文章來源：果信求實管理咨詢

作 者：國信求實

按照往年的節(jié)奏，各中央企業(yè)已經(jīng)接到了國資委改革局發(fā)布的《關于中央企業(yè)開展2020年全面風險管理工作的通知》，正在準備讓各下屬單位開展2020年度風險評估，編制年度風險管理報告。但是今年，各央企沒有接到這個通知，而是收到了國資委綜合監(jiān)督局的《關于加強中央企業(yè)內部控制體系建設與監(jiān)督工作的實施意見》。這也是自68號文之后，時隔七年國資委第一次發(fā)布專門的內部控制的工作文件。

目前已有很多專家對該文件內容進行了各種解讀。我們就不再逐條就內容和文字做重復工作了。寫這篇文章的目的，是結合著前期參與兩次征求意見的過程，對比這個正式稿，和大家聊聊我們的認識，并談談下一步企業(yè)的內控工作。

我們擬了12個具體的問題，下面來逐一回答。

1、文件的主要內容和核心要求是什么？

該文件分別從內控體系建設、內控體系執(zhí)行和內控監(jiān)督等三個方面，分為5個部分16條，具體參見下圖1。

圖片來源于國信求實管理咨詢

文件的核心要求是：

（1） 從監(jiān)督視角推動風險管理、內部控制及合規(guī)管理工作的協(xié)同；

（2） 利用制度為載體，把風控合規(guī)、違規(guī)追責的要求落實和制度建設協(xié)同；

（3） 抓好“三重（重點領域、重要崗位和重大風險）”相關的內控；

（4） 自評、上評和外審相結合的評價監(jiān)督；

（5） 監(jiān)督成果運用和整改落

2、文件有要求風險管理、內部控制體系、合規(guī)管理體系的“三合一”嗎？

沒有。

最早該文件的立意是希望能夠通過該文件推動各企業(yè)就風險管理、內部控制和合規(guī)管理三個體系性工作的整合管理。在5月27日和9月30日兩版征求意見稿中，都表述為“以風險和合規(guī)管理為導向、內控管理為核心的一體化內控體系”，但正式稿里改為“以風險管理為導向、合規(guī)管理監(jiān)督為重點，嚴格、規(guī)范、全面、有效的內控體系”。之所以這樣，可能和評價局（內控體系）、改革局（風險管理）、法規(guī)局（合規(guī)管理）及綜合監(jiān)督局之間就三項工作的職責劃分還未確定有關系。

除了上述內容外，還有幾處修改可以體現(xiàn)出“三合一”的監(jiān)管意圖未能成行：

• 5.27稿嘗試這樣界定三者之間的關系：“把內控作為風險和合規(guī)管理的重要基礎、風險管控和合規(guī)經(jīng)營作為內控的基本目標”；9.30稿和正式稿均刪除相關表述。
• 9.30稿要求央企“整合優(yōu)化內控、風險和合規(guī)管理相關制度、機制及流程”、“明確專門部門…推動內控、風險和合規(guī)管理一體化與集約化”等。正式稿中均刪除相關表述。
• 9.30稿要求“全面梳理整合內控、風險和合規(guī)管理相關制度”，正式稿中刪除“整合”字樣。

3、企業(yè)可以根據(jù)實際情況推動風險管理、內部控制體系、合規(guī)管理體系的“三合一”嗎？

可以。

企業(yè)內部現(xiàn)在各類體系化管理活動非常多，并且各體系互相獨立，甚至每個體系都有各自的“書”。實際上，每一個管理體系，不管是出于上級要求、經(jīng)營要求（投標、銷售），還是自身管理需求，都會開宗明義強調體系要與經(jīng)營管理活動相融合（基于流程, process-based），要為公司戰(zhàn)略和績效服務（風險導向risk-oriented），要持續(xù)改進提升（PDCA）。每個體系落地無一例外的選擇手冊（介紹體系基本情況） 制度/流程/系統(tǒng)。所以，企業(yè)完全可以協(xié)同整合不同的體系，并且把每一個體系的要求都落實到“企業(yè)實際的”經(jīng)營管理活動過程中，通過“同一套”制度/流程/系統(tǒng)等管理工具實現(xiàn)落地。具體示意參考圖2。

圖2 整合管理體系示意圖

4、對內控體系建設有什么新的要求嗎？

沒有。

該文件有一個假設前提，就是2012年68號文要求的各中央企業(yè)內部控制體系建設在2013年底實現(xiàn)全覆蓋的目標已經(jīng)達成。所以文件更多是從運行和持續(xù)優(yōu)化角度強調了如下幾點：

（1）思路要打開。不要就內控談內控。要與風險管理、合規(guī)管理（監(jiān)督）協(xié)同

（2）工具要優(yōu)化。體系需要通過“工具”落地，而工具要落實“管理制度化、制度流程化、流程信息化”的優(yōu)化理念。結合“內控信息化”部分的要求，體系落地的工具載體優(yōu)化的理念應該發(fā)展為“管理工具的新四化”，即“管理制度化、制度流程化、流程信息化、信息智能化”。

（3）制度要管用。制度作為管理落地工具之一，要把風險、內控、合規(guī)對相關業(yè)務的要求，以及違規(guī)追責的要求等落實到制度中。通過流程、信息化等方式確保制度的執(zhí)行。用內控評價監(jiān)督來發(fā)現(xiàn)制度執(zhí)行的問題。用考核、追責等來確保制度剛性。

（4）內控評價，除了對重要流程和關鍵環(huán)節(jié)的控制措施進行評價外，還要對風險管理及合規(guī)管理的有效性評價監(jiān)督。

5、內控組織機構的設置必須要“建評分離”嗎？

沒有。

“建評分離”是2012年68號文里面的提法。5.27稿有類似的提法，但9.30和正式稿中均刪除了。這里面的核心問題在于“內控主管部門”是否可以開展“內控評價”。事實上這個當然是可以的，而且是應該的。有些人認為不能“自己評價自己”，違反了“獨立性”。這種論點是對內控發(fā)展的歷史、“獨立性”概念和“三道防線”概念的誤解所形成：

（1） 實施薩班斯（SOX）的企業(yè)，都是圍繞著“財務報告相關的內部控制體系建設”，一般會由財務部負責，面對SEC的要求，確實不能“自己評價自己”，一般都是審計部負責評價。而2012年后中國大部分公司開展的都是“全面內控體系”，內控主管部門往往沒有專業(yè)的業(yè)務管理職能，所以就不存在“自己評價自己”的憂慮了。

（2） 內審部門對內控的“獨立”監(jiān)督并不是通過開展“內控評價”來實現(xiàn)的，而是通過各種審計、專項監(jiān)督等活動。

（3） 內控建設和執(zhí)行的第一主體責任是企業(yè)各部門/機構，而不是 “內控主管部門”。

（4） 無法理解的可以看看安全、質量、環(huán)保等成熟的體系評價工作是不是由審計部來負責的。體系主管部門如果連基本的監(jiān)督手段都沒有，就只能淪為“信息傳遞和溝通”的功能，那基本就沒有“體系管理常態(tài)化職能”存在的必要了。

6、還需要開展年度風險評估嗎？

需要。

雖然綜合監(jiān)督局還沒有就《年度內部控制工作報告》的模板和時間發(fā)文，但是因為風險管理、內部控制相關監(jiān)管職責有消息顯示已明確移交至監(jiān)督局。根據(jù)文件要求，這個年度報告里面應該會包含原風險管理報告中相關內容。特別是其中涉及到對上年度重大風險應對情況的監(jiān)督回顧和下年度重大風險的分析和應對部分，較大可能仍然是監(jiān)管報告的重點。

如果把原風險管理報告和內控評價報告合二為一，披露的時間預計會在每年的5月份（考慮到下屬上市公司年度內控評價披露時間為430之前）。不過直到今年年底，也沒有發(fā)布關于此項工作的具體通知文件。（1月2日已收到）不管有沒有文件，年度風險評估都是企業(yè)一項非常重要的工作。實務中，不少企業(yè)已經(jīng)在探索年度風評工作與務虛會、預算會等協(xié)同。

7、內控運行有什么新的要求嗎？

有。

主要是把風險管理、“不能腐”體制機制（廉潔風險防控）、合規(guī)管理等領域出現(xiàn)的一些新提法融入內控中。例如，文件要求內控體系的運行重點是圍繞著“三重”：即重點領域的日常管控、重要崗位授權管理和權力制衡、以及重大風險的防范和化解。其中重點領域的日常管控的說法較多見之于法治建設、國企改革、風險管理等相關文件；而重要崗位授權管理和權力制衡的說法較多見之于懲防體系建設、廉潔風險防控、“不能腐”體制機制建設，以及合規(guī)管理等；重大風險防范和化解更多見之于更高階的中央及國務院的報告、領導人的講話中。

如果我們一定要進行邏輯解構的話，可以這么來理解：該文件要求內控的運行要抓好重點業(yè)務的內控、重要崗位的內控和重大風險的內控。這和傳統(tǒng)的內控運行（制度及流程的執(zhí)行、優(yōu)化改進）等提法相比，內涵更加豐富。

8、如何做好重點領域的內部控制？

首先我們需要搞清楚什么是重點領域？如何確定公司的重點領域。

文件用枚舉的方式列示的重點領域包括：關鍵業(yè)務、改革重點領域、國有資本運營重要環(huán)節(jié)以及境外國有資產(chǎn)監(jiān)管等。還提到了投資并購、改革改制重組等重大經(jīng)營事項等。從理論上來說，重點領域可以通過風險評估，確定出高風險等級的領域。但實務中，更為簡單的方式就是“三重一大”事項相關的領域或流程，都可以算上是公司的重點領域。

重點領域的內部控制，其要求就是“加強日常管控”。具體包括兩個方面的工作：

其一是發(fā)現(xiàn)問題及整改。通過定期梳理、內控評價、內外部審計、巡視、監(jiān)察以及其他專項檢查等工作，發(fā)現(xiàn)上述領域存在的內部控制設計不足（如制度缺失、職責不清、冗余控制效率低下等）、執(zhí)行問題（有章不循、“形式主義”—橡皮圖章、“官僚主義”—推諉扯皮等）。

其二是風評支撐決策。對重大的事項，如被認定為“重大經(jīng)營事項”相關的項目、方案、合同、活動等，在進行決策前，要求企業(yè)必須開展圍繞著“事項”專項風險評估，并且明確要求企業(yè)必須在內控設計上必須把“風險評估報告”作為重大經(jīng)營事項決策的必備支撐材料。對于超出企業(yè)風險承受能力或風險應對措施不到位的決策事項不得組織實施。

這里需要重點提示大家?guī)c注意事項：

（1）在相關制度里面界定清楚公司的“重大經(jīng)營事項”的范圍。要是沒有，等到“出問題”責任定性的時候就會陷入被動。

（2）搞清楚“重大經(jīng)營事項”不等于“三重一大”事項。如果為了圖省事，直接應用公司“三重一大”事項清單。自己放大專項風評的范圍，萬一碰到國審或巡視，一查會議材料，少一個風評報告，你怎么解釋？

（3）搞清楚“專項風評報告”具體是什么？是一個名字中包含“風評報告”的單獨文件？還是只要在某些文件中有風險、風險應對措施和處置預案的內容即可？這個問題是一個模糊帳。但是從國資委此前發(fā)布的投資監(jiān)管和境外投資監(jiān)管相關文件的提法，以及現(xiàn)在對不少企業(yè)實踐活動的觀察，我們發(fā)現(xiàn)共性的理解是要有一個單獨的、獨立的“報告”——也就是說，不可以用項目建議書、可行性研究報告或盡職調查報告等替代——雖然這些報告中通常也會包含風險及風險應對相關的內容。當前環(huán)境下，對國企來說，實質固然重要、形式也不可偏廢。

（4）“超出企業(yè)風險承受能力”是一個什么概念？這個問題不展開，改天在百問系列里面專門設一問來回答。

9、如何做好重要崗位的內部控制？

首先我們需要搞清楚公司現(xiàn)有的內部控制制度里面有對“重要崗位”進行明確的界定，甚至給出重要崗位清單嗎？如果沒有的話，如何確定重要崗位？有沒有確定的標準？

文件中并沒有界定或者給出示例，只是提出了重要崗位和關鍵人員的概念。類似的提法在懲防/廉潔風險/不能腐體制機制里面有重點部門和關鍵崗位、關鍵少數(shù)，特別是“一把手”等；而合規(guī)管理里的提法是重點人員，包括管理人員、重要風險崗位人員、海外人員和其他需要重點關注的人員。這些工作都提出了從部門、崗位和人的角度落實廉潔、合規(guī)風險的職責，但提法不一樣，事實上關注的“重要”崗位和人也確實有差異。

我們需要厘清重要崗位與高風險崗位、領導崗位、重要崗位人員（關鍵人員）等概念之間的差異。

確定重要崗位的標準，個人覺得廉潔風險/不能腐里面的一個提法比較有意思——“四集”：權力集中、資金密集、資源富集、資產(chǎn)聚集。實務中可以圍繞著四個維度構建重要崗位評估的標準。至于高風險崗位的標準，則需要設計崗位風險評估的準則，這里不展開。

重點崗位的內部控制，其要求是“加強重要崗位授權管理和權力制衡”。核心是明確重要崗位和關鍵人員的職權，實現(xiàn)不相容職責分離，特別是采購、銷售、投資管理、資金管理、工程項目和產(chǎn)權(資產(chǎn))交易流轉等領域涉及的崗位職責權限及審批流程的設置。

內控執(zhí)行中引入崗位和人，是監(jiān)管機構對實踐中存在的內控體系無法落地執(zhí)行的一個重要的響應?？上г摬糠謨热莶]有談到“痛點”。我們觀察到實踐中內控執(zhí)行的問題，關鍵不在于沒有分權牽制和授權審批，而在于權、責、利的割裂導致的授權體系和激勵約束機制的崩壞。例如，很多國有企業(yè)非常注重審批流程，但很少有單位能夠把一個合同或資金簽批里面會有哪些風險？這些風險分別由誰來負責控制？這兩個簡單的問題說清楚。

曾經(jīng)碰到一個公司，合同在OA中需要20多人簽批，但大部分環(huán)節(jié)的“有權審批人”居然不知道審什么、為什么審、怎么審，也不清楚自己的簽字要負什么責任。有的簽字是對決策者提供專業(yè)咨詢建議，而有的簽字是可以直接說了算的。如何去協(xié)同權責利？實踐中可以去探索以風險為錨點，來統(tǒng)籌、協(xié)同權力、責任和利益這三者。

10、如何做好重大風險的內部控制？

重大風險的內部控制，其要求是“強化企業(yè)防范化解重大風險全過程管控”。主要強調了三個方面：

其一是對經(jīng)營環(huán)境的變化（外部風險）的監(jiān)測及趨勢判斷能力；

其二是對經(jīng)營管理的缺陷和問題（內部風險）的整改及風險應對能力。

其三是針對集團型企業(yè)，還需要做好企業(yè)間的風險隔離，設置好集團與下屬公司、下屬公司之間的“防火墻”，防止風險擴散。

防化重大風險對央企來說，現(xiàn)在不僅僅是風險管理工作的事情，而是變成一個“政治任務”。事實上，每一個風險的防范措施和應對機制都是不一樣的，甚至同一個風險事件，隨著時間的不同，其風險防控的機制也可能出現(xiàn)很大的調整。

11、內控監(jiān)督有什么新的要求嗎？

有。主要是內控評價的組織方式有新的提法。

傳統(tǒng)的內控論述中的監(jiān)督（monitoring），是一個“大監(jiān)督”的概念，主要包括日常監(jiān)督和專項監(jiān)督。國企里面常見的各類內部監(jiān)督的活動包括：月度經(jīng)營分析會機制、董事會定期會議、監(jiān)事會監(jiān)督、內部審計、內控評價、風險排查、法治第一責任檢查、“小金庫”專項檢查、巡視、紀檢、監(jiān)察等。

該文件的內控監(jiān)督，主要是以內控評價為載體的“小監(jiān)督”的范疇，主要包括自評、上評、外審、出資人監(jiān)督以及監(jiān)督結果整改和納入績效考核。

內控評價要求央企的下屬單位每年有一個自評過程（評控制、評風險、評合規(guī)），有一個報告（按決策流程走）。央企集團每年有一個“上對下”的評價，必須3年覆蓋全部子企業(yè)。集團還必須把海外資產(chǎn)納入評價范圍。集團要把評價結果納入各子企業(yè)績效考核。每家央企每年需編制一個《內控體系年度工作報告》，除了報國資委外，文件要求要抄送公司的紀委或紀檢組、組織人事部門。

對部分人來說，最關心的就是報告有什么變化。這個目前還沒有見到通知中的模板。好處就是似乎風評報告、內控評價報告可以合成一個內控工作報告了。

實務中內控監(jiān)督的問題主要是監(jiān)督效能不足，檢查多、效果差。而內控評價工作在有些企業(yè)則陷入到一種比較尷尬的境地：發(fā)現(xiàn)不了問題、或多為“細節(jié)化”的問題、問題和缺陷拎不清等。

解決監(jiān)督效能不足和評價形式化這兩個難題的方式就是探索“整合監(jiān)督”——內控評價作為內部控制“條線”對所有整合監(jiān)督結果的一個“出口”而已。這里暫不展開。

12、內控信息化的要求是什么？

內控信息化不是指內控工作的信息化（如繪制流程圖、識別風險點、問卷、測試等），而是如何把內控的各種手段、機制和措施實現(xiàn)信息化。按照傳統(tǒng)的內控五要素來理解信息化：

內控信息化的發(fā)展方向是集成化、自動化和智能化。隨著數(shù)據(jù)驅動、數(shù)據(jù)資產(chǎn)的理念逐步為大家所接受，傳統(tǒng)的信息系統(tǒng)架構以及具體應用系統(tǒng)的開發(fā)理念也遭到了極大的挑戰(zhàn)，現(xiàn)在主流的方向是云化、跨系統(tǒng)/平臺化、組件化等。