NM公司內部控制現狀診斷實證研究

吳漢寶 曹文鈞 徐貴才 王青云 彭 健 雒東雄 曹 艷

從2008年《企業(yè)內部控制基本規(guī)范》發(fā)布以后，國務院國資委對內部控制工作也越來越重視。特別是結合2012年中央企業(yè)管理提升活動，國資委和財政部聯合發(fā)布了《關于加快構建中央企業(yè)內部控制體系有關事項的通知》（國資發(fā)評價〔2012〕68號），啟動了中央企業(yè)內部控制體系全面建設工作。

一、NM公司內部控制現狀診斷背景

原SH集團在2012年啟動內部控制體系優(yōu)化提升工作，建立了一套覆蓋全集團公司的內部控制評價辦法，將先進的內部控制理論、規(guī)范的內部控制評價標準與日常經營管理活動相融合。

自2012年開始，按照集團公司統(tǒng)一部署，公司于每年年底開展“自我評價+檢查評價”相結合的內部控制評價工作，同時并行開展年度風險評估與報告工作。經過八年的以風險管理為導向的內部控制評價工作的實踐，本著“以內部控制評價促內部控制體系建設”的原則，NM公司內部控制水平得到一定程度的提升。

二、內部控制現狀診斷方法

NM公司由內審部門主導的內部控制現狀進行了診斷中綜合運用了問卷調查、集中評審、報告綜合分析、制度與流程審核、外部信息收集與實地調研等方法。進行內部控制診斷目的，一是指出公司現行內部控制存在的問題，以揭示公司進行內部控制體系建設的必要性和緊迫性。二是對公司經營業(yè)務中關鍵風險點進行評價，以便在內部控制體系建設時進行設計與完善。

（一）調查問卷

在公司機關部門和部分專業(yè)化公司及生產單位開展了問卷調查，共收集有效問卷310份。分別從控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控與報告五個維度進行統(tǒng)計分析，形成的數據量超過3萬個。

（二）集中評審

組織財務部、煤制油分公司等業(yè)務主管/主辦共70多人對內部控制評價標準擬定的615個評價標準的合理性和適用性進行了集中評審。在堅持《企業(yè)內部控制基本規(guī)范》及配套指引的基礎上，結合各專業(yè)人員對公司實際情況提出了相關專業(yè)意見，對評價標準逐項進行適當修訂。

（三）報告綜合分析

收集了公司近三年的內部控制自我評價報告和內部審計報告（離任經濟責任審計報告、財務收支報告、專項審計報告等），結合后續(xù)的缺陷整改情況與后續(xù)整改審計的結果，針對一些內部控制設計與執(zhí)行中存在的缺陷進行了分析。

（四）制度與流程審核

結合近幾年的制度風險預控審核情況，對制度文件中配置風險控制文檔（流程圖+風險控制矩陣）進行了分析，特別是對關鍵業(yè)務的風險點和控制點設置的合理性進行了分析。

（五）外部信息收集與實地調研

收集了內部控制領域中的標準規(guī)范和制度規(guī)定同時前往其他央企（如中國五礦等）進行了對標學習，以便正確理解內部控制體系的目標原則與實施路徑。

三、內部控制現狀分析與問題描述

內部控制，是指由企業(yè)董事會、監(jiān)事會、經理層和全體員工共同參與的，通過制定和實施系統(tǒng)化的制度、流程和方法，控制經營管理風險，為實現控制目標提供合理保證的動態(tài)過程和機制。

從控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控五個要素對NM公司的內部控制現狀進行分析診斷，同時對問題進行描述。

（一）控制環(huán)境方面

1、控制環(huán)境調查問卷從企業(yè)文化、治理結構、機構設置和責權分配、戰(zhàn)略規(guī)劃、人力資源政策與實務、社會責任、法律環(huán)境七個方面進行分析診斷。具體情況如下圖表所示：

圖1.1：控制環(huán)境要素分布圖與得分匯總情況

控制環(huán)境中的51項內容的調查問卷平均得分為4.32，從得分分布可以看出企業(yè)文化與社會責任部分的認可度較高，治理結構部分得分較低存在薄弱環(huán)節(jié)，具體得分比較低的事項內容為：

一是公司的財務負責人、審計負責人或者內部審計師每個季度至少與外部審計師會談一次。

二是審計委員會每年審核內部和外部審計師的活動范圍。

三是公司有專人回答關于行為守則中的問題并定期修改更新。

2、集中評審。2019年7月15日至19日，通過對《NM公司內部控制評價標準》中615個評價標準的合理性和適用性進行集中評審，最終修訂為543條評價標準。評審中診斷出的問題：董事會下設5個專門委員會未有效運行。如戰(zhàn)略與發(fā)展投資委員會未發(fā)揮專業(yè)優(yōu)勢，未對公司戰(zhàn)略進行審議、決策。而是由規(guī)劃發(fā)展部負責戰(zhàn)略規(guī)劃制定和戰(zhàn)略執(zhí)行監(jiān)控等具體職責。在實際工作中戰(zhàn)略規(guī)劃經分管領導審批后提報黨委會審批，委員會的職能未有效發(fā)揮。

3、外部信息收集。從96家央企的公開披露信息來看，有20家在董事會下設了審計與風險管理委員會。NM公司董事會未設置內部控制或風險管理專門委員會，缺乏對風險管理的持續(xù)承諾。風險管理的有效性取決于其能否被納入公司治理與決策。這需要獲得公司董事會和高級管理人員的支持。因此，風險管理框架的核心是“領導與承諾”。在董事會未設置風險管理委員會或類似機構的情況下，難以確保公司目標的設定已充分考慮相關風險；難以確保與公司目標的實現相關的風險識別是恰當的；難以確保風險和風險管理相關信息能夠得到良好的溝通。董事會和高管層未通過制定相關政策、發(fā)表聲明或其它形式，主動對風險管理作出持續(xù)承諾。

（二）風險評估方面

1、風險評估調查問卷從目標設置、風險識別、風險分析、風險應對四個方面進行診斷。具體情況下圖表所示：

表1-2 風險評估評價現狀

圖1.2：風險評估要素分布圖與得分匯總情況

風險評估中的16項內容的調查問卷平均得分為4.46，從得分分布可以看出設置目標部分的認可度較高，風險識別部分得分較低存在薄弱環(huán)節(jié)，具體得分比較低的事項內容為：一是管理人員對各項經營環(huán)節(jié)中存在的風險能夠進行分析識別。二是高級管理層定期就最近可能對公司造成影響風險召開會議進行討論。

2、通過對報告綜合分析，發(fā)現公司內部控制存在以下問題：

一是部分領導對內部控制評價不夠重視，部分員工認識存在誤區(qū)，使得內部控制評價工作流于形式。有些部門領導由于對此項工作重視程度不夠，沒有積極主動組織實施內部控制評價，甚至個別領導認為，內部控制評價工作做與不做，做好與做不好，對本單位的生產經營成果影響不大，對內部控制評價的實質性內涵缺乏正確理解，沒有認識到內部控制評價對有效提升管理水平的重大意義。有些員工認為內部控制評價歷年都是審計部組織實施，這應該是審計的工作，因而只是被動接受這項工作，往往把自己置身事外，未全面參與到本單位內部控制自我評價工作中。因此，原本應由各部門各單位共同參的內部控制自我評價工作基本變成了內審部門和內審人員的任務，不利于內部控制評價的開展。

二是部分業(yè)務流程長、控制點多，且涉及多個部門，導致內部控制評價缺少針對性，評價效果也大打折扣。在日常管理中業(yè)務交叉很難避免，同類業(yè)務涉及到2個以上的部門，加大了內部控制評價難度。如工程管理中項目設計與計劃管理、施工管理、質量控制、竣工決算4項業(yè)務實際管理程序和流程基本一樣。但是按照煤炭、非煤、煤化工分類，分別由生產技術部、基建辦公室、煤制油化工部管理，業(yè)務管理分散，還存在工程項目和人員力量不匹配情況，尤其煤制油化工部項目多、人員少，管理難度大，內部控制評價效果也不理想。

三是崗位設置不健全，評價方式單一，缺少激勵與監(jiān)督機制。公司各業(yè)務部門受編制等因素影響，未配備專職內部控制評價崗和人員，很多部門的內部控制自我評價工作由新進的缺乏工作經驗的一般員工兼職承擔。而且，自我評價以定期定價為主，一般都安排在年底組織實施，各單位部門和員工都有大量的工作任務，與各項工作的交叉導致各部門各單位對內部控制自我評價投入不足，直接影響內部控制評價的效率和效果。

（三）控制活動方面

1、控制活動方面的現狀診斷主要通過對制度與流程風險預控審核來實現。自2011年開始，公司針對新制定下發(fā)的制度開展法律審核和風險預控審核，審計部針對重點業(yè)務領域新制定/修訂的制度從制定制度是否有依據及相關背景、是否明確了制度制定的目的及擬解決的問題、制定制度是否有對應的業(yè)務活動（流程）、是否對該業(yè)務活動的風險進行了評估、針對風險點在制度中是否制定了相應的控制措施、制度運行后能否有效控制風險共六個方面進行風險預控審核，提出合理的改進意見和建議，對重要的制度文件編制風險控制文檔，進一步從控制活動的制度設計層面上規(guī)避了風險。截止2018年底，共在公司57份制度中嵌入了風險控制文檔73個。具體情況如下表：

表1-3 NM公司風險控制文檔匯總表

存在的主要問題：

一是在公司總體層面未對控制活動進行流程梳理，在具體控制活動中：組織架構、綜合績效、風險評估、資金活動、成本費用、稅務管理、擔保業(yè)務、預算管理、財務報告這九類業(yè)務中暫時還未編制風險控制文檔。

二是在部分業(yè)務中雖然已經編制了風險控制文檔，那并沒有涵蓋該業(yè)務活動的所有內容，僅是在制度文件進行修訂時才涉及。還需要由制度管理部門牽頭，對全公司的所有制度文件進行系統(tǒng)梳理，結合內部控制標準來衡量制度設計的健全性。

（四）信息與溝通方面

1、信息與溝通調查問卷從信息搜集傳遞與共享、反舞弊機制兩個方面進行診斷。具體情況如下圖表所示：

圖1.3：信息與溝通要素分布圖與得分匯總情況

信息與溝通中的11項內容的調查問卷平均得分為4.27，從得分分布可以看出反舞弊機制部分的認可度較高，信息搜集、傳遞與共享部分得分較低存在薄弱環(huán)節(jié)，具體得分比較低的事項內容為：企業(yè)能夠利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通中的作用。

2、通過對報告綜合分析，發(fā)現公司信息系統(tǒng)存在以下問題：

一是信息孤島依然存在。ERP -SAP系統(tǒng)雖然基本實現了公司到礦級的人財物集中管控，但沒有延伸到礦內管理，且未實現與其他信息系統(tǒng)數據集成，如法務系統(tǒng)、投資管理系統(tǒng)、決策支持系統(tǒng)。

二是公司的信息系統(tǒng)未建立異地容災備份系統(tǒng)。系統(tǒng)在遭受如火災、水災、地震、戰(zhàn)爭等不可抗拒的自然災難以及計算機犯罪、計算機病毒、掉電、網絡/通信失敗、硬件/軟件錯誤和人為操作錯誤等認為災難時，系統(tǒng)將無法切換運行，數據也將無法及時恢復。

（五）監(jiān)控方面

1、監(jiān)控調查問卷從持續(xù)監(jiān)控、內部審計、個別評價、缺陷報告四個方面進行診斷。具體情況如下圖表所示：

表1-5 監(jiān)控與報告評價現狀

圖1.4：監(jiān)控與報告要素分布圖與得分匯總情況

監(jiān)控與報告中的14項內容的調查問卷平均得分為4.51，從得分分布可以看出持續(xù)監(jiān)督與內部審計部分的認可度較高，報告缺陷部分得分較低存在薄弱環(huán)節(jié)，具體得分比較低的事項內容為：對于發(fā)現的缺陷，公司能對問題的根本原因進行調查，采取必要的矯正措施，并且監(jiān)督其行動。

2、通過對近幾年的內部控制評價報告綜合分析，發(fā)現直接使用原SH集團內部控制評價標準存在以下問題：

一是評價標準體系與現行內部控制規(guī)范和公司實際不符。原SH集團內部控制評價標準體系包括總則、內部控制評價標準和經濟本安業(yè)務內部控制禁止性規(guī)定三部分。其中，與“五型企業(yè)”、“經濟本安業(yè)務”相關的評價標準明顯已經陳舊過時。原SH“內部控制評價標準”包括32章，其中，電力生產、鐵路運輸、港口生產、航運生產等完全不適用NM公司。缺少風險評估、信息與溝通、成本費用、財務報告等內部控制評價標準。

二是部分標準適應性差。原SH集團內部控制評價標準缺少煤化工業(yè)務版塊、專業(yè)公司等業(yè)務流程，缺少適合的評價標準，從而影響內部控制評價執(zhí)行的有效性。

三是部分業(yè)務流程沒有評價標準。如房地產、工程公司和煤化工專業(yè)化公司等缺少評價標準；公司治理、科技研發(fā)及技術開發(fā)、倉儲物流、無形資產管理等主要業(yè)務流程評價標準涉及不全不深。

四是原SH集團的表格模版對NM公司缺乏一定的適用性。公司一直按照原SH集團制訂的統(tǒng)一的表格模版開展自我評價工作，如內部控制評價工作底稿、測試底稿和缺陷匯總表等。這套模版對管理型單位比較適用，對生產型、專業(yè)化和特殊行業(yè)單位而言，適用性較差。然而，公司在開展自我評價工作過程中，只是機械的按這個統(tǒng)一模版要求填寫，也未結合自身特點建立健全內部控制評價標準及方法。

四、內部控制現狀的總體結論

從調查問卷和制度風險預控審核的統(tǒng)計分析和集中評審與報告綜合分析的結果判斷，NM公司內部控制現狀還處于問題解決階段。這一階段的典型特征是問題發(fā)生，根據領導的安排和會議決議生成臨時性制度，發(fā)現一個問題，解決一個問題，還沒有從系統(tǒng)設計的角度做出預防性的制度或流程安排。這可以概括為“三滯后一良好”。

一是內部控制體系建設滯后于內部控制評價。內部控制體系建設標準就是內部控制評價標準，公司自2012年開始了內部控制評價工作，在近8年的實踐中，已將內部控制評價標準進行了修訂，為后續(xù)的內部控制體系建設與完善提供一定的標準參考。

二是制度建設滯后于治理架構搭建。公司業(yè)務活動層面的內部控制文件（規(guī)定、通知、制度）比較多，而宏觀性系統(tǒng)性文件比較少，比如：內部審計章程等頂層治理方面的文件少。但目前，制度與流程結合工作僅在部分業(yè)務活動中的個別部分開展，流程控制的系統(tǒng)性不足。而公司在治理架構方面已有規(guī)范的董事會、監(jiān)事會、經理層及相關子分公司管控的結構。

三是內部控制意識滯后于內部控制需求。公司正在從跨越式發(fā)展階段向穩(wěn)定運行成熟階段轉變，風險積累越來越大，內部控制的重要性和緊迫性日益重要。而公司內部控制意識明顯需要進一步提升。

四是總體上看執(zhí)行效果良好。這主要得益于公司具有執(zhí)行力的企業(yè)文化和審計監(jiān)察的職能發(fā)揮。

NM公司決定2019年開始啟動內部控制制度規(guī)范化建設工作，目前已經積累了大量的實際控制經驗，內部控制現狀的診斷為公司內部控制體系的建設打下了很好的基礎。盡管公司內部控制總體上效果良好，但以上問題和矛盾的存在，制約著公司整體科學管理水平的進一步提升，與公司的戰(zhàn)略發(fā)展目標也不相適應，因此需要對現有的各項管理制度進行梳理并使之系統(tǒng)化，以形成一套科學、完整、系統(tǒng)的制度化體系。