集团公司在改革发展进程中围绕内部控制的思考一直没有停歇过。继《内部控制管理办法》出台之后,集团于2月26日再次下发了《城建集团总部内部控制手册》(以下简称《手册》),着力为提升竞争力和管理水平,实现企业战略目标奠定良好的控制环境。这标志着集团的内控体系建设工作取得了新的进展。
《手册》内容“可操作”
《城建集团总部内部控制手册》主要包括三部分内容,即内控流程文档、权限指引与风险清单。
内控流程文档,主要描述内部控制体系组织结构与职责,并以五部委《企业内部控制应用指引》18个子项为基础,结合企业实际,从控制环境、风险评估、控制活动、信息与沟通和内部监督这内部控制五要素对内控关注要点及相应措施进行了较为全面、系统的阐述。每一个流程都包含了一系列控制要求和指导方法,并一一对应到集团机关各职能部门。流程文档,即某项流程涉及的内部控制要素及内部控制活动的含义、内容以及基本要求,重点涉及风险控制矩阵和流程图。其中,风险控制矩阵,以风险为导向,阐述该流程内的风险点和对应的控制流程综述以及关键控制措施,反映公司管理层所建立的内部控制。同时列示执行内部控制所涉及的各种管理制度名称以及责任部门/岗位,确保内部控制手册的可操作性。风险控制矩阵从表面看是一张表单,其实也是一个工具、一种方法和一套机制,用于确认、记录每个流程及每个步骤中存在的风险和需要建立的控制,为业务操作人员以及管理人员评价内部控制的有效性提供了清晰明了的思路。相关人员可以通过风险控制矩阵中涵盖的三级业务流程所对应的主要风险和控制措施,同时根据访谈纪要、公司规章制度、穿行测试、执行性测试、行业标准等资料来判断相关流程设计有效性和执行有效性。公司相关部门可以通过对风险控制矩阵进行差异分析,查找现有控制的差距和不足,然后补充和完善现有控制措施,以达到防范风险的目的;同时,风险控制矩阵也可以为制度进一步补充、修订提供依据;流程图,是以可视的方式、运用特定符号展示流程,其意义在于帮助认识重要交易是如何生成、记录,获得授权并被处理和汇报的。仅从业务处理角度看,流程图可以对下列内容进行清晰的界定:a. 明确每个流程步骤的执行部门及岗位;b. 明确每个具体步骤的操作内容;c. 明确每个步骤的输入和输出文档;d. 明确流程控制点。从风险管理和内部控制的角度看,因对业务流程中可能存在风险的环节及已有的控制步骤进行了描述,流程图有助于:(1)识别步骤和控制;(2)与其他流程图相联系来解释相关的控制活动;(3)发现、收集和处理数据;(4)分离可能出现问题的区域;(5)向不熟悉业务的人解释流程,便于指导工作的开展以及业务操作的规范化。
权限指引,描述了公司管理、决策、主要控制活动授权审批的范围、层次、程序、责任,对内控关注要点的审批权限进行了阐述。权限指引以矩阵式表格描述,横向体现了公司权力从董事会到各职能部门的职责范围。其中横向左端为业务的主办部门,中间是各级别具体权限,右端一般为该业务的会签部门或复核岗位,体现了不相容职责分开和独立监控的要求,与内控流程文档中主要业务流程的权限设置相对应。纵向则体现了设置权限的各类型业务,按照不同部门进行的排序。
风险清单,全面系统地识别了企业可能面临的各项风险,并将每项风险的防控责任落实到部门。在日后风险信息收集和识别过程中,帮助识别最基本的风险,降低忽略重要风险源的可能性。风险清单以矩阵式表格描述,横向包括类型、风险编号、风险描述、责任部门、子流程编号、子流程名称、控制活动编号、控制活动名称和风险等级;除了风险等级,其他部分都与内控流程文档一一对应。纵向按照内部控制五要素共21个子项进行的划分与排序,与内控流程文档也一一对应。
三部分有其内在的联系和区别。内控流程文档是按照“保持现有业务管理体系正常运转且促进管理提升”的基调来进行整理的,即依据内部控制体系的架构及运行机制,对公司现有业务进行分类分级描述,构建流程体系框架,作为风险识别、内部控制管理的基础;将业务流程、需管控的风险、对应的关键控制点和措施及相关制度、责任部门等进行关联,形成标准化的流程文档,使遍布公司运营各环节的内部控制的概念由抽象到具体,并形成体系,使其标准化、可视化、可操作、可检查、可评价、能持续改进权。限指引是从权限设置方面着手,来梳理各个部门主要业务流程,清晰明确地描述了公司管理、决策、主要控制活动授权审批的范围、层次、程序、责任,强调的是对内控关注要点的审批权限。风险清单则从风险方面,全面识别并梳理内控五要素21个子项所关联的业务流程中存在的主要风险,并将每项风险的防控责任落实到对应的流程和责任部门。
内控体系依规而建
集团战略发展的内部控制体系,需要将内部控制渗透到公司经营管理过程中,按照以风险识别与评估为导向、流程为纽带、内控为抓手、制度作保障的理念,以现有业务流程、管理体系为基础,对照内部控制五要素进行梳理。
集团内部控制体系遵循下列原则:(一)全面性原则:内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。(二)重要性原则:内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。(三)制衡性原则:内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则 :内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。(五)成本效益原则:内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。(六)以风险管理为导向原则:内部控制体系的建立与完善以风险管理为目的;风险评估是内部控制实施的前提,同时也是内部控制管理循环中重要一环。
以风险管理为导向原则是集团内部控制体系建设不同于其他企业之处。虽然风险管理为导向原则与重要性原则似有重复之嫌,但其实因为风险管理为导向表明了:第一、鉴于风险管理和内部控制之间即相互联系又相互区别的关系,在公司内控体系建设中管理层表示了对风险管理的高度重视;第二、公司运营中面临风险的变化,将是内控体系更新、完善的直接策动力;第三、内控控制是实现风险管理目标的工具。
优化内控体系建设
根据北京市国资委的监管要求,集团公司应于2016年5月31日向其提交首次内控自评报告。内控评价的范围不仅是集团公司,也包括集团二级重要子企业。目前,集团内部控制缺陷整改工作尚未完成。内控缺陷整改成果将逐步体现在规章制度、部门职责、风险清单与主要业务流程上。现有《手册》所承载的内部控制模式、内部控制缺陷整改情况等都要接受公司审计稽查部的内控评价的检查与监督。
内控体系试运行将要求各部门的业务处理模式发生“微调”。“微调”集中体现在两点,其一,就主要业务流程应按照《手册》规定的步骤和程序进行;其二,制作并留存相关业务处理文档。这些业务处理“痕迹”将是下一步内部控制评价的重要对象。
公司内控体系建设的目的不仅是满足国资监管的要求,而是为了实现集团整体的战略目标服务。这一目标与内部控制管理循环的内在必然性的要求是一致的,即内部控制体系需要不断地完善更新。故《手册》的修改、完善与更新将是一个持续性的工作。
