浅析企业内控体系建设中的四对关系

张为民*

（上海华谊集团股份有限公司）

企业在生存发展的过程中，必定会面临各种各样的风险，如决策管理风险、政策法规风险、流动性风险、市场风险、安全生产与环保风险和操作执行风险等。如何防范和化解风险，使企业获得稳定且持续的发展一直倍受关注。由于2002 年“安然事件”爆发美国出台了《萨班斯-奥克斯利法案》，而国内亦有财政部会同证监会、审计署、银监会、保险会制定的《企业内部控制基本规范》及《企业内部控制应用指引》，上海市国有资产监督管理委员会（简称“国资委”）于2016 年发布了《关于印发<关于加快市国资委系统企业内控体系建设的意见>的通知》（沪国资委评价〔2016〕423 号）等内部控制规范性文件，这些文件都指出了在风险面前，企业并不是无能为力的，可以通过建立行之有效的内部控制体系来防控风险。放眼世界，许多国内外知名企业的管理经验都显示内部控制体系建设一直是企业管理中的重点内容，对企业做强做优做大具有积极的意义。

内部控制，顾名思义是指企业内部的控制运作，是企业为保证经营管理活动正常有序、合法合规的运行，对人、财、物、产、供、销等方面实行有效监管的系列活动。其实质就是规范化、程序化的管理，以系统的方法设计业务流程并且事前就全面考虑各种潜在的管理风险从而进行规避。有效的内部控制可以提高企业的风险防控能力，而无视或无效的内部控制则会给企业发展带来不利影响，甚至触犯法律。如沸沸扬扬的“国美内斗”事件曾经一度成为中国证券市场中的新闻焦点，先有大股东黄光裕身陷囹圄，后有黄光裕、陈晓对国美控制权进行激烈争夺，导致国美企业管理风险问题全面爆发，成为了企业内部控制和风险管理的反面案例，为广大管理者敲响了警钟。 内控体系是内部控制在企业管理工作中实施的载体,犹如神经系统,涉及企业的“五脏六腑”，加强内控体系建设是促进企业强本固基的重要途径。笔者在国资系统从事内控管理工作多年，对内控体系建设进行了思考，认为企业推进内控体系建设必须处理好主体责任和监督责任、制度制定和制度执行、企业集团和下属企业、完善制度和科技支撑这四对关系。

1 主体责任和监督责任

内控体系建设以风险为导向，旨在使企业实现风险可控、运行合规、健康成长、做强做大的目标。内控体系建设不是单靠设立一个内控管理部门，配备一些专门搞内控管理的人员就能完成，而是需要企业各级管理部门和全体员工共同参与的系统工程。正因为内控需要全员参与的特性，所涉及的部门较多，容易造成职责不清、互相推诿、效率低下、缺乏监督等后果。因此在体系设计时要充分考虑内部控制的有效性和制衡性，合理分配职责。

1.1 各业务职能部门须履行主体责任

业务职能部门在企业运营中各司其职，负责日常体系的有效运行，同时应承担内控体系建设的主体责任。业务职能部门立足本部门的职能要求，分析掌握职能所涉领域的风险，研究防范、控制、规避、化解风险的措施，制定管控规划和流程，实施有效的管控，以确保职能领域顺畅运营，为企业发展作出应有贡献。业务职能部门及其人员应牢固树立主体责任意识，积极履行主体责任，并承担失职的责任。

1.2 财务、法务和审计等部门须履行监督责任

财务、法务和审计等部门的职责均与流程的合规性相关，应承担内控体系建设的监督责任。其中，财务和法务部门主要从各自业务条线的角度实施财务合规性和法务合规性监督；审计部门则是通过内审、内控评价等方式对企业内控体系进行全方位再监督，揭示风险隐患和内控缺陷，进一步发挥查错纠弊作用。根据上海市国资委内控体系建设文件的精神，内控体系应构筑三道防线，业务部门为第一道防线，财务、法律部门为第二道防线，审计部门为第三道防线。各部门形成职责明确、环环相扣的监督模式，有效保障内控体系的运行。

2 制度制定和制度执行

没有规矩不成方圆，制度是企业运行的遵循依据，是企业健康成长的保障。一个企业要发展的好，一定要建立科学的制度，同时要严格执行，制度的制定和制度的执行这一对关系是内控体系建设的根本所在。

2.1 建立全面完善的实体性制度和程序性制度

根据性质不同，制度可划分为实体性制度和程序性制度。实体性制度注重纲领性，高屋建瓴地制定规则，对应当、可以做什么和禁止、不能做什么作出规定；程序性制度突出操作性，清晰明确地描述操作流程、路径和方法。在内控制度的设计过程中要充分考虑建立实体性和程序性配套的制度体系，两者相辅相成，缺一不可。如华谊集团自2017 年起制定了195条制度,其中包括实体性制度和程序性制度，这些制度能帮助企业规范、健康地运营。

2.2 科学管理制度的制定

制度的制定不能放任自流，如果没有科学的管理，企业的制度建设会出现混乱的局面，如企业制度与国家法律冲突，不同制度之间相互矛盾，制度过期或滞后，制度定密违规等等。制度的科学管理一是要明确专门管制度的部门，如华谊集团由法务部门作为管理制度的职能部门，因为制度是企业的“法”，法务部门管理专业对口；二是要有管理制度的制度，即对制度制定、公布、修改、作废、定密、解密等作出规范要求，以保持制度的合规性、可行性及科学性。

2.3 加强制度执行的监督力度，确保制度落实

执行是制度生命力的根本所在，也是保障企业运行的重要手段，没有强而有力的执行，制度将流于形式。因此为了促进制度有效执行，企业应建立一些保障机制。笔者结合实践经验，对机制进行列举。

（1）建立“三级”监督检查机制

业务部门组织日常操作的规范性检查，法律、财务等部门组织针对国家法律和财务法规的合规性检查，审计部门组织内审和内控自评、测评检查，全面检查制度执行情况。对于检查中发现的问题，应相应提出优化内控体系，促进管理提升的建议。

（2）建立分级负责整改机制

建立重大问题、重要问题和一般问题的领导分级负责整改机制，重大问题由主要领导牵头负责整改，重要问题由分管领导牵头负责整改，一般问题由职能部门领导牵头负责整改。分级明确并落实整改责任，有利于制度执行落实。

（3）建立问题清单销号机制

对检查中发现的问题进行整理并统计，责成责任单位或部门整改，监督部门检查验收通过后予以销号，防止问题整改和制度执行走过场或屡查屡犯。

（4）建立整改考核机制

对于整改验收等工作中发现的无理由拖延整改、整改措施不到位、整改后问题重复发生等情况，纳入企业有关业绩考核之中，并与薪酬挂钩。

（5）建立责任追究机制

对因制度执行不当造成损失或不良影响的，按规定及时追究有关人员的责任，视情况运用约谈、批评、诫免、经济处罚、组织处理、纪律法律处分等各种方法进行追责问责，涉嫌违法犯罪的，则应移送监察、司法机关处理。

制度的制定和执行是内控运行的重要抓手，只有正确处理两者的关系，才能提升内控的有效性，真正防控风险，保障企业安全运行。

3 企业集团和下属企业

内控体系建设不能“上热下冷”或“上冷下热”，而应做到“上下呼应”、共振联动。

3.1 体制建设上下呼应联动

企业集团和下属公司都应建立领导机构，如华谊集团建立了由总裁任主任、副职任副主任、各职能部门负责人和各二级公司总经理任委员的内控委员会，在审计部设内控秘书，在各职能部门设内控专员，日常联络协调部门设在审计部。二级公司也相应设立领导机构、联络协调部门和专门人员。这些机构和人员的职责在《内部控制工作管理办法》中应予以明确。

3.2 制度建设上下呼应联动

企业集团从顶层设计入手构建内控体系框架，建立健全覆盖各业务领域全面有效的内控制度体系。企业集团的制度制定以后，要落实制度的全覆盖，通过督促检查做到“上下贯通”。下属企业根据企业集团的内控要求和制度，结合自身经营实际和企业特点，相应地制定实体性制度和程序性制度。上下级企业之间制度是贯通的而不是矛盾的，是同步的而不是滞后的。下属企业的制度可以比上级企业制度更严格，但不能变宽松。有些制度涉及职工切实利益，应及时提交职代会审议通过。

3.3 企业集团须加强对下属企业的内控检查评价

企业集团应加大对下属企业的内控监督评价力度，促进下属企业内控体系持续优化。如每年督促下属企业以规范流程、消除盲区、有效运行为重点，对内控体系的有效性进行全面自评，客观、真实、准确揭示经营管理中存在的内控缺陷和风险，形成自评报告；每年末围绕重点业务、关键环节和重要岗位，企业集团组织对下属企业内控体系有效性进行测评；加强对海外资产的内控监督评价，将海外项目的重大决策、重大项目安排、大额资金运作以及境外子企业公司治理等纳入内控监督检查评价范围。内控检查评价还应与内审、风险评估、专业条线检查等监督方式联合，及时发现问题、督促整改，同时加大奖惩力度，促进下属企业形成检查整改、持续完善的闭环管理机制。上市公司内部测评报告须向社会公告。

4 完善制度与科技支撑

在经济全球化背景下，科技的发展日新月异，企业运营的监管日益严格，企业已进入了管理制度化、制度流程化、流程网络化、运营透明化的时代。企业的内控监督不能停留在到现场、看账本、查台帐的传统监管模式上，必须建立“制度+科技”的内控新模式。

4.1 加强信息化建设与内控建设的衔接嵌入

企业集团信息化建设过程中，应构建与制度、流程相匹配的信息系统，业务部门、监督部门、信息化建设部门相互协同配合，推动企业“三重一大”、投资和项目管理、财务和资产、物资采购、人力资源、投资海外企业等集团管控信息系统的集成应用，逐步实现内控体系与业务信息系统互联互通、有机融合，构建信息透明、协同高效的一体化管控平台。

4.2 重点将内控授权体系纳入流程化、信息化系统

企业应进一步梳理制度，规范业务系统的审批流程及权限设置，将企业运营过程中的风险管控事项涉及的管理流程、操作规范、管控标准等融入信息系统，确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为，促使各项经营管理决策和执行活动可控制、可追溯、可检查，有效减少人为违规操纵因素，让设置好的网络程序替代人为的自由裁量权。企业应逐步探索利用大数据、云计算、人工智能等技术，实现内控体系实时监测、自动预警、监督评价等在线监管功能，强化内控体系的刚性约束，保障内控体系有效运行。

4.3 加大投入，建设集团上下一体化的信息化系统

信息化建设追求一朵云、一张网、一个平台，做到左右互通、上下兼容、四通八达，使内控监督覆盖面更广、效率更高。在信息化时代，企业需增加信息化投入。如华谊集团十多年来信息化投入过10 亿元，已初步建成了一朵云、一张网、一个平台，覆盖了绝大多数下属企业，也推动了内控体系建设的科技化、高效化。

4.4 内控体系建设要充分地运用信息化

信息化系统建好了，内控工作不去用，就是资源浪费，避而不用，那是规避监督。要建立强制性规定，必须上线的业务若线下操作就要追究责任，特殊情况按规定程序操作方可，这些规定可以保证“制度+科技”内控体系建设落地。如华谊集团规定，一般业务流程都须线上审批，情况特殊的，须经企业内控负责领导签字同意，违反规定的予以追责，这些机制推动了内控体系建设进一步完善。

5 总结

综上所述，企业要可持续发展，必须建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系。企业集团应树立和强化管理制度化、制度流程化、流程信息化、运行透明化的内控理念，正确处理上述四对关系，严格落实各项规章制度，将风险管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的内控体系，为企业实现高质量发展提供有力保障。