企业集团内部控制体系构架构建

王鹏涛

一、序言

近年来，国内外发生了很多起大企业财务造假丑闻以及由于内部和风险管理失效而导致企业经营失败的案例。国际上，有安然、世通、施乐公司、巴林银行事件等；在国内，亚细亚、中航油、银广厦等类似事件不断出现。这些事件的发生，究其原因，无一不存在内部管理失控这一重要诱因。之所以会出现公司破产，企业轰然倒下，均是因为“内部控制不严”而最终功亏一篑。一系列重大事件的发生，促成了内部控制重要性的快速提升，也加快了内部控制理论研究和实践应用的发展进程。

二、集团企业内部控制体系建设动因

1.公司规范治理的要求

从集团企业的形成特点看，它是一个复杂契约关系的集合体，以投资控股为主要形式，集团企业与下属公司以产权关系为纽带而形成了自上而下的母子关系，母子之间在法律上具有相互独立的法人资格。作为相互联系又彼此独立的集团企业，有着共同的经济利益目标，但不可避免地有着各自的发展要求。在市场经济中会面对不同的风险，集团企业、子公司都会有不同的风险态度，那么，集团企业作为不同利益法人组合而成的一个整体团队，由于自身内部利益不一致、信息和权力不对称等问题的客观存在，极易造成内部控制的缺失和脱节，因此，应通过建立健全内部控制体系，加强风险管理，以应对来自各个方面的种种风险。

2.公司战略目标的要求

企业战略的关键在于未来在某一领域内处于有利的核心引领地位。要想实现并长期保持这一优势，企业必须有明确的战略目标。目标需要层层分解，通过各个业务流程来保证实现，而业务流程的有效执行又需要各种切实可行的内控制度作为重要保障。

3.风险系统性的要求

企业在市场经济中生存发展，不可避免地要面对种种系统性风险。如开发新产品会有失败的风险、政府监管方面会有政策变化风险、生产控制上会有员工失误风险、企业融资存在由于无法满足融资条件而失去融资机会的风险，等等。面对各种风险，“预则立，不预则废”，健全有效的内部控制是规避风险减少损失的强力手段。

4.公司健康成长的要求

企业发展一般要经历创建、成长、成熟、衰退等不同时期，每个时期都有一些突出的发展“病症”，创建期的“职责不清，一人独大无人监管”、成长期的“盲目扩张、无序发展”、成熟期的“人浮于事效率低下”等等，这些症状是企业无法回避的，通过建立内部控制管理体系，形成企业“自我免疫机制”，保证各个时期各个级层各类人员都能“做正确的事”，进而保障企业持续健康成长。

三、集团企业内部控制体系构建

1.合法规范、和谐向上的内部控制环境系统

内部控制应当是一种内部行为，加强内部控制的原动力应源自于企业自身，企业外部任何试图影响企业加强内部控制的努力，在不具备企业原动力的情况下，都很难取得较好的效果，因此首先应构建一个良好氛围的内部环境。它涵盖了企业的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境规定了企业的纪律与架构，影响着企业经营管理目标的制定，塑造了企业文化氛围并影响员工的控制意识。

2.科学严肃、积极主动的风险评估预控系统

风险评估预控要求企业及时识别、科学分析经营活动中的相关风险，准确采取风险应对策略，主要包括目标设定、风险识别和风险应对三个重要环节。整个评估预控系统具有前瞻性和防范性，对集团的生产经营活动进行分析、推断、预测、评价，系统分析集团企业可能面临的各种风险，风险对企业的威胁程度和集团自身的承受能力，最终提请决策者警惕风险，并制定配套的措施，进而通过预先设立的控制方案将风险可能造成的危害和影响降低到最小或消除。

3.岗位清晰、权责分明的控制措施系统

企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受范围之内，是实施内部控制的具体方式。常见的控制措施包括不相容职务分离、授权审批、会计系统、财产保护、全面预算、运营活动分析等。在日常过程中可通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，提高风险质量与效率。

4.准确完整、快速及时的信息沟通系统

信息是决策的基础，沟通是传达的过程，是正确决策的前提。风险管理活动产生在了各个层次上的风险信息，其必须以一定的形式和框架进行交流，以使员工、管理层、决策层、监督层都能及时掌握有效的信息，利于各自做出正确决策。目前，信息质量不高、时效性差、传递手段落后、沟通不畅等问题广泛存在，特别是集团企业，容易形成多级的管理层次，进而影响信息传递的效率和质量，使最终到达集团高层的信息大打折扣。因此，要想及时获取各类有效信息，应加快信息技术建设步伐，充分利用互联网等高科技手段，建立信息高速通道，提高集团信息传递速度、共享度和透明度。同时，对一些特殊信息，还需要通过建立公示或举报制度，通过专人、专线、邮件等形式，及时进行信息的告知和收集，以促进集团舞弊风险防范的建设。

5.内外结合、重点突出的监督防控系统

内部监督主要对企业内部控制建立与实施情况进行监督检查，对发现的内部控制缺陷及时加以改进。监督系统可以对集团企业各层次、各环节的日常活动进行全面系统地监督和控制，便于内部控制随时根据新情况做出相应调整。集团企业应通过内部专业部门或工作小组，必要时可聘请外部专家，形成一套日常监督机制和专项监督方案，一方面，跟踪已识别的风险，关注风险发生的条件和可能发生的后果，提出风险警示与应对；另一方面，根据风险变化情况及时调整应对措施，特别要高度关注“管理失效”的情况，将所有管理失效的情况报告给适当的管理层，以保证公司能够在最短时间内纠正改进失效措施，减少风险影响程度。

四、集团企业内部控制体系框架

图1：企业内部控制整体框架

内部控制五类目标和风险管理五大要素相互影响并相互交融，它们直接决定企业内部控制是否发挥了作用以及作用的影响度，进而表明企业管理是否存在重大缺陷，以助于企业有针对性采取风险应对措施，达到预期管理目的。图1中，左边是主体单元，中间是内部控制风险管理要素，右边是内部控制目标。风险管理五要素都是为内控五个目标服务的；企业的各个层次都要实现同样的五个目标；每个层次都必须从五个方面进行风险管理。当然风险管理五个构成要素并不一定要有严格的顺序，而是一个多向、反复、交叉的过程，在整体过程中每个构成要素都有可能影响其他要素。

[1]中国成本研究会编、《企业内部控制原理、经验与操作》、中国财政经济出版社.

[2]潘晓梅.陈萍编、《基于风险管理的企业内部控制框架构建》、经济科学出版社2010年.

[3]企业内部控制编审委员会编、《企业内部控制配套指引解读与案例分析》、立信会计出版社、2010年.