内部控制的主责部门到底是谁?国资委资金内控19号文件解读
最近,有企业的内控部门同仁询问,我们有内控部、资金管理部,制定资金内控管理制度到底是哪个部门负责?
大家觉得呢?
之前和很多企业交流内控工作,我说一般企业最重要的有三条内控线,是销售、采购和资金管理,一个负责挣钱、一个负责花钱、一个负责管钱,都是核心环节,哪个环节出了问题,都是不可忽视的问题,这关系到企业的价值创造结果,直接影响绩效。
上个月,国资委发文要求加强中央企业资金内部控制管理(获取通知文件,请在公众号输入“zjnk”自行下载),里面谈到了实施和加强资金内部控制管理的各项要求,借着回答上面这个问题,给大家把这个文件解读一下。
此文件全文一共六条:
解读:第一条内容其实是介绍这个文件出台的背景。这几年,在资金管理上出现的违法违规造成重大损失的案例不在少数,和企业交流经常听到一些资金管理的问题,有些问题犯的都是低级错误。从以往的经验来看,我相信暴露出来的仅仅是其中的一部分。
之前跟大家介绍过一个模型,叫“舞弊三角形”,一个舞弊事件的发生需要同时具备“压力Presure”(如财务困境),“机会opportunity”(如管理漏洞)和“合理化Rationalization”(自我约束能力)三个方面的问题,如果用这个模型去套这些舞弊事件,大部门原因都能对上这几个原因。
但现代社会面临的诱惑太多了,我们看到越来越多的舞弊案例,当事人不仅包括有财务压力的人,还有一些是家境比较优渥的人,由于经受不住一些诱惑,比如游戏、赌博,或成本高昂的爱好等等,也实施了舞弊事件。
所以之前我把舞弊三角形中的压力因素改为了欲望因素,认为和当下的情况更接近些。
问题出现了,不能仅仅加大查处力度,而是需要从完善控制机制的角度,堵住这些控制漏洞。
所以,需要以内控为抓手完善资金内部控制机制,还要加强内控部门的资金内控监管责任。
其实,自2008年财政部出台企业内部控制基本规范以来,国有企业也在大力建立健全企业内部控制体系建设,其中资金管理(6号指引)是专门的一部分内容,效果怎么样呢?
本文件第一条指出“这些损失案例暴露了资金内控管理严重缺失”!
不是不完善,是严重缺失,什么意思?
是从出问题的这些案例来看,反推你的资金管理连最基本的控制都没有。
有些案例出了如果拿出来看,很多人都不相信,会惊讶这样做都能走的通?
有些案例虽然杀伤力不大,但侮辱性极强!
2008年财政部的内控只是一个企业实现必要控制的及格标准,而不是最高要求,所以可以要求所有适用的企业都要合规。但即便是以及格标准衡量目前企业的控制现状,也有大部分企业达不到这个及格标准的及格线,打了两个折扣还是不及格。
建立资金内控本并不是目的本身,它的目标有两个:
一个是资金安全,也就是我们看到这些案例里暴露出来的控制漏洞;
还有一个是资金使用效率,很多人会忘了这一条,安全和效率目标有时会冲突,这要取决于决策偏好以及服务于更高级别的目标。
比如为了提高资金效率牺牲一定的安全性,这种是正常的风险承担策略,但我们看到的这些案例绝大多数不属于这一种情形。
二、切实加强资金内控制度建设
各中央企业内控部门要在推动完善财务资金制度的基础上,结合企业行业特点、业务模式和经营规模,抓紧建立资金内控监管制度,明确资金内控监管工作原则和任务、职责权限和控制程序,细化资金内控在资金支出、审批联签、收支结算、银行账户、网银支付、票据管理、不相容岗位设置、上岗资质、定期轮岗、后续教育等关键环节的控制触发条件和控制标准、缺陷认定标准,确保内控要求嵌入到资金活动全流程。根据国家有关部门及国资委关于资金管理相关政策制度变化,以及新设立企业(项目部、分支机构)、新开办业务、资金结算方式更新等情况,及时督促、提示业务部门和财务(资金)部门制定或修订资金业务管理制度,并对资金业务制度修订情况进行检查复核,为有效防范重大资金风险提供制度保障。
解读:这一条讲的是如何加强资金内控管理的方式。这里面提到了一个说法—资金内控监管制度。
这涉及资金内控的管理职责问题,到底资金内控的主责部门是谁?各职能又在里面承担什么样的责任呢?
首先,企业一般都设立有专门负责资金管理的部门—财务管理部,有的管理细一点的企业分离出来专门的资金管理处室,我们用资金管理部来代表资金管理的主要责任部门。
另外,内控管理主要责任部门我们称为内控部,负责包括资金内控在内的公司内部控制体系建设和运行。
以风险为导向的内部控制体系是为了企业更好的管理风险,我们之前探讨过同样的问题,谁是风险管理的主责部门?或者说谁是风险管理的Owner?
不管是风险管理也好,内部控制也罢,它是跟着管理权限走的,谁拥有某项职能或业务的管理权限,就同时拥有了这些工作的风险管理和内部控制职能。所以,从这个角度讲,资金管理部是资金管理内部控制工作的Owner。
但是,处于第二道防线的风险管理和内控职能应该支持资金管理部建立、完善和维护有效的内控体系。
至于内控部对资金管理业务的定位到底是支持?协助?协同?监督?评价?
这在不同企业可能做法不尽相同,按照我们之前的观点,二道防线的职责最理想的定位是赋能,而第三道防线的职责定位是监督。
这个文件中谈到的是“监管”,按照字面意思是监督+管控,我相信这么提应该是有一定背景的,比如在要求资金管理部自身加强资金内控能力不足或效果不理想的情况下,要求内控部加强介入力度。
需要明确一点的事,内控部谈监督其实应该更多是评价的本意,肯定和第三道防线内部审计的监督不是一回事。而管控的要求又更高了一层,需要内控部介入更多的业务控制环节。
监管这个词一提,对内控部在这项重点工作中的定位是大大提升了。但是,如果监管力度把握不好,有可能把资金管理部直接变为纯粹业务操作部门,这可能也不是这个文件的初衷。
这里也顺便提一句,三道防线的分法是以核心业务为标的的划分方式。此外,一个部门按照其工作范围和风险管理责任,每一个部门又可以将本部门职责按照三道防线的不同防线内容进行划分,特别是在上级对下级单位时,可能会出现几道防线的职能交叉。
也就是说,从某一个部门自身来讲,对某些职责它可能既承担第一道防线职责,对其他职责又承担第二、三道防线职责。所以,要活用它的精髓,而不要受其限制。
那这里面谈到了一个资金内控监管制度,应该怎么来理解?
我的建议还是分两个方面,一方面要重新审阅之前资金管理部执行的内部控制制度,查漏补缺、修订升级,发挥好资金管理部的主体控制责任,这是最主要的。
第二方面是在上面相对完善的资金内控制度基础上,结合原有的内部控制评价办法,抽离出主要控制点,针对资金管理业务制定一个具体针对的资金管理的评价办法(监管制度),作为一项重点工作,更好的履行内控部对资金管理业务的监督评价职能。
内控部是以评促建、以督促建,最主要的执行方资金管理部还是应该承担主要责任。
我认为这样做逻辑是比较清晰的,避免了之后的误会和扯皮。
三、持续强化资金内控关键环节监管
各中央企业内控部门要建立资金内控关键要素管理台账,对企业资金账户核心岗位、上岗人员、审批权限、银行印鉴及网银U盾责任人等关键要素进行限时备案管理。持续跟踪监测预警资金内控要素异动情况,对资金内控关键要素失控重要岗位权力制衡缺失、大额资金拨付异常等风险第一时间启动紧急应对控制措施。严格银行账户和网银监管,定期或不定期对特殊银行账户开户审批、银行印鉴及网银U盾分设管理、银行账户和网银交接程序及密码定期更换等情况进行评估,确保账户和网银安全可控。加强大额资金支付监管,从资金支付额度、支付频次、支付依据等方面研究设置控制参数,对于短期内向同一账户多次或单笔支付大额资金、预算外支出、超出预付信用敞口限额支付预付款等异常情形,通过线上信息系统推送或线下报送(未建立财务资金信息系统企业)等方式及时预警风险,纠正违规问题,消除资金风险隐患。按照不相容岗位分离、定期轮岗、人岗相适原则,对人员调动、分工调整等情形,内控部门应当出具复核意见;定期开展各级企业资金岗位任职情况巡检巡评,对资金结算中心等重点单位进行重点检查,对不符合内控要求的,应当限期整改。
解读:这些内容其实都是之前发布的资金内控规定里的重点内容,台账、审批授权、不相容岗位分离、预警等。
有些单位不是没有制度,关键是不执行制度,最最关键还有不执行制度也没有什么后果。
这些其实是我们上面提出专项内控评价(监管)制度的核心,要压实资金管理相关职能的责任。
四、加快推进资金内控信息化建设
各中央企业内控部门要深度参与信息化建设顶层设计通过完善财务资金信息系统权责设置,落实对财务资金风险监督预警职责,有效发挥信息化管控的刚性约束和监督制衡作用。优化完善现有财务资金信息系统功能,将控制触发条件和控制标准、缺陷认定标准等内控要求嵌入信息系统,科学设置异常预警条件,强化资金全流程预警监控,促进资金管理活动可控制、可追溯、可检查,有效减少人为违规操控因素。尚未建立财务资金信息系统或未将相关内控要求嵌入信息系统的中央企业,要抓紧推进有关工作,并于2022年底前完成集团总部及所属二级子企业、三级及以下重要子企业财务资金信息系统内控功能建设或优化工作,实现对财务资金信息全面有效监控。加大新兴技术运用及风险防控,督促财务(资金)部门扩大中央企业银(财)企直连系统覆盖范围,对因客户指定账户等特定原因不能实现银(财)企直连的账户,研究制定替代内控措施和应急预案;定期抽查第三方支付账户监管、余额归集及对账管理情况,严控资金支付风险。
解读:资金管理信息化、内控管理信息化每个企业按照要求和自己的进度推进即可。
能够利用信息化的自动控制手段肯定是好的。
五、有效开展境外资金风险管控
各中央企业内控部门要结合所属境外单位所在国家(地区)法律法规和本企业内控管理要求,建立健全境外资金内控监管体系。完善境外资金内控监管制度,明确境外大额资金审核支付、银行账户管理、财务主管人员委派、同一境外单位任职时限、资金关键岗位设置等方面要求,细化资金内控预警触发条件,促进境外资金合规管理。加强境外资金风险防范,督促境外单位及时搜集所在国家(地区)政治、经济、社会、安全、舆情等国别风险信息,对发生外汇管制、汇率大幅波动、通货膨胀率快速攀升等情况,及时做好重大资金风险应急处置工作。加大对境外单位大额资金监督力度,对大额资金的决策程序资金调度、资金收付渠道、资金支付联签及银行账户变动、境外项目佣金管理等情况建立备案跟踪内控机制,对出现异常情况的及时采取应对措施,保障境外资金安全。
解读:我认为境外单位的资金内控管理是值得各家企业突出重视的内容,从这些年央企管控的范围来看,境外单位管控一直是薄弱环节、灰色地带,这些年在海外经营上也出了一些非常典型的损失案例。
从2019年的101号文,到后面2020、2021年央企的内控工作重点,境外单位的管控一直强调,这次资金内控管理也不例外。
要保护好境外资产安全、防止各种损失事件再次出现,内部控制这个抓手有很多工作需要做,国家层面对这个领域的要求后面还有大招。
六、认真做好资金内控体系监督评价工作
中央企业内控工作要坚持以评促建、以评促改,规范评价方法,提升评价质量,促进资金内控体系持续优化。每年对资金内控体系有效性开展全方位全覆盖自评工作,深入揭示风险问题,堵塞管理漏洞,建立风险管控长效机制。对新兴业务(开展三年内)、高风险业务以及风险事件频发领域至少每半年开展1次内控自评,评价重点包括资金管理制度建设重要岗位权力制衡、大额资金拨付程序、网银U盾管理等内容。有效推进“上对下”资金内控体系监督评价工作,将资金管理制度健全性、内控体系执行有效性关键岗位制衡性信息系统刚性约束等作为监督评价重要内容,查找内控缺陷和风险隐患,确保集团对全部子企业每三年至少评价1次。加大资金内控体系监督评价结果在干部管理考核分配等工作中的运用力度,强化问题整改工作,明确整改责任部门、责任人和完成时限加强整改工作跟踪检查力度,持续完善资金内控体系。对因资金内控缺失、未执行资金内控制度等造成资产损失的中央企业,严肃开展责任追究工作。
各中央企业要认真落实本通知要求,结合实际,研究制定本企业资金内控监管制度,于2021年7月30日前报送国资委综合监督局。
解读:明确了几个时间线,要想把工作做实其实工作量还是蛮大的,其中还突出提到新兴风险领域,加强从资金内控视角的关注,这部分也是近几年风险管理非常关注的话题。
至于7月上交的这个监管制度,前面已经给出了一些思路,供参考。
还有一点需要注意,不要一谈加强就是不停的添加新控制,审批一道一道又一道,增加了成本,降低了效率,这肯定不是目的。
是否需要添加控制是需要根据控制目标和风险水平来判断,通过评估,有些风险不高的环节甚至需要优化控制程序、精简控制环节,切莫进入控制只能加不能减的怪圈。
还有就是这些控制之前有可能都已经设置了,只是没有执行到位,强调执行和考核也是就可以,千万不要推倒重来,浪费人力物力。
最后想说,其实政策要求、规定不少了,关键不是编制这些制度、上交报告、完成上级要求,最关键的还是——重在落实!
相关参考
【相关】国资委印发《国资监管提示函工作规则》和《国资监管通报工作规则》的通知
【观点】国企党委、股东、董事会、经理层“四大权责清单”实操解读
【观点】终于有人把法务、合规、内控、风控的关系讲清楚了!
【内控】国资委44号文《关于2020年中央企业内部控制体系建设与监督工作有关事项的通知》 【观点】国企监督体系:如何借鉴美国独立董事制度与德国监事会制度?
【内审】国资委印发《关于深化中央企业内部审计监督工作的实施意见》[2020]60号
【内审】国资委《关于做好2020年中央企业内部审计工作有关事项的通知》[2020]7号
【内审】解读2020年中央企业内部审计工作文件,央企哪些审计工作划给审计署了?
大风控诚意出品,欢迎参考