“强内控、防风险、促合规”——国务院国资委发布“101号意见”
发布时间:2019-11-26
文 | 郭青红 汇业律师事务所 合伙人
党的十九届四中全会作出了“坚持和完善中国特色社会主义制度,推进国家治理体系和治理能力现代化”的重大战略决定。就国有经济制度建设,全会明确进一步深化国有经济、国有企业和国资监管三大改革任务,要求增强国有经济竞争力、创新力、控制力、影响力、抗风险能力,做强做优做大国有资本,深化国有企业改革,形成以管资本为主的国有资产监管体制。
国务院国资委于2019年10月19日发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规【2019】101号)(以下简称“国资委101号意见”),顺应我国国有企业改革和依法治企要求,对认真落实党中央、国务院关于防范化解重大风险和推动高质量发展的决策部署,进一步提升企业防范化解重大风险能力,加快培育具有全球竞争力的世界一流企业,具有重要指导意义。
一、国资委101号意见的主要内容
(一)明确健全内控体系的主要内容
1. 阐明了中央企业内控体系的主要内容,即优化内控体系、强化集团管控、完善管理制度和健全监督评价体系,要求 “强内控、防风险、促合规”。
2. 明确了风险管理、内控与合规的关系,即:(1)风险管理为导向;(2)合规管理监督为重点;(3)内控体系是根本和基础,风险管理和合规管理要求须通过嵌入内控制度流程来实现。
(二)明确企业内部内控的组织体系
1. 明确中央企业主要领导人是内控体系监管工作第一责任人,负责组织领导建立健全的内控体系。
2. 要求中央企业明确专门职能部门或机构统筹内控体系工作职责。
3. 要求落实各业务部门内控体系有效运行责任。
4. 企业审计部门应加强内控体系监督检查工作,准确揭示风险隐患和内控缺陷,进一步发挥查错纠弊作用。
(三)明确建立内控管理制度体系
要求完善管理制度,及时将法律法规等外部监管要求转化为企业内部规章制度,在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求,并将违规经营投资责任追究内容纳入企业内部管理制度中,强化制度执行刚性约束。
(四)强化内控体系运行机制,提高重大风险防控能力
1. 加强重点领域日常管控,包括关键业务、改革重点领域、国有资本运营重要环节、投资并购以及境外国有资产监管等。
2. 加强重要岗位授权管理和权力制衡。
3. 健全重大风险防控机制。
(五)明确内控保障机制
1. 加强信息化管控,强化内控体系刚性约束。
2. 健全监督评价体系。要求加强监督评价力度,将风险、合规管理制度建设及实施情况纳入内控体系监督评价范畴,制定内控缺陷认定标准、风险评估标准和合规评价标准。要求全面实施企业自评,加强集团监督评价,强化外部审计监督,建立健全与内控体系监督评价结果挂钩的考核机制。
3. 强监管,严问责。要求建立出资人监督检查工作机制,充分发挥企业内部监督力量(包括监事会、内部审计、纪检监察、企业内部巡视巡察等),强化整改落实工作,严格按照《中央企业违规经营投资责任追究实施办法(试行)》(国资委令第37号)等加大责任追究力度。
二、强基固本,正本清源
关于企业内部控制,我国有关部委在不同时期发布了相关的指引和规范。
国务院国资委于2006年6月6日发布《中央企业全面风险管理指引》。第六条规定,内部控制系统是指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。第九条要求企业以对重大风险、重大风险事件的管理和重要流程的内部控制为重点,积极开展全面风险管理工作。
2006年,上交所和深交所先后发布《上市公司内部控制指引》,要求上市公司加强内部控制,规范运作和发展,提高风险管理水平,保护投资者合法权益。
2008年5月22日,财政部等五部委发布《企业内部控制基本规范》规定,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。企业内部控制要素包括:(1)内部环境,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等;(2)风险评估,包括风险识别、分析评价和风险应对;(3)控制活动;(4)信息与沟通;(5)内部监督。
2010年4月15日,财政部等五部委发布《企业内部控制应用指引》,针对企业组织架构、组织结构的运行、发展战略、人力资源、社会责任(包括安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护等)、企业文化、资金活动(包括筹资、投资、营运等)、采购业务、资产管理、销售业务、研发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等覆盖企业经营管理的十八个领域提出了详细的内部控制指引。
早在2012年5月7日,国务院国资委和财政部联合发布了《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价【2012】68号),要求中央企业扎实开展管理提升活动,确保2013年全面完成集团内部控制体系的建设与实施工作,夯实基础管理工作:(1)企业主要负责人应切实加强内部控制体系建设的组织领导;(2)建立专职机构或牵头部门具体实施;(3)内部控制与监督评价(审计)相分离,明确内部审计负责内部控制评价工作;(4)健全内部控制责任,将内部控制建设与执行效果纳入绩效考核体系。
国务院国资委于2019年10月19日发布101号意见,要求建立健全以风险管理为导向、合规管理监督为重点,严格落实各项规章制度,将风险管理和合规管理要求嵌入业务流程,实现“强内控、防风险、促合规”的管控目标,切实全面提升内控体系有效性。国资委101号意见强调内部控制体系对中央企业的强基固本作用,实则是正本清源。
三、问题和建议
1. 明确内控与风控、审计、合规之间的关系
有些企业存在强化审计与风控、弱化内控的现象。有的企业将内控、审计、合规、法务、纪检监察都合署成立一个大的部门。有的企业将内控、合规设在审计部内作为审计部的一个科室。有的企业将内控设置在财务部门。
产生上述现象的原因有很多。一是我国各部委在不同时期发布实施了企业全面风险管理指引、内部控制基本规范及配套指引、内部审计指引、合规管理指引等。这些指引发布时间不同,角度各异,关注的重点存在差别。二是风险管理、内部控制、内部审计、合规管理本身在理论基础、管理框架、组织架构、管理流程等方面都存在趋同性和交叉性,导致企业对他们在内容、功能等方面的差别理解不甚透彻。
建立专门的内控部门,审计和内控相分离,国务院国资委和财政部早在2012年5月7日联合发布的《关于加快构建中央企业内部控制体系有关事项的通知》已经明确规定。审计作为合规风险的第三道防线,从理论和法律角度都应独立于第二道防线的内控、风控与合规。但仅这一点,我国一些企业还没有落实到位。
根据《企业内部控制基本规范》,风险管理是内控的第二大要素,保证企业经营管理合法合规是内控的四大目标之一。因此,从内涵和外延来讲,风控与合规都属于大内控范畴。国资委101号意见就此进一步明确了风险管理、内控与合规的相互关系,即:(1)风险管理为导向;(2)合规管理监督为重点;(3)内控体系是根本和基础,风险管理和合规管理要求须通过嵌入内控制度流程来实现。
我们建议:(1)审计部门与其他部门相独立,真正发挥其独立监督作用;(2)建立大内控部门,包括内控、风控、合规与法务职责,按照国务院国资委2015年12月8日《关于全面推进法治央企建设的意见》真正建立这四个方面的一体化管理平台。
2. 关注内控体系的有效落地和执行
不少企业聘请咨询机构建立了强大的内控体系,内控制度流程多达上千个甚至数千,但尚未有效落地实施者不少,执行效果不佳。有的企业将内控职责分散在不同部门管理,导致制度流程不能体系化,相互交错,甚至相互矛盾。
加强内控体系有效落地和执行,需要在以下方面具体落实:(1)组织上,真正落实企业主要领导人员作为内控体系监管工作第一责任人的职责,落实、充实内控部门的内控管理职责;(2)制度上,统筹梳理、修改、简化现有内控体系制度和流程,使之体系化并协调融合,有机融入业务流程;(3)运行上,落实各业务部门作为风险第一道防线的主体职责,对内控体系的有效运行承担首要责任;(4)保障上,落实内控管理评价、审计、监督、考核和问责机制。
3. 入乡随俗,关注境外经营的内控管理
我国企业境外经营的内控管理、风险管理与合规管理没有得到足够的重视。企业境外投资经营的全资、合资子公司从成立伊始,内部控制体系的组织、制度、运行机制和保障机制建设就须同步跟进,并在此基础上加强风险防控与合规管理。
企业境外投资经营的内控、风控与合规管理,需要同时要兼顾中国以及经营所在地法律、法规和政府监管要求,并接受境内集团总部的管控。
4. 与时俱进,关注内控体系内容的调整和发展
我国《企业内部控制应用指引》针对企业经营管理的十八个领域提出了详细的内部控制指引,涵盖了企业经营管理的各个层级和各个方面。但是,随着社会经济的飞速发展,新的法律法规、企业新的业务领域和部门也在不断产生和调整。企业需要根据自身业务发展和经营的实际需要,对企业内控体系不断进行研究探索、调整和发展,对现有内控体系进行修改、补充,将内控制度和管控要求嵌入新业务领域的业务流程,有效防控新业务领域的各种风险。