新知一下
海量新知
6 2 9 1 8 1 7

【收藏】中央企业内控工作重要文件解读及落地建议

内部审计智库 | 致力于内部审计的研究与实践 2022/01/28 12:41

中央企业内控工作重要文件解读及落地建议

冯萌博士  宋志强  王家兴

一、截至2022年中央企业内控工作文件概览

2019年10月19日,国资委印发了《关于印发<关于加强中央企业内部控制体系建设与监督工作的实施意见>的通知》(国资发监督规〔2019〕101号),全面启动中央企业内控建设相关工作。之后三年,国资委接连发布了 《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅发监督〔2019〕44号)、《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2020〕307 号)以及《关于做好2022年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2021〕299号),以促进中央企业内控工作不断深入,文件要点归纳见下表1。

表1 中央企业内控体系建设相关文件要点归纳

文件

主要工作要求

《关于印发<关于加强中央企业内部控制体系建设与监督工作的实施意见>的通知》(国资发监督规〔2019〕101号)

(2019年10月19日发布)

2019年作为启动中央企业加强内部控制体系建设与监督工作的第一年,该文件主要在以下几个方面明确整体工作方向:

1. 明确管控职责。企业应明确专门职能部门或机构统筹内控体系工作职责;落实各业务部门内控体系有效运行责任;企业审计部门要加强内控体系监督检查工作,准确揭示风险隐患和内控缺陷。

2. 完善管理制度。梳理及完善内控、风险和合规管理相关制度,并在具体的业务制度中嵌入内控体系管理要求。

3. 加强在重点领域的日常管控。聚焦关键业务、改革重点领域、国有资本运营重要环节以及境外国有资产监管。

4. 明确提出加强重要岗位授权管理及权力制衡。按照不相容职务分离控制、授权审批控制等内控体系管控要求,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责,实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。强化采购、销售、投资管理、资金管理和工程项目、产权(资产)交易流转等业务领域各岗位的职责权限和审批程序,形成相互衔接、相互制衡、相互监督的内控体系工作机制。

5. 突出对重大风险的防控。加强经济运行动态、大宗商品价格以及资本市场指标变化监测,提高对经营环境变化、发展趋势的预判能力,同时结合内控体系监督评价工作中发现的经营管理缺陷和问题,综合评估企业内外部风险水平,有针对性地制定风险应对方案。

6. 提升内控体系信息化水平。内控体系建设部门要与业务部门、审计部门、信息化建设部门协同配合,推动企业“三重一大”、投资和项目管理、财务和资产、物资采购、全面风险管理、人力资源等集团管控信息系统的集成应用,逐步实现内控体系与业务信息系统互联互通、有机融合,并关注权限设置在信息系统的有效嵌入。

7. 全面实施企业内控监督评价,确保每3年覆盖全部子企业,将海外资产纳入监督评价范围,重点对海外项目的重大决策、重大项目安排、大额资金运作以及境外子企业公司治理等进行监督评价,强化外部审计监督,并充分运用监督评价结果。

加强出资人监督。建立出资人监督检查工作机制,并充分发挥企业内部监督力量,强化整改落实工作,加大责任追究力度。

《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》 (国资厅发监督〔2019〕44号)

(2019年12月26日发布)

2020年文件在如下几个方面进行了深入:

1. 明确内控工作体系应配备相应的职能部门、机构、专业人员,形成领导有力、职责明确、流程清晰、规范有序的工作机制。

2. 明确通过完善制度体系促进内控体系规范有效运行,全面梳理查找企业管控制度和流程缺陷,并于2020年底前完成相关制度修订增补工作;同时企业应聚焦关键业务、改革重点领城、国有资本运营重要环节、境外国有资产监管以及相关法律法规等外部监管规定。

3. 根据国内外经济运行动态、大宗商品价格以及资本市场等形势变化,结合《2020年度中央企业风险分类参考标准》及企业自身实际情况,科学准确识别、评估、预判企业面临的重大风险,建立相应的风险管控机制,提升重大风险监测及应对水平。

4. 加强信息化工具在内控体系中的应用。梳理企业业务流程,摸排重要领域和关键环节的信息化管控现状,对信息系统中审批流程、权限设置等存在缺陷以及未纳入信息系统的关键控制点,及时研究制定改进措施。加强企业信息系统集成优化,强化对业务、财务、合同、信用等信息系统的监测力度,借助信息化手段实现实时监测、自动预警等功能。

5. 明确企业应制定2020—2022年度内控体系监督评价工作规划,将全部子企业纳入自评和集团监督评价范围,确保各级企业自评当年全覆盖、集团监督评价3年全覆盖。通过自评、外部审计等方式及时发现缺陷,并落实整改。

《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2020〕307 号)

(2020年10月29日发布)

2021年文件对截至当时仍存在的突出问题进行了总结,并提出了优化要求:

1. 提高企业制度动态性:企业应建立制度定期更新机制,根据新业务、新变化、新问题,及时做好相关制度废、改、立工作,明确重要业务领域和关键环节的内控要求、风险应对措施及违规经营投资责任追究规定。

2. 建立风险量化指标:在外部环境发生重大变化的背景下,企业要重视年度重大风险评估和季度重大风险监测工作,积极探索建立突出行业特点及企业特点的风险量化监测指标体系,增强重大风险监测指标体系的全面性、针对性。

3. 加大内控体系监督评价工作力度:建立内控体系监督评价工作依据和标准,全面开展内控体系自评工作(以每年1月至12月为评价期间),并采取复核和抽查等方式统筹对已发现问题的整改落实情况进行摸底。

4. 强化境外风险管控:从境外风险动态监测、境外法律法规遵循、关键业务环节/领域控制措施制定等方面入手,加强境外企业内控体系建设。

5.持续推进信息化建设,通过信息化手段固化内控体系管控措施,有效发挥信息化管控的刚性约束和监督制衡作用,并做好国资委组织开发的中央企业内控体系工作信息系统的升级对接工作。

《关于做好2022年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2021〕299号)

具体参看本文第二部分。

上述文件充分体现了内部控制的风险导向、系统性、重要性等原则,其具体工作要求可以划分为以下四个方面:

1. 风险的识别、评价与策略制定;

2. 内部控制措施工具选择;

3. 对关键业务循环中重大风险的应对;

4. 内部控制体系的建设、落地及监督评价。

围绕《关于做好2022年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2021〕299号),本文接下来将从以上几个方面对文件重点关键条款进行分析,提出相应的落地建议,供企业参考。

二、国资厅监督〔2021〕299号文落地建议

从本文第一部分所提出的四个方面,对国资厅监督〔2021〕299号文的分析如下:

(一)风险的识别、评价与策略制定

1.主要文件条款

“不断 加强重大经营风险季度监测工作 ,参照国资委《2021年度中央企业风险分类监测指标体系》,科学合理设置突出反映所属行业及本企业特点的风险量化监测指标,着力 将风险监测对象由事后向事前延伸、由表内向表外延伸、由集团向基层延伸 ,按季度汇总分析本企业重大经营风险状况, 形成季度风险监测报告 。”

“在对 2021 年发生重大风险事件进行全面盘点和深入分析的基础上,结合本企业所处行业、国内外市场环境及大宗商品价格等风险形势变化, 科学识别重大风险类型 ,客观反映风险特征,有针对性地提出风险应对措施, 形成企业 2022 年度重大风险评估报告 。”

“做好重大经营风险防控应对工作,及时搜集了解所在国家(地区)政治、经济、社会、安全、舆情等国别风险信息,明确风险预警触发条件,并 将境外国别风险纳入重大经营事项决策前专项风险评估范围 。”

2.落地建议

上述条款主要提出了风险识别与评价的范围、程序、标准和成果输出工作要求。对此,我们提出的落地建议包括:

1)搭建风险管理基本流程,主要包括:基础风险信息采集及上报、风险识别与评价、风险沟通宣贯、选择风险策略、制定风险控制措施等关键环节;

2)建立风险管理配套组织职能,主要包括:基础风险信息采集职能、风险信息分析处理职能、风险评价/决策职能;

3)灵活应用风险识别方法及工具,选择合适的风险分类框架及颗粒度、采用业务分析、经营情况检查、风险研讨会等手段,从风险源、业务流、历史风险事件、区域/产品线等多角度识别风险;

4)在上述风险管理工作的基础上,输出风险管理成果,如风险清单/矩阵、风险预警指标、重大风险评估报告、风险监测报告等;

5)针对重大风险建立预警机制,具体通常包括:指标设计、阈值设定、数据归集、预警触发、预警处置程序等内容。

(二)内部控制措施工具选择

1.主要文件条款

“各中央企业要牢固树立 依法合规经营意识 ,坚持用法治思维和法治方式深化改革、推动发展,大力倡导和弘扬人人守纪律、重程序、知畏惧、守底线的 内控文化 ,营造尊重内控、支持内控、自觉接受内控约束的 良好内控环境 。”

“对存在未体现国家法律法规等外部监管规定、缺乏内控要求和风险应对措施、不符合 不相容职务分离控制和授权审批控制等相关内控要求 ,以及专项风险评估、内控体系监督评价、责任追究制度规定不健全等情形的,要及时修订完善内控制度,不断增强内控制度体系的科学性、系统性和有效性。”

“结合本企业信息化建设总体规划, 加强内控体系信息化顶层谋划,充分利用现有信息化系统 ,通过完善内控信息系统权责设置、提高重要领域和关键环节的信息化覆盖率、动态分析异常业务信息等措施和方式,健全内控体系全流程信息化管理功能,将控制节点和控制要求固化嵌入信息系统。定期摸排重要领域和关键环节的信息化管控现状,对信息系统中审批流程、权限设置等存在缺陷以及未纳入信息系统的关键控制点。”

2.落地建议

上述条款要求企业在风险评价的基础上,积极利用文化建设、授权、牵制、监督、信息化等控制措施工具。对此,我们提出的落地建议包括:

1) 企业结合自身战略、业务构成、组织架构及风险评价结果等因素,科学选择文化建设、职责设定、规划、设立账簿(财务账簿及管理台账)、资产保护、表单与记录、考核与奖惩、流程与标准、信息化等内控措施工具;

2) 利用信息化手段提升企业内控效果,如:将流程进行线上固化;实现过程留痕、责任明确;实现信息互通及相关数据交叉核对;实现权限管控,遏制越权;实现在线监控并识别异常;实现智能审核;实现进度/效率监控等。同时企业应充分关注与信息系统自身相关的各类风险,如系统稳定性、数据安全性、系统权限管理等风险。

3) 企业在应用内控措施工具时,应遵循风险导向、可操作性以及成本效益等原则。

(三) 对关键业务循环中重大风险的应对

1.主要文件条款

“结合中央企业集团‘十四五’战略规划目标和措施要求,分领域、分步骤有序开展内控制度标准化建设工作,按照主要业务领域、核心业务流程、关键控制环节、合规评价标准等维度类型, 构建分层分类的制度体系框架 ,促进形成系统完备、层次分明、相互衔接、务实管用的内控制度标准化体系,并于2022年底前抓紧完成资金、金融、招投标、购销领域等重要业务内控制度标准化工作。“

“坚持问题导向和目标导向相统一,着力 加强投资、资金、招投标、购销业务、金融业务等薄弱环节的内控 ,完善内控执行监督问责和考核评估机制,强化内控执行刚性约束。“

2.落地建议

上述条款主要强调企业应识别重点业务领域,并制定标准化的内控制度。设定业务循环场景,有助于限定管理范围、聚焦关键问题,是进行企业内控体系搭建的主流实务方法。围绕这个方法,我们提出的落地建议包括:

1) 企业可结合业务特点、组织架构、职责体系,同时考虑整体战略、行业特点与业务模式、风险识别与评价结果以及外部监管等关键要素,基于MECE原则划分若干业务循环。

2) 针对具体的业务循环,企业可按照下述步骤开展内部控制设计:

a) 梳理业务运作模式,如业务内容的输入、处理及输出;

b) 从战略、运营、财务报告及合规等方面明确业务循环的控制目标;

c) 识别与评价该业务循环典型风险,选择控制措施工具;

d) 设计业务循环组织架构、职责及授权体系;

e) 对业务循环进行环节划分、控制点设计、流程标准制定、信息及凭证记录流转等内容;

f) 以业务循环为单位形成内部控制成果,主要包括管理制度、内控手册、风险矩阵等(本文统称“内控文件”)。

需要强调,企业各个业务循环/流程之间往往存在关联,企业在实施特定业务循环建设时,应同时考虑其相关(如上下游)循环/流程具体情况。

(四)内部控制体系的建设、落地及监督评价

1.主要文件条款

“各中央企业要持续强化组织领导体系建设,建立健全 党委(党组)顶层谋划、主要领导亲自负责、董事会(或类似决策机构)全面领导、内控职能部门主责推动、业务职能部门协同配合的内控建设与监督管理体制 ;切实发挥内控职能部门统筹协调、组织推动、督促落实、监督评价的作用,压实内控建设和监督主体责任,进一步充实内控部门人员力量,提供必要的工作组织保障,形成领导有力、职责明确、流程清晰、规范有序的内控工作机制。“

“建立健全 内控制度制定、评估、改进等工作机制 ,定期开展制度梳理,确保将外部监管要求及时转化为企业内控规定,内控规定有效嵌入生产经营管理全流程并覆盖落实到全体员工。“

“持续推动各级子企业健全 内控执行有效落实保障机制 ,加强内控执行的穿透监管,对违规问题紧盯不放、一查到底,坚决纠正根除内控执行中‘搞变通、打折扣、不落实‘等顽瘴痼疾,使内控监督真正‘长牙’‘带电’。“

“各中央企业要按照101号文件要求,认真组织所属子企业全面规范有效开展内控自评价, 对新兴业务、高风险业务以及风险事件频发的领域每半年至少要自评价一次 。“

“持续开展境外内控执行合规监督工作, 重点监督检查境外监管制度实施和境外内控体系建设情况 ,以查促改、以查促建,推动企业进一步完善制度、强化管控,提升境外企业依法合规经营能力。“

“针对企业内控体系自评价、集团监督评价、内控审计发现以及外部审计、监督检查移交的 内控缺陷和问题,形成工作台账、逐项落实整改,不断优化内控体系 。“

2.落地建议

上述条款强调了企业高层在内控体系中的领导作用,并要求通过强化建设、监督、评价力度等手段,提升内控体系的落地执行效果。围绕这些内容,我们提出的落地建议包括:

1) 由于内控具备“从上至下”的特征,企业高层在内控体系中的作用非常突出,企业应明确高层在内控建设中的关键职能,如设定企业内控整体基调、确认内控体系所需的战略输出、确认关键风险评估结果、进行清晰明确的授权、强化问责奖惩,进而推动内控措施真正落地;

2) 企业应建立持续运行的内控工作闭环,通常包括:整体规划、梳理流程、风险评估、内控有效性评价、缺陷弥补、内控文件编制/修订、内控自我评价、内控审计、奖惩问责等内容;

3) 提升内控体系的可落地性:

a) 提升文件自身管理水平并加强相关主体间的协调

  • 实现内控文件专业归口管理;

  • 制定清晰的整体内控文件框架、类别与层次体系;

  • 明确与内控文件日常管理(如文件的编制、评审和下发)相关的配套流程、权限和标准;

  • 采取措施实现“内控文件编写人”、“内控文件执行人”与“上级管理者”间的有效协调。

b) 提高内控体系的整体可操作性

  • 与企业基础资源匹配,如人员素质、信息化水平等;

  • 内控文件实操要素完备、易于理解、充分考虑可能发生的异常情况;

  • 内控文件试运行、过渡期管理机制健全。

、重点工作清单及关键成果一览

基于前文分析,中央企业重点工作清单及关键成果可归纳为下表2,表中同时列示了 《企业内部控制从懂到用》(作者:冯萌 宋志强,机械工业出版社,2021年第一版) 一书中可以参考的内容。

表2 重点工作清单及关键成果

维度

工作清单

关键成果

《企业内部控制从懂到用》参考

风险的识别、评价与策略制定

1. 建立风险管理机制,制定风险管理基本的流程、配套职能、方法及关键输出。

2.参照国资委《2021年度中央企业风险分类监测指标体系》,建立重大经营风险季度监测体系,设置突出反映所属行业及本企业特点的风险量化监测指标,并将境外风险纳入考虑范围。

3. 动态开展风险管理工作,按季度汇总分析本企业重大经营风险状况,形成季度风险监测报告,经审定后按时报送国资委综合监督局。

4. 识别重大风险类型,提出风险应对措施,形成企业 2022 年度重大风险评估报告,经企业审议后按时报送国资委综合监督局。

1. 风险管理相关制度

2. 风险数据库/清单/矩阵

3. 关键风险指标及配套数据搜集、处理及预警流程

4. 风险监测报告(季度)

5. 重大风险评估报5告(年度)

第3章(风险识别、评价与策略制定)可参考内容如下:

--风险的识别与评价(P35~P47)页;

--风险策略的制定(P52~P57)页。

内部控制措施工具选择

1.  结合企业信息化建设总体规划,梳理目前内控体系重要业务循环、关键控制节点、控制要求以及权限设置等信息化管控现状,作为进一步推进内控信息化工作的基础。

2.  定期核查关键权限、相关表单、授权体系等内控工具在信息系统中的设置及运行情况。

3.  识别与信息系统本身相关的各类风险,并制定控制措施。

1.权限表

2.企业信息化建设规划

3.内控信息化管理评价结论

第4章(内部控制措施工具)内容可整体参考,具体介绍了职责、控制文化、规划、授权及审核与审批、账簿、牵制、资产保护、监督、表单与记录、信息沟通、考核与奖惩、流程与标准以及信息化13类典型内控工具,详见书籍(P67~P130)页。

对关键业务循环中重大风险的应对

1. 结合企业主要业务领域、核心业务流程、关键控制环节等,制定业务循环划分方案。

2. 编制重点业务循环标准化制度,并将所识别风险的控制措施、外部监管要求等嵌入。其中2022年底前完成资金、金融、招投标、购销领域等重要业务内控制度标准化工作,同时加强投资、资金、招投标、购销业务、金融业务等薄弱环节的内控。

1. 业务循环划分方案;

2. 标准化制度(一般需涵盖流程图、流程 骤说明、政策与标准、部门岗位职责、关键事件权限、主要文档与表单等要素)。

第5章(内部控制工具业务场景应用)内容可整体参考,重点介绍了业务循环的划分、关键业务循环(销售业务、采购业务、招标、业务外包、资金活动、固定资产、存货)的内部控制以及业务层面内控分析内容,详见书籍(P136~P278)页。

第6章(企业内部控制体系建设)典型内控成果的编制可详见书籍

(P286~P293)页。

内部控制体系的建设、落地及监督评价

1.开展内控体系自评工作,其中对新兴业务、高风险业务以及风险事件频发的领域每半年至少要自评价一次。

2.集团企业制定年度监督评价方案,对子企业内控有效性监督评价,在2022 年底前完成第一轮集团监督评价 “三年全覆盖”。

3.针对企业内控体系自评价、集团监督评价、内控审计发现以及外部审计、监督检查移交的内控缺陷和问题,形成工作台账,并予以整改。

4.按文件要求编制2021年度内控体系工作报告,并于2022年4月30日前报送国资委综合监督局。

1. 内控自评相关管理制度

2. 内控自评报告

3. 集团监督评价方案及监督评价报告

4. 内控体系问题台账及整改记录

5. 年度内控体系工作报告

6.内控绩效奖惩相关制度/方案

第6章(企业内部控制体系建设)可参考内容如下:

--内控体系建设整体路线

(P279~P293)页;

--内控体系中的关键闭环

(P294~P302)页。

--内控体系的落地

(P313~P327)页;

--内控自我评价

(P356~P362)页。

新知达人, 【收藏】中央企业内控工作重要文件解读及落地建议

冯萌博士

  • 复旦大学博士 上海阅洲咨询创始合伙人 首席专家顾问/培训师 CICS持证人 上海交通大学海外学院特聘师资。

  • 主要专业领域:企业内部控制/风险管理、会计准则应用、财务报表分析/粉饰识别。

  • 《企业内部控制从懂到用》一书作者。

  • 南京大学会计学学士、复旦大学管理学院会计学博士,师从著名教授李若山,曾赴国家财政部从事会计准则研究工作,曾服务于德勤华永会计师事务所专业技术部。

  • 从事风控事业16年来,冯萌博士作为项目负责人已为超过50家大中型企业实施风险管理/内部控制咨询项目,并成为多家企业常年风险管理/内部控制战略专家顾问,涵盖金融、资源采掘、物流、房地产、医药、制造、建筑、教育等行业。

  • 冯萌博士已积累了超过300场现场培训经验,首创实战“阅洲风控集训营”项目,已为超过150家企业成功实施风险管理/内部控制/财务培训,受到数万名学员广泛好评。

  • 冯萌博士2007年8月独著《市场经济条件下会计信息的法律意义研究》(中国时代经济出版社),此外在《会计研究》、《董事会杂志》等学术期刊上发表论文20余篇,发表公众号文章40余篇。

  •  

更多“企业内控”相关内容

更多“企业内控”相关内容

新知精选

更多新知精选