李月娇
摘 要:国资委101号文中要求,央企集团的内控监督评价工作需三年覆盖全部职能部门及分子公司,需要采取各级单位自评的形式满足此覆盖度要求,同时为了满足新阶段的内控管理工作充分嵌入业务流程前端的要求,需要建立业务部门内控管理自我造血机制,笔者基于此背景,结合所处企业实际内控管理情况,开发并应用了一套内控标准化评价工具,满足了相应法规和行业发展要求。
关键词:内控标准化工具;内控要求前置与嵌入;内控自评
《关于加强中央企业内部控制体系建设与监督工作的意见》文件于2019年底由国资委发布,在健全内控体系建设、强化内控执行、加强信息化管控、加大内控监督评价力度、全面提升内控体系有效性五个方向共十六个方面对中央企业的内部控制工作提出了新的要求。比如对于具体业务的流程管理制度,在其制定、审定的时候,就嵌入内控管理的要素要求;如要求企业每年实施内控全面自我评价,以业务流程的规范设计及有效运行为重点,对内控建设及管理体系的有效性进行客观的评价,准确揭示企业经营过程中存在的内控缺陷,形成自评报告。这对大型集团性央企的内控工作提出了新的要求和挑战,如何利用有限的内控管理资源开展流程建设和内控自评,满足内控要求前置性和覆盖度的要求,是亟需解决的课题。本文基于笔者所处的大型制造业央企集团的业务环境,对于内控管理现状进行了梳理分析,对内控标准化工具的开发和应用进行了详细阐述。
一、流程建设与内控管理现状
自五部委于2008年颁布的《企业内部控制基本规范》及配套指引生效执行以来,内控体系建设及评价工作在以上市公司、央企、大型民企为首的各大中型企业逐步发展,方兴未艾。有内控规范及指引做基础,内控工作开展的形式多种多样,本质却无外乎通过对已处于运行中、成熟状态下的业务流程的设计及运行情况进行审核,发现业务流程内控缺陷,继而优化和改善流程。此种方式下的内控工作发展到现在,也逐步显现了一些管理现状上的问题:
1.内控管理部门与业务部门脱节,内控矩阵与业务实际开展存在“两层皮”的情况
实务中,企业的内控管理部门往往单独设立在分管内控工作的管理部门,独立于企业一线业务部门,通常由内控管理部门通过业务调研的方式建立起企业一线业务的内控矩阵,其中明确了各业务流程中的关键控制环节及控制活动描述,再基于此内控矩阵由内控管理部门主导开展年度或专项的内部控制评价工作。这种方式的问题在于,如果企业的内控管理IT系统化程度较低、内控信息化和数字化规划较落后,需要采用手动更新的方式,对内控风险矩阵进行更新,不仅需要耗费大量的人力和时间,也难以做到内控矩阵的实时更新,实际情况是能做到每年一次的更新就已经是很好的情况了,因此内控矩阵的更新频率往往远低于实际业务模式的变化频率,這就导致内控管理部门开展内控评价工作的依据-内控矩阵是脱离了企业实际的业务情况的,以此为依据开展的内控评价的评价结果很难说是可靠的、客观的、科学的,与实际业务开展存在“两层皮”,难以对实际业务流程的内控有效性情况给出准确客观的评价。
2.内控管理仍属于事后监督模式,存在滞后性
即便是对于内控管理信息化程度较高的企业,信息手段的辅助可以满足适应一线业务迭代快的情况,使得内控矩阵可以做到与实际业务开展情况同步更新,通常的做法是,第一步将内控风险矩阵初始化在信息系统中,根据系统内的逻辑设定定期或不定期推送需要一线部门进行矩阵更新的任务,由业务部门根据实际情况更新相关业务流程的流程描述,识别流程关键控制点,判定业务风险;第二步,内控管理部门从部门维度、风险维度、时间维度等,定期或动态向业务部门推送基于关键控制活动的内控自评价任务,或发起专项内控评价工作任务,实时内控测试,识别流程中的内控缺陷,再针对发现的缺陷制定整改措施。但本质上这种做法仍然是对业务开展情况的事后监督,没有实现将内控要求前置到业务模式更新发布和实际开始执行之前。
3.内控管理的要求没有形成一套明确、清晰的标准
《企业内部控制基本规范》及其配套指引中明确,内控控制的实施与建立,需要遵循以下几项基本原则:全面性、适应性、制衡性、重要性和成本效益原则。内控管理相关要求需要贯穿业务过程、覆盖全范围,同时关注重点业务和高风险领域,在机构设置、权责分配等方面相互制约,随企业环境变化加以调整,控制成本适中。但在实务中,对于某一具体的业务开展内控评价时,仅上述这些原则难以明确对于具体到某一关键控制活动设计及执行的要求,每个企业对于规范明确的内控原则均有自己的解读,因此也就未形成明确、清晰的标准化要求。
二、国家法规、国资委文件要求
1.《关于加强中央企业内部控制体系建设与监督工作的实施意见》即第101号文件于2019.10由国资委印发,文件中明确提出了中央企业及其所属公司需将内控体系、风险管理和合规管理要求嵌入业务流程。其中相关条款的描述和要求,(1) 建立健全内控体系,进一步提升管控效能:①优化内控体系中的关键要点包括:a.建立健全以合规管理为重点、风险管理为导向的内控体系;b.将风险管理和合规管理要求嵌入业务流;c.实现强内控、防风险,促合规的管控目标。②强化集团管控中的关键要点包括:a.央企主要领导人员是内控体系监管工作第一责任人,负有领导责任;b.央企应明确专职部门统筹内控体系,负有工作责任;c.落实各业务部门内控体系有效运行责任,即负有运行责任;d.内部审计部门要加强内控体系监督检查工作,准确揭示风控体系建设及管理过程中的问题,即负有监督责任。③完善管理制度中的关键要点包括:a.全面梳理内控、风险和合规管理相关制度;b.及时将法律法规等外部监管要求转化为企业内部规章制度,强调全面性;c.在企业实际业务流程制度的制定过程中嵌入统一的内控管理要素的要求,确定高风险业务领域、流程关键环点的控制活动要求和风险应对措施,此处强调的是针对具体的业务制度;d.将违规投资经营责任追究内容纳入企业管理制度。④健全监督评价体系中的关键要点包括:a.统筹管理风险、合规和内控的监督评价工作,将合规、风险管理制度纳入内控体系监督评价;b.制定定性与定量结合的内控缺陷认定标准、风险评估标准和合规评价标准。(2)强化内控体系执行,提高重大风险防控能力:①加强重点领域日常管控中的关键要点包括:a.聚焦关键高风险业务、重点领域、国有资产管理重要环节,认真识别流程缺陷,及时研判并制定整改措施;b.在投资并购、改革改制重组等重大经营事项决策前开展专项风险评估,编制风险评估报告(含风险应对措施和处置预案)。②加强重要岗位授权管理和权力制衡中的关键要点包括:重要领域的关键人员在职责权限和审批程序,实现不相容岗位分离。③健全重大风险防控机制中的关键要点包括:a.积极采取措施强化企业防范化解重大风险全过程管控;b.加强经济运行动态、大宗商品价格以及资本市场指标变化检测,提高对经营环境变化、发展趋势的预判能力;c.结合内控体系监督评价工作中发现的经营管理缺陷和问题,综合评估企业内外部风险水平,有针对性地制定风险应对方案。
2.《关于做好2020年中央企业内部控制体系建设与监督》的工作通知即44号文于2019年底由国资委发布,是对101号文共组要求的具体落实文件。通知明确了内控建设与监督的方向,从内控管理、风险管理和合规管理的整合角度,提出内控组织机构、制度体系、重大风险监控、信息化管控、监督检查等维度的工作要求。文件的关键点在于(1) 加强组织领导,建立健全内控工作体系,建立健全企业内控体系是中央企业管理提升的重要基础,是促进中央企业守住不发生系统性风险底线、加快实现高质量发展的有力举措,对增强国有经济竞争力、创新力、控制力、影响力、抗风险能力具有十分重要的意义。各中央企业要高度重视内控体系建设与监督工作,加强组织领导,落实企业主要领导人员内控体系监管工作第一责任人职责,尽快明确专门职能部门或机构,配备必要专门人员,建立使全上下贯通、全面覆盖的内控工作体系,形成领导有力、职责明确、流程清晰、规范有序的工作机制。(2) 完善制度体系,促进内控体系规范有效运行,各央企要以“强内控、防风险、促合规”为目标,进一步全面梳理并整合风险、合规及内控的相关外部要求,形成并完善内控缺陷认定标准、风险评估管理标准和合规评价管理标准,构建协同融合、相互补充的风控合规监督管理体系。聚焦高风险业务、重点领域、国有资产管理运营的重要环节,全面梳理企业内控管理制度,识别流程缺陷,对未体现国家监管规定,缺乏内控要素管控及风险应对措施,如:不符合授权审批控制、不相容职务相分离等要求,内控体系监督评价体系建设、制度规定设立不健全等情形,要尽快整改完善。
以上内容均要求企业需要通过将外部法规内化、内控管理要素及要求融合嵌入等措施,进一步完善企业流程管理制度。具体来说就是企业需要全面梳理并整合风险、合规及内控的相关外部要求,转化为企业自己内部制度;在日常业务流程制度的制定过程中嵌入统一的内控管理要素及要求,确定重点领域、关键点的控制要求及风险应对措施。
国资委连续发文,充分表明三个事实,一是监管机构意识到了融合的迫切性、重要性;二是中央企业的内部控制体系不只是企业是否想完善的事情,已上升到必须实施的局面,还要进一步落实责任追究,与薪酬绩效和干部管理挂钩,力度非常强;三是现阶段高质量发展的大背景下,中央企业需要在快速发展的同时,“强内控、防风险、促合规”,为国家高质量发展保驾护航,完成历史使命。
三、内控标准化工具开发过程及产出
基于上述对内控管理现状的分析,笔者结合所处企业内控管理工作的实际情况和业务特点,开发了内控标准化工具用以在流程文件发布之前进行前置审核,以及用于业务部门内部控制自我评价工作,统一了流程审核与评价标准,同时具备可操作性,初步实现了为业务赋能的目标。
1.《企业内部控制基本规范》及配套指引的相关要求
根据《企业内部控制基本规范》,企业应建立与实施业务流程中的内部控制,以提高经营效率和效果。在流程建设与自我评价过程中,应遵循以下基本原则:
为了对业务部门在进行流程建设及自我评价时更具指导性,我们将以上基本原则进行了分析和转化。使业务部门可以从原则性要求、关键控制点完整性/有效性要求以及是否存在“过度控制”三个方面加以运用。
2.内控标准化工具框架
该工具针对业务流程的设计评价,包含三部分内容,即流程整体的内控要求、流程中环节/关键控制点的内控要求、流程适度控制的要求,其中具体的细分原则见“表2.内控标准化工具框架”。
下面对于细分原则的含义进行详细阐述:
(1) 目标实现原则:①避免流程描述颗粒度过粗,具有业务操作指导性;②流程描述业务范围小于或偏离目标业务范围。
(2) 职责一致/权责清晰原则:流程中部门职责部分需与21号文一致,有清晰的职责分工,流程中体现的均是最新的组织机构。
(3) 相关流程一致/合规性原则:业务涉及的相关流程间不应存在冲突,业务流程应符合相关外部法律法规的要求。
(4) 适应性原则:流程需与公司内外部环境相适应,并根据内外部环境的变化情况及时加以调整。
(5) 内控流程或流程关键控制环节的存在性/有效性原则:①流程不缺失;②关键控制环节不缺失;③关键控制活动有效设定。
(6) 透明原则:流程涉及的具体规则或标准应随流程主文件公开。
(7) 存档原则:①流程描述是否明确各环节形成的过程文件名称、形式、传递过程;②流程中提及的过程文件是否均体现存档要求及合理的存档期间。
(8) 监督原则:涉及人、财、物、核心技术、商业机密的流程应建立定期的监督机制。
(9) 涉密信息保护:流程若涉及向相关方提供信息,应设置科学的保密要求。
(10)不相容职务相分离原则/多眼原则:授权与执行、审核与执行、执行与记录分离。
(11)授权审批控制原则:①需授权的业务设定了有效的授权控制;②设定了审批控制;③审批层级设定合理;④审批时限要求明确。
(12)集体审议与决策控制原则:三重一大及其他重要事项,可能影响公司及部门战略目标达成的重要事项。
(13)信息技术控制原则:业务开展应尽量系统化,关注数据灾备、系统权限、系统环境及信息安全管理。
(14)预算控制原则:业务活动纳入预算管理、编制过程有依据、结果有复核机制、执行偏差率有控制机制、执行结果有考核机制。
(15)财产保护原则:涉及资产的流程包含资产记录、保管、定期盘点、限制接近、科学投保、价值管理等内容。
(16)时限明确原则:流程中应设定关键业务操作的具体时限要求。
(17)效率性原则:控制范围、程度、频率、时限要求适当、不过度。
(18)经济性原则:控制成本低于损失成本。
3.内控标准化工具评分标准
按上述描述,内控标准化工具通過这三方面的评价,对特定业务流程给出相应的流程成熟度得分。下面对该工具的评分标准给予详细阐释。
为满足内控要求业务前置性要求,将三方面共十八项原则按性质划分为流程评分否决项、流程评分赋分项、流程评分参考项。不满足否决项的原则,则视为该流程不予通过,需业务部门重新制定并编制流程;参考项原则不对流程评分产生影响;流程环节在赋分项原则上,符合或不涉及为1分,不符合为0分,根据不同的标准划分为5个成熟度等级,见“表3.内控标准化工具评分标准”。
四、内控标准化工具的应用
五、结论
企业内控体系建设是一项长期的系统工程,其重要意义是保障企业生产经营活动的顺利开展、监控企业内部风险的发生、有助于企业战略实施。良好的企业内控体系能及时发现企业经营过程中的风险因素,帮助业务人员采取相应的措施去应对这些风险因素,可以帮助管理者客观地评估当前的经营状况,帮助管理者制定合适的经营战略和策略。企业内控体系可以增强财务报表内容的真实性和完整性,财务报表的使用对象不仅是股东和其他外部投资者,还包括企业内部的经营管理人员,准确真实的财务报表可以使管理者更好地了解企业的实际情况,从而在最初就做出更多相关的决策。
内控标准化工具的开发和应用,使得流程建设时就充分考虑了流程的关键控制点与关键内控要素的紧密结合,在设计之初便满足相关内控要求,也有助于推进“评建结合、重在建设、以评促建”的内控管理模式,提升企业各业务领域的内控管理水平,合理保证业务开展的效率和效果,促进企业实现发展战略,最终让内部控制真正发挥其作用。
参考文献:
[1]《关于印发<关于加强中央企业内部控制体系建设与监督工作的实施意见>的通知》(国资发监督规〔2019〕101号).
[2]《企业内部控制基本规范及其配套指引》[S].上海,立信会计出版社,2010.