党委会、董事会、总办会：审计风险内控合规制度，要不要前置研究

知风云：一家公司的风险、内控、合规、审计管理制度，到底要不要本级党委前置研究？能不能由本级党委前置研究给出意见呢？

作者|知本咨询国企治理管控研究院

责编|亿亿 编辑|阿苓

真理越辩越明，道理越讲越清。

这句话，在公司治理方面，要反复讲，天天论。

为什么呢？

因为国企公司治理的体系刚刚成熟定型，国企董事会发育完善刚刚起步加速，还有很多老矛盾需要厘清，还有更多新问题亟须破解。

比方说，下面这个：

近期有一个企业办公室的朋友咨询，他们公司起草了一个公司合规管理办法，需要报请审批流程。这时候一个问题冒出来，合规类的管理制度，需要党委前置研究吗？

这位朋友从事专业工作十多年，政策要求还是比较清楚的。他知道党委前置研究的内容中，有一条明确的规定，叫做“公司的基本管理制度，需要前置研究”；他也知道董事会的相关规则中，也明确指出，董事会要决策的范围包括公司基本管理制度的制定。

所以，这么说来，答案应该很清楚，合规管理办法，一看就属于公司基本管理制度，应该属于先进行党委前置研究，然后再进行董事会讨论决策的类型。

这样做对吗？我这位朋友总是感觉哪里有点儿不顺，但说不出来，就把这个问题抛给我们……

仔细想来，这个问题挺有价值，而且并非个例、孤例。不仅是合规管理，还有审计管理、风险管理、内控管理等等管理的领域，都具有类似的问题啊！各位，如果您企业恰巧也有类似的情况，请也一起想想：

一家公司的风险、内控、合规、审计管理制度，到底要不要本级党委前置研究？能不能由本级党委前置研究给出意见呢？

正确的做事，先要明确做事的规则。

关于风险、内控、合规、审计管理体系到底如何做到更好，我们一起先学习相关政策的要求。

01

内部审计制度谁来管？

强化内部审计监督，是国有企业监管自始至终的重点。国资委2003年组建完毕，2004年就在李荣融主任主持下，推出了第一批监管规定，《中央企业内部审计管理办法》就是重要的一个。

在这个文件中，明确规定：

“国有控股公司和国有独资公司，应当依据完善公司治理结构和完备内部控制机制的要求，在董事会下设立独立的审计委员会。……其中主任委员应当由外部董事担任。”

文字虽然不多，但其核心思想已经非常清楚，审计工作是董事会下设的具有独立性的机构，由外部董事进行领导，进而防止内部人控制。

《中央企业内部审计管理办法》虽然已经颁布近20年，但其基本要求和规定，依然当今国企开展内部审计工作的基本遵循之一。

2020年，为了进一步深入开展内部审计工作，《关于深化中央企业内部审计监督工作的实施意见》正式颁布，这项政策主要目标之一，就是“推动中央企业建立符合中国特色现代企业制度要求的内部审计领导和管理体制机制。”

所以，对于我们理解内部审计制度到底应该谁来管的问题，有更直接的指导意义。

这个内部审计监督实施意见，有一段比较清晰的论述：

“建立健全党委（党组）、董事会（或主要负责人）直接领导下的内部审计领导体制。

党委（党组）要加强对内部审计工作的领导，不断健全和完善党委（党组）领导内部审计工作的制度和工作机制，强化对内部审计重大工作的顶层设计、统筹协调和督促落实。

董事会负责审议内部审计基本制度、审计计划、重要审计报告，决定内部审计机构设置及其负责人，加强对内部审计重要事项的管理。

董事长具体分管内部审计，是内部审计工作第一责任人。加快建立总审计师制度，协助党组织、董事会（或主要负责人）管理内部审计工作。

经理层接受并积极配合内部审计监督，落实对内部审计发现问题的整改。”

请仔细阅读本政策要求，这里面对于党委、董事会、经理层分别在内部审计中的作用，进行了非常清晰的划分。并且明确规定，负责审定批准内部审计制度的主体是“董事会”！

虽然该文件并未直接说明党委是不是要前置研究，但是要求党委的领导作用，同时也要求经理层配合内部审计监督，这样就把经理层接受监督这个角色确定下来！

02

内部控制制度谁来管？

我们继续扩大视野，来看看国企的内控体系责任主体。

在此领域，2019年《关于加强中央企业内部控制体系建设与监督工作的实施意见》是学习借鉴的重要政策文件。

“建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系。”

是对中央企业内控体系的基本要求，这个要求说明，内控体系是风险、合规等具体管理方法手段的整合体，是一个更加综合的概念。

正是因为如此，本政策文件并没有具体深入到内控制度文件的审批主体规定，而是从整体层面明确和强调了企业内控的一些原则。

比如，第一责任人原则

“进一步完善企业内部管控体制机制，中央企业主要领导人员是内控体系监管工作第一责任人，负责组织领导建立健全覆盖各业务领域、部门、岗位，涵盖各级子企业全面有效的内控体系。”

比如，不相容职务分离原则

“按照不相容职务分离控制、授权审批控制等内控体系管控要求，严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责，实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。”

再比如，强化外部监督原则

“加强对中央企业国有资产监管政策制度执行情况的综合检查工作，建立内控体系定期抽查评价工作制度，每年组织专门力量对中央企业经营管理重要领域和关键环节开展内控体系有效性抽查评价，发现和堵塞管理漏洞，完善相关政策制度，并加大监督检查工作结果在各项国有资产监管及干部管理工作中的运用力度。”

还比如，完善内部监督原则

“通过完善公司治理，健全相关制度，整合企业内部监督力量，发挥企业董事会或委派董事决策、审核和监督职责，有效利用企业监事会、内部审计、企业内部巡视巡察等监督检查工作成果，以及出资人监管和外部审计、纪检监察、巡视反馈问题情况，不断完善企业内控体系建设。”

学习完这个政策文件，一个边界清晰，内外部监督有效，内部职责定义划分明确的国企内控体系原则已经呼之欲出。

内控体系到底谁来管？按此要求，基本答案好像是这样的：

首先，内控体系是企业整体的事情，与股东要求直接相关，内外部监督十分关键；

其次，企业一把手，也就是一肩挑的董事长和党委书记是内控的第一责任人；

再次，内控一定要保持独立性，要明确不相容职责的分离，不能既当运动员又当裁判员。

03

风险管理体系谁来管？

说完了内控体系，我们再来分析企业的风险管理体系组织分工。

2006年，《中央企业全面风险管理指引》对于国企如何建立风险管理体系，进行了详细的规定。有几条值得深入思考：

第一，风险管理的组织

“企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。”

可以看出，风险管理的组织是一个多层次、前中后台联动的综合组织。

第二，突出董事会的独立判断

“国有独资公司和国有控股公司应建立外部董事、独立董事制度，外部董事、独立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。”

第三，董事会审批风险管理制度

“董事会就全面风险管理工作的有效性对股东（大）会负责。董事会在全面风险管理方面，……确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；”

第四，经理层具体实施落实

“企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。”

《中央企业全面风险管理指引》已经通过以上这些内容的规定，将国企风险管理体系中的组织分工和责权进行了清晰的说明。

04

合规管理体系由谁来管？

与内控、风险、审计三个职能相比，合规管理的提出要相对晚一些，但是重要性却一点儿也不低。

2022年，《中央企业合规管理办法》正式颁布，成为全国国企合规管理的基本政策依据。在这个政策文件中，对于合规制度体系的分工原则，规定也是清楚的、一贯的。混改风云微信公众号 出品

我们概括总结一下：

重点一：党组织“把、管、促”

“中央企业党委（党组）发挥把方向、管大局、促落实的领导作用，推动合规要求在本企业得到严格遵循和落实，不断提升依法合规经营管理水平。”

重点二：董事会审批合规体系

“中央企业董事会发挥定战略、作决策、防风险作用，主要履行以下职责：

（一）审议批准合规管理基本制度、体系建设方案和年度报告等。

（二）研究决定合规管理重大事项。

（三）推动完善合规管理体系并对其有效性进行评价。

（四）决定合规管理部门设置及职责。”

重点三：经理层起草、实施和落实

“中央企业经理层发挥谋经营、抓落实、强管理作用，主要履行以下职责：

（一）拟订合规管理体系建设方案，经董事会批准后组织实施。

（二）拟订合规管理基本制度，批准年度计划等，组织制定合规管理具体制度。”

至此，已经非常明确了，企业合规管理制度的制定，核心审批主体是董事会，经理层职能是实施组织，党组织总体领导。

但是，从审计管理到内控制度，从风险管理到合规体系，这些我们已经学习的文件中，都没有直接说明，一个本领域的管理体系方案，在董事会审批确定之前，是不是需要前置研究？……

确实没有，确实没有……

怎么办呢？为了进一步找到答案，我们需要更加深入的进行分析。

05

本级党委前置研究审计风险内控合规的机制缺陷

虽然，我们已经制定的审计、风险、内控、合规的众多政策文件中，都没有明确说明前置研究的作用和位置，但是它们都已经给国有企业传递了清晰的原则边界和判断标准。

我们再次总结一下这些标准，核心是三条：

标准一：股东监督

与其他公司基本制度不同，一家企业的审计、风险、内控、合规管理体系，是从国有资产监管和股东利益角度，对于企业包括经理层在内的组织、流程的合理性、有效性进行监督管理，具有很强的外部监管特点。

正是因为如此，从审计部门开始，才需要保持相对于经理层的独立性，以保证外部监督的有效。

标准二：职责分离

不能既做运动员，又当裁判员，这是风险、内控、审计、合规的基本原则，是统一的、也是一贯的。

对于有利害关系的人员和岗位，要严格实行职责分离，以及决策回避制度，这样才能保证制度的建立是公平的，程序是完备的。

标准三：董事中心

风险、内控、审计、合规四大类管理制度，核心职责指向，是完全相同的，那就是董事会。

董事会是代表股东价值观和利益的决策机构，外部董事超过半数的董事会是做好外部监督的核心机制安排，所以这四类管理制度，由董事会进行最终负责和审批，是最好的治理解决方案。

用股东监督、职责分离、董事中心这三个基本标准，来评估一个企业的风险、内控、审计、合规管理体系，要不要通过本级党委的前置研究讨论，应该就看的比较清楚了：

由于目前企业的党组织结构设置当中，党委委员和公司的经理层人员是高度重叠的，对于很多企业来说，绝大部分经理层成员，同时也是党委委员。这种安排，可以推动经营管理中高效落实方针政策，但是如果审议风险、内控、审计、合规管理体系，就存在着经理层成员自己审自己的现实问题！！！

这个问题，与职责分离的基本标准是有矛盾的，有矛盾的，有矛盾的！

06

审计风险内控合规，到底谁来审？

分析到这里，我们答案的第一部分基本可以出来了。

企业审计风险内控合规管理制度，虽然属于企业基本制度，但是由于党委委员和经理成员的高度重叠性，鉴于职责分离的原则，并不适于本级党委前置研究。

但是，仅仅谈到这一层，依然是不够的！

在我们讨论的相关规定中，明确指出在这个领域内，要发挥党组织“把方向、管大局、促落实”作用，如果不能让本级党委前置研究，那如何落实“把、管、促”的功能呢？

知本咨询建议，通过两个通道进行：

第一个通道，通过国有股东单位进行审核。

企业审计风险内控合规管理制度，在落实股东权力，体现股东监督方面有重要作用，董事会本身也是代表股东的利益进行决策的。

所以，在企业董事会进行制度讨论和审定过程中，国有股东单位要充分参与意见，然后经由派出董事成员，将上级党组织的建议和意见落实到制度体系当中去。

第二个通道，本级党委监督体系单独出具意见。

企业审计风险内控合规管理体系，是国有企业建立大监督格局的重要组成部分，与党内监督体系形成一个完整体系。

党委监督职能的发挥，也不能离开这些管理体系的科学设计和良好运行。

所以，建议在企业审计风险内控合规管理体系送董事会审议之前，由本级党委监督组织单独审核并出具意见，最终由董事会履行决策功能。

“鸟宿池边树，僧推月下门。”

中国历来的推敲思考的传统，只有不断深入思量，才能“壹引其纲，万目皆张”。

企业审计风险内控合规管理体系，是国企实现风险防控能力持续提升的奠基石，从设计、审批、实施、评价各个环节，都要反复斟酌，前后推敲。

我们今天就其审批主体责任进行了初步讨论，提出建议供学术讨论，欢迎指正！

混改风云微信公众号 出品

未经授权 禁止转载

欢迎分享至 朋友圈