文章來源：果信求實管理咨詢

作 者：國信求實

按照往年的節奏，各中央企業已經接到了國資委改革局發布的《關于中央企業開展2020年全面風險管理工作的通知》，正在準備讓各下屬單位開展2020年度風險評估，編制年度風險管理報告。但是今年，各央企沒有接到這個通知，而是收到了國資委綜合監督局的《關于加強中央企業內部控制體系建設與監督工作的實施意見》。這也是自68號文之后，時隔七年國資委第一次發布專門的內部控制的工作文件。

目前已有很多專家對該文件內容進行了各種解讀。我們就不再逐條就內容和文字做重復工作了。寫這篇文章的目的，是結合著前期參與兩次征求意見的過程，對比這個正式稿，和大家聊聊我們的認識，并談談下一步企業的內控工作。

我們擬了12個具體的問題，下面來逐一回答。

1、文件的主要內容和核心要求是什么？

該文件分別從內控體系建設、內控體系執行和內控監督等三個方面，分為5個部分16條，具體參見下圖1。

圖片來源于國信求實管理咨詢

文件的核心要求是：

（1） 從監督視角推動風險管理、內部控制及合規管理工作的協同；

（2） 利用制度為載體，把風控合規、違規追責的要求落實和制度建設協同；

（3） 抓好“三重（重點領域、重要崗位和重大風險）”相關的內控；

（4） 自評、上評和外審相結合的評價監督；

（5） 監督成果運用和整改落

2、文件有要求風險管理、內部控制體系、合規管理體系的“三合一”嗎？

沒有。

最早該文件的立意是希望能夠通過該文件推動各企業就風險管理、內部控制和合規管理三個體系性工作的整合管理。在5月27日和9月30日兩版征求意見稿中，都表述為“以風險和合規管理為導向、內控管理為核心的一體化內控體系”，但正式稿里改為“以風險管理為導向、合規管理監督為重點，嚴格、規范、全面、有效的內控體系”。之所以這樣，可能和評價局（內控體系）、改革局（風險管理）、法規局（合規管理）及綜合監督局之間就三項工作的職責劃分還未確定有關系。

除了上述內容外，還有幾處修改可以體現出“三合一”的監管意圖未能成行：

• 5.27稿嘗試這樣界定三者之間的關系：“把內控作為風險和合規管理的重要基礎、風險管控和合規經營作為內控的基本目標”；9.30稿和正式稿均刪除相關表述。
• 9.30稿要求央企“整合優化內控、風險和合規管理相關制度、機制及流程”、“明確專門部門…推動內控、風險和合規管理一體化與集約化”等。正式稿中均刪除相關表述。
• 9.30稿要求“全面梳理整合內控、風險和合規管理相關制度”，正式稿中刪除“整合”字樣。

3、企業可以根據實際情況推動風險管理、內部控制體系、合規管理體系的“三合一”嗎？

可以。

企業內部現在各類體系化管理活動非常多，并且各體系互相獨立，甚至每個體系都有各自的“書”。實際上，每一個管理體系，不管是出于上級要求、經營要求（投標、銷售），還是自身管理需求，都會開宗明義強調體系要與經營管理活動相融合（基于流程, process-based），要為公司戰略和績效服務（風險導向risk-oriented），要持續改進提升（PDCA）。每個體系落地無一例外的選擇手冊（介紹體系基本情況） 制度/流程/系統。所以，企業完全可以協同整合不同的體系，并且把每一個體系的要求都落實到“企業實際的”經營管理活動過程中，通過“同一套”制度/流程/系統等管理工具實現落地。具體示意參考圖2。

圖2 整合管理體系示意圖

4、對內控體系建設有什么新的要求嗎？

沒有。

該文件有一個假設前提，就是2012年68號文要求的各中央企業內部控制體系建設在2013年底實現全覆蓋的目標已經達成。所以文件更多是從運行和持續優化角度強調了如下幾點：

（1）思路要打開。不要就內控談內控。要與風險管理、合規管理（監督）協同

（2）工具要優化。體系需要通過“工具”落地，而工具要落實“管理制度化、制度流程化、流程信息化”的優化理念。結合“內控信息化”部分的要求，體系落地的工具載體優化的理念應該發展為“管理工具的新四化”，即“管理制度化、制度流程化、流程信息化、信息智能化”。

（3）制度要管用。制度作為管理落地工具之一，要把風險、內控、合規對相關業務的要求，以及違規追責的要求等落實到制度中。通過流程、信息化等方式確保制度的執行。用內控評價監督來發現制度執行的問題。用考核、追責等來確保制度剛性。

（4）內控評價，除了對重要流程和關鍵環節的控制措施進行評價外，還要對風險管理及合規管理的有效性評價監督。

5、內控組織機構的設置必須要“建評分離”嗎？

沒有。

“建評分離”是2012年68號文里面的提法。5.27稿有類似的提法，但9.30和正式稿中均刪除了。這里面的核心問題在于“內控主管部門”是否可以開展“內控評價”。事實上這個當然是可以的，而且是應該的。有些人認為不能“自己評價自己”，違反了“獨立性”。這種論點是對內控發展的歷史、“獨立性”概念和“三道防線”概念的誤解所形成：

（1） 實施薩班斯（SOX）的企業，都是圍繞著“財務報告相關的內部控制體系建設”，一般會由財務部負責，面對SEC的要求，確實不能“自己評價自己”，一般都是審計部負責評價。而2012年后中國大部分公司開展的都是“全面內控體系”，內控主管部門往往沒有專業的業務管理職能，所以就不存在“自己評價自己”的憂慮了。

（2） 內審部門對內控的“獨立”監督并不是通過開展“內控評價”來實現的，而是通過各種審計、專項監督等活動。

（3） 內控建設和執行的第一主體責任是企業各部門/機構，而不是 “內控主管部門”。

（4） 無法理解的可以看看安全、質量、環保等成熟的體系評價工作是不是由審計部來負責的。體系主管部門如果連基本的監督手段都沒有，就只能淪為“信息傳遞和溝通”的功能，那基本就沒有“體系管理常態化職能”存在的必要了。

6、還需要開展年度風險評估嗎？

需要。

雖然綜合監督局還沒有就《年度內部控制工作報告》的模板和時間發文，但是因為風險管理、內部控制相關監管職責有消息顯示已明確移交至監督局。根據文件要求，這個年度報告里面應該會包含原風險管理報告中相關內容。特別是其中涉及到對上年度重大風險應對情況的監督回顧和下年度重大風險的分析和應對部分，較大可能仍然是監管報告的重點。

如果把原風險管理報告和內控評價報告合二為一，披露的時間預計會在每年的5月份（考慮到下屬上市公司年度內控評價披露時間為430之前）。不過直到今年年底，也沒有發布關于此項工作的具體通知文件。（1月2日已收到）不管有沒有文件，年度風險評估都是企業一項非常重要的工作。實務中，不少企業已經在探索年度風評工作與務虛會、預算會等協同。

7、內控運行有什么新的要求嗎？

有。

主要是把風險管理、“不能腐”體制機制（廉潔風險防控）、合規管理等領域出現的一些新提法融入內控中。例如，文件要求內控體系的運行重點是圍繞著“三重”：即重點領域的日常管控、重要崗位授權管理和權力制衡、以及重大風險的防范和化解。其中重點領域的日常管控的說法較多見之于法治建設、國企改革、風險管理等相關文件；而重要崗位授權管理和權力制衡的說法較多見之于懲防體系建設、廉潔風險防控、“不能腐”體制機制建設，以及合規管理等；重大風險防范和化解更多見之于更高階的中央及國務院的報告、領導人的講話中。

如果我們一定要進行邏輯解構的話，可以這么來理解：該文件要求內控的運行要抓好重點業務的內控、重要崗位的內控和重大風險的內控。這和傳統的內控運行（制度及流程的執行、優化改進）等提法相比，內涵更加豐富。

8、如何做好重點領域的內部控制？

首先我們需要搞清楚什么是重點領域？如何確定公司的重點領域。

文件用枚舉的方式列示的重點領域包括：關鍵業務、改革重點領域、國有資本運營重要環節以及境外國有資產監管等。還提到了投資并購、改革改制重組等重大經營事項等。從理論上來說，重點領域可以通過風險評估，確定出高風險等級的領域。但實務中，更為簡單的方式就是“三重一大”事項相關的領域或流程，都可以算上是公司的重點領域。

重點領域的內部控制，其要求就是“加強日常管控”。具體包括兩個方面的工作：

其一是發現問題及整改。通過定期梳理、內控評價、內外部審計、巡視、監察以及其他專項檢查等工作，發現上述領域存在的內部控制設計不足（如制度缺失、職責不清、冗余控制效率低下等）、執行問題（有章不循、“形式主義”—橡皮圖章、“官僚主義”—推諉扯皮等）。

其二是風評支撐決策。對重大的事項，如被認定為“重大經營事項”相關的項目、方案、合同、活動等，在進行決策前，要求企業必須開展圍繞著“事項”專項風險評估，并且明確要求企業必須在內控設計上必須把“風險評估報告”作為重大經營事項決策的必備支撐材料。對于超出企業風險承受能力或風險應對措施不到位的決策事項不得組織實施。

這里需要重點提示大家幾點注意事項：

（1）在相關制度里面界定清楚公司的“重大經營事項”的范圍。要是沒有，等到“出問題”責任定性的時候就會陷入被動。

（2）搞清楚“重大經營事項”不等于“三重一大”事項。如果為了圖省事，直接應用公司“三重一大”事項清單。自己放大專項風評的范圍，萬一碰到國審或巡視，一查會議材料，少一個風評報告，你怎么解釋？

（3）搞清楚“專項風評報告”具體是什么？是一個名字中包含“風評報告”的單獨文件？還是只要在某些文件中有風險、風險應對措施和處置預案的內容即可？這個問題是一個模糊帳。但是從國資委此前發布的投資監管和境外投資監管相關文件的提法，以及現在對不少企業實踐活動的觀察，我們發現共性的理解是要有一個單獨的、獨立的“報告”——也就是說，不可以用項目建議書、可行性研究報告或盡職調查報告等替代——雖然這些報告中通常也會包含風險及風險應對相關的內容。當前環境下，對國企來說，實質固然重要、形式也不可偏廢。

（4）“超出企業風險承受能力”是一個什么概念？這個問題不展開，改天在百問系列里面專門設一問來回答。

9、如何做好重要崗位的內部控制？

首先我們需要搞清楚公司現有的內部控制制度里面有對“重要崗位”進行明確的界定，甚至給出重要崗位清單嗎？如果沒有的話，如何確定重要崗位？有沒有確定的標準？

文件中并沒有界定或者給出示例，只是提出了重要崗位和關鍵人員的概念。類似的提法在懲防/廉潔風險/不能腐體制機制里面有重點部門和關鍵崗位、關鍵少數，特別是“一把手”等；而合規管理里的提法是重點人員，包括管理人員、重要風險崗位人員、海外人員和其他需要重點關注的人員。這些工作都提出了從部門、崗位和人的角度落實廉潔、合規風險的職責，但提法不一樣，事實上關注的“重要”崗位和人也確實有差異。

我們需要厘清重要崗位與高風險崗位、領導崗位、重要崗位人員（關鍵人員）等概念之間的差異。

確定重要崗位的標準，個人覺得廉潔風險/不能腐里面的一個提法比較有意思——“四集”：權力集中、資金密集、資源富集、資產聚集。實務中可以圍繞著四個維度構建重要崗位評估的標準。至于高風險崗位的標準，則需要設計崗位風險評估的準則，這里不展開。

重點崗位的內部控制，其要求是“加強重要崗位授權管理和權力制衡”。核心是明確重要崗位和關鍵人員的職權，實現不相容職責分離，特別是采購、銷售、投資管理、資金管理、工程項目和產權(資產)交易流轉等領域涉及的崗位職責權限及審批流程的設置。

內控執行中引入崗位和人，是監管機構對實踐中存在的內控體系無法落地執行的一個重要的響應?？上г摬糠謨热莶]有談到“痛點”。我們觀察到實踐中內控執行的問題，關鍵不在于沒有分權牽制和授權審批，而在于權、責、利的割裂導致的授權體系和激勵約束機制的崩壞。例如，很多國有企業非常注重審批流程，但很少有單位能夠把一個合同或資金簽批里面會有哪些風險？這些風險分別由誰來負責控制？這兩個簡單的問題說清楚。

曾經碰到一個公司，合同在OA中需要20多人簽批，但大部分環節的“有權審批人”居然不知道審什么、為什么審、怎么審，也不清楚自己的簽字要負什么責任。有的簽字是對決策者提供專業咨詢建議，而有的簽字是可以直接說了算的。如何去協同權責利？實踐中可以去探索以風險為錨點，來統籌、協同權力、責任和利益這三者。

10、如何做好重大風險的內部控制？

重大風險的內部控制，其要求是“強化企業防范化解重大風險全過程管控”。主要強調了三個方面：

其一是對經營環境的變化（外部風險）的監測及趨勢判斷能力；

其二是對經營管理的缺陷和問題（內部風險）的整改及風險應對能力。

其三是針對集團型企業，還需要做好企業間的風險隔離，設置好集團與下屬公司、下屬公司之間的“防火墻”，防止風險擴散。

防化重大風險對央企來說，現在不僅僅是風險管理工作的事情，而是變成一個“政治任務”。事實上，每一個風險的防范措施和應對機制都是不一樣的，甚至同一個風險事件，隨著時間的不同，其風險防控的機制也可能出現很大的調整。

11、內控監督有什么新的要求嗎？

有。主要是內控評價的組織方式有新的提法。

傳統的內控論述中的監督（monitoring），是一個“大監督”的概念，主要包括日常監督和專項監督。國企里面常見的各類內部監督的活動包括：月度經營分析會機制、董事會定期會議、監事會監督、內部審計、內控評價、風險排查、法治第一責任檢查、“小金庫”專項檢查、巡視、紀檢、監察等。

該文件的內控監督，主要是以內控評價為載體的“小監督”的范疇，主要包括自評、上評、外審、出資人監督以及監督結果整改和納入績效考核。

內控評價要求央企的下屬單位每年有一個自評過程（評控制、評風險、評合規），有一個報告（按決策流程走）。央企集團每年有一個“上對下”的評價，必須3年覆蓋全部子企業。集團還必須把海外資產納入評價范圍。集團要把評價結果納入各子企業績效考核。每家央企每年需編制一個《內控體系年度工作報告》，除了報國資委外，文件要求要抄送公司的紀委或紀檢組、組織人事部門。

對部分人來說，最關心的就是報告有什么變化。這個目前還沒有見到通知中的模板。好處就是似乎風評報告、內控評價報告可以合成一個內控工作報告了。

實務中內控監督的問題主要是監督效能不足，檢查多、效果差。而內控評價工作在有些企業則陷入到一種比較尷尬的境地：發現不了問題、或多為“細節化”的問題、問題和缺陷拎不清等。

解決監督效能不足和評價形式化這兩個難題的方式就是探索“整合監督”——內控評價作為內部控制“條線”對所有整合監督結果的一個“出口”而已。這里暫不展開。

12、內控信息化的要求是什么？

內控信息化不是指內控工作的信息化（如繪制流程圖、識別風險點、問卷、測試等），而是如何把內控的各種手段、機制和措施實現信息化。按照傳統的內控五要素來理解信息化：

內控信息化的發展方向是集成化、自動化和智能化。隨著數據驅動、數據資產的理念逐步為大家所接受，傳統的信息系統架構以及具體應用系統的開發理念也遭到了極大的挑戰，現在主流的方向是云化、跨系統/平臺化、組件化等。