来源:南京卓远
广东、安徽、江西、辽宁、苏州、沈阳多地均发布了内部控制体系建设*策,在此背景下,城市国企也越来越将内部控制作为强基固本的重要抓手。但部分地区对内控边界认知不清晰,导致真正的执行落地水平大打折扣。另外,制度执行力较低、监督不力、缺少有效的反馈机制等问题也使得整合优化内部控制路径迫在眉睫。那么内控究竟是什么?其与风控、合规、管控的区别在何处?城市国企又该如何设计内控优化路径?本文将从三个方面对此进行解答。
一、内部控制内涵
(一)内部控制定义
1、COSO委员会对内部控制的定义
年,COSO委员会(全美反舞弊性财务报告委员会发起的组织)发布了《内部控制框架》,年,COSO委员会对年发布的《内部控制框架》进行了修订和完善,将内部控制定义为:
内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。
2、国家五部委对内部控制的定义
年,中国财*部联合国家五部委(财*部、证监会、审计署、银监会、保监会)在年版COSO委员会《内部控制框架》的基础上颁布了《企业内部控制基本规范》,给出内部控制定义为:
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
3、国资委对内部控制的定义
年,国资委出台《关于加强中央企业内部控制体系建设与监督工作的实施意见》,提出内部控制体系的概念:
以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系。进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念,通过“强监管、严问责”和加强信息化管理,严格落实各项规章制度,将风险管理和合规管理要求嵌入业务流程,促使企业依法合规开展各项经营活动,实现“强内控、防风险、促合规”的管控目标,形成全面、全员、全过程、全体系的风险防控机制,切实全面提升内控体系有效性,加快实现高质量发展。
(二)内部控制边界界定
1、内部控制与风险管理的关系
风险管理指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
风险管理的范围要比内部控制大,内部控制是风险管理工作的组成部分,风险管理包含内部控制,但是风险管理不能代替内部控制。风险管理识别企业整体的可控风险、不可控风险以及机会,内部控制进行控制的则是可控风险。
2、内部控制与合规管理的关系
合规管理是指企业通过制定合规*策,按照外部法规的要求统一制定并持续修改内部规范,监督内部规范的执行,以实现增强内部控制,对违规行为进行监测、识别、预警、防范、控制、化解合规风险的一整套管理活动和机制。
合规是内部控制的目标之一,合规管理的本质是合规风险管理,其仍然属于风险管理的范畴,而对制度合规性的内容又属于内部控制的范畴。比如一家建筑企业中的财务制度是基于会计法等相关法律制定的内部规范,但是未涉及到关于食品安全的相关内部规范,那么财务合规是内部控制与合规管理所需要共同管理的领域,员工食堂出现了违反食品安全法的事件则属于合规管理但不属于内控管理。
3、内部控制与管理控制的关系
管理控制是指管理者通过影响组织中的其他成员达到实现组织战略的过程。
管理控制是基于实现组织战略的一系列过程,内部控制是这一系列控制过程中的一个,管理控制包含内部控制。比如某企业基于发展需要制定了战略规划,并通过一系列举措督促规划落地,这一系列举措都是管理控制,但不一定是内部控制。
图1内部控制与管理控制、风险管理、合规管理关系示意图
二、国资委内控*策梳理
(一)*策梳理
基于城市国企内部控制的研究主题,本文重点梳理国资委的内部控制*策如下表3-1所示。国务院国资委在COSO内部控制框架之外,于年提出内部控制体系的新概念,强调内部控制与风险管理、合规管理的协同性,提出内控体系“强内控、防风险、促合规的管控目标”,后续通过各年度内部控制体系建设与监督工作的*策文件监督三位一体内部控制体系的落地。
表1国务院国资委内控*策梳理
表2各地方国资委内控*策梳理(部分)
(二)梳理结论
各地方国资委的相关内部控制体系的*策是依据国务院国资委的文件结合本级监管范围内企业制定的,本质上同国务院国资委的相关*策一致。而国务院国资委年号文的“加强内部控制体系建设”是在年68号文要求的“内部控制体系建设”在年底实现全覆盖的目标达成的基础上提出的。号文强调内部控制与风险管理、合规管理的协同性,打开了内部控制的思路,但并不是将内部控制与风险管理、合规管理划等号。
三、城市国企内控体系建设的运作思路
(一)城市国企内控体系的基础
《企业内部控制基本规范》及配套指引给出了城市国企内控体系建设的基本要求,《企业内部控制基本规范》是内控体系建设的底线和基本功,该体系建设重点涵盖5要素:内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。
图2内部控制体系五要素示意图
(1)内部环境。内部环境是五要素之首,是整个内部控制体系的基础和环境条件,一般包括组织结构、企业文化、制度建设三个方面。
组织结构上分为三类:第一类是风险管理部门和董事会下风险管理委员会等组织,该类组织对整体风险进行分类,筛选出属于内部控制体系范畴所管理的风险;第二类是相关职能部门和业务单位,该类组织是内控体系中各类控制的直接参与组织;第三类是内部审计部门和董事会下审计委员会等组织,该类组织以相对独立的角度来发现建设内控体系,并完善内控体系。
企业文化是内控体系中的人心保证,优秀的企业文化能促进企业内部控制能力的提高,良好的内部控制制度可以反过来推动企业文化的传承与发展。
制度建设是连接各组织结构运转的桥梁,通过制度建设可以将内部控制的落实到各个部门及各个岗位。
(2)风险评估是实施内部控制的重要环节,是实施控制的对象内容。包括风险识别、风险分析和风险应对三个环节。
风险识别方面,企业应及时识别、系统分析经营活动中与实现内部控制目标相关的风险。风险分析方面,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定