国有企业下属公司全过程内控体系建设的思考

仲小兵

(江苏省国金资本运营集团有限公司，江苏南京210024)

一、国有企业下属公司内控体系建设的重要性与必要性

国有企业是中国特色社会主义的重要物质基础和政治基础，是推进国家现代化、保障人民共同利益的重要力量。在我国经济发展与社会进步的过程中，国有企业在多方面作出了重要的贡献。近年来，中央多次强调，要推动国有企业不断做强做优做大。在此过程中，企业成立下属公司是拓展业务和科学管理的必然选择。

企业成立下属公司在享受优化资源配置、提高管理效率、实现规模效应、合理适用政策等优势的同时，由于所有权和经营权的分离，也会给公司经营带来风险。其中，国有资产流失是国有企业设立下属公司经营过程中所需面对的重要风险之一。对此，国务院、国资委等部门高度重视，并出台多份文件，要求“切实加强和改进企业国有资产监督、防止国有资产流失”①《国务院办公厅关于加强和改进企业国有资产监督防止国有资产流失的意见》(国办发〔2015〕79号)。“完善国有资产管理体制，维护资本安全”②《中共中央国务院关于深化国有企业改革的指导意见》(中发〔2015〕22号)。“健全以管资本为主的国有资产监管体制，提高国有资产监管效能” 。而强化企业内部监督，健全内部控制，是防范此项风险的有效手段。

通过建设内部控制体系，企业集团可以建立涵盖各治理主体及审计、纪检监察、巡视、法律、财务等部门的监督工作体系，完善监督制度，强化对子公司的纵向监督和各业务板块的专业监督。具体而言，企业内部控制通过分事行权、分岗设权、分级授权、定期轮岗等措施，有效发挥专业人士作用，强化内部流程控制，防止权力滥用，从而加强企业内部监督工作的联动配合，防范企业经营风险，确保企业内部监督及时、有效。

二、国有企业下属公司内控体系建设的现状与不足

在国务院、国资委等部门相关政策及文件指导下，大型国有企业通常均对下属公司潜在经营风险及内部控制的必要性有所认识，并实施了一定的内部控制手段，主要包括以下四个方面。

第一，大型国有企业在集团本部层面参照《企业内部控制基本规范》和《企业内部控制应用指引》等，一般情况下均建立了公司内部控制制度或手册，并要求下属公司比照制定下属公司内部控制制度并执行。

第二，对下属公司的重要岗位，委派集团本部工作人员任职。如委派财务管理人员到下属公司负责资金、预算、财务报告等业务；委派人事管理人员到下属公司负责组织架构、考核业务等。

第三，通过案例分享、定期会议等手段，组织下属公司学习内部控制制度，树立风险意识，传达有关文件精神，以帮助下属公司经营层更好地理解和实施内部控制。

第四，部分企业通过事前报批、档案留档等方式，将上级企业的审批嵌入下属公司的业务流程，强化集团本部对下属公司重要业务、重要流程的监督管控，并对重要文件在集团本部留档管理。

总体而言，国有企业均对内部控制的重要性和必要性有所认识，大型国有企业初步建成包含下属公司的内控体系，并根据监管要求和经营需要逐步完善。但由于经营机制体制、各级权力制约、参与人员素质、业务复杂程度等因素的影响，国有企业下属公司内控体系建设仍存在一定的不足。

首先，对下属公司内部控制的管理流于形式。由于内部控制的专业性和体系性，下属公司通常不具备单独制定内部控制制度的能力，而是通过参照集团本部相关制度制定和执行。由于不是基于下属公司经营情况制定内部控制制度，在实际经营过程中会发生内部控制脱节的现象，使内部控制流于形式。

其次，对下属公司内部控制的权限边界有待明晰。由于传统国有企业经营体制影响，国有资本所有权和经营权的边界长期处于不明晰的状态，对企业经营事项往往采取行政化管理手段，从而发生监管越位、缺位、错位的现象。在此情况下，下属公司经营层既有逃避监管、激进运作业务的风险，也有担心问责、错失发展机遇的风险。

再次，对下属公司内控体系的评价机制不够完善。许多国有企业对下属公司的监督与考核都集中在经营业绩方面，缺乏对下属公司内控体系本身的关注。缺乏对内控制度的监督和评价机制，会忽视企业经营管理的重要基础，影响经营业绩评价的可靠性。同时，在发现问题的时候，由于内控体系的缺陷，影响问题处理和责任追究。

最后，不恰当的内部控制影响经营效率。为了强化监督管理力度，部分企业通过事前报批、档案留档等方式，将上级企业的审批嵌入下属公司的业务流程。信息的层层传递和审批涉及多个部门和人员，而国有企业的规范性要求往往需要传递纸质文件并加盖正式印鉴，这对下属公司的经营效率有一定的影响。

以上不足很大程度是由于国有企业下属公司内控体系建设的临时性和片面性所导致的。进行完全的风险识别和分析，建立全过程内控体系，可以有效克服上述不足，防范企业经营风险，实现企业内部监督及时有效的目标。

三、建设国有企业下属公司全过程内控体系

国有企业下属公司全过程内控体系的建设包括事前防范、事中控制、事后监督三个部分。

(一)事前防范

事前防范是对未来风险点的识别与防范，具有防患于未然的作用。国有企业下属公司全过程内控体系的事前防范应当包含风险分析、制度制定、权责清单制定等工作，并需要根据企业实际经营情况进行动态的更新与调整。

1.风险分析

内部控制的重要目的是对企业经营风险的管理和控制，而这正是当前内控体系所缺乏的。当前大多数下属公司都是参照集团本部相关制度制定和执行，而由于业务、区域、政策等差异性，很可能使得这样制定形成的内部控制制度与下属公司的实际经营情况不匹配，从而影响其适用性。而当下属公司多次发现内部控制制度的不适用后，会对内部控制产生怠惰情绪，认为其对公司运转仅起到负面作用，从而停止执行内部控制制度。因此，定期对风险识别和分析是必不可少的。在风险分析的过程中，既要有广度，也要有深度。需要对下属公司各项经营流程实施风险分析，以保证风险管理的全面性。但是，风险分析不能停留在风险存不存在的层面上，还需要进一步分析风险发生的概率以及风险发生后可能造成的损失大小。在综合分析风险存在与否、发生概率、预期损失的基础上，方才可以为下属公司“量身定做” 其所需要的内部控制制度。

2.制度制定

必要的制度是管理的基础，只有制定了适当的制度，管理才能摆脱“人治” ，对有关人员形成正确的引导和约束。制度制定要在风险分析的基础上进行。风险分析后，可以对企业的风险进行分类，对发生概率低且影响较小的风险制定相对宽松的制度，对发生概率高或发生后影响较大的风险制定相对谨慎的制度。同时，在制定制度时，尽量对影响较大的风险制定必要的应对议案，以备不时之需。制度制定除了要以风险分析结论为基础外，还要适当借鉴外部先进内控经验，对先进的内控方式方法要及时了解学习，将内部总结与外部经验有机结合，但不能一味做加法，对不必要的、冗余的流程和方法则要适当放弃，以免影响企业经营效率。此外，下属公司充分参与制度制定是非常必要的，否则极有可能形成一套流于形式、无法应用的内部控制制度和体系。

3.权责清单制定

权责清单是国有企业授权经营的重要方式，也是明晰国有资本所有权和经营权的边界、减少行政化干预的有效手段，可以有效减少监管越位、缺位、错位的现象。同时，权责清单还需要将权力和责任压实到各个岗位、各个责任人。在制定权责清单时，要注意权责清单的合规性、准确性和完整性。合规性是指权责清单须符合法律法规以及规章制度的要求，科学界定各个岗位、各个责任人所负责的事项和注意要点，对于可以放松的事项不多加干预，对需要严控的事项必须符合监管要求；准确性是指正确安排权力与责任，避免权责不对等情况的发生。应当认识到当权力大于责任时，相关责任人可能会过于激进；而当权力小于责任时，相关责任人可能会过于保守。同时，权责划分应当分明清晰，避免重叠。完整性是指流程各节点均有所安排，避免无责任人的情况发生。为实现完整性的目标，在权责清单制定过程中，最好能实施穿行测试，即模拟业务流程的实际运行，在此过程中，做好各环节的交接，避免遗漏。

(二)事中控制

在做好充分事前防范的前提下，事中控制往往只需要严格执行既定规则，下属公司便可正常运转。在此阶段，需要做好信息化保障和重点管控两方面工作。

1.信息化保障

国有企业由于体制原因，信息化程度相对同等规模的民营企业多处于落后的状态。为了提高下属公司经营效率、改进管理水平，有必要利用先进技术，加强信息化保障。而在加强信息化建设的过程中，要将内控体系有机嵌入其中，实现内控体系与财务管理、人事管理、资产管理等方面的协同。信息化对内部控制的好处显而易见。首先，信息化可以对权限管控更加及时有效，对于超出授权、流程不当、资料不全等简单比对问题，可通过参数直接控制，减少这方面监管的人力和财力。其次，信息化可以使管理更加灵活，原来纸质传递的不便可以得以克服，使业务流转、审批更方便及时，加快业务事项的办理。最后，信息化可以实现留痕管理，并且相对于线下管理，更加节约场地和材料，方便保存和检查。但信息化保障应考虑成本和效益，不应过度追求大而全，从而造成过度建设和浪费。

2.重点监控

日常管理需要体现“抓大放小” 的原则，合理安排监管资源，对关键点实施重点监控。重点监控要包括重点领域和重要岗位两个方面。对于关键的、重要的下属公司业务领域不能管控过于宽松，需要通过治理安排充分传达上级企业和集团本部的意见，在发生重大经营事项时，需要开展专项风险评估，进一步查漏补缺，确保不发生重大风险。而对于重点岗位，上级企业或集团总部应积极参与实际经营业务。对于下属公司重要业务的了解不仅仅有助于管理该下属公司，也是为了在下属公司相关业务发展壮大后规模的迅速扩张提前进行知识与人才储备。此外，对重要岗位要关注权力制衡，确保符合不相容职务分离这一内控重要要求，合理安排不同岗位、不同人员间的衔接、制衡关系，以保证内控体系的有效运行。

(三)事后监督

事后监督是除事前防范外与传统内控体系另一个不同点。传统内控体系往往存在重事前审批、轻事后监督的缺陷，而在事后及时实施监督管理，可以减少损失和总结经验教训。事后监督需要做到监督队伍建设、充分运用结果、内控体系更新等方面。

1.监督队伍建设

专业的监督队伍才能开展有效的事后监督。监督队伍的建设难点主要来源于对下属公司业务的不熟悉和不了解。而通过下属公司内部控制自评可以较好地解决这一问题。集团本部或上级企业可以定期要求下属公司报告内部控制运行情况，对于情况做出合理的说明和解释，形成正式报告文件，以供集团本部或上级企业分析研究，并在必要时要求下属公司进一步解释和说明。同时发挥与下属公司对接联络人员的作用，以形成更科学、客观、可行的监督手段和方式，避免形成类似于“数字游戏”的形式性监督。除了内部学习以外，也要注重监督队伍的外部交流和学习，相互借鉴成功经验，总结失败教训，进一步提升监督队伍素质。此外，对于监督队伍的权力和责任也要加以明确，提高各部门、各业务条线的配合程度，从而提高监督的效率和准确性。

2.充分运用结果

组建好专业的监督队伍后，将有助于监督评价报告的形成，但如果不将其结论充分运用，将形成另一种“流于形式” ，而这也将打击监督队伍的工作积极性，使其质疑工作的重要性和有效性，最终影响监督队伍的工作成果。对监督评价报告结果的运用，应做到奖惩分明，有据可依。这又与事前防范中的制度建设所关联，在事前防范的制度建设中应体现事后监督，并做出相应的制度安排。在制度安排的基础上，依据监督评价报告的结果严格执行。对于需要整改的方面，要及时完成改正，因此对相关责任人、整改事项、预期效果要有明确的规定，落实整改措施和管理责任，避免“罚酒三杯”类型的处罚出现，影响监督和考核的威信，从而帮助下属公司及时回到正常运转的轨道。

3.内控体系更新

内部控制是一个不断发展的管控领域，因此企业的内控体系应及时调整和更新，以保证和企业战略目标、经营状况、外部环境的适配。从前文可知，当前内控体系的不足之处在于对下属公司内控体系的评价机制不够完善。对下属公司的监督与考核，不仅要从经营业绩和经营状况方面实施，对于内部控制这一体系，也要予以关注和评估。例如，企业的部门和岗位设置变动可能影响相关权力和责任的分配；相关业务模式变化可能影响业务流程运转乃至业务的正常开展；业务重要性和经济性可能与管控力度不再匹配，部分普通风险随着业务重要性和经济性的变动可能变为重大风险，诸如此类。根据以上事项及时对内控体系调整和更新，才能使内控体系保持有效。而调整和更新也与事前防范的制度制定有所关联。