国企内控建设|从101号文看公司内控的前世今生

  来源:南京卓远

  国企改革三年行进入收官之年,坚持稳中求进,定点爆破、靶向攻关、防风险高度统一,内控体系建设重要性日益突出。2019年国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》(101号文),强调要“强内控、防风险、促合规”,国企内控建设进一步深化。2022年国资委发布的《中央企业合规管理办法》在2018年试行版本的基础上,创造性地提出“中央企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制,加强统筹协调,避免交叉重复,提高管理效能”。此外当前外部经济环境更加严峻不确定性提高,风险加剧,内部控制的重要性在企业的各项管理活动及经营活动中日益凸显,内控建设越来越受到企业重视。

  

  一、发展历程

  (一)内部控制的基本内涵

  内部控制并非目标,而是实现目标的程序和方法路径。内部控制设计的初衷是防范风险。目前内部控制倾向于被定义为一个过程,这个过程贯穿企业运营的全过程,且这个过程由企业的董事会、监事会、管理层和全体员工实施并受他们的影响,目的是为实现一定目标提供合理的保障,增大实现目标的把握,这些目标包括:提高经营的效果和效率、财务报告的可靠性和完整性、相关法律法规的遵循,保证经营管理合法合规,最终促进企业发展战略的实现。

  

  图1-1 COSO内部控制五要素

  (二)我国内控发展历程

  国企内控体系建设,源于政府有关部门的大力推动,并迅速发展,由上市企业到非上市企业,由央企到地方国企,逐步扩展深化。2008年财政部、证监会等五部委联合发布《企业内部控制基本规范》,对内控进行了基本定义,2010年又联合发布《企业内部控制配套指引》,标志着中国企业内部控制规范体系基本建成,国有企业内控体系的规范化建设也正式进入了规范化阶段,这也是国企内控体系建设的基本框架的来源。随后,国资委及相关部委又陆续发布了众多政策性文件,为国企的内控管理提供了政策依据。2012年5月,国资委发布《关于加快构建中央企业内部控制体系有关事项的通知》提出:各中央企业加快构建内部控制体系,按照《规范》和配套指引的要求,建立规范、完善的内部控制体系。2012年8月,财政部办公厅、证监会发布《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》,在具体实施中明确提出“中央和地方国有控股上市公司应于2012年全面实施企业内部控制规范体系”,国企内控管理体系建设开始加速。2019年至2020年国资委连续发布101号文、44号文、307号文,国企风险管理与内部控制建设大幅提速,管控体系日益成熟。

  表1-1 我国内控体系建设政策发展历程

  

  二、政策解读

  101号文强调要建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,通过“强监管严问责”和加强信息化管理等措施,实现“强内控、防风险、促合规”的管控目标,从而提高企业防范化解重大风险能力。随后发布的44号文、307号文在落实有关规定的基础上进一步探索深化国有企业内控体系建设,下面以101号文为基础并结合44号文、307号对政策文件进行解读,具体如下。

  (一)推动企业构建“内控+风险+合规”三位一体的内部控制体系

  101号文强调企业各管理体系间的有效融合。在企业实际经营管理中,内控控制、风险管理、合规管理以及审计等都是具有“防御检查性”的体系。在运作框架、管理流程等方面具有一定的相似性,但同时各个模块也因其自身的专业性及“防御”侧重点的不同,形成了各自独特的价值。因此企业在实际操作中可以通过厘清各个体系框架下的要素,分析和考量这些领域在资源共享、信息共享等方面的协同潜力,减少资源重复配置,提高整体管控效率。此次101号文,在前期理论及政策成果基础上并结合企业实践中遇到的问题,创新性地提出“建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,实现强内控、防风险、促合规的管控目标”,倡导企业构建“内控+风险+合规”三位一体的内部控制体系。

  101号文强调企业通过管理制度的完善落实三位一体的内部控制体系。管理制度的完善和标准化是各项管理举措有效的落地强力保障,因此101号文强调企业要在现有内控、风险及合规管理制度全面梳理的基础上,及时“将法律法规等外部监管要求转化为企业内部规章制度”,持续动态完善企业管理制度体系。307号文强调要深化制度整合优化,建立以内控体系为统领,各项具体操作规范为支撑的“1+N”内控制度体系。制度建设过程中重点关注两个方面,一是内控制度与业务的融合,明确关键业务领域和关键环节的控制要求和风险应对措施;二是内控制度与管理制度的融合,强化内控管理在经营管理中的应用,提升制度执行刚性约束。

  (二)明晰企业内部岗位与职能划分,强化权责管控、协同与考核

  清晰明确的组织机构及职责划分是企业构建内控体系的基本环境,也是制度执行的重要保障。一方面,101号文明确了在内控体系中企业决策层、执行层、监督层的具体责任分工,其中“一把手”为第一责任人,业务部门作为一线部门,承担内控运行责任,企业审计部门负责监督检查;44号文中也提出要落实企业主要领导人员为第一责任人,同时明确企业内部要明确专门职能部门或机构,统筹内控体系工作;307号文进一步强调要落实各业务部门责任,强化内控监管部门职责。另一方面,内控体系的有效运作也需要各管理部门的有效协同,建立健全覆盖各部门、各业务领域并涵盖各级子企业的内控体系,方能保障内控制度发挥实效。

  (三)注重提升内控信息管理化水平

  信息化建设,是企业有效执行各项内控制度的有力抓手。101号文明确提出,中央企业要加强内控信息化建设力度;44号文提出将内控体系信息化管控纳入集团信息化建设总体规划;307号文强调要加快信息化建设进程,加大信息化管控中缺陷整改力度。企业内控信息化建设中,一方面要加强信息化建设力度,探索利用大数据、云计算、人工智能等技术实现内控部门工作的信息化,提高信息收集、实时监测、自动预警、整改跟踪等工作的效率和效果;另一方面加强与其他系统互联互通,强化与业务部门、审计部门的协同配合,推动投资管理、财务资产、物资采购及人力资源等系统的集成应用,实现内控体系与其他系统的有机融合。最后在信息化建设中需要梳理和规范业务系统的审批流程和人员权限设置,强化自动识别超越权限、资料不全等行为,减少人为违规操纵因素。

  (四)加强内控管理监督考核,强化整改落实,加大责任追究力度

  内控体系的持续运作和优化完善离不开有效的监督考核。101号文相比前期政策进一步强化了监督措施和力度,推动企业综合运用企业自评、集团监督、外部审计等措施构建上下联动、内外结合的全方位内控监督评价体系。44号文提出强化监督检查,确保各级企业自评当年全覆盖,集团监督评价3年全覆盖,并明确提出“加大评价结果在薪酬考核和干部管理等工作中的运用力度”;307号文提出,突出重点强化集团监督评价工作。

  但内控体系监督考核中也应避免单纯实施强硬的考核而起到反作用,可积极探索建立硬性考核与软性评估相结合的评价制度。一方面完善内控考核机制,优化考核标准,降低主观因素影响;另一方面建立内控体系成熟度评估模型,一是提炼内控工作优秀经验,二是定位内控工作的薄弱之处,更有针对性的促进内控体系的完善,做到奖惩与指导同步推进。

  三、内控新内涵:3.0阶段

  随着政策的完善、各类企业的探索实践,我国企业内控体系不断完善。我国企业内控管理在经历了以满足上市监管合规为主要目的的财务内控的1.0阶段、以风险控制为导向,构建全流程、体系化的内控的2.0阶段后,进入了内控建设融入企业战略、经营管理及绩效管理全过程以价值提升为目标的3.0时代。内控3.0阶段呈现大数据、大融合、智能化、监督闭环的特征,企业在推进内控建设中应重点注意以下方面:

  内控应以价值创造为最终目标。内控最初是防止财务舞弊,因此内控目标重点一直更加关注财务报告目标,但是追根溯源企业财务造假的动机来自业务的压力,因此企业内控建设的首要目标应是企业业绩的达成及企业价值最大化,在101号文件中,也强调要将风险管理和合规管理要求嵌入业务流程,推动企业经营目标达成。

  内控应以合规管理为底线目标。符合法律法规的基本要求是企业经营的最低限度,包括国内各项政策法规以及国外经营地相关规定。国资发法规〔2018〕106号文,指出合规风险的七大重点领域,明确了管理要求,为企业应对内外部监管环境提供了一定的指导。

  内控应强化顶层设计,以促进内控、风险、合规有机融合为导向。内控、风险、合规三套体系由于监管要求各异,相互关系边界模糊,运作中存在资源内耗现象,内控3.0时代企业可通过加强风控合规体系的顶层设计,促进三套体系的有机融合,这符合101号文的基本导向,也可从第42号令中得以体现。重点可从体系规划、组织架构、工具方法等方面着手,如三套体系从原来的单独规划变为统筹整体规划;工具方法整合,对三套体系具体实施过程中涉及的管理标准和工作表单进行优化设计等。

  推动智能工具应用,实施以风险预警为核心的内控信息化建设。通过对101号文、307号文与44号文对比分析可以发现,企业风险管理逐渐由“加强风险管控”向“加强风险防控”转变,注重通过建立风险量化监测指标,以“数字化”研判风险变化趋势。企业在内控信息化建设中可以通过将风险提示和关键控制活动嵌入流程,在实际业务操作中,信息平台基于构建的风险预警指标体系和触发机制,可向业务操作人员精准推送风险信息,助力企业形成重大风险预测和防控机制,也便于及时督促和指导。