Puntos clave del control interno empresarial y la gestión de riesgos
3.1 Crear un buen ambiente de control interno
El ambiente de control interno es el ambiente fundamental para la implementación del control interno, la fuerza impulsora para desarrollo empresarial y otros riesgos La base para la implementación de factores de gestión tiene un impacto significativo en la construcción e implementación de controles internos corporativos. Se puede decir que el entorno de control de una empresa determina directamente la eficiencia y eficacia del control interno y la gestión de riesgos.
(1) Profundizar en la comprensión del control interno y establecer el concepto de gestión de riesgos. Para profundizar la comprensión del control interno, primero debemos romper con la comprensión del control interno tradicional y darnos cuenta de que el control interno no se limita al nivel contable, sino que incluye objetivos estratégicos de nivel superior. En el proceso de transformación y desarrollo de las empresas de diseño energético hacia operaciones diversificadas, la contratación de ingeniería general y proyectos en el extranjero, la gestión de riesgos y el control interno deben llevarse a cabo desde una perspectiva estratégica. Además, la dirección y los empleados de una empresa deben tener conciencia de la gestión de riesgos, y la conciencia de la gestión de riesgos debe abarcar toda la producción y las operaciones de la empresa, incluida la gestión empresarial, la gestión funcional, la gestión de calidad y seguridad, etc. El cultivo de conceptos de gestión de riesgos se puede lograr mediante el papel demostrativo de los líderes corporativos, la capacitación relevante y las normas y regulaciones pertinentes.
(2) Establecer una estructura de gobierno corporativo y dar pleno juego a las responsabilidades de cada agencia. Todos los niveles y departamentos de una empresa deben tener una clara división del trabajo, supervisarse y restringirse entre sí. Las empresas pueden garantizar el cumplimiento de las responsabilidades institucionales corporativas mediante las disposiciones de los estatutos de la empresa y la mejora de los mecanismos pertinentes de incentivos y restricciones. Es muy importante que el máximo órgano de dirección de una empresa de diseño energético sea responsable del establecimiento y la implementación de controles internos. Las empresas deben establecer instituciones de construcción, supervisión y gestión de control interno y gestión de riesgos. Cada institución es responsable de todos los aspectos del trabajo y se supervisa y restringe entre sí.
5.1 Mejorar la estructura de gobierno corporativo y crear un buen ambiente de control interno para la construcción de un sistema de control interno integral de gestión de riesgos. Establecer un sistema de control interno sólido es en realidad un reflejo de la mejora de la estructura de gobierno corporativo. La mayoría de las empresas de diseño energético han establecido departamentos de auditoría interna, pero la mayoría están bajo el liderazgo del director financiero o del director general. Por lo tanto, convertir la institución de auditoría interna de las empresas de diseño de energía eléctrica en un componente o departamento de trabajo del comité de auditoría de la junta directiva de la empresa aclarará aún más la posición principal de la institución de auditoría interna en el control interno de las empresas de diseño de energía eléctrica.
(3) Cultivar la ética y las capacidades profesionales de los empleados. Los empleados de la empresa son los ejecutores de las actividades de producción y operación de la empresa. La buena ética profesional de los empleados puede garantizar el buen progreso de las actividades de operación de la empresa y evitar la ocurrencia de fraude. Los conocimientos y habilidades de los empleados deben coincidir con las capacidades requeridas por sus puestos. Esta es la garantía básica para el funcionamiento eficaz de las actividades empresariales y de las actividades de control interno. Por lo tanto, las empresas deben considerar la integridad y otras éticas profesionales como el código de conducta de los empleados, establecer un mecanismo de recompensa y castigo, fortalecer la reeducación de los empleados e implementar un sistema regular de rotación laboral para puestos clave.
3.2 Establecer objetivos estratégicos de la empresa
Las empresas deben establecer objetivos estratégicos basados en su propia misión o visión. Este es el objetivo más alto de la empresa, y otros objetivos lo sirven. Según los objetivos estratégicos, la empresa se divide en capas y cada departamento la implementa. La formulación de objetivos estratégicos debe considerar la tolerancia al riesgo de la empresa, y los riesgos que enfrenta la empresa para lograr los objetivos estratégicos deben estar dentro de la tolerancia al riesgo de la empresa.
3.3 Mejorar el sistema de gestión de riesgos
Las empresas deben establecer un sistema de control interno orientado a los riesgos. Sólo implementando la gestión de riesgos en todos los aspectos de la empresa se pueden controlar los riesgos. Para mejorar el sistema de gestión de riesgos empresariales, debemos prestar atención a los siguientes puntos:
Primero, establecer un mecanismo de alerta temprana de riesgos. Las empresas deben identificar posibles problemas internos y externos que afecten la realización de los objetivos empresariales mediante análisis de objetivos, análisis de procesos y otros métodos, distinguir si los problemas potenciales son oportunidades o riesgos y aclarar los estándares de advertencia de riesgos. El establecimiento de un mecanismo de alerta temprana de riesgos es de gran importancia para que las empresas aprovechen las oportunidades de desarrollo, evalúen los riesgos y respondan a ellos de manera oportuna.
En segundo lugar, establecer un sistema de evaluación de riesgos. Las empresas deben analizar y evaluar más a fondo los riesgos identificados, analizar si los riesgos potenciales son riesgos inherentes o riesgos residuales, analizar la posibilidad y el impacto de la ocurrencia de riesgos y prestar atención a los riesgos importantes. Evaluar la idoneidad de los controles internos existentes para el riesgo y si se necesitan procedimientos adicionales. Al evaluar los riesgos, se debe prestar atención al uso de la vista de cartera de riesgos.
En tercer lugar, establecer un mecanismo de respuesta al riesgo. La respuesta al riesgo es un paso clave para controlar los riesgos. Después de la evaluación de riesgos, las empresas deben tomar diferentes medidas según la posibilidad de que ocurra el riesgo y los diferentes grados de impacto, entre las cuales se debe prestar especial atención a los riesgos importantes. Las respuestas al riesgo incluyen evitar, reducir, asumir y compartir riesgos. Al mismo tiempo, la respuesta al riesgo debe considerar el costo y la eficiencia.
3.4 Establecer buenas actividades de control
Las empresas deben establecer buenas actividades de control para garantizar que las diversas medidas adoptadas por la dirección para hacer frente a los riesgos se implementen de forma efectiva. Las actividades de control ocurren en todos los departamentos, niveles y actividades de la empresa. Las actividades de control deben incluir: análisis y evaluación del desempeño de los empleados, autoevaluación de los departamentos, control del procesamiento de la información (incluido el control general y el control de aplicaciones), control de los activos físicos y separación de responsabilidades laborales incompatibles.
3.5 Información y comunicación adecuadas
Durante el proceso operativo, las empresas deben establecer transmisión de información y comunicación para garantizar que los empleados comprendan los controles internos y aclaren sus responsabilidades.
Al mismo tiempo, comprender y dominar la información del mercado externo, la información de políticas, la información de los clientes, la información de la competencia y la comunicación con todas las partes, es útil para las empresas responder a los riesgos de manera oportuna, aprovechar las oportunidades y lograr un mejor desarrollo. Las empresas pueden lograr esto a través de manuales para empleados y estableciendo sistemas para recopilar y procesar información.
3.6 Establecer un mecanismo de supervisión y evaluación del control interno
La supervisión y evaluación del control interno es un medio importante para asegurar la implementación efectiva del sistema de control interno, y también es propicio a la gestión corporativa para comprender la existencia de problemas de control interno de manera oportuna, proporcionando sugerencias para la mejora del control interno, lo que favorece la mejora continua del sistema de control interno, ayudando así a las empresas a controlar diversos riesgos. El establecimiento de un mecanismo de supervisión y evaluación del control interno incluye principalmente dos aspectos: interno y externo:
Primero, las empresas deben establecer una institución de auditoría interna independiente y autorizada. El establecimiento de la organización de auditoría interna debe estar separado de otros departamentos funcionales. La institución de auditoría interna debe tener el poder de implementar decisiones y conclusiones de auditoría, y puede establecer una institución de auditoría interna con fuerte independencia y autoridad dirigida por la junta directiva o la junta de supervisores. La auditoría interna no debe limitarse a la auditoría de estados financieros, sino que debe supervisar y evaluar integralmente el sistema de control interno de la empresa, incluida la auditoría y evaluación de la información financiera, las actividades operativas y las actividades de control de la empresa. Al mismo tiempo, es necesario mejorar la ética profesional y la calidad de los auditores internos y formar un mecanismo de inspección y supervisión mutua entre diferentes puestos.
En segundo lugar, mejorar la supervisión y evaluación externas. Dado que la auditoría interna es principalmente responsable de los líderes corporativos, tiene limitaciones inherentes, que pueden causar que algunos defectos de control queden cubiertos por la intervención del poder, lo que no favorece la mejora del control interno corporativo. Por lo tanto, generalmente se requiere que un tercero independiente participe en la supervisión y evaluación de la empresa para lograr la función de supervisión. Primero, debemos mejorar el sistema de divulgación de información de control interno y permitir que las empresas acepten una supervisión extensa por parte del gobierno y la sociedad. Además, puede confiar en el poder de auditoría de terceros. Lo más común es contratar a un contador público certificado para que audite y evalúe periódicamente el diseño y la implementación de los controles internos de la empresa y emita informes de evaluación. Esto también favorece la supervisión de la construcción e implementación del control interno de la empresa y también favorece el descubrimiento oportuno de problemas en el control interno de la empresa.
(2) Evaluación de riesgos
Con base en los objetivos de desarrollo de la empresa, cada departamento recopila información completa para determinar la tolerancia al riesgo de la empresa y establece controles internos basados en los objetivos internos. y riesgos externos que la empresa puede enfrentar. Con base en el sistema de evaluación y control de riesgos, llevamos a cabo una evaluación integral de riesgos en enlaces clave que tienen un impacto significativo en la realización de los objetivos corporativos. Desarrollar procedimientos de control interno de los riesgos y responsabilidades que enfrenta cada departamento. Con base en los resultados de las auditorías internas y los problemas descubiertos durante el proceso de gestión, Sinopec continúa revisando el manual de control interno y cada sucursal (subsidiaria) también continúa revisando los detalles de implementación. La evaluación y respuesta dinámicas de riesgos brindan seguridad a las empresas para lograr sus objetivos.
(3) Actividades de control
Las medidas de control de Sinopec incluyen: control de separación de funciones incompatibles, control de aprobación de autorizaciones (centrado en pautas de autorización), control del sistema contable (establecido Información de gestión financiera unificada sistema), control de pago de fondos, control de protección de propiedad, control de tecnología de la información (controlado por un sistema de información de gestión ERP avanzado), control de planificación, control presupuestario (control presupuestario integral), control de gestión de contratos, control de análisis comercial y control de evaluación del desempeño científico. Combine el control manual con el control automático, el control preventivo con el control de descubrimiento y establezca un mecanismo de alerta temprana de riesgos importantes y un mecanismo de respuesta a emergencias. Definir los objetivos de negocio, riesgos, unidades responsables, puestos incompatibles, registros y documentos de cada punto de control a través de la matriz de control de negocio para brindar orientación para la implementación de las responsabilidades de control interno. La descripción del riesgo refleja los requisitos de control interno para una gestión integral del riesgo.
El manual de control interno de Sinopec Corp. garantiza las actividades de control interno. El manual de control interno incluye 18 categorías y 59 procesos de negocio que incluyen adquisiciones, activos, gestión de información y auditoría interna, y cubre todos los aspectos de las actividades de gestión corporativa.
(4) Información y comunicaciones
Sinopec adopta un sistema avanzado de información de gestión ERP, un sistema de contabilidad, un sistema centralizado de gestión de fondos, un sistema integral de gestión presupuestaria y varios sistemas de gestión empresarial para implementar la gestión centralizada de sistemas de información financiera. El sistema permite unificar las operaciones comerciales de todo el personal del departamento comercial en el sistema ERP. Una vez que la empresa ingresa los datos comerciales, los enlaces de producción y ventas generarán información relevante de acuerdo con los procesos comerciales correspondientes y la enviarán a la base de datos en la sede de la empresa para su seguimiento y análisis. Sinopec ha formulado medidas de gestión y procesos comerciales relevantes para estandarizar y controlar los sistemas de información desde dos aspectos: control general y control de aplicaciones. La empresa continúa mejorando el mecanismo de recopilación de información y la plataforma de comunicación de información, y el manual de control interno también cuenta con las disposiciones correspondientes para garantizar una comunicación fluida entre departamentos, entre departamentos y sucursales o subsidiarias, y entre la gerencia y el mundo exterior. PetroChina divulga información periódicamente de acuerdo con las leyes y regulaciones pertinentes, y la Junta Directiva y la Oficina del Presidente revisan la divulgación de información externa.
(5) Supervisión interna
Sinopec ha establecido un comité de auditoría para revisar los informes financieros y los controles internos, y el departamento de auditoría realiza revisiones independientes de sucursales y subsidiarias de forma regular. La empresa ha establecido un mecanismo de supervisión diaria de control interno bipolar. La evaluación bipolar se refiere a una inspección exhaustiva de la sede y pruebas de autoexamen de sucursales y filiales. La inspección integral de la sede incluye principalmente la inspección integral anual del grupo de liderazgo de control interno, así como la inspección independiente de al menos 25 sucursales (subsidiarias) por parte del departamento de auditoría, así como la inspección de la sede.
El trabajo de autoinspección y pruebas de las sucursales y subsidiarias incluye principalmente la autoinspección y pruebas realizadas por la empresa a través de pruebas de procesos departamentales y la inspección y evaluación integrales con participación de auditoría, así como la autoinspección y la inspección y evaluación puntuales del departamento de la sede. Además de la supervisión diaria, Sinopec también ha establecido supervisión e inspección de algunos aspectos importantes del control interno.
Además, Sinopec ha formulado la "Compilación de sistemas de supervisión de Sinopec" para mejorar el sistema antifraude de la empresa. Evaluar el control interno estableciendo indicadores de ejecución del control interno. Evaluar periódicamente el diseño y la implementación de los controles internos cada año, emitir un informe de autoevaluación del control interno, divulgarlo al mundo exterior, aceptar una supervisión externa exhaustiva y contratar contadores públicos certificados externos para auditar el control interno de los informes financieros.
4.4 Evaluación del control interno de Sinopec Corp.
Sinopec Corp. ha formulado los “Métodos de evaluación e inspección del control interno” y las “Pautas de evaluación del control interno empresarial”. Y con base en el manual de control interno, verificar si el diseño del control interno es sólido con base en el contenido aplicable y el alcance del manual de control interno, verificar el cumplimiento y efectividad de la implementación del control interno; Sinopec Corp. realiza una autoevaluación del control interno principalmente identificando deficiencias de control interno y cuantificando puntuaciones. Evalúe el control interno desde los aspectos de los elementos de control interno, inspección integral de los procesos comerciales, autoinspección de la unidad, etc., y formule un diagrama de flujo de autoevaluación de control interno estandarizado para estandarizar la evaluación y garantizar la imparcialidad de la evaluación.
4.5 Efectos del control interno de Sinopec desde su implementación
Desde la implementación del control interno en 2005, Sinopec no solo ha mejorado su nivel de gestión, sino que también ha mejorado su rentabilidad. Específicamente, el sistema de gestión institucionalizado de Sinopec se ha mejorado continuamente y ha formado gradualmente un sistema de gestión institucionalizado con características de Sinopec que está garantizado por el control interno. No sólo mejora la capacidad de la empresa para resistir riesgos y garantiza la realización de los objetivos corporativos, sino que también sirve de ejemplo para que otras empresas nacionales establezcan control interno. El nivel de gestión de Sinopec continúa mejorando. PetroChina implementa una gestión unificada de adquisición de materiales, estandariza la adquisición de materiales corporativos y ahorra costos de materiales para las empresas. Se han establecido estándares de consumo de materias primas y otros productos, lo que hace que la gestión de producción y operación de las empresas sea cada vez más refinada. Mediante el establecimiento de sistemas de control de riesgos de TI, las capacidades de riesgo de las empresas se mejoran cada vez más. El control interno y la auditoría mejoran la eficiencia y eficacia de la auditoría y mejoran el nivel de gestión de las empresas. La implementación del control interno acelera el establecimiento de reglas y regulaciones empresariales, aclara las responsabilidades y poderes de las empresas, departamentos y puestos, estandariza los procedimientos de operación comercial y también mejora la eficiencia y el nivel de gestión de las empresas. La implementación de los controles internos de Sinopec cumple con los requisitos de supervisión externa. Como empresa que cotiza en tres lugares en el país y en el extranjero, la implementación y divulgación de los controles internos de Sinopec cumplen con los requisitos de cada lugar en el que cotizan. Los controles internos se han mejorado continuamente desde su implementación. La implementación del control interno optimiza continuamente el entorno interno de Sinopec. La implementación del control interno asegura la reforma institucional de la empresa, mejora la estructura de gobierno corporativo y unifica e implementa la cultura corporativa. La formulación del "Código de Empleados" estandariza el comportamiento de los empleados y arraiga profundamente los conceptos de gestión de riesgos y gestión honesta en los corazones de las personas.