论及企业内部控制,业内人士应该都会想到美国的COSO报告和2008年中国财政部等五部委发布的《企业内部控制基本规范》(以下简称《基本规范》),两个内控文件均被认为是对“内部控制”的权威解释,并且一直影响着国内外的企业内控研究和实务工作。虽是权威解释,未必就不存在逻辑缺陷,未必就不存在进一步研究的必要,未必就不存在重新解读和扩展的空间,这是我主持了100多家企业单位内控体系建设咨询项目之后总的体会和判断。
COSO报告对内部控制的定义是:内部控制是一种受企业董事会、管理当局和其他职员的影响,为合理保证实现经营的效果和效率、财务报告的可靠性及符合法律和规章制度三大目标的程序。《基本规范》将内部控制定义为:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。我认为,这些定义或偏离中国企业特别是国有企业实际,或存在内在逻辑缺陷,且至少有四个方面的表现:
COSO的内控定义和内控框架中并未真正明确风险与内控的关系。COSO内控定义及所确立的三个目标理论中没有“风险”概念,给人的错觉是内控似乎与风险无关。五要素的内控框架中虽有“风险评估”,并且在顺序上置于“控制活动”之前,意即风险评估是设计控制活动的前提或依据,但是风险在内控体系中的目标导向作用仍未明确,这或许与COSO版内控框架的定位——财务报告导向——有关。直到2004年COSO风险管理框架的出台,风险对管理和对内控的导向作用才算正式明确下来。按照COSO的解释,内控是风险管理的组成部分,而风险管理又是以风险为导向、针对风险所实施的管理,逻辑上风险也就成了内控的导向因素。
对此我的看法是,COSO的工作还没到位。既然内控只是风险管理的组成部分,且作为“部分”或“子项”的内控先提出“整合框架”,那么作为“整体”或“母项”的风险管理“整体框架”建构时就应当进行一体化的框架或体系的再整合工作,并用新的风险管理与内部控制一体化再整合框架取代之前的内控整合框架。遗憾的是,COSO的风险管理框架整合不彻底,且未用新的整体框架取代内控整合框架,而是两个框架并存。这种做法不免让人生疑:内控与风险管理究竟是包含关系还是平行关系?由此产生的关系混乱导致人们对两者关系的认识分歧。综观学界和实务界,对内控与风险管理的关系的认识至少有四种观点,即内控是风险管理的工具、内控是风险管理的一部分、风险管理是内控的高级阶段、内控包括风险管理等。
我的看法是,如果把内控与风险管理都定义为一种流程或过程,并且都是从管理意义而非审计意义上、从风险导向而非财务报告导向上去定义,内控就是风险管理全流程中由企业内部主体实施的那部分流程,或者说是企业内部的控制主体完成的风险管理,而全部风险管理还包括外部利益主体完成的部分流程,如股东、债权人、政府等参与的企业风险管理流程。而COSO基于美式企业治理制度等因素,把企业的风险管理主体限定为“董事会、管理层和其他员工”(2004年的风险管理定义,未包括股东),这些主体都是企业内部的,且与COSO内控定义限定的主体相同,这或许意味着:第一,COSO的风险管理框架是按照“外部不干预主义、企业的风险由企业自主管理”的逻辑建构的,这个逻辑与美国社会的主流思想具有一致性;第二,当风险管理的主体被限定于企业内部主体且与内控的主体相同时,风险管理与内控在概念意义上就是等价的。
“等价论”显然是对COSO报告的主观推断,但是,对两个框架的对比分析可以在一定程度上印证这个推断。实际上,风险管理的八要素与内控的五要素并不存在实质性差别,甚至可以说是重合或重叠的框架。风险管理的八要素中有四项(内部环境、控制活动、信息与沟通和监控)与内控框架重合,有差别的是与风险相关的四个要素(目标设定、事项识别、风险评估和风险应对),而这四个要素其实都内含在内控框架的“风险评估”要素之中,换句话说,风险管理框架中的这四个要素其实只是内控框架“风险评估”要素具体化分解的结果。如此分析,COSO报告中的风险管理与内部控制在概念层面上其实就是一回事,问题在于,既然是等价的,为何又两套框架并行?可能的解释也许是:内控框架是财务报告导向、满足审计师需要的,而风险管理框架是风险导向、满足管理者需要的。
与COSO内控报告一样,《基本规范》同样没有明确风险的导向作用,五项目标虽隐含风险之意,但也称不上真正确立了风险导向。从我主持企业单位内控体系建设咨询服务的体会看,内控是基于风险评估结果开展的一系列程序,内控流程均是基于风险评估结果来设计和执行的。但是,由于理论上特别是权威性的内控文件里都未准确定位风险与内控的关系,实践中更是难以把握,导致内控流程设计与风险评估脱节。一种常见的做法是内控建设者乃至内控咨询师把难度较大的前置性风险评估予以简化甚至舍弃,或把本应前置性的风险评估改为后置性的风险评估(先设计流程,后对流程节点的风险点进行识别和评估),进而把内控体系建设简单等同于流程优化设计。
把风险评估后置的做法实属常见且貌似合理,内控矩阵看似要素齐备,然而细加思考便可发现,风险评估对流程只是起到补充作用而非导向作用。风险评估关注了流程中细枝末节的具体风险,而决定流程的整体重大风险往往被遗漏。以合同控制为例,几乎所有按照风险评估后置方式设计内控流程的做法,都极其重视合同订立、履行、变更或解除等合同管理各环节存在的哪怕是极小风险点的识别,而对合同管理方式选择(集中还是分散管理)、授权管理模式不当等造成的整体重大风险却视而不见,类似的情形也存在于其他业务领域,且司空见惯、习以为常。内控体系建设中存在的如此重大缺陷,显然与权威内控概念没能准确认识和把握风险对内控的导向作用、割裂内控与风险的关系有关。
需要说明的是,“等价论”是对COSO报告关于美式企业的推断,对中式企业特别是国企并不适用。对国企而言,上级党组织、出资人(国资委)、政府机关等对国企采取的各种监管措施,构成极其强大的外部风险管理力量,其重要性并不弱于内部的风险管理力量。这意味着,国企风险管理是内部和外部两种力量的集合,并不等价于单纯内控意义的风险管理。
COSO内控框架是按照新古典经济学模型构造的,而新古典经济学的核心概念是经济人假说。与西方法治社会的经济人假说逻辑一贯的风险管理,其范围就是合法合规前提下的经济性风险,包括战略风险、市场风险、运营风险和财务风险等。然而中国的国有企业承担的不仅是经济责任,更有政治责任和社会责任,具有政治属性、经济属性和社会属性三重属性,这是研究国企内控概念框架的基本逻辑前提。以此为前提推论,国企内控研究和实践所应关注的风险,应当既有经济风险和合规风险,又有政治风险和社会风险。鉴于中国特殊的国情,这些风险其实也是非国有的私有企业内控所关注的重大整体性风险。若把非经济性的政治风险和社会风险等排除在内控概念框架之外,则内控理论研究就与中国国企的现实相脱节。
以风险容限和风险容量概念为例,这是COSO风险管理框架的两个重要概念。风险容限是相对于目标的实现而言所能接受的偏离程度,风险容量是企业在实现目标过程中所愿意接受的风险程度和数量。二者的差别在于:风险容限是最大程度“能”接受的风险,风险容量是主体“愿意”接受的风险。COSO引入这两个概念,与其所持的经济风险观在逻辑上是一贯的。市场里的企业以经济性风险最小化为立场或设置目标函数,被认为是既与风险报酬理论相悖,又会导致控制程序繁琐、控制成本增大的不当选择。企业确实需要测算出一个合理的风险容限和风险容量,但这两个风险概念对于国有企业并不具有通用性,因为国企对于部分风险(如政治风险和廉洁风险等)是“零容忍”,根本就不存在风险容限和风险容量的问题。
在理解COSO内控定义时,应当关注的又一问题是,三项目标都是针对企业组织设定的,整个目标结构中没有对企业管理者个人与岗位和职务相关责任和风险的考量,这或许与美国企业所根植的美式文化传统有关。美国奉行自由主义文化,个人与组织的关系相对松散,个人命运与企业发展的关联度偏小,谁的责任谁承担,职务性个人腐败的风险和案例也相对较少,这是COSO报告在定义内控和定位内控目标的重要背景。
但是,中国企业特别是国企的情况又有不同。党管国企、党管干部、集体主义文化等一系列国企的特殊元素,决定了国企领导干部个人的利益乃至命运与企业组织紧密关联。以安全事故为例,即使没有直接过错,“领导责任”和“一岗双责”的责任追究制度,等于把企业的风险与管理者个人的风险捆绑一起,这是国企的制度安排。我在为国企提供内控咨询服务的过程中时常听到“企业内控也是管理者规避个人责任和风险的有效工具”这一说法,道理正在于此。
其次,撇开领导责任,仅就管理者个人而言,因特殊的制度安排,与职务相关的个人责任和风险也很大。一方面,从央企到地方国企,频繁发生的国企领导人腐败案件说明国企普遍存在管理者权力过大、约束不力的问题,由此造成的管理者廉洁风险把国企管理者推到了“高危职业”的行列;另一方面,国企领导人员承担“连带责任”。2009年中共中央办公厅和国务院办公厅印发的《国有企业领导人员廉洁从业若干规定》(以下简称《廉洁从业规定》)明确了国有企业领导人员的廉洁从业行为规范,从滥用职权、以权谋私、侵害公共利益、职务消费和作风建设等五大方面向领导人员明确提出了“禁令”。 《廉洁从业规定》第六条规定了国有企业领导人员对“配偶、子女和其他特定关系人”投资入股、从事营利性经营活动等行为所承担的连带责任。企业管理者的这些个人责任和风险,均与所在企业担任的职务有关,因此也被纳入企业的廉洁风险体系,事实上已经被认定是企业风险的重要组成部分。实际上,国企存在两套风险管理与内部控制体系:一套针对业务风险,一套针对廉洁风险。
COSO报告和《基本规范》都用“流程”或“程序”来定义内控,遗憾的是,只是抓住了内控的“形”,蕴含于流程之中的内控的“神”或“魂”则被冷落,有待从理论层面发掘。
内控在形式上表现为一套流程,但是,内控流程的主要功能就是制衡,通过制衡性的流程防控风险,这是内控流程与业务流程的主要不同之处。纯粹业务流程是很简单的,以设备采购为例,仅有申请、付款、选货或购买、运输、入库等环节,足够完成采购业务,这是采购业务流程。显而易见的是,单纯采购业务流程在采购数量、时间、价格、质量、舞弊等方面的风险较大,需要嵌入审核、鉴定、审批、招标、验收等控制程序。此时,控制程序是对业务流程的扩展,这种扩展构造了一系列的制衡机制以达到有效防控采购业务风险的效果,这才是控制程序的精髓。实践中,控制流程通常采用嵌入式的,与业务流程有机整合、一体化运作,两者的界限有时难以把握。以招标为例,可以说是一种控制程序,也可以说是因控制产生的一种业务程序。有鉴于此,实践中便不加区分,将两者合称为业务流程,在编制内控手册时则将其归入内控流程。
也许有人会说,内部控制本身就是从内部牵制发展而来,并且内部牵制至今仍是内部控制的重要机制和方法,在COSO报告和我国企业的内控规范中均是备受重视、在控制活动中占据首要位置的概念,怎么能说制衡受到轻视了呢?这个问题的提出本身就混淆了牵制与制衡两个概念的差别。实际上,制衡与牵制是两个性质不同的概念。按照权威的解释,内部牵制是基于不相容职务发生的,而制衡是因权力集中提出的;牵制通过“分责”(职责分工)实现,制衡通过“分权”(如三权分立)落地;牵制强调“分”(不相容职务分离或职责分工),制衡既强调“分”又重视“合”(如集体决策);牵制只是制衡的方式之一,制衡则有更多的方式。
即使是内部牵制,在内控理论研究中也没得到应有的重视。我曾在《被神化的内部控制与被冷落的内部牵制》(2013)一文中有过这样的描述:时下,在可以检索到的文献中,“内部控制”无疑是出现频率很高的热门词语,“内部牵制”除了在部分涉及内部控制的文献中作为一个历史演进的早期阶段或作为一种基本的控制方法而简单描述外,还很难找到一篇专门研究内部牵制的文献。管理学、会计学、审计学及其他相关专业的博士和硕士毕业论文每年无数,却很难查到针对内部牵制的专门研究文献。“内部牵制”即使没在人间蒸发,至少也被学界打入“冷宫”,取而代之的是“内部控制”。难道说“内部牵制”真的就该退出历史舞台,而取代它的“内部控制”就真的那么神灵?面对现实我们不能不承认,内部牵制和内部制衡问题已被内控学界和实务界严重冷落,内部控制研究和内控体系建设呈现“有形无神”或“重形轻神”状态,制衡机制缺陷成为内控体系设计和运行的最大缺陷。
2002年至今,我已主持设计了100多家企业和行政事业单位的内部控制体系,来自实践的体会和思考是:企业内控是由企业董事会、监事会等各类各层级机构和全体员工共同实施的、有效制衡的规范流程,流程的实施能够为有效防控企业的各种风险及管理者个人与职务关联的风险提供合理保证。国企在国民经济体系中发挥主导作用,最能体现中国特色社会主义经济制度的基本特征,也最能展现中国企业内控体系的特色。现就定义中涉及的内控主体、客体、目标、形式和本质五个方面,结合中国企业特别是国企的现实情况,对内控概念做些新的解析。
关于内控实施主体,COSO内控定义表述为“董事会、经理层和其他员工”,《基本规范》在COSO报告的基础上增加了监事会,这两种解释都不适合国企。国企内控主体至少有七类:
一是企业内部党组织。内控概念一般都不涉及党组织。《宪法》明确提出国有经济是国民经济中的主导力量。《中国共产党国有企业基层组织工作条例(试行)》(以下简称《基层组织条例》)明确规定,正式党员3人以上的国有企业必须设立党的基层组织,基层组织根据党员人数多少分别设立党委(党组)、党总支、党支部委员会和党支部。党的基层组织在企业经营管理中发挥着极其重要的作用,必然成为企业内控主体,具体分三种情形:第一种情形是国企党委(党组),发挥领导作用,把方向、管大局、保落实,依照规定讨论和决定企业重大事项。党委的领导作用主要通过重大决策决定和前置研究讨论两种方式体现。党委决定的事项除党内事项外,很重要的就是按照党管干部原则,对重要干部(一般是中层以上)有决定权。前置研究讨论是指国有企业涉及战略规划、重要改革、资产重组、产权转让、资本运作、大额投资、组织架构设置和调整,重要规章制度的制定和修改,安全生产、维护稳定、职工权益、社会责任等方面的重大经营管理事项,必须经党委(党组)研究讨论后再由董事会或者经理层作出决定。第二种情形是国企党委以外的其他基层组织,应当围绕企业生产经营开展工作。具有人财物重大事项决策权且不设党委的独立法人企业,党支部(党总支)应对企业重大事项进行集体研究把关。第三种情形是私企设立的党组织,应当贯彻党的方针政策,引导和监督企业遵守国家的法律法规,领导工会、共青团等群团组织,团结凝聚职工群众,维护各方的合法权益,促进企业健康发展。尽管国企与非国企、党委与其他形式的党组织在企业的地位和职责不同,但都在企业治理、内控和风险管理中发挥重要作用,都应归入内控主体范畴。
党组织的概念中包括纪检监察机构。国有大中型企业一般都按照《中国共产党章程》《中国共产党党内监督条例(试行)》和《基层组织条例》等要求设立纪检监察机构,对党员领导干部履行职责和行使权力情况进行监督、执纪、问责和监督、调查、处置。纪检监察机构有内设和外派两种类型。2014年开始,中央和地方纪检监察机构向央企和地方国企派驻纪检监察组,对国企切实履行监督职能。派驻纪检监察组是外部监督内部化的一种方式,其功能作用与内设纪检监察机构并无差别,实质上仍是内部监督范畴。
二是股东(会)或出资人。首先,股东与股东会或股东大会不是一个概念。股东会或股东大会是否归入内控主体,中美两国也有差别。COSO报告的内控定义未提股东大会是基于美国的国情,美国公司法强制规定公司必须召开股东大会,但股东大会可以处理哪些事务并无法定规定,股东大会只是为股东就公司账目和报告及一般事项提供质询董事的机会。中国企业的股东大会在性质、地位和功能上都有别于美国,根据我国《公司法》的规定,股东大会是股份有限公司的最高权力机构,公司重大事项(包括经营方针和投资计划、年度财务预算和决算、利润分配和弥补亏损、增加或减少注册资本、发行债券等)都需要其决定或批准,理应纳入内控主体范围,否则那些由股东大会决定或批准的重大事项的内控流程在企业层面都无法闭环。而股东一般被排除在内控主体之外,如同会计通常把股东作为外部信息使用者。对此我的观点是,股东能否成为内控主体不能一概而论。根据股东与企业的关系,可以把股东分成执行股东与非执行股东两类,执行股东是指那些在公司担任董监高的股东,非执行股东是纯粹的股东。非执行股东是企业的外部人,不能纳入内控主体的范围,但是对执行股东而言,本身就是公司的董监高,当属内控主体。其次,股东与出资人也不能等同,尤其是对国有企业而言,国资委被定位是国有资本出资人代表,但不能说是股东代表,国有资本出资人代表——国资委——始终是外部的国企监管主体。
图/全景网
三是董事会。各种内控定义下内控主体无一例外地都包括了董事会,不管董事会的职能或角色是美国式的“看门人”还是中国式的“领航员”。董事会是企业内设的决策机构,而决策又是内控程序的核心程序,董事会自然就是内控主体。
董事会的内控主体地位已无异议,问题是,哪些事项应纳入董事会的决策范围,不同企业的认知和做法各异。《公司法》有关董事会职权的规定是确定董事会决策范围的法律依据,国企除依据《公司法》外,还有“三重一大”集体决策的制度规定。实践中,国企董事会的决策事项范围多数都有突破,被实际纳入董事会决策范围的事项由三部分构成:第一部分是被《公司法》列入董事会决策范围的事项;第二部分是未被《公司法》列入董事会决策范围但属于“三重一大”范围的重大事项,如财务上的中长期金融机构贷款等融资事项、大额资金的使用、大额资产处置和资产损失核销事项等;第三部分是既未被《公司法》列入董事会决策范围也未被列入“三重一大”范围的重要事项,如银行授信、流动资金贷款等。此类事项一般由企业根据自身实际情况自行确定。前两部分不同企业之间差别不大,关键是第三部分,有的企业董事会抓大放小,有的企业董事会的议题较为具体详细。出于职业谨慎和责任规避的考虑,很多国企管理层和领导个人倾向于把更多的事项提交董事会集体决策,使得国有企业董事会的决策范围和内容比非国有企业更加宽泛。我曾为一家区属国有独资集团公司做内控体系建设咨询服务,该公司及所属子公司的董事会例会为每月1次,此外还有临时董事会。提交董事会的议题范围大到战略规划、小到购买厨房用品清单,事无巨细、面面俱到,其宽泛程度令人难以想象。
四是监事会。COSO报告的内控定义未提及监事会,是因为美国企业不设监事会,治理层面的监督职能由董事会承担。《基本规范》根据《公司法》对治理结构的规定,把监事会置于内控概念里,理论上具有合理性。即使监事会代表股东监督企业董事会和经理,在性质上依然属于内部监督的范畴。不过国企情况特殊,监事会有内设和外派两种类型。2000年国务院向国有重点大型企业派驻监事会,代表国家对企业财务及主要负责人员的经营管理业绩进行监督,2003年调整为国资委代管,2018年撤销监事会,相关职责和人员划归审计署。派驻监事会属于外部监督内部化的一种方式,其功能作用与内设监事会并无差别,可以归入企业内控主体的范围。
五是职工代表大会和工会。国有企业实行民主管理制度,民主管理的基本形式是职工代表大会。企业工会是职工代表大会的工作机构,负责职工代表大会的日常工作。与美国企业的情况不同,国企内控主体必须包括职代会和工会。根据相关法律法规规定,国企研究决定企业改制以及经营管理方面的重大问题、涉及职工切身利益的重大事项、制定重要的规章制度,应当听取企业工会的意见,并通过职工代表大会或者其他形式听取职工群众的意见和建议。这意味着职代会或工会也是这些决策流程中必不可少的一环。从实践看,工会经费管理也是企业内控的一项内容。
六是各类机构。COSO报告和《基本规范》涉及的内控主体有机构和员工两类,COSO的机构概念仅仅是董事会,《基本规范》包括董事会和监事会,均属于治理层面的机构。给人的错觉是内控似乎与其他机构(特别是执行层面的机构)无关,实际情况则是内控主体全覆盖企业内部各类各级机构,既包括经营性机构(如子公司、分公司和办事处),又包括非经营性机构;既包括决策性机构(如党委、董事会和总经理办公会),又包括执行性机构(如职能部门及内设机构)和监督性机构(如纪检监察机构、监事会和内审机构);既包括固定性常设机构,又包括临时性机构(如临时设立的评审委员会等)。企业设立的各种专门委员会,不管是董事会下设还是从属于总经理办公会,不管是决策性还是执行性或咨询性,都属于企业内控主体,都在内控流程中发挥着重要作用。
七是全体员工。内控在业务上是全覆盖的,就必然涉及所有机构和全部岗位,即覆盖全员,从董事长到普通员工都在内控流程的一个或多个节点上发挥作用。
关于企业内控的客体或对象,COSO报告和《基本规范》没有明确,学界和实务界的看法主要有两种:其一,认为是全覆盖企业的各类业务,包括经营、财务和管理等领域;其二,认为是企业的人财物及其在经营过程中所形成的一系列组合关系和组合形式。两种看法都需要进一步研究。首先,业务也好,人财物也罢,需要控制是因为存在风险,并且控制的并不是业务或人财物本身,而是由业务或人财物形成的风险。以投资为例,需要控制是因为投资存在风险,如果投资没有风险也就不存在控制问题,因此,需要控制的不是投资而是投资风险。风险是控制客体的观点也可以从实务中企业编制的《内控手册》得到印证。虽然不同企业的《内控手册》中内控矩阵风格和结构各异,但都有按流程识别的风险点,控制程序的设计都是针对每个风险点的,换句话说,《内控手册》展示的正是“风险是控制的对象或内容”。其次,人财物的说法也不确切。现代企业的控制对象远远超出过去习惯上的人财物三要素,信息作为第四要素的地位和作用已经充分显现且更加重要。信息也是有风险的,因此也是控制客体的范围。再次,业务论的提法通常会引导人们关注企业的各类各项业务及其业务流程层面的风险点,而轻视乃至忽视企业整体层面的风险,《内控手册》通常呈现出来的就是“重业务流程风险轻单位整体风险”的结构。
我的体会是,企业内控的客体是企业的风险,包括两大类:一类是企业整体及各类业务引起的风险,包括企业整体风险和业务风险两个层次。撇开新古典经济学的分析范式,国企的整体风险至少应当有外部的环境性风险和内部的经济性风险、政治性风险和社会性风险等若干类型。其中外部的环境性风险主要来自企业外部的政治、经济、社会、生态等因素对企业造成的负面影响。值得注意的是,企业外部和内部的这些整体风险,私有企业也是存在的。另一类是企业管理者个人与职务关联的风险。企业内部管理者(特别是领导人员)与职务相关的个人风险组织化,是国有企业内控与风险管理的一个特点。从现实情况来看,国企存在两套风险控制体系:一套是业务风险控制体系,对应第一类风险;一套是廉洁风险控制体系,对应第二类风险。从《廉洁从业规定》的内容看,与管理者个人与职务关联的风险或廉洁风险主要有五种情形:滥用职权、损害国有资产权益;利用职权谋取私利以及损害本企业利益;配偶、子女及其他特定关系人进行营利性活动;职务消费;作风建设等。
内控对象是风险,内控目标就应当从风险角度思考,回答“控制风险达到什么目的”和“把风险控制到何种水平”两个问题,并且应当从管理者个人风险和企业组织风险两条线展开。
从管理者个人风险这条线上回答这两个问题是很明确的。对国企而言,控制廉洁风险的目的至少有两个:一是保护干部。内控体系建设对防范和规避个人责任和风险而言是必须的。内控的精髓是有效制衡,内控体系建设等于是在企业内部构造一套权力约束体系,这是防控廉洁风险、遏制腐败、廉洁从业的关键举措。制度健全、行为合规、廉洁风险小、运行质量高,企业管理者的责任和风险也小。二是维护员工利益、企业利益、公共利益和国家利益。国家对腐败“零容忍”,因此管理者与职务相关的个人廉洁风险控制的目标水平是风险为零化。
从企业风险这条线展开,关于内控目标的两个问题就需要进一步探讨。
第一个问题“控制风险达到什么目的”,是持续创造价值还是持续生存发展?COSO风险管理整合框架定义为价值创造,也就是为股东创造价值或股东价值最大化,这个目标定位与美国的主流价值观及理论传统在逻辑上是一贯的,但并不适合中国国企。国企是具有经济、政治和社会属性的特殊企业,国企的目标函数与其说是“股东利益”,不如说是“国家利益”。国家利益包括政治利益、经济利益和社会利益等诸多方面,远超经济利益的范畴;且经济利益也不限于通常意义上的“国有资本收益”,即使是国资委,也应该站在国家的立场、立足国家利益来定义“国有资本收益”。国家利益就是人民利益,人民利益在国企中的具体表现形式为“相关者的共同利益”,在微观层面的经济表现形式是“增加值(V+M)最大化”。也就是说,站在国家立场,国企新创造出来的价值(V+M)都是国有资本收益,它是微观利益和宏观利益的经济基础。对国企来说,生存的风险相对较小,风险控制的目的与其说是持续创造价值或国有资本保值增值,不如说是“持续健康发展”。但在这一点上私企有别于国企,近年来多家龙头性的大型民企的债务危机表明生存风险仍是民企最大的现实风险,持续生存仍是民企风险控制的首要目的,民企风险控制的目的应为“持续生存发展”。此为第一层次的目标。
持续健康发展或持续生存发展是总目标,按照影响或构成因素可以将其分解为若干项基本目标,此为第二层次目标,包括但不限于以下三个方面:一是信息质量。COSO内控报告强调财务报告可靠。从风险角度考量,应做两项扩展:从财务报告信息向全部信息扩展和从信息可靠性向信息质量扩展。信息质量包括信息的充分性、真实性、可靠性、相关性、及时性、安全性等。二是组织资源利用。包括硬资源和软资源,其中软资源包括人力资源、市场资源、知识资源、信息资源和管理资源等,内控应当有助于各类资源(包括资产)安全完整、使用有效。COSO报告和《基本规范》所提“经营活动的效率和效果”内含其中。至于为何人们总是习惯把效率与效果两个概念同时嵌入到内控目标仍不得而知,文献也没有可信的、有说服力的解释。我的看法是,这里使用效率一词并不合适。首先,控制与效率是一对矛盾的概念,控制强度越大,效率有可能越低。表述内控目标时适合把相对立的概念置于其中吗?其次,效率与效果并非总是同步。实践中,有效率无效果或高效率低效果的现象常有发生。再次,效率是过程性概念,效果是结果性概念,并列在一起表述内控目标实属不妥。从目标概念考量,体现结果的效果一词优于展示过程的效率概念。把效率概念从目标体系中拿掉,并不意味着效率问题不重要。内控体系运行达到提高运营效果,内控就必须有助于提高效率(不仅是经营效率)。事实上,内控建设的核心问题之一就是平衡控制(或制衡)与效率的关系。内控是一套流程,流程的设计必然考虑效率,优化内控流程包括简化过于繁琐的流程、健全信息化体系等,这些工作的直接效果就是大大提高工作效率。三是守法合规。作为内控的目标之一,合规性比合法性表述更准确,合规包括合法又比合法内容宽泛。合规的“规”字包括五个方面:国家的法律法规、行业规范、单位内部规章制度、社会的诚信道德规范和国际规则。内控体系不仅要维护国家法律法规,更要全方位维护各种相关的规范。基本目标与具体业务风险的控制相联系的具体目标是目标体系的第三层次。限于篇幅,此处不再展开。
第二个问题是“把风险控制到何种水平”。COSO内控整合框架是财务报告导向,对风险的态度是越小越好,也就是“风险最小化”。后来的COSO风险管理整体框架转换了视角和态度,从管理视角把风险态度从“风险最小化”调整为“可接受的风险水平”。但无论是风险最小化还是可接受风险水平,都不适用于中国企业特别是国有企业。换句话说,任何单一的风险水平都不适合作为国有企业的风险控制目标函数。国企的财务报告舞弊风险、政治风险、廉洁风险等,态度应当是“零容忍”;社会风险、合规风险、安全风险等目标函数可确定为风险最小化;战略风险、市场风险、运营风险、财务风险、税收风险等,则可以选择可接受风险水平。
在内控表现形式上,程序、流程和过程这三个概念常出现在内控定义中。严格地说,流程(Process)与程序(Procedure)还是有差别的。程序的汉语意义侧重于事情进行的先后次序。《质量管理体系 基础和术语》对于“程序”的定义是:为进行某项活动或过程所规定的途径。流程的汉语意义侧重于多种活动或过程节点的有序组合,其内涵要比程序丰富。但在日常使用中,流程与程序通常是不分的。流程和程序表达的都是一个过程。
内控在形式上表现为一套规范化的流程。规范化的内控流程至少有四层含义:一是符合国家法律法规。比如国企内控流程中涉及决策环节的,应当符合《公司法》《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》等规定,并按规定落实党委前置研究讨论的程序。二是覆盖流程的全部要素。流程与流程图的要素不同。通常认为,流程的要素包括活动、活动方式、活动承担者和活动间的连接方式四个方面,其实这是流程图的基本要素。流程的要素至少还包括控制点或风险点、控制标准、控制痕迹(信息与传递),这些都应当体现在内控流程的表现形式或载体形式——《内控手册》和《内控制度》——之中。三是有效的流程运作方式。流程运作有手工和信息化两种方式,从实践看,内控流程信息化的趋势明显、做法普遍,很多人寄希望于内控信息化来再造流程、固化流程,提高流程执行力和运作效率。殊不知,信息化崇拜弱化了人们对信息化弊端问题的关注和思考,信息化最大的问题就是为偷懒创造了条件、提供了便利。对此问题将在后续文章中分析说明。四是规范的流程表现形式。内控之“形”是流程,实践中流程的具体表现形式又有《内控手册》和《内控制度》两种。内控咨询偏好做《内控手册》,主要内容是“内控流程图 + 内控矩阵”,其中内控矩阵又内含风险点及其描述、风险等级、风险管理责任、风险管理政策或风险容限、风险应对策略、风险控制措施等要素。《内控手册》简洁明了、形象直观、通俗易懂、便于掌握,颇受用户欢迎,问题是其规范性和权威性不够,通常不被巡视巡察、政府审计和纪检监督时认可为规范化制度,且其流行于以美英为代表的海洋法国家,源自判例法或不成文法传统,中国作为崇尚成文法传统的国家,成文的制度更容易被官方或其他正式场合所接受和认可。有鉴于此,在中国企业和行政事业单位开展内控体系建设,应当确立“制度比手册更重要”的观念,选择“以制度为主、手册为辅、制度与手册并举”的策略。
内控的“形”是流程,内控的“神”或“魂”(即内控的本质)是制衡,内控就是通过流程实现制衡,为有效防控风险提供合理保证。理解内控有三个关键词——流程、制衡和风控。
内控相关文献常常将制衡误读为牵制,其实内部牵制只是内部制衡的一种方式。在内控相关文献中,内部牵制与不相容职务分离或职责分工联系到一起,通过“分岗”或“分责”实现。制衡的方式更多,除分岗和分责外,更重要的是“分权”制衡。“分”(分离或分立等)的方式可以制衡,“合”(合作)的方式同样具有制衡的效果。实践中经常可以看到同一事项由若干部门或个人共同实施完成的做法,比如决策由集体共同决策、合同有会审和会签、采购由两人共同采购、税务稽查要求至少两人同行,还有在国企实行的“三重一大”集体决策制度等,其实都是通过“共同行动”或“合作机制”起到了制衡的效果。合作制衡与分离制衡的侧重点不同:分离制衡是不同的人做不同的事,合作制衡是不同的人做相同的事,都起到制衡的效果。因此,研究制衡问题,合作制衡与分离制衡是同等重要的(李心合,2013)。那么,内控文献为何避而不谈合作制衡呢?这要归结到美国以经济人假设为逻辑前提的内控理论传统。经济人就是不合作的人,经济人是自私的“不道德”的万能人,别人不愿、他也不需要合作。
内控意义上的制衡存在于企业内部的各个组织层级,而不是只存在于“以契约关系”为基础的企业组织层次(谢志华,2009)。相反,以契约关系为基础的组织层次里,如果签约主体不属于内控主体(如非执行股东和政府等),与之相关的制衡也已超出内控意义的制衡范畴。内控意义的制衡仅限于内控主体的制衡,覆盖企业内部的三个组织层级:第一层次的制衡是治理层的制衡,如“三重一大”集体决策、党委前置研究讨论、决策执行监督三权分离、派驻纪检监察组等;第二层次是管理层的制衡,如部门间的管理、经办和监督职能三分离等;第三层次是岗位层的制衡,如会计与出纳、保管与记账分开等。
以上分析的是横向制衡,还有纵向制衡,并且纵向制衡与横向制衡一样是双向的。一方面,上级制衡下级,表现为监督;另一方面,下级也可以制衡上级,如实践中,国企推行的厂务公开、涉及员工利益的重大决策征求员工和职代会意见、民主测评等,都是自下而上反向制衡的常见方式。
内控的核心问题是制衡与效率关系的平衡。为此就需要合理把握制衡强度,避免出现制衡不足和制衡过度。相关的问题将在后续文章中具体分析。
关于内控与公司治理的关系,国内学界存有认识分歧。一般认为,公司治理包括外部治理与内部治理两部分,与内控有关系的只是内部治理。至于是何种关系,大的方面看有交叉论和包含论(内控包括内部治理),具体关系是仁者见仁。
仅就内部治理主体而言,内控的确包括了内部治理。对国企来说,内部治理的主体主要是党委、董事会、监事会、总经理班子、内设纪委或派驻纪检监察组、职代会等,这六类治理主体均包括在国企内控的七类主体之中,但各自的关注点不同:
内控是流程,关注的是内部控制主体之间的关系,主要是权责关系和逻辑关系。其中,权责关系对应内控之“神”,解决如何配置权力(或分权)与如何进行职责分工(或分责),形成有效的制衡关系;逻辑关系对应内控之“形”,解决主体间的活动在流程中的先后顺序和连接方式。
公司内部治理也需要解决内部治理主体间的权责关系,构建有效的约束制衡机制,在这一点上治理与内控存在重叠。但治理还需要解决激励关系,包括股东会对董事的激励和董事会对经理人的激励问题,也就是说,内部治理所需要解决的主体间关系的内容涉及权责利问题,或者说是制衡与激励的问题。
围绕董事会、监事会和总经理班子等内部治理主体,内部治理问题的研究除关注主体间的“关系”外,还关注主体自身,至少有两点:一是主体结构。比如董事会的规模与构成,执行董事和非执行董事、独立董事或外部董事占比等。二是主体运作方式。比如纳入董事会决策的事项范围、董事会会议等。内部治理主体“自身”的问题通常不在内控的关注范围。内控研究一般是把董事会、监事会等视同一个“黑箱”,研究他们在内控流程中应扮演的角色和发挥的作用。
内控与公司治理都是风险导向的,且其起引导方向的最高风险就是企业总体目标实现的风险,也就是发展不能健康持续(国企)或发展乃至生存不可持续(私企)的风险,但是与两者相联系的功能性风险各异。内控的功能性风险已在上文分析,这里仅就治理的功能性风险做个探讨。西方主流的公司治理理论在逻辑上与代理理论具有内在联系,正是基于公司存在股东与经理之间的代理关系(股东单边治理理论)或利益相关者与经理人之间的代理关系(利益相关者多边共同治理理论),并且由于信息不对称等原因存在代理风险或“代理问题”,治理才有存在的必要。公司治理就是针对代理问题或代理风险所做的一系列涉及对经理人进行有效约束和激励的制度安排。
但是,主流的企业代理和治理理论适用于中国的国有企业吗?这无疑又是一个需要探讨和理解的新问题。
© 2024 All rights reserved. 北京转创国际管理咨询有限公司 备案号: 京ICP备19055770号-4
Transverture International Group Co Ltd, Guangdong Branch
地址:广州市天河区天河北路179号尚层国际1601
深圳市福田区深南中路2066号华能大厦
佛山顺德区北滘工业大道云创空间
东莞市大朗镇富丽东路226号松湖世家
梅州市丰顺县留隍镇新兴路881号
长沙市芙蓉区韶山北路139号文化大厦
![_($0PXQFQ7Y(P~4838LJ_]L.png](/upload/image/ann/20240326/20240326729559.png)
欢迎来到本网站,请问有什么可以帮您?
稍后再说 现在咨询