一、集团公司内控体系建设的背景

2001年11月,安然公司财务丑闻曝光,由此引发的多米诺骨牌效应造成了这一期间美国338家上市公司、总计4093亿美元的资产申请破产保护。这类事件发生的根本原因,在于公司治理和内部控制存在缺陷。为了挽救投资者信心,避免类似安然事件的出现,美国国会紧急出台了公司改革法案《萨班斯——奥克斯利法案》。萨奥法案对上市公司触动最大的,是它的404条款,条款规定:上市公司需自行评估其内部控制的有效性,揭示内部控制的重大弱点,并将评估报告写入公司年度财务报告。同时,条款还规定:公司聘请的审计师要核实管理层做出的评估,并另行提出独立报告。截至2005年底,中国大陆和香港在美国上市企业共计70余家,包括中国移动、中国铝业、中国联通、中化国际、中石油、中海油等一批企业,都面临执行404条款的问题。这些公司在普华永道、安永等国际咨询公司的帮助下,开始按照萨奥法案的要求梳理、完善自身的内部控制,以等待即将到来的评审。
除了国外“萨奥”法案的要求以外,2001年起,我国财政部即致力于内部会计控制的建设指导和规划工作,先后颁布了《内部会计控制规范--基本规范》和6项具体控制规范,并印发了5项控制规范的征求意见稿。国资委《中央企业内部控制管理暂行办法》、《中央企业全面风险管理指引》等内控管理规范也都在制订之中。另一方面,国内近年来因为内部控制不善或不当导致企业巨额损失的案例屡屡出现,也进一步加大了中国企业内部控制建设和完善的必要性与迫切性。

二、集团公司内控体系的分类和内容

(一)按照内控对象进行的分类和相干内容
就内部控制对象而言,集团公司的内部控制可以分为两个层次,其一,是集团公司总部对集团内各经营单位——下属子公司(分公司、事业部)的内部控制;其二,集团公司各经营单位(子公司、分公司、事业部)自身的内部控制。
总部对集团经营单位的内部控制,基本内容一般主要包括战略控制、绩效控制、运营控制和资源控制四项内容。战略控制,是对经营单位的战略制订、战略实施的控制及对经营单位战略执行效果的评价。绩效控制,是对经营单位年度绩效目标达成情况的控制。资源控制包括资金控制、人力资源控制和品牌控制等内容。运营控制,是指集团出自协同的需要,对经营单位的具体经营行为(例如销售、生产、采购等,非战略层面行为)实施的控制。一般而言,在一些纵向一体化的产业集团内部,产业链之间的协同需要集团总部深入到运营层面来实施,在横向一体化或者无关多元化的产业集团中,运营控制少见一些。
经营单位自身的内部控制,主要是出于经营单位自控的需要,对自身的业务行为(例如采购、销售、生产、投融资、营销宣传、人力资源、行政管理、安全管理等)实施的控制。这类控制一般是从业务流程的规范入手,对各类流程的运作建立流程标准、明确标准的执行责任,并对标准的执行情况进行检查和评价。财政部颁发的会计控制规范,主要是从财务安全性角度进行的流程规范,而ISO9000及其他环境、劳动等方面的认证体系,主要从质量、环保等方面进行的流程规范。尽管在内容侧重上有所区分,但这些规范的设计逻辑都是一样的,都要结合企业的战略目标和实际情况来制订,它们共同构成了经营单位自身的内控体系。

(二)按照内部控制性质进行的分类和相关内容
按照内部控制的性质,可以区分为公司层内控和交易层内控。公司层内控是指公司治理层面的内部控制,也叫决策控制。涉及到的控制事项包括:董事会构成和行为方式,公司战略,年度预算,投融资,增资,清算,高层任免等。公司层内控主要是出资人通过董事会对管理层行为施加的控制。交易层内控是指具体业务交易层面的内部控制,也叫执行控制。如销售控制,采购控制,质量控制等等。交易层内控主要是管理层对其以下实施的控制。在相当一部分中国企业中,交易层内控相对健全,但公司层内控却亟待改善。近年来出现的一系列因为内控不健全而导致企业损失的案例(例如中航油、四川长虹、伊利股份等),都是公司层内控出现问题。
不管是集团总部对集团内经营单位的内部控制还是经营单位自身内部控制,都包含公司层内控和业务层内控两类内容。例如,集团总部对经营单位的战略控制和预算控制,和总部参与经营单位决策的内部治理机制高度相关,基本上属于公司层内控。而资金控制,主要属于业务层内控的范畴。

(三)按照内部控制目标进行的分类和相关内容
按照美国COSO委员会发布的《内部控制风险管理框架》,内部控制要实现四大目标,包括:战略目标达成、运营活动的效率和效果、报告的真实准确,以及企业经营的合法合规。这四大目标并不是平行并列的,战略目标达成要以后三个目标实现为基础。美国的《萨班斯——奥克斯利法案》主要是针对虚假财务报告的,法案所要求建立的内控体系,也只是局限于保证财务报告真实完整性和守法合规层面的内控体系,而不是全部完整意义上的内部控制体系。由此,从内控目标出发,可以将内部控制划分为基础层次的内部控制和效率效果层次的内部控制,前者以会计控制为核心内容,主要以差错防弊为目的,后者以管理控制为核心内容,主要涉及流程的优化、衔接、规划和组织,以提高流程运作效率、对战略达成实施有效支撑为目的。

三、集团公司内控体系建立的方法和步骤

第一,以“控制活动”要素为落脚点。从COSO委员会颁布的《内部控制风险管理框架》来看,内部控制体系包罗万象,涉及到企业内部管理的方方面面,内部控制建设似乎很难着手。实际上,内控要最终体现在“控制活动”要素上,即体现在各类政策和程序上,以政策和程序为表现形式的“控制活动”,是内控体系的载体。内部控制,说白了,就是按照COSO风险管理框架为主线组织起来的各类“活动”,表现形式就是能够体现COSO内控逻辑的各种政策和程序。根据普华永道等机构帮助上市公司完善内部控制的一般经验,在风险管理内控体系的建设中,“控制活动”要素往往要占据60%以上的工作量。
第二,梳理、整合与优化。内部控制并不是完全独立于企业原有的管理体系,建设内控并不是“无中生有”地产生另外一套新东西。企业原有的各类政策和程序,是建立风险管理内控体系的基础。只不过
需要根据风险管理内部控制的基本思路,对原有的政策与程序进行梳理、整合、修改、补充。
第三,以流程为主要形式、部门为辅助形式,进行程序和政策的整合。之所以为流程为主要形式,是因为流程往往贯穿若干部门,这种形式便于对部门相互之间以及岗位相互之间的衔接做出规范。以部门为辅助形式,则可以明确各部门与岗位在内部控制中的具体职责。
第四,公司层内控和交易层内控同时并举。从财政部颁发的《会计控制规范》来看,主要是从交易层内控进行的规范,而较少涉及到公司层内控的建设。在内控建设中,中国企业还要根据公司法、公司章程等规定,在董事会的设立、运行等公司治理层面进行完善和优化。公司层内控为交易层内控提供了框架和方向,交易层内控则是公司层内控的实现前提和基础,二者相辅相成、缺一不可,所以在内控建设中必须彼此兼顾、同时并举。
第五,“由上到下”和“由下到上”相结合。在企业集团内控体系建设的整体布局上,一般有两种模式:一是“由上到下”式,即集团总部根据集团发展战略和对下属公司管控模式,先建立起集团对下属子公司的纵向内部控制体系,然后集团公司下属的子公司再根据纵向内控的基本精神,建立起自身层面的内控体系;另外一种是“由下到上”式,即集团公司的下属子公司先进行内部控制建设的试点,然后再对试点成功企业的经验和做法进行总结后,在集团内部全面普及和推广,并根据试点公司的内控特点拟订集团公司总部对下属公司的内控模式,最后形成整个集团公司的内控体系。本文认为,内控体系建设,需要“由上到下”结合“由下到上”:一方面,要根据集团公司发展战略的指导方针,拟定集团公司总部对下属子公司内部控制的基本思路和基本原则;另一方面,也要在集团内部选择试点企业,开始内部控制建设的尝试工作。也就是说,在保证“整体规划”的前提下,要“试点先行”,同时从上下两个层面推动集团的内部控制建设。
第六,从基础层面内控建设向全面内控建设逐步过渡。即先从基础层面的会计控制入手,先建立和财务报告真实性相关流程的运作标准,先从保障资产资金安全、会计信息准确可靠、有效差错防弊的内控入手。待夯实了管理基础后,再着手进行预算控制、质量管理、人力资源、战略决策等和管理效率高度相关流程标准的规范,进行流程的全面整合与优化。

(作者单位:中国社科院工经所、中国电子进出口总公司)