建立内部控制自我评估机制，分别由企业内控办、人力资源部门负责组织实施。

该企业内部控制手册中制定了内部审计机制和自我评估机制，其中，前者由监察审计部来负责，后者由人力资源部组织实施。在职责权限方面比较明确，但是，由于该企业的内部控制都是基于与财务报告相关的内控流程，因此，其内部控制自我评估机制采用的内控测评也是就与财务报告、流程、职能等相关的风险进行自我评估，不利于发现除财务系统之外的内部控制的缺陷，因此，其监控机制有待进一步完善。

5 构建风险管理下的SX 电力企业内部控制体系

5.1 建立完善的全面风险管理组织体系

建立完善的全面风险管理组织体系，确保企业风险管理的目标，保证企业的可承受风险水平，从而完成企业的战略目标。一个健全的全面风险管理体系，在一般情况下，应由规范的组织治理结构、相应的组织领导体制、内部审计、风险管理部门以及其他职能部门组成。

全面开展风险管理工作指出，应将其各项要求融入企业的管理和业务流程中，建立全面风险管理“三个层面”：

第一个层面是操作层面，主要由市、县各供电公司员工和风险岗位员工共同构成。要将风险管理内容划分到各岗位的职责之中，凡是涉及到风险的业务中应增加对风险的控制整改；实施全面风险管理和内部控制的全部过程，开展企业风险识别，编写提交风险评估报告，不断完善各种风险的内部控制制度，制定和实施重大风险的解决方案。

第二个层面是执行层面，主要由企业总部各职能部门和各直管堆位风险管理小组组成。主要责任是在全面风险管理办公室的协调下，研究并提出各部门和公司的主要风险评估报告和风险预防策略，对企业内部控制制度的执行情况进行监督，并协助其他有关部门实施规避或解决业务的风险。

第三个层面是决策层面，由企业全面风险管理委员会和办公室共同构成。由公司总经理担任该委员会的主席，主要职责是确定企业风险管理的总目标、主要风险的评估解决方案，制定审批风险管理策略等。办公室主要是通过风险管理委员会的指引，负责相关的日常工作。例如，组织、协调基本工作，季度或年度风险管理报告总结的基础工作，以及一些监测，评估和其他风险管理的相关工作。通过管理控制这三个层面，将风险控制在企业能够承受的范围内。此外，将所有风险相关部门及风险管理岗位的职能与职责统一到公司层面上，明确各层面相对应的职能和职责，在职位描述中加入风险责任的详尽说明，制定风险管理规范，将风险责任明确到每个岗位，每个员工上。

5.2 货币资金业务控制改进

供发电企业在企业生产和运营中, 货币资金的流动一般都是比较频繁的，且数量非常巨大, 因此对货币资金的管理要加大控制力度。在货币资金支出方面主要是在燃料、电力设备的采购和新建项目的投资活动中, 货币资金的流动量也是特别大的, 所以

不能有丝毫差错, 负责会给企业带来巨大的损失。主要的控制措施包括：

①建立授权审批制度。对货币资金业务建立严格的授权批准制度, 明确审批人对货币资金业务的授权批准方式、权限、程序、责任和相关控制措施, 规定经办人办理货币资金业务的职责范围和工作要求。支付公司有关部门费用或个人用款时, 应当提前向审批人提交货币资金支付申请, 注明款项的用途、金额、预算、支付方式等内容, 并附有效经济合同或相关证明；审批人应当根据相关程序进行审批，对不符合规定的申请, 审批人要拒绝批准；之后复核人应当对批准后的申请进行复核；确认无误后交由出纳人员办理相关支付手续并及时登记现金和银行存款日记账。企业必须明确规定严禁未经授权的人员办理货币资金业务。

②不相容相分离。建立货币资金业务的岗位责任制，明确相关部门和岗位的职责权限, 确保办理货币资金业务的不相容岗位相互分离、制约、监督。出纳以及分管现金的员工不得接触翻阅会计记录，出纳人员还不能兼任收支、费用等账务的登记，记录现金收入的会计也不得监管现金。公司办理货币资金相关业务, 必须配备合适的人员, 并进行岗位轮换制，不能由一个人办理整个货币资金业务，从而产生不必要的贪污和失误现象。配备的人员要有良好的职业道德和专业水平。

③确保充分的文件记录。对于各种货币资金收支记录、授权审批文件、相关票据存根、现金盘点记录、银行对账单等进行确认并保存。

④建立内部稽核制度。建立对货币资金业务的监督检查制度, 明确监督检查机构或人员的职责权限, 定期和不定期地进行检查。对监督检查过程中发现的货币资金内部控制中的薄弱环节, 应当及时采取措施, 加以纠正和完善。

5.3 信息与沟通改进

企业应加强信息系统建设，积极开展工作，完成各部门和财务系统之间的对接。设置系统管理专员、系统维护专员还有数据管理专员，负责企业信息系统软件的防护与维修。系统管理部门必须制定每周和月度计划，重点包括员工培训、数据准备、进度安排、应急预案等。制定相应的应急预案，以确保新系统失效时能够顺利切换回旧系统。维修人员应定期增量备份或完整备份信息系统的数据、程序、脚本、配置文件等。信息系统应该装有防病毒软件，可根据需要升级杀毒引擎，及时进行病毒库更新。除了信息系统本身的需要，信息系统服必须关闭所有的共享服务器，对于经过网络传输的关键数据或者涉及隐秘的数据，应当采取加密措施，以确保信息传输的保密度、精准度和完整度。当然善后工作也是企业必须做好的一部分，不管是什么情况导致系统或设备停止运转，都应当及时消除或单独妥善保管企业系统及

设备中存储的商业信息，以备发生企业数据外露的状况。

5.4 强化企业内部监督

在监督内部控制的评估和评价方面，该企业应规范风险管理下的内部控制监督和评估活动，设立专项监督检查机制和内部控制问题的纠正机制，保证内控监督检查的实施效果，并完善内控体系考核评价体系，建立业务部门的风险闭环控制机制，提升业务部门的风险控制水平。要设立专项监督检查机制，该企业的内部控制检查部门应根据企业内部控制的年度工作安排和工作需要，对各业务部门风险管理控制执行情况进行监督检查。在绩效考评方面，该企业应以绩效考核指标的手段保证内控体系按设计要求运行，内部控制和监督部门要定期开展本企业内控体系和部门内控考核评价工作；设置内部控制制度评价指标，将内控体系的建设、检查结果与业务部门和监督部门的年度绩效考核相联系，对内部违规违纪及重大事件当事人进行处罚，对建设内部控制体系做出贡献的人及时进行奖励，落实赏罚机制。