浅谈如何构建集团内部控制体系-

1、浅谈如何构建集团内部控制体系陈国钢(北京,中国中化集团公司,100045摘要:本文首先从2004年的COSO报告中引申出企业内部控制的实质就是要通过一系列机制来控制“不同人的行为”可能带来的风险,从而保证企业风险的可知、可控和可承受,其次通过代理、契约、博弈理论分析得出集团内部控制体系的构建思路,再次通过中化集团(SINOCHEM以全面预算管理为核心、“点线面”相结合的内控体系的构建实践来验证这些思路。关键词:内部控制 风险 预算 委托-代理一、从COSO最新报告中认识内部控制的含义与实质考察历史,内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部

2、控制结构、内部控制整体框架四个理论阶段(储稀梁,2004。国际著名的美国COSO委员会(Committee of Sponsoring Organizations of the Treaday Commission 1992年发布并于1994年修订的内部控制-整体框架(internal control-integrated framework中,对内部控制进行了定义:“内部控制是由企业董事会、管理层和其他员工实施的,为经营的效率效果、财务报告的可靠性、相关法律法规的遵循等目标的实现而提供合理保证的过程”。控制环境、风险评估、控制活动、信息与沟通、监督五大要素共同构成内部控制框架。尽管1992年

3、的COSO报告标志着内部控制理论和实践进入了整体框架的新阶段,但理论界和实务界还是认为该内部控制框架在实际运用过程存在有一定的局限性,表现在:对风险强调不够,使得内部控制无法与企业的风险管理紧密结合。2004年10月,美国COSO委员会根据理论和实务的发展,又颁布了一个概念全新的COSO报告,即企业风险管理-总体框架(Enterprise Risk Management, 简称ERM。ERM框架把内部控制从“过程观”提升到了“风险观”,将内部控制纳入风险管理,成为企业经营管理过程的重要组成部分。ERM框架新增加了一个观念(“风险组合观”、一个目标(“战略目标”,同时引入了“风险偏好”和“风险容

4、忍度”的概念,并将原五大要素进行深化和拓展,新增“目标制定”、“事项识别”和“风险反应”三大要素,将原有五大要素中的风险评估这一要素,发展成为目标制定、事项识别、风险评估和风险反应四个因素,共同组成了风险管理的预警、判定和防范的完整系统。ERM框架最大的变化,就是将企业内部控制改为企业风险管理,高度突出了风险管理的重要性,这给我们在实务中认识内部控制的含义和本质带来了新的启示。企业内部控制的对象是风险,但对于风险,我们应该辩证地来认识,在复杂的市场经济环境下,企业不可能生活在远离风险的真空地带,只要经营,就必然面临风险,而风险在一定意义上也意味着机遇的存在,可以说,企业是在风险状态下运作,企业

5、经营的实质就是在诸多风险的处理中规避不利因素、争取有利因素的过程,没有风险就可能没有收益。因此,企业的内部控制,其目的不在于彻底地清除风险(实际上这也不可能达到,而在于将企业面临的风险控制在可知、可控和可承受的范围之内,这“三可”是企业风险管理的现实目标,“可知”表示企业对出现的风险能迅速识别,“可控”表示企业能迅速地应对和控制风险,“可承受”表示预期的风险损失能控制在企业合理的承受范围之内,达到了这“三可”,意味着企业的内部控制发挥了实质作用。在研究风险的同时,还应该看到影响风险的深层次因素-“人的行为”。企业面临的风险, 272无论是可控风险,还是不可控风险,均和人的行为密切相关,战略风险

6、、经营风险、财务风险、投资风险等对企业而言,是可控风险,均是由于人的行为直接产生,人的因素至关重要 ,而类似自然灾害、政策风险、国家风险及市场风险等对于企业而言,虽是不可控风险,不是由人的行为直接产生,但也需要通过人的行为来对风险进行识别和处理,也和人的行为密切相关。因此,人的行为在较大程度上决定了风险的形成和处理。而人对自身利益的追求,及对风险的意识和态度又决定了人的行为,在风险意识上,有些人比较关注风险,而有些人忽视风险,同时,在对待风险的态度上,不同的人可能分别采取冒险、中立或厌恶的态度,这样在自身利益的驱使下,不同的风险意识和不同的风险态度决定了人的不同行为,从而使企业面临不同的风险。

7、企业是由不同的人构成的团体,这些人分别承担着不同的分工和角色。这些不同个体的行为导致了企业风险形成和处理的不确定性,如果没有一个机制的制约,将无法保证企业风险的“可知、可控、可承受”。因此,从这个意义出发,我们可以说,企业内部控制的实质就是要通过一系列机制来控制“不同人的行为”可能带来的风险,从而保证企业风险的可知、可控和可承受。二、从代理、契约、博弈理论来分析集团内部控制体系的构建思路内部控制的实质在于控制“人的行为”,对于一个大型企业集团而言,站在集团本部的角度,关键在于控制各经营单位的风险,因此,集团构建内部控制体系的重点在于控制各经营单位管理层行为带来的风险。我们可以从以下几种理论中,

8、分析管理层行为,从中寻求构建集团内部控制体系的基本思路。1、代理理论分析“代理人说”产生于20世纪70年代初,它是建立在原有经济学原理、信息论和组织学的基础上,从委托-代理关系这一角度来研究企业同外部,以及企业内部之间关系的理论。即委托人的利益是受代理人的行为直接影响,而代理人行为又是受自身利益左右。代理人的自身利益包括物质上的利益和精神上的满足以及对工作的负担程度。一般来说,委托人总是要求代理人以最大的努力去工作,承担尽可能多的风险,为委托人创造更多的利益。然而从代理人的角度看,代理人总是希望尽可能在物质上或精神上多得到报酬,尽可能少负责任、少冒风险、增加闲暇时间。因此,在委托人与代理人之间

9、就不可避免地发生利益上的冲突。在企业里,这种冲突主要表现在代理人的“道德风险”(moral hazard和“逆向选择”(adverse selection两种行为上,而产生这两种行为的主要原因在于委托人与代理人之间存在信息的不平衡,同时,委托人又没有合理地激励代理人,促使其朝着有利于委托人利益的方向努力。代理理论认为,要预防代理人的“道德风险”和“逆向选择”。首先必须加强信息的反馈系统,使委托人能够及时准确地了解代理人的行为及产出结果,比如委托人就要派审计员到企业经常了解情况,但这要花费一定成本,而且还不能保证信息结构的完全平衡。因此,委托人可以同代理人签订具有激励性和约束性的契约,共担风险,

10、共享利益,以此约束代理人的“道德风险”与“逆向选择”,使双方利益达到最优化。2、契约理论分析根据契约理论,现代企业是通过一系列契约关系将不同生产要素和利益集团组织在一起、进行生产经营活动的一种组织形式,是一个“契约关系”的集合。在这一契约关系集合中,企业的资本所有者(股东和企业的经营者通过某种契约联系在一起,而且需要有一系列的制度安排来维持契约的有效性,从而保证企业作为经济组织的整体效率(E. Fama, 1980。内部控制是内部契约的体现,是在给定条件下,有限理性经济人(Simon,1950追求效率和利益最大化的结果3、博弈理论分析从博弈理论分析,内部控制的设计、实施和修订是一个博弈过程,博

11、弈各方追求自身利益最273大化。经营者和所有者博弈,所有者建立和完善内部控制制度,来约束和激励经营者,以降低经营者报酬逆向调整的风险,经营者在内部控制制度的框架下,尽量争取自身利益,让所有者充分了解其努力程度。博弈的结果是正式的内控制度,这个内控制度在双方利益最优化的情况下保持稳定,否则将损害某一方的利益。在现代企业集团中,集团公司和经营单位管理层之间就是一种委托代理关系,由于委托人和代理人具有不同的利益目标,代理人具有机会主义倾向,作为委托人的集团公司就必须在与代理人的博弈中,明确契约关系,来监控代理人(经营单位管理层的行为,以保证双方利益的最优化。从上述理论中,我们可以得到启示,在企业集团

12、构建内控体系框架时,有三个关键点应予以贯彻和体现:1、建立集团公司和经营单位间合理的契约关系,明确双方的权利及义务。作为委托人的集团公司,在向经营单位提供资源保障的同时,应得到经营单位的投资回报;作为代理人的经营单位管理层可获得相应的报酬和奖励,但同时也必须严格执行集团相关规定,完成集团公司布置的经营任务。通过明确而且能保证双方利益最优化的契约关系,使得代理人清晰地意识到如何努力,才能在集团公司限定的范围内使自身利益最大化。2、建立有效的激励约束机制,来保证代理人按契约关系努力工作。一方面要“开正道”,正向激励代理人为委托人利益尽职尽责;另一方面,要“堵邪路”,采取各种有效的监控措施来吓阻代理

13、人违规,让代理人意识到如果不遵守契约关系,将得不偿失,从而预防经营单位管理层的“道德风险”和“逆向选择”。3、确保信息传递渠道畅通,尽量降低信息不对称的风险。以此为支撑来保障内控机制,降低系统风险,保护委托人利益。作为中国中化集团公司(以下简称中化公司的总会计师,笔者愿意结合中化公司内部控制体系构建的实践,就如何构建集团内部控制体系进行探讨。三、中化公司构建集团内部控制体系的背景中化公司成立于1950年(前身为中国化工进出口总公司,是新中国第一家专业外贸公司。目前公司是国资委直接管理的177家中央企业之一,是中国国有重要骨干企业。中化公司是有限多元化的集团公司,在贸易、生产、金融、房产、仓储等

14、领域实施全球化运作。公司曾先后15次入围财富全球500强企业排名,在2004年发布的排行榜中列第270位。1998年,受亚洲金融危机和广国投事件的影响,中化公司的信用额度突然大幅下降,一时出现支付危机。最终,在国家有关当局的协调下,中化公司渡过了此次危机。事后公司就支付危机产生的根源,在公司内部展开了一场大讨论,主要形成两种对立的说法:一是认为由于银行嫌贫爱富,外部环境恶化所致;二是认为外部环境只是诱因,公司内部控制的混乱导致资金链断裂则是危机产生的内因。公司通过讨论和自查,发现原有的内部控制存在制度性缺陷,这主要体现在几个方面:(1公司治理结构存在问题,集团公司未规范经营单位的权责利在原有管

15、理框架下,纵向多级法人众多,权、责、利不对称,导致各经营单位权利过大,其业务运作、财务管理、资源分配均自行其事,每个法人单位都有投资权,直接后果就是“乱放帐、乱担保、乱投资”三乱现象比比皆是,损失巨大。(2系统资源分散,集团公司缺乏有效的管控和激励手段274包括资金、人力在内的系统资源,在原有治理结构情况下很难实现集中统一。资金方面,各级法人均拥有融资权,资金占用与产出回报不挂钩,现金管理不集中,普遍存在部分单位大量存款闲置的同时却有其它单位大量从银行贷款、多头对外融资等不合理现象。在人力方面,公司没有严格实施以绩效为核心的员工优化制度,未真正建立淘汰机制,缺乏有效的激励约束机制。(3管控技术

16、手段落后,缺乏信息沟通机制信息方面,会计核算标准不一,手段落后,出现会计信息滞后失真、帐面资产泡沫过大等现象,不能为公司决策提供准确依据;技术手段方面,虽有网络建设,但各数据库没有实现联网,信息无法共享,也无法实现交叉稽核、查错纠弊。正是由于上述制度性的问题,使得经营单位管理层的行为无法得到有效监控,直接导致公司资产状况严重恶化,大量资金损失或被沉淀到不良资产上,资产失去了流动性,最后导致支付危机,因此,公司内部控制混乱才是危机产生的真正根源,外部环境的恶化只是导火索和助燃剂。基于对支付危机中暴露问题的深入分析,中化公司清醒地意识到:在复杂的市场环境下,要真正防范经营风险,实现市场化的艰难蜕变

17、,公司别无选择,必须主动、积极地推进内控体系的建设。四、中化公司构建内控体系的具体做法针对原有体系的制度性缺陷,中化公司从1999年起开始推进内控体系建设。几年来,通过不断的摸索,目前,公司已逐步建成一套以全面预算管理为核心,贯穿事前防范、事中控制、事后评价的“点线面”内部控制体系,从多方面、多角度对企业风险进行监控,从而有效保证了企业的经营安全和资产安全。(一构建以全面预算管理为核心、“点线面”相结合的内控体系所谓“点”,指风险控制对象,包括客户信用风险、市场风险和员工道德风险等风险点;所谓“线”,指风险控制流程,前中后台分立制衡,依托ERP运营,对包括事前、事中、事后的经营全流程进行风险控

18、制;所谓“面”,指风险控制协同机制,建立包括财务、风险、内审多个职能参与、信息共享、综合治理、全方位、多角度的风险控制协同机制。在“点线面”相结合的内控体系中,全面预算管理是核心,这体现在以下两方面:1、推行事前、事中、事后的预算管理程序(1事前管理(预算制定:各经营单位每年滚动修订战略规划,并把规划头一年的具体措施细化为可操作的年度经营计划,进而数字化,形成财务预算。每年,集团要对各经营单位的战略规划、经营计划及财务预算进行严格质询,纠正偏差。在这种机制下,财务预算不再是拍脑袋的预算,而是实实在在由经营者谋划、有战略规划和经营计划做依托、反映股东的意志的预算。这种目标管理模式明确了集团公司和

19、经营单位的权责利,规定了企业经营的方向,划清了企业经营界限,杜绝了经营单位管理层偏离主业、机会主义、盲目经营的问题。(2事中管理(预算监控:集团每月汇总各经营单位业绩,分析经营计划和财务预算实施差异的原因,查找存在的问题,及时向集团领导汇报;每季度召开绩效评价会议,点评各单位业绩,提醒注意问题,要求改进;公司每半年召集关键岗位人员开会评价业绩和问题、提出改进要求。不间断的过程管理和分析评价,编织了风险预警网,有效提高了风险预警和快速反应能力,为及早发现风险、及时控制风险、化解风险奠定了良好的基础。(3事后管理(绩效评价:集团建立并完善了有中化特色的绩效评价体系,通过制定平衡记分卡,从上至下逐级

20、考核,形成了“金字塔”式的绩效管理责任链。通过绩效评价,促进企业275经营者时刻保持清醒头脑,查差距,找原因,在后续的经营中予以改进,追求业绩健康、快速、可持续成长。2、实行涵盖多方面内容的全面预算指标体系预算指标从范围上跨越单纯的财务指标,涵盖战略管理、风险管理、资金管理、薪酬管理等多个方面,既包括供应商和客户结构优化等反映战略导向的年度经营计划量化指标,也包括销售收入、利润、资产回报率等反映经营成果的传统财务指标,也包括应收、库存、风险控制额度等反映经营质量和风险承受度的过程控制指标,还包括资金、薪酬等资源配置指标,体现了强调价值创造、风险可控、资源优化配置、全方位内部控制的特点。在推进全

21、面预算管理的同时,集团公司还加强相应的激励约束机制,重点体现在以下几方面:1、风险管理。中化公司制订全集团统一的风险管理政策,并对各经营单位的风险职能进行垂直领导。这在体制上保证了前台(业务、中台(风险管理和后台(财务的相互制约,实现了事前防范、事中控制和事后处理的有机结合。公司的风险管理工作以客户资信管理和存货风险市场监控作为管理重点,建章立制,建立了较为科学的客户资信评估模型和存货监控体系,并对全系统客户和重点库存进行集中管理。同时,通过业务流程优化工作,使风险管理从业务的事前,到事中和事后真正形成闭环,保证企业的健康经营。2、资金管理。中化公司实行资金集中管理,一方面集中融资权,取消经营

22、单位对外融资权和担保权,由集团公司直接对外融资,防范了乱贷款和乱担保,更重要的是,通过资金集中,加强了对各单位业务运行的监控;另一方面,突出集团公司资源配置功能,集团公司按照投入产出原则和收益风险匹配原则核定各单位资金预算,并跟踪资金流向和占用状况,严格审核超预算资金配置,使资金配置向核心经营能力强,投入产出水平高、成长性高的企业倾斜。3、审计稽核。中化公司建立相对独立的内审体系,审计稽核独立于被审计单位,只对集团公司负责,而且独立于集团公司其他职能部门和被审计单位的主管公司领导,只对总裁负责。在强化内审独立性的同时,审计方法、对象及范围也进行转变,在方法上由原来的传统财务收支审计转变为风险导

23、向型审计;审计对象上由以报表帐目为主转变为以内部控制系统为中心,加强了对重点企业、重点业务、重点问题的审计;审计范围由常规财务审计、离任经济责任审计、专项调查转变为逐步涉及多方面的内部控制审计,重视制度建设,评估风险,促进管理。(二、从组织、制度、信息和人力等方面为内控体系建立完备的保障机制为保障 “点线面”内控体系的有效运作,中化公司还进行了大刀阔斧的改革,采取了强有力的保障措施:1、组织保障:变革经营、财务管理体制在经营体制上,公司大力集中资源,实行大商品中心一体化经营。彻底解决以前横向盲目多元扩张,纵向多级法人林立的经营体制。经营中心对集团公司负责,接受集团的业绩考核和统一管理,同时,经

24、营中心对所属子公司实施战略、预算、资金、评价、人力资源、风险管控等全权管理。但包括战略管理、关键岗位人力资源配置、重要经营资源统筹安排、投资决策和资产交易在内的四大核心权利上收,集中在集团公司。在财务管理体制上,中化公司借鉴国际跨国公司的先进经验,改革财务管理体制,分拆成立会计管理部、资金管理部、分析评价部和财务综合部,由过去集团总部财会处只单纯管理总部核算、资金事项以及简单汇总分析全系统经营成果的财务管理体制向“三统一,一体系”的财务管理模式转变,即实行资金管理统一,会计核算统一和财务人员管理统一,并建立科学的预算管理和绩效评价体系。财务人员由集团垂直领导,财务总监(经理由集团委派、任命,实

25、行统一考276第五届会计与财务问题国际研讨会当代管理会计新发展 2005 年 7 月 9 日-10 日 核、统一薪酬，强化职业教育，割断财务人员与所在经营单位的利益瓜葛，减少了财务人员的职 业道德风险。 2、制度保障：健全各项内部管理制度，并强化执行 随着内控体系建设的深入，公司对内部控制有关的规章制度进行了修订，健全客户资信管理、 逾期应收款管理、期货套期保值管理、资金集中管理、财务预算管理、绩效评价管理、审计稽核 等多项内部控制制度，实现了管理约束机制的规范化。同时，公司通过审计稽核、绩效评价等多 种手段加强监控，保证内控制度的执行。 3、信息保障：推进会计信息统一，实施 ERP，搭建先进

26、的信息化平台 公司在全集团范围内统一会计科目体系和会计核算标准，执行统一的财务会计管理规范，保 证了会计信息的真实、完整和及时，为集团公司决策提供准确的基础信息。同时，中化公司在国 有外贸公司中率先引入 ERP，并分步实施，目前已完成 ERP 对主要经营单位的覆盖。另外，公司大 力建设遍布全集团的企业网，实现远程财务信息监控，增加了业务操作的透明度，使保护公司经 营资源成为可能，极大地改善了信息不对称的情况。 4、人力保障：改革人力资源管理体系，建立有效的奖惩机制 公司在人力资源管理体系方面实施了一系列改革，包括：取消行政级别，优化用人机制，关 键岗位人员竞争、择优上岗，能上能下，实施以岗位为

27、基础的薪酬制度改革，薪酬与年度工作业 绩挂钩等。同时，加大惩处力度，对违规事件严格惩处，视情节轻重，分别予以责任人行政处分 或行政处理，对给公司造成经济损失者，实施经济处罚，对涉嫌触犯法律者，移交司法机关追究 法律责任。 （三）中化公司内部控制体系建设取得良好成效 中化公司内控体系的建设有效保证了企业的经营安全和资产安全，促进了经营业绩的全面提 升，有力地支持了公司市场化战略的推进。99 年以来，公司销售收入平均增长 13，净利润平均 增长 23%，同时公司新增逾期拖欠款大幅下降，经营质量和经营现金流明显改善。而且，由于良好 的内部控制体系，中化公司在银行界享有较高的信誉，银行给予的资金额度显

28、著提高，且享受了 较低的融资成本。对此，2003 年国资委也给予较高评价，认为中化公司的内控体系建设，极大地 支持业务发展，对中化公司取得的成绩给予了充分肯定。 五、小结 中化公司内控体系建设取得良好成效，关键在于切实地贯彻了前面所述的构建集团内控体系 的三个关键点： （1）通过科学的预算机制建立了合理的集团公司和经营单位的契约关系，保证双方利益的最 优化； （2）通过资金、风险、审计、奖惩等多方面手段，从事前、事中、事后等全流程建立激励约 束机制，促进经营单位努力完成预算； （3）通过统一会计语言、实施 ERP、组织结构改革，保证信息沟通，减少信息传播程序。 这些制度的实施从根本上防止“人”

29、特别是经营单位管理层的行为带来的风险，使集团的风 险可知、可控、可承受。当然，这个内控体系是“金字塔”式的管控体系，逐级下延，各经营单 位也按此对下级经营单元进行内控，从而保证整个集团公司整体内控的顺利运转。 当然，不同企业由于不同的业务和经营行为，其内控体系可能会有所区别，但对于集团公司 内控体系而言，这三个关键点应该要认真遵循，这是保证集团内控体系良好运作的关键。 277 第五届会计与财务问题国际研讨会当代管理会计新发展 2005 年 7 月 9 日-10 日 参考文献: 1、 2、 3、 4、 5、 6、 7、 陈国钢.1990.论代理人说与我国国有企业管理体制的改革.3. 中国经济问题 金彧昉 李若山 徐明磊 .2005.COSO 报告下的内部控制新发展从中航油事 业风险管理.2.会计研究.3238 件看企 储稀梁.2004.COSO 内部控制整体框架：背景、内容、理论贡献与