国家电网有限公司立足央企功能定位,统筹发展与安全,平衡风险与效率,构建风险内控合规一体化管理体系。通过建立健全风险内控合规管理架构、筑牢“三道防线”,形成有序高效运转的风险评估、联防联控和监督评价运行机制,将风险管理、流程、制度、授权、评价全面融入业务管理,强化信息系统在线控制,提升管理质效,确保依法合规,筑牢不发生系统性风险底线,为企业高质量发展提供支撑和保障。
一、建设背景
在落实国家防范化解重大风险战略部署、服务国家能源安全和“双碳”目标、推动构建新型电力系统过程中,国家电网有限公司(以下简称国家电网)立足央企功能定位,统筹发展与安全,平衡效率与风险,更好服务国家建设与发展。财政部、国务院国资委对全面风险管理、内部控制、合规管理要求不断提高,需要企业构建协同、融合、实用、高效的风险内控合规体系,全面提升生产经营水平和风险防范能力,为企业更高质量、更有效率、更可持续、更为安全的发展提供有力保障。
(二)企业整合资源提升效率的必然选择
国家电网规模体量大、单位数量多、上下游企业多,业务涵盖电网、产业、金融、国际等板块,受国内、国际形势变化及监管政策影响,面临的风险更加复杂多样。风险内控合规一体化运行体系以服务业务为核心,整合全面风险管理、内部控制、合规管理三者共性要求,提高运行效率效果、减少交叉重复;结合专业优势聚焦管理重点,提高工作的针对性和有效性,形成协同合力。因此,建立统一完备的风险内控合规一体化运行体系有利于进一步整合内部管理资源、创新管理方法和手段、促进风控与业务相融合、提升风控合规管理效率效益。
(三)共同的目标和管理方法为一体化运行提供支撑
风险内控合规管理基于法律法规和规章制度,通过强化内部管理、规范生产经营行为,实现依法合规经营、有效防范风险、服务企业战略的总体目标。三者既各有侧重,又相互补充、相互促进,共同为企业经营发展保驾护航。从管理方法看,都需要构建覆盖各级企业、全员参与、全过程管控的管理体系,通过风险识别、监测、应对,形成高效运转并执行、改进的运行机制,为推进一体化运作提供了管理基础;从工作载体看,都需要通过风险管理、流程、授权、制度、评价以及信息化支撑来落实执行。因此,推进一体化运行能够更好地实现国务院国资委“强内控、防风险、促合规”的管控目标。
(四)经营管理数智化转型为一体化运行搭建了平台
当前,适应能源革命和数字经济融合发展趋势的新业务新业态新模式不断涌现,传统管理手段难以满足风险内控合规高效、精准、智能的管控需要。因此,推动国家电网风险内控合规管理数智化转型,应用创新技术和工具为企业打造全方位、精益化风控管理体系,通过数智化手段建设标准化、度量化、自动化、可视化的智能风控管理平台,辅助风险管理、内部控制、合规管理,是风控工作适应企业和行业转型发展的必然选择。
二、主要做法
(一)构建一体化管理体制
1.立足法人治理结构,建立风险内控合规一体化管理的组织架构。董事会层面,按照现代企业法人治理要求,在国家电网董事会层面设立审计与风险管理委员会作为董事会专门工作机构,指导风险内控合规建设,评估和督导体系的完整性和有效性,充分发挥决策领导作用。经营层面,设立全面风险管理委员会(内部控制委员会、合规管理委员会,以下简称风委会),成员涵盖总部各部门,负责落实公司党组、董事会关于风险内控合规管理各项要求;采取“三会合一”召开的方式,统筹协调相关建设运营工作,组织开展过程管控,向董事会、审计与风险管理委员会报告。两级委员会上下联动、有效衔接,确保国家政策和内部管控要求有效落地。
2.聚焦集团化运作,建立分工明确、相互协同的风险内控合规“三道防线”。横向上,国家电网坚持管业务必须管风险内控合规,将风控管理各项要求融入日常工作和业务流程,建立一体化的风险内控合规“三道防线”。第一道防线是业务部门,立足本专业管理需求,结合财政部、国务院国资委有关风险内控合规管理要求,制定本专业相关管理标准和规范文件,开展专业风险评估及监测预警,研究确定风险管理策略;通过健全完善规章制度,持续优化内控措施,规范业务行为。第二道防线是风险内控合规职能部门以及为第一道防线提供支持的部门,负责风险内控合规体系的顶层设计,实施差异化管理,归口管理风险、流程、制度、授权、岗位等事项,为业务部门提供风险内控合规技术支持和补充。第三道防线是审计、巡视巡察等内部监督部门,负责对内部控制体系建设和实施进行监督检查,准确揭示风险隐患和内控缺陷,推动问题整改,促进管理体系不断优化。
3.上下贯通一体化运行。纵向上,各级单位均成立由主要负责人担任主任的风委会或类似机构,统筹协调本单位风险内控合规工作,建立本单位“三道防线”,形成纵向全面贯通的风险内控合规组织架构,确保工作顺利开展、体系有效运行。国家电网总部层面统筹开展体系规划设计、部署重点工作任务,组织指导工作开展并做好评价考核;各单位按照统一部署和要求,结合工作实际层层分解、逐级传递,细化工作方案和工作措施,抓好工作落实,确保工作高效有序推进。
(二)健全一体化运行机制
1.一体化推进风险评估。一是全面评估年度重大风险。遵循“全员参与、全面覆盖、全程管控”的原则,采用总部统筹安排、纵向收集识别、横向整合分析、综合研判评定的方式,统一组织开展年度风险评估,科学评估确定年度重大风险,制定风险管理策略及应对措施,针对性开展风险防控。动态跟踪年度重大风险、突发的重大风险事件以及传导性强的风险事件,及时收集风险信息,做好预判预防,跟踪变化情况,防止风险聚集和传导。二是深入开展专项风险评估和合法合规性审查。针对股权投资、改革改制重组、重大项目投资和海外并购等重大事项,统筹做好专项风险评估和合法合规性审查,作为决策前置环节为决策提供支撑。研究构建重大事项专项风险量化评估指标,建立量化评估模型,不断提高风险评估的科学性和精准性。三是差异化开展板块风险监测。开展产业单位经营诊断分析,着力优化业务布局,提升业务承载力和产品竞争力;持续开展金融指标监测与分析报告编制,研判金融市场走势和波动,加大对宏观经济和金融风险的预警力度;建设境外资产运营监测(控)中心,对境外投资运营公司主营业务、核心资源和关键流程进行监测分析,实时掌握境外投资运营项目资产、人员等情况,针对指标异动或突发问题及时预警、应对。
2.统筹开展联防联控。一是强化“网格化”管控,增强跨板块、跨部门、跨专业风险内控合规管控合力,防止风险与业务管理“两张皮”。加强第一道防线内部纵向条线管控、横向职责制约。纵向通过明确专业部门风险防控体系运行主体责任,形成总部、各级单位自上而下的专业风险管控体系;横向注重兼顾部门主责与跨部门会签工作方式,形成各部门既相互依托又彼此制约的网格化风险防控架构,共同推进专业风险防控工作。畅通第一道防线与第二道防线之间日常沟通、资源共享。各部门设置风险、内控、合规联络员,畅通专业间信息及时收集、快速处理和高效传递渠道,加强风委会与其他专业委员会机构间协同,一体化推动跨领域、跨部门、跨流程的运营风险监测及风险事件的应对处置。深化第二道防线和第三道防线协同监督。加强审计、财务、法律、巡视、安监等协同监督体系建设,以内部监督联席会议的形式共享监督成果,减少重复检查,协同落实整改,提升监督工作效率和监督体系运行效果。二是强化风险应急处置。建立完备的应急体系,国家电网按照“分类管理、分级负责、属地管理为主”的原则,组建覆盖总(分)部、省、地市和县公司各级层面的应急指挥和管理机构,建立以《突发事件总体应急预案》为核心的“1+26”应急预案体系,健全应急监测预警机制,组建应急队伍,确保高效、快速处置各类突发事件。建立重大风险事件双线报告机制,明确重大经营风险事件报告范围及流程,压实风险事件主体责任,畅通业务部门和风控部门间的信息传递;明确业务部门与风控部门双线报送要求,动态跟踪事件发展,强化应急响应,有效控制事件影响,统筹推进风险事件处置。妥善处置风险事件。以及时反应、降低影响、减少损失为目标,动态跟踪重大风险事件发展,丰富风险事件处置手段,积极推进、稳妥化解风险事件。加强风险事件舆情处置,组织新闻定期、应急、联动发布,主动发声、解疑释惑,维护企业良好形象。
3.协同开展多层次监督评价。一是全面开展自评价。各级单位以规范流程、消除盲区、有效运行为目标,结合业务特点,围绕环境治理、资金管理、物资采购、工程管理等问题多发、频发领域开展自评价,找差距、补短板,促进管理水平提升。二是创新集团监督评价方法。结合年度财务决算审计,委托会计师事务所围绕重点业务、关键环节和重要岗位,同步对内控体系的有效性进行监督评价,评价结果纳入内控体系工作报告并提交董事会审议。三是协同开展问题隐患整改治理。充分利用审计、巡视、专业检查、内部控制监督评价等工作成果,共享问题线索,建立问题台账,落实整改销号,定期开展整改问题“回头看”,以整改促建设,持续优化完善内控体系设计、强化制度规范执行,确保依法合规经营,防范各类风险,实现风险内控合规体系迭代升级。四是严格考核问责。一方面将风险内控合规纳入企业负责人业绩考核,同时加强风险内控合规管理日常工作开展情况通报;另一方面实施差异化考核,将重大风险事件、核心风险监管指标、违规风险事件、新增金融风险项目以及风险偏好指标控制等纳入市场化金融单位考核范围,提升风险考核的针对性和有效性。健全违规经营投资责任追究体系,强化违规经营责任监督。探索建立容错机制,持续优化考核内容及方式,有效激发创新活力和发展动力。
(三)建立与业务相融合的一体化管理标准
国家电网借鉴COSO风险管理20条原则、内部控制五要素以及国务院国资委《中央企业合规管理指引(试行)》,将风险内控合规的各项管控要求转化为企业内部管控的流程、授权、制度和评价等核心要素,研究编写《风险管理、内部控制与合规管理操作指南》,以流程图形象化展示业务管理全过程,明确各业务的主要风险、关键控制点、合规要求、岗位权责、制度依据、控制措施、监督评价要点等内容,形成以流程步骤为纽带的“网”状关系,为各部门、各岗位开展风险内控合规管理提供标准及依据,促进与业务管理深度融合。
1.构建重大风险分类框架,统一风险语言。按照“标准统一、上下联动、专业协同”原则,构建电网主业、产业、金融、国际业务四个板块重大风险分类框架体系,明确风险成因、表现形式和产生影响,形成统一的企业级风险信息库。综合考量各板块业务特点和风险特性,确定重大风险评估标准、重大风险事件认定标准等。
2.明确业务操作流程,规范业务行为。基于国家电网发展战略、组织架构和运行模式,贯通跨层级、跨专业的业务流程脉络,分析各业务步骤和内部控制要求,按照“控什么、何时控、如何控”原则,构建覆盖各专业领域的三级流程框架体系;结合电网主业同质性较强特点,建立标准内控流程,推进业务规范管理。
3.建立通用制度,统一管理要求。以精简适用、高效融合为原则,全面建成协调统一、垂直一体的通用制度体系。通用制度由国家电网总部统一制定并组织实施,各单位根据实际情况制定并报备差异条款,大幅精简各管理层级、各业务规章制度数量,有效避免了制度交叉矛盾。结合国家政策变化、国家电网战略目标落地、管控模式调整、专业管理提升等内外部管理要求动态更新,确保制度科学适用。
4.构建分级授权框架,明晰权责界面。以推进治理体系和治理能力现代化为目标,构建以法人治理授权和管理授权为框架,以合法合规审查制度、授权清单制度和定期报告制度为核心的授权管理体系。明确授权行权方式及流程,促进权责匹配,强化放管赋能,保障授权管理逻辑严谨、科学规范、相互制衡。
5.健全评价考核标准,加强闭环管理。落实国务院国资委评价考核要求,优化企业负责人业绩考核指标,层层分解压实各单位考核目标和考核责任;发挥评价考核引导作用,区分业务板块并设置差异化的考核标准,围绕提质增效、绿色发展、创新驱动、风险防范目标优化指标设置,提高创新活力和发展质效;完善考评方式,强化自身进步考核,引导企业补短板、强弱项、比贡献;强化安全工作扣分项,守住安全生命线,筑牢风险底线。
6.依托信息化手段,固化管理标准。依托企业信息化建设,将业务流程、关键控制点、内控规则、合规要求规则固化至业务信息系统,实现系统自动校验控制,减少人为干预,增强管控刚性约束力。通过财务稽核、营销稽查、数字化审计等在线管控手段,不断提高指标监测和大数据分析能力,提高风险内控合规管理质效。
三、应用成效
(一)构建了一套适应电网企业的风险内控合规一体化运行体系
国家电网将COSO内部控制五要素理论和《企业内部控制基本规范》的外部管理控制要求,转化为企业内部管控的风险管理、流程、授权、制度、评价和信息系统等核心要素,建立了一套集风控理论基础、外部合规监管要求、内部具体工作实践为一体的企业级全级次、多维度的国家电网特色风险内控合规一体化运行体系,有效保障国家电网生产经营安全,支撑和服务经营管理科学决策,助力战略目标实现。
(二)保障电网安全稳定运行
国家电网通过系统研究电网运行特性和主要风险点,加强调度、安监、设备、基建等部门联防联控,统筹制定风险防控措施,健全电网、设备、建设、人员、用户、环境等多维度风险预警管控机制,开展隐患排查治理,强化应急能力建设,保障了电网安全稳定运行。
(三)支撑企业改革发展平稳推进
国家电网在改革发展过程中,围绕重点业务、关键环节和重要岗位,梳理、识别各板块重大风险框架和合规风险点,通过加强事前风险评估和合规性审查,事中落实好风险防控措施,事后强化监督评价,实施全过程风险管控和合规监督,确保了各项改革发展任务平稳有序推进。国家电网积极推进电价市场化改革,顺利完成“三供一业”分离和房地产、装备制造企业剥离等改革工作,有效落实投资并购、物资采购、营销业扩管理、资金管理、工程建设等重点领域、关键环节内控要求,不断优化营商环境,切实防范各类风险隐患,国家电网品牌价值持续提升。
(四)推动企业经营管理水平和效益持续提升
国家电网通过建立现代法人治理结构,构建科学高效的风险内控合规一体化体系,“三道防线”常态化运行,有效隔离业务板块间风险传递,风控管理基础日益牢固。国家电网经营质效显著增长,经营效益稳步提升,资产负债率低于央企平均水平,财务结构安全稳健;金融风险防控有力,严守监管规定,严格区分金融与科技边界,建设应用风险数据平台,筑牢风险防控屏障,主要指标均符合监管要求,未发生系统性金融风险;境外资金、利率、汇率风险防控有力,国际业务利润持续增长,全部项目实现盈利;新兴产业升级加速,效益稳步提升,经营风险可控在控。
(五)培育了良好的风险内控合规文化
国家电网通过风控组织架构设置、标准体系建设和风险防控措施实施,坚持管业务必须管风险内控合规,紧扣企业内部控制和合规管理的本质,将企业内部控制、合规管理整体要求转化为个体行为标准,推动内控合规要求融入制度标准、融入操作流程,促进风控意识入脑入心,形成良好的企业风险内控合规文化。同时,国家电网风控合规管理始终秉持“强内控、防风险、促合规、创价值”的理念,坚持底线思维、增强忧患意识,将内部控制作为企业文化建设的重要组成部分纳入战略体系。编制特定岗位合规承诺,降低内部沟通成本,落实全员合规管理要求,凝聚风险内控合规共识,把制度优势更好地转化为治理效能,助力企业运营良性发展。
企业要实现高质量发展,必须建立完备的风险防范和内部控制及合规管理体系并有效运行,既约束和保障各项业务依法合规规范开展,又能够支持和服务业务不断发展创新,更好地适应内外部环境和管理要求的变化。一是要注重风险内控合规体制和机制的建设,确保业务全覆盖、单位全覆盖、人员全覆盖,形成纵向贯通、横向协同的网格化管理;二是风险内控合规要求要与业务深度融合,将风险管理、制度、流程、授权、评价、信息化等要素有机整合,形成要素合力和一体化运行体系,有助于节约企业管理资源,提升管理效率;三是要依托科技进步和技术更新,不断丰富风险内控合规管理手段,提升风险内控合规管理能力和价值创造能力,实现业务与风控协同发展;四是风险内控合规一体化建设要持续创新、优化完善,形成设计、执行、改进的闭环管理,在顶层设计的基础上开展差异化管理,适应企业发展和变革,不断增强管控的针对性和有效性,实现迭代升级,打造企业“免疫系统”。
作者:崔罡 国家电网有限公司财务资产部稽核内控与风险管理处处长;
胡志成 张庆亮 王搏 孙丹 国家电网有限公司财务资产部