谈集团公司内部控制体系建设

　　一、集团公司内控体系建设的背景
　　
　　2001年11月，安然公司财务丑闻曝光，由此引发的多米诺骨牌效应造成了这一期间美国338家上市公司、总计4093亿美元的资产申请破产保护。这类事件发生的根本原因，在于公司治理和内部控制存在缺陷。为了挽救投资者信心，避免类似安然事件的出现，美国国会紧急出台了公司改革法案《萨班斯——奥克斯利法案》。萨奥法案对上市公司触动最大的，是它的404条款，条款规定：上市公司需自行评估其内部控制的有效性，揭示内部控制的重大弱点，并将评估报告写入公司年度财务报告。同时，条款还规定：公司聘请的审计师要核实管理层做出的评估，并另行提出独立报告。截至2005年底，中国大陆和香港在美国上市企业共计70余家，包括中国移动、中国铝业、中国联通、中化国际、中石油、中海油等一批企业，都面临执行404条款的问题。这些公司在普华永道、安永等国际咨询公司的帮助下，开始按照萨奥法案的要求梳理、完善自身的内部控制，以等待即将到来的评审。
　　除了国外“萨奥”法案的要求以外，2001年起，我国财政部即致力于内部会计控制的建设指导和规划工作，先后颁布了《内部会计控制规范－－基本规范》和6项具体控制规范，并印发了5项控制规范的征求意见稿。国资委《中央企业内部控制管理暂行办法》、《中央企业全面风险管理指引》等内控管理规范也都在制订之中。另一方面，国内近年来因为内部控制不善或不当导致企业巨额损失的案例屡屡出现，也进一步加大了中国企业内部控制建设和完善的必要性与迫切性。
　　
　　二、集团公司内控体系的分类和内容
　　
　　（一）按照内控对象进行的分类和相干内容
　　就内部控制对象而言，集团公司的内部控制可以分为两个层次，其一，是集团公司总部对集团内各经营单位——下属子公司（分公司、事业部）的内部控制；其二，集团公司各经营单位（子公司、分公司、事业部）自身的内部控制。
　　总部对集团经营单位的内部控制，基本内容一般主要包括战略控制、绩效控制、运营控制和资源控制四项内容。战略控制，是对经营单位的战略制订、战略实施的控制及对经营单位战略执行效果的评价。绩效控制，是对经营单位年度绩效目标达成情况的控制。资源控制包括资金控制、人力资源控制和品牌控制等内容。运营控制，是指集团出自协同的需要，对经营单位的具体经营行为（例如销售、生产、采购等，非战略层面行为）实施的控制。一般而言，在一些纵向一体化的产业集团内部，产业链之间的协同需要集团总部深入到运营层面来实施，在横向一体化或者无关多元化的产业集团中，运营控制少见一些。
　　经营单位自身的内部控制，主要是出于经营单位自控的需要，对自身的业务行为（例如采购、销售、生产、投融资、营销宣传、人力资源、行政管理、安全管理等）实施的控制。这类控制一般是从业务流程的规范入手，对各类流程的运作建立流程标准、明确标准的执行责任，并对标准的执行情况进行检查和评价。财政部颁发的会计控制规范，主要是从财务安全性角度进行的流程规范，而ISO9000及其他环境、劳动等方面的认证体系，主要从质量、环保等方面进行的流程规范。尽管在内容侧重上有所区分，但这些规范的设计逻辑都是一样的，都要结合企业的战略目标和实际情况来制订，它们共同构成了经营单位自身的内控体系。
　　
　　（二）按照内部控制性质进行的分类和相关内容
　　按照内部控制的性质，可以区分为公司层内控和交易层内控。公司层内控是指公司治理层面的内部控制，也叫决策控制。涉及到的控制事项包括：董事会构成和行为方式，公司战略，年度预算，投融资，增资，清算，高层任免等。公司层内控主要是出资人通过董事会对管理层行为施加的控制。交易层内控是指具体业务交易层面的内部控制，也叫执行控制。如销售控制，采购控制，质量控制等等。交易层内控主要是管理层对其以下实施的控制。在相当一部分中国企业中，交易层内控相对健全，但公司层内控却亟待改善。近年来出现的一系列因为内控不健全而导致企业损失的案例（例如中航油、四川长虹、伊利股份等），都是公司层内控出现问题。
　　不管是集团总部对集团内经营单位的内部控制还是经营单位自身内部控制，都包含公司层内控和业务层内控两类内容。例如，集团总部对经营单位的战略控制和预算控制，和总部参与经营单位决策的内部治理机制高度相关，基本上属于公司层内控。而资金控制，主要属于业务层内控的范畴。
　　
　　（三）按照内部控制目标进行的分类和相关内容
　　按照美国COSO委员会发布的《内部控制风险管理框架》，内部控制要实现四大目标，包括：战略目标达成、运营活动的效率和效果、报告的真实准确，以及企业经营的合法合规。这四大目标并不是平行并列的，战略目标达成要以后三个目标实现为基础。美国的《萨班斯——奥克斯利法案》主要是针对虚假财务报告的，法案所要求建立的内控体系，也只是局限于保证财务报告真实完整性和守法合规层面的内控体系，而不是全部完整意义上的内部控制体系。由此，从内控目标出发，可以将内部控制划分为基础层次的内部控制和效率效果层次的内部控制，前者以会计控制为核心内容，主要以差错防弊为目的，后者以管理控制为核心内容，主要涉及流程的优化、衔接、规划和组织，以提高流程运作效率、对战略达成实施有效支撑为目的。
　　
　　三、集团公司内控体系建立的方法和步骤
　　
　　第一，以“控制活动”要素为落脚点。从COSO委员会颁布的《内部控制风险管理框架》来看，内部控制体系包罗万象，涉及到企业内部管理的方方面面，内部控制建设似乎很难着手。实际上，内控要最终体现在“控制活动”要素上，即体现在各类政策和