國有企業(yè)內控指南(國有企業(yè)內控指南是什么)
文章來源:果信求實管理咨詢
作 者:國信求實
按照往年的節(jié)奏,各中央企業(yè)已經接到了國資委改革局發(fā)布的《關于中央企業(yè)開展2020年全面風險管理工作的通知》,正在準備讓各下屬單位開展2020年度風險評估,編制年度風險管理報告。但是今年,各央企沒有接到這個通知,而是收到了國資委綜合監(jiān)督局的《關于加強中央企業(yè)內部控制體系建設與監(jiān)督工作的實施意見》。這也是自68號文之后,時隔七年國資委第一次發(fā)布專門的內部控制的工作文件。
目前已有很多專家對該文件內容進行了各種解讀。我們就不再逐條就內容和文字做重復工作了。寫這篇文章的目的,是結合著前期參與兩次征求意見的過程,對比這個正式稿,和大家聊聊我們的認識,并談談下一步企業(yè)的內控工作。
我們擬了12個具體的問題,下面來逐一回答。
1、文件的主要內容和核心要求是什么?
該文件分別從內控體系建設、內控體系執(zhí)行和內控監(jiān)督等三個方面,分為5個部分16條,具體參見下圖1。
圖片來源于國信求實管理咨詢
文件的核心要求是:
(1) 從監(jiān)督視角推動風險管理、內部控制及合規(guī)管理工作的協(xié)同;
(2) 利用制度為載體,把風控合規(guī)、違規(guī)追責的要求落實和制度建設協(xié)同;
(3) 抓好“三重(重點領域、重要崗位和重大風險)”相關的內控;
(4) 自評、上評和外審相結合的評價監(jiān)督;
(5) 監(jiān)督成果運用和整改落
2、文件有要求風險管理、內部控制體系、合規(guī)管理體系的“三合一”嗎?
沒有。
最早該文件的立意是希望能夠通過該文件推動各企業(yè)就風險管理、內部控制和合規(guī)管理三個體系性工作的整合管理。在5月27日和9月30日兩版征求意見稿中,都表述為“以風險和合規(guī)管理為導向、內控管理為核心的一體化內控體系”,但正式稿里改為“以風險管理為導向、合規(guī)管理監(jiān)督為重點,嚴格、規(guī)范、全面、有效的內控體系”。之所以這樣,可能和評價局(內控體系)、改革局(風險管理)、法規(guī)局(合規(guī)管理)及綜合監(jiān)督局之間就三項工作的職責劃分還未確定有關系。
除了上述內容外,還有幾處修改可以體現出“三合一”的監(jiān)管意圖未能成行:
- 5.27稿嘗試這樣界定三者之間的關系:“把內控作為風險和合規(guī)管理的重要基礎、風險管控和合規(guī)經營作為內控的基本目標”;9.30稿和正式稿均刪除相關表述。
- 9.30稿要求央企“整合優(yōu)化內控、風險和合規(guī)管理相關制度、機制及流程”、“明確專門部門…推動內控、風險和合規(guī)管理一體化與集約化”等。正式稿中均刪除相關表述。
- 9.30稿要求“全面梳理整合內控、風險和合規(guī)管理相關制度”,正式稿中刪除“整合”字樣。
3、企業(yè)可以根據實際情況推動風險管理、內部控制體系、合規(guī)管理體系的“三合一”嗎?
可以。
企業(yè)內部現在各類體系化管理活動非常多,并且各體系互相獨立,甚至每個體系都有各自的“書”。實際上,每一個管理體系,不管是出于上級要求、經營要求(投標、銷售),還是自身管理需求,都會開宗明義強調體系要與經營管理活動相融合(基于流程, process-based),要為公司戰(zhàn)略和績效服務(風險導向risk-oriented),要持續(xù)改進提升(PDCA)。每個體系落地無一例外的選擇手冊(介紹體系基本情況) 制度/流程/系統(tǒng)。所以,企業(yè)完全可以協(xié)同整合不同的體系,并且把每一個體系的要求都落實到“企業(yè)實際的”經營管理活動過程中,通過“同一套”制度/流程/系統(tǒng)等管理工具實現落地。具體示意參考圖2。
圖2 整合管理體系示意圖
4、對內控體系建設有什么新的要求嗎?
沒有。
該文件有一個假設前提,就是2012年68號文要求的各中央企業(yè)內部控制體系建設在2013年底實現全覆蓋的目標已經達成。所以文件更多是從運行和持續(xù)優(yōu)化角度強調了如下幾點:
(1)思路要打開。不要就內控談內控。要與風險管理、合規(guī)管理(監(jiān)督)協(xié)同
(2)工具要優(yōu)化。體系需要通過“工具”落地,而工具要落實“管理制度化、制度流程化、流程信息化”的優(yōu)化理念。結合“內控信息化”部分的要求,體系落地的工具載體優(yōu)化的理念應該發(fā)展為“管理工具的新四化”,即“管理制度化、制度流程化、流程信息化、信息智能化”。
(3)制度要管用。制度作為管理落地工具之一,要把風險、內控、合規(guī)對相關業(yè)務的要求,以及違規(guī)追責的要求等落實到制度中。通過流程、信息化等方式確保制度的執(zhí)行。用內控評價監(jiān)督來發(fā)現制度執(zhí)行的問題。用考核、追責等來確保制度剛性。
(4)內控評價,除了對重要流程和關鍵環(huán)節(jié)的控制措施進行評價外,還要對風險管理及合規(guī)管理的有效性評價監(jiān)督。
5、內控組織機構的設置必須要“建評分離”嗎?
沒有。
“建評分離”是2012年68號文里面的提法。5.27稿有類似的提法,但9.30和正式稿中均刪除了。這里面的核心問題在于“內控主管部門”是否可以開展“內控評價”。事實上這個當然是可以的,而且是應該的。有些人認為不能“自己評價自己”,違反了“獨立性”。這種論點是對內控發(fā)展的歷史、“獨立性”概念和“三道防線”概念的誤解所形成:
(1) 實施薩班斯(SOX)的企業(yè),都是圍繞著“財務報告相關的內部控制體系建設”,一般會由財務部負責,面對SEC的要求,確實不能“自己評價自己”,一般都是審計部負責評價。而2012年后中國大部分公司開展的都是“全面內控體系”,內控主管部門往往沒有專業(yè)的業(yè)務管理職能,所以就不存在“自己評價自己”的憂慮了。
(2) 內審部門對內控的“獨立”監(jiān)督并不是通過開展“內控評價”來實現的,而是通過各種審計、專項監(jiān)督等活動。
(3) 內控建設和執(zhí)行的第一主體責任是企業(yè)各部門/機構,而不是 “內控主管部門”。
(4) 無法理解的可以看看安全、質量、環(huán)保等成熟的體系評價工作是不是由審計部來負責的。體系主管部門如果連基本的監(jiān)督手段都沒有,就只能淪為“信息傳遞和溝通”的功能,那基本就沒有“體系管理常態(tài)化職能”存在的必要了。
6、還需要開展年度風險評估嗎?
需要。
雖然綜合監(jiān)督局還沒有就《年度內部控制工作報告》的模板和時間發(fā)文,但是因為風險管理、內部控制相關監(jiān)管職責有消息顯示已明確移交至監(jiān)督局。根據文件要求,這個年度報告里面應該會包含原風險管理報告中相關內容。特別是其中涉及到對上年度重大風險應對情況的監(jiān)督回顧和下年度重大風險的分析和應對部分,較大可能仍然是監(jiān)管報告的重點。
如果把原風險管理報告和內控評價報告合二為一,披露的時間預計會在每年的5月份(考慮到下屬上市公司年度內控評價披露時間為430之前)。不過直到今年年底,也沒有發(fā)布關于此項工作的具體通知文件。(1月2日已收到)不管有沒有文件,年度風險評估都是企業(yè)一項非常重要的工作。實務中,不少企業(yè)已經在探索年度風評工作與務虛會、預算會等協(xié)同。
7、內控運行有什么新的要求嗎?
有。
主要是把風險管理、“不能腐”體制機制(廉潔風險防控)、合規(guī)管理等領域出現的一些新提法融入內控中。例如,文件要求內控體系的運行重點是圍繞著“三重”:即重點領域的日常管控、重要崗位授權管理和權力制衡、以及重大風險的防范和化解。其中重點領域的日常管控的說法較多見之于法治建設、國企改革、風險管理等相關文件;而重要崗位授權管理和權力制衡的說法較多見之于懲防體系建設、廉潔風險防控、“不能腐”體制機制建設,以及合規(guī)管理等;重大風險防范和化解更多見之于更高階的中央及國務院的報告、領導人的講話中。
如果我們一定要進行邏輯解構的話,可以這么來理解:該文件要求內控的運行要抓好重點業(yè)務的內控、重要崗位的內控和重大風險的內控。這和傳統(tǒng)的內控運行(制度及流程的執(zhí)行、優(yōu)化改進)等提法相比,內涵更加豐富。
8、如何做好重點領域的內部控制?
首先我們需要搞清楚什么是重點領域?如何確定公司的重點領域。
文件用枚舉的方式列示的重點領域包括:關鍵業(yè)務、改革重點領域、國有資本運營重要環(huán)節(jié)以及境外國有資產監(jiān)管等。還提到了投資并購、改革改制重組等重大經營事項等。從理論上來說,重點領域可以通過風險評估,確定出高風險等級的領域。但實務中,更為簡單的方式就是“三重一大”事項相關的領域或流程,都可以算上是公司的重點領域。
重點領域的內部控制,其要求就是“加強日常管控”。具體包括兩個方面的工作:
其一是發(fā)現問題及整改。通過定期梳理、內控評價、內外部審計、巡視、監(jiān)察以及其他專項檢查等工作,發(fā)現上述領域存在的內部控制設計不足(如制度缺失、職責不清、冗余控制效率低下等)、執(zhí)行問題(有章不循、“形式主義”—橡皮圖章、“官僚主義”—推諉扯皮等)。
其二是風評支撐決策。對重大的事項,如被認定為“重大經營事項”相關的項目、方案、合同、活動等,在進行決策前,要求企業(yè)必須開展圍繞著“事項”專項風險評估,并且明確要求企業(yè)必須在內控設計上必須把“風險評估報告”作為重大經營事項決策的必備支撐材料。對于超出企業(yè)風險承受能力或風險應對措施不到位的決策事項不得組織實施。
這里需要重點提示大家?guī)c注意事項:
(1)在相關制度里面界定清楚公司的“重大經營事項”的范圍。要是沒有,等到“出問題”責任定性的時候就會陷入被動。
(2)搞清楚“重大經營事項”不等于“三重一大”事項。如果為了圖省事,直接應用公司“三重一大”事項清單。自己放大專項風評的范圍,萬一碰到國審或巡視,一查會議材料,少一個風評報告,你怎么解釋?
(3)搞清楚“專項風評報告”具體是什么?是一個名字中包含“風評報告”的單獨文件?還是只要在某些文件中有風險、風險應對措施和處置預案的內容即可?這個問題是一個模糊帳。但是從國資委此前發(fā)布的投資監(jiān)管和境外投資監(jiān)管相關文件的提法,以及現在對不少企業(yè)實踐活動的觀察,我們發(fā)現共性的理解是要有一個單獨的、獨立的“報告”——也就是說,不可以用項目建議書、可行性研究報告或盡職調查報告等替代——雖然這些報告中通常也會包含風險及風險應對相關的內容。當前環(huán)境下,對國企來說,實質固然重要、形式也不可偏廢。
(4)“超出企業(yè)風險承受能力”是一個什么概念?這個問題不展開,改天在百問系列里面專門設一問來回答。
9、如何做好重要崗位的內部控制?
首先我們需要搞清楚公司現有的內部控制制度里面有對“重要崗位”進行明確的界定,甚至給出重要崗位清單嗎?如果沒有的話,如何確定重要崗位?有沒有確定的標準?
文件中并沒有界定或者給出示例,只是提出了重要崗位和關鍵人員的概念。類似的提法在懲防/廉潔風險/不能腐體制機制里面有重點部門和關鍵崗位、關鍵少數,特別是“一把手”等;而合規(guī)管理里的提法是重點人員,包括管理人員、重要風險崗位人員、海外人員和其他需要重點關注的人員。這些工作都提出了從部門、崗位和人的角度落實廉潔、合規(guī)風險的職責,但提法不一樣,事實上關注的“重要”崗位和人也確實有差異。
我們需要厘清重要崗位與高風險崗位、領導崗位、重要崗位人員(關鍵人員)等概念之間的差異。
確定重要崗位的標準,個人覺得廉潔風險/不能腐里面的一個提法比較有意思——“四集”:權力集中、資金密集、資源富集、資產聚集。實務中可以圍繞著四個維度構建重要崗位評估的標準。至于高風險崗位的標準,則需要設計崗位風險評估的準則,這里不展開。
重點崗位的內部控制,其要求是“加強重要崗位授權管理和權力制衡”。核心是明確重要崗位和關鍵人員的職權,實現不相容職責分離,特別是采購、銷售、投資管理、資金管理、工程項目和產權(資產)交易流轉等領域涉及的崗位職責權限及審批流程的設置。
內控執(zhí)行中引入崗位和人,是監(jiān)管機構對實踐中存在的內控體系無法落地執(zhí)行的一個重要的響應??上г摬糠謨热莶]有談到“痛點”。我們觀察到實踐中內控執(zhí)行的問題,關鍵不在于沒有分權牽制和授權審批,而在于權、責、利的割裂導致的授權體系和激勵約束機制的崩壞。例如,很多國有企業(yè)非常注重審批流程,但很少有單位能夠把一個合同或資金簽批里面會有哪些風險?這些風險分別由誰來負責控制?這兩個簡單的問題說清楚。
曾經碰到一個公司,合同在OA中需要20多人簽批,但大部分環(huán)節(jié)的“有權審批人”居然不知道審什么、為什么審、怎么審,也不清楚自己的簽字要負什么責任。有的簽字是對決策者提供專業(yè)咨詢建議,而有的簽字是可以直接說了算的。如何去協(xié)同權責利?實踐中可以去探索以風險為錨點,來統(tǒng)籌、協(xié)同權力、責任和利益這三者。
10、如何做好重大風險的內部控制?
重大風險的內部控制,其要求是“強化企業(yè)防范化解重大風險全過程管控”。主要強調了三個方面:
其一是對經營環(huán)境的變化(外部風險)的監(jiān)測及趨勢判斷能力;
其二是對經營管理的缺陷和問題(內部風險)的整改及風險應對能力。
其三是針對集團型企業(yè),還需要做好企業(yè)間的風險隔離,設置好集團與下屬公司、下屬公司之間的“防火墻”,防止風險擴散。
防化重大風險對央企來說,現在不僅僅是風險管理工作的事情,而是變成一個“政治任務”。事實上,每一個風險的防范措施和應對機制都是不一樣的,甚至同一個風險事件,隨著時間的不同,其風險防控的機制也可能出現很大的調整。
11、內控監(jiān)督有什么新的要求嗎?
有。主要是內控評價的組織方式有新的提法。
傳統(tǒng)的內控論述中的監(jiān)督(monitoring),是一個“大監(jiān)督”的概念,主要包括日常監(jiān)督和專項監(jiān)督。國企里面常見的各類內部監(jiān)督的活動包括:月度經營分析會機制、董事會定期會議、監(jiān)事會監(jiān)督、內部審計、內控評價、風險排查、法治第一責任檢查、“小金庫”專項檢查、巡視、紀檢、監(jiān)察等。
該文件的內控監(jiān)督,主要是以內控評價為載體的“小監(jiān)督”的范疇,主要包括自評、上評、外審、出資人監(jiān)督以及監(jiān)督結果整改和納入績效考核。
內控評價要求央企的下屬單位每年有一個自評過程(評控制、評風險、評合規(guī)),有一個報告(按決策流程走)。央企集團每年有一個“上對下”的評價,必須3年覆蓋全部子企業(yè)。集團還必須把海外資產納入評價范圍。集團要把評價結果納入各子企業(yè)績效考核。每家央企每年需編制一個《內控體系年度工作報告》,除了報國資委外,文件要求要抄送公司的紀委或紀檢組、組織人事部門。
對部分人來說,最關心的就是報告有什么變化。這個目前還沒有見到通知中的模板。好處就是似乎風評報告、內控評價報告可以合成一個內控工作報告了。
實務中內控監(jiān)督的問題主要是監(jiān)督效能不足,檢查多、效果差。而內控評價工作在有些企業(yè)則陷入到一種比較尷尬的境地:發(fā)現不了問題、或多為“細節(jié)化”的問題、問題和缺陷拎不清等。
解決監(jiān)督效能不足和評價形式化這兩個難題的方式就是探索“整合監(jiān)督”——內控評價作為內部控制“條線”對所有整合監(jiān)督結果的一個“出口”而已。這里暫不展開。
12、內控信息化的要求是什么?
內控信息化不是指內控工作的信息化(如繪制流程圖、識別風險點、問卷、測試等),而是如何把內控的各種手段、機制和措施實現信息化。按照傳統(tǒng)的內控五要素來理解信息化:
內控信息化的發(fā)展方向是集成化、自動化和智能化。隨著數據驅動、數據資產的理念逐步為大家所接受,傳統(tǒng)的信息系統(tǒng)架構以及具體應用系統(tǒng)的開發(fā)理念也遭到了極大的挑戰(zhàn),現在主流的方向是云化、跨系統(tǒng)/平臺化、組件化等。