城市国企内部控制整合优化路径设计

　　广东、安徽、江西、辽宁、苏州、沈阳多地均发布了内部控制体系建设政策，在此背景下，城市国企也越来越将内部控制作为强基固本的重要抓手。但部分地区对内控边界认知不清晰，导致真正的执行落地水平大打折扣。另外，制度执行力较低、监督不力、缺少有效的反馈机制等问题也使得整合优化内部控制路径迫在眉睫。那么内控究竟是什么？其与风控、合规、管控的区别在何处？城市国企又该如何设计内控优化路径？

　　1992年，COSO委员会（全美反舞弊性财务报告委员会发起的组织）发布了《内部控制框架》，2013年，COSO委员会对1992年发布的《内部控制框架》进行了修订和完善，将内部控制定义为：

　　内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。

　　2008年，中国财政部联合国家五部委（财政部、证监会、审计署、银监会、保监会）在1992年版COSO委员会《内部控制框架》的基础上颁布了《企业内部控制基本规范》，给出内部控制定义为：

　　内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

　　2019年，国资委出台《关于加强中央企业内部控制体系建设与监督工作的实施意见》，提出内部控制体系的概念：

　　以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系。进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念，通过“强监管、严问责”和加强信息化管理，严格落实各项规章制度，将风险管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制，切实全面提升内控体系有效性，加快实现高质量发展。

　　风险管理指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系 ，从而为实现风险管理的总体目标提供合理保证的过程和方法。

　　风险管理的范围要比内部控制大，内部控制是风险管理工作的组成部分，风险管理包含内部控制，但是风险管理不能代替内部控制。风险管理识别企业整体的可控风险、不可控风险以及机会，内部控制进行控制的则是可控风险。

　　合规管理是指企业通过制定合规政策，按照外部法规的要求统一制定并持续修改内部规范，监督内部规范的执行，以实现增强内部控制，对违规行为进行监测、识别、预警、防范、控制、化解合规风险的一整套管理活动和机制。

　　合规是内部控制的目标之一，合规管理的本质是合规风险管理，其仍然属于风险管理的范畴，而对制度合规性的内容又属于内部控制的范畴。比如一家建筑企业中的财务制度是基于会计法等相关法律制定的内部规范，但是未涉及到关于食品安全的相关内部规范，那么财务合规是内部控制与合规管理所需要共同管理的领域，员工食堂出现了违反食品安全法的事件则属于合规管理但不属于内控管理。

　　管理控制是基于实现组织战略的一系列过程，内部控制是这一系列控制过程中的一个，管理控制包含内部控制。比如某企业基于发展需要制定了战略规划，并通过一系列举措督促规划落地，这一系列举措都是管理控制，但不一定是内部控制。

　　基于城市国企内部控制的研究主题，本文重点梳理国资委的内部控制政策如下表3-1所示。国务院国资委在COSO内部控制框架之外，于2019年提出内部控制体系的新概念，强调内部控制与风险管理、合规管理的协同性，提出内控体系“强内控、防风险、促合规的管控目标”，后续通过各年度内部控制体系建设与监督工作的政策文件监督三位一体内部控制体系的落地。

　　各地方国资委的相关内部控制体系的政策是依据国务院国资委的文件结合本级监管范围内企业制定的，本质上同国务院国资委的相关政策一致。而国务院国资委2019年101号文的“加强内部控制体系建设”是在2012年68号文要求的“内部控制体系建设”在2013年底实现全覆盖的目标达成的基础上提出的。101号调内部控制与风险管理、合规管理的协同性，打开了内部控制的思路，但并不是将内部控制与风险管理、合规管理划等号。

　　《企业内部控制基本规范》及配套指引给出了城市国企内控体系建设的基本要求，《企业内部控制基本规范》是内控体系建设的底线和基本功，该体系建设重点涵盖5要素：内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。

　　（1）内部环境。内部环境是五要素之首，是整个内部控制体系的基础和环境条件，一般包括组织结构、企业文化、制度建设三个方面。

　　组织结构上分为三类：第一类是风险管理部门和董事会下风险管理委员会等组织，该类组织对整体风险进行分类，筛选出属于内部控制体系范畴所管理的风险；第二类是相关职能部门和业务单位，该类组织是内控体系中各类控制的直接参与组织；第三类是内部审计部门和董事会下审计委员会等组织，该类组织以相对独立的角度来发现建设内控体系，并完善内控体系。

　　企业文化是内控体系中的人心保证，优秀的企业文化能促进企业内部控制能力的提高,良好的内部控制制度可以反过来推动企业文化的传承与发展。

　　制度建设是连接各组织结构运转的桥梁，通过制度建设可以将内部控制的落实到各个部门及各个岗位。

　　（2）风险评估是实施内部控制的重要环节，是实施控制的对象内容。包括风险识别、风险分析和风险应对三个环节。

　　风险识别方面，企业应及时识别、系统分析经营活动中与实现内部控制目标相关的风险。风险分析方面，采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。风险应对方面，应根据风险分析结果，综合运用风险规避、转移、分担、承受等措施。

　　（3）控制活动是实施内部控制的具体方式方法和手段，是风险评估的具体应对措施的落实。企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

　　（4）信息与沟通是实施内部控制的重要条件，贯穿于风险评估、控制活动和内部监督各要素之间。信息与沟通包括常规信息沟通和特殊信息沟通。

　　常规信息沟通是企业在日常管理中对信息进行分类，按照重要性等方式将信息传递给内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间。

　　特殊信息沟通指反舞弊机制及举报投诉制度，这是常规信息沟通的重要补充，也是信息与沟通落实的保障。

　　（5）内部监督是实施内部控制的重要保证，内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

　　（2）内部控制负责主体：主要领导人员是内控体系监管工作第一责任人，负责组织领导建立健全覆盖各业务领域、部门、岗位，涵盖各级子企业全面有效的内控体系；

　　注意识别以下风险：现金结算；部分费用列支随意；国有资产的采购、核算、管理、使用和处置；应收款项和预付款项长期挂账；工程建设招投标手续及工程成本的列支。

　　（1）内部控制监督制度：内部监督制度与出资人纪检监察监督、巡视监督、审计监督联动；

　　（2）制定内部控制缺陷认定标准：分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向党委会、董事会、监事会或者经理层报告。

　　AG旗舰厅官方网站

　　国资委101号文及后续各年的内部控制体系建设文件是基于《企业内部控制基本规范》的全面内控体系提升，是内控体系建设五要素重点工作的执行体现，同时是城市国企内控体系的进阶发展。基于101号文系列的政策对城市国企内控体系的发展可以概况为“三化两监督”，“三化”即支撑层，包括内控体系建设优化、内控体系执行强化、内控体系信息化；“两监督”即监督层，包括内部监督评价、出资人监督检查。

　　内控体系建设优化是内部控制五要素中内部环境要素的进一步加强，包括职责划分及工作机制建设、强化集团管控、完善管理制度三个方面。

　　职责划分及工作机制建设上，城市国企要明确党委、董事会、经理层等决策主体在内控监督方面的权责边界、规范决策流程，避免边界不清、流程倒置等现象，充分发挥党委“把方向、管大局、促落实”，董事会“定战略、做决策、防风险”，经理层“谋经营、抓落实、强管理”的角色职能。执行层面上，要加强内控人员培育和储备，组建业务、职能矩阵化团队，促进内控部门主责推动、业务部门协同配合。集团管控及管理制度上，要注重集团层面与公司单体之间、不同管理体系之间制度要求的融合性和精简性。

　　内控体系执行强化是对内部控制五要素中控制活动和内部监督要素的进一步提高。包括三个方面：

　　一是加强关键领域的日常监控，主要关注改革关键领域、重点业务、国有资本运营重要节点的监管，定期梳理执行情况，发现问题及时制定措施改进。二是加强重要岗位授权和权力制衡，将内控体系与业务有机结合，按照不相容职务分离控制、授权审批控制等内控体系管控要求，严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责，实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。三是健全风险管理防控机制，风险预警量化指标由事后向事前、由表内向表外、由集团向基层“三个延伸”。

　　内控体系信息化既是从内部控制五要素中信息与沟通要素方面做提升，又是对控制活动要素做进一步提升。

　　通过发挥信息技术在信息与沟通中的作用来提升城市国企的信息化水平；控制活动中，将控制节点和控制要求固化嵌入信息系统，降低人为操作的错误发生率，提高“技防技控”能力。强化风险识别和管控，建设风险检测预警机制。

　　加强内部监督评价是对内部控制五要素中内部监督要素的进一步加强，包括各企业自评和集团监督评价两个方面。

　　各企业自评方面，城市国企要全面实施内控自评，每年以规范流程、消除盲区、有效运行为重点，对内控体系的有效性进行全面自评，客观、真实、准确揭示经营管理中存在的内控问题。集团监督评价方面，在子企业自评的基础上，加强集团评价。同时可结合自身情况委托外部机构对自身及及子企业的内控体系进行评价。

　　加强出资人监督检查既是内部控制五要素中内部环境要素的提升，又是内部监督要素的提升。出资人的国资监管体系是城市国企治理体系的重要组成部分，城市国企作为国资体系的重要组成部分应当受到出资人的监督检查。

　　加强对国有资产监管政策制度执行情况的综合检查工作，出资人建立内控体系定期抽查评价工作制度，强化城市国企内控问题的整改，加大评价结果在薪酬考核和干部管理等工作中的运用力度。利用纪检监察监督、巡视监督、审计监督等监督成果形成内控监督共享机制。

　　城市国企内控体系的构建要基于内部控制五要素，并融合国资委对内控体系的五点要求来进行，据此我们提出了城市国企内控体系构建的五步骤。

　　必要的内部环境包括组织、文化和制度三个方面。组织方面，城市国企要设立能够满足企业经营管理活动的组织架构，在此基础上明确风险管理的组织及拥有独立性的内控完善部门。文化方面，内部控制需要全体员工（包含高管）共同参与，需要在企业文化的基础上强调内部控制的重要性，需要各层级贯彻内控价值观和理念。制度方面，城市国企需要建立能够满足企业经营管理需要的各项制度。

　　某地方XX城投设有党群工作部、行政部、财务部、工程管理部、发展投资部、风险管理部、资产管理部7个部门，有较为完善的规章制度流程。XX城投在进行构建必要的内部环境时可以分为三步：

　　1、XX城投以当前组织架构为基础，将风险管理与内部审计的职能独立成两个部门，增设独立的审计部,并在董事会下设立审计委员会。

　　2、在现有企业文化的基础上，融入内部控制理念，强调公司各层级贯彻内控的价值观和理念。

　　3、建立有较完善的规章制度流程，能够应对日常经营管理活动，本阶段无需进行调整。

　　对城市国企的风险进行整体识别，分析城市国企所识别出的风险，采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，根据控制目标确定关注重点和优先控制的风险。根据风险分析结果，综合运用风险规避、转移、分担、承受等措施来进行风险应对。

　　某地方XX城投对风险整体识别，梳理出重点和优先控制的风险如下：工程风险、财务风险、运营风险、战略风险、安全风险、投资风险、合规风险、廉政风险等。

　　通过风险评估结果，为需要重点关注和优先控制的可控风险设计关键控制活动。从业务流程和管理流程两个角度对流程节点的风险点进行梳理，针对需要重点关注和优先控制的可控风险制定各业务流程和管理流程中的控制措施，将控制落实到相关部门及岗位，并同信息化结合将控制节点和控制要求固化嵌入信息系统。

　　XX城投通过对风险的梳理，对工程项目决策风险梳理如下：工程项目决策失误，可能造成企业资产损失或资源浪费；工程项目违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失；工程项目未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失。

　　对现有的内控体系进行检视，并通过多种途径进行内控有效性测试（询问、观察、检查、穿行测试等），针对测试结果进行相应的控制活动调整措施，必要时对内部环境进行调整。

　　构建内控监督机制包括内控内部监督和外部出资人的监督机制。内控内部监督是城市国企内控体系动态闭环的要求，通过城市国企内部自评价等方式不断完善内部控制体系，适应企业内部管理的变化。外部出资人监督机制是内控内部监督的重要补充，一是可以发现内部监督所未能发现的内控问题，二是可以提高城市国企内控体系的有效性。