摘要：知风云：公元前214年，秦始皇命蒙恬筑长城，每隔十里设一烽火台。狼烟起时，信号自边塞直抵咸阳，不过半日。

知风云：公元前214年，秦始皇命蒙恬筑长城，每隔十里设一烽火台。狼烟起时，信号自边塞直抵咸阳，不过半日。

作者|知本咨询国企治理管控研究院
责编|亿亿 编辑|阿苓

这种“穿透式”、“联动型”预警体系，让中央得以掌控千里之外的危机信号。

时间已经过去了2000年，当下已经迈进世界一流大集团的国有企业，业务体系纵横交错，各级组织法人数百上千，地域范围散布全球，每天面对数万员工，如何让管理信号如烽火般穿透组织壁垒，保证企业整体合规有效、风险可控，成为一道关乎生死的治理命题。

正因为如此，国资央企加强穿透式监管体系的建设和完善，成为今年一项重要的改革工作要求。

如何才能做好实践中的穿透式监管，真正实现体系化、规范化，并且与各级企业正常经营管理有机嵌入、全程融合呢？

相关政策要求提出，通过对于国资央企的内控体系进行优化升级，将原本各个级别企业的内控体系纵向贯通，是一个重要发力方向。

改革的目标是，“深化内部控制体系建设与监督工作，促进提升中央企业智能化穿透式管控能力和水平，健全风险防控体系，牢牢守住不发生重大风险底线。”

穿透式监管的“世界观”已经确认，下面就要详细寻找方法论，找到升级优化国企集团内控体系，实现穿透式监管的具体路径。

01

国企内控“三重门”

内控体系建设和完善，从20年前开始就是国资央企制度建设和风险防范的重点。

从财政部等五部委发布实施《企业内部控制基本规范》、《企业内部控制评价指引》《企业内部控制评价指引》，到《中央企业全面风险管理指引》，再到《加强中央企业内部控制体系建设与监督工作的实施意见》，国企内控体系政策规定持续健全，内控、风险、合规等体系建设实践也完成了从无到有、从点到面、从单体企业到集团公司的持续发展。

走入二十世纪的大中型国企内控，已经初步形成了集团总部、二级专业公司、三级实体运营单位构成的三层内控体系结构，为下一步实施穿透式监管奠定了良好基础。

我们一起简单温习一下这样的三层结构“密码”。

1、集团总部内控体系

《韩非子》说：“万物莫如身之至贵也，位之至尊也，主威之重也。”

国企集团总部是内控制度体系顶层设计者和监督评价者。内控体系建设中，集团总部要干三件事：

第一，制度框架设计。

制定《集团内部控制管理总纲》，明确全集团内控目标、原则及分级授权体系。同时，发布覆盖全业务领域的通用内控规范（如投资、财务、合规等），要求下级单位细化执行。

第二，重大风险统筹管控。

建立集团级风险评估模型，明确二级公司、三级单位需上报的重大风险阈值（如单笔投资超净资产5%、债务融资成本超限等）。同时，还可以通过直接管控跨境投资、并购重组、金融衍生业务，将高风险领域审批权上收总部。

第三，监督与考核。

制定本集团《内控评价管理办法》，对二级公司内控有效性进行年度考核，结果与领导班子绩效挂钩。通过集团审计沿伸，对三级单位开展抽查审计，重点检查“制度执行偏差”。

通过这些方法，国企集团总部可以在内控制度体系设计和监督评价上创造价值。

2、二级专业公司内控制度

国企集团内部，二级专业公司的职责是制度细化与专业风险管控，这类企业也是集团公司专业脊梁的“转化枢纽”。在内控制度中有三个功能：

首先是专业化制度转化。

根据集团总纲制定行业化内控细则，如能源类公司需细化安全生产内控、金融类公司需强化资金流动性管控等等。同时结合行业监管、股东监管要求要做好各类政策衔接。

其次是业务链风险管控。

专业公司的内控体系强调建立本业务板块风险控制矩阵：识别采购、生产、销售等环节关键风险点，设计控制措施。同时，对于部分高风险领域可以对三级单位实施垂直管理，比如统一财务系统、采购平台、风控指标等。

再次是强化授权与例外管理。

通过制定《授权管理细则》等文件，明确对三级单位的审批权限下放标准。对超权限或例外事项建立“提级审批”流程，保留总部备案权。

《盐铁论》说到：“治大者不可以烦，烦则乱。”

国企二级专业公司如同人体的脊椎，既要传导大脑指令，又要支撑专业运动，在内控体系中起到承上启下的关键作用。

3、三级实体运营单位内控制度

三级实体犹如神经末梢，直接感知市场温度。内控体系当中的定位是制度落地与操作标准化。内控制度也有三个特点：

将集团和二级公司内控制度转化为岗位操作手册，明确关键控制动作，如采购申请须附三家比价单、合同用印前需法务签字等详细规定。在操作环节直接引用法规条款，明确风险和禁止事项。

三级实体运营单位要建立对安全、质量、廉洁风险实施“一线拦截”机制，一线管理者要风险首控负责。同时，使用数字化工具（如移动端巡检APP）实现风险数据实时上报。

将制度执行情况及时通过多种手段进行反馈，不断优化和持续改进。

总体看，国企集团的内控体系，已经在集团总部层、二级专业公司层和三级运营实体层分别构建了相对完整的流程制度网络。

02

穿透式监管的“四流贯穿”

不过，当我们用穿透式监管的新视角和新要求看待国企已经建立起来的内控体系时，也能发现过去分层建设的内控体系，虽然在纵向关系当中保留了关键控制窗口，但其发力点依然是每个层级企业自身控制体系的完整和内部业务流程的完善。

要适应穿透式监管的纵向风险控制要求，就需要对现行内控体系进行优化升级。

怎么做呢？知本咨询给大家推荐四个具体改进方向，我们简称其为“四流贯穿”内控体系。

这四流，是制度流、风险流、数据流和责任流。

我们分别做个简要说明。

1、制度流的“基因编码”

制度分层设计，可能会产生“上下一般粗”或“制度断层”，这就要求升级版的内控体系更加重视统一框架下的各级制度动态衔接。确保各层级制度既承接上级要求，又体现本级管理特点。

需要解决的痛点问题是，集团制度过于原则化导致基层无法落地，或者三级单位自行加码导致管控冲突。

就此，升级版内控体系要建立全集团制度编码规则，建立下级制度和上级制度的映射关系图谱，形成制度关联性矩阵表等必要的制度衔接工具。

这就好像内控制度体系的DNA双螺旋结构，集团制度（G系列）与二级细则（S系列）如双链缠绕，通过“制度映射条款”实现遗传信息传递。

2、 风险流的“地震监测网”

升级版的内控体系，要突出强调风险监测的纵贯到底、横沿到边。通过建立集团公司统一完整的风险预警体系，实现全过程的有效防范和纠偏。

集团总部可以定义重大风险量化标准，要求二级公司细化行业标准，三级单位制定操作类指标。进而建立层级化预警阈值，根据风险类型，明确集团阈值、二级阈值和三级阈值。

建立风险数据自动上报规则，确保集团可以第一时间掌握风险暴露状态和纠偏进展。

在此基础上，通过智能穿刺审计等方式，随时监测和检查各级企业内控风险的实时情况，提升风险防范能力。

3、数据流的“数字孪生河”

在各级企业内控制度建设的基础上，通过数字化、技术化手段，将数据过程全面纵向贯通。

首先是需要统一数据标准，在ERP、OA等系统中固化内控规则。比如如三级单位合同审批流程必须包含法务审核节点，否则无法提交至二级公司等。

其次是建立风险数据驾驶舱，集团总部可实时查看下级单位风险指标，如所有三级单位当日安全巡检完成率、超期应收账款占比等集团关注的重点数据变化情况。

第三是通过“一键上报”功能，基层员工发现风险可直接触发集团审计流程等。

通过打通数据流，力求实现总部、二级、三级企业的经营管理数据“三江并流”，制度数据流、业务数据流、行为数据流都能够贯通顺畅。

4、 责任流的“压力传导链”

各级组织和岗位是实现风险控制的主体和推动者，只有更加清晰的在不同组织层面上明确他们的考核责任和管理责任，实现有效压力传导，才可能将制度规定变成自觉行动。

因而，在升级版内控体系当中，建议强化“五级责任绑定”机制。

第一级，集团领导班子。要考核其内控缺陷整改率，结果与任期激励挂钩。

第二级，二级专业公司负责人。考核其内控体系覆盖率和风险事件漏报率，结果影响职务晋升。

第三级，三级运营单位班子成员，考核操作违规发生率，结果与绩效奖金高度挂钩。

第四级，班组长。可以考核其风险首控及时性，实现多方激励。

第五级，一线员工。可以考核制度知晓率，通过物质和精神奖励进行反馈。

实现考核责任双闭环，将下级内控失效与上级管理责任绑定，避免“只管下发不管结果”。

“城墙之固，在砖石之砌，更在烽燧之警。”

未来的国企监管，必将是“有形之墙”与“无形之网”的交响。当每个岗位都成为烽火台，每个数据流都化作狼烟，方能在瞬息万变的商业战场上，实现“但使龙城飞将在，不教胡马度阴山”的治理境界。

来源：混改风云一点号