《关于加强中央企业内部控制体系建设与监督工作的实施意见》解读(一)

为深入贯彻习近平新时代中国特色社会主义思想和党的十九大精神，认真落实党中央、国务院关于防范化解重大风险和推动高质量发展的决策部署，充分发挥内部控制（以下简称内控）体系对中央企业强基固本作用，进一步提升中央企业防范化解重大风险能力，加快培育具有全球竞争力的世界一流企业，根据《中共中央国务院关于深化国有企业改革的指导意见》（中发〔2015〕22号）、《国务院关于印发改革国有资本授权经营体制方案的通知》（国发〔2019〕9号）《国务院办公厅关于加强和改进企业国有资产监督防止国有资产流失的意见》（国办发〔2015〕79 号），制定本实施意见。

解读：内控的两大作用：防范化解重大风险VS培育全球竞争力（推动高质量发展）。对照五目标，前者对应合规目标、资产安全目标和报告目标；后者对应经营目标和战略目标。

目前的实务中，更关注前者，对后者的理论研究和实务探索都不够。我对这个问题的思考请参见：分阶段长效内部控制建设方法初探 

一、建立健全内控体系，进一步提升管控效能

（一）优化内控体系。建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系。进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念，通过“强监管严问责”和加强信息化管理，严格落实各项规章制度，将风险管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制，切实全面提升内控体系有效性，加快实现高质量发展。

解读：

1、亮点：风险、内控和合规三合一。

2、别扭：从行文逻辑看，三者的关系似乎界定为内控＞风险＞合规。关于三者的关系SO说的很清楚：风险＞内控＞合规。

3、内控成果：以我掌握的信息，没有监管文件提过，内控建设的成果是内控手册。实施意见的态度跟2012年68号文是一样的：管理制度化、制度流程化和流程信息化。所以，实务中还在强调强调出内控手册的同仁们应该跟上节奏，不要一再误导企业。

4、流程VS目标：要实现高质量发展，需要围绕目标管理和流程管理。实施意见仅仅强调了流程管理，忽略了目标管理。希望通过内控（风险管理）“实现高质量发展”，必须重视目标管理。我对这个问题的思考请参见下图。

5、四个全：全面、全员、全过程，比较好理解。全体系具体指啥，并不明确。个人理解是体系融合的意思，内部管理涉及的各类体系可以借助内控建设进行融合。这方面，中石油等央企正在做试点工作。

 （二）强化集团管控。进一步完善企业内部管控体制机制，中央企业主要领导人员是内控体系监管工作第一责任人，负责组织领导建立健全覆盖各业务领域、部门、岗位，涵盖各级子企业全面有效的内控体系。中央企业应明确专门职能部门或机构统筹内控体系工作职责；落实各业务部门内控体系有效运行责任；企业审计部门要加强内控体系监督检查工作，准确揭示风险隐患和内控缺陷，进一步发挥查错纠弊作用，促进企业不断优化内控体系。

解读：

集团管控与内控要融合，但是怎么融合实施意见并未给出明确结论。我对这个问题的思考请参见：构建控股集团公司内控框架应把握三条线。

（三）完善管理制度。全面梳理内控、风险和合规管理相关制度，及时将法律法规等外部监管要求转化为企业内部规章制度，持续完善企业内部管理制度体系。在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求，明确重要业务领域和关键环节的控制要求和风险应对措施。将违规经营投资责任追究内容纳入企业内部管理制度中，强化制度执行刚性约束。 

解读：

再次强调内控建设的成果是“企业内部规章制度”。我一直强调的一个观点：企业管理制度体系只有一套，但可以从风险、内控、合规、ISO等各个视角对管理制度体系进行优化，即“嵌入”。 

（四）健全监督评价体系。统筹推进内控、风险和合规管理的监督评价工作，将风险、合规管理、制度建设及实施情况纳入内控体系监督评价范畴，制定定性与定量相结合的内控缺陷认定标准、风险评估标准和合规评价标准，不断规范监督评价工作程序、标准和方式方法。

解读：

缺陷标准的认定标准在实务中是个难题。对于央企来说，分子公司众多，需要考虑如何建立总分结合的缺陷认定标准，体现不同分子公司发展阶段、体量规模、行业特性等特征。

 财报相关内控缺陷的认定标准是潜在错报。实务中，太多企业以错报或其他概念进行了替换。非财报相关内控缺陷的认定标准是经济损失或负面影响。但这个缺陷认定标准不能用来评价战略目标。针对这个问题，我提出来一个观点：针对战略目标（即风险管理）的评价标准应该是客户满意度。