吴汉宝 曹文钧 徐贵才 王青云 彭 健 雒东雄 曹 艳

从2008年《企业内部控制基本规范》发布以后，国务院国资委对内部控制工作也越来越重视。特别是结合2012年中央企业管理提升活动，国资委和财政部联合发布了《关于加快构建中央企业内部控制体系有关事项的通知》（国资发评价〔2012〕68号），启动了中央企业内部控制体系全面建设工作。

一、NM公司内部控制现状诊断背景

原SH集团在2012年启动内部控制体系优化提升工作，建立了一套覆盖全集团公司的内部控制评价办法，将先进的内部控制理论、规范的内部控制评价标准与日常经营管理活动相融合。

自2012年开始，按照集团公司统一部署，公司于每年年底开展“自我评价+检查评价”相结合的内部控制评价工作，同时并行开展年度风险评估与报告工作。经过八年的以风险管理为导向的内部控制评价工作的实践，本着“以内部控制评价促内部控制体系建设”的原则，NM公司内部控制水平得到一定程度的提升。

二、内部控制现状诊断方法

NM公司由内审部门主导的内部控制现状进行了诊断中综合运用了问卷调查、集中评审、报告综合分析、制度与流程审核、外部信息收集与实地调研等方法。进行内部控制诊断目的，一是指出公司现行内部控制存在的问题，以揭示公司进行内部控制体系建设的必要性和紧迫性。二是对公司经营业务中关键风险点进行评价，以便在内部控制体系建设时进行设计与完善。

（一）调查问卷

在公司机关部门和部分专业化公司及生产单位开展了问卷调查，共收集有效问卷310份。分别从控制环境、风险评估、控制活动、信息与沟通、监控与报告五个维度进行统计分析，形成的数据量超过3万个。

（二）集中评审

组织财务部、煤制油分公司等业务主管/主办共70多人对内部控制评价标准拟定的615个评价标准的合理性和适用性进行了集中评审。在坚持《企业内部控制基本规范》及配套指引的基础上，结合各专业人员对公司实际情况提出了相关专业意见，对评价标准逐项进行适当修订。

（三）报告综合分析

收集了公司近三年的内部控制自我评价报告和内部审计报告（离任经济责任审计报告、财务收支报告、专项审计报告等），结合后续的缺陷整改情况与后续整改审计的结果，针对一些内部控制设计与执行中存在的缺陷进行了分析。

（四）制度与流程审核

结合近几年的制度风险预控审核情况，对制度文件中配置风险控制文档（流程图+风险控制矩阵）进行了分析，特别是对关键业务的风险点和控制点设置的合理性进行了分析。

（五）外部信息收集与实地调研

收集了内部控制领域中的标准规范和制度规定同时前往其他央企（如中国五矿等）进行了对标学习，以便正确理解内部控制体系的目标原则与实施路径。

三、内部控制现状分析与问题描述

内部控制，是指由企业董事会、监事会、经理层和全体员工共同参与的，通过制定和实施系统化的制度、流程和方法，控制经营管理风险，为实现控制目标提供合理保证的动态过程和机制。

从控制环境、风险评估、控制活动、信息与沟通、监控五个要素对NM公司的内部控制现状进行分析诊断，同时对问题进行描述。

（一）控制环境方面

1、控制环境调查问卷从企业文化、治理结构、机构设置和责权分配、战略规划、人力资源政策与实务、社会责任、法律环境七个方面进行分析诊断。具体情况如下图表所示：

图1.1：控制环境要素分布图与得分汇总情况

控制环境中的51项内容的调查问卷平均得分为4.32，从得分分布可以看出企业文化与社会责任部分的认可度较高，治理结构部分得分较低存在薄弱环节，具体得分比较低的事项内容为：

一是公司的财务负责人、审计负责人或者内部审计师每个季度至少与外部审计师会谈一次。

二是审计委员会每年审核内部和外部审计师的活动范围。

三是公司有专人回答关于行为守则中的问题并定期修改更新。

2、集中评审。2019年7月15日至19日，通过对《NM公司内部控制评价标准》中615个评价标准的合理性和适用性进行集中评审，最终修订为543条评价标准。评审中诊断出的问题：董事会下设5个专门委员会未有效运行。如战略与发展投资委员会未发挥专业优势，未对公司战略进行审议、决策。而是由规划发展部负责战略规划制定和战略执行监控等具体职责。在实际工作中战略规划经分管领导审批后提报党委会审批，委员会的职能未有效发挥。

3、外部信息收集。从96家央企的公开披露信息来看，有20家在董事会下设了审计与风险管理委员会。NM公司董事会未设置内部控制或风险管理专门委员会，缺乏对风险管理的持续承诺。风险管理的有效性取决于其能否被纳入公司治理与决策。这需要获得公司董事会和高级管理人员的支持。因此，风险管理框架的核心是“领导与承诺”。在董事会未设置风险管理委员会或类似机构的情况下，难以确保公司目标的设定已充分考虑相关风险；难以确保与公司目标的实现相关的风险识别是恰当的；难以确保风险和风险管理相关信息能够得到良好的沟通。董事会和高管层未通过制定相关政策、发表声明或其它形式，主动对风险管理作出持续承诺。

（二）风险评估方面

1、风险评估调查问卷从目标设置、风险识别、风险分析、风险应对四个方面进行诊断。具体情况下图表所示：

表1-2 风险评估评价现状

图1.2：风险评估要素分布图与得分汇总情况

风险评估中的16项内容的调查问卷平均得分为4.46，从得分分布可以看出设置目标部分的认可度较高，风险识别部分得分较低存在薄弱环节，具体得分比较低的事项内容为：一是管理人员对各项经营环节中存在的风险能够进行分析识别。二是高级管理层定期就最近可能对公司造成影响风险召开会议进行讨论。

2、通过对报告综合分析，发现公司内部控制存在以下问题：

一是部分领导对内部控制评价不够重视，部分员工认识存在误区，使得内部控制评价工作流于形式。有些部门领导由于对此项工作重视程度不够，没有积极主动组织实施内部控制评价，甚至个别领导认为，内部控制评价工作做与不做，做好与做不好，对本单位的生产经营成果影响不大，对内部控制评价的实质性内涵缺乏正确理解，没有认识到内部控制评价对有效提升管理水平的重大意义。有些员工认为内部控制评价历年都是审计部组织实施，这应该是审计的工作，因而只是被动接受这项工作，往往把自己置身事外，未全面参与到本单位内部控制自我评价工作中。因此，原本应由各部门各单位共同参的内部控制自我评价工作基本变成了内审部门和内审人员的任务，不利于内部控制评价的开展。

二是部分业务流程长、控制点多，且涉及多个部门，导致内部控制评价缺少针对性，评价效果也大打折扣。在日常管理中业务交叉很难避免，同类业务涉及到2个以上的部门，加大了内部控制评价难度。如工程管理中项目设计与计划管理、施工管理、质量控制、竣工决算4项业务实际管理程序和流程基本一样。但是按照煤炭、非煤、煤化工分类，分别由生产技术部、基建办公室、煤制油化工部管理，业务管理分散，还存在工程项目和人员力量不匹配情况，尤其煤制油化工部项目多、人员少，管理难度大，内部控制评价效果也不理想。

三是岗位设置不健全，评价方式单一，缺少激励与监督机制。公司各业务部门受编制等因素影响，未配备专职内部控制评价岗和人员，很多部门的内部控制自我评价工作由新进的缺乏工作经验的一般员工兼职承担。而且，自我评价以定期定价为主，一般都安排在年底组织实施，各单位部门和员工都有大量的工作任务，与各项工作的交叉导致各部门各单位对内部控制自我评价投入不足，直接影响内部控制评价的效率和效果。

（三）控制活动方面

1、控制活动方面的现状诊断主要通过对制度与流程风险预控审核来实现。自2011年开始，公司针对新制定下发的制度开展法律审核和风险预控审核，审计部针对重点业务领域新制定/修订的制度从制定制度是否有依据及相关背景、是否明确了制度制定的目的及拟解决的问题、制定制度是否有对应的业务活动（流程）、是否对该业务活动的风险进行了评估、针对风险点在制度中是否制定了相应的控制措施、制度运行后能否有效控制风险共六个方面进行风险预控审核，提出合理的改进意见和建议，对重要的制度文件编制风险控制文档，进一步从控制活动的制度设计层面上规避了风险。截止2018年底，共在公司57份制度中嵌入了风险控制文档73个。具体情况如下表：

表1-3 NM公司风险控制文档汇总表

存在的主要问题：

一是在公司总体层面未对控制活动进行流程梳理，在具体控制活动中：组织架构、综合绩效、风险评估、资金活动、成本费用、税务管理、担保业务、预算管理、财务报告这九类业务中暂时还未编制风险控制文档。

二是在部分业务中虽然已经编制了风险控制文档，那并没有涵盖该业务活动的所有内容，仅是在制度文件进行修订时才涉及。还需要由制度管理部门牵头，对全公司的所有制度文件进行系统梳理，结合内部控制标准来衡量制度设计的健全性。

（四）信息与沟通方面

1、信息与沟通调查问卷从信息搜集传递与共享、反舞弊机制两个方面进行诊断。具体情况如下图表所示：

图1.3：信息与沟通要素分布图与得分汇总情况

信息与沟通中的11项内容的调查问卷平均得分为4.27，从得分分布可以看出反舞弊机制部分的认可度较高，信息搜集、传递与共享部分得分较低存在薄弱环节，具体得分比较低的事项内容为：企业能够利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

2、通过对报告综合分析，发现公司信息系统存在以下问题：

一是信息孤岛依然存在。ERP -SAP系统虽然基本实现了公司到矿级的人财物集中管控，但没有延伸到矿内管理，且未实现与其他信息系统数据集成，如法务系统、投资管理系统、决策支持系统。

二是公司的信息系统未建立异地容灾备份系统。系统在遭受如火灾、水灾、地震、战争等不可抗拒的自然灾难以及计算机犯罪、计算机病毒、掉电、网络/通信失败、硬件/软件错误和人为操作错误等认为灾难时，系统将无法切换运行，数据也将无法及时恢复。

（五）监控方面

1、监控调查问卷从持续监控、内部审计、个别评价、缺陷报告四个方面进行诊断。具体情况如下图表所示：

表1-5 监控与报告评价现状

图1.4：监控与报告要素分布图与得分汇总情况

监控与报告中的14项内容的调查问卷平均得分为4.51，从得分分布可以看出持续监督与内部审计部分的认可度较高，报告缺陷部分得分较低存在薄弱环节，具体得分比较低的事项内容为：对于发现的缺陷，公司能对问题的根本原因进行调查，采取必要的矫正措施，并且监督其行动。

2、通过对近几年的内部控制评价报告综合分析，发现直接使用原SH集团内部控制评价标准存在以下问题：

一是评价标准体系与现行内部控制规范和公司实际不符。原SH集团内部控制评价标准体系包括总则、内部控制评价标准和经济本安业务内部控制禁止性规定三部分。其中，与“五型企业”、“经济本安业务”相关的评价标准明显已经陈旧过时。原SH“内部控制评价标准”包括32章，其中，电力生产、铁路运输、港口生产、航运生产等完全不适用NM公司。缺少风险评估、信息与沟通、成本费用、财务报告等内部控制评价标准。

二是部分标准适应性差。原SH集团内部控制评价标准缺少煤化工业务版块、专业公司等业务流程，缺少适合的评价标准，从而影响内部控制评价执行的有效性。

三是部分业务流程没有评价标准。如房地产、工程公司和煤化工专业化公司等缺少评价标准；公司治理、科技研发及技术开发、仓储物流、无形资产管理等主要业务流程评价标准涉及不全不深。

四是原SH集团的表格模版对NM公司缺乏一定的适用性。公司一直按照原SH集团制订的统一的表格模版开展自我评价工作，如内部控制评价工作底稿、测试底稿和缺陷汇总表等。这套模版对管理型单位比较适用，对生产型、专业化和特殊行业单位而言，适用性较差。然而，公司在开展自我评价工作过程中，只是机械的按这个统一模版要求填写，也未结合自身特点建立健全内部控制评价标准及方法。

四、内部控制现状的总体结论

从调查问卷和制度风险预控审核的统计分析和集中评审与报告综合分析的结果判断，NM公司内部控制现状还处于问题解决阶段。这一阶段的典型特征是问题发生，根据领导的安排和会议决议生成临时性制度，发现一个问题，解决一个问题，还没有从系统设计的角度做出预防性的制度或流程安排。这可以概括为“三滞后一良好”。

一是内部控制体系建设滞后于内部控制评价。内部控制体系建设标准就是内部控制评价标准，公司自2012年开始了内部控制评价工作，在近8年的实践中，已将内部控制评价标准进行了修订，为后续的内部控制体系建设与完善提供一定的标准参考。

二是制度建设滞后于治理架构搭建。公司业务活动层面的内部控制文件（规定、通知、制度）比较多，而宏观性系统性文件比较少，比如：内部审计章程等顶层治理方面的文件少。但目前，制度与流程结合工作仅在部分业务活动中的个别部分开展，流程控制的系统性不足。而公司在治理架构方面已有规范的董事会、监事会、经理层及相关子分公司管控的结构。

三是内部控制意识滞后于内部控制需求。公司正在从跨越式发展阶段向稳定运行成熟阶段转变，风险积累越来越大，内部控制的重要性和紧迫性日益重要。而公司内部控制意识明显需要进一步提升。

四是总体上看执行效果良好。这主要得益于公司具有执行力的企业文化和审计监察的职能发挥。

NM公司决定2019年开始启动内部控制制度规范化建设工作，目前已经积累了大量的实际控制经验，内部控制现状的诊断为公司内部控制体系的建设打下了很好的基础。尽管公司内部控制总体上效果良好，但以上问题和矛盾的存在，制约着公司整体科学管理水平的进一步提升，与公司的战略发展目标也不相适应，因此需要对现有的各项管理制度进行梳理并使之系统化，以形成一套科学、完整、系统的制度化体系。