文 | 郭青紅 匯業律師事務所 合伙人
黨的十九屆四中全會作出了“堅持和完善中國特色社會主義制度,推進國家治理體系和治理能力現代化”的重大戰略決定。就國有經濟制度建設,全會明確進一步深化國有經濟、國有企業和國資監管三大改革任務,要求增強國有經濟競爭力、創新力、控制力、影響力、抗風險能力,做強做優做大國有資本,深化國有企業改革,形成以管資本為主的國有資產監管體制。
國務院國資委于2019年10月19日發布《關于加強中央企業內部控制體系建設與監督工作的實施意見》(國資發監督規【2019】101號)(以下簡稱“國資委101號意見”),順應我國國有企業改革和依法治企要求,對認真落實黨中央、國務院關于防范化解重大風險和推動高質量發展的決策部署,進一步提升企業防范化解重大風險能力,加快培育具有全球競爭力的世界一流企業,具有重要指導意義。
一、國資委101號意見的主要內容
(一)明確健全內控體系的主要內容
1. 闡明了中央企業內控體系的主要內容,即優化內控體系、強化集團管控、完善管理制度和健全監督評價體系,要求 “強內控、防風險、促合規”。
2. 明確了風險管理、內控與合規的關系,即:(1)風險管理為導向;(2)合規管理監督為重點;(3)內控體系是根本和基礎,風險管理和合規管理要求須通過嵌入內控制度流程來實現。
(二)明確企業內部內控的組織體系
1. 明確中央企業主要領導人是內控體系監管工作第一責任人,負責組織領導建立健全的內控體系。
2. 要求中央企業明確專門職能部門或機構統籌內控體系工作職責。
3. 要求落實各業務部門內控體系有效運行責任。
4. 企業審計部門應加強內控體系監督檢查工作,準確揭示風險隱患和內控缺陷,進一步發揮查錯糾弊作用。
(三)明確建立內控管理制度體系
要求完善管理制度,及時將法律法規等外部監管要求轉化為企業內部規章制度,在具體業務制度的制定、審核和修訂中嵌入統一的內控體系管控要求,并將違規經營投資責任追究內容納入企業內部管理制度中,強化制度執行剛性約束。
(四)強化內控體系運行機制,提高重大風險防控能力
1. 加強重點領域日常管控,包括關鍵業務、改革重點領域、國有資本運營重要環節、投資并購以及境外國有資產監管等。
2. 加強重要崗位授權管理和權力制衡。
3. 健全重大風險防控機制。
(五)明確內控保障機制
1. 加強信息化管控,強化內控體系剛性約束。
2. 健全監督評價體系。要求加強監督評價力度,將風險、合規管理制度建設及實施情況納入內控體系監督評價范疇,制定內控缺陷認定標準、風險評估標準和合規評價標準。要求全面實施企業自評,加強集團監督評價,強化外部審計監督,建立健全與內控體系監督評價結果掛鉤的考核機制。
3. 強監管,嚴問責。要求建立出資人監督檢查工作機制,充分發揮企業內部監督力量(包括監事會、內部審計、紀檢監察、企業內部巡視巡察等),強化整改落實工作,嚴格按照《中央企業違規經營投資責任追究實施辦法(試行)》(國資委令第37號)等加大責任追究力度。
二、強基固本,正本清源
關于企業內部控制,我國有關部委在不同時期發布了相關的指引和規范。
國務院國資委于2006年6月6日發布《中央企業全面風險管理指引》。第六條規定,內部控制系統是指圍繞風險管理策略目標,針對企業戰略、規劃、產品研發、投融資、市場運營、財務、內部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環境保護等各項業務管理及其重要業務流程,通過執行風險管理基本流程,制定并執行的規章制度、程序和措施。第九條要求企業以對重大風險、重大風險事件的管理和重要流程的內部控制為重點,積極開展全面風險管理工作。
2006年,上交所和深交所先后發布《上市公司內部控制指引》,要求上市公司加強內部控制,規范運作和發展,提高風險管理水平,保護投資者合法權益。
2008年5月22日,財政部等五部委發布《企業內部控制基本規范》規定,內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。企業內部控制要素包括:(1)內部環境,一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等;(2)風險評估,包括風險識別、分析評價和風險應對;(3)控制活動;(4)信息與溝通;(5)內部監督。
2010年4月15日,財政部等五部委發布《企業內部控制應用指引》,針對企業組織架構、組織結構的運行、發展戰略、人力資源、社會責任(包括安全生產、產品質量、環境保護與資源節約、促進就業與員工權益保護等)、企業文化、資金活動(包括籌資、投資、營運等)、采購業務、資產管理、銷售業務、研發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息傳遞、信息系統等覆蓋企業經營管理的十八個領域提出了詳細的內部控制指引。
早在2012年5月7日,國務院國資委和財政部聯合發布了《關于加快構建中央企業內部控制體系有關事項的通知》(國資發評價【2012】68號),要求中央企業扎實開展管理提升活動,確保2013年全面完成集團內部控制體系的建設與實施工作,夯實基礎管理工作:(1)企業主要負責人應切實加強內部控制體系建設的組織領導;(2)建立專職機構或牽頭部門具體實施;(3)內部控制與監督評價(審計)相分離,明確內部審計負責內部控制評價工作;(4)健全內部控制責任,將內部控制建設與執行效果納入績效考核體系。
國務院國資委于2019年10月19日發布101號意見,要求建立健全以風險管理為導向、合規管理監督為重點,嚴格落實各項規章制度,將風險管理和合規管理要求嵌入業務流程,實現“強內控、防風險、促合規”的管控目標,切實全面提升內控體系有效性。國資委101號意見強調內部控制體系對中央企業的強基固本作用,實則是正本清源。
三、問題和建議
1. 明確內控與風控、審計、合規之間的關系
有些企業存在強化審計與風控、弱化內控的現象。有的企業將內控、審計、合規、法務、紀檢監察都合署成立一個大的部門。有的企業將內控、合規設在審計部內作為審計部的一個科室。有的企業將內控設置在財務部門。
產生上述現象的原因有很多。一是我國各部委在不同時期發布實施了企業全面風險管理指引、內部控制基本規范及配套指引、內部審計指引、合規管理指引等。這些指引發布時間不同,角度各異,關注的重點存在差別。二是風險管理、內部控制、內部審計、合規管理本身在理論基礎、管理框架、組織架構、管理流程等方面都存在趨同性和交叉性,導致企業對他們在內容、功能等方面的差別理解不甚透徹。
建立專門的內控部門,審計和內控相分離,國務院國資委和財政部早在2012年5月7日聯合發布的《關于加快構建中央企業內部控制體系有關事項的通知》已經明確規定。審計作為合規風險的第三道防線,從理論和法律角度都應獨立于第二道防線的內控、風控與合規。但僅這一點,我國一些企業還沒有落實到位。
根據《企業內部控制基本規范》,風險管理是內控的第二大要素,保證企業經營管理合法合規是內控的四大目標之一。因此,從內涵和外延來講,風控與合規都屬于大內控范疇。國資委101號意見就此進一步明確了風險管理、內控與合規的相互關系,即:(1)風險管理為導向;(2)合規管理監督為重點;(3)內控體系是根本和基礎,風險管理和合規管理要求須通過嵌入內控制度流程來實現。
我們建議:(1)審計部門與其他部門相獨立,真正發揮其獨立監督作用;(2)建立大內控部門,包括內控、風控、合規與法務職責,按照國務院國資委2015年12月8日《關于全面推進法治央企建設的意見》真正建立這四個方面的一體化管理平臺。
2. 關注內控體系的有效落地和執行
不少企業聘請咨詢機構建立了強大的內控體系,內控制度流程多達上千個甚至數千,但尚未有效落地實施者不少,執行效果不佳。有的企業將內控職責分散在不同部門管理,導致制度流程不能體系化,相互交錯,甚至相互矛盾。
加強內控體系有效落地和執行,需要在以下方面具體落實:(1)組織上,真正落實企業主要領導人員作為內控體系監管工作第一責任人的職責,落實、充實內控部門的內控管理職責;(2)制度上,統籌梳理、修改、簡化現有內控體系制度和流程,使之體系化并協調融合,有機融入業務流程;(3)運行上,落實各業務部門作為風險第一道防線的主體職責,對內控體系的有效運行承擔首要責任;(4)保障上,落實內控管理評價、審計、監督、考核和問責機制。
3. 入鄉隨俗,關注境外經營的內控管理
我國企業境外經營的內控管理、風險管理與合規管理沒有得到足夠的重視。企業境外投資經營的全資、合資子公司從成立伊始,內部控制體系的組織、制度、運行機制和保障機制建設就須同步跟進,并在此基礎上加強風險防控與合規管理。
企業境外投資經營的內控、風控與合規管理,需要同時要兼顧中國以及經營所在地法律、法規和政府監管要求,并接受境內集團總部的管控。
4. 與時俱進,關注內控體系內容的調整和發展
我國《企業內部控制應用指引》針對企業經營管理的十八個領域提出了詳細的內部控制指引,涵蓋了企業經營管理的各個層級和各個方面。但是,隨著社會經濟的飛速發展,新的法律法規、企業新的業務領域和部門也在不斷產生和調整。企業需要根據自身業務發展和經營的實際需要,對企業內控體系不斷進行研究探索、調整和發展,對現有內控體系進行修改、補充,將內控制度和管控要求嵌入新業務領域的業務流程,有效防控新業務領域的各種風險。
