文章来源：果信求实管理咨询

作 者：国信求实

按照往年的节奏
，各中央企业已经接到了国资委改革局发布的《关于中央企业开展2020年全面风险管理工作的通知》

，正在准备让各下属单位开展2020年度风险评估，编制年度风险管理报告
。但是今年
，各央企没有接到这个通知，而是收到了国资委综合监督局的《关于加强中央企业内部控制体系建设与监督工作的实施意见》。这也是自68号文之后，时隔七年国资委第一次发布专门的内部控制的工作文件。

目前已有很多专家对该文件内容进行了各种解读。我们就不再逐条就内容和文字做重复工作了
。写这篇文章的目的，是结合着前期参与两次征求意见的过程
，对比这个正式稿
，和大家聊聊我们的认识

，并谈谈下一步企业的内控工作
。

我们拟了12个具体的问题，下面来逐一回答。

1
、文件的主要内容和核心要求是什么？

该文件分别从内控体系建设
、内控体系执行和内控监督等三个方面
，分为5个部分16条，具体参见下图1
。

图片来源于国信求实管理咨询

文件的核心要求是：

（1） 从监督视角推动风险管理

、内部控制及合规管理工作的协同；

（2） 利用制度为载体，把风控合规
、违规追责的要求落实和制度建设协同；

（3） 抓好“三重（重点领域、重要岗位和重大风险）”相关的内控；

（4） 自评
、上评和外审相结合的评价监督
；

（5） 监督成果运用和整改落

2、文件有要求风险管理、内部控制体系、合规管理体系的“三合一”吗？

没有。

最早该文件的立意是希望能够通过该文件推动各企业就风险管理、内部控制和合规管理三个体系性工作的整合管理。在5月27日和9月30日两版征求意见稿中，都表述为“以风险和合规管理为导向

、内控管理为核心的一体化内控体系”
，但正式稿里改为“以风险管理为导向
、合规管理监督为重点，严格、规范

、全面、有效的内控体系”
。之所以这样，可能和评价局（内控体系）
、改革局（风险管理）
、法规局（合规管理）及综合监督局之间就三项工作的职责划分还未确定有关系。

除了上述内容外，还有几处修改可以体现出“三合一”的监管意图未能成行：

• 5.27稿尝试这样界定三者之间的关系：“把内控作为风险和合规管理的重要基础、风险管控和合规经营作为内控的基本目标”
  ；9.30稿和正式稿均删除相关表述
  。
• 9.30稿要求央企“整合优化内控
  、风险和合规管理相关制度
  、机制及流程”、“明确专门部门…推动内控、风险和合规管理一体化与集约化”等
  。正式稿中均删除相关表述。
• 9.30稿要求“全面梳理整合内控、风险和合规管理相关制度”，正式稿中删除“整合”字样。

3、企业可以根据实际情况推动风险管理、内部控制体系

、合规管理体系的“三合一”吗？

可以。

企业内部现在各类体系化管理活动非常多
，并且各体系互相独立，甚至每个体系都有各自的“书”
。实际上
，每一个管理体系，不管是出于上级要求
、经营要求（投标
、销售），还是自身管理需求
，都会开宗明义强调体系要与经营管理活动相融合（基于流程, process-based），要为公司战略和绩效服务（风险导向risk-oriented），要持续改进提升（PDCA）。每个体系落地无一例外的选择手册（介绍体系基本情况） 制度/流程/系统。所以，企业完全可以协同整合不同的体系
，并且把每一个体系的要求都落实到“企业实际的”经营管理活动过程中，通过“同一套”制度/流程/系统等管理工具实现落地。具体示意参考图2。

图2 整合管理体系示意图

4、对内控体系建设有什么新的要求吗
？

没有。

该文件有一个假设前提，就是2012年68号文要求的各中央企业内部控制体系建设在2013年底实现全覆盖的目标已经达成。所以文件更多是从运行和持续优化角度强调了如下几点
：

（1）思路要打开
。不要就内控谈内控
。要与风险管理、合规管理（监督）协同

（2）工具要优化。体系需要通过“工具”落地，而工具要落实“管理制度化、制度流程化、流程信息化”的优化理念
。结合“内控信息化”部分的要求，体系落地的工具载体优化的理念应该发展为“管理工具的新四化”，即“管理制度化
、制度流程化、流程信息化、信息智能化”。

（3）制度要管用。制度作为管理落地工具之一
，要把风险、内控
、合规对相关业务的要求，以及违规追责的要求等落实到制度中
。通过流程、信息化等方式确保制度的执行。用内控评价监督来发现制度执行的问题。用考核
、追责等来确保制度刚性。

（4）内控评价，除了对重要流程和关键环节的控制措施进行评价外
，还要对风险管理及合规管理的有效性评价监督。

5
、内控组织机构的设置必须要“建评分离”吗？

没有。

“建评分离”是2012年68号文里面的提法。5.27稿有类似的提法，但9.30和正式稿中均删除了。这里面的核心问题在于“内控主管部门”是否可以开展“内控评价”。事实上这个当然是可以的，而且是应该的
。有些人认为不能“自己评价自己”，违反了“独立性”
。这种论点是对内控发展的历史
、“独立性”概念和“三道防线”概念的误解所形成：

（1） 实施萨班斯（SOX）的企业，都是围绕着“财务报告相关的内部控制体系建设”
，一般会由财务部负责，面对SEC的要求，确实不能“自己评价自己”，一般都是审计部负责评价。而2012年后中国大部分公司开展的都是“全面内控体系”
，内控主管部门往往没有专业的业务管理职能，所以就不存在“自己评价自己”的忧虑了。

（2） 内审部门对内控的“独立”监督并不是通过开展“内控评价”来实现的

，而是通过各种审计、专项监督等活动
。

（3） 内控建设和执行的第一主体责任是企业各部门/机构，而不是 “内控主管部门”。

（4） 无法理解的可以看看安全
、质量、环保等成熟的体系评价工作是不是由审计部来负责的。体系主管部门如果连基本的监督手段都没有
，就只能沦为“信息传递和沟通”的功能，那基本就没有“体系管理常态化职能”存在的必要了
。

6、还需要开展年度风险评估吗？

需要
。

虽然综合监督局还没有就《年度内部控制工作报告》的模板和时间发文，但是因为风险管理
、内部控制相关监管职责有消息显示已明确移交至监督局
。根据文件要求，这个年度报告里面应该会包含原风险管理报告中相关内容。特别是其中涉及到对上年度重大风险应对情况的监督回顾和下年度重大风险的分析和应对部分，较大可能仍然是监管报告的重点。

如果把原风险管理报告和内控评价报告合二为一
，披露的时间预计会在每年的5月份（考虑到下属上市公司年度内控评价披露时间为430之前）。不过直到今年年底
，也没有发布关于此项工作的具体通知文件。（1月2日已收到）不管有没有文件，年度风险评估都是企业一项非常重要的工作
。实务中，不少企业已经在探索年度风评工作与务虚会、预算会等协同。

7、内控运行有什么新的要求吗？

有。

主要是把风险管理、“不能腐”体制机制（廉洁风险防控）、合规管理等领域出现的一些新提法融入内控中。例如
，文件要求内控体系的运行重点是围绕着“三重”：即重点领域的日常管控
、重要岗位授权管理和权力制衡

、以及重大风险的防范和化解。其中重点领域的日常管控的说法较多见之于法治建设、国企改革
、风险管理等相关文件
；而重要岗位授权管理和权力制衡的说法较多见之于惩防体系建设
、廉洁风险防控
、“不能腐”体制机制建设，以及合规管理等
；重大风险防范和化解更多见之于更高阶的中央及国务院的报告
、领导人的讲话中
。

如果我们一定要进行逻辑解构的话，可以这么来理解：该文件要求内控的运行要抓好重点业务的内控、重要岗位的内控和重大风险的内控。这和传统的内控运行（制度及流程的执行、优化改进）等提法相比，内涵更加丰富。

8、如何做好重点领域的内部控制
？

首先我们需要搞清楚什么是重点领域
？如何确定公司的重点领域。

文件用枚举的方式列示的重点领域包括：关键业务、改革重点领域、国有资本运营重要环节以及境外国有资产监管等。还提到了投资并购、改革改制重组等重大经营事项等。从理论上来说
，重点领域可以通过风险评估，确定出高风险等级的领域

。但实务中，更为简单的方式就是“三重一大”事项相关的领域或流程
，都可以算上是公司的重点领域。

重点领域的内部控制
，其要求就是“加强日常管控”。具体包括两个方面的工作：

其一是发现问题及整改
。通过定期梳理
、内控评价、内外部审计、巡视、监察以及其他专项检查等工作，发现上述领域存在的内部控制设计不足（如制度缺失、职责不清、冗余控制效率低下等）、执行问题（有章不循、“形式主义”—橡皮图章、“官僚主义”—推诿扯皮等）
。

其二是风评支撑决策。对重大的事项，如被认定为“重大经营事项”相关的项目、方案
、合同、活动等
，在进行决策前，要求企业必须开展围绕着“事项”专项风险评估，并且明确要求企业必须在内控设计上必须把“风险评估报告”作为重大经营事项决策的必备支撑材料。对于超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。

这里需要重点提示大家几点注意事项：

（1）在相关制度里面界定清楚公司的“重大经营事项”的范围。要是没有，等到“出问题”责任定性的时候就会陷入被动
。

（2）搞清楚“重大经营事项”不等于“三重一大”事项
。如果为了图省事，直接应用公司“三重一大”事项清单。自己放大专项风评的范围
，万一碰到国审或巡视
，一查会议材料，少一个风评报告
，你怎么解释？

（3）搞清楚“专项风评报告”具体是什么？是一个名字中包含“风评报告”的单独文件
？还是只要在某些文件中有风险、风险应对措施和处置预案的内容即可？这个问题是一个模糊帐。但是从国资委此前发布的投资监管和境外投资监管相关文件的提法
，以及现在对不少企业实践活动的观察，我们发现共性的理解是要有一个单独的、独立的“报告”——也就是说，不可以用项目建议书、可行性研究报告或尽职调查报告等替代——虽然这些报告中通常也会包含风险及风险应对相关的内容。当前环境下
，对国企来说，实质固然重要
、形式也不可偏废
。

（4）“超出企业风险承受能力”是一个什么概念？这个问题不展开
，改天在百问系列里面专门设一问来回答
。

9
、如何做好重要岗位的内部控制
？

首先我们需要搞清楚公司现有的内部控制制度里面有对“重要岗位”进行明确的界定，甚至给出重要岗位清单吗
？如果没有的话，如何确定重要岗位
？有没有确定的标准？

文件中并没有界定或者给出示例，只是提出了重要岗位和关键人员的概念。类似的提法在惩防/廉洁风险/不能腐体制机制里面有重点部门和关键岗位、关键少数，特别是“一把手”等；而合规管理里的提法是重点人员
，包括管理人员、重要风险岗位人员、海外人员和其他需要重点关注的人员。这些工作都提出了从部门、岗位和人的角度落实廉洁、合规风险的职责
，但提法不一样，事实上关注的“重要”岗位和人也确实有差异。

我们需要厘清重要岗位与高风险岗位
、领导岗位
、重要岗位人员（关键人员）等概念之间的差异。

确定重要岗位的标准，个人觉得廉洁风险/不能腐里面的一个提法比较有意思——“四集”：权力集中、资金密集


、资源富集、资产聚集。实务中可以围绕着四个维度构建重要岗位评估的标准
。至于高风险岗位的标准
，则需要设计岗位风险评估的准则
，这里不展开
。

重点岗位的内部控制
，其要求是“加强重要岗位授权管理和权力制衡”。核心是明确重要岗位和关键人员的职权，实现不相容职责分离，特别是采购、销售、投资管理
、资金管理、工程项目和产权(资产)交易流转等领域涉及的岗位职责权限及审批流程的设置。

内控执行中引入岗位和人，是监管机构对实践中存在的内控体系无法落地执行的一个重要的响应
。可惜该部分内容并没有谈到“痛点”
。我们观察到实践中内控执行的问题，关键不在于没有分权牵制和授权审批
，而在于权、责、利的割裂导致的授权体系和激励约束机制的崩坏。例如，很多国有企业非常注重审批流程，但很少有单位能够把一个合同或资金签批里面会有哪些风险？这些风险分别由谁来负责控制？这两个简单的问题说清楚
。

曾经碰到一个公司
，合同在OA中需要20多人签批，但大部分环节的“有权审批人”居然不知道审什么、为什么审
、怎么审
，也不清楚自己的签字要负什么责任。有的签字是对决策者提供专业咨询建议，而有的签字是可以直接说了算的。如何去协同权责利
？实践中可以去探索以风险为锚点
，来统筹、协同权力、责任和利益这三者

。

10、如何做好重大风险的内部控制
？

重大风险的内部控制，其要求是“强化企业防范化解重大风险全过程管控”。主要强调了三个方面
：

其一是对经营环境的变化（外部风险）的监测及趋势判断能力；

其二是对经营管理的缺陷和问题（内部风险）的整改及风险应对能力。

其三是针对集团型企业
，还需要做好企业间的风险隔离，设置好集团与下属公司、下属公司之间的“防火墙”
，防止风险扩散。

防化重大风险对央企来说，现在不仅仅是风险管理工作的事情，而是变成一个“政治任务”。事实上，每一个风险的防范措施和应对机制都是不一样的，甚至同一个风险事件，随着时间的不同，其风险防控的机制也可能出现很大的调整。

11、内控监督有什么新的要求吗
？

有

。主要是内控评价的组织方式有新的提法
。

传统的内控论述中的监督（monitoring），是一个“大监督”的概念，主要包括日常监督和专项监督。国企里面常见的各类内部监督的活动包括：月度经营分析会机制
、董事会定期会议、监事会监督
、内部审计、内控评价
、风险排查、法治第一责任检查
、“小金库”专项检查

、巡视、纪检、监察等。

该文件的内控监督
，主要是以内控评价为载体的“小监督”的范畴，主要包括自评
、上评、外审
、出资人监督以及监督结果整改和纳入绩效考核。

内控评价要求央企的下属单位每年有一个自评过程（评控制、评风险、评合规）
，有一个报告（按决策流程走）。央企集团每年有一个“上对下”的评价，必须3年覆盖全部子企业。集团还必须把海外资产纳入评价范围
。集团要把评价结果纳入各子企业绩效考核。每家央企每年需编制一个《内控体系年度工作报告》，除了报国资委外，文件要求要抄送公司的纪委或纪检组
、组织人事部门。

对部分人来说
，最关心的就是报告有什么变化。这个目前还没有见到通知中的模板。好处就是似乎风评报告、内控评价报告可以合成一个内控工作报告了。

实务中内控监督的问题主要是监督效能不足，检查多、效果差。而内控评价工作在有些企业则陷入到一种比较尴尬的境地：发现不了问题、或多为“细节化”的问题、问题和缺陷拎不清等
。

解决监督效能不足和评价形式化这两个难题的方式就是探索“整合监督”——内控评价作为内部控制“条线”对所有整合监督结果的一个“出口”而已
。这里暂不展开
。

12、内控信息化的要求是什么
？

内控信息化不是指内控工作的信息化（如绘制流程图
、识别风险点、问卷、测试等），而是如何把内控的各种手段
、机制和措施实现信息化。按照传统的内控五要素来理解信息化
：

内控信息化的发展方向是集成化、自动化和智能化

。随着数据驱动
、数据资产的理念逐步为大家所接受，传统的信息系统架构以及具体应用系统的开发理念也遭到了极大的挑战，现在主流的方向是云化、跨系统/平台化
、组件化等。