一、集團公司內控體系建設的背景
2001年11月,安然公司財務丑聞曝光,由此引發的多米諾骨牌效應造成了這一期間美國338家上市公司、總計4093億美元的資產申請破產保護。這類事件發生的根本原因,在于公司治理和內部控制存在缺陷。為了挽救投資者信心,避免類似安然事件的出現,美國國會緊急出臺了公司改革法案《薩班斯——奧克斯利法案》。薩奧法案對上市公司觸動最大的,是它的404條款,條款規定:上市公司需自行評估其內部控制的有效性,揭示內部控制的重大弱點,并將評估報告寫入公司年度財務報告。同時,條款還規定:公司聘請的審計師要核實管理層做出的評估,并另行提出獨立報告。截至2005年底,中國大陸和香港在美國上市企業共計70余家,包括中國移動、中國鋁業、中國聯通、中化國際、中石油、中海油等一批企業,都面臨執行404條款的問題。這些公司在普華永道、安永等國際咨詢公司的幫助下,開始按照薩奧法案的要求梳理、完善自身的內部控制,以等待即將到來的評審。
除了國外“薩奧”法案的要求以外,2001年起,我國財政部即致力于內部會計控制的建設指導和規劃工作,先后頒布了《內部會計控制規范--基本規范》和6項具體控制規范,并印發了5項控制規范的征求意見稿。國資委《中央企業內部控制管理暫行辦法》、《中央企業全面風險管理指引》等內控管理規范也都在制訂之中。另一方面,國內近年來因為內部控制不善或不當導致企業巨額損失的案例屢屢出現,也進一步加大了中國企業內部控制建設和完善的必要性與迫切性。
二、集團公司內控體系的分類和內容
(一)按照內控對象進行的分類和相干內容
就內部控制對象而言,集團公司的內部控制可以分為兩個層次,其一,是集團公司總部對集團內各經營單位——下屬子公司(分公司、事業部)的內部控制;其二,集團公司各經營單位(子公司、分公司、事業部)自身的內部控制。
總部對集團經營單位的內部控制,基本內容一般主要包括戰略控制、績效控制、運營控制和資源控制四項內容。戰略控制,是對經營單位的戰略制訂、戰略實施的控制及對經營單位戰略執行效果的評價。績效控制,是對經營單位年度績效目標達成情況的控制。資源控制包括資金控制、人力資源控制和品牌控制等內容。運營控制,是指集團出自協同的需要,對經營單位的具體經營行為(例如銷售、生產、采購等,非戰略層面行為)實施的控制。一般而言,在一些縱向一體化的產業集團內部,產業鏈之間的協同需要集團總部深入到運營層面來實施,在橫向一體化或者無關多元化的產業集團中,運營控制少見一些。
經營單位自身的內部控制,主要是出于經營單位自控的需要,對自身的業務行為(例如采購、銷售、生產、投融資、營銷宣傳、人力資源、行政管理、安全管理等)實施的控制。這類控制一般是從業務流程的規范入手,對各類流程的運作建立流程標準、明確標準的執行責任,并對標準的執行情況進行檢查和評價。財政部頒發的會計控制規范,主要是從財務安全性角度進行的流程規范,而ISO9000及其他環境、勞動等方面的認證體系,主要從質量、環保等方面進行的流程規范。盡管在內容側重上有所區分,但這些規范的設計邏輯都是一樣的,都要結合企業的戰略目標和實際情況來制訂,它們共同構成了經營單位自身的內控體系。
(二)按照內部控制性質進行的分類和相關內容
按照內部控制的性質,可以區分為公司層內控和交易層內控。公司層內控是指公司治理層面的內部控制,也叫決策控制。涉及到的控制事項包括:董事會構成和行為方式,公司戰略,年度預算,投融資,增資,清算,高層任免等。公司層內控主要是出資人通過董事會對管理層行為施加的控制。交易層內控是指具體業務交易層面的內部控制,也叫執行控制。如銷售控制,采購控制,質量控制等等。交易層內控主要是管理層對其以下實施的控制。在相當一部分中國企業中,交易層內控相對健全,但公司層內控卻亟待改善。近年來出現的一系列因為內控不健全而導致企業損失的案例(例如中航油、四川長虹、伊利股份等),都是公司層內控出現問題。
不管是集團總部對集團內經營單位的內部控制還是經營單位自身內部控制,都包含公司層內控和業務層內控兩類內容。例如,集團總部對經營單位的戰略控制和預算控制,和總部參與經營單位決策的內部治理機制高度相關,基本上屬于公司層內控。而資金控制,主要屬于業務層內控的范疇。
(三)按照內部控制目標進行的分類和相關內容
按照美國COSO委員會發布的《內部控制風險管理框架》,內部控制要實現四大目標,包括:戰略目標達成、運營活動的效率和效果、報告的真實準確,以及企業經營的合法合規。這四大目標并不是平行并列的,戰略目標達成要以后三個目標實現為基礎。美國的《薩班斯——奧克斯利法案》主要是針對虛假財務報告的,法案所要求建立的內控體系,也只是局限于保證財務報告真實完整性和守法合規層面的內控體系,而不是全部完整意義上的內部控制體系。由此,從內控目標出發,可以將內部控制劃分為基礎層次的內部控制和效率效果層次的內部控制,前者以會計控制為核心內容,主要以差錯防弊為目的,后者以管理控制為核心內容,主要涉及流程的優化、銜接、規劃和組織,以提高流程運作效率、對戰略達成實施有效支撐為目的。
三、集團公司內控體系建立的方法和步驟
第一,以“控制活動”要素為落腳點。從COSO委員會頒布的《內部控制風險管理框架》來看,內部控制體系包羅萬象,涉及到企業內部管理的方方面面,內部控制建設似乎很難著手。實際上,內控要最終體現在“控制活動”要素上,即體現在各類政策和程序上,以政策和程序為表現形式的“控制活動”,是內控體系的載體。內部控制,說白了,就是按照COSO風險管理框架為主線組織起來的各類“活動”,表現形式就是能夠體現COSO內控邏輯的各種政策和程序。根據普華永道等機構幫助上市公司完善內部控制的一般經驗,在風險管理內控體系的建設中,“控制活動”要素往往要占據60%以上的工作量。
第二,梳理、整合與優化。內部控制并不是完全獨立于企業原有的管理體系,建設內控并不是“無中生有”地產生另外一套新東西。企業原有的各類政策和程序,是建立風險管理內控體系的基礎。只不過
需要根據風險管理內部控制的基本思路,對原有的政策與程序進行梳理、整合、修改、補充。
第三,以流程為主要形式、部門為輔助形式,進行程序和政策的整合。之所以為流程為主要形式,是因為流程往往貫穿若干部門,這種形式便于對部門相互之間以及崗位相互之間的銜接做出規范。以部門為輔助形式,則可以明確各部門與崗位在內部控制中的具體職責。
第四,公司層內控和交易層內控同時并舉。從財政部頒發的《會計控制規范》來看,主要是從交易層內控進行的規范,而較少涉及到公司層內控的建設。在內控建設中,中國企業還要根據公司法、公司章程等規定,在董事會的設立、運行等公司治理層面進行完善和優化。公司層內控為交易層內控提供了框架和方向,交易層內控則是公司層內控的實現前提和基礎,二者相輔相成、缺一不可,所以在內控建設中必須彼此兼顧、同時并舉。
第五,“由上到下”和“由下到上”相結合。在企業集團內控體系建設的整體布局上,一般有兩種模式:一是“由上到下”式,即集團總部根據集團發展戰略和對下屬公司管控模式,先建立起集團對下屬子公司的縱向內部控制體系,然后集團公司下屬的子公司再根據縱向內控的基本精神,建立起自身層面的內控體系;另外一種是“由下到上”式,即集團公司的下屬子公司先進行內部控制建設的試點,然后再對試點成功企業的經驗和做法進行總結后,在集團內部全面普及和推廣,并根據試點公司的內控特點擬訂集團公司總部對下屬公司的內控模式,最后形成整個集團公司的內控體系。本文認為,內控體系建設,需要“由上到下”結合“由下到上”:一方面,要根據集團公司發展戰略的指導方針,擬定集團公司總部對下屬子公司內部控制的基本思路和基本原則;另一方面,也要在集團內部選擇試點企業,開始內部控制建設的嘗試工作。也就是說,在保證“整體規劃”的前提下,要“試點先行”,同時從上下兩個層面推動集團的內部控制建設。
第六,從基礎層面內控建設向全面內控建設逐步過渡。即先從基礎層面的會計控制入手,先建立和財務報告真實性相關流程的運作標準,先從保障資產資金安全、會計信息準確可靠、有效差錯防弊的內控入手。待夯實了管理基礎后,再著手進行預算控制、質量管理、人力資源、戰略決策等和管理效率高度相關流程標準的規范,進行流程的全面整合與優化。
(作者單位:中國社科院工經所、中國電子進出口總公司)
