电力行业作为资本密集型行业，电力企业很大比例属于央企或地方骨干国企，以及其下属各级企业，再考虑电力行业属于很成熟的行业，相比于别的行业中的企业，电力企业通常会建立较为完善的管理体系，其中就包括内控体系，笔者协助很多电力公司进行过内控体系建设及评价，而且每次给电力企业组织内控体系建设时，都会努力实现有所创新。经过多年的管理咨询经历，笔者针对电力企业内控体系建设总结出一些方法和工具，并以曾经协助过内控体系建设的电力企业为例。

  笔者协助客户构建“15”内部控制体系，主要内涵：搭建一个职能框架，即运用美国COSO内控框架、迈克尔•波特价值链理论、PDCA理论，依照客户原有及上级单位的职能框架体系，借鉴行业内其他最佳实践，本着“横向到边，纵向到底”设计原则，搭建公司业务流程职能框架体系；构建管理五要素，即绘制工作流程，撰写风险控制文档，设计岗位操作手册，明晰公司内部授权手册，明确公司部门职责。

  “1”是内部控制体系的顶层设计，是公司管理的骨架和基础。设计过程中充分借鉴价值链、PDCA理论、美国COSO框架、内部控制18项应用指引、动态静态管控理论、系统论理论以及行业标杆案例等，体现重要性原则、部门职能划分等，涵盖公司所有管理事项。

  “5”是内部控制体系的五项关键管理要素，是公司管理的核心。管理五要素是基于公司职能框架，实现“所有管理都有制度可以遵循”，并且“每项业务有且只有一部制度”、“每一项工作都有流程”、“每一项业务都有标准”、“每一项工作都可衡量、可考核”、“所有风险都可控”。管理授权是针对重大管理事项，公司明确各管理层级的权限划分。授权的权限分为提议、组织、审核/审查、审批/批准、备案。部门职责则是按照归口管理部门、主责部门、配合部门三类部门角色进行职责划分。不仅明确各部门归口和主责的管理事项（纵向事项），而且明确每类管理事项中配合部门的相应职责（横向事项）。

  职能框架是搭建内部控制体系顶层设计元素，是开展工作流程、风险控制文档、岗位操作手册、管理授权手册、部门职责管理五要素设计优化工作的前提。针对如何建立科学、合理、符合企业自身管理特点的职能框架，主要是通过运用美国COSO内控框架、迈克尔•波特价值链理论、PDCA理论、内部控制18应用指引等，充分借鉴电力行业最佳实践，结合公司原有及上级单位职能框架体系，本着“横向到边，纵向到底”设计原则，对于所有工作事项开展业务流程分析工作，梳理公司各项业务流程目录，形成业务流程分析整体框架。在业务流程分析整体框架的设计过程中，转变观念，体现“系统化”思维，实现“职能模块化”向“流程化”转变。业务流程分析过程中打破职能条块化管理，以业务为基础，强调职能专业化管理，实现业务的全寿命、全过程管理。“15”内部控制体系流程体系细分到六级流程，体系基本涵盖公司所有管理事项，实现公司“每一项工作都有流程！”。

  工作流程是指围绕企业目标有序地进行一系列活动以产生某种特定结果的过程。明确工作流程旨在理顺工作程序，明晰协作关系，即利用流程图方式清晰描绘出公司各项工作的工作程序，使之成为行为准则，并明确各层级、各部门的协作关系。通过明确完成流程所需的步骤，明确流程中的关键决策点，明确与流程相关的文档记录，明确相关任务的负责人，理解并记录公司核心活动背后的关键细节，实现现有流程可视化，进而达到有效管控企业的目的。

  在明确的流程目录基础上，通过先进流程绘制软件和模板，绘制流程图，进行流程描述，并期望通过流程描述，将内控管理、风险管理融入到公司的日常经营管理活动中。流程描述包括明确各管理和业务主管部门在该项管理职能的职责、权利和义务，流程涉及的有关部门及职责、权利和义务，流程分析细化至各部门内的各岗位。

  在流程梳理的基础上，采用绩效重要性矩阵、成本-收益矩阵、学习五角星法、流程优先矩阵等方法识别核心/关键业务流程，对核心流程的性能开展定性及定量分析（识别流程的关键步骤，进行评价指标设计），优化关键管控流程。

  在梳理出来的流程中，识别该流程中哪些步骤有几率发生风险，标注风险点；并识别每个风险应该在哪些步骤中来控制，标注风险控制点。其中，红色菱形框为风险点，绿色三角形框为控制点。

  风险管理是着眼于未来并从根本上提升公司风险预控水平的管理方式。进行风险管理有利于公司成立动态的嵌入式和专门化相结合的自我运行、自我完善、自我提升的风险管理平台和长效机制，从根本上提升公司风险管理上的水准。通过风险管理，避免分公司重大损失。通过对公司重大风险的量化评估和实时监控，帮企业建立重大风险评估，重大事件应对，重大决策制定，重大信息报告和披露以及重大流程内部控制的机制，从根本上避免分公司遭受重大损失。

  以流程图辨识方法为主，结合其他风险识别方法，依据公司现有业务实际开展业务流程的风险辨识、风险评估工作，分析每个流程图中的风险点，划分风险层级，定性确定具体业务的风险等级，优化风险管控措施，建立风险库及风险清单，并分析现有控制点、控制措施能否达到对风险点的控制要求，通过风险辨识及评估，在业务流程中设计控制点，并根据定性风险等级建立定性控制点等级并建立控制措施，控制措施接地气、可实施、且合规，与上级公司内控标准及风险管控要求相统一。

  开展流程管控设计工作，将公司层面风险完全分解至业务层面并根据定性评估出的风险级次对应设计管控措施，重大风险增加控制点、强化控制措施，并升级为集体决策范围内；一般风险减少控制点、明确控制措施并将业务流程进行分级形成分级的业务流程管控清单。

  开展控制矩阵（业务描述表/风险控制文档）优化工作，对应流程图中每个识别出的风险点做详细的风险成因与影响结果的描述；对应流程图中的每个控制点，做控制责任、控制措施与输出的控制证据的优化，形成部门及公司控制证据库（标准表单库）。

  公司基于各项业务事项，梳理各个业务的具体责任岗位、工作步骤及管理要求等，通过流程分析，细化至各部门内的各岗位,每个岗位的工作要点，要达到的工作标准，须满足的风险控制标准、形成的工作表单，涉及的工作制度索引。通过流程分析来明确岗位定位、岗位工作职责、岗位风险控制标准、岗位考核指标（如KPI指标等）、岗位权限等，并形成分公司岗位操作手册，以此来实现岗位工作标准化，努力做到“每一项工作都有流程！每一项业务都有标准！每一项工作都可衡量、可考核”。

  以职能框架中的各管理事项为横向线条，以公司管理决策层级为纵向线条进行构建。管理授权对某一具体管理事项的提议、备案、审阅；审核、会签、审议、审批的动态过程进行规定。其中：

  提议：包括提出意见、建议，起草、拟订、制订相关文件，编制相关报告、规划等。

  组织：对公司其他部门报送和本部门的相关事项，组织、安排和协调同级开展相关工作以及以自己名义提交上级批准。

  审核/审查：通过听取汇报、组织讨论、检查、审查和考评等方式，提出对应的意见和建议，包括以会议方式来进行审议。

  提议部门：提出意见、建议，起草、拟订、制订相关文件，编制相关报告、规划等部门/中心。

  提议部门分管领导：提出意见、建议，起草、拟订、制订相关文件，编制相关报告、规划等部门的业务分管领导。

  在流程分析的基础上，开展部门职责的梳理工作，按照归口管理部门、主责部门、配合部门三类部门角色进行职责划分。归口管理部门指组织、牵头、协调部门。主责部门指某业务领域主要负责部门。配合部门指某管理事项中参与、配合的部门。不仅明确各部门归口和主责的管理事项（纵向事项），而且明确每类管理事项中配合部门的相应职责（横向事项）。由此解决部门职责重叠、真空的现象，以及职责不明确造成的推诿、扯皮现象，实现部门之间职责的无缝链接，提升工作效率。

  在部门职责描述时，遵循“务实高效”原则，尽可能的避免使用空洞的语言，以及描述性的、修饰用的、模糊性、弹性的语言，而使用细致、具体、可量化的描述语言，表达言简意赅、直奔主题。充足表现部门职责可操作性、可执行性、务实高效。

  笔者协助客户按照上述六个步骤，构建“15”内部控制体系，并协助客户将其落地实施。