內控標準化工具為企業業務賦能

李月嬌

摘 要：國資委101號文中要求，央企集團的內控監督評價工作需三年覆蓋全部職能部門及分子公司，需要采取各級單位自評的形式滿足此覆蓋度要求，同時為了滿足新階段的內控管理工作充分嵌入業務流程前端的要求，需要建立業務部門內控管理自我造血機制，筆者基于此背景，結合所處企業實際內控管理情況，開發并應用了一套內控標準化評價工具，滿足了相應法規和行業發展要求。

關鍵詞：內控標準化工具;內控要求前置與嵌入;內控自評

《關于加強中央企業內部控制體系建設與監督工作的意見》文件于2019年底由國資委發布，在健全內控體系建設、強化內控執行、加強信息化管控、加大內控監督評價力度、全面提升內控體系有效性五個方向共十六個方面對中央企業的內部控制工作提出了新的要求。比如對于具體業務的流程管理制度，在其制定、審定的時候，就嵌入內控管理的要素要求;如要求企業每年實施內控全面自我評價，以業務流程的規范設計及有效運行為重點，對內控建設及管理體系的有效性進行客觀的評價，準確揭示企業經營過程中存在的內控缺陷，形成自評報告。這對大型集團性央企的內控工作提出了新的要求和挑戰，如何利用有限的內控管理資源開展流程建設和內控自評，滿足內控要求前置性和覆蓋度的要求，是亟需解決的課題。本文基于筆者所處的大型制造業央企集團的業務環境，對于內控管理現狀進行了梳理分析，對內控標準化工具的開發和應用進行了詳細闡述。

一、流程建設與內控管理現狀

自五部委于2008年頒布的《企業內部控制基本規范》及配套指引生效執行以來，內控體系建設及評價工作在以上市公司、央企、大型民企為首的各大中型企業逐步發展，方興未艾。有內控規范及指引做基礎，內控工作開展的形式多種多樣，本質卻無外乎通過對已處于運行中、成熟狀態下的業務流程的設計及運行情況進行審核，發現業務流程內控缺陷，繼而優化和改善流程。此種方式下的內控工作發展到現在，也逐步顯現了一些管理現狀上的問題：

1.內控管理部門與業務部門脫節，內控矩陣與業務實際開展存在“兩層皮”的情況

實務中，企業的內控管理部門往往單獨設立在分管內控工作的管理部門，獨立于企業一線業務部門，通常由內控管理部門通過業務調研的方式建立起企業一線業務的內控矩陣，其中明確了各業務流程中的關鍵控制環節及控制活動描述，再基于此內控矩陣由內控管理部門主導開展年度或專項的內部控制評價工作。這種方式的問題在于，如果企業的內控管理IT系統化程度較低、內控信息化和數字化規劃較落后，需要采用手動更新的方式，對內控風險矩陣進行更新，不僅需要耗費大量的人力和時間，也難以做到內控矩陣的實時更新，實際情況是能做到每年一次的更新就已經是很好的情況了，因此內控矩陣的更新頻率往往遠低于實際業務模式的變化頻率，這就導致內控管理部門開展內控評價工作的依據-內控矩陣是脫離了企業實際的業務情況的，以此為依據開展的內控評價的評價結果很難說是可靠的、客觀的、科學的，與實際業務開展存在“兩層皮”，難以對實際業務流程的內控有效性情況給出準確客觀的評價。

2.內控管理仍屬于事后監督模式，存在滯后性

即便是對于內控管理信息化程度較高的企業，信息手段的輔助可以滿足適應一線業務迭代快的情況，使得內控矩陣可以做到與實際業務開展情況同步更新，通常的做法是，第一步將內控風險矩陣初始化在信息系統中，根據系統內的邏輯設定定期或不定期推送需要一線部門進行矩陣更新的任務，由業務部門根據實際情況更新相關業務流程的流程描述，識別流程關鍵控制點，判定業務風險;第二步，內控管理部門從部門維度、風險維度、時間維度等，定期或動態向業務部門推送基于關鍵控制活動的內控自評價任務，或發起專項內控評價工作任務，實時內控測試，識別流程中的內控缺陷，再針對發現的缺陷制定整改措施。但本質上這種做法仍然是對業務開展情況的事后監督，沒有實現將內控要求前置到業務模式更新發布和實際開始執行之前。

3.內控管理的要求沒有形成一套明確、清晰的標準

《企業內部控制基本規范》及其配套指引中明確，內控控制的實施與建立，需要遵循以下幾項基本原則：全面性、適應性、制衡性、重要性和成本效益原則。內控管理相關要求需要貫穿業務過程、覆蓋全范圍，同時關注重點業務和高風險領域，在機構設置、權責分配等方面相互制約，隨企業環境變化加以調整，控制成本適中。但在實務中，對于某一具體的業務開展內控評價時，僅上述這些原則難以明確對于具體到某一關鍵控制活動設計及執行的要求，每個企業對于規范明確的內控原則均有自己的解讀，因此也就未形成明確、清晰的標準化要求。

二、國家法規、國資委文件要求

1.《關于加強中央企業內部控制體系建設與監督工作的實施意見》即第101號文件于2019.10由國資委印發，文件中明確提出了中央企業及其所屬公司需將內控體系、風險管理和合規管理要求嵌入業務流程。其中相關條款的描述和要求，（1） 建立健全內控體系，進一步提升管控效能：①優化內控體系中的關鍵要點包括：a.建立健全以合規管理為重點、風險管理為導向的內控體系;b.將風險管理和合規管理要求嵌入業務流;c.實現強內控、防風險，促合規的管控目標。②強化集團管控中的關鍵要點包括：a.央企主要領導人員是內控體系監管工作第一責任人，負有領導責任;b.央企應明確專職部門統籌內控體系，負有工作責任;c.落實各業務部門內控體系有效運行責任，即負有運行責任;d.內部審計部門要加強內控體系監督檢查工作，準確揭示風控體系建設及管理過程中的問題，即負有監督責任。③完善管理制度中的關鍵要點包括：a.全面梳理內控、風險和合規管理相關制度;b.及時將法律法規等外部監管要求轉化為企業內部規章制度，強調全面性;c.在企業實際業務流程制度的制定過程中嵌入統一的內控管理要素的要求，確定高風險業務領域、流程關鍵環點的控制活動要求和風險應對措施，此處強調的是針對具體的業務制度;d.將違規投資經營責任追究內容納入企業管理制度。④健全監督評價體系中的關鍵要點包括：a.統籌管理風險、合規和內控的監督評價工作，將合規、風險管理制度納入內控體系監督評價;b.制定定性與定量結合的內控缺陷認定標準、風險評估標準和合規評價標準。（2）強化內控體系執行，提高重大風險防控能力：①加強重點領域日常管控中的關鍵要點包括：a.聚焦關鍵高風險業務、重點領域、國有資產管理重要環節，認真識別流程缺陷，及時研判并制定整改措施;b.在投資并購、改革改制重組等重大經營事項決策前開展專項風險評估，編制風險評估報告（含風險應對措施和處置預案）。②加強重要崗位授權管理和權力制衡中的關鍵要點包括：重要領域的關鍵人員在職責權限和審批程序，實現不相容崗位分離。③健全重大風險防控機制中的關鍵要點包括：a.積極采取措施強化企業防范化解重大風險全過程管控;b.加強經濟運行動態、大宗商品價格以及資本市場指標變化檢測，提高對經營環境變化、發展趨勢的預判能力;c.結合內控體系監督評價工作中發現的經營管理缺陷和問題，綜合評估企業內外部風險水平，有針對性地制定風險應對方案。

2.《關于做好2020年中央企業內部控制體系建設與監督》的工作通知即44號文于2019年底由國資委發布，是對101號文共組要求的具體落實文件。通知明確了內控建設與監督的方向，從內控管理、風險管理和合規管理的整合角度，提出內控組織機構、制度體系、重大風險監控、信息化管控、監督檢查等維度的工作要求。文件的關鍵點在于（1） 加強組織領導，建立健全內控工作體系，建立健全企業內控體系是中央企業管理提升的重要基礎，是促進中央企業守住不發生系統性風險底線、加快實現高質量發展的有力舉措，對增強國有經濟競爭力、創新力、控制力、影響力、抗風險能力具有十分重要的意義。各中央企業要高度重視內控體系建設與監督工作，加強組織領導，落實企業主要領導人員內控體系監管工作第一責任人職責，盡快明確專門職能部門或機構，配備必要專門人員，建立使全上下貫通、全面覆蓋的內控工作體系，形成領導有力、職責明確、流程清晰、規范有序的工作機制。（2） 完善制度體系，促進內控體系規范有效運行，各央企要以“強內控、防風險、促合規”為目標，進一步全面梳理并整合風險、合規及內控的相關外部要求，形成并完善內控缺陷認定標準、風險評估管理標準和合規評價管理標準，構建協同融合、相互補充的風控合規監督管理體系。聚焦高風險業務、重點領域、國有資產管理運營的重要環節，全面梳理企業內控管理制度，識別流程缺陷，對未體現國家監管規定，缺乏內控要素管控及風險應對措施，如：不符合授權審批控制、不相容職務相分離等要求，內控體系監督評價體系建設、制度規定設立不健全等情形，要盡快整改完善。

以上內容均要求企業需要通過將外部法規內化、內控管理要素及要求融合嵌入等措施，進一步完善企業流程管理制度。具體來說就是企業需要全面梳理并整合風險、合規及內控的相關外部要求，轉化為企業自己內部制度;在日常業務流程制度的制定過程中嵌入統一的內控管理要素及要求，確定重點領域、關鍵點的控制要求及風險應對措施。

國資委連續發文，充分表明三個事實，一是監管機構意識到了融合的迫切性、重要性;二是中央企業的內部控制體系不只是企業是否想完善的事情，已上升到必須實施的局面，還要進一步落實責任追究，與薪酬績效和干部管理掛鉤，力度非常強;三是現階段高質量發展的大背景下，中央企業需要在快速發展的同時，“強內控、防風險、促合規”，為國家高質量發展保駕護航，完成歷史使命。

三、內控標準化工具開發過程及產出

基于上述對內控管理現狀的分析，筆者結合所處企業內控管理工作的實際情況和業務特點，開發了內控標準化工具用以在流程文件發布之前進行前置審核，以及用于業務部門內部控制自我評價工作，統一了流程審核與評價標準，同時具備可操作性，初步實現了為業務賦能的目標。

1.《企業內部控制基本規范》及配套指引的相關要求

根據《企業內部控制基本規范》，企業應建立與實施業務流程中的內部控制，以提高經營效率和效果。在流程建設與自我評價過程中，應遵循以下基本原則：

為了對業務部門在進行流程建設及自我評價時更具指導性，我們將以上基本原則進行了分析和轉化。使業務部門可以從原則性要求、關鍵控制點完整性/有效性要求以及是否存在“過度控制”三個方面加以運用。

2.內控標準化工具框架

該工具針對業務流程的設計評價，包含三部分內容，即流程整體的內控要求、流程中環節/關鍵控制點的內控要求、流程適度控制的要求，其中具體的細分原則見“表2.內控標準化工具框架”。

下面對于細分原則的含義進行詳細闡述：

（1） 目標實現原則：①避免流程描述顆粒度過粗，具有業務操作指導性;②流程描述業務范圍小于或偏離目標業務范圍。

（2） 職責一致/權責清晰原則：流程中部門職責部分需與21號文一致，有清晰的職責分工，流程中體現的均是最新的組織機構。

（3） 相關流程一致/合規性原則：業務涉及的相關流程間不應存在沖突，業務流程應符合相關外部法律法規的要求。

（4） 適應性原則：流程需與公司內外部環境相適應，并根據內外部環境的變化情況及時加以調整。

（5） 內控流程或流程關鍵控制環節的存在性/有效性原則：①流程不缺失;②關鍵控制環節不缺失;③關鍵控制活動有效設定。

（6） 透明原則：流程涉及的具體規則或標準應隨流程主文件公開。

（7） 存檔原則：①流程描述是否明確各環節形成的過程文件名稱、形式、傳遞過程;②流程中提及的過程文件是否均體現存檔要求及合理的存檔期間。

（8） 監督原則：涉及人、財、物、核心技術、商業機密的流程應建立定期的監督機制。

（9） 涉密信息保護：流程若涉及向相關方提供信息，應設置科學的保密要求。

（10）不相容職務相分離原則/多眼原則：授權與執行、審核與執行、執行與記錄分離。

（11）授權審批控制原則：①需授權的業務設定了有效的授權控制;②設定了審批控制;③審批層級設定合理;④審批時限要求明確。

（12）集體審議與決策控制原則：三重一大及其他重要事項，可能影響公司及部門戰略目標達成的重要事項。

（13）信息技術控制原則：業務開展應盡量系統化，關注數據災備、系統權限、系統環境及信息安全管理。

（14）預算控制原則：業務活動納入預算管理、編制過程有依據、結果有復核機制、執行偏差率有控制機制、執行結果有考核機制。

（15）財產保護原則：涉及資產的流程包含資產記錄、保管、定期盤點、限制接近、科學投保、價值管理等內容。

（16）時限明確原則：流程中應設定關鍵業務操作的具體時限要求。

（17）效率性原則：控制范圍、程度、頻率、時限要求適當、不過度。

（18）經濟性原則：控制成本低于損失成本。

3.內控標準化工具評分標準

按上述描述，內控標準化工具通過這三方面的評價，對特定業務流程給出相應的流程成熟度得分。下面對該工具的評分標準給予詳細闡釋。

為滿足內控要求業務前置性要求，將三方面共十八項原則按性質劃分為流程評分否決項、流程評分賦分項、流程評分參考項。不滿足否決項的原則，則視為該流程不予通過，需業務部門重新制定并編制流程;參考項原則不對流程評分產生影響;流程環節在賦分項原則上，符合或不涉及為1分，不符合為0分，根據不同的標準劃分為5個成熟度等級，見“表3.內控標準化工具評分標準”。

四、內控標準化工具的應用

五、結論

企業內控體系建設是一項長期的系統工程，其重要意義是保障企業生產經營活動的順利開展、監控企業內部風險的發生、有助于企業戰略實施。良好的企業內控體系能及時發現企業經營過程中的風險因素，幫助業務人員采取相應的措施去應對這些風險因素，可以幫助管理者客觀地評估當前的經營狀況，幫助管理者制定合適的經營戰略和策略。企業內控體系可以增強財務報表內容的真實性和完整性，財務報表的使用對象不僅是股東和其他外部投資者，還包括企業內部的經營管理人員，準確真實的財務報表可以使管理者更好地了解企業的實際情況，從而在最初就做出更多相關的決策。

內控標準化工具的開發和應用，使得流程建設時就充分考慮了流程的關鍵控制點與關鍵內控要素的緊密結合，在設計之初便滿足相關內控要求，也有助于推進“評建結合、重在建設、以評促建”的內控管理模式，提升企業各業務領域的內控管理水平，合理保證業務開展的效率和效果，促進企業實現發展戰略，最終讓內部控制真正發揮其作用。

參考文獻：

[1]《關于印發<關于加強中央企業內部控制體系建設與監督工作的實施意見>的通知》（國資發監督規〔2019〕101號）.

[2]《企業內部控制基本規范及其配套指引》[S].上海，立信會計出版社，2010.