企业内部控制简报 - mof.gov.cnkjs.mof.gov.cn/zhengwuxinxi/kuaijiguanlidongtai/... ·...

1

秘书处

企业内部控制简报

（2015 年第 5 期）

企业内部控制

标准委员会签发人:高一斌

目录

研究报告 ........................................................................................ 2

在三道防线中发挥内部控制的作用 ...................................... 2

经验交流 ...................................................................................... 27

中核集团基于依法治企与价值创造的内控体系 ................ 27

2

研究报告

在三道防线中发挥内部控制的作用

(Douglas J Anderson Gina Eubanks)

摘要：本文由美国科索委员会（COSO）与国际内部审计协会（IIA）合作共同

完成，旨在指导组织运用 COSO内部控制整合框架与三道防线模型1，明确和分配与

内部控制相关的职责定位，从而帮助组织强化其整体治理结构。安永（中国）管

理咨询有限公司协助对本文进行了翻译。

一、三道防线模型基本介绍

三道防线模型是通过厘清角色和职责来强化对风险管理和控

制的理解。其基本前提是，对于有效的风险管理和控制而言，在

董事会2及高级管理层的监督和指导下，在组织内建立相互分离的

群体（或防线）是必需的。三道防线各自的职责如下：

1.对风险和控制负责并管理（第一线的运营管理）。

2.协助管理层监控风险和控制（由管理层落实的风险、控制

和合规等职能）。

3.对董事会和高级管理层所关心的风险和控制的有效性，进

行独立审计并报告（内部审计）。

三道防线在组织整体的治理框架内都起到了独特的作用。如

1《有效的风险管理和控制中的三道防线》，Altamonte Springs, FL: 内部审计师协会，2013 年 1 月

2与其他 COSO 出版物一致，本文使用“董事会”指代治理机构，包括董事会、理事会、合伙人、所有者、或

监事会

3

果各道防线都能有效地履行其既定责任时，组织就更可能成功达

成其总体目标。每个在组织中的人都负有一定的内部控制责任，

防线模型所明确的特定角色定位和责任，就是为了确保必要的职

责能按照期望被执行。当一个组织适当地构建并有效运行了这三

道防线，其应当能覆盖所有的管理空白，并杜绝不必要的重复工

作，这样才可能对风险和控制进行更加有效的管理。董事会也因

此能有更多机会来获得重大风险及管理层应对的无偏差信息。

图 1 COSO框架和防线模型在目标间的联系

三道防线模型提供了一个灵活的、可操作的架构，可用来支

持 COSO框架的落实。每一道防线所包含的职责因组织而异，有些

职责可能会在防线间合并或拆分。例如，在某些组织中，第二道

设定组织目标

COSO 框架——

用于管理风险和

控制以实现组织

目标

组织架构——执

行风险和控制职

责

董事会

第一道防线第二道防线第三道防线

内部控制措施

财务控制

安全

风险管理

质量

检查

合规

内部审计

4

防线中合规职责的一部分人员可能会为第一道防线设计控制，而

其他人员还是会负责监督这些控制的实施。

图 2 三道防线

(有效的风险管理和控制中的三道防线，内部审计师协会，2013年 1 月)

无论一个组织如何去构建三道防线，都必须遵守防线模型所

隐含的关键原则：

1.第一道防线由业务和流程的责任人组成，他们的活动所产

生或管理的风险（包括承担的适当风险），会阻碍或促进组织目标

的实现。第一道防线直接对风险负责，其负责设计和执行相关控

制以应对这些风险。

2.第二道防线是在第一道防线的基础上通过专业技能、流程

优化、以及管理层监控，以帮助管理层确保风险和控制被有效管

理。第二道防线虽然与第一道防线相互独立，但仍然在高级管理

层的控制和指导下，并会执行一些管理职能。第二道防线基本上

治理机构/董事会/审计委员会

外

部

审

计

监

管

机

构

5

属于管理和/或监督职能，负责多方面风险的管理。

3.第三道防线向高级管理层和董事会提供关于第一道防线和

第二道防线的实际运作是否与期望值相一致的保证。第三道防线

通常不执行管理职能，以保持其客观性和在组织中的独立性。此

外，第三道防线直接向董事会报告。因此，第三道防线提供的是

监督而非管理，这是其区别于第二道防线的地方。

任何组织都希望能够实现其最终目标。要实现这些目标，组

织就需要抓住机遇、追求增长、承担风险、并管理这些风险，以

促进组织的发展。如果不能适当地承担风险、适当地管理和控制

风险，那么组织的目标将难以实现。在创造企业价值的活动和保

护企业价值的活动之间，总是会存在矛盾。COSO 框架提供了一个

对风险和控制进行考量的架构，以确保风险和控制得到适当的管

理。而防线模型为构建组织架构提供指导，在各个部门之间合理

分配角色和职责，以实现对风险和控制的有效管理。

二、三道防线的架构组成

（一）高级管理层和董事会在三道防线模型中的作用

高级管理层和董事会在防线模型中有着不可或缺的作用。在

董事会的监督下，高级管理层负责内部控制体系的选择、建立和

评估。虽然高级管理层和董事会均未被视作三道防线的成员，但

是他们共同负有设定组织的目标、制订能够实现目标的高层战略、

以及建立治理结构从而最有效地管理风险的责任，他们也是防线

6

模型中最有能力优化组织架构，明确与风险和控制相关的角色和

职责分配的相关方。同时，高级管理层还对第一道和第二道防线

的活动承担最终的责任，因此他们必须全力支持强健的公司治理、

风险管理和控制，他们的参与对整个防线模型的成功至关重要。

COSO 框架有助于厘清董事会和高级管理层的责任。如图 3 所

示，高级管理层和董事会对组织的控制环境负有首要责任，应按

照控制环境的五项原则确立组织的“高层基调”。

三道防线型在 COSO框架之下提供了一个如何具体分配角色和

职责的架构。当董事会和高级管理层给予积极的支持和指导时，

该防线模型能够得到最有效的实施。

图 3 对控制环境的监督责任

控制和风险管理流程，其中包括识别和评估重大风险、执行

既定的活动、找出存在缺陷的流程、整改控制缺陷、并与关键利

高级管理层

治理机构/董事会/审计委员会

监督施控制环境

1.展现对诚信和道德价值的承诺

2.行使监督职责

3.确立组织架构、权利与责任

4.对胜任能力的要求

5.实施问责机制

7

益关联方沟通等内部控制流程。运营管理者必须具备足够的业务

技能，能在其业务领域内完成这些任务。

高级管理层在总体上对所有第一道防线的活动负责。对于某

些高风险领域，高级管理层可能会直接监管第一线和中线的管理

活动，甚至亲自履行部分第一道防线的职责。

（二）第一道防线：运营及管理

第一道防线的人员对于 COSO框架所述的风险评估、控制活动、

以及信息与沟通负有重要的责任。如下面图中所示，运营管理者

对 COSO框架中所列示的 12项内部控制原则负有主要责任：

图 4 COSO和第一道防线

（三）第二道防线：内部监控与监督职能

信息与沟通

13.使用相关的信息

14.内部沟通

15.外部沟通

监督活动

16.持续评估和单独评估

17.评估与沟通缺陷

风险评估

控制活动

6.阐明适当的目标

7.识别与分析风险

8.评估舞弊风险

9.识别和分析重大变化

10.选择并执行控制活动

11.选择并执行信息技术一般控制

12.通过政策和程序实施控制活动

内部控制

措施

第一道防线

管理层

控制

8

第二道防线中包括多种风险管理和合规职能，以确保第一道

防线所执行的控制和风险管理流程的设计是合理的，并能按照预

期有效地执行。他们虽然是独立于第一道防线的管理职能，但仍

在高级管理层的控制和指导之下。第二道防线中的职能通常是负

责持续地监控控制和风险。他们经常与经营管理层密切合作，在

明确实施策略、提供风险专业知识、实施政策和程序、以及收集

信息方面提供帮助，从而建立起整个企业范围内对风险和控制的

统一认识。

第二道防线的组成会因组织规模、行业而存在差别。在大型

的、上市的、业务复杂或受到严格监管的组织内，这些职能可能

是完全独立且明确的。而在较小型的、私营的、业务不太复杂或

所受监管不太严格的组织内，有些第二道防线的职能可能会不存

在或被合并。例如，某些组织可能将法务和合规合并为一个部门，

或者将健康安全部门与环境部门合并起来。在某些组织中，第二

道防线的部分或全部职责可能由第一道防线的管理者来承担。

第二道防线的典型职能所包含的特定领域有：风险管理、信

息安全、财务控制、资产安全、质量、健康和安全、检查、合规、

法务、环境、供应链、其他（取决于行业或企业的特殊需求）。

在管理层的监督下，第二道防线的人员监控特定的控制，以

确定控制是否按在预期的方式执行。第二道防线所实施的监控活

动通常涵盖 COSO框架的所有类别的目标：运营目标、报告目标和

9

合规目标。

第二道防线人员的职责可能存在很大差别，但通常会包括：

（1）协助管理层设计和建立流程与控制，以管理风险；

（2）明确需要监控的活动，以及如何对照管理层的期望来衡

量是否成功；

（3）监督内部控制活动的充分性和有效性；

（4）上报重要的问题、新的风险和异常情况；

（5）提出风险管理框架；

（6）识别和监控影响组织风险和控制的、已知的和新出现的

问题；

（7）识别组织内风险偏好和风险承受能力的变化；

（8）提供风险管理和控制流程的指导和培训。

第二道防线的监控活动应根据组织的特定需要量身定制。通

常情况下，这些活动与日常运营活动是分开的。在很多情况下，

监控活动会分散在整个组织中，但在某些组织中，监控职能也可

能仅局限于一个或几个领域中。

虽然一、二道防线从本质上来说都是管理职能，但第二道防

线中的每项职能都应与第一道防线保持一定程度的独立。第二道

防线可能会直接建立、实施或修改组织的内部控制和风险流程，

但也可能要对某些运营活动进行决策。当第二道防线需要直接参

与到第一道防线的活动时，他们就无法完全独立于第一道防线。

10

虽然不能保证其独立性，构建一个强有力的第二道防线对组

织来说仍然无比重要。第二道防线应当具备适当的客观性，能向

董事会和高级管理层提供关于第一道防线对风险控制管理的重要

信息。与第一道防线所不同的是，他们还能向高级管理层和董事

会提供整个企业范围内的风险和控制信息。要让第二道防线有效，

就必须通过授权以及允许其直接报告等方式，让其能在组织内各

部门领导和经营管理层中获得足够的尊重。

图 5 COSO和第二道防线

（四）第三道防线：内部审计

内部审计是组织的第三道防线。IIA对内部审计的定义是“独

立、客观的审计和咨询活动，旨在增加价值和改善组织的运营。

它通过采用系统、规范的方法评估和改善风险管理、控制和治理

流程的有效性，帮助组织实现其目标。”1

内部审计针对治理、风险管理和内部控制的效率和效果进行

计。内部审计的工作范围可以涵盖组织各个方面的运营和活动。 1《国际专业实务框架》， Altamonte Springs, FL: 内部审计师协会，2013 年

持续监控施

监督活动



第二道防线

财务控制

信息安全

风险管理

质量

检查

合规

11

内部审计与其他两道防线的区别是其具有高度的组织独立性

和客观性。内部审计师不负责设计和实施控制，也不负责组织的

运营。在大多数组织中，首席审计官和董事会之间建立了直接报

告关系，因而内部审计的独立性得到进一步加强。由于具备这种

高度的组织独立性，内部审计师最具优势去向董事会和高级管理

层提供关于公司治理、风险和控制的可靠而客观的保证。

图 6 COSO和第三道防线

第三道防线

内部审计

信息与沟通

13.使用相关的信息

14.内部沟通

15.外部沟通

监督活动



控制环境

1.展现对诚信和道德价值的承诺

2.行使监督职责

3.确立组织架构、权利与责任

4.对胜任能力的要求

5.实施问责机制

风险评估

控制活动

6.阐明适当的目标

7.风险识别与分析

8.评估舞弊风险

9.识别和分析重大变化

10.选择与执行控制活动

11.选择并执行信息技术一般控制

12.通过政策和程序实施控制活动

12

如能提供条件提升内部审计的独立性和专业性，其能对有效

的组织治理提供积极的贡献。因此，对组织来言，建立专业的内

部审计工作应作为优先事项。这个重要性不仅是针对较大型组织，

同样也适用于较小型的组织，因为较小型组织需要面对同样复杂

的环境，却只拥有不太正式、不够强健的组织架构来确保治理和

风险管理流程的有效性，还有可能缺乏有效的第二道防线。每个

组织都应当拥有并维持独立的、充足的、且具备业务能力的内部

审计人员，他们应按照全球公认的适当标准（例如 IIA 内部审计

专业实务的国际标准）来开展工作，并且可以直接向足够高层级

的管理人员汇报，从而保证其履职的独立性。

外部审计师、监管机构和其他外部机构

虽然外部各方并没有被正式包括在组织的三道防线之内，但

一些相关方（例如外部审计师和监管机构）常常在组织整体的公

司治理和控制结构方面发挥着重要的作用。监管机构经常制定法

律法规，要求组织加强治理和控制，并积极地对被监管组织进行

审查和报告。同样的，外部审计师也可能会针对组织的财务报告

内部控制和相关风险提供重要的观察和评价意见。

通过有效的协调，外部审计师、监管机构和其他外部机构可

以被看作是三道防线以外的另一道防线，可以向组织的利益关联

方（包括董事会和高级管理层）提供重要的观点和意见。然而，

由于这些机构的工作各不相同，通常会各有关注重点或者只关心

13

某些特定目标，因此他们关注的领域和范围就没有组织自身的三

道防线全面。举例来说，某项特定的监督审计可能只专注于合规

问题、安全问题、或其他有限范围内的问题；而三道防线则涵盖

了组织所面临的各个方面的风险，包括运营、报告和合规。尽管

外部审计和监管机构等外部机构会提供有价值的信息，但组织不

应当用其来代替内部的风险防线，因为管理组织的风险是组织自

身的责任，而不是外部机构的责任。

三、构建和协调三道防线

（一）构建三道防线

三道防线模型在设计时考虑了灵活性。每个组织在实施防线

模型时可以根据其所处的行业、规模、经营结构和风险管理的方

式，选择一种合适自身的方法路径。然而，需要说明的是，只有

让三道防线相互独立且有明确的界定时，组织整体的治理和控制

环境通常才会是最强的。不论组织的规模和业务复杂程度如何，

都应努力促成治理结构与三道防线模型相一致。这样，各道防线

相互独立，能通过适当的政策和程序来明确职能，各司其职，并

且通过一致的“高层基调”得以强化。

根据每个组织的不同需要，三道防线确切的划分会有所不同。

在某些情况下（例如一些公司规模较小或某些职能正处于过渡阶

段），三道防线可能无法清楚的分开。例如，当初次建立风险管理

职能时，一些组织可能会先利用别的职能来推动执行。然而，当

14

组织的各道防线的职能划分不明确时，董事会应当仔细考虑这种

防线结构可能带来的影响。如果可以，组织应尽量缩短各防线划

分不明确的时期，当职能逐渐完善成熟之后，应尽快将各道防线

适当地分离开来。如果各防线划分不明确的现象无法在短期内解

决，董事会应当充分考虑管理职能和审计职能无法相互分离所可

能带来的影响。

图 7 三道防线之间的不同

在考虑或分配特定责任、协调组织内的各项风险和控制职能

时，能牢记防线模型所阐明的各道防线职责肯定会有所帮助。

对于第三道防线来说，在组织独立性和客观性是其至关重要

的属性，如果组织将内部审计与第二道防线的任何职能进行了合

并，那么高级管理层和董事会就应当特别小心，确保不会因为某

些职能的合并或协作而损害内部审计职能在组织中的独立性和客

观性。内部审计人员通常不应承担他们所审计部门的管理职责；

如果组织的内部审计参与第二道防线的活动，那么这种参与也只

能是短期的，并且应将与之有利益冲突的职责分配给不同的人或

部门。如果内部审计参与第二道防线的工作不是短期的，那么高

管理职能审计职能

第一道防线第三道防线

第二道防线

运营管理

有限的独立性

主要向管理层汇报

内部审计

更高的独立性

向治理机构汇报

15

级管理层和董事会应当认识到：内部审计提供独立、客观的审计

的能力受到了限制，组织应当寻求外部机构对可能受到影响的特

定活动实施审计。

（二）协调三道防线

三道防线有着相同的终极目标，即通过有效地风险管理来帮

助组织实现目标。他们为相同的终极利益关联方服务，他们所要

解决的风险和控制问题也常常是相同的。高级管理层和董事会应

当清晰地传达他们的期望，即三道防线之间应当信息共享及协调

合作，目的是提升整体的效率和效果，但要确保不会削弱任何一

道防线的关键职能。例如，许多组织已经通过落实董事会级别或

管理层级别的风险政策来明确这些要求。

三道防线有着相同的终极目标，即通过有效地风险管理来帮

助组织实现目标。他们为相同的终极利益关联方服务，他们所要

解决的风险和控制问题也常常是相同的。高级管理层和董事会应

当清晰地传达他们的期望，即三道防线之间应当信息共享及协调

合作，目的是提升整体的效率和效果，但要确保不会削弱任何一

道防线的关键职能。例如，许多组织已经通过落实董事会级别或

管理层级别的风险政策来明确这些要求。

各道防线之间的协调和沟通不应被组织架构而困扰。他们在

共同的目标下各司其职，虽然他们是相互分离的，但不应各自为

战，各道防线之间应当就与风险、控制和治理有关的事项共享信

16

息，协同合作。在很多情况下关于风险和控制的看法会是相同的。

协调各道防线的工作是必要的，这样能避免无谓的重复劳动，

同时确保所有重大的风险都得到适当的解决。为强调协调的重要

性，《国际专业实务框架》特别要求首席审计官“与其他提供审计

和咨询服务的内外部服务机构共享信息并协调工作，以确保适当

的工作覆盖范围，减少不必要的重复劳动。”1

为了实现有效的协调，尤为重要的是要仔细审查和明确关键

领导（如首席风险官、首席合规官、或首席审计官）的职责。这

样，他们才能够在履行各自职责的同时，与其他风险和控制领导

做好协调和沟通。

第一道防线是风险的第一责任人，负责使用各种方法来管理

相关风险。第二道防线提供有关风险的专业知识，帮助制定实施

策略，并协助政策和程序的执行。尽管这两道防线对风险和控制

所担负的责任不同，但重要的是，在可能的情况下，两道防线之

间应采用相同的风险语言、了解对方对组织风险的评估、使用通

用的工具和流程。

组织的内部审计职能（即第三道防线）的工作范围应涵盖组

织所有的重大风险和控制活动。与第一和第二道防线的沟通将有

助于内部审计使用类似的风险语言，并了解这两道防线对于风险

的理解。

1《国际专业实务框架》， Altamonte Springs, FL: 内部审计师协会，2013 年

17

内部审计还应与第二道防线协调运作。这种协调可能会有很

多种形式，这取决于组织的性质、各相关部门的具体工作、第二

道防线在组织中的独立性、以及董事会和高级管理层的期望。在

某些情况下，内部审计可能会基于第二道防线所执行的工作来执

行一部分评估。在这种情况下，内部审计应确认第二道防线的工

作已经过适当的设计、计划、监督、记录以及审阅。在多大的程

度上使用和依赖其他职能的工作，应根据具体情况而有所不同。

如果计划使用和依赖第二道防线的工作，内部审计需要特别注意

其在组织中的独立性。由于内部审计的主要职责就是依托其在组

织中的独立地位，提供公正和客观的评估，因此，如果要依赖其

他职能的工作，该职能应当展现出足够高的组织独立性和客观性。

能力和效率并不是唯一的评价标准。即使第一或第二道防线具备

为内部审计执行工作的能力，并不意味着他们拥有必需的独立性

和客观性。同样的，即使内部审计具备执行第一或第二道防线工

作的能力，但并不意味着内部审计执行了第一或第二道防线的工

作，还能保持其在组织中的独立性和客观性。

为使得工作能够有效协调，内部审计章程应当规定：内部审

计有责任评估另两道防线和第三方机构开展的工作的绩效和有效

性。

协调合作的范围不仅仅限于三道防线，还应当包括外部审计

师等外部机构的工作。如果内部审计师充分了解其他内部或外部

18

机构所执行的工作内容、具体的工作结果、以及他们的独立性和

胜任能力，内部审计师可能会依赖或使用这些机构所提供的有关

公司治理、风险管理、以及控制审计的工作。反过来，内部审计

也可以有意识地计划和执行工作，以满足外部各方的要求。虽然

与外部各方的协调努力可以提高效率，但是，董事会和首席审计

官在设计内审工作时还是应当按照成本效益原则来考量，确定是

否还同时要有利于外部机构的工作。

四、在三道防线中发挥内部控制的作用

COSO 框架定义了内部控制的 5 个要素和代表 5 个要素基本概

念的 17 项原则。COSO 内部控制整合框架指出，由于这 17 项原则

直接来源于内部控制的 5 个要素，因此，组织可以通过应用所有

这些原则来实现有效的内部控制。管理层有责任合理分配与 17项

原则相关的重要职责，并确认它们被有效执行。

本文下表中提供了怎样在三道防线中分配与 17项原则相关职

责的范例。表中的信息旨在提供一个在三道防线间进行职责分配

的例子。由于每个组织都是独特的，每个组织都可以根据自己的

特点定义不同的角色和职责。然而，无论组织怎样分配职责，与

17 项原则相关的具体角色和职能都应当被清楚界定，并传达给所

有相关方，以提高内部控制的覆盖范围，及减少不必要的重复工

作。

19

原则 1. 组织应展现对诚信和道德价值的承诺。

第一道防线 (风险责任人/管理层)

第二道防线 (风险、控制与合规)

第三道防线 (内部审计)

其他

三道防线应当通过各自的准则、行动和行为来展现诚信和道德价值的重要性。

风险责任人和管理层要以身作则，展现诚信和道德价值的管理理念和经营风格。落实与道德标准相一致的目标、项目和活动。设计并实施流程，根据规定的行为准则评估个人和团队的绩效。

第二道防线的人员会被安排去协助合规热线，调查潜在的不当行为，或者履行其他与诚信和道德价值相关的职责。

评估组织的道德氛围，评估为实现所需的法律和道德合规而实施的的战略、战术和沟通的有效性及工作流程。评估组织中与道德标准相关的目标、项目和活动的设计、实施和有效性。确保组织的道德价值工作达到预期目标，关键风险得到有效管控，控制持续有效。提供咨询服务，帮助组织建立健全的道德价值规划，并提高其有效性以达到所需的水平。

董事会监督企业的道德氛围，确保管理层拥有健全的道德价值规划和目标。董事会负责建立有效的“高层基调”，其中包括传达对诚信、道德价值和行为准则的期望。

原则 2.董事会应展现出其独立于管理层，并对内部控制的开展与成效实施监督。




其他

向董事会提供充足的、有关建立和实施内部控制的信息，使得董事会能够履行其监督职责。

管理层在业务执行层面建立结构和流程来支持董事会履行监督职能。该支持可由第一或第二道防线提供。例如：管理委员会或第二道防线的团队可能关注公司的信息技术或合性管理。

针对内部控制的建立和实施进行审计，评估内部控制是否设计得当，有效实施，并按预期运行。可能会提出与原则2相关的具体议程，建议董事会进行讨论。

董事会必须拥有数量充足、独立于企业经营管理并能客观地进行评估和决策的成员。并对管理层设计、实施及执行内部控制负有监督责任：

-控制环境：建立诚信和道德价值观，监督结构，权力和责任，胜任能力预期和董事会问责机制。 -风险评估：与管理层共同设置风险偏好。监督管理层对影响企业目标实现的风险的评估，包括重大变化、舞弊及管理层凌驾于控制之上等的潜在影响。 -控制活动：监督高级管理层对控制活动的建立和实施。 -信息与沟通：分析和讨论与企业实现目标相关的信息。 -监督活动：评估和监查监督活动的性质和范围，以及管理层对缺陷的评价及整改。董事会独立于管理层，与内部审计、以及潜在的第二道防线相关方单独开会商讨相关事宜。

20

原则 3.管理层为实现目标，应在董事会的监督下确立组织架构、汇报路线、合理的权力与责任。




其他

为实现目标，建立组织架构、汇报路线、及合理的权力与责任。将组织架构、汇报路线以及权力与责任传达给董事会，使得董事会能够履行其监督职责。

与管理层合作，拥有适当的组织架构、汇报路线以及合理的权力与责任，以履行其职责。

为实现目标，针对组织运营架构、汇报路线、及权力与责任的适当性和有效性进行审计。根据内部审计章程，实施政策和程序来开展活动，遵守汇报路线并合理行使权力。定期向董事会确认其在组织中的独立性和客观性。

董事会批准组织的目标，负责监督组织架构、汇报路线的建立和维护，以及权力与责任的合理分配。董事会发布合适的章程以建立其委员会，包括审计委员会。审计委员会批准由其负责的风险和控制职能的章程，包括内部审计职能。

原则 4. 组织应展现出其对吸引、培养和留用符合组织目标要求的人才的承诺。




其他

吸引、培养和留用符合组织目标要求的人才。

吸引和培养有能力的人才，以实现组织目标。确保第二道防线的人才和活动符合管理层要求，可以让人员在不同的管理职能进行轮岗。

吸引、培养和留用经验丰富，具备业务胜任能力的人才，以完成使命、履行章程。可以对以下领域的政策和流程的效率和效果进行评估和审计： -人力资源政策 -招聘活动 -培训与发展计划 -绩效评估体系 -福利计划 -接班人计划

董事会进行监督，确保管理层展现出吸引、培养和留用符合组织目标要求的人才的承诺。董事会的各个委员会确保由其负责监督的职能拥有充足的人才。董事会薪酬委员会确保薪酬激励和补偿计划与本组织的风险偏好和长期目标相一致。

原则 5. 组织为实现目标，应要求员工承担内部控制的相关责任。




其他

组织为实现目标，因要求员工承担内部控制的相关责任，主要包括具体职责的沟通、绩效评估体系的实施、以及为加强问责机制而设计的人事流程的实施。

经管理层授权，第二道防线的人员负责监督和汇报具体内部控制职责的履行情况。

针对员工履行具体的内部控制职责实施审计。内部审计师可以就员工的问责提出建议，但通常无权直接决定与员工问责机制相关的人事或其他流程。

董事会负责确保管理层要求员工承担内部控制的相关责任。董事会薪酬委员会确保激励和补偿计划与组织的目标相一致。

21

原则 6. 组织应设定清晰明确的目标，以识别和评估与目标相关的风险。




其他

参与内部控制体系的所有人员都需要了解组织制定的总体战略和目标。

设定目标是战略规划管理流程中的关键环节。董事会监督下，设定与组织的使命、愿景和战略相一致的企业层面目标。详细说明适当的组织目标，识别和评估影响组织目标实现的风险。针对具体的风险设定风险容忍度。将企业层面的目标和分散到整个组织中的更具体的子目标联系起来。企业层面的目标和相关的子目标都应当是具体的、可测量的、可实现的、相关的、并且有时限性的。

第二道防线不负责设定或批准总体的企业层面目标，但可能需要制定、执行、监控、汇报与各自具体的专业领域相关的目标或子目标，例如与合规和质量控制相关的目标。评估是否考虑到适当的风险偏好和风险容忍度。

验证目标存在，并且是具体的、可测量的或可观察的、可实现的、相关的、和有时限性的。

-在整个组织范围对目标设定流程进行审查可能作为一个独立的项目来进行。

-其他内部审计项目可能也会审查具体的目标或子目标。为了保证内部审计在组织中的独立性，内部审计师一般不参与设定目标（除非是关于内部审计职能的具体目标）。

董事会负责监督组织目标的设定，帮助确保高层面的目标反映了组织如何为其利益关联方创造、保护和实现价值的决定。董事会与管理层制定适当的风险容忍度和风险偏好，并确保在整个组织范围内有效传达。

原则 7. 组织应对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定应如何管理风险。




其他

识别和控制影响组织目标实现的相关风险。设定组织的风险偏好和风险容忍度，建立风险管理体系，并在董事会监督下建立对具体风险进行控制的问责机制。

企业的风险管理职能可能被授予与风险和控制相关的重要职责，通常主要包括：建立共同的风险语言或术语；说明组织的风险容忍度和风险偏好；在风险清单中识别风险和描述风险；采用风险评级法，将风险进行优先排序；设立风险委员会和首席风险官，协调其他的风险管理职能的相关活动；明确具体风险和应对措施的责任人；制定行动计划，确保风险得到适当的管理；为不同的利益关联方编制汇总的报告；监控为降低风险而采取的行动的结果；确保内部审计师、咨询团队和其他评估机构建立起完善的风险覆盖；建立起可以让第三方和远程员工参与的风险管理框架。负责安全与合规等的特殊职能可以帮助管理层识别与他们专业领域相关的风险，同时考虑到管理层对于组织的不同活动或不同部分的风险偏好程度。

考虑组织整体的风险管理框架，制定涵盖整个组织的以风险为导向的审计计划。在保证独立性和客观性的前提上，推动具体的企业风险管理活动。

制定内部审计计划可能考虑的因素包括： -识别和评估固有风险和剩余风险。 -与具体风险相关的控制、应急计划、及监控活动。 -风险记录的准确性和完整性。 -管理层实施的风险和控制活动的相关文档记录的充足程度。

董事会制定组织的总体战略和目标，并了解与战略相关的风险。董事会进行监督，要求管理层负责识别和管理影响组织目标实现的风险。

22

原则 8. 组织应在评估影响其目标实现的风险时，考虑潜在的舞弊行为。




其他

实施流程来识别、阻止和发现舞弊。与组织的内部审计师和外部审计师一同审查舞弊风险。

确保在风险和控制的评估过程中，考虑潜在的舞弊风险。调查部门在阻止和发现潜在舞弊行为方面扮演重要的角色。他们可能负责制定和监控整个组织范围内与舞弊相关的政策和程序。

IIA 标准要求内部审计师履行应有的职业谨慎，考虑被审查领域存在重大舞弊的可能性。内部审计师需要具备深厚的专业知识以评估舞弊风险，以及组织管理舞弊风险的方法。但内部审计师并不需要具备像舞弊专家一样的发现和调查舞弊行为的专业知识。

董事会负责监督体系和流程，以阻止和发现舞弊行为。董事会和高级管理层为防范和发现舞弊行为奠定基调。董事会应定期收到关于组织的舞弊风险的报告，包括财务报告舞弊。

原则 9. 组织应识别并评估对其内部控制体系可能造成重大影响的改变。




其他

由于变化可能源于各种内部和外部的起因，因此所有三条防线的人员都应当警惕那些可能对内部控制体系造成重大影响的新出现的问题。

负责内部控制体系，负责识别并评估那些可能对内部控制体系造成重大影响的变化。将可能对内部控制体系造成重大影响的变化的信息详细告知董事会，使董事会能够履行其监督职责。

可能被要求协助管理层评估变化对内部控制体系的影响。需要积极主动地适应变化。定期监控和考虑组织的法律法规、监管和合规方面的风险的变化。

在定期的风险评估和内部审计工作的全过程中，识别和评估可能对内部控制体系造成重大影响的变化。定期与管理层沟通，预测变化及其对组织风险评估的影响。

董事会有责任确保管理层建立了能够识别和评估可能显著影响内部控制体系的变化的流程。

原则 10. 组织应该选择并执行那些可以将影响其目标实现的风险降至可接受水平的控制活动。第一道防线 (风险责任人/管理层)



其他

维护有效的内部控制，每日执行风险和控制程序。运营管理层识别、评估、控制和降低风险，指导内部政策和程序的制定和实施，保证控制活动与既定的目标相一致。通过层层推进的责任结构，中层管理者负责设计和实施详细的控制程序，并监督他们的员工执行这些程序。由于在管理层的指导下，控制活动被设置在体系和流程中，因此第一道防线自然而然地形成。应当设置充分的管理和监督控制，以确保合规，并特别关注控制缺陷、流程缺陷和突发事件。

第二道防线中的职能通常代表管理层监控具体的内部控制。经管理层指定，第二道防线的人员可参与挑选和制定具体的控制活动，但仍由管理层对内部控制体系负责。

审计管理层设置的内部控制设计合理、实施有效、并可将影响目标实现的风险降低至可接受的水平。为提高内部控制的效率和效果而提供建议，但仍由管理层对内部控制体系负责。

董事会评估信息，并进行监督，以确保管理层的内部控制体系足以将影响其目标实现的风险降低至可接受的水平。

23

原则 11. 针对信息技术，组织应选择并执行一般控制活动以支持其目标的实现。




其他

设计并实施与信息技术相关的控制活动。这包括建立和传达有关信息技术的政策和程序，并确保组织的信息技术控制足以支持目标的实现。建立流程，以监控和评估与新兴技术有关的技术发展风险。

第二道防线的人员常常被指派负责监督具体的技术控制。经管理层指定，信息安全等部门可能在选择、开发和维护与技术相关的控制方面发挥重要的作用。

评估组织的信息技术管理流程是否支持该组织的战略和目标。审计信息技术控制的效率、效果和完整性，并酌情对具体的控制活动提出改进建议。为了保持内部审计的独立性和客观性，内部审计师通常不选择或制定与信息技术相关的一般控制活动；但可能会对信息技术控制提出建议。内部审计人员必须具备充足的、关于关键信息技术风险和控制的知识，以完成他们的工作。然而，并不要求所有的内部审计人员都具有信息技术审计人员的专业能力。

董事会对于指导、评估和监控控制有重要的监督责任。董事会的监督职责应当涵盖以下信息技术管理的内容： -组织和治理结构 -行政领导和支持 -战略和运营规划 -服务交付和评价 -信息技术架构和风险管理

原则 12. 组织应通过政策和程序来实施控制活动。政策是建立预期，程序是将政策付诸行动。




其他

通过制定政策，将控制活动内置于业务流程和员工的日常活动中，明确管理层的期望和相关的程序。与业务单元或部门的管理层共同制定控制活动的责任和问责机制，管理该业务单元或部门中存在的风险。确保具备胜任能力的人员拥有足够的权限，按照政策和流程的要求认真、持续、及时地执行控制活动。确保负责人员针对执行内部控制活动发现的问题进行调查，并采取行动。定期审查控制活动以确定其持续相关，必要时应更新控制活动。

监督由管理层设计的具体政策和程序的遵从情况。协助管理层制定和沟通政策和程序。确保根据组织的风险偏好对各项风险进行监控。

审计政策、程序和其他控制措施的设计和实施情况。针对政策和程序提出建议，但通常无权参与除内部审计职能以外的运营职能的政策和程序的设计或实施。

董事会进行监督，确保组织拥有完善的政策和程序来指导运营，并确保完成组织的目标。

24

原则 13. 组织应获取或生成和使用高质量的、相关的信息来支持内部控制的持续运行。




其他

创建并维护数据以监控日常活动，在组织内跨部门、向上和向下分享信息。考虑成本效益原则，确保信息沟通的性质、数量和准确度能够支持组织目标的实现。保证信息的可靠性和完整性是管理层的责任。其中应包括组织内所有的关键信息，无论这种信息以何种形式存在。信息的可靠性和完整性包括信息的准确、完备和安全。

在整个组织范围内汇集信息，用于监控活动。

审计信息的可靠性和完整性，以及相关的风险，其中包括内部和外部的风险，以及组织和外部机构关系相关的风险。定期对组织保证信息可靠性和完整性的流程进行评估，并视情况建议加强或采取新的控制和保障措施。这样的评估既可以单独进行，也可以作为其他内部审计项目的一部分来进行。确认一旦发现信息的可靠性和完整性存在漏洞，或出现可能对组织构成威胁的情况时，高级管理层、董事会和内部审计部门会被立刻通知到。

董事会和高级管理层利用信息来进行决策，监控组织活动的成败，预测风险，并与外部利益关联方进行沟通（例如投资者）。定期收到关于组织的内部控制体系的运行和有效性的报告。

原则 14. 组织应进行以下信息的内部沟通，包括内部控制目标和责任等支持内控发挥作用的必要信息。




其他

建立和维护沟通信息的流程，让所有人员了解并执行各自的内部控制职责。向董事会传达充分的信息，确保他们能够履行与实现组织目标相关的职责。应建立独立的沟通渠道（如举报热线），作为失效保护机制，当常规沟通渠道未运行或失效时，可以提供匿名或保密的沟通渠道。

监控、汇集信息，并针对具体的控制将汇总信息传递至第一和第三道防线以及董事会。可能负责监控独立的沟通渠道，例如举报热线。

审计沟通信息的完整性、准确性和质量，并符合董事会和高级管理层的需要。

董事会建立并在整个组织内传达高层基调。董事会及高级管理层应针对每一道防线的人员应提供的沟通信息的性质给予指导。

25

原则 15. 组织应就影响内部控制发挥作用的事项，与外部进行沟通。




其他

应建立与外部相关方及时沟通的流程，包括股东、合伙人、所有者、监管机构、客户、财务分析师及其他外部各方。建立并确保公开的沟通渠道，允许客户、消费者、供应商、外部审计师、监管机构、财务分析师和其他外部各方向管理层和董事会提供相关信息。应与董事会就外部评估所获得的相关信息进行沟通。应选择适当的沟通方式，确保沟通方式考虑了时点、受众、沟通的性质、法律法规和受托人的要求与期望。针对不同情况建立适当的政策，例如：在组织外部披露信息需要相应授权；关于允许披露的信息和不允许披露的信息的指导方针；组织以外的人士接收信息需要的授权和信息的类型；在组织外部披露信息涉及的相关隐私法规、监管要求和法律法规的考虑；以及在组织外部沟通信息可能包含的保证、通知、建议、意见、指引和其他信息的性质。

除了与监管机构、外部审计机构和其他特定组织就特定信息开展沟通，第二道防线通常不与外部各方交流影响内部控制运行的因素。如果组织对外发布内部控制报告，则第二道防线向管理层提供他们工作的结果，以支持管理层的意见。

确保基本的对外的信息沟通是准确的。通常内部审计职能不与外部各方交流影响内部控制运行的因素。

在与外部各方进行沟通之前，董事会应从管理层获取有关内部控制的功能和有效性的信息和报告，以及管理层意见的依据。董事会应当与外部审计师就那些可能出现在关于组织控制体系的外部报告中的观点和意见进行讨论。

26

原则 16. 组织应选择、开展并实施持续和（或）单独评估，以确认内部控制的各要素存在并发挥作用。




其他

选择并开展持续评估和单独评估的平衡使用，考虑业务及业务流程的变化，并根据风险的差异调整单独评估的范围与频率（这些评估可能由第二道防线执行）。确保实施持续评估和单独评估的评估者拥有充足的专业知识，并能充分理解被评估的对象。内部控制体系的设计及运行现状可作为开展持续评估和单独评估的基础。定期向董事会报告组织风险管理活动的情况。

按照管理层的指示执行持续评估和单独评估，监控内部控制体系各个组成部分的情况。执行持续评估和单独评估，以监控组织目标实现是否在已设定的风险容忍度之内。

保证持续的管理层评估被内置于业务流程中，并根据情况变化进行适当调整。保证管理层评估所展示的信息是公允、准确的。保证内部控制体系按预期运行，并且风险被控制在组织的风险偏好和容忍度内。

董事会进行监督，要求管理层负责选择、制定和执行对内部控制各组成部分的评估。定期收到关于组织的风险和风险管理活动有效性的报告。

原则 17. 组织应评估并及时与整改责任方沟通内部控制缺陷，必要时还应与高级管理层和董事会沟通。




其他

与整改责任方沟通与控制缺陷有关的信息，必要时还应与高级管理层和董事会沟通。追踪控制缺陷是否被及时整改。

第二道防线的人员可能被指派负责监控和汇报特定类型的控制缺陷。

内部审计师建立和维护一套体系，用以监督对审计发现和向管理层沟通过的审计建议的整改情况。这套体系的内容通常包括：

- 管理层对发现和建议作出反馈的期限。

- 评估管理层的反馈。 - 核实管理层的反馈（如果适当）

- 后续跟进的情况（如果适当可以）

- 沟通流程，将效果不理想的反馈或整改措施（包括对风险的假设）向上传达给适当级别的高级管理层或董事会。

董事会应确保及时收到有关控制缺陷的信息，并确保整改措施及时、充分应对重大的内部控制缺陷。在适当情况下，管理层和董事会评价持续评估和单独评估的结果。

27

经验交流

中核集团基于依法治企与价值创造的内控体系

中国核工业集团（以下简称“中核集团”）结合企业经营实际，

构建了基于依法治企、立足价值创造的内控体系，形成了一套具

有系统性、实践性、创新性、普适性的内部控制经验成果。

为强化实操效果，中核集团在内控体系建设过程中以实施程

序为主线，按照规划、启动、调研与诊断、设计、试运行、评价

等六大步骤，明确每个步骤的工作目标、任务、重点、方法、资

源、工具、标准、成果示例、项目管理要点等，全面解决“为什

么”、“做什么”、“谁来做”、“怎么做”、“做成什么样”的问题，

从而建立起科学、实用的内控体系。

一、中核集团内控体系建设的创新性探索

（一）发掘“依法治企”的实施路径

中核集团实践依法治企，力求“有法可依、有法必依、监督

从严、违法必究”。一方面，将法律法规融入内部控制体系，建立

内部法制化管理标准，并通过文化引导、权力制衡、流程标准化、

信息规范公开以及内部监督，促进法制化管理标准的执行；另一

方面，“业法融合”，将法律部门职能向业务链条前端延伸，从事

后纠纷管理转变为事前风险预控，从后端合同审核延伸至前端事

项决策支持。

28

（二）提炼“价值内控”的实践思路

中核集团实现管理价值化，依靠“管理与业务相结合、核心

业务与支持服务相结合、安全与效率相结合”。一方面，提升企业

风险应对能力，降低风险事件发生概率与影响，减少风险损失；

另一方面，落实集团管控模式、促进管理职能升级与跨职能协作、

明确权责配臵、优化业务处理程序、提高信息质量、强化监督与

责任制，以提升决策有效性、强化决策执行力度、优化经营管理

效率效果。

（三）探索内控建设方法与体系成果间的推演规则

中核集团采用“以风险为导向，以流程为对象，以控制为手

段，以制度为平台，以考核为保障，以 IT 为支撑”的科学方法，

系统性地开展内控体系建设，并总结出该方法与内控五要素的分

解勾稽关系，为此方法的科学性加强注释；探索出该方法的落地

实施路径，真正实现了从方法到成果的严密推倒和转换。

中核集团内控体系建设方法从内部控制五要素衍生而出，其

实施过程就是内部控制五要素设计实现和关系构建的过程。

29

图 1.内控体系建设方法

以风险为导向。首先从内控环境分析出发，实施风险识别及

风险评估，确定风险分布；其次测评风险容忍度，确定可接受的

风险控制水平，推倒出风险控制目标。一方面，根据风险分布确

定实施内控建设的业务范围；另一方面，针对风险及风险控制目

标设计相应保证程度的控制活动，同时关注控制活动成为新的风

险因子的可能性及其带来的风险连锁反应。

以流程为对象。首先从内控环境分析出发，确定业务活动范

围，梳理业务流程框架；其次根据风险分布确定内控流程框架；

最后以流程为单位组织控制活动的逻辑结构，关注流程内部控制

活动的协同效果以及流程间控制活动的相互影响。

以控制为手段。首先按照流程逻辑将风险分解至流程环节；

其次确定各环节风险的控制目标；最后从风险事件预防与发现两

个角度设计控制活动，保证风险控制目标的实现，进而保证内部

控制整体目标的实现。

内控体系建设法

以风险

为导向以控制

为手段

以流程

为对象

以制度

为平台

以考核

为保障

以 IT

为支撑

30

以制度为平台。首先通过既有制度了解现有经营管理情况，

为控制活动设计提供信息支持；其次通过控制活动设计检验制度

有效性，固化制度管理要求；最后完善制度体系，实现与控制活

动体系的协同，共同作为内部控制体系的组成部分。

以考核为保障。首先建立内部控制设计与运行有效性评价标

准、考核办法与责任机制；其次固化内控评价、考核工作；最后

利用考评结果，分析内控体系设计与执行优化措施，促进内控体

系的落实与持续优化，形成内控长效机制。

以 IT 为支撑。首先利用信息系统实现内控建设成果的固化和

信息共享；其次通过信息系统收集内控执行信息与反馈意见；最

后通过全业务的信息化整体规划和建设，实现内部控制实时监督

与风险预警。

图 2.内控建设方法与体系成果间的推演规则图解

31

二、中核集团内控体系建设的主要实践介绍

中核集团内控体系以集团总部及各成员单位为基本单元、有

机组合并协同作用，立足于依法治企与价值创造，深度剖析内部

控制的“管理”本质，通过“顶层设计”规划集团内控体系整体

布局，确定“高效率、短流程、分授权、强监督”的设计理念以

及以“五要素”为主体的内控体系总体框架，采取“以我为主、

逐步推广”的实施路线，推广程序化集成的标准实施方法，积极

探索内控成果在绩效考核等方面的创新性应用。

（一）解读有新，剖析内部控制本质

内部控制是一种管理理念，它综合体现“系统化管理、动态

化管理、结构化管理、合规化管理、效益化管理、风险导向化管

理”的先进思想。

内部控制是一种管理体系，纵向上，控制环境、风险评估、

控制活动、信息沟通与监督等五要素相辅相成、自成脉络，形成

与企业内外部环境相适应的，具有信息收集、处理、输出功能的

管理生态系统；横向上，提供一个综合性的管理框架，包容兼纳

各类专项管理，共同形成全面而有重点、纵深而有层次的管理系

统。

内部控制是一种管理活动，一方面，提供形成标准化管理活

动参考，作为管理要求执行落地的工具；另一方面，从纵向管理

层级上形成监督机制，从横向职能架构上形成制衡机制，为管理

32

活动的标准化施行提供动力。

（二）规划有方，确立内控建设目标定位

中核集团梳理出一个递进式的目标演进路线：合规内控、监

督内控、价值内控。“合规内控”，旨在满足国家相关法律法规要

求、满足外部监管部门（财政部、国资委等）的要求，构建内部

运营管理的规则，是基本目标；“监督内控”，旨在满足内部风险

管理要求，形成风险监控与经营管理相结合的内部管理机制，是

管理目标；“价值内控”，旨在通过价值链方法，开展风险管控与

流程优化，全面提升经营管理效率效果，促进战略目标实现，这

是最高目标，即价值内控。

中核集团内控建设定位于“价值内控”。一方面，中核集团作

为国家军工行业领军企业，始终关注内部管理水平的提升，在全

面风险管理等方面已具备一定基础；另一方面，中核集团在国家

积极推进“走出去”战略和“一带一路”战略构想的历史节点上，

中核集团正积极拓展海外业务，中核集团需要用管理控风险、向

管理要效率，为自主核电品牌的安全出海和持续发展保驾护航。

（三）布控有度，构思“顶层设计”

中核集团开展“顶层设计”，统筹集团总部及各成员单位的内

控建设工作。一方面，从“五要素”角度构建集团整体内控框架；

另一方面，构思与建设目标相契合的内部控制设计理念。

与中核集团内控建设目标相适应，中核集团分析中核集团管

33

理优化的价值增长点，将内控体系设计理念确定为：“高效率、短

流程、分授权、强监督”。要实现“高效率”，就要保证每一个管

理环节行之有效——“短流程”，通过精简管理环节，缩短决策路

径，减少信息传递偏差，提高决策效率；“分授权”，通过分级授

权，促进权责明确和有效分配，提高管理积极性；“强监督”，通

过固化标准操作程序、建立监督与问题处理机制，实现经营管理

过程与责任可追溯，降低风险事件发生可能性与不利影响。

（四）实施有道，关注内控长效机制的建立

中核集团内控实施路线为：逐步推广、以我为主。“逐步推广”，

中核集团部署内控建设“三年规划”，选择集团总部及各级典型成

员单位试点先行，确立具体业务事项的上下各级管理要求，总结

内控建设工作程序、方法、标准、实施工具、质量控制措施等；“以

点带面”，通过编制内控建设培训讲义、组织各级次的培训工作，

将建设成果与经验逐步推广至集团公司其他成员单位。“以我为

主”，中核集团将内控建设作为“一把手”工程，集团公司及各成

员单位建立起以董事长（或最高行政领导）为首的、上下联动的

内控组织体系，在内控建设工作中处于主导地位，调动全员开展

内控工作，通过 JYK 考核强力推动建设任务的落实；建设初期通

过公开招标严格遴选，引入天职国际会计师事务所作为专业咨询

机构实施培训，帮助自有内控队伍迅速成长并独立承担建设任务；

通过培训学习与工作实践，“知行结合”培养队伍，为内控长效机

34

制的建立做好组织保障。

（五）成果有实，层次清晰，利于持续优化

中核集团内部控制体系建设成果文件为《中国核工业集团内

部控制管理手册（上/下）》。手册上册，主要描述以五要素为主体

的中核集团内部控制整体框架；手册下册，分述各业务领域内部

控制内容，主要包含业务领域内部控制目标、流程目录与制度、

工作界面与不兼容职责、主要关注风险、流程图与控制矩阵、权

限指引等六个部分。

从整体成果层次来看，第一，中核集团内控体系建设成果，

包含清晰的控制环境、固化的风险评估机制、丰富的内控活动流

程化体系、高效的信息沟通路径、独立的内部监督机制。第二，

核心建设成果以业务流程为组织线索，将风险数据、岗职权责、

管理与监督活动、信息证据、管理制度等要素勾稽起来，一方面，

实现了各管理线条的有机融合和协同作用；另一方面，实现了各

管理线条从理论到实践、从要求到执行的标准化、可操作的落地。

第三，在核心成果的基础上，剥离其中的若干要素，可以形成一

套完整的具有流程逻辑的风险数据库，一套控制活动与管理制度、

应用指引对标数据库，一套内控活动流程与信息传递流程并轨的

管理数据库，为后续开展定期的内控评价、根据内外部信息实施

体系优化建立了基础。

35

集团管理类流程集团总部运营类流程

01 集团公司治理 12 安全环保管理 23 资产处臵 34 公文管理 43 人力资源管理

02 组织架构管理 13 员工权益保护 24 知识产权管理 35 统计管理 44 资金管理

03 规章制度管理 14 全面预算管理 25 财务报告 36 信息化管理 45 实物资产管理

04 公共关系管理 15 投资管理 26 研究与开发管理 37 保密管理 46 税务管理

05 企业文化 16 融资管理 27 采购管理 38 保卫管理 47 信息系统运行维护

06 全面风险管理 17 资金营运管理 28 定价管理 39 应急管理 48 保卫管理

07 战略规划管理 18 资本运营管理 29 运营管理 40 内部审计 49 保密管理

08 JYK一体化管理 19 会计管理 30 法律事务管理 41 内部控制评价 50 总部物资和服务采购

09 人力资源管理 20 集团化保险管理 31 合同管理 42 纪检监察 51 对外接待

10 外事外经管理 21 担保管理 32 授权管理 52 离退休人员管理

11 质量管理 22 产权管理 33 重大信息管理

内控活动流程化体系示例（仅显示至一级流程）

（六）运用有效，落实“JYK”一体化，助推考核“精细化”

中核集团内控建设成果与原有管理模式实现顺利接合。以 JYK

为例，内控建设的成功实施，落实了“计划-预算-考核”（JYK）

一体化管理责任和程序，将 JYK 思想融入到工程、科研等一系列

业务管理活动中，也通过各项业务管理的规范化推进 JYK 管理效

果的实现。

同时，中核集团探索内控建设成果的创新应用，将内控体系

运行信息运用于“精细化”管理，实现管理优化的精准布控。以

考核“精细化”为例，第一，对内控成果信息的提取整合，以部

门、岗位为单位归集其工作内容，明确该项工作执行到位的信息

标识；第二，设臵工作任务指标，综合考虑工作价值、时间占用、

责任主次等以确定各指标在总体中的占比。第三，根据内部控制

体系提供的各项工作任务的信息传递、加工、处理结果标识，建

立对工作任务指标完成程度的衡量标准。第四，将工作任务指标

36

纳入绩效考核指标体系，与绩效挂钩。第五，将内部控制运行评

价工作与绩效考核工作结合实施。

三、经验成果的应用意义

中核集团的经验成果起步于丰富的理论吸收，立足于踏实的

实践探索，沉淀于务实的经验总结。

（一）为内控建设提供实务指导

贴近实践。这套经验成果来自于中核集团内控建设的第一手

资料，中核集团最真实地记录和还原内控建设具体工作的开展过

程和成果，并在此基础上总结提炼，完善思路与方法，修正过程

中的错误认识和冗余工作，优化建设成果范例；所以，这套经验

成果可以提供最直接、零距离地指导和借鉴，内控工作人员理解

吸收后可以直接应用于本单位的内控建设工作，并合理保证建设

进度与成果质量，控制建设成本，避免走弯路。

科学可靠。中核集团的经验成果总结于中核集团内控建设的

成功实施，而其中所用到的诸多思路、方法、工具也是从许多国

有企业建设项目经验中逐步演进而来。多次的实践检验，为经验

成果的科学性提供了有力支持，故而可以在一定范围内推广使用，

服务于国有企业管理优化的命题。

（二）对于国有企业内控建设具有借鉴意义

国有企业普遍受外部市场的约束较小，法人治理结构薄弱，

组织层级较多，人员结构优化难度大，人才激励与约束机制不健

37

全；国有企业肩负国家使命与社会责任，一直积极探索内部管理

提升之路。中核集团作为国有企业的之一，充分分析了国有企业

普遍存在的问题以及管理优化的迫切需求，详细研究了监管部门

对国有企业开展风险管理与内控工作的指导意见，在此基础上确

立的内控建设目标、设计与实施思路、实施程序以及获得的建设

成果范例，对于国有企业具有较好的借鉴意义。

（三）为内控工作成绩评价提供支持

中核集团的经验成果，对思路、方法、程序和工具上的进行

了总结指导，较为全面，与内控实务结合紧密，且在国有企业范

围具有一定的适用性，可以为国有企业内控实施过程与成果的评

价工作提供支持。后续通过一系列评价指标和评价方案的设计，

建立涵盖内控规划、过程控制、成果质量的全方位的综合考评体

系，为监管机构管理和推进国有企业内部控制工作提供助力。

（供稿人：中国核工业集团）

注：《企业内部控制简报》来稿请在信封和电子邮件标题上标注“内控简报投稿”字样，寄

至北京市西城区三里河南三巷 3 号财政部会计司综合处（企业内部控制标准委员会秘书处

收），邮编：100820；同时请将电子版发送至 [email protected]。

38

报：部领导，企业内部控制标准委员会主席、副主席

送：企业内部控制标准委员会委员，部内各司局，各位司领导，

企业内部控制标准委员会咨询专家（电子版）

2015年9月14日（印 100份）

企业内部控制简报 - mof.gov.cnkjs.mof.gov.cn/zhengwuxinxi/kuaijiguanlidongtai/... ·...

Documents

Transcript of 企业内部控制简报 - mof.gov.cnkjs.mof.gov.cn/zhengwuxinxi/kuaijiguanlidongtai/... ·...