今天分享关于国企内控体系建设与监督的内容。

一、基本概念

内部控制体系建设与监督审计是指对企业内部控制建设与完善情况进行审计，分析企业是否将公司治理、风险管理、相关法规要求、企业业务管理整合到内部控制设计与执行中，并不断自我完善、更新。

二、审计目标

企业是否建立了完善的内部控制体系，将风险管控、内部控制、国家相关法规与企业业务有机融合在一起，并且通过信息系统实现了整合，贯穿企业的全部业务，覆盖了企业所有的分(子)公司、部门、岗位，并通过内部、外部的审计、评价、检查等不断健全、完善、提高。

三、审计依据

1、《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价〔2012〕68号)。

2、《关于印发<关于加强中央企业内部控制体系建设与监督工作的实施意见〉的通知》(国资发监督规〔2019〕101号)。

3、《中华人民共和国公司法》。

4、《国务院办公厅关于进一步完善国有企业法人治理结构的指导意见》(国办发〔2017〕36号)。

5、《关于印发〈中央企业全面风险管理指引)的通知》(国资发改革〔2006〕108号)。

6、《关于印发〈中央企业合规管理指引(试行)〉的通知》(国资发法规〔2018〕106号)。

7、《上市公司治理准则》。

8、《中央企业违规经营投资责任追究实施办法(试行)》(国务院国有资产监督管理委员会令第37号)。

9、《企业内部控制应用指引》。

10、《企业内部控制评价指引》。

11、《企业内部控制审计指引》

12、其他相关法规。

四、审计内容

(一)内部控制体系建设与监督是否健全完善

内部控制、风险管控、合规管理应该是一个有机整体，合规管理是目标，风险管控是导向，内部控制是手段，三者有机结合，形成内部控制体系。审计人员应分析企业内部控制体系是否实现目标，主要分析内容如下。

1、内部控制是否与全面风险管理、合规管理有效融合

企业是否根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。风险管理解决方案是否包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如关键风险指标管理、损失事件管理等)。

企业制定风险解决的内部控制方案，是否满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程是否把关键环节作为控制点，采取相应的控制措施。企业制定内部控制措施，是否至少包括以下内

(1)建立内部控制岗位授权制度。对内部控制所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定。

(2)建立内部控制报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线，负责处理报告的部门和人员等。

(3)建立内部控制批准制度。对内部控制所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件，以及有权批准的部门和人员及其相应责任。

(4)建立内部控制责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。

(5)建立内部控制审计检查制度。结合内部控制的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等。(6)建立内部控制考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。

(7)建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施。

(8)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系，完善企业重大法律纠纷案件的备案管理制度。

(9)建立重要岗位权力制衡制度，明确规定不相容职责的分离，如授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内部控制所涉及的重要岗位可设置一岗双人、双职、双责，相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。

企业是否按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

2、内部控制体系是否健全

是否建立健全以风险管理为导向、以合规管理监督为重点，严格、规范、全面、有效的内部控制体系。

是否做到管理制度化、制度流程化、流程信息化，通过“强监管、严问责”和加强信息化管理严格落实各项规章制度，将风险管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标，建立健全全面、全员、全过程、全体系的风险防控机制，切实全面提升内部控制体系有效性。

3、集团管控是否完善

企业内部管控体制机制是否完善，中央企业主要领导人员是否为内部控制体系监管工作第一责任人，负责组织领导建立健全覆盖各业务领域、部门、岗位，涵盖各级子企业全面有效的内部控制体系。

中央企业是否明确专门职能部门或机构统筹内部控制体系工作职责。

是否落实各业务部门内部控制体系有效运行责任。

企业审计部门是否落实内部控制体系监督检查工作，准确揭示风险隐患和内部控制缺陷，进一步发挥查错纠弊作用，促进企业不断优化内部控制体系。

4、管理制度是否完善

是否持续进行全面内部控制、风险管理和合规管理相关制度梳理，及时将法律法规等外部监管要求转化为企业内部规章制度，持续完善企业内部管理制度体系。

在具体业务制度的制定、审核和修订中是否嵌入统一的内部控制体系管控要求，明确重要业务领域和关键环节的控制要求和风险应对措施。

是否将违规经营投资责任追究内容纳入企业内部管理制度中，强化制度执行刚性约束。

5、监督评价体系是否健全

是否统筹推进内部控制、风险和合规管理的监督评价工作，将风险、合规管理制度建设及实施情况纳入内部控制体系监督评价范畴，制定定性与定量相结合的内部控制缺陷认定标准、风险评估标准和合规评价标准，不断规范监督评价工作程序、标准和方式方法。

(二)是否强化内部控制体系执行，保证重大风险防控能力

1、是否加强重点领域日常管控

是否聚焦关键业务、改革重点领域、国有资本运营重要环节及境外国有资产监管，定期梳理分析相关内部控制体系执行情况，认真查找制度缺失或流程缺陷，及时研究制定改进措施，确保体系完整全面控制、执行有效。

是否在投资并购、改革改制重组等重大经营事项决策前开展专项风险评估，并将风险评估报告含风险应对措施和处置预案)作为重大经营事项决策的必备支撑材料;是否没有组织实施超出企业风险承受能力或风险应对措施不到位的决策事项。

2、是否加强重要岗位授权管理和权力制衡

内部控制体系管控与各项业务工作是否做到有机结合，以保障各项经营业务规范有序开展。

是否按照不相容职务分离控制、授权审批控制等内部控制体系管控要求，严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责，实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。

是否完善管理要求，重点强化采购、销售、投资管理、资金管理和工程项目、产权(资产)交易流转等业务领域各岗位的职责权限和审批程序，形成相互衔接、相互制衡、相互监督的内部控制体系工作机制。

3、是否健全重大风险防控机制

是否积极采取措施强化企业防范化解重大风险全过程管控，加强经济运行动态、大宗商品价格及资本市场指标变化监测，提升对经营环境变化、发展趋势的预判能力:是否结合内部控制体系监督评价工作中发现的经营管理缺陷和问题，综合评估企业内外部风险水平，有针对性地制定风险应对方案是否根据原有风险的变化情况及应对方案的执行效果，有效做好企业间风险隔离，防止风险由“点”扩“面”，避免发生系统性、颠覆性重大经营风险。

(三)是否加强信息化管控，强化内部控制体

系刚性约束企业是否结合国资监管信息化建设要求，加大内部控制信息化建设力度，进一步提升集团管控能力。

内部控制体系建设部门是否与业务部门、审计部门、信息化建设部门协同配合，推动企业“三重一大”、投资和项目管理、财务和资产、物资采购,全面风险管理、人力资源等集团管控信息系统的集成应用，逐步实现内部控制体系与业务信息系统互联互通、有机融合。

是否梳理和规范业务系统的审批流程及各层级管理人员权限设置，将内部控制体系管控措施嵌入各类业务信息系统，确保自动识别并终止超越权限逾越程序和审核材料不健全等行为，促使各项经营管理决策和执行活动可控制、可追溯、可检查，有效减少人为违规操纵因素。

集团管控能力和信息化基础较好的企业是否逐步探索利用大数据、云计算、人工智能等技术，实现内部控制体系实时监测、自动预警、监督评价等在线监管功能，进一步提高信息化和智能化水平。

是否强化合规管理信息化建设，通过信息化手段优化管理流程，记录和保存相关信息;是否运用大数据等工具，加强对经营管理行为依法合规情况的实时在线监控和风险分析，实现信息集成与共享，(四)是否通过企业监督评价促进内部控制体系持续优化

1、是否加强合规考核评价

是否加强合规考核评价，把合规经营管理情况纳入对各部门和所属企业负责人的年度综合考核细化评价指标:是否对所属单位和员工合规职责履行情况进行评价，并将结果作为员工考核、干部任用、评先选优等工作的重要依据。

2、是否全面实施企业自评

企业是否每年以规范流程、消除盲区、有效运行为重点，对内部控制体系的有效性进行全面自评客观、真实、准确揭示经营管理中存在的内部控制缺陷、风险和合规问题，形成自评报告，并经董事会或类似决策机构批准后按规定报送上级单位。

3、是否加强集团监督评价

集团公司是否在子企业全面自评的基础上，制定年度监督评价方案，围绕重点业务、关键环节和重要岗位，组织对所属企业内部控制体系有效性进行监督评价，确保每三年覆盖全部子企业。

是否将海外资产纳入监督评价范围，重点对海外项目的重大决策、重大项目安排、大额资金运作及境外子企业公司治理等进行监督评价。

4、是否强化外部审计监督

是否根据监督评价工作结果，结合自身实际情况，充分发挥外部审计的专业性和独立性，委托外部审计机构对部分子企业内部控制体系有效性开展专项审计，并出具内部控制体系审计报告。

内部控制体系监管不到位、风险事件和合规问题频发的中央企业，是否聘请具有相应资质的社会中介机构进行审计评价，切实提高内部控制体系管控水平。

5、监督评价结果是否得到充分运用

是否落实整改工作，明确整改责任部门、责任人和完成时限，对整改效果进行检查评价。

是否按照内部控制体系一体化工作要求编制内部控制体系年度工作报告并及时报国资委，同时抄送企业纪委(纪检监察组)、组织人事部门等。

是否在所属企业建立健全与内部控制体系监督评价结果挂钩的考核机制，对内部控制制度不健全。内部控制体系执行不力、瞒报漏报谎报自评结果整改落实不到位的单位或个人，给予考核扣分、薪酬扣减或岗位调整等处理。

五、审计程序

(一)分析各项内部控制制度

取得并分析企业全套内部控制制度、风险管控制度、公司章程、组织机构图、各机构部门工作手册等资料，分析评价企业内部控制制度是否符合《关于印发〈关于加强中央企业内部控制体系建设与监督工作的实施意见〉的通知》《企业内部控制应用指引》《中华人民共和国公司法》《国务院办公厅关于进一步完善国有企业法人治理结构的指导意见》《上市公司治理准则》等规定。

审计人员可以将国资发监督规(2019]101号文的各项要求做成调查表，全面分析企业有关内部控制制度、风险管控制度、国家有关内部控制、风险管理、合规管理要求后，分析这些制度是否有机融合，是否符合国资发监督规〔2019]101号文的要求。

(二)分析内、外检查评价报告

检查企业内部控制自评报告、内部审计报告、外部审计报告、内部控制评价报告等，取得针对这些报告的整改文件、内部控制修订文件等，检查企业是否分析了这些审计报告或者检查报告中披露的问题、涉及的内部控制缺陷，并及时整改，完善相关内部控制制度。

(三)检查信息系统

检查信息系统的功能模板，是否涵盖全部业务、全部部门、分子公司、岗位。

由软件方面专家协助分析相关程序的逻辑流程是否符合内部控制制度相关规定，如重要业务的审批流程是否符合设定的内部控制制度审批流程。

分析信息系统是否实现风险分析、风险预警功能。

(四)结合其他实质性审计结论评估内部控制有效性

实施其他实质性审计程序发现了问题，往往说明内部控制设计不完善，或者没有得到有效执行或者管理层凌驾于控制之上。审计人员应该结合其他实质性审计程序发现的问题，分析内部控制设计或者执行是否存在问题。

(五)具体业务层面内部控制审计

具体业务层面内部控制，包括采购、销售、资金等，审计人员应结合相关业务的实质性审计程序进行，主要思路是在了解业务的基础上，了解内部控制制度、业务流程，并进行穿行测试，评价控制设计是否合理。

在了解内部控制和业务流程的基础上评估审计风险，指导实质性审计，以实质性审计的审计结果反过来分析内部控制是否设计合理、是否得到有效执行。

六、审计建议

对内部控制体系建设与监督情况进行审计，概括存在的不足和问题，分析存在问题的原因，提出切实可行的审计建议。

七、审计评价与责任界定

(一)审计评价

根据审计结果，对不同方面做出具体的审计评你

1、贯彻执行党和国家经济方针政策、决策部署情况；

2、企业发展战略规划的制定、执行和效果情况；

3、重大经济事项的决策、执行和效果情况；

4、企业法人治理结构的建立、健全和运行情况内部控制制度的制定和执行情况；

5、企业财务的真实合法效益情况、风险管控情况、境外资产管理情况、生态环境保护情况；

6、在经济活动中落实有关党风廉政建设责任和遵守廉洁从业规定情况；

7、以往审计发现问题的整改情况。

(二)责任界定

对于内部控制体系建设与监督审计过程中发现的问题，应该通过访谈有关人员、检查有关文件签批记录、检查会议纪要签字记录等方式，落实被审计人在有关问题事项中的具体作为或者不作为，依据经济责任审计规定，界定被审计人的责任。

对领导人员履行经济责任过程中存在的问题，审计组应当按照权责一致原则，根据领导人员职责分工，综合考虑相关问题的历史背景、决策过程、性质、后果和领导人员实际所起的作用等情况，界定其应当承担的直接责任或者领导责任。