冯萌博士  宋志强  王家兴

表１ 中央企业内控体系建设相关文件要点归纳

从本文第一部分所提出的四个方面，对国资厅监督〔2021〕299号文的分析如下：

（一）风险的识别、评价与策略制定

  1.主要文件条款

“不断加强重大经营风险季度监测工作，参照国资委《2021年度中央企业风险分类监测指标体系》，科学合理设置突出反映所属行业及本企业特点的风险量化监测指标，着力将风险监测对象由事后向事前延伸、由表内向表外延伸、由集团向基层延伸，按季度汇总分析本企业重大经营风险状况，形成季度风险监测报告。”

“在对 2021 年发生重大风险事件进行全面盘点和深入分析的基础上，结合本企业所处行业、国内外市场环境及大宗商品价格等风险形势变化，科学识别重大风险类型，客观反映风险特征，有针对性地提出风险应对措施，形成企业 2022 年度重大风险评估报告。”

“做好重大经营风险防控应对工作，及时搜集了解所在国家（地区）政治、经济、社会、安全、舆情等国别风险信息，明确风险预警触发条件，并将境外国别风险纳入重大经营事项决策前专项风险评估范围。”

  2.落地建议

上述条款主要提出了风险识别与评价的范围、程序、标准和成果输出工作要求。对此，我们提出的落地建议包括：

1）搭建风险管理基本流程，主要包括：基础风险信息采集及上报、风险识别与评价、风险沟通宣贯、选择风险策略、制定风险控制措施等关键环节；

2）建立风险管理配套组织职能，主要包括：基础风险信息采集职能、风险信息分析处理职能、风险评价/决策职能；

3）灵活应用风险识别方法及工具，选择合适的风险分类框架及颗粒度、采用业务分析、经营情况检查、风险研讨会等手段，从风险源、业务流、历史风险事件、区域/产品线等多角度识别风险；

4）在上述风险管理工作的基础上，输出风险管理成果，如风险清单/矩阵、风险预警指标、重大风险评估报告、风险监测报告等；

5）针对重大风险建立预警机制，具体通常包括：指标设计、阈值设定、数据归集、预警触发、预警处置程序等内容。

（二）内部控制措施工具选择

  1.主要文件条款

“各中央企业要牢固树立依法合规经营意识，坚持用法治思维和法治方式深化改革、推动发展，大力倡导和弘扬人人守纪律、重程序、知畏惧、守底线的内控文化，营造尊重内控、支持内控、自觉接受内控约束的良好内控环境。”

“对存在未体现国家法律法规等外部监管规定、缺乏内控要求和风险应对措施、不符合不相容职务分离控制和授权审批控制等相关内控要求，以及专项风险评估、内控体系监督评价、责任追究制度规定不健全等情形的，要及时修订完善内控制度，不断增强内控制度体系的科学性、系统性和有效性。”

“结合本企业信息化建设总体规划，加强内控体系信息化顶层谋划，充分利用现有信息化系统，通过完善内控信息系统权责设置、提高重要领域和关键环节的信息化覆盖率、动态分析异常业务信息等措施和方式，健全内控体系全流程信息化管理功能，将控制节点和控制要求固化嵌入信息系统。定期摸排重要领域和关键环节的信息化管控现状，对信息系统中审批流程、权限设置等存在缺陷以及未纳入信息系统的关键控制点。”

  2.落地建议

上述条款要求企业在风险评价的基础上，积极利用文化建设、授权、牵制、监督、信息化等控制措施工具。对此，我们提出的落地建议包括：

1) 企业结合自身战略、业务构成、组织架构及风险评价结果等因素，科学选择文化建设、职责设定、规划、设立账簿（财务账簿及管理台账）、资产保护、表单与记录、考核与奖惩、流程与标准、信息化等内控措施工具；

2) 利用信息化手段提升企业内控效果，如：将流程进行线上固化；实现过程留痕、责任明确；实现信息互通及相关数据交叉核对；实现权限管控，遏制越权；实现在线监控并识别异常；实现智能审核；实现进度/效率监控等。同时企业应充分关注与信息系统自身相关的各类风险，如系统稳定性、数据安全性、系统权限管理等风险。

3) 企业在应用内控措施工具时，应遵循风险导向、可操作性以及成本效益等原则。

（三）对关键业务循环中重大风险的应对

  1.主要文件条款

“结合中央企业集团‘十四五’战略规划目标和措施要求，分领域、分步骤有序开展内控制度标准化建设工作，按照主要业务领域、核心业务流程、关键控制环节、合规评价标准等维度类型，构建分层分类的制度体系框架，促进形成系统完备、层次分明、相互衔接、务实管用的内控制度标准化体系，并于2022年底前抓紧完成资金、金融、招投标、购销领域等重要业务内控制度标准化工作。“

“坚持问题导向和目标导向相统一，着力加强投资、资金、招投标、购销业务、金融业务等薄弱环节的内控，完善内控执行监督问责和考核评估机制，强化内控执行刚性约束。“

  2.落地建议

上述条款主要强调企业应识别重点业务领域，并制定标准化的内控制度。设定业务循环场景，有助于限定管理范围、聚焦关键问题，是进行企业内控体系搭建的主流实务方法。围绕这个方法，我们提出的落地建议包括：

1) 企业可结合业务特点、组织架构、职责体系，同时考虑整体战略、行业特点与业务模式、风险识别与评价结果以及外部监管等关键要素，基于MECE原则划分若干业务循环。

2) 针对具体的业务循环，企业可按照下述步骤开展内部控制设计：

a) 梳理业务运作模式，如业务内容的输入、处理及输出；

b) 从战略、运营、财务报告及合规等方面明确业务循环的控制目标；

c) 识别与评价该业务循环典型风险，选择控制措施工具；

d) 设计业务循环组织架构、职责及授权体系；

e) 对业务循环进行环节划分、控制点设计、流程标准制定、信息及凭证记录流转等内容；

f) 以业务循环为单位形成内部控制成果，主要包括管理制度、内控手册、风险矩阵等（本文统称“内控文件”）。

需要强调，企业各个业务循环/流程之间往往存在关联，企业在实施特定业务循环建设时，应同时考虑其相关（如上下游）循环/流程具体情况。

（四）内部控制体系的建设、落地及监督评价

  1.主要文件条款

“各中央企业要持续强化组织领导体系建设，建立健全党委（党组）顶层谋划、主要领导亲自负责、董事会（或类似决策机构）全面领导、内控职能部门主责推动、业务职能部门协同配合的内控建设与监督管理体制；切实发挥内控职能部门统筹协调、组织推动、督促落实、监督评价的作用，压实内控建设和监督主体责任，进一步充实内控部门人员力量，提供必要的工作组织保障，形成领导有力、职责明确、流程清晰、规范有序的内控工作机制。“

“建立健全内控制度制定、评估、改进等工作机制，定期开展制度梳理，确保将外部监管要求及时转化为企业内控规定，内控规定有效嵌入生产经营管理全流程并覆盖落实到全体员工。“

“持续推动各级子企业健全内控执行有效落实保障机制，加强内控执行的穿透监管，对违规问题紧盯不放、一查到底，坚决纠正根除内控执行中‘搞变通、打折扣、不落实‘等顽瘴痼疾，使内控监督真正‘长牙’‘带电’。“

“各中央企业要按照101号文件要求，认真组织所属子企业全面规范有效开展内控自评价，对新兴业务、高风险业务以及风险事件频发的领域每半年至少要自评价一次。“

“持续开展境外内控执行合规监督工作，重点监督检查境外监管制度实施和境外内控体系建设情况，以查促改、以查促建，推动企业进一步完善制度、强化管控，提升境外企业依法合规经营能力。“

“针对企业内控体系自评价、集团监督评价、内控审计发现以及外部审计、监督检查移交的内控缺陷和问题，形成工作台账、逐项落实整改，不断优化内控体系。“

  2.落地建议

上述条款强调了企业高层在内控体系中的领导作用，并要求通过强化建设、监督、评价力度等手段，提升内控体系的落地执行效果。围绕这些内容，我们提出的落地建议包括：

1) 由于内控具备“从上至下”的特征，企业高层在内控体系中的作用非常突出，企业应明确高层在内控建设中的关键职能，如设定企业内控整体基调、确认内控体系所需的战略输出、确认关键风险评估结果、进行清晰明确的授权、强化问责奖惩，进而推动内控措施真正落地；

2) 企业应建立持续运行的内控工作闭环，通常包括：整体规划、梳理流程、风险评估、内控有效性评价、缺陷弥补、内控文件编制/修订、内控自我评价、内控审计、奖惩问责等内容；

3) 提升内控体系的可落地性：

a) 提升文件自身管理水平并加强相关主体间的协调

• 实现内控文件专业归口管理；

• 制定清晰的整体内控文件框架、类别与层次体系；

• 明确与内控文件日常管理（如文件的编制、评审和下发）相关的配套流程、权限和标准；

• 采取措施实现“内控文件编写人”、“内控文件执行人”与“上级管理者”间的有效协调。

b) 提高内控体系的整体可操作性

• 与企业基础资源匹配，如人员素质、信息化水平等；

• 内控文件实操要素完备、易于理解、充分考虑可能发生的异常情况；

• 内控文件试运行、过渡期管理机制健全。

表2 重点工作清单及关键成果

- END -