國企改革三年行動已圓滿完成收官，站在新起點上，新一輪以提升核心競争力爲根本目的的深化國企改革的提升行動已蓄勢待發。那麽城市國企的改革又要從哪裏再出發？通過觀察，我們發現城市國企的職能模塊的改革邏輯與框架體系已全面完成，但囿于曆史遺留問題、上位政策的支持力度、企業運行不同特征與屬性等，在實踐中，部分模塊的改革仍難以真正的起到激發企業活力的目的。尤其是組織管理、分層分類授權建設、内控體系建設、薪酬績效管理等方面。爲此，我們以問題爲導向，特推出本期視界。

廣東、安徽、江西、遼甯、蘇州、沈陽多地均發布了内部控制體系建設政策，在此背景下，城市國企也越來越将内部控制作爲強基固本的重要抓手。但部分地區對内控邊界認知不清晰，導緻真正的執行落地水平大打折扣。另外，制度執行力較低、監督不力、缺少有效的反饋機制等問題也使得整合優化内部控制路徑迫在眉睫。那麽内控究竟是什麽？其與風控、合規、管控的區别在何處？城市國企又該如何設計内控優化路徑？本文将從三個方面對此進行解答。

一、内部控制内涵

（一）内部控制定義

1、COSO委員會對内部控制的定義

1992年，COSO委員會（全美反舞弊性财務報告委員會發起的組織）發布了《内部控制框架》，2013年，COSO委員會對1992年發布的《内部控制框架》進行了修訂和完善，将内部控制定義爲：

内部控制是一個受到董事會、經理層和其他人員影響的過程，該過程的設計是爲了提供實現以下三類目标的合理保證：經營的效果和效率、财務報告的可靠性、法律法規的遵循性。

2、國家五部委對内部控制的定義

2008年，中國财政部聯合國家五部委（财政部、證監會、審計署、銀監會、保監會）在1992年版COSO委員會《内部控制框架》的基礎上頒布了《企業内部控制基本規範》，給出内部控制定義爲：

内部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目标的過程。内部控制的目标是合理保證企業經營管理合法合規、資産安全、财務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。

3、國資委對内部控制的定義

2019年，國資委出台《關于加強中央企業内部控制體系建設與監督工作的實施意見》，提出内部控制體系的概念：

以風險管理爲導向、合規管理監督爲重點，嚴格、規範、全面、有效的内控體系。進一步樹立和強化管理制度化、制度流程化、流程信息化的内控理念，通過“強監管、嚴問責”和加強信息化管理，嚴格落實各項規章制度，将風險管理和合規管理要求嵌入業務流程，促使企業依法合規開展各項經營活動，實現“強内控、防風險、促合規”的管控目标，形成全面、全員、全過程、全體系的風險防控機制，切實全面提升内控體系有效性，加快實現高質量發展。

（二）内部控制邊界界定

1、内部控制與風險管理的關系

風險管理指企業圍繞總體經營目标，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系 ，從而爲實現風險管理的總體目标提供合理保證的過程和方法。

風險管理的範圍要比内部控制大，内部控制是風險管理工作的組成部分，風險管理包含内部控制，但是風險管理不能代替内部控制。風險管理識别企業整體的可控風險、不可控風險以及機會，内部控制進行控制的則是可控風險。

2、内部控制與合規管理的關系

合規管理是指企業通過制定合規政策，按照外部法規的要求統一制定并持續修改内部規範，監督内部規範的執行，以實現增強内部控制，對違規行爲進行監測、識别、預警、防範、控制、化解合規風險的一整套管理活動和機制。

合規是内部控制的目标之一，合規管理的本質是合規風險管理，其仍然屬于風險管理的範疇，而對制度合規性的内容又屬于内部控制的範疇。比如一家建築企業中的财務制度是基于會計法等相關法律制定的内部規範，但是未涉及到關于食品安全的相關内部規範，那麽财務合規是内部控制與合規管理所需要共同管理的領域，員工食堂出現了違反食品安全法的事件則屬于合規管理但不屬于内控管理。

3、内部控制與管理控制的關系

管理控制是指管理者通過影響組織中的其他成員達到實現組織戰略的過程。

管理控制是基于實現組織戰略的一系列過程，内部控制是這一系列控制過程中的一個，管理控制包含内部控制。比如某企業基于發展需要制定了戰略規劃，并通過一系列舉措督促規劃落地，這一系列舉措都是管理控制，但不一定是内部控制。

圖1 内部控制與管理控制、風險管理、合規管理關系示意圖

二、國資委内控政策梳理

（一）政策梳理

基于城市國企内部控制的研究主題，本文重點梳理國資委的内部控制政策如下表3-1所示。國務院國資委在COSO内部控制框架之外，于2019年提出内部控制體系的新概念，強調内部控制與風險管理、合規管理的協同性，提出内控體系“強内控、防風險、促合規的管控目标”，後續通過各年度内部控制體系建設與監督工作的政策文件監督三位一體内部控制體系的落地。

表1 國務院國資委内控政策梳理

表2 各地方國資委内控政策梳理（部分）

（二）梳理結論

各地方國資委的相關内部控制體系的政策是依據國務院國資委的文件結合本級監管範圍内企業制定的，本質上同國務院國資委的相關政策一緻。而國務院國資委2019年101号文的“加強内部控制體系建設”是在2012年68号文要求的“内部控制體系建設”在2013年底實現全覆蓋的目标達成的基礎上提出的。101号文強調内部控制與風險管理、合規管理的協同性，打開了内部控制的思路，但并不是将内部控制與風險管理、合規管理劃等号。

三、城市國企内控體系建設的運作思路

（一）城市國企内控體系的基礎

《企業内部控制基本規範》及配套指引給出了城市國企内控體系建設的基本要求，《企業内部控制基本規範》是内控體系建設的底線和基本功，該體系建設重點涵蓋5要素：内部環境、風險評估、控制活動、信息與溝通、内部監督五個要素。

圖2 内部控制體系五要素示意圖

（1）内部環境。内部環境是五要素之首，是整個内部控制體系的基礎和環境條件，一般包括組織結構、企業文化、制度建設三個方面。

組織結構上分爲三類：第一類是風險管理部門和董事會下風險管理委員會等組織，該類組織對整體風險進行分類，篩選出屬于内部控制體系範疇所管理的風險；第二類是相關職能部門和業務單位，該類組織是内控體系中各類控制的直接參與組織；第三類是内部審計部門和董事會下審計委員會等組織，該類組織以相對獨立的角度來發現建設内控體系，并完善内控體系。

企業文化是内控體系中的人心保證，優秀的企業文化能促進企業内部控制能力的提高,良好的内部控制制度可以反過來推動企業文化的傳承與發展。

制度建設是連接各組織結構運轉的橋梁，通過制度建設可以将内部控制的落實到各個部門及各個崗位。

（2）風險評估是實施内部控制的重要環節，是實施控制的對象内容。包括風險識别、風險分析和風險應對三個環節。

風險識别方面，企業應及時識别、系統分析經營活動中與實現内部控制目标相關的風險。風險分析方面，采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識别的風險進行分析和排序，确定關注重點和優先控制的風險。風險應對方面，應根據風險分析結果，綜合運用風險規避、轉移、分擔、承受等措施。

（3）控制活動是實施内部控制的具體方式方法和手段，是風險評估的具體應對措施的落實。企業根據風險評估結果，采用相應的控制措施，将風險控制在可承受度之内。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、财産保護控制、預算控制、運營分析控制和績效考評控制等。

（4）信息與溝通是實施内部控制的重要條件，貫穿于風險評估、控制活動和内部監督各要素之間。信息與溝通包括常規信息溝通和特殊信息溝通。

常規信息溝通是企業在日常管理中對信息進行分類，按照重要性等方式将信息傳遞給内部各管理級次、責任單位、業務環節之間，以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間。

特殊信息溝通指反舞弊機制及舉報投訴制度，這是常規信息溝通的重要補充，也是信息與溝通落實的保障。

（5）内部監督是實施内部控制的重要保證，内部監督是企業對内部控制建立與實施情況進行監督檢查，評價内部控制的有效性，發現内部控制缺陷，應當及時加以改進。

（二）城市國企内控體系的進階

國資委101号文及後續各年的内部控制體系建設文件是基于《企業内部控制基本規範》的全面内控體系提升，是内控體系建設五要素重點工作的執行體現，同時是城市國企内控體系的進階發展。基于101号文系列的政策對城市國企内控體系的發展可以概況爲“三化兩監督”，“三化”即支撐層，包括内控體系建設優化、内控體系執行強化、内控體系信息化；“兩監督”即監督層，包括内部監督評價、出資人監督檢查。

圖3 内部控制體系的進階模型

1、内控體系建設優化

内控體系建設優化是内部控制五要素中内部環境要素的進一步加強，包括職責劃分及工作機制建設、強化集團管控、完善管理制度三個方面。

職責劃分及工作機制建設上，城市國企要明确黨委、董事會、經理層等決策主體在内控監督方面的權責邊界、規範決策流程，避免邊界不清、流程倒置等現象，充分發揮黨委“把方向、管大局、促落實”，董事會“定戰略、做決策、防風險”，經理層“謀經營、抓落實、強管理”的角色職能。執行層面上，要加強内控人員培育和儲備，組建業務、職能矩陣化團隊，促進内控部門主責推動、業務部門協同配合。集團管控及管理制度上，要注重集團層面與公司單體之間、不同管理體系之間制度要求的融合性和精簡性。

2、内控體系執行強化

内控體系執行強化是對内部控制五要素中控制活動和内部監督要素的進一步提高。包括三個方面：

一是加強關鍵領域的日常監控，主要關注改革關鍵領域、重點業務、國有資本運營重要節點的監管，定期梳理執行情況，發現問題及時制定措施改進。二是加強重要崗位授權和權力制衡，将内控體系與業務有機結合，按照不相容職務分離控制、授權審批控制等内控體系管控要求，嚴格規範重要崗位和關鍵人員在授權、審批、執行、報告等方面的權責，實現可行性研究與決策審批、決策審批與執行、執行與監督檢查等崗位職責的分離。三是健全風險管理防控機制，風險預警量化指标由事後向事前、由表内向表外、由集團向基層“三個延伸”。

3、内控體系信息化

内控體系信息化既是從内部控制五要素中信息與溝通要素方面做提升，又是對控制活動要素做進一步提升。

通過發揮信息技術在信息與溝通中的作用來提升城市國企的信息化水平；控制活動中，将控制節點和控制要求固化嵌入信息系統，降低人爲操作的錯誤發生率，提高“技防技控”能力。強化風險識别和管控，建設風險檢測預警機制。

4、加強内部監督評價

加強内部監督評價是對内部控制五要素中内部監督要素的進一步加強，包括各企業自評和集團監督評價兩個方面。

各企業自評方面，城市國企要全面實施内控自評，每年以規範流程、消除盲區、有效運行爲重點，對内控體系的有效性進行全面自評，客觀、真實、準确揭示經營管理中存在的内控問題。集團監督評價方面，在子企業自評的基礎上，加強集團評價。同時可結合自身情況委托外部機構對自身及及子企業的内控體系進行評價。

5、加強出資人監督檢查

加強出資人監督檢查既是内部控制五要素中内部環境要素的提升，又是内部監督要素的提升。出資人的國資監管體系是城市國企治理體系的重要組成部分，城市國企作爲國資體系的重要組成部分應當受到出資人的監督檢查。

加強對國有資産監管政策制度執行情況的綜合檢查工作，出資人建立内控體系定期抽查評價工作制度，強化城市國企内控問題的整改，加大評價結果在薪酬考核和幹部管理等工作中的運用力度。利用紀檢監察監督、巡視監督、審計監督等監督成果形成内控監督共享機制。

四、城市國企構建内控體系步驟

城市國企内控體系的構建要基于内部控制五要素，并融合國資委對内控體系的五點要求來進行，據此我們提出了城市國企内控體系構建的五步驟。

（一）構建必要的内部環境

必要的内部環境包括組織、文化和制度三個方面。組織方面，城市國企要設立能夠滿足企業經營管理活動的組織架構，在此基礎上明确風險管理的組織及擁有獨立性的内控完善部門。文化方面，内部控制需要全體員工（包含高管）共同參與，需要在企業文化的基礎上強調内部控制的重要性，需要各層級貫徹内控價值觀和理念。制度方面，城市國企需要建立能夠滿足企業經營管理需要的各項制度。

示例：

某地方XX城投設有黨群工作部、行政部、财務部、工程管理部、發展投資部、風險管理部、資産管理部7個部門，有較爲完善的規章制度流程。XX城投在進行構建必要的内部環境時可以分爲三步：

1、XX城投以當前組織架構爲基礎，将風險管理與内部審計的職能獨立成兩個部門，增設獨立的審計部,并在董事會下設立審計委員會。

2、在現有企業文化的基礎上，融入内部控制理念，強調公司各層級貫徹内控的價值觀和理念。

3、建立有較完善的規章制度流程，能夠應對日常經營管理活動，本階段無需進行調整。

（二）進行風險評估

對城市國企的風險進行整體識别，分析城市國企所識别出的風險，采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識别的風險進行分析和排序，根據控制目标确定關注重點和優先控制的風險。根據風險分析結果，綜合運用風險規避、轉移、分擔、承受等措施來進行風險應對。

示例：

某地方XX城投對風險整體識别，梳理出重點和優先控制的風險如下：工程風險、财務風險、運營風險、戰略風險、安全風險、投資風險、合規風險、廉政風險等。

（三）設計關鍵控制活動

通過風險評估結果，爲需要重點關注和優先控制的可控風險設計關鍵控制活動。從業務流程和管理流程兩個角度對流程節點的風險點進行梳理，針對需要重點關注和優先控制的可控風險制定各業務流程和管理流程中的控制措施，将控制落實到相關部門及崗位，并同信息化結合将控制節點和控制要求固化嵌入信息系統。

示例：

XX城投通過對風險的梳理，對工程項目決策風險梳理如下：工程項目決策失誤，可能造成企業資産損失或資源浪費；工程項目違反國家法律法規，可能遭受外部處罰、經濟損失和信譽損失；工程項目未經适當審批或超越授權審批，可能因重大差錯、舞弊、欺詐而導緻資産損失。

基于梳理的工程項目決策風險，設計關鍵控制活動如下表所示：

表3 工程項目決策控制活動

（四）内控體系完善

對現有的内控體系進行檢視，并通過多種途徑進行内控有效性測試（詢問、觀察、檢查、穿行測試等），針對測試結果進行相應的控制活動調整措施，必要時對内部環境進行調整。

（五）構建内控監督機制

構建内控監督機制包括内控内部監督和外部出資人的監督機制。内控内部監督是城市國企内控體系動态閉環的要求，通過城市國企内部自評價等方式不斷完善内部控制體系，适應企業内部管理的變化。外部出資人監督機制是内控内部監督的重要補充，一是可以發現内部監督所未能發現的内控問題，二是可以提高城市國企内控體系的有效性。