基本建设项目的内控机制（集团管控与内部控制体系整合的思路探讨）

作者：企业服务事业群咨询总监李国军

基于中建政研企业管理咨询服务实践，笔者发现国内“集团型”企业在推进集团管控体系建设过程中，往往按照“总部功能定位与集团管控模式”、“组织机构与部门职能设计”、“权责体系设计”、“制度与流程设计”、“子公司核心人员绩效与激励机制设计”等模块进行逻辑展开，完成相关规则设计。另外，基于公司治理需要，“集团型”企业构建内部控制体系的过程中也涉及到“组织机构与部门职能设计”、“权责体系设计”、“制度与流程设计”三个模块，从管理实践看，集团管控体系与内部控制体系各有各的目的，但都有“控”的属性，且都服务于企业战略落地与业务管理，模块重合度高应属正常，同时在体系规划过程中更有必要将两者深度整合、融合。笔者在咨询实践中发现相当多的企业并未理清两者之间的关系，甚至认为，集团管控与内部控制不管是体系层面还是要素层面都应该是各自独立，以至于出现“集团管控制度汇编”与“内部控制制度汇编”并存的这种极端情形，着实给企业经营造成困扰。基于此，笔者就两体系融合进行了一些理论与实践的探讨，希望通过本文跟读者做沟通交流，以资借鉴。

一、浅析集团管控体系建设与运作

什么是“集团管控”？该如何定义？基于广泛的咨询实践，笔者认为“集团管控”应是组织管理的一个子范畴，是指集团型企业的总部或者管理高层，为了实现集团的战略目标，在集团发展壮大过程中，通过对下属企业或部门采用层级的管理控制、资源的协调分配、经营风险控制等策略和手段，使得集团组织架构和业务流程达到最佳运作效率的管理体系。其核心是权力制衡，也是在多层级委托代理关系设计与运作中寻找“自洽”的状态，为集团实现战略意图服务，最终获得企业价值的提升，股东价值的最大化。实践中，梳理集团管控的目的往往是为了解决企业中可能存在的以下问题，具体为：

1、集团化管理模式的选择。在集团集权与分权上，以及对下属企业控制的“度”上难以把握；

2、集团化管理中的平衡。集团资源分配难以在不同企业之间平衡，对下属单位的考核也难以达成平衡；

3、集团战略的贯彻执行。集团战略目标的贯彻执行往往存在相当大的难度，下属企业在短期目标与长期目标之间难以做到与集团同步；集团对外部环境的反应有时并没有下属企业敏感，外部环境变化时，战略调整不及时；

4、集团组织结构与下属企业的职能衔接。集团总部与下属单位的组织机构往往存在不同的形式，集团职能部门与下属企业相关机构对应关系设计混乱，不能有效衔接。

为解决类似上述的集团管控问题，笔者认为需要按照以下模式，展开体系性规划与设计。

落实到具体实践，需要完成如下领域的规划与设计工作，具体为：

1、总部功能定位与集团管控模式设计

基于公司发展战略，结合内外经营环境、现有组织能力评估、以及各分子公司（业务线）战略地位、发展阶段、资源相关度等因素，设定或选择适用的集团管控模式。企业选择管控模式时，（站在集团总部角度）从相对集权到相对分权划分为操作型管控、战略型管控、财务型管控，亦或是一些中间状态，比如介于操作型管控、战略型管控之间的战略操作型管控。不同分子公司（业务线）集团管控模式可能不同，在各分子公司（业务线）管控模式确定基础上，即可归纳、集成梳理、定义集团总部的功能定位。

另外，在明确集团总部功能定位，确立集团总部和分子公司的分工框架时，可能会提出集团总部治理结构优化建议，凡此种种，皆是为了最大限度降低集团决策、运营风险，提高集团整体运营效率。

2、总部组织机构与部门职能设计

在厘清集团总部功能定位基础上，深度结合“集团发展战略、总体功能定位、集团管控需求、公司治理需要、当下核心职能、组织功能扩展”等因素，规划或设置集团总部组织机构，定义部门核心职能，细化设计部门职能。在此过程中，对各分子公司（业务线）需要明确集团总部该管哪些？不该管哪些？

3、对子公司的治理体系设计与母子公司授权体系设计

集团总部功能定位和部门职能明确后，纵向穿透，即可开启子公司层面的治理体系以及母子公司授权体系设计工作。因操作性内容高度交叉，通常“对子公司的治理体系设计”与“母子公司授权体系设计”并行展开，集团总部功能定位厘清也就意味着分子公司的功能定位已经清晰化，在集团总体的组织机构管理原则指导下，基于《公司法》等相关法律法规实施子公司治理体系设计，明确子公司层面 “三（或四）会一层”的设置方案和机构权力、职能、议事规则等。之后，贯通集团总部与分子公司，按照价值链梳理管控链条，实践中常分为两类，即职能线管控和业务线管控，职能线管控主要包括战略、财务、人力资源、计划、预算、绩效、风险管理等方面的管控，业务线管控主要包括研发、供应链、营销和品牌等方面的管控。针对上述各管控链条，定义环节，设计（集团、分子公司）高层、部门、岗位层面的权责关系。

4、制度与流程设计

承接前述按照价值链梳理的管控链条，基于集团管控的需要，梳理各职能管理活动、业务管理活动的环节构成、运作特征、操作细则等，结合各管控链条的权责关系，以制度和（或）流程的方式展开“管控规则”细化设计，输出“制度汇编”、“流程汇编”相关文本。

5、子公司核心人员绩效与激励机制设计

子公司核心人员的绩效评价与激励是集团总部对分子公司管理中最重要的内容，通常采用BSC的结构设定子公司核心人员的绩效评价指标，并结合子公司功能定位、发展阶段、集团内战略地位等因素设计相应的激励机制，以及具体的工作流程和相关制度。

在具体实践，可能会碰到多种情况，比如有些集团型企业是先有子公司后构建集团总部，还有的是先有集团总部后构建子公司，比如是前者，往往需要按照“最小集中化”的原则，审慎推进集团总部建设，切忌大步快上，导致集团总部规模上来了，能力却上不来，资源进一步错配。诸多情况，要因时而异、因地而异，不一而终。

二、浅析内部控制体系建设与运作

内部控制简称“内控”，作为组织能力建设的一个子范畴，产生于美国，1949年美国注册会计师协会审计程序委员会对内部控制首次作出定义,即内部控制包括企业为了保护资产、检查会计数据的准确性和可靠性、提高经营效率、遵循既定的管理方针等所采用的组织工作及各种协调方法和措施。从字面可以看出，此时的内部控制涵盖内部会计控制和内部管理控制。

其后， 1985年，由美国管理会计师协会、美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。1987年，基于该委员会的建议，其赞助机构成立COSO委员会即：美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission)的英文缩写，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》，并于1994年进行了增补。提出内部控制的三大目标和五大要素，具体为：

新世纪之前，国人很少听到“内部控制”一词，其在国内提及率快速上升，直至广为人知，始于安然事件。2001年爆发的安然事件暴露出美国上市公司治理结构和外部监督的缺失，为提高民众对美国金融市场及对政府经济政策的信心，美国国会于2002年出台了”萨班斯法案”，又名“"上市公司会计改革与投资者保护法案"，其主旨是强调公众公司合规经营、规范公司治理、及时批露公司信息、防范大股东侵占小股东等。因其对我国企业提升经营业绩与治理能力具有很强借鉴价值与现实意义，财政部等相关部委积极行动，于2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定印发了《企业内部控制基本规范》，其中，对“内部控制”的定义为：是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

自此，内部控制一词便高频度出现在国内企业经营、投资融资、运营管理等领域。《企业内部控制基本规范》对内部控制的解构可以概括为三个五，即：五个目标、五项原则、五大要素，即：

五个目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

相比于COSO，我国财政部对内部控制目标进行了扩展与创新，增加了“资产安全”、“促进企业实现发展战略”两项。

五项原则：全面性、重要性、制衡性、适应性及成本效益原则。

五大要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。

笔者认为，内部控制是组织能力的一种表达，《企业内部控制基本规范》中五个目标、五项原则、五大要素皆是从不同视角阐释组织能力要求，在具体内部控制体系建设与运作实践中，需要完成如下步骤的相关工作，具体为：

1、组织战略与经营目标解读

内部控制体系建设与运作应服务于组织战略落地和经营目标达成，所以，内部控制体系建设的第一步应从组织战略与经营目标解读开始，通过深入解读，厘清组织战略与经营目标对组织能力（当下、未来）的要求。

2、业务（或职能）体系梳理与活动解析

组织能力建设须与“业务或职能管理”融为一体，脱离“业务或职能管理”谈组织能力是不成立的，也即，只有内部控制体系相关要求与“业务或职能管理”活动充分融合，才能作用于组织能力提升、服务于企业经营目标达成、支撑战略落地。因此，梳理组织的业务（或职能）管理体系是内部控制体系建设与运作的关键步骤，且应覆盖或超过《企业内部控制应用指引》的范围，做到全要素、全过程、全环节，无盲点。在梳理业务（或职能）管理体系过程中，并行开展业务（或职能）管理活动解析，解析业务（或职能）管理活动各环节的5M1E，准确把握业务（或职能）管理活动运作特征和“5M1E组合效应”，这是一项非常基础性的工作，其有效开展将为内部控制要求与“业务或职能管理规则”的充分融合做好铺垫。

3、风险源识别与风险控制矩阵设计

基于组织战略与经营目标解读结果，结合内外经营环境，以及业务（或职能）管理活动解析所确认到的组织能力现状，识别、表述内部控制体系的风险源，实操中通常分为战略风险、财务风险、市场风险、运营风险、法律风险五类，最后输出《风险源库》。进而开展风险评估，针对各风险源，根据风险发生可能性、风险影响程度作出判断，实施风险分层，并基于风险源评价结果，在对全部风险源规划和设计风险应对策略（风险承担、风险规避、风险转移、风险控制）基础上，整合上述信息输出《风险控制矩阵》。

在内部控制体系建设与运作过程中，《风险控制矩阵》是非常有效的管理工具，《风险控制矩阵》就是将经营活动中所涉及的风险和对应的控制措施进行匹配，以发现控制缺陷，规划、设计和监督执行风险管理策略的一种矩阵表格。应用中有狭义与广义之分，狭义上，《风险控制矩阵》是协助管理层研究与财务报告相关的内部控制设计是否科学及执行是否有效的管理工具；广义上，《风险控制矩阵》是协助管理层研究、记录经营风险，规划、设计和监督执行风险管理策略的管理工具。笔者认为，在组织内，对《风险控制矩阵》使用价值认可度的高低，往往是组织管理精细化的直接表征之一。

4、组织机构与部门职能建议

《企业内部控制基本规范》中对组织机构、公司治理提出了很多“内控视角”下的要求，在内部控制体系建设过程中，对公司治理、组织机构设置、机构职能进行优化是大概率事件，特别是“不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制”等内部控制措施的落地，往往需要企业作出组织性、体系性安排，并直接影响机构职能设置，所以，在内部控制体系建设与运作过程中，（必要时）提出组织机构与部门职能优化建议是一种常态。

5、权责体系设计

内部控制措施中最常见、常用的是“授权审批控制”，内部控制体系的“授权审批控制”要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。要求企业编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。要求企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

为此，构建覆盖企业相应管理层级的、支持常态化运营的权责体系是内部控制体系建设的一项核心工作，并应覆盖决策、运营、业务、职能管理等领域。

6、制度与流程设计

内部控制体系建设最终要落实到“规则”上，准确地讲，要落实到“业务（或职能）管理活动的规则”上，内部控制措施所谈的“不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等”，也需要与具体的业务（或职能）管理活动结合，才能输出组织适用的规则。另外，承载组织规则的主要形式是制度与流程，所以，在明晰权责的基础上，整合适用的内部控制措施，针对各业务（或职能）管理活动设计与输出适用的制度与流程是内部控制体系建设的一项基础性工作。

7、内部控制体系规范性文件输出

实践中，基于《企业内部控制基本规范》构建的企业内部控制体系，往往需要结合上市规则、监管要求和自身管理需求，设计和输出《内部控制手册》和《内部控制评价手册》等规范性文件。

三、集团管控与内部控制体系整合构建的系统思考

1、从体系的逻辑内涵看，集团管控与内部控制体系是可以整合的。在人类社会的工商业实践中，为提升价值创造能力，保持经营与运营稳健性，针对工商企业治理出现了各种各样的管理体系，比如：质量管理体系、环境管理体系、目标管理体系、合规管理体系、惩防体系、风险管理体系、社会责任体系等等。这些体系有的是官方推动，有的是民间推动，有的是市场推动，各体系从不同侧面对公司治理提出要求，但最终都落实到组织能力建设上。实践中，我们看到，在提升企业治理能力同时，多体系林立也给企业带来一定的困扰，体系整合的必要性日渐突出。

同样，集团管控与内部控制体系也是如此，两者皆是组织能力建设的一个子范畴，基于管理实践与理论总结，笔者认为，两者在如下几方面的共性特征明显。

1）共同服务于企业战略。在集团管控的定义中，非常明确的指出实现集团公司战略目标是开展“管控规则”安排的最终目的，也即，后续所有涉及管控的规则安排皆是围绕这个初衷；在内部控制体系中，《企业内部控制基本规范》五大目标的最高目标为“促进企业实现发展战略”，也即，前四项是初级目标、中级目标，而保障战略落地才是最终目标。

2）同样基于委托代理理论。集团管控涉及多主体、多层级、多层级主体，授权体系及管控关系设计皆基于委托代理理论；而内部控制体系涉及的常规授权和特别授权，及相关制衡机制设计要求，也是基于委托代理理论，在此维度，两者的实质性内涵一致，目的皆在于“权力制衡”。

3）共同服务于公司治理与组织管理。集团管控属于组织管理范畴，但又与公司治理相互渗透、彼此交融；内部控制体系属于公司治理范畴，但体系设计上，又与组织管理相互融合。两者在与业务活动、管理活动、经济活动深度融合过程中，其未来价值走向将逐步趋同。

2、从企业管理具体实践看，集团管控与内部控制体系是可以整合的。梳理集团管控与内部控制体系建设过程中（可能）涉及的作业模块，如下：

参照上表，企业建立和运作集团管控与内部控制体系时，基于不同定位、追求不同目标，虽然可以按照各自技术路线展开，但其中共性的“组织机构与部门职能设计”、“权责体系设计”、“制度与流程设计”是可以整合起来平行开展的。特别是“权责体系设计”、“制度与流程设计”，更需要与企业各管控链条、各业务（或职能）管理活动进行深度融合，实现“输出一套规则、支撑两个体系”。

四、总结

综上所述，集团管控体系与内部控制体系是可以整合的，实践中也必须予以整合。笔者2018年服务过山东国资委所属某国企LT集团的“双控（管控、内控）体系建设项目”，即是按照上述技术路线展开，并在“组织机构与部门职能设计”、“权责体系设计”、“制度与流程设计”过程中整合展开。在确保集团管控体系、内部控制体系各自完整性的基础上，共性的技术环节合并执行，同时兼顾并满足集团管控体系、内部控制体系的要求。从结果看，在满足集团公司上市对内部控制体系要求的基础上，同时解决了集团总部与9家子公司间的管控关系设计及具体管控规则安排，文本减少了，增强了客户价值感受。

,