论中外合资能源企业的内控体系建设
——以R 合资公司为例

刘斯玮 福建联合石油化工有限公司

十九大以来，为贯彻落实党中央关于提高防控能力，着力防范化解重大风险，保持经济持续健康发展的要求，国家重点支柱产业逐步加大对风险管理及内部控制体系的建设力度。能源行业作为能源稳定供应的主要力量之一，其内部控制体系的完善和有效性关系到经济健康发展全局。R 公司作为成立较早的中外合资能源企业，内部控制体系建设借鉴了美资股东方的管理经验，并结合内部控制监管要求、自身特点、实际需要等，逐步形成了独具特色的内部控制体系。

一、内控相关理论

控制，英文是“control”，只有当某些事情存在风险时才需要控制。如十字路口的交通灯，没有交通灯的控制，不同方向来车就可能发生碰撞，碰撞是风险，为控制风险，则需要交通灯。所以控制和风险是密切相关的。

内部控制（简称“内控”）是指一个企业为了实现其控制目标，确保经营合法合规，保护资产安全，保证会计资料准确可靠，保证经营活动的效率和效果，而在企业内部采取的指导、约束、管理及检查经济活动而设计的系统和程序。内部控制帮助企业管理风险，创造和维护企业价值。内部控制体系是为满足运营、报告、合规目标，实现一个良好的、可持续性的控制环境而建立的结构化的管理体系。

比较成熟的内控理论有美国的COSO 内部控制框架，其在1992 年问世，并在2013 年修订。其为企业风险管理、内部控制、舞弊防范提供指导，多年来被诸多公司接受并使用[1]。我国的《企业内部控制基本规范》于2009 年7 月实施，为上市公司内控提供指导。鉴于R 公司的内控体系建设主要借鉴美资股东方的管理经验，因此，COSO内控框架是更为贴近的理论基础。COSO 内控框架定义了内部控制的五个要素，分别是：

1.控制环境。其是企业实施有效内部控制活动的基础，包括企业诚信和道德价值观，董事会监督机制，人才机制、治理架构及权责分配。控制环境对内控的整体实施产生全面影响。

2.风险评估。其是企业管理各种风险的决策基础。应当设定清晰的风险管理目标，并能识别和分析影响目标实现的相关风险（包括舞弊风险），确定合理的风险应对策略。

3.控制活动。其是内部控制的核心，是指企业采取的降低风险，保证实现目标的各项控制措施。

4.信息与沟通。其是促进内控其他要素有效运行的有力支撑，要求企业获取、产生和运用高质量的信息，并在内部、外部进行有效沟通。

5.监督活动。其是内部控制的关键环节，是企业为确认内控建立和有效实施进行的持续或专项评估，发现内部控制缺陷，及时沟通和推动改进。

二、R 公司的内控体系分析

（一）R 公司的合资背景

R 公司为一家大型中外合资的能源企业，中资股东为国内炼化企业，外资股东包括美国的上市公司P公司及中东的S 公司，均实力雄厚。美资股东方P 公司是一家拥有百年历史的老牌能源公司，经过多年的经验积累，各方面管理都拥有比较成熟的经验。S 公司拥有丰富原料资源，是R 公司的重要资源保障。R公司注重借鉴引入股东方的先进管理经验，不断提升内部管理水平，塑造具有合资公司特色的管理模式。R 公司成立伊始，股东方一致同意R 公司内控管理理念主要借鉴P 公司。

（二）R 公司的内控体系特色

作为中外合资公司，R 公司的最高管理机构是董事会，董事会对公司整体的内控有效性负责。董事会下设审计委员会，负责向董事会报告公司的内控体系有效性并监督内外部审计的工作。管理层由总裁班子、各职能部门总经理组成，负责公司日常运营中监控有效性。公司设立内控组，负责组织、协调内控体系的建立和日常工作。审计委员会下设审计办公室（即内审部门），日常直接对审计委员会负责和汇报，而不向公司管理层直接汇报业务情况。

R 公司的内部控制体系是以董事会批准的《内控框架》为指导，建立了一套结构化的工具与方法，由7 个要素组成，分别是：要素1 管理层的领导力、要素2 风险评估、要素3 业务流程管理、要素4 人员及培训、要素5 变更管理，要素6 控制缺陷的管理及要素7 体系评估。

1.《内控框架》奠定内控基础要求

《内控框架》规定了公司日常经营管理中所要遵循的控制原则，包括授权管理、权责分离、风险匹配、监督及审计原则等，每项原则都从不同的角度规范了内部控制要求。如授权管理，建立了一套完整的权限指引，规范了投资、采购、销售、财务、资金等关键业务执行上的审批权限。监督和审计规范了审计的独立性。除内审由审计办公室执行外，外部审计定期通过招标确定由权威的会计师事务所执行，并直接向审计委员会/董事会汇报。此外，还有股东方联合审计、“冷眼”审查等监督方式，多方面、多角度审视R 公司的运营治理情况。

《内控框架》规定了公司的核心政策。首要政策是道德政策，将诚信摆在第一位，无论是股东、员工、还是业务伙伴，都一视同仁，从价值观的层面体现了对诚信的重视。其他重要政策还包括如资产政策，对影响财务数据准确性的方面进行规范；开放式交流和沟通政策，建立企业内部沟通渠道，设定了“沟通基调”，避免因信息沟通不畅导致的问题发生。基于核心政策，公司每年对包括管理层在内的全体员工进行业务守则复训，贯彻自上而下的内控管理基调。

2.内控体系7 个要素有机结合，助力内控有效性

R 公司内控体系的7 个要素是有内在联系的，如图1 所示：

图1 内控体系7 要素的内在联系

要素1 管理层的领导力是最重要的要素，是关系到内控要求能否贯彻执行，其他要素能否发挥作用的重要推动力。管理层要以身作则，确定内控目标，提供所需资源，建立健全的、与风险匹配的内控环境，推动内控系统有效执行。要素1 提供了进一步的内控治理架构，包括内控委员会、内控办公室、内控代表等阶梯管理层级，推动内部控制体系运行落地。内控计划概况了公司年度的重要内控事项并成为年度内控工作的指引。年度声明工作要求员工、业务部门、财务总监、公司总裁在年末提交有关内部监控、业务守则、资产保护等方面的书面声明，公司级声明需提交董事会。

要素2、要素3 和要素5 相互联系、有机结合。内控的出发点是风险，评估的主体是公司经营管理中的重要业务流程。所以，对于业务流程管理，首先是按要素2 风险评估提供的统一的标准和工具进行风险评估。风险评估采用问卷调查表打分的形式，从重要性、财务影响、复杂性、外部/内部影响等方面评估，根据分值结果，将业务流程按风险等级划分高、中、低三个层级。通过上述做法确保了风险评估的一致性和综合性，也借助风险评估识别内控关注点。其次根据要素3 业务流程管理的要求，以风险评估结果为基础，确认业务流程的内控关键点，制定适当的控制步骤及检查程序，定期开展自评检查并改进。作为大型能源合资企业，R 公司经营管理的各项业务流程比较完整，从成本效益原则考虑，重点关注高风险业务，执行全流程管理，比如生产到销售收款流程、采购至付款流程等。针对高风险流程梳理的关键点、控制步骤和检查程序的载体称为“检查清单”。定期按照检查清单进行自我评估，在流程发生重大变更时要及时更新检查清单，但在更新检查清单前，针对重大变更，需要执行要素5。要素5 变更管理提供了一个变更管理计划工具，界定了何时用，怎么用。变更管理计划需结合风险评估进行，对变更内容涉及的流程再评估，针对变化的部分制定应对步骤，更新检查清单。所以，要素2、3 和5 既各自独立，又有机结合，是内控管理体系的重要部分[2]。

要素4 人员及培训着重规定内控关键岗位、界定对不同人员的内控意识和能力要求，及对应的培训安排等。要素6 控制缺陷的管理负责管理通过各项审计、自查、检查等发现的控制缺陷，包括报告、分析、整改跟进及经验教训分享等。R 公司建立控制缺陷数据库，跟进上述所有确认的控制缺陷，设置流程进行跟进、偏差管理、关闭审批等，确保有效关闭缺陷。要素7 体系评估建立了一个系统化的方法去评估内控的有效性。评估包括对内控体系自身的评估，对检查清单的自我评估以及各类审计。

要素1～6 为要素7 提供信息输入，作为内控体系的评估基础，要素7 以评估结果反馈至要素1～6，以推进内控体系的优化提升，这便是R 公司7 个要素的内部提升运行逻辑。

三、R 公司内控体系的不足及优化建议

（一）R 公司内控体系的不足

R 公司的内控体系独具特色，设置全面，内涵丰富，确实为其经营管理提供了强有力的支撑。但其设计理念源于国外，引入国内企业环境也存在一定程度的“水土不服”，无论是设计角度还是运行角度，都存在可优化提升的方面。

1.控制环境。R 公司中外合资的背景，要求核心管理层由三方股东委派，每三年换届时更换，管理人员因文化、管理理念的不同带来内控管理理念的不一致，导致各业务部门在体系认识和执行上存在差异。换届变更后差异更加明显。同样的差异也存在于人力资源关于薪酬、绩效和人员发展等方面。授权管理在个别方面约束强、流程长，限制了业务对市场应对的灵活性。

2.风险评估。目前的风险评估主要针对内部业务流程相关风险，对外部风险的评估较少。目前采用的评估方式比较单一，问卷评估问题都是较为通用的问题，并不能针对不同流程的特性提出相应的问题。评估方式可能更多依赖评分人员的经验和主观感受，评估结果受评估人员个人能力的影响大。

3.控制活动。控制活动通过各种管理制度、程序进行规范，辅之以检查清单进行评价和改进。随着年份的积累、改进的要求、监管的日趋严格，执行的管理制度、程序数量庞大，结构和层次不够清晰，导致执行上很难面面俱到，重复性问题时有发生。不同业务部门对检查清单的内控要求认知不均衡，进而影响清单编制/更新质量，最终影响执行效果，存在检查清单流于形式，执行过程敷衍了事的可能性。

4.信息与沟通。内控体系管理的信息主要为线下信息、分散且存档不统一、不完善，查询不够便捷。内控沟通更多是面向管理层级的向上沟通，向下沟通少，范围更多限制在工作相关人员，导致普通员工内控意识不足，对自身的内控职责认识不清，影响体系运行效率和效果。内控方面的培训停留在通用知识，对不同岗位的有针对性的培训较少。

5.监督活动。各种评估、检查较多、较频繁，可能存在交叉、重叠，造成潜在的资源浪费或短期内同一类问题反复被提出。审计等是监督活动的主体，主要关注发现问题，但问题的整改主体是公司各业务部门，问题整改会因成本、能力、理解、时间紧迫程度等不同而质量不均，对整改质量要求较少。

（二）对R 公司内控体系的优化建议

1.管理人员的稳定对内控体系执行和提升有实质性的促进作用。如果更换是必然，至少确保岗位交接时着重对内控职责和执行理念的连贯性进行强调。对于授权管理存在的个别问题，要做好数据和影响分析，提供坚实、合理的分析基础后，按照报告审批流程提请董事会修改批准并建立常态化的回顾流程及对内沟通。

2.借鉴COSO 风险管理框架等理论完善风险评估和管理要素内容，强化风险识别与分析，将外部风险也纳入评估范围。要强化管理层对风险识别的参与度。评估维度可以从定性和定量两个方面进行补充。必要时，可以整合专业人员，组成风险分析团队，进行专业化的评估与分析，并完善风险应对策略[3]。

3.对管理制度、程序定期进行全面梳理，按照重要性划分为公司级、部门级、解读/澄清类。不适用的程序及时进行取消，对同类别进行整合。针对必须执行的合规性制度，梳理要点，通过小册子、提醒函等小而精的渠道进行持续宣贯，加强执行。检查清单作为内控手段，必须建立自上而下的管理认知，日常定期检查，并把日常执行情况纳入年底绩效考核范围，以提升约束性。

4.梳理内控管理信息，进行分类、分级管理。适时引入信息管理系统，提升信息管理、传递的效率和效果。内控培训根据不同群体，制定对应的培训清单，规范重点和频率。在岗位说明书中针对具体岗位内容完善内控职责，并在工作交接中进行约定。借助不同的会议渠道加强对员工内控业务的关注。重要内控事务，可以群策群力。

5.对内部可控的监督活动进行梳理整合，并对执行频率提出合理化建议。针对发现的缺陷，通过“回头看”、定期回顾、交叉验证等方式重视整改质量，对频发的重复性问题纳入年底绩效考核范围，提升重视程度。

四、结语

内部控制体系能帮助企业实现目标，创造、增加并维护股东权益，是覆盖企业经营全过程的管理。内部控制理念虽然源于国外，但近年国内不断深化内部控制管理向更全面、深入、细致化的方向发展，强调了内部控制体系对企业、特别是国企、上市公司等的强基固本作用。R 公司的内控体系源于国外管理经验，但经历多年的磨合，结合实际，不断适应、调整和改进，形成了适应国内国外要求的内控体系，并强调持续改进。没有哪一个体系是完美无缺的，认清自身的不足，并秉承开放包容，不断学习、改进、提升的管理态度，提升企业整体的管理水平，有助于企业更好地应对外部复杂多变的环境。