陈 羽

（中国黄金集团有限公司，北京 100011）

一、正确把握内控、风险管理与内审间关系的意义

内部控制、风险管理与内部审计是在中央企业内控体系的三个维度，也是三道防线。职能部门和业务单位内控构成公司内控体系的首道防线，风控部门的常态化管控构成了第二道防线，内审部门主动性审查通常为最后一道防线。正确把握内控、风险管理与内审之间关系具有重要意义。一是，有助于加强境内境外全级次企业的合规管理，强化固定资产和股权投资，设备和物资采购、工程项目、含金物料销售等风险易发，多发领域和环节的管控，构建全面、全员、全过程、全体系的风险防控机制。二是，有助于搭建内控数字化平台，强化对各类风险的实时、有效的监测预警，提高企业风险研判及处置能力。三是，有助于健全法人治理结构，完善决策程序和运行机制，推动企业对外依法经营，对内依法治理。四是，有助于把审计与巡视、纪检、监察等监督贯通起来，强化整改落实，深化标本兼治，既要“当下改”又要“长久立”，把建章立制和解决问题结合起来、把制度制定和执行统一起来。五是，有助于深入推进违规经营投资责任追究体系建设工作，通过强化违规经营投资责任追究，约束违规行为，促进各级企业领导干部树立“红线意识”、规范履职。

二、中央企业在处理内控、风险管理与内审之间关系存在的常见问题

1.风险管理、内审、内控各自的职责边界不明确

国资委倡议风险、内控、合规管理三大体系的融合，实现协同管理，并要求中央企业从内控的建设、管理、运营、监督、追责等方面明晰责任。由于国资委在风险、内控和合规管理的相关文件中对机构设置和职责内容均做要求，中央企业在推进一体化工作时，存在职责边界如何界定的难题。部分中央企业在风险管理、内部审计、内部控制方面所设置的人员各自的职责边界不明确。

2.中央企业之间及央企子企业之间的内控体系标准不一

中央企业所属单位众多，业务类型多样，内控、风险、合规管理资源相对欠缺，内控、风险、合规一体化管理存在提升空间。目前，各家央企内控、风险、合规管理体系各有特色，但中央企业包括央企子企业之间的交流沟通不足，内控体系工作开展的方式方法不一而足，尚未建立统一的标准。

3.部分央企内控体系建设时间早、历时长，存在过时现象

据笔者调研，大多数中央企业内部控制不存在重大缺陷，且已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持有效的内部控制。但是，部分企业仍然存在一些重要、一般内控缺陷。多数中央企业存在内控体系建设时间早、历时长，存在内控制度过时的现象，以及近年来并购的企业在进入央企上市子公司管理体系之前，基本上没有按照相关要求开展企业内控体系建设，导致多数流程中存在不同程度的内控管理漏洞。

三、正确处理内控、风险管理与内审之间关系的对策建议

1.建立层级清晰、内控有效的组织架构

建议中央企业按照整体设计、分级管理的思路，搭建管理层级清晰，工作机制常态化的内控、风险管理和内部审计组织架构，明确党委会、董事会及下设审计和风险管理委员会、经营管理层、业务部门在内控体系建设和执行中的职责。中央企业党委可充分发挥对公司内控、风险管理和内部审计的领导决策、督导把控作用，对相关事项根据议事规则和职责权限进行充分讨论研究明确意见。董事会及其下设审计和风险管理委员会督导公司建立健全覆盖各业务领域、部门、岗位、涵盖各级子企业全面有效的内控体系，促进内控机制不断完善优化。经营管理层负责内控体系建设的具体实施，落实内控缺陷的整改工作，审批内控管理制度并监督执行情况，提出阶段性工作建议，向董事会汇报内控执行情况。各业务或职能管理部门负责本业务或职能领域的内控体系的建设和运行，梳理业务流程的关键控制点和风险点，提出控制措施，明确岗位职责和授权审批权限，完善管理制度并组织实施。同时，可设立专门部对内控体系的健全性和有效性进行评价，充分识别内控缺陷，推动制度流程不断完善，促使内部控制、风险管理和合规管理的有效融合，实现内控体系持续优化。

2.全面推进三位一体的内部控制制度建设

妥善处理好内控、风险管理与内审的关系，中央企业需建立健全三位一体的制度标准。一是按照国资委要求，制定发布《全面风险管理办法》《内部控制体系建设实施方案》《投资风险管理办法》《合规管理办法》等规章制度，涵盖全面风险管理体系、内控体系、合规体系建立及执行的相关要求。二是根据公司风险评估、内控评价的实践活动，形成全面、科学、合理的内控缺陷认定标准、风险分类框架和评估标准，并随着内外部环境及公司投资经营情况变化，持续更新完善相关指标。三是制定合规评价标准，合规评价指标侧重对下属单位合规体系建设和运行保障机制的评价指标设定。同时，延续“事前规范制度、事中加强监控、事后强化问责”的监管思路，融合风险、内控、合规与违规经营投资责任追究监管要求，推进违规经营投资责任追究体系建设，促进内控、风险管理和合规管理体系的有效运行。中央企业各权属企业可根据自身实际情况，界定组织分工，完善相关管理制度，明确工作程序及要求，构建相对完善的管理体系。四是按照合规管理要求，结合实际情况，从合规管理的健全性和遵循性两个方面，合规体系建设规划、组织体系和制度体系、合规手册、合规审查机制设计、合规文化宣贯与培训、合规报告、合规日常管理七个角度，制定合规评价标准。

3.聚焦重点领域，不断提升管理效能

围绕重要领域、重大项目和重点环节，及时补充完善制度，明确关键点的控制措施和风险应对举措，提升业务的关键控制能力。对重大基建投资项目的生产运行情况进行专项调研，选取技术经济指标进行分析，查找与预期产生差异原因，及时提出改进建议。例如针对防范化解重大风险中关于预警中美贸易摩擦风险的相关方案，及时建立实时预警与报告机制，定期报送境外风险排查报告，通过有效开展海外投资经营管控，提升中央企业国际竞争力。同时，中央企业可针对重点领域和重点企业开展内控、风险和合规专项检查，以评促建，以评促管，推动相关企业精细化管理水平。

4.搭建央企内部控制数字化、可视化平台

从内控的角度看，通常一个企业的数字化水平较高，则内控可信赖程度较高。数据能够做到准确高效传送，才能做到“端到端”整个流程的数据可视、可查，才能充分利用企业数据资源，为企业管理层科学决策提供可靠依据，创造企业新的竞争优势。然而许多中央企业的数字化程度还比较低，例如部分中央企业法律风险管控的电子平台还属于空白，建议相关企业对标国电集团、中石油等大型央企在内的成熟大公司，结合企业运营与管理现状以及未来3-5年战略规划，明确数字化工作规划与阶段性进程，安排专项预算，建立关键指标体系和数据分析评估模型，搭建管理报表平台，实现数据分析功能，为企业风险管理提供决策支持。