張為民*

（上海華誼集團股份有限公司）

企業(yè)在生存發(fā)展的過程中，必定會面臨各種各樣的風險，如決策管理風險、政策法規(guī)風險、流動性風險、市場風險、安全生產與環(huán)保風險和操作執(zhí)行風險等。如何防范和化解風險，使企業(yè)獲得穩(wěn)定且持續(xù)的發(fā)展一直倍受關注。由于2002 年“安然事件”爆發(fā)美國出臺了《薩班斯-奧克斯利法案》，而國內亦有財政部會同證監(jiān)會、審計署、銀監(jiān)會、保險會制定的《企業(yè)內部控制基本規(guī)范》及《企業(yè)內部控制應用指引》，上海市國有資產監(jiān)督管理委員會（簡稱“國資委”）于2016 年發(fā)布了《關于印發(fā)<關于加快市國資委系統(tǒng)企業(yè)內控體系建設的意見>的通知》（滬國資委評價〔2016〕423 號）等內部控制規(guī)范性文件，這些文件都指出了在風險面前，企業(yè)并不是無能為力的，可以通過建立行之有效的內部控制體系來防控風險。放眼世界，許多國內外知名企業(yè)的管理經驗都顯示內部控制體系建設一直是企業(yè)管理中的重點內容，對企業(yè)做強做優(yōu)做大具有積極的意義。

內部控制，顧名思義是指企業(yè)內部的控制運作，是企業(yè)為保證經營管理活動正常有序、合法合規(guī)的運行，對人、財、物、產、供、銷等方面實行有效監(jiān)管的系列活動。其實質就是規(guī)范化、程序化的管理，以系統(tǒng)的方法設計業(yè)務流程并且事前就全面考慮各種潛在的管理風險從而進行規(guī)避。有效的內部控制可以提高企業(yè)的風險防控能力，而無視或無效的內部控制則會給企業(yè)發(fā)展帶來不利影響，甚至觸犯法律。如沸沸揚揚的“國美內斗”事件曾經一度成為中國證券市場中的新聞焦點，先有大股東黃光裕身陷囹圄，后有黃光裕、陳曉對國美控制權進行激烈爭奪，導致國美企業(yè)管理風險問題全面爆發(fā)，成為了企業(yè)內部控制和風險管理的反面案例，為廣大管理者敲響了警鐘。 內控體系是內部控制在企業(yè)管理工作中實施的載體,猶如神經系統(tǒng),涉及企業(yè)的“五臟六腑”，加強內控體系建設是促進企業(yè)強本固基的重要途徑。筆者在國資系統(tǒng)從事內控管理工作多年，對內控體系建設進行了思考，認為企業(yè)推進內控體系建設必須處理好主體責任和監(jiān)督責任、制度制定和制度執(zhí)行、企業(yè)集團和下屬企業(yè)、完善制度和科技支撐這四對關系。

1 主體責任和監(jiān)督責任

內控體系建設以風險為導向，旨在使企業(yè)實現(xiàn)風險可控、運行合規(guī)、健康成長、做強做大的目標。內控體系建設不是單靠設立一個內控管理部門，配備一些專門搞內控管理的人員就能完成，而是需要企業(yè)各級管理部門和全體員工共同參與的系統(tǒng)工程。正因為內控需要全員參與的特性，所涉及的部門較多，容易造成職責不清、互相推諉、效率低下、缺乏監(jiān)督等后果。因此在體系設計時要充分考慮內部控制的有效性和制衡性，合理分配職責。

1.1 各業(yè)務職能部門須履行主體責任

業(yè)務職能部門在企業(yè)運營中各司其職，負責日常體系的有效運行，同時應承擔內控體系建設的主體責任。業(yè)務職能部門立足本部門的職能要求，分析掌握職能所涉領域的風險，研究防范、控制、規(guī)避、化解風險的措施，制定管控規(guī)劃和流程，實施有效的管控，以確保職能領域順暢運營，為企業(yè)發(fā)展作出應有貢獻。業(yè)務職能部門及其人員應牢固樹立主體責任意識，積極履行主體責任，并承擔失職的責任。

1.2 財務、法務和審計等部門須履行監(jiān)督責任

財務、法務和審計等部門的職責均與流程的合規(guī)性相關，應承擔內控體系建設的監(jiān)督責任。其中，財務和法務部門主要從各自業(yè)務條線的角度實施財務合規(guī)性和法務合規(guī)性監(jiān)督；審計部門則是通過內審、內控評價等方式對企業(yè)內控體系進行全方位再監(jiān)督，揭示風險隱患和內控缺陷，進一步發(fā)揮查錯糾弊作用。根據(jù)上海市國資委內控體系建設文件的精神，內控體系應構筑三道防線，業(yè)務部門為第一道防線，財務、法律部門為第二道防線，審計部門為第三道防線。各部門形成職責明確、環(huán)環(huán)相扣的監(jiān)督模式，有效保障內控體系的運行。

2 制度制定和制度執(zhí)行

沒有規(guī)矩不成方圓，制度是企業(yè)運行的遵循依據(jù)，是企業(yè)健康成長的保障。一個企業(yè)要發(fā)展的好，一定要建立科學的制度，同時要嚴格執(zhí)行，制度的制定和制度的執(zhí)行這一對關系是內控體系建設的根本所在。

2.1 建立全面完善的實體性制度和程序性制度

根據(jù)性質不同，制度可劃分為實體性制度和程序性制度。實體性制度注重綱領性，高屋建瓴地制定規(guī)則，對應當、可以做什么和禁止、不能做什么作出規(guī)定；程序性制度突出操作性，清晰明確地描述操作流程、路徑和方法。在內控制度的設計過程中要充分考慮建立實體性和程序性配套的制度體系，兩者相輔相成，缺一不可。如華誼集團自2017 年起制定了195條制度,其中包括實體性制度和程序性制度，這些制度能幫助企業(yè)規(guī)范、健康地運營。

2.2 科學管理制度的制定

制度的制定不能放任自流，如果沒有科學的管理，企業(yè)的制度建設會出現(xiàn)混亂的局面，如企業(yè)制度與國家法律沖突，不同制度之間相互矛盾，制度過期或滯后，制度定密違規(guī)等等。制度的科學管理一是要明確專門管制度的部門，如華誼集團由法務部門作為管理制度的職能部門，因為制度是企業(yè)的“法”，法務部門管理專業(yè)對口；二是要有管理制度的制度，即對制度制定、公布、修改、作廢、定密、解密等作出規(guī)范要求，以保持制度的合規(guī)性、可行性及科學性。

2.3 加強制度執(zhí)行的監(jiān)督力度，確保制度落實

執(zhí)行是制度生命力的根本所在，也是保障企業(yè)運行的重要手段，沒有強而有力的執(zhí)行，制度將流于形式。因此為了促進制度有效執(zhí)行，企業(yè)應建立一些保障機制。筆者結合實踐經驗，對機制進行列舉。

（1）建立“三級”監(jiān)督檢查機制

業(yè)務部門組織日常操作的規(guī)范性檢查，法律、財務等部門組織針對國家法律和財務法規(guī)的合規(guī)性檢查，審計部門組織內審和內控自評、測評檢查，全面檢查制度執(zhí)行情況。對于檢查中發(fā)現(xiàn)的問題，應相應提出優(yōu)化內控體系，促進管理提升的建議。

（2）建立分級負責整改機制

建立重大問題、重要問題和一般問題的領導分級負責整改機制，重大問題由主要領導牽頭負責整改，重要問題由分管領導牽頭負責整改，一般問題由職能部門領導牽頭負責整改。分級明確并落實整改責任，有利于制度執(zhí)行落實。

（3）建立問題清單銷號機制

對檢查中發(fā)現(xiàn)的問題進行整理并統(tǒng)計，責成責任單位或部門整改，監(jiān)督部門檢查驗收通過后予以銷號，防止問題整改和制度執(zhí)行走過場或屢查屢犯。

（4）建立整改考核機制

對于整改驗收等工作中發(fā)現(xiàn)的無理由拖延整改、整改措施不到位、整改后問題重復發(fā)生等情況，納入企業(yè)有關業(yè)績考核之中，并與薪酬掛鉤。

（5）建立責任追究機制

對因制度執(zhí)行不當造成損失或不良影響的，按規(guī)定及時追究有關人員的責任，視情況運用約談、批評、誡免、經濟處罰、組織處理、紀律法律處分等各種方法進行追責問責，涉嫌違法犯罪的，則應移送監(jiān)察、司法機關處理。

制度的制定和執(zhí)行是內控運行的重要抓手，只有正確處理兩者的關系，才能提升內控的有效性，真正防控風險，保障企業(yè)安全運行。

3 企業(yè)集團和下屬企業(yè)

內控體系建設不能“上熱下冷”或“上冷下熱”，而應做到“上下呼應”、共振聯(lián)動。

3.1 體制建設上下呼應聯(lián)動

企業(yè)集團和下屬公司都應建立領導機構，如華誼集團建立了由總裁任主任、副職任副主任、各職能部門負責人和各二級公司總經理任委員的內控委員會，在審計部設內控秘書，在各職能部門設內控專員，日常聯(lián)絡協(xié)調部門設在審計部。二級公司也相應設立領導機構、聯(lián)絡協(xié)調部門和專門人員。這些機構和人員的職責在《內部控制工作管理辦法》中應予以明確。

3.2 制度建設上下呼應聯(lián)動

企業(yè)集團從頂層設計入手構建內控體系框架，建立健全覆蓋各業(yè)務領域全面有效的內控制度體系。企業(yè)集團的制度制定以后，要落實制度的全覆蓋，通過督促檢查做到“上下貫通”。下屬企業(yè)根據(jù)企業(yè)集團的內控要求和制度，結合自身經營實際和企業(yè)特點，相應地制定實體性制度和程序性制度。上下級企業(yè)之間制度是貫通的而不是矛盾的，是同步的而不是滯后的。下屬企業(yè)的制度可以比上級企業(yè)制度更嚴格，但不能變寬松。有些制度涉及職工切實利益，應及時提交職代會審議通過。

3.3 企業(yè)集團須加強對下屬企業(yè)的內控檢查評價

企業(yè)集團應加大對下屬企業(yè)的內控監(jiān)督評價力度，促進下屬企業(yè)內控體系持續(xù)優(yōu)化。如每年督促下屬企業(yè)以規(guī)范流程、消除盲區(qū)、有效運行為重點，對內控體系的有效性進行全面自評，客觀、真實、準確揭示經營管理中存在的內控缺陷和風險，形成自評報告；每年末圍繞重點業(yè)務、關鍵環(huán)節(jié)和重要崗位，企業(yè)集團組織對下屬企業(yè)內控體系有效性進行測評；加強對海外資產的內控監(jiān)督評價，將海外項目的重大決策、重大項目安排、大額資金運作以及境外子企業(yè)公司治理等納入內控監(jiān)督檢查評價范圍。內控檢查評價還應與內審、風險評估、專業(yè)條線檢查等監(jiān)督方式聯(lián)合，及時發(fā)現(xiàn)問題、督促整改，同時加大獎懲力度，促進下屬企業(yè)形成檢查整改、持續(xù)完善的閉環(huán)管理機制。上市公司內部測評報告須向社會公告。

4 完善制度與科技支撐

在經濟全球化背景下，科技的發(fā)展日新月異，企業(yè)運營的監(jiān)管日益嚴格，企業(yè)已進入了管理制度化、制度流程化、流程網絡化、運營透明化的時代。企業(yè)的內控監(jiān)督不能停留在到現(xiàn)場、看賬本、查臺帳的傳統(tǒng)監(jiān)管模式上，必須建立“制度+科技”的內控新模式。

4.1 加強信息化建設與內控建設的銜接嵌入

企業(yè)集團信息化建設過程中，應構建與制度、流程相匹配的信息系統(tǒng)，業(yè)務部門、監(jiān)督部門、信息化建設部門相互協(xié)同配合，推動企業(yè)“三重一大”、投資和項目管理、財務和資產、物資采購、人力資源、投資海外企業(yè)等集團管控信息系統(tǒng)的集成應用，逐步實現(xiàn)內控體系與業(yè)務信息系統(tǒng)互聯(lián)互通、有機融合，構建信息透明、協(xié)同高效的一體化管控平臺。

4.2 重點將內控授權體系納入流程化、信息化系統(tǒng)

企業(yè)應進一步梳理制度，規(guī)范業(yè)務系統(tǒng)的審批流程及權限設置，將企業(yè)運營過程中的風險管控事項涉及的管理流程、操作規(guī)范、管控標準等融入信息系統(tǒng)，確保自動識別并終止超越權限、逾越程序和審核材料不健全等行為，促使各項經營管理決策和執(zhí)行活動可控制、可追溯、可檢查，有效減少人為違規(guī)操縱因素，讓設置好的網絡程序替代人為的自由裁量權。企業(yè)應逐步探索利用大數(shù)據(jù)、云計算、人工智能等技術，實現(xiàn)內控體系實時監(jiān)測、自動預警、監(jiān)督評價等在線監(jiān)管功能，強化內控體系的剛性約束，保障內控體系有效運行。

4.3 加大投入，建設集團上下一體化的信息化系統(tǒng)

信息化建設追求一朵云、一張網、一個平臺，做到左右互通、上下兼容、四通八達，使內控監(jiān)督覆蓋面更廣、效率更高。在信息化時代，企業(yè)需增加信息化投入。如華誼集團十多年來信息化投入過10 億元，已初步建成了一朵云、一張網、一個平臺，覆蓋了絕大多數(shù)下屬企業(yè)，也推動了內控體系建設的科技化、高效化。

4.4 內控體系建設要充分地運用信息化

信息化系統(tǒng)建好了，內控工作不去用，就是資源浪費，避而不用，那是規(guī)避監(jiān)督。要建立強制性規(guī)定，必須上線的業(yè)務若線下操作就要追究責任，特殊情況按規(guī)定程序操作方可，這些規(guī)定可以保證“制度+科技”內控體系建設落地。如華誼集團規(guī)定，一般業(yè)務流程都須線上審批，情況特殊的，須經企業(yè)內控負責領導簽字同意，違反規(guī)定的予以追責，這些機制推動了內控體系建設進一步完善。

5 總結

綜上所述，企業(yè)要可持續(xù)發(fā)展，必須建立健全以風險管理為導向、合規(guī)管理監(jiān)督為重點，嚴格、規(guī)范、全面、有效的內控體系。企業(yè)集團應樹立和強化管理制度化、制度流程化、流程信息化、運行透明化的內控理念，正確處理上述四對關系，嚴格落實各項規(guī)章制度，將風險管理和合規(guī)管理要求嵌入業(yè)務流程，促使企業(yè)依法合規(guī)開展各項經營活動，實現(xiàn)“強內控、防風險、促合規(guī)”的管控目標，形成全面、全員、全過程、全體系的內控體系，為企業(yè)實現(xiàn)高質量發(fā)展提供有力保障。