国企改革三年行收官之年，内控体系建设重要性日益突出

hua818

国企改革三年已进入收官之年。坚持稳中求进，定点爆破、针对性研究、防范风险高度统一。内部控制体系的建设变得越来越重要。 2019年，国资委印发《关于加强中央企业内部控制制度建设和监督的实施意见》（101号文），强调要“加强内部控制，防范风险，推动合规”，国有企业内部控制建设进一步深化。 2022年国资委印发的《中央企业合规管理办法》在2018年试行版的基础上，创造性地提出“中央企业要建立健全合规管理、法律管理、内控管理、风险管理立足实际，加强统筹协调，避免重叠和重复，提高管理效率。加之当前外部经济环境更加严峻，不确定性增加，风险加剧，内部控制的重要性在企业各项管理活动和经营活动中日益凸显，内部控制建设受到越来越多的重视。受到企业的关注。

一、开发流程

（一）内部控制的基本内涵

内部控制不是目标，而是实现目标的程序和方法。内部控制设计的初衷是防范风险。目前，内部控制往往被定义为贯穿企业经营全过程，由企业董事会、监事会、管理层和全体员工实施和影响的过程，其目的是为企业提供合理的内部控制。为实现某些目标奠定基础。保证，增强实现目标的确定性。这些目标包括：提高经营的有效性和效率，提高财务报告的可靠性和完整性，遵守相关法律法规，确保经营管理合法合规，最终推动企业发展战略的实现。 。

图1-1 COSO内部控制五要素

（二）我国国内控制的发展历史

国有企业内部控制体系的建设源于政府有关部门的大力推动，并得到迅速发展。从上市企业到非上市企业，从央企到地方国企，逐步拓展和深化。 2008年，财政部、证监会等五部委联合发布了《企业内部控制基本规范》，对内部控制进行了基本界定。 2010年，双方联合发布了《企业内部控制配套指引》，标志着我国企业内部控制规范体系基本建成。自此，国有企业内部控制体系的规范化建设也正式进入标准化阶段，这也是国有企业内部控制体系建设基本框架的源头。随后，国资委和相关部委陆续出台了众多政策文件，为国有企业内部控制管理提供了政策依据。 2012年5月，国资委印发《关于加快中央企业内部控制制度建设有关事项的通知》，提出各中央企业要加快内部控制制度建设，建立规范、规范的内部控制制度。按照《规范》及配套指引的要求，健全内部控制。系统。 2012年8月，财政部办公厅、证监会下发《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》，其中明确指出贯彻落实《中央和地方国有上市公司2012年实施企业内部控制规范体系》《全面推行企业内部控制规范体系》，国有企业内部控制管理体系建设开始加速。 2019年至2020年，国资委先后发布101号文、44号文、307号文，国有企业风险管理和内控建设大大加快，管控体系日趋成熟。

表1-1 我国内部控制体系建设政策发展历程

二、政策解读

101号文强调，要建立健全以风险管理为导向、以合规管理和监督为重点的严格规范、全面有效的内部控制体系。通过“强监督、严问责”、加强信息管理等措施，做到“强监督、严问责”，强化信息管理。 “内控、防范风险、促合规”管控目标，从而提高公司防范和化解重大风险的能力。随后出台的44号文、307号文，在落实相关规定的基础上，进一步探索和深化国有企业内部控制制度建设。现以101号文为基础，结合44号文、307号文对政策文件解读如下。

（一）推动企业构建“内控+风险+合规”三位一体的内控体系

101号文强调企业各类管理制度的有效整合。在企业实际经营管理中，内控、风险管理、合规管理、审计等都是具有“防御性检查性质”的制度。在操作框架、管理流程等方面存在一定的相似性，但同时，各个模块也因其自身的专业性和“防御”侧重点而具有自己独特的价值。因此，企业在实际操作中，可以明确各个系统框架下的要素，分析考虑这些领域在资源共享、信息共享等方面的协同潜力，减少资源的重复配置，提高整体管控效率。此次101号文件在前期理论和政策成果的基础上，结合企业实践中遇到的问题，创新性地提出“建立健全以风险管理为导向，以合规管理和监管为重点，严格、规范、全面、有效的内部控制体系，实现“强化内控、防范风险、促进合规”的管控目标，倡导企业构建“内控+风险+合规”三位一体的内控体系。

101号文强调，企业通过完善管理制度，落实三位一体的内部控制制度。管理体系的完善和规范是各项管理措施有效实施的有力保障。因此，101号文强调，企业应及时“在全面审视现有内部控制、风险与合规管理体系的基础上，遵守法律法规和其他外部监管要求”。转化为公司内部规章制度”，持续动态完善公司管理制度。307号文强调，要深化制度整合优化，建立以内控为主导的“1+N”内控体系制度建设过程中，我们重点关注两个方面，一是内部控制制度与业务的融合，明确重点业务领域和关键环节的控制要求和风险应对措施。 、内控体系整合和管理制度，强化经营管理中的内控管理，提高制度执行的刚性约束。

（二）明确企业内部岗位职责分工，强化权责管理、控制、协调和考核

清晰的组织架构和职责分工是企业构建内部控制制度的基本环境，也是制度实施的重要保证。一方面，101号文明确了企业决策层、执行层、监督层在内部控制体系中的具体职责分工。其中，“一把手”为第一责任人，业务部门作为一线部门，负责内部控制运行情况，企业审计部门负责监督检查； 44号文还提出，企业主要领导应为第一责任人，并明确企业内部应设立专门的职能部门或机构，协调内部控制体系工作； 307号文件进一步强调要落实各业务部门职责，强化内控监督部门职责。另一方面，内部控制体系的有效运行也需要各管理部门的有效协调，建立健全覆盖各部门、各业务领域、各级子公司的内部控制体系，才能保证各项管理工作的有效性。内部控制系统。

（三）注重提升内控信息管理水平

信息化建设是企业有效落实各项内控制度的有力抓手。 101号文件明确中央企业要加强内部控制信息化建设； 44号文提出将内控系统信息化管控纳入集团信息化建设总体规划； 307号文强调要加快信息化建设进程，加大信息化管控力度。缺陷整改力度。在企业内控信息化建设中，一方面要加强信息化建设，探索利用大数据、云计算、人工智能等技术实现内控部门工作信息化，完善信息采集、另一方面，加强与其他系统的互联互通，加强与业务部门、审计部门的协作，推动投资管理、金融资产、物资采购、人力资源等一体化应用。系统，实现内部整合控制系统与其他系统有机集成。最后，在信息化建设中，要梳理和规范业务系统的审批流程和人员权限设置，加强对越权行为、信息不完整等行为的自动识别，减少人为违规因素操纵。

（四）强化内控管理监督考核，强化整改落实，加大责任追究力度

内部控制体系的持续运行和优化离不开有效的监督和评价。与以往政策相比，101号文进一步强化了监管措施和力度，推动企业综合运用企业自我评价、集团监督、外部审计等措施，构建贯通上下的全面内控监督评价体系。上下，内外合一。 44号文件提出，要加强监督检查，确保当年各级企业自我评价全覆盖、三年内集团监督评价全覆盖，并明确提出“加大薪酬考核和干部管理考核结果”；第307号文章提出突出重点，加强群体督导评估工作。

但在内控制度的监督和考核中，也应避免单纯实施严厉考核而产生适得其反的效果。我们可以积极探索建立硬考核与软考核相结合的评价体系。一方面，完善内控评价机制，优化评价标准，减少主观因素影响；另一方面，建立内部控制体系成熟度评估模型。一是提炼内控工作的优秀经验，二是定位内控工作的薄弱环节，做出更有针对性的决策。推动内部控制体系完善，实现奖惩引导同步推进。

3、内部控制新内涵：3.0阶段

随着政策的完善和各企业的探索实践，我国企业的内部控制体系不断完善。在经历了以满足上市监管、合规为主要目的的财务内控1.0阶段和以风险控制为基础构建全流程、系统化内控的2.0阶段后，我国企业内控管理进入了以风险控制为核心的财务内控1.0阶段。将内控建设融入企业战略，运营管理、绩效管理全流程以价值提升为目标的3.0时代。内部控制3.0阶段呈现出大数据、大集成、智能化、闭环监管的特征。企业在推进内部控制建设时应重点关注以下几个方面：

内部控制应以价值创造为最终目标。内部控制最初的目的是防止财务舞弊，因此内部控制目标的重点始终更多地关注财务报告目标。然而，企业财务造假的动因却来自于经营压力。因此，企业内部控制建设的首要目标应该是实现企业绩效、企业价值最大化。 101号文还强调要将风险管理和合规管理要求嵌入到业务流程中，推动企业业务目标的实现。

内部控制应以合规管理为底线目标。遵守法律法规的基本要求是企业经营的最低要求，包括国内各项政策法规以及境外经营所在地的相关规定。国资发〔2018〕106号文指出了合规风险的七大重点领域，明确了管理要求，为企业应对内外部监管环境提供了一定的指导。

内部控制要加强顶层设计，以促进内部控制与风险、合规有机融合为导向。由于监管要求不同，内控、风险、合规三大体系相互关系边界模糊，运行过程中存在资源内部消耗。在内控3.0时代，企业可以通过加强风险控制与合规体系的顶层设计，促进三大体系的有机融合。 ，这与101号文的基本指导一致，也可以体现在42号令中。重点可以是制度规划、组织架构、工具方法等。比如三个制度都变了从独立规划到统筹规划；整合了工具和方法，梳理了三项制度具体实施过程中涉及的管理标准和工作形式。优化设计等

推动智能工具应用，实施以风险预警为核心的内控信息化建设。通过对101号文、307号文、44号文的对比分析可以发现，企业风险管理已逐步从“加强风险管控”转向“加强风险防控”，重点关注建立量化风险监测指标，运用“数字化”研判。风险趋势。企业在内控信息化建设中，可以将风险提示、关键控制活动嵌入流程中。在实际业务运营中，信息平台可以基于构建的风险预警指标体系和触发机制，向经营者精准推送风险信息，帮助企业形成重大风险预测和防控机制，也便于及时监督和指导。