集团公司内控体系建设的实践与探索

王丽竹

内部控制体系建设的实践

（一）成立内控体系建设工作小组。A集团成立专项工作小组，在不同层面推进内控建设工作。一是组建内部控制领导小组，全面领导公司的内控建设、持续运行、定期测评与后期调整工作。二是成立内控领导办公室，承办内控领导小组的决策事项，主要负责内控建设的组织协调工作。三是组建内控联络员小组，由各部门指派一名内控联络员，负责本部门与内控领导办公室的日常沟通和衔接，保证内控建设的顺利推进。

（二）内控体系建设的工作方式与进程安排。A集团聘请第三方咨询机构，借助其人员力量和专业能力搭建内控体系。整个内控建设采取自上而下的方式，分四阶段完成。第一阶段，建立集团本级内控管理机制。建立内控组织体系，初步识别集团本级风险，以风险为导向梳理集团本级内控流程;第二阶段，推动集团本级内控落地及优化。将内控成果向集团本级各部门宣传并开展试运行，定期组织内控评价、发现缺陷、以评促建，不断调整和完善;第三阶段，建立集团整体内控体系。建立集团下属二、三级单位的内控管理体系;针对下属单位特有的经营领域和业务流程，设计具有针对性的制度体系和内控流程，贯穿总公司和子公司的授权流程、审批流程管理;将内控评价扩展到整个集团;第四阶段，借助信息化力量，推进内控体系优化。信息化系统上线后，系统自动执行内控关键点，全面提高内控管理效率，提高集团管理水平。

（三）内控体系建设的核心步骤。企业内部控制的核心要义是承接战略，提升价值，逐步实现管理制度化、制度流程化、流程表单化、表单信息化。在搭建内控框架過程中，A集团聚焦实用性，将风险、内控、流程、制度充分融合，确保风险内控在制度流程中落地落实。

一是明职责，清晰组织职责体系和管控边界。A集团通过梳理集团风险管理及内控工作组织体系，理顺了集团组织架构及目标定位，确立了集团战略型管控模式，明晰了各部门的职能和管控边界，解决了内控工作谁来管、管什么、管到什么程度的问题。

二是控风险，进行风险诊断，构建风险数据库，提出内控优化建议。首先，识别风险、形成风险清单。在第三方机构协助下，A集团及下属二、三级子公司根据各自经营特点、战略目标及管理层风险，考量风险可能性和影响程度，建立了适用的风险评估标准。其次，评估风险，确定风险管理优先等次。在风险识别的基础上，A集团借助风险热力图描绘风险分布情况，并聚焦重大风险和重要风险，对其进行重点管理。最后，针对不同风险进行分类管理，提出内控管理措施和建议。如，针对重大风险，A集团引入对标方法，分析管控差距，确定可提升的业务点，并结合管控流程有针对性地提出管控措施，将其固化为控制点，纳入内控管理体系。

三是建体系，进行制度流程的梳理与优化。首先，A集团基于业务范围，搭建了覆盖关键业务的流程框架，对各项业务逐级分解，并根据所梳理的业务框架绘制核心业务流程图，以理顺业务逻辑。其次，在第三方机构协助下，A集团基于公司业务框架构建制度体系，该制度体系的构建遵循了分层、分类、分级的理念。所谓制度分层，指将制度分为一级制度、二级办法、三级细则等;制度分类，指将制度按业务性质分为投资类、采购类、财务管理类等内容;制度分级则是根据公司组织架构和管理层级，将制度分为集团级制度、子公司级制度、事业部级制度等。最后，A集团将制度与流程相对应，通过设计流程落实制度内容，对制度查漏补缺。

四是定授权，梳理授权矩阵，提升审批效率。根据公司集权或分权管理的要求，A集团确定授权流程，厘清集团本级与下属子公司、事业部的权责分配界限，解决权限不清、审批冗长、效率低下等问题。在内控具体建设过程中，A集团针对不同业务事项，分别对不同的管理机构和岗位设置了不同的权限，如提交、审核、审批等。

（四）内控体系建设的过程控制。A集团内控体系建设强调闭环化与落地性。在业务开始阶段，工作组通过审阅制度、交叉询问、资料审阅、实地查验、穿行测试等方法，在对集团公司多个业务板块进行了解后，发现潜在风险并分析成因，进行初步诊断，为后续工作做好铺垫。

在业务开展过程中，工作组以每日会议形式，严格控制小组成员工作质量和进度，并以周交流、月汇报的方式定期与A集团相关部门和高管进行沟通，汇报工作进展、阶段性成果、下一步计划与工作思路。在保持专业性的同时，也充分考虑A集团的诉求。在现场工作结束后，工作组将交付物内容提交A集团，并与各条线、各板块业务人员就有异议或其它意见的内容再一次讨论沟通、修改提交，直至各方意见统一。给出最终交付物后，工作组继续跟进，就重要板块和内容进行培训宣传、讲解答疑，协助内控成果落地。最后，内控建设成果进入试运行阶段，工作组分别于试运行半年及一年，开展“回头看”工作，根据运行反馈对全面风险管理及内控体系进行细节修订和完善。

内控体系建设的积极成效

（一）管控效率提升，实现横向协同。通过与多个部门、子公司多次深入访谈，对集团组织管控现状进行了深入分析，识别出部分领域尚有明显的管理提升空间;通过梳理上百个关键控制活动，系统排查了业务领域间的衔接接口，厘清业务在不同部门运行环节存在的阻塞点，进一步打通集团部门、子公司、事业部之间的协作壁垒，提升横向协同能力。

（二）全面梳理，构建内控网状体系。A集团通过归纳关键控制活动相关的分级审批权限，完成资金、招投标、购销、投资等重要业务的标准化工作，实现内控体系上下贯通、全面覆盖，形成了一套相互监督、相互制衡的工作机制。渐进式地构筑了点线面相结合，横向到边、纵向到底，并能不断完善提升的动态网状内控管理体系。

（三）系统谋划，提高“技防技控”。A集团利用信息化系统，完善内控系统权责设置和关键环节的信息化覆盖，通过将控制节点和控制要求固化嵌入信息化系统，实现审批线上流转、控制实时跟进，进一步实现内控体系向“技防技控”升级转型。

内部控制体系建设的启示

（一）突出顶层设计，坚持“一把手”负责。内控制度的建立与完善对提升企业经营效率效果、实现企业战略目标具有重大作用，它涉及各部门职责、各业务条线，关乎企业发展全局。在内控建设中，“一把手”要有所为、有作为，对本单位内控管理负总责。首先，“一把手”要意识到内控的目的是查找风险、剖析原因、清除隐患，对企业开源节流、提升资金效益、化解重大风险具有重要意义。其次，在内控建设过程中，“一把手”要做好部署安排，聚焦核心业务，坚持统筹推进，确保内控有效。最后，在内控建设实践过程中，“一把手”要带头遵守，最大程度减少干扰业务流程管控的人为因素，使内控真正成为防止出错的“规”和“矩”。

（二）借力专业团队，用好第三方机构的力量。企业内控建设业务覆盖广、流程线条长、工作难度大、人员素质要求高，企业仅凭自身力量很难开展，可借助第三方机构的力量实施。在选择第三方机构时，关注点要更多地放在对方的能力与过往业绩上，而不是价格方面。在开展工作时，要加强需求沟通，牢固树立“控制措施不是越多越好”的理念，要根据企业的不同规模、不同性质，深入一线、量身定制，充分了解各个子公司的个性需求及业务特点，确保第三方机构可以设计出一套适合每个子公司自身的体系，而且要适用、管用、能用。

（三）做好内控建设需处理好几个平衡。一是要处理好规范和效率的平衡。规范的终极目的是为了提升效率、释放活力，在内控体系建设过程中，要平衡好这两者的关系。二是要处理好现阶段与未来发展的平衡。在内部控制及风险管理体系的设计中，要有一定的前瞻性、超前性，形成的成果要现阶段能用，未来一段时间也能适用。三是要结合实际、拓宽眼界。在内部控制及风险管理体系建设过程中，既要立足各个子公司的实际，又要大胆借鉴国内乃至世界一流企业的经验、案例。四是要做好集团与子公司的衔接。子公司内部控制及风险管理体系建设是建立在集团已经形成的管控及内控体系基础上的。在子公司体系建设过程中，首先考虑集团对子公司的一些刚性管控要求，在此基础上，充分考虑子公司实际。

（四）内控制度要内化于心、外化于行。形成制度手册和流程手册，是内控建设的起点，而非终点。要加强对制度的宣贯学习，牢固树立“用制度管人、按制度办事”的理念，一以贯之抓好内控执行，确保将内控制度内化为理念、外化为行动，而不是将制度手册束之高阁、一翻了之。

（五）定期开展“回头看”。内控建设需要不断调整、适时优化，定期开展“回头看”。一是要紧跟国家政策的废、改、立、修步伐，及时研究工作开展中的新情况新问题，对各项制度进行修订完善。二是要不断优化内控流程，梳理风险信息，结合监管要求，优化调整内控流程。三是要定期开展内控评价，要结合巡查、审计发现的问题，将内控评价做实做细，研究完善防控措施和制度机制，持续提升内控质效。

（作者单位：陕西西咸新区发展集团有限公司）