张孝昆：围绕国资委内控监管新要求国企当落实十六条对策

近日,有关部门印发了国企内控监管新要求的相关《通知》。

《通知》从四个方面详细解读了如何通过将内部控制定位到央企,从而实现高质量发展、强基固本、防范重大风险、培养世界一流企业。华博风控信息技术(北京)有限公司创始人&CEO张孝昆近日接受了媒体采访,围绕《通知》中指出的十六条规定要求,及时为广大国企提供了合适的应对策略。

一、建立健全内控体系 ,进一步提升管控效能

记者:要求一提出,要优化内控体系,建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系。进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念,通过“强监管严问责”和加强信息化管理,严格落实各项规章制度,将风险管理和合规管理要求嵌入业务流程,促使企业依法合规开展各项经营活动,实现“强内控、防风险、促合规”的管控目标,形成全面、全员、全过程、全体系的风险防控机制,切实全面提升内控体系有效性,加快实现高质量发展。请问上述要求应如何落地?

张孝昆:中央企业面临快速国际化和“一带一路”发展的迫切要求,会面临各种不确定性和挑战,加上中央企业普遍有了较高的信息化水平,把内部控制融入业务、融入信息化成为落地的有效手段,要从制度、流程、表单出发规划业务和信息化,使风险、内控、合规等管控工作与业务无缝对接,具体做法是弱化内控方面的专业词语,用业务的语言说业务风险的事,这样业务人员可以快速理解公司的明确要求并快速可执行。

记者:要求二强调,要进一步完善企业内部管控体制机制,中央企业主要领导人员是内控体系监管工作第一责任人,负责组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各级子企业全面有效的内控体系。中央企业应明确专门职能部门或机构统筹内控体系工作职责;落实各业务部门内控体系有效运行责任;企业审计部门要加强内控体系监督检查工作,准确揭示风险隐患和内控缺陷,进一步发挥查错纠弊作用,促进企业不断优化内控体系。请问如何理解并满足要求?

张孝昆:中央企业都是大型集团化公司,集团管控是内部控制的基础,要逐步构建从上到下、从左到右的内控网,从上到下要明确不同层级、不同法人实体的内部控制责任和要求,说明不同层面的公司战略要求不同,面临的风险不同,采取的内控措施也不同,充分发挥风险识别、内控评价、审计监督的协同作用;从左到右要明确不同业务、不同部门和岗位的职责,把内控工作和岗位工作挂钩,调动业务人员发现风险,化解风险的主动性,形成业务交叉有序的内控体系,具体做法是通过少数高管的培训,统一风险思想,明确集团管控要求,毕竟集团管控一般是高管考虑的问题,一般执行层面的员工甚至不清楚什么叫“集团管控”。

记者:要求三提出要全面梳理内控、风险和合规管理相关制度,及时将法律法规等外部监管要求转化为企业内部规章制度,持续完善企业内部管理制度体系。在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求,明确重要业务领域和关键环节的控制要求和风险应对措施。将违规经营投资责任追究内容纳入企业内部管理制度中,强化制度执行刚性约束。请问,国企应如何实现管理制度的完善?

张孝昆:制度是管理的基础,要想主动管控风险,就必须从制度出发,进行约束,企业是在内外部环境中生存,外规和内规要形成有机的整体,外部法律从建国到现在跨越70载,还有世界上所有国家的法律和文化,需要从自身合规角度进行分析,确保企业的生产经营活动合规是管控工作的基础,同时要形成有效的内外部制度和法规动态管理,以适应快速变化的市场,具体做法是收集整理与公司相关的所有内外部规章制度,把规章制度变成可以快速检索和执行的一个个管控点,企业才可能快速执行与落实

记者:要求四提到,统筹推进内控、风险和合规管理的监督评价工作,将风险、合规管理、制度建设及实施情况纳入内控体系监督评价范畴,制定定性与定量相结合的内控缺陷认定标准、风险评估标准和合规评价标准,不断规范监督评价工作程序、标准和方式方法。请问应当如何健全监督评价体系?

张孝昆:风险、内控、合规相关工作都是基础的监督评价工作,在管控工作中有着相类似的工作性质和内容,要有效的协同,不要居于形式,要不断的研究和创新,找到适合企业自身最有效的监督评价体系和方法,具体做法是大融合,参考行业做法,按自己的实际情况,寻找最佳管控手段进行处理。

二、强化内控体系执行,提高重大风险防控能力

记者:要求五谈到,应加强聚焦关键业务、改革重点领域、国有资本运营重要环节以及境外国有资产监管,定期梳理分析相关内控体系执行情况,认真查找制度缺失或流程缺陷,及时研究制定改进措施,确保体系完整、全面控制、执行有效。要在投资并购、改革改制重组等重大经营事项决策前开展专项风险评估,并将风险评估报告(含风险应对措施和处置预案)作为重大经营事项决策的必备支撑材料,对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。请问国企应如何做到重点领域的日常管控?

张孝昆:内部控制是管控风险的有效手段,全面强化内控体系执行的同时要会动态识别企业风险,要聚焦关键业务、改革重点领域、国有资本运营重要环节以及境外国有资产监管等企业主要内外部风险源,有针对性的管控,要权衡收益成本和内部控制,超出自身风险管控能力的决策事项绝对不能做,具体做法是让管控回归业务,业务部门是管控风险的重点,关键在于要和业务部门说情况应该管控的事项。

记者:要求六认为,应不断深化内控体系管控与各项业务工作的有机结合,以保障各项经营业务规范有序开展。按照不相容职务分离控制、授权审批控制等内控体系管控要求,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责,实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。不断优化完善管理要求,重点强化采购、销售、投资管理、资金管理和工程项目、产权(资产)交易流转等业务领域各岗位的职责权限和审批程序,形成相互衔接、相互制衡、相互监督的内控体系工作机制。请问应当如何加强重要岗位授权管理和权力制衡?

张孝昆:内部控制要想发挥作用,必须形成有效的授权管理和权力制衡,各审批和审核权限明确分工,审核职能和岗位要从各自专业优势出发,发挥专业特长,提出有专业性的意见和建议,审核岗位没有“同意”权限;审批职能和岗位要从全局出发,发挥全局掌控能力,形成相互衔接、相互制衡、相互监督的内控体系工作机制,要明确企业业务重点进行行之有效的管控。

记者:要求七倡导,应积极采取措施强化企业防范化解重大风险全过程管控,加强经济运行动态、大宗商品价格以及资本市场指标变化监测,提高对经营环境变化、发展趋势的预判能力,同时结合内控体系监督评价工作中发现的经营管理缺陷和问题,综合评估企业内外部风险水平,有针对性地制定风险应对方案,并根据原有风险的变化情况及应对方案的执行效果,有效做好企业间风险隔离,防止风险由“点”扩“面”,避免发生系统性、颠覆性重大经营风险。请问应当如何健全重大风险防控机制?

张孝昆:企业风险有不同的划分角度,主要的划分角度有两个,第一企业的内外部风险;第二企业的战略层面风险、业务层面风险、IT资源层面风险。从内外部风险出发,要形成全面的信息对称机制,实时关注外部环境、内部环境变化等情况,运用动态内部控制机制主动应对内外部风险;从不同层面风险看,不同层面的风险要采用不同的内部控制机制进行应对,形成“一企一策”,避免发生系统性风险。

三、加强信息化管控,强化内控体系刚性约束

记者:要求八指出,各中央企业要结合国资监管信息化建设要求,加强内控信息化建设力度,进一步提升集团管控能力。内控体系建设部门要与业务部门、审计部门、信息化建设部门协同配合,推动企业“三重一大”投资和项目管理、财务和资产、物资采购、全面风险管理、人力资源等集团管控信息系统的集成应用,逐步实现内控体系与业务信息系统互联互通、有机融合。要进一步梳理和规范业务系统的审批流程及各层级管理人员权限设置,将内控体系管控措施嵌入各类业务信息系统,确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为,促使各项经营管理决策和执行活动可控制、可追溯、可检查,有效减少人为违规操纵因素。集团管控能力和信息化基础较好的企业要逐步探索利用大数据、云计算、人工智能等技术,实现内控体系实时监测、自动预警、监督评价等在线监管功能,进一步提升信息化和智能化水平。请问应当如何做到提升内控体系信息化水平?

张孝昆:企业风险来自于内外部,战略、业务、IT不同角度和层面,需要构建风险、内控、审计一体化平台,构建实时分析、实时预警等实时管控工具。内部控制系统主要由两类系统组成,第一类是业务管控系统ERP,要在ERP里加入业务风险实时规则管控,防控业务风险;第二类是内控智能化云平台,要把风险、内控、审计等系统全面融合,形成管控一体化云平台,思路可以参照我编写的《大数据风控》,云平台的研发要形成风险、内控、审计、实时分析、实时预警五维一体,随着大数据、云计算、人工智能等技术的快速发展,这样的思路和技术已经可以快速帮助中央企业实时管控风险。

四、加大企业监督评价力度,促进内控体系持续优化

记者:要求九提出,要督促所属企业每年以规范流程、消除盲区、有效运行为重点,对内控体系的有效性进行全面自评,客观、真实、准确揭示经营管理中存在的内控缺陷、风险和合规问题,形成自评报告,并经董事会或类似决策机构批准后按规定报送上级单位。请问应如何全面实施企业自评?

张孝昆:随着外部环境的快速变化,企业必须每年动态识别风险,强化内控自评,形成常态化机制,有效的化解风险,并形成报告,作为监管的常态报告,至此,企业内控明确成为企业常态工作,具体做法是要和企业的业务经营分析会进行融合,在业务中分析、评价、发现问题和风险及缺陷,做到随时发现随时处理。

记者:要求十认为,要在子企业全面自评的基础上,制定年度监督评价方案,围绕重点业务、关键环节和重要岗位,组织对所属企业内控体系有效性进行监督评价,确保每 3 年覆盖全部子企业。要将海外资产纳入监督评价范围,重点对海外项目的重大决策、重大项目安排、大额资金运作以及境外子企业公司治理等进行监督评价。请问应当如何加强集团监督评价?

张孝昆:从上到下的内控评价要形成常态机制,明确提出全覆盖,覆盖重点业务和领域、覆盖全部企业、覆盖海外资产,具体做法是要想实现全覆盖,前提是数据,一定是云风控模式,采用内外部实时数据联动分析,才可能做到,国内随着国家监管大数据的快速发展,已经可以解决,国外目前是一个难点,目前人才储备和数据发展跟不上。

记者:要求十一认为,要根据监督评价工作结果,结合自身实际情况,充分发挥外部审计的专业性和独立性,委托外部审计机构对部分子企业内控体系有效性开展专项审计,并出具内控体系审计报告。内控体系监管不到位、风险事件和合规问题频发的中央企业,必须聘请具有相应资质的社会中介机构进行审计评价,切实提升内控体系管控水平。请问应当如何强化外部审计监督?

张孝昆:企业的风险纷繁复杂,全部控制风险是不可能的,风险和机遇并存,面对复杂的风险识别,可以和外部机构联合,形成内外部联动,调动专业力量,形成内外监督同步,具体做法是可以聘请一批行业专家,通过专家论证和行业经验,帮助企业管控风险。

记者:要求十二提出,要加大督促整改工作力度,指导所属企业明确整改责任部门、责任人和完成时限,对整改效果进行检查评价,按照内控体系一体化工作要求编制内控体系年度工作报告并及时报国资委,同时抄送企业纪委(纪检监察组)、组织人事部门等。指导所属企业建立健全与内控体系监督评价结果挂钩的考核机制,对内控制度不健全、内控体系执行不力、瞒报漏报谎报自评结果、整改落实不到位的单位或个人,应给予考核扣分、薪酬扣减或岗位调整等处理。请问应当如何充分运用监督评价结果?

张孝昆:内控和绩效挂钩,内控和纪检监察挂钩,内控和组织人事挂钩,全面形成一盘棋,一体化,保障内控落实到位,具体做法是把内控要求写入岗位说明书,把内控要求和纪检监察点同时融合到业务中流程中。

五、加强出资人监督,全面提升内控体系有效性

记者:要求十三指出,要加强对中央企业国有资产监管政策制度执行情况的综合检查工作,建立内控体系定期抽查评价工作制度,每年组织专门力量对中央企业经营管理重要领域和关键环节开展内控体系有效性抽查评价,发现和堵塞管理漏洞,完善相关政策制度,并加大监督检查工作结果在各项国有资产监管及干部管理工作中的运用力度。请问应如何建立出资人监督检查工作机制?

张孝昆:随着国资委逐步转变成管资本模式,从出资人的角度帮助中央企业完善内控,排查和化解重大风险,提升管理能力,并强化中管领导干部的风险管控意识。

记者:要求十四提出,要通过完善公司治理,健全相关制度,整合企业内部监督力量,发挥企业董事会或委派董事决策、审核和监督职责,有效利用企业监事会、内部审计、企业内部巡视巡察等监督检查工作成果,以及出资人监管和外部审计、纪检监察、巡视反馈问题情况,不断完善企业内控体系建设。请问如何充分发挥企业内部监督力量?

张孝昆:调动企业一切可以调动的内外部监督力量,形成事前风险识别、事中业务管控、事后审计监督的动态管控循环,构建大监督体系。

记者:要求十五认为应当进一步强化对企业重大风险隐患和内控缺陷整改工作跟踪检查力度,将企业整改落实情况纳入每年内控体系抽查评价范围,完善对中央企业提示函和通报工作制度,对整改不力的印发提示函和通报,进一步落实整改责任,避免出现重复整改、形式整改等问题。请问应该如何强化整改落实工作?

张孝昆:国资委开始执行发提示函、通报机制,明确整改力度,避免形式主义,具体做法是中央企业必须构建内外部实时管控风险的机制。

记者:要求十六指出,要严格按照《中央企业违规经营投资责任追究实施办法(试行)》(国资委令第 37 号)等有关规定,及时发现并移交违规违纪违法经营投资问题线索,强化监督警示震慑作用。对中央企业存在重大风险隐患、内控缺陷和合规管理等问题失察,或虽发现但没有及时报告、处理,造成重大资产损失或其他严重不良后果的,要严肃追究企业集团的管控责任;对各级子企业未按规定履行内控体系建设职责、未执行或执行不力,以及瞒报、漏报、谎报或迟报重大风险及内控缺陷事件的,坚决追责问责,层层落实内控体系监督责任,有效防止国有资产流失。请问应当如何做出对应措施?

张孝昆:要形成自上而下的良性沟通和信息机制,面对重大风险要随时上报,形成动态的管控循环。

附:张孝昆老师简介

张孝昆,华博云创始人、中财协风控专委会主任、全国企业财务管理领军人才、国资委《央企内控重大课题》专家、财政部财科院《内控管理师》主讲、国家会计学院兼职教授、《大数据风控》作者、金融风控、财务管理讲师、大数据风控、大数据审计讲师、国资委、审计厅、内审协会特聘讲师、被行业人誉为“业务与技术的桥梁”、国际注册信息系统审计师、国际注册风险及信息系统监控师。

当前,张孝昆已成为中国财务管理、风险管控实战派代表人物,是国际信息系统审计与控制协会会员,国际注册信息系统审计师(CISA),国际注册风险及信息系统监控师(CRISC),多次被监管机构聘为IT审计专家、风险管控专家,参与相关政策的制定及监管审计工作,常年受聘讲师参与相关互联网、大数据、风险管理、内部控制、财务管理、IT审计等相关的行业培训。

他主导设计并研发中国首个基于智能分析、风险管控、业务管控、智能审计、智能监控五维一体的互联网+管控平台“管控宝”。具有多年的企业管理和企业信息化建设经验,既擅长管理咨询也擅长信息系统落地,在战略管理、集团管控、大数据风控、大数据审计、风险管理、内部控制、内部审计、财务管理、IT审计、企业数字化转型、信息系统风险和安全管理等方面有着丰富经验,先后主持或参与了100家以上部委、央企、上市公司风险管控咨询及信息化落地、企业ERP建设、财务管理系统、审计管理系统、商业智能(BI)、IT规划蓝图等项目。

精品课程:

1、财务总监的五项修炼

2、银行数字化转型与大数据风控

3、基于市场和业务的动态预算管控

4、数字化时代风险管控

5、政府内控及信息化落地

6、金税三期启示下的数字财务

7、金控模式下的投融资风险管控

8、管资本模式下的国资国企监管

9、数字化管控与内部审计转型

10、内控落地新思维、新方法