論中外合資能源企業的內控體系建設
——以R 合資公司為例

劉斯瑋 福建聯合石油化工有限公司

十九大以來，為貫徹落實黨中央關于提高防控能力，著力防范化解重大風險，保持經濟持續健康發展的要求，國家重點支柱產業逐步加大對風險管理及內部控制體系的建設力度。能源行業作為能源穩定供應的主要力量之一，其內部控制體系的完善和有效性關系到經濟健康發展全局。R 公司作為成立較早的中外合資能源企業，內部控制體系建設借鑒了美資股東方的管理經驗，并結合內部控制監管要求、自身特點、實際需要等，逐步形成了獨具特色的內部控制體系。

一、內控相關理論

控制，英文是“control”，只有當某些事情存在風險時才需要控制。如十字路口的交通燈，沒有交通燈的控制，不同方向來車就可能發生碰撞，碰撞是風險，為控制風險，則需要交通燈。所以控制和風險是密切相關的。

內部控制（簡稱“內控”）是指一個企業為了實現其控制目標，確保經營合法合規，保護資產安全，保證會計資料準確可靠，保證經營活動的效率和效果，而在企業內部采取的指導、約束、管理及檢查經濟活動而設計的系統和程序。內部控制幫助企業管理風險，創造和維護企業價值。內部控制體系是為滿足運營、報告、合規目標，實現一個良好的、可持續性的控制環境而建立的結構化的管理體系。

比較成熟的內控理論有美國的COSO 內部控制框架，其在1992 年問世，并在2013 年修訂。其為企業風險管理、內部控制、舞弊防范提供指導，多年來被諸多公司接受并使用[1]。我國的《企業內部控制基本規范》于2009 年7 月實施，為上市公司內控提供指導。鑒于R 公司的內控體系建設主要借鑒美資股東方的管理經驗，因此，COSO內控框架是更為貼近的理論基礎。COSO 內控框架定義了內部控制的五個要素，分別是：

1.控制環境。其是企業實施有效內部控制活動的基礎，包括企業誠信和道德價值觀，董事會監督機制，人才機制、治理架構及權責分配。控制環境對內控的整體實施產生全面影響。

2.風險評估。其是企業管理各種風險的決策基礎。應當設定清晰的風險管理目標，并能識別和分析影響目標實現的相關風險（包括舞弊風險），確定合理的風險應對策略。

3.控制活動。其是內部控制的核心，是指企業采取的降低風險，保證實現目標的各項控制措施。

4.信息與溝通。其是促進內控其他要素有效運行的有力支撐，要求企業獲取、產生和運用高質量的信息，并在內部、外部進行有效溝通。

5.監督活動。其是內部控制的關鍵環節，是企業為確認內控建立和有效實施進行的持續或專項評估，發現內部控制缺陷，及時溝通和推動改進。

二、R 公司的內控體系分析

（一）R 公司的合資背景

R 公司為一家大型中外合資的能源企業，中資股東為國內煉化企業，外資股東包括美國的上市公司P公司及中東的S 公司，均實力雄厚。美資股東方P 公司是一家擁有百年歷史的老牌能源公司，經過多年的經驗積累，各方面管理都擁有比較成熟的經驗。S 公司擁有豐富原料資源，是R 公司的重要資源保障。R公司注重借鑒引入股東方的先進管理經驗，不斷提升內部管理水平，塑造具有合資公司特色的管理模式。R 公司成立伊始，股東方一致同意R 公司內控管理理念主要借鑒P 公司。

（二）R 公司的內控體系特色

作為中外合資公司，R 公司的最高管理機構是董事會，董事會對公司整體的內控有效性負責。董事會下設審計委員會，負責向董事會報告公司的內控體系有效性并監督內外部審計的工作。管理層由總裁班子、各職能部門總經理組成，負責公司日常運營中監控有效性。公司設立內控組，負責組織、協調內控體系的建立和日常工作。審計委員會下設審計辦公室（即內審部門），日常直接對審計委員會負責和匯報，而不向公司管理層直接匯報業務情況。

R 公司的內部控制體系是以董事會批準的《內控框架》為指導，建立了一套結構化的工具與方法，由7 個要素組成，分別是：要素1 管理層的領導力、要素2 風險評估、要素3 業務流程管理、要素4 人員及培訓、要素5 變更管理，要素6 控制缺陷的管理及要素7 體系評估。

1.《內控框架》奠定內控基礎要求

《內控框架》規定了公司日常經營管理中所要遵循的控制原則，包括授權管理、權責分離、風險匹配、監督及審計原則等，每項原則都從不同的角度規范了內部控制要求。如授權管理，建立了一套完整的權限指引，規范了投資、采購、銷售、財務、資金等關鍵業務執行上的審批權限。監督和審計規范了審計的獨立性。除內審由審計辦公室執行外，外部審計定期通過招標確定由權威的會計師事務所執行，并直接向審計委員會/董事會匯報。此外，還有股東方聯合審計、“冷眼”審查等監督方式，多方面、多角度審視R 公司的運營治理情況。

《內控框架》規定了公司的核心政策。首要政策是道德政策，將誠信擺在第一位，無論是股東、員工、還是業務伙伴，都一視同仁，從價值觀的層面體現了對誠信的重視。其他重要政策還包括如資產政策，對影響財務數據準確性的方面進行規范；開放式交流和溝通政策，建立企業內部溝通渠道，設定了“溝通基調”，避免因信息溝通不暢導致的問題發生。基于核心政策，公司每年對包括管理層在內的全體員工進行業務守則復訓，貫徹自上而下的內控管理基調。

2.內控體系7 個要素有機結合，助力內控有效性

R 公司內控體系的7 個要素是有內在聯系的，如圖1 所示：

圖1 內控體系7 要素的內在聯系

要素1 管理層的領導力是最重要的要素，是關系到內控要求能否貫徹執行，其他要素能否發揮作用的重要推動力。管理層要以身作則，確定內控目標，提供所需資源，建立健全的、與風險匹配的內控環境，推動內控系統有效執行。要素1 提供了進一步的內控治理架構，包括內控委員會、內控辦公室、內控代表等階梯管理層級，推動內部控制體系運行落地。內控計劃概況了公司年度的重要內控事項并成為年度內控工作的指引。年度聲明工作要求員工、業務部門、財務總監、公司總裁在年末提交有關內部監控、業務守則、資產保護等方面的書面聲明，公司級聲明需提交董事會。

要素2、要素3 和要素5 相互聯系、有機結合。內控的出發點是風險，評估的主體是公司經營管理中的重要業務流程。所以，對于業務流程管理，首先是按要素2 風險評估提供的統一的標準和工具進行風險評估。風險評估采用問卷調查表打分的形式，從重要性、財務影響、復雜性、外部/內部影響等方面評估，根據分值結果，將業務流程按風險等級劃分高、中、低三個層級。通過上述做法確保了風險評估的一致性和綜合性，也借助風險評估識別內控關注點。其次根據要素3 業務流程管理的要求，以風險評估結果為基礎，確認業務流程的內控關鍵點，制定適當的控制步驟及檢查程序，定期開展自評檢查并改進。作為大型能源合資企業，R 公司經營管理的各項業務流程比較完整，從成本效益原則考慮，重點關注高風險業務，執行全流程管理，比如生產到銷售收款流程、采購至付款流程等。針對高風險流程梳理的關鍵點、控制步驟和檢查程序的載體稱為“檢查清單”。定期按照檢查清單進行自我評估，在流程發生重大變更時要及時更新檢查清單，但在更新檢查清單前，針對重大變更，需要執行要素5。要素5 變更管理提供了一個變更管理計劃工具，界定了何時用，怎么用。變更管理計劃需結合風險評估進行，對變更內容涉及的流程再評估，針對變化的部分制定應對步驟，更新檢查清單。所以，要素2、3 和5 既各自獨立，又有機結合，是內控管理體系的重要部分[2]。

要素4 人員及培訓著重規定內控關鍵崗位、界定對不同人員的內控意識和能力要求，及對應的培訓安排等。要素6 控制缺陷的管理負責管理通過各項審計、自查、檢查等發現的控制缺陷，包括報告、分析、整改跟進及經驗教訓分享等。R 公司建立控制缺陷數據庫，跟進上述所有確認的控制缺陷，設置流程進行跟進、偏差管理、關閉審批等，確保有效關閉缺陷。要素7 體系評估建立了一個系統化的方法去評估內控的有效性。評估包括對內控體系自身的評估，對檢查清單的自我評估以及各類審計。

要素1～6 為要素7 提供信息輸入，作為內控體系的評估基礎，要素7 以評估結果反饋至要素1～6，以推進內控體系的優化提升，這便是R 公司7 個要素的內部提升運行邏輯。

三、R 公司內控體系的不足及優化建議

（一）R 公司內控體系的不足

R 公司的內控體系獨具特色，設置全面，內涵豐富，確實為其經營管理提供了強有力的支撐。但其設計理念源于國外，引入國內企業環境也存在一定程度的“水土不服”，無論是設計角度還是運行角度，都存在可優化提升的方面。

1.控制環境。R 公司中外合資的背景，要求核心管理層由三方股東委派，每三年換屆時更換，管理人員因文化、管理理念的不同帶來內控管理理念的不一致，導致各業務部門在體系認識和執行上存在差異。換屆變更后差異更加明顯。同樣的差異也存在于人力資源關于薪酬、績效和人員發展等方面。授權管理在個別方面約束強、流程長，限制了業務對市場應對的靈活性。

2.風險評估。目前的風險評估主要針對內部業務流程相關風險，對外部風險的評估較少。目前采用的評估方式比較單一，問卷評估問題都是較為通用的問題，并不能針對不同流程的特性提出相應的問題。評估方式可能更多依賴評分人員的經驗和主觀感受，評估結果受評估人員個人能力的影響大。

3.控制活動。控制活動通過各種管理制度、程序進行規范，輔之以檢查清單進行評價和改進。隨著年份的積累、改進的要求、監管的日趨嚴格，執行的管理制度、程序數量龐大，結構和層次不夠清晰，導致執行上很難面面俱到，重復性問題時有發生。不同業務部門對檢查清單的內控要求認知不均衡，進而影響清單編制/更新質量，最終影響執行效果，存在檢查清單流于形式，執行過程敷衍了事的可能性。

4.信息與溝通。內控體系管理的信息主要為線下信息、分散且存檔不統一、不完善，查詢不夠便捷。內控溝通更多是面向管理層級的向上溝通，向下溝通少，范圍更多限制在工作相關人員，導致普通員工內控意識不足，對自身的內控職責認識不清，影響體系運行效率和效果。內控方面的培訓停留在通用知識，對不同崗位的有針對性的培訓較少。

5.監督活動。各種評估、檢查較多、較頻繁，可能存在交叉、重疊，造成潛在的資源浪費或短期內同一類問題反復被提出。審計等是監督活動的主體，主要關注發現問題，但問題的整改主體是公司各業務部門，問題整改會因成本、能力、理解、時間緊迫程度等不同而質量不均，對整改質量要求較少。

（二）對R 公司內控體系的優化建議

1.管理人員的穩定對內控體系執行和提升有實質性的促進作用。如果更換是必然，至少確保崗位交接時著重對內控職責和執行理念的連貫性進行強調。對于授權管理存在的個別問題，要做好數據和影響分析，提供堅實、合理的分析基礎后，按照報告審批流程提請董事會修改批準并建立常態化的回顧流程及對內溝通。

2.借鑒COSO 風險管理框架等理論完善風險評估和管理要素內容，強化風險識別與分析，將外部風險也納入評估范圍。要強化管理層對風險識別的參與度。評估維度可以從定性和定量兩個方面進行補充。必要時，可以整合專業人員，組成風險分析團隊，進行專業化的評估與分析，并完善風險應對策略[3]。

3.對管理制度、程序定期進行全面梳理，按照重要性劃分為公司級、部門級、解讀/澄清類。不適用的程序及時進行取消，對同類別進行整合。針對必須執行的合規性制度，梳理要點，通過小冊子、提醒函等小而精的渠道進行持續宣貫，加強執行。檢查清單作為內控手段，必須建立自上而下的管理認知，日常定期檢查，并把日常執行情況納入年底績效考核范圍，以提升約束性。

4.梳理內控管理信息，進行分類、分級管理。適時引入信息管理系統，提升信息管理、傳遞的效率和效果。內控培訓根據不同群體，制定對應的培訓清單，規范重點和頻率。在崗位說明書中針對具體崗位內容完善內控職責，并在工作交接中進行約定。借助不同的會議渠道加強對員工內控業務的關注。重要內控事務，可以群策群力。

5.對內部可控的監督活動進行梳理整合，并對執行頻率提出合理化建議。針對發現的缺陷，通過“回頭看”、定期回顧、交叉驗證等方式重視整改質量，對頻發的重復性問題納入年底績效考核范圍，提升重視程度。

四、結語

內部控制體系能幫助企業實現目標，創造、增加并維護股東權益，是覆蓋企業經營全過程的管理。內部控制理念雖然源于國外，但近年國內不斷深化內部控制管理向更全面、深入、細致化的方向發展，強調了內部控制體系對企業、特別是國企、上市公司等的強基固本作用。R 公司的內控體系源于國外管理經驗，但經歷多年的磨合，結合實際，不斷適應、調整和改進，形成了適應國內國外要求的內控體系，并強調持續改進。沒有哪一個體系是完美無缺的，認清自身的不足，并秉承開放包容，不斷學習、改進、提升的管理態度，提升企業整體的管理水平，有助于企業更好地應對外部復雜多變的環境。