国有集团企业内控体系建设探析

梁献军

摘 要 作为提升企业经营业绩和管理水平，引进、建立现代企业制度的重要管理工具，企业内控体系在监管机构、学术界与企业界受到越来越广泛的关注。2008年，财政部等五部委联合发布了《企业内部控制基本规范》，并在2010年发布了配套指引。2012年，国务院国资委下发了《关于加快构建中央企业内部控制体系有关事项的通知》。2013年，北京市国资委下发了《关于构建市属国有企业内控体系建设有关事项的通知》。在各监管机构的要求下，在各企业自身发展的需求下，近些年，我国内地大型央企、上市公司、非上市大中型企业及市属国有企业均开展了不同程度的内部控制设计和评价工作，对内控体系建设和优化进行了探索。本文基于我国企业内部控制工作的发展现状以及对集团化国有企业内控体系建设必要性的分析，从集团管控的角度，以实现管控目标为思路，从内部控制要素的五个维度，结合企业管理及内控体系建设的实际工作经验，对集团化管控的国有企业实施内部控制建设思路进行了深入的探讨。

关键词 国有集团 内部控制 内控体系 风险管理 集团管控

2008年之前，我国大型央企、上市公司已经在内部控制建设方面有了一定的工作基础，自《企业内部控制基本规范》及配套指引发布至今，根据监管机构的要求和自身发展的需要，进一步完善了内部控制的管理，目前已经建立了较为完备的内部控制体系。此外，一些非上市的大中型企业也开展了一定程度的工作，积累了内部控制建设的相关经验。

如何在监管机构要求的基础上，根据实际发展阶段和管理需求建立有效的内控框架和运行体系，并切实落地执行，是国有集团企业实现有效管控亟待解决的问题。

一、国有集团企业建立内控体系的必要性

（一）监管要求

2012年5月，国务院国资委下发《关于加快构建中央企业内部控制体系有关事项的通知》，要求用两年的时间，在全部央企建立起规范的内控体系。

2013年8月，北京市国资委下发《关于构建市属国有企业内控体系建设有关事项的通知》，要求50家市属一级国有（集团）企业开展内控体系建设和实施，在2015年底前建立起较为完善的内控体系，并在以后每年度开展内控评价。

（二）集团化企业的实际经营管理需求

集团化企业不仅对外面临宏观经济、开放市场、监管要求等多重压力、多类风险，甚至各下属企业主营业务类型多样、发展阶段参差不齐、内部管理模式各不相同，管控内容更复杂、难度更高。

内控体系建设工作作为一项系统、全面推行的工作，不但能够实现对各下属企业的有效管控，发现并解决管理中存在的薄弱环节与管理短板，而且能够推动集团经营下管理模式和控制方法的探索，从而控制产业布局，发挥协同效应，实现公司愿景。

二、集团化经营下国有企业的内控管理措施

（一）建立有效的内控管理模式

集团化经营下，企业管控复杂程度大大提高，建立有效的内控管理模式是内控体系有效运行的基础。

1.总部的定位

在集团内控建设与管理上，总部需要负责对上、对内、对下三个层面的工作。准确定位集团总部的职能、切实发挥总部作用是内控体系设计有效、运行有效的先决条件。[1]作为集团化经营模式下的控股平台，总部应首先通过对下属企业进行综合、全面的风险评估，针对不同类型、不同发展阶段的企业，通过定性及定量的评估程序，识别高风险领域，分别选择风险应对策略，确定管控的思路、方式和重点。

2.下属企业的工作机制

各下属企业内控体系的有效运营是支撑整个集团内控管理有效性的基本保障。各企业应当根据本单位发展的阶段，设立内控工作的专属部门或岗位，根据总部的统一部署，结合企业自身的管理需求，建立并维护本单位的内部控制体系。

（二）集团化经营下国有企业的内部控制措施

笔者从集团管控的角度，以实现管控目标为思路，从内部控制要素五个维度，结合企业管理及内控体系建设的实际经验，制定集团化经营下企业内部控制的可行性管理措施。具体包括：

1.控制环境

（1）治理结构的设置及组织架构的整合。首先，总部应建立规范的法人治理结构，设置并完善内部管理的组织架构。对于下属新设企业的管理，按照法人治理结构的要求，在新设初期参照总部的管理条线设置治理结构及组织架构。对于后期兼并的企业，总部应首先对其治理结构和组织架构进行梳理，协助其建立起各负其责、协调运转、有效制衡、与总部要求相协调的内部工作机制，重点监督其完善董事会议事规则和议事机制，并根据实际需要，设立董事会下设专门委员会。其次，建立对治理结构和组织架构定期审阅和更新的机制，使下属企业的治理结构更规范、组织架构更合理。

（2）权责分配。权限和责任的合理分配是实现对下属企业有效管控的重要手段。国有集团企业应探索以公开、合规、适当、回避的原则，设置与职责匹配的分级授权制度，严格授权管理，任何下属公司和员工必须获得相应的授权，才能实施决策或执行业务。根据以往的经验，权限及责任划分通常散落在公司章程、议事规则和各类规章管理制度里面。在建立内部控制体系的过程中，集团应尝试在风险评估的基础上，针对纳入内控范围内的各项控制事项，结合流程管理的内容，通过梳理和颁布权限指引的方式，明确总部和下属企业各层级的授权原则与权限划分标准。并且，对于“三重一大”事项，不仅要明确自上而下的权限划分，还要进一步明确集体决策的议事规则和决策程序，增强决策的科学化、制度化、程序化。[2]

（3）人事管理。管控的重要部分是通过人的管理实现。在集团化经营实践中，除向下属企业派驻董事、监事外，总部应对下属企业管理层及关键岗位的人员任命保留实质上的决策权。对公司高管的人员配置，由总部考察任命，下属企业也可自行招聘高管人员，但需由总部考察后方可聘任；对于中层管理的重要岗位，应在总部进行备案，其他非关键岗位的聘任需征求总部的意见。

此外，总部需根据集团整体的战略目标，围绕人力资源规划，对下属企业的人力资源规划进行监控。建立激励与约束相结合的人力资源政策，客观、公正地评价各级员工的绩效和贡献，为薪酬调整、绩效薪酬计发、职务晋升等人力资源管理决策提供依据。

2.风险评估

全集团应建立自上而下、定期更新的全面风险管理体系。[3]总部应逐步建立完善的风险管理组织体系，包括职责划分、风险评估方法、工作程序、风险应对及监控报告，识别和评估影响目标实现的相关风险，建立风险管理库，对风险进行分类、分级管理。各下属企业应全面系统、持续不断地对本单位所面临的潜在风险、发生的风险事件进行识别和收集，形成风险管理库，并定期更新。

另外，集团可在系统内建立各企业使用统一、唯一可识别的风险编号。北京市国有资产经营有限责任公司（以下简称“国资公司”）在内控体系建设的过程中，探索自上而下的统一、分级风险管理，总部风险按序列分级编号，下属企业在总部风险管理库的基础上，细化本单位的风险，并参照总部序列进行编号，形成全系统内“见编号，知所属”的风险识别成果，为全系统风险评估的监控提供了便利，更有利于风险评估基础上应对策略的选择和监督。

3.控制活动

在风险评估的基础上，企业应根据风险评估结果，对各类风险确定拟采取的应对策略及相应的控制措施。对于集团化管控来说，总部只能在流程层面上对总部的内部控制进行落地细化，而对于下属企业的管理，则需要提升一定的高度，按照集团管控的具体类型，设计内控建设的指导思路。根据内控建设经验，目前主要的思路和探索的方向包括：

（1）一般常规流程的标准化。集团各下属企业主营业务多样，但对于资金管理、资产管理、担保业务、业务外包、财务报告、预算管理、法律合规、税务管理、人力资源等常规业务，总部及各下属企业的关键风险是基本相同的。对该类流程进行一般标准化控制，有利于集团内相关业务的理顺，也能够提高该类业务的管控效率。[4]

（2）分板块管理，建共性流程。国资公司下属企业数量众多、业务广泛，近年来，随着集团规模的不断扩张，总部层面以行业类型划分了业务板块以进行管理，包括金融与现代服务业、科技与现代制造业、城市功能与社会事业、文化创意与体育产业。根据公司目前的板块管理模式，内控建设正按照行业类型来设计和梳理流程，对某一行业的一些共性的、具有行业特色的风险进行有针对性的管理，设置该板块相应的控制流程，在一定程度上解决总部无法在落地层面为各家企业进行控制活动设计的现实问题。

（3）高风险业务关键环节的控制设计。对于某些极具特色、发生频率不高且在分板块梳理内控流程的基础上仍未覆盖的高风险业务，公司可根据内控建设的具体发展阶段，采用对关键环节设置控制措施的方式，与权限分配机制相结合，实现管控的目标。

（4）资源共享。集团化企业在资源共享上具有较强的规模优势，资源的集中管理、共享可以降低企业经营成本，提高业务开展效率。国资公司采用资金集中管理模式，提高了各下属企业闲置资金的收益率，降低了有融资需求企业的资金使用成本，不仅在形式上实现了集团总部对下属企业资金的管控，更在实质上提高了整个集团内各企业的资金使用效率。另外，国资公司尝试探索利用统一的公共信息平台，将各单位的一些如一般物资采购合同、专业服务采购合同、供应商的资质调查报告进行上传，实现同质性采购信息的共享，为各单位降低采购成本提供可能。

（5）内控创新。控制活动的设计不是简单地就监管要求进行对标，而是一个需要不断创新的过程。内控建设团队应根据内控体系建设中总结的经验、发现的问题，对控制活动设计进行不断的改进。对控制活动进行挖掘和创新，才能够实现内控体系的不断完善。

4.信息与沟通

（1）提高企业信息化管理水平。随着企业日常生产经营活动中文档和文件电子化形式的产生，现代企业管理方式应注重提高信息化管理的水平，将日常事务涉及的文件传阅、签转、审批等程序，按照企业管理的实际需求，分阶段实现办公自动化、无纸化管理。[5]国资公司内控体系建设过程中，恰逢公司着力提升企业信息化管理水平的实践阶段，总部在内控体系建设过程中形成的工作成果之一就是《权限指引》，明确了总部各项审批活动的负责部门、会签部门，以及各审批层级的集体决策和个人审批权限。《权限指引》为公司推行办公自动化系统管理建立了重要基础，将各项审批流程嵌入系统，提升了信息传递的效率及效果。

（2）信息沟通方式的统一。集团化经营下，各下属企业尤其是后期纳入管理的企业，大多有自成一体的信息沟通方式。在内控体系建设过程中，应逐步将集团内同类事项的文档模板，尤其是需要在企业和总部之间传递的文件模板进行整合和标准化，从而提高信息传递和使用的效率。在信息沟通途径上，已具备自己的信息系统的企业，可考虑探索在现有系统的基础上，对其进行整合，利用技术手段形成统一的信息系统，并设置相应的业务模块，实现信息报送方式的一致性。这更有利于集团对下属企业的信息管理和实时监控。

（3）重大事项的信息传递。除以上日常信息沟通机制外，集团化企业还应建立重要信息报告制度。针对重大突发事件，明确报告程序；针对投资项目、资金管理等核心业务的重要事项，建立报告制度，实现重大事项信息的及时传递和有效掌控。

5.内部监督

（1）对内部控制的自我评价。在公司层面，集团内企业应设立与内部控制和风险管理相关的专业委员会，负责内部控制评价的组织、领导、监督工作。在执行层面，在内控体系初步建设完成后，集团总部及各下属企业还要根据监管机构、上级单位的要求，结合本单位实际，对内控框架及内容进行定期的回顾和评价，与各业务部门商讨内控循环的情况，与管理层和治理层商讨内控改进的方式，形成不断完善、持续优化的内控管理机制。

（2）内部审计与内控审计。作为企业风险管理的第三道防线，审计部门可在开展管理审计、经济责任审计、专项审计的同时，适当推进内控审计，在风险管理部门开展内控自我评估的基础上，从审计的角度对内部控制的设计和执行进行评价。[6]集团总部可根据集团管控的阶段性目标及重点，以相对独立的角度，对下属企业开展适当的专项内控审计，对下属企业的内控设计和执行有效性进行评价。内控审计的工作成果作为内控和风险管理部门开展内控自我评价的补充，能够为内控建设的不断提升提供有效的建议。

（3）发挥党委、纪检监察的作用。内控工作的有效开展须有党委的正确领导，内部控制的监督应注重发挥纪检监察部门的作用，包括对党政领导班子和领导干部进行监督，对重点领域、关键环节和重要岗位的权力运行进行监督，对员工在生产经营中的法律法规遵循、制度执行、履职行为等情况实施监察。同时，纪检监察部门开展的效能监察工作，对公司经营业务计划、执行、成果等进行监督检查，对监察对象履行岗位职责及从事管理活动的情况进行监督检查，对公司管理效能、效率和效益情况进行监督检查，纠正和处理生产经营管理中的违规违纪问题等，是监督内部控制有效运行的重要手段。

（作者单位为北京市国有资产经营有限责任公司）

参考文献

[1] 赵延敏.关于央企集团总部内部控制建设的思考[J]. CFO评论，2014（03）：80.

[2] 薛蓉.浅析我国企业集团财务管控现状及优化对策[J].会计师，2014（09）：43.

[3] 孟杰.基于全面风险管理的企业内部控制实施探讨[J].财经界，2010（24）：397.

[4] 杨晓燕.论集团管控下的子公司财务内部控制建设[J].会计师，2014（11）：63.

[5] 白颖.集团管控的内部控制评价模型研究[J].工业审计与会计，2013（05）：12.

[6] 龚莉莉.国有集团公司内部控制和管理[J].化工管理，2007（11）：57.