來源:南京卓遠
作者:國資一部
引言
國企改革三年行動已圓滿完成收官,站在新起點上,新一輪以提升核心競爭力為根本目的的深化國企改革的提升行動已蓄勢待發(fā)。那么城市國企的改革又要從哪里再出發(fā)?通過觀察,我們發(fā)現(xiàn)城市國企的職能模塊的改革邏輯與框架體系已全面完成,但囿于歷史遺留問題、上位政策的支持力度、企業(yè)運行不同特征與屬性等,在實踐中,部分模塊的改革仍難以真正的起到激發(fā)企業(yè)活力的目的。尤其是組織管理、分層分類授權(quán)建設(shè)、內(nèi)控體系建設(shè)、薪酬績效管理等方面。為此,我們以問題為導向,特推出本期視界。
廣東、安徽、江西、遼寧、蘇州、沈陽多地均發(fā)布了內(nèi)部控制體系建設(shè)政策,在此背景下,城市國企也越來越將內(nèi)部控制作為強基固本的重要抓手。但部分地區(qū)對內(nèi)控邊界認知不清晰,導致真正的執(zhí)行落地水平大打折扣。另外,制度執(zhí)行力較低、監(jiān)督不力、缺少有效的反饋機制等問題也使得整合優(yōu)化內(nèi)部控制路徑迫在眉睫。那么內(nèi)控究竟是什么?其與風控、合規(guī)、管控的區(qū)別在何處?城市國企又該如何設(shè)計內(nèi)控優(yōu)化路徑?本文將從三個方面對此進行解答。
一、內(nèi)部控制內(nèi)涵
(一)內(nèi)部控制定義
1、COSO委員會對內(nèi)部控制的定義
1992年,COSO委員會(全美反舞弊性財務(wù)報告委員會發(fā)起的組織)發(fā)布了《內(nèi)部控制框架》,2013年,COSO委員會對1992年發(fā)布的《內(nèi)部控制框架》進行了修訂和完善,將內(nèi)部控制定義為:
內(nèi)部控制是一個受到董事會、經(jīng)理層和其他人員影響的過程,該過程的設(shè)計是為了提供實現(xiàn)以下三類目標的合理保證:經(jīng)營的效果和效率、財務(wù)報告的可靠性、法律法規(guī)的遵循性。
2、國家五部委對內(nèi)部控制的定義
2008年,中國財政部聯(lián)合國家五部委(財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會)在1992年版COSO委員會《內(nèi)部控制框架》的基礎(chǔ)上頒布了《企業(yè)內(nèi)部控制基本規(guī)范》,給出內(nèi)部控制定義為:
內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整,提高經(jīng)營效率和效果,促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。
3、國資委對內(nèi)部控制的定義
2019年,國資委出臺《關(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見》,提出內(nèi)部控制體系的概念:
以風險管理為導向、合規(guī)管理監(jiān)督為重點,嚴格、規(guī)范、全面、有效的內(nèi)控體系。進一步樹立和強化管理制度化、制度流程化、流程信息化的內(nèi)控理念,通過“強監(jiān)管、嚴問責”和加強信息化管理,嚴格落實各項規(guī)章制度,將風險管理和合規(guī)管理要求嵌入業(yè)務(wù)流程,促使企業(yè)依法合規(guī)開展各項經(jīng)營活動,實現(xiàn)“強內(nèi)控、防風險、促合規(guī)”的管控目標,形成全面、全員、全過程、全體系的風險防控機制,切實全面提升內(nèi)控體系有效性,加快實現(xiàn)高質(zhì)量發(fā)展。
(二)內(nèi)部控制邊界界定
1、內(nèi)部控制與風險管理的關(guān)系
風險管理指企業(yè)圍繞總體經(jīng)營目標,通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系 ,從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。
風險管理的范圍要比內(nèi)部控制大,內(nèi)部控制是風險管理工作的組成部分,風險管理包含內(nèi)部控制,但是風險管理不能代替內(nèi)部控制。風險管理識別企業(yè)整體的可控風險、不可控風險以及機會,內(nèi)部控制進行控制的則是可控風險。
2、內(nèi)部控制與合規(guī)管理的關(guān)系
合規(guī)管理是指企業(yè)通過制定合規(guī)政策,按照外部法規(guī)的要求統(tǒng)一制定并持續(xù)修改內(nèi)部規(guī)范,監(jiān)督內(nèi)部規(guī)范的執(zhí)行,以實現(xiàn)增強內(nèi)部控制,對違規(guī)行為進行監(jiān)測、識別、預警、防范、控制、化解合規(guī)風險的一整套管理活動和機制。
合規(guī)是內(nèi)部控制的目標之一,合規(guī)管理的本質(zhì)是合規(guī)風險管理,其仍然屬于風險管理的范疇,而對制度合規(guī)性的內(nèi)容又屬于內(nèi)部控制的范疇。比如一家建筑企業(yè)中的財務(wù)制度是基于會計法等相關(guān)法律制定的內(nèi)部規(guī)范,但是未涉及到關(guān)于食品安全的相關(guān)內(nèi)部規(guī)范,那么財務(wù)合規(guī)是內(nèi)部控制與合規(guī)管理所需要共同管理的領(lǐng)域,員工食堂出現(xiàn)了違反食品安全法的事件則屬于合規(guī)管理但不屬于內(nèi)控管理。
3、內(nèi)部控制與管理控制的關(guān)系
管理控制是指管理者通過影響組織中的其他成員達到實現(xiàn)組織戰(zhàn)略的過程。
管理控制是基于實現(xiàn)組織戰(zhàn)略的一系列過程,內(nèi)部控制是這一系列控制過程中的一個,管理控制包含內(nèi)部控制。比如某企業(yè)基于發(fā)展需要制定了戰(zhàn)略規(guī)劃,并通過一系列舉措督促規(guī)劃落地,這一系列舉措都是管理控制,但不一定是內(nèi)部控制。
圖1 內(nèi)部控制與管理控制、風險管理、合規(guī)管理關(guān)系示意圖
二、國資委內(nèi)控政策梳理
(一)政策梳理
基于城市國企內(nèi)部控制的研究主題,本文重點梳理國資委的內(nèi)部控制政策如下表3-1所示。國務(wù)院國資委在COSO內(nèi)部控制框架之外,于2019年提出內(nèi)部控制體系的新概念,強調(diào)內(nèi)部控制與風險管理、合規(guī)管理的協(xié)同性,提出內(nèi)控體系“強內(nèi)控、防風險、促合規(guī)的管控目標”,后續(xù)通過各年度內(nèi)部控制體系建設(shè)與監(jiān)督工作的政策文件監(jiān)督三位一體內(nèi)部控制體系的落地。
表1 國務(wù)院國資委內(nèi)控政策梳理
表2 各地方國資委內(nèi)控政策梳理(部分)
(二)梳理結(jié)論
各地方國資委的相關(guān)內(nèi)部控制體系的政策是依據(jù)國務(wù)院國資委的文件結(jié)合本級監(jiān)管范圍內(nèi)企業(yè)制定的,本質(zhì)上同國務(wù)院國資委的相關(guān)政策一致。而國務(wù)院國資委2019年101號文的“加強內(nèi)部控制體系建設(shè)”是在2012年68號文要求的“內(nèi)部控制體系建設(shè)”在2013年底實現(xiàn)全覆蓋的目標達成的基礎(chǔ)上提出的。101號文強調(diào)內(nèi)部控制與風險管理、合規(guī)管理的協(xié)同性,打開了內(nèi)部控制的思路,但并不是將內(nèi)部控制與風險管理、合規(guī)管理劃等號。
三、城市國企內(nèi)控體系建設(shè)的運作思路
(一)城市國企內(nèi)控體系的基礎(chǔ)
《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引給出了城市國企內(nèi)控體系建設(shè)的基本要求,《企業(yè)內(nèi)部控制基本規(guī)范》是內(nèi)控體系建設(shè)的底線和基本功,該體系建設(shè)重點涵蓋5要素:內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督五個要素。
圖2 內(nèi)部控制體系五要素示意圖
(1)內(nèi)部環(huán)境。內(nèi)部環(huán)境是五要素之首,是整個內(nèi)部控制體系的基礎(chǔ)和環(huán)境條件,一般包括組織結(jié)構(gòu)、企業(yè)文化、制度建設(shè)三個方面。
組織結(jié)構(gòu)上分為三類:第一類是風險管理部門和董事會下風險管理委員會等組織,該類組織對整體風險進行分類,篩選出屬于內(nèi)部控制體系范疇所管理的風險;第二類是相關(guān)職能部門和業(yè)務(wù)單位,該類組織是內(nèi)控體系中各類控制的直接參與組織;第三類是內(nèi)部審計部門和董事會下審計委員會等組織,該類組織以相對獨立的角度來發(fā)現(xiàn)建設(shè)內(nèi)控體系,并完善內(nèi)控體系。
企業(yè)文化是內(nèi)控體系中的人心保證,優(yōu)秀的企業(yè)文化能促進企業(yè)內(nèi)部控制能力的提高,良好的內(nèi)部控制制度可以反過來推動企業(yè)文化的傳承與發(fā)展。
制度建設(shè)是連接各組織結(jié)構(gòu)運轉(zhuǎn)的橋梁,通過制度建設(shè)可以將內(nèi)部控制的落實到各個部門及各個崗位。
(2)風險評估是實施內(nèi)部控制的重要環(huán)節(jié),是實施控制的對象內(nèi)容。包括風險識別、風險分析和風險應(yīng)對三個環(huán)節(jié)。
風險識別方面,企業(yè)應(yīng)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險。風險分析方面,采用定性與定量相結(jié)合的方法,按照風險發(fā)生的可能性及其影響程度等,對識別的風險進行分析和排序,確定關(guān)注重點和優(yōu)先控制的風險。風險應(yīng)對方面,應(yīng)根據(jù)風險分析結(jié)果,綜合運用風險規(guī)避、轉(zhuǎn)移、分擔、承受等措施。
(3)控制活動是實施內(nèi)部控制的具體方式方法和手段,是風險評估的具體應(yīng)對措施的落實。企業(yè)根據(jù)風險評估結(jié)果,采用相應(yīng)的控制措施,將風險控制在可承受度之內(nèi)??刂拼胧┮话惆ǎ翰幌嗳萋殑?wù)分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。
(4)信息與溝通是實施內(nèi)部控制的重要條件,貫穿于風險評估、控制活動和內(nèi)部監(jiān)督各要素之間。信息與溝通包括常規(guī)信息溝通和特殊信息溝通。
常規(guī)信息溝通是企業(yè)在日常管理中對信息進行分類,按照重要性等方式將信息傳遞給內(nèi)部各管理級次、責任單位、業(yè)務(wù)環(huán)節(jié)之間,以及企業(yè)與外部投資者、債權(quán)人、客戶、供應(yīng)商、中介機構(gòu)和監(jiān)管部門等有關(guān)方面之間。
特殊信息溝通指反舞弊機制及舉報投訴制度,這是常規(guī)信息溝通的重要補充,也是信息與溝通落實的保障。
(5)內(nèi)部監(jiān)督是實施內(nèi)部控制的重要保證,內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查,評價內(nèi)部控制的有效性,發(fā)現(xiàn)內(nèi)部控制缺陷,應(yīng)當及時加以改進。
內(nèi)控五要素下城市國企的特殊關(guān)注點
內(nèi)部環(huán)境方面:
(1)治理結(jié)構(gòu):國有獨資企業(yè)不設(shè)立股東(大)會,注重出資人的監(jiān)管;
(2)內(nèi)部控制負責主體:主要領(lǐng)導人員是內(nèi)控體系監(jiān)管工作第一責任人,負責組織領(lǐng)導建立健全覆蓋各業(yè)務(wù)領(lǐng)域、部門、崗位,涵蓋各級子企業(yè)全面有效的內(nèi)控體系;
(3)文化建設(shè):在一般企業(yè)文化建設(shè)的基礎(chǔ)上包含黨建文化建設(shè)要求。
2.風險評估方面:
注意識別以下風險:現(xiàn)金結(jié)算;部分費用列支隨意;國有資產(chǎn)的采購、核算、管理、使用和處置;應(yīng)收款項和預付款項長期掛賬;工程建設(shè)招投標手續(xù)及工程成本的列支。
3.控制活動方面:
(1)授權(quán)審批控制:結(jié)合地方政府對城市國企的授權(quán)審批清單進行;
(2)財產(chǎn)保護控制:結(jié)合《企業(yè)國有資產(chǎn)監(jiān)督管理暫行條例》進行;
(3)預算控制:預算目標受地方政府相關(guān)部門的約束;
(4)績效考評控制:績效目標受地方政府相關(guān)部門的約束。
4.信息與溝通方面:
(1)重要信息要傳遞給黨組織;
(2)建立反舞弊機制:內(nèi)部反舞弊機制與外部審計、紀檢等機制聯(lián)動。
5.內(nèi)部監(jiān)督方面:
(1)內(nèi)部控制監(jiān)督制度:內(nèi)部監(jiān)督制度與出資人紀檢監(jiān)察監(jiān)督、巡視監(jiān)督、審計監(jiān)督聯(lián)動;
(2)制定內(nèi)部控制缺陷認定標準:分析缺陷的性質(zhì)和產(chǎn)生的原因,提出整改方案,采取適當?shù)男问郊皶r向黨委會、董事會、監(jiān)事會或者經(jīng)理層報告。
(二)城市國企內(nèi)控體系的進階
國資委101號文及后續(xù)各年的內(nèi)部控制體系建設(shè)文件是基于《企業(yè)內(nèi)部控制基本規(guī)范》的全面內(nèi)控體系提升,是內(nèi)控體系建設(shè)五要素重點工作的執(zhí)行體現(xiàn),同時是城市國企內(nèi)控體系的進階發(fā)展?;?01號文系列的政策對城市國企內(nèi)控體系的發(fā)展可以概況為“三化兩監(jiān)督”,“三化”即支撐層,包括內(nèi)控體系建設(shè)優(yōu)化、內(nèi)控體系執(zhí)行強化、內(nèi)控體系信息化;“兩監(jiān)督”即監(jiān)督層,包括內(nèi)部監(jiān)督評價、出資人監(jiān)督檢查。
圖3 內(nèi)部控制體系的進階模型
1、內(nèi)控體系建設(shè)優(yōu)化
內(nèi)控體系建設(shè)優(yōu)化是內(nèi)部控制五要素中內(nèi)部環(huán)境要素的進一步加強,包括職責劃分及工作機制建設(shè)、強化集團管控、完善管理制度三個方面。
職責劃分及工作機制建設(shè)上,城市國企要明確黨委、董事會、經(jīng)理層等決策主體在內(nèi)控監(jiān)督方面的權(quán)責邊界、規(guī)范決策流程,避免邊界不清、流程倒置等現(xiàn)象,充分發(fā)揮黨委“把方向、管大局、促落實”,董事會“定戰(zhàn)略、做決策、防風險”,經(jīng)理層“謀經(jīng)營、抓落實、強管理”的角色職能。執(zhí)行層面上,要加強內(nèi)控人員培育和儲備,組建業(yè)務(wù)、職能矩陣化團隊,促進內(nèi)控部門主責推動、業(yè)務(wù)部門協(xié)同配合。集團管控及管理制度上,要注重集團層面與公司單體之間、不同管理體系之間制度要求的融合性和精簡性。
2、內(nèi)控體系執(zhí)行強化
內(nèi)控體系執(zhí)行強化是對內(nèi)部控制五要素中控制活動和內(nèi)部監(jiān)督要素的進一步提高。包括三個方面:
一是加強關(guān)鍵領(lǐng)域的日常監(jiān)控,主要關(guān)注改革關(guān)鍵領(lǐng)域、重點業(yè)務(wù)、國有資本運營重要節(jié)點的監(jiān)管,定期梳理執(zhí)行情況,發(fā)現(xiàn)問題及時制定措施改進。二是加強重要崗位授權(quán)和權(quán)力制衡,將內(nèi)控體系與業(yè)務(wù)有機結(jié)合,按照不相容職務(wù)分離控制、授權(quán)審批控制等內(nèi)控體系管控要求,嚴格規(guī)范重要崗位和關(guān)鍵人員在授權(quán)、審批、執(zhí)行、報告等方面的權(quán)責,實現(xiàn)可行性研究與決策審批、決策審批與執(zhí)行、執(zhí)行與監(jiān)督檢查等崗位職責的分離。三是健全風險管理防控機制,風險預警量化指標由事后向事前、由表內(nèi)向表外、由集團向基層“三個延伸”。
3、內(nèi)控體系信息化
內(nèi)控體系信息化既是從內(nèi)部控制五要素中信息與溝通要素方面做提升,又是對控制活動要素做進一步提升。
通過發(fā)揮信息技術(shù)在信息與溝通中的作用來提升城市國企的信息化水平;控制活動中,將控制節(jié)點和控制要求固化嵌入信息系統(tǒng),降低人為操作的錯誤發(fā)生率,提高“技防技控”能力。強化風險識別和管控,建設(shè)風險檢測預警機制。
4、加強內(nèi)部監(jiān)督評價
加強內(nèi)部監(jiān)督評價是對內(nèi)部控制五要素中內(nèi)部監(jiān)督要素的進一步加強,包括各企業(yè)自評和集團監(jiān)督評價兩個方面。
各企業(yè)自評方面,城市國企要全面實施內(nèi)控自評,每年以規(guī)范流程、消除盲區(qū)、有效運行為重點,對內(nèi)控體系的有效性進行全面自評,客觀、真實、準確揭示經(jīng)營管理中存在的內(nèi)控問題。集團監(jiān)督評價方面,在子企業(yè)自評的基礎(chǔ)上,加強集團評價。同時可結(jié)合自身情況委托外部機構(gòu)對自身及及子企業(yè)的內(nèi)控體系進行評價。
5、加強出資人監(jiān)督檢查
加強出資人監(jiān)督檢查既是內(nèi)部控制五要素中內(nèi)部環(huán)境要素的提升,又是內(nèi)部監(jiān)督要素的提升。出資人的國資監(jiān)管體系是城市國企治理體系的重要組成部分,城市國企作為國資體系的重要組成部分應(yīng)當受到出資人的監(jiān)督檢查。
加強對國有資產(chǎn)監(jiān)管政策制度執(zhí)行情況的綜合檢查工作,出資人建立內(nèi)控體系定期抽查評價工作制度,強化城市國企內(nèi)控問題的整改,加大評價結(jié)果在薪酬考核和干部管理等工作中的運用力度。利用紀檢監(jiān)察監(jiān)督、巡視監(jiān)督、審計監(jiān)督等監(jiān)督成果形成內(nèi)控監(jiān)督共享機制。
四、城市國企構(gòu)建內(nèi)控體系步驟
城市國企內(nèi)控體系的構(gòu)建要基于內(nèi)部控制五要素,并融合國資委對內(nèi)控體系的五點要求來進行,據(jù)此我們提出了城市國企內(nèi)控體系構(gòu)建的五步驟。
(一)構(gòu)建必要的內(nèi)部環(huán)境
必要的內(nèi)部環(huán)境包括組織、文化和制度三個方面。組織方面,城市國企要設(shè)立能夠滿足企業(yè)經(jīng)營管理活動的組織架構(gòu),在此基礎(chǔ)上明確風險管理的組織及擁有獨立性的內(nèi)控完善部門。文化方面,內(nèi)部控制需要全體員工(包含高管)共同參與,需要在企業(yè)文化的基礎(chǔ)上強調(diào)內(nèi)部控制的重要性,需要各層級貫徹內(nèi)控價值觀和理念。制度方面,城市國企需要建立能夠滿足企業(yè)經(jīng)營管理需要的各項制度。
示例:
某地方XX城投設(shè)有黨群工作部、行政部、財務(wù)部、工程管理部、發(fā)展投資部、風險管理部、資產(chǎn)管理部7個部門,有較為完善的規(guī)章制度流程。XX城投在進行構(gòu)建必要的內(nèi)部環(huán)境時可以分為三步:
1、XX城投以當前組織架構(gòu)為基礎(chǔ),將風險管理與內(nèi)部審計的職能獨立成兩個部門,增設(shè)獨立的審計部,并在董事會下設(shè)立審計委員會。
2、在現(xiàn)有企業(yè)文化的基礎(chǔ)上,融入內(nèi)部控制理念,強調(diào)公司各層級貫徹內(nèi)控的價值觀和理念。
3、建立有較完善的規(guī)章制度流程,能夠應(yīng)對日常經(jīng)營管理活動,本階段無需進行調(diào)整。
(二)進行風險評估
對城市國企的風險進行整體識別,分析城市國企所識別出的風險,采用定性與定量相結(jié)合的方法,按照風險發(fā)生的可能性及其影響程度等,對識別的風險進行分析和排序,根據(jù)控制目標確定關(guān)注重點和優(yōu)先控制的風險。根據(jù)風險分析結(jié)果,綜合運用風險規(guī)避、轉(zhuǎn)移、分擔、承受等措施來進行風險應(yīng)對。
示例:
某地方XX城投對風險整體識別,梳理出重點和優(yōu)先控制的風險如下:工程風險、財務(wù)風險、運營風險、戰(zhàn)略風險、安全風險、投資風險、合規(guī)風險、廉政風險等。
(三)設(shè)計關(guān)鍵控制活動
通過風險評估結(jié)果,為需要重點關(guān)注和優(yōu)先控制的可控風險設(shè)計關(guān)鍵控制活動。從業(yè)務(wù)流程和管理流程兩個角度對流程節(jié)點的風險點進行梳理,針對需要重點關(guān)注和優(yōu)先控制的可控風險制定各業(yè)務(wù)流程和管理流程中的控制措施,將控制落實到相關(guān)部門及崗位,并同信息化結(jié)合將控制節(jié)點和控制要求固化嵌入信息系統(tǒng)。
示例:
XX城投通過對風險的梳理,對工程項目決策風險梳理如下:工程項目決策失誤,可能造成企業(yè)資產(chǎn)損失或資源浪費;工程項目違反國家法律法規(guī),可能遭受外部處罰、經(jīng)濟損失和信譽損失;工程項目未經(jīng)適當審批或超越授權(quán)審批,可能因重大差錯、舞弊、欺詐而導致資產(chǎn)損失。
基于梳理的工程項目決策風險,設(shè)計關(guān)鍵控制活動如下表所示:
表3 工程項目決策控制活動
(四)內(nèi)控體系完善
對現(xiàn)有的內(nèi)控體系進行檢視,并通過多種途徑進行內(nèi)控有效性測試(詢問、觀察、檢查、穿行測試等),針對測試結(jié)果進行相應(yīng)的控制活動調(diào)整措施,必要時對內(nèi)部環(huán)境進行調(diào)整。
(五)構(gòu)建內(nèi)控監(jiān)督機制
構(gòu)建內(nèi)控監(jiān)督機制包括內(nèi)控內(nèi)部監(jiān)督和外部出資人的監(jiān)督機制。內(nèi)控內(nèi)部監(jiān)督是城市國企內(nèi)控體系動態(tài)閉環(huán)的要求,通過城市國企內(nèi)部自評價等方式不斷完善內(nèi)部控制體系,適應(yīng)企業(yè)內(nèi)部管理的變化。外部出資人監(jiān)督機制是內(nèi)控內(nèi)部監(jiān)督的重要補充,一是可以發(fā)現(xiàn)內(nèi)部監(jiān)督所未能發(fā)現(xiàn)的內(nèi)控問題,二是可以提高城市國企內(nèi)控體系的有效性。