组织架构内部控制设计实务（一）

　　目前，对于组织架构内部控制设计的概念，理论与实务界还没有统一的定义。中天恒3C框架将组织架构内部控制设计定义为：组织架构内部控制设计，是在遵循国家和企业组织架构相关法律法规的基础上，以监管部门制定的内部控制规范及其应用指引为依据，结合企业的组织架构实际情况，用系统控制的技术和方法，构建企业自身组织架构内部控制体系的连续不断的动态过程。简单说，组织架构内部控制设计，是组织架构内部控制建设的首要环节，是构建组织架构内部控制体系的过程。

　　设计范围
　　理论与实务界对于组织架构内部控制设计范围的认识也不统一。美国科索委员会(COSO)内部控制报告把治理结构的核心内容(即，董事会或审计委员会、组织机构、权力和责任分配)都作为独立的控制环境要素。显然，组织结构要素中并不包含治理结构、权力和责任分配。而我国《企业内部控制基本规范》把治理结构和权责分配作为两个独立的内部环境要素。《企业内部控制应用指引第1号——组织架构》(以下简称《一号指引》)界定的组织架构的范围包括了治理结构、内部机构及权责分配的所有内容。在我国内部控制建设实践中，大多数企业是按照COSO内部控制报告中的组织机构、权力和职责分配两个关键要素来建立的。有的把这两个要素合并在一起，称为“组织机构”，有的还把治理结构的内容也包括在内了。
　　中天恒3C框架认为，广义的组织架构应包括治理结构和内部机构两个层面。治理结构，即治理层面的组织架构。它是企业成为可以与外部企业发生各项经济关系的法人所必备的组织基础，具体是指企业根据相关的法律法规，设置不同层次、不同功能的法律实体及其相关的法人治理结构，从而使得企业能够在法律许可的框架下拥有特定权利、履行相应义务，以保障各利益相关方的基本权益。治理结构层面的机构设置，就是董事会、经理、监事会的设置。这个层面的组织架构，通常要按照国家的公司法或者有关的治理规范来设置，企业自身没有很大的自主性。企业所能自主掌握的只是机构的人员组成和人数多少。
　　企业应当根据发展战略、业务需要和控制要求，选择适合本企业的内部组织机构类型。内部职能部门的设置，完全是企业根据自己的业务范围、规模大小和管理水平自主设立的。因此，组织架构内部控制设计范围，按照《一号指引》界定的范围，应该包括界定治理结构、机构设置及权责分配方面所有内容。当然，在内部控制设计实务中，也可以根据企业的实际情况，把治理结构、内部机构及权责分配作为独立内容来进行设计。
　　这里要特别强调是，组织架构内部控制设计绝对不是组织架构(结构)本身的设计，两者不是一回事。企业建立和实施内部控制是在现有机构设置的基础进行，还是从内部控制的视角重新进行组织机构的设置，这是个必须权衡的实际问题。
　　组织结构设计，包括静态的组织结构设计和动态的组织结构设计。其中，静态的组织结构设计是指企业的职权结构、部门结构和规章制度等;动态的组织结构设计则在静态组织结构设计的基础上，进一步包含了组织结构设计完成后运行中的各种问题，如协调、控制、信息联系、激励、绩效评估、人员配备与训练等。一般来说，组织机构设置是长期渐进的过程，每个企业都根据自己的需要确定组织结构。笔者认为，组织机构设置不应该是内部控制设计的事。但绝大多数企业都把组织机构设置作为内部控制的重要内容来设计。
　　中天恒3C框架认为，组织架构设置是企业组织管理的问题，在组织架构设计中要嵌入内部控制的内容，这完全是应当的。当然，组织架构作为实施内部控制的基础，从内部控制的视角关注、完善，甚至重新设置组织架构是必要的，但必须经法定程序批准才能执行。组织架构调整应当充分听取董事、监事、高级管理人员和员工的意见，并按程序进行决策和审批。

　　设计流程
　　组织架构对企业有效构建和实施内部控制是至关重要的，是企业设立具体内部控制制度的前提。组织架构内部控制设计是对组织架构实施有效内部控制首要步骤，是组织架构内部控制实施、评价和审计的基础，直接影响着内部控制体系的整体有效性。企业的组织机构设置决定了内部控制的结构和流程，也就是说，对于一个有效的内部控制企业应该有相适宜的组织。因此，企业在进行组织架构设计时，应该而且必须顾及内部控制的要求，既能够保证组织高效运营，又能适应内部控制环境的需要进行相应的调整和变革。
　　组织架构内部控制设计是个复杂的系统工程，基本流程包括设计准备、设计实施、试行及完善等。中天恒在丰富的内部控制设计实践中总结的描述现状、风险评估、设计控制是内部控制设计的三个关键方面。这三方面是对收集资料和了解情况、现状流程描述、进行风险评估、寻找控制点，确定控制措施、明确控制责任、完善控制证据、编制内部控制文档、设计内部控制手册、制度优化等内部控制设计流程的高度概括，同样适应组织架构内部控制设计。不过，根据组织架构内部控制设计操作需要，在基本流程的基础上，还要有多层次具体的流程，而每个具体流程中需明确工作内容、方法、步骤以及相应的表单等，要突出组织架构内部控制设计的特色。
　　设计组织架构内部控制，要在认真学习领会国家法律法规的基础上，对企业内部组织架构的现状进行仔细梳理，描述组织架构的现状。梳理描述组织架构现状的工作涉及方方面面，包括：
　　1、梳理描述制度文件。梳理描述制度文件，是梳理描述与组织架构有关的内部管理制度及相关文件，重点关注有无组织架构的方面的相关制度及是否完善、是否执行;有无具体可控的操作文件或表单等内容。
　　2、梳理描述现状业务流程。组织架构现行的业务流程到底怎么样，包括哪些环节，是否能有效控制组织架构风险，并将企业组织架构方面的现状业务流程用图表的形式描绘出来。
　　一般来说，组织架构的设立，包括纵向和横向两个方面。横向划分的结果是部门的设立，即部门化;纵向划分的结果是形成不同的管理层次，确定各层次管理人员的职责权限。
　　一般而言，组织架构设计基本的业务流程包括：
　　确定目标。目标是进行组织架构设计的基本出发点，因此，组织架构设计的第一步便是分析企业的内、外影响因素，确定企业的整体目标及具体目标。
　　确定业务内容。按照目标的要求，确定为实现整体目标及具体目标必须进行的业务活动内容，并进行业务流程设计。
　　确定组织架构配备职务人员。根据规模、技术及业务特点等，将业务活动分归适当的单位或部门，形成层次化、部门化的结构，并挑选和配备满足要求的人员。
　　规定职责权限。确定有关部门和人员的职责权限，包括职责的确定、业绩评价标准、奖惩制度等。
　　联成一体。明确各单位、部门或人员间的相互关系及相互间的信息沟通和相互间协调的原则和方法，使组织结构中的部门和人员形成一个能够协调运作，有效实现企业目标的系统。
　　不论组织架构如何设计，相关的组织结构应包括确定权力与责任的关键界区，以及确立恰当的报告途径。企业应建立适合其需要的组织架构，其适当性部分地取决于它的规模和所从事活动的性质。不管采取什么样的结构，企业的组织方式都应该确保有效的内部控制，并采取行动以便实现其目标。
　　3、确定业务流程目录。根据组织架构的实际情况，确定组织架构的业务流程目录。这可为企业构建与实施组织架构内部控制界定边界。企业不同，组织架构的业务流程目录肯定也不一样。就公司制企业来说，公司组织架构是代表公司活动、行使相应职权的自然人或自然人组成的集合体。有限责任公司的组织架构包括股东会、董事会、监事会及高级管理人员，但其设置较股份有限公司灵活，如可依法以执行董事代替董事会，以一至两名监事代替监事会。此外，一人有限责任公司、国有独资公司中的组织架构设置也有不同。
　　本阶段设计工作成果是编制《组织架构内部管理制度或相关文件情况表》、《组织架构流程目录》、《组织架构业务流程图表》等。

　　风险评估
　　组织架构风险评估的基本程序包括五个方面：识别组织架构风险，并进行具体描述;分析组织架构风险，编制组织架构风险分析表;评价组织架构风险，编制组织架构风险评价表;确定组织架构风险应对策略;提出组织架构重大风险解决方案。在实践中，组织架构风险分析及其评价是合在一起进行的，组织架构重大风险解决方案要看企业是否需要，也可在组织架构内部控制设计完成后单独进行。
　　本阶段设计工作成果是编制《组织架构风险及其描述表》、《组织架构整体层面风险清单》、《组织架构风险分析表》、《组织架构风险评价表》、《组织架构风险应对策略表》、《组织架构风险解决方案》等。
　　1、识别并描述风险。评估组织架构风险，首先要把组织架构具体风险识别出来，然后整理出整体层面的风险。组织架构具体风险是多种多样的，因企业的不同而不同。关于组织架构风险，按照《一号指引》要求，在评估组织架构风险时，设计人员至少应当关注下列风险：治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略;内部机构设计不科学 ，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。
　　财政部会计司认为，《一号指引》从治理结构和内部机构两个角度对组织架构设计和运行的主要风险进行了描述。
　　笔者认为，组织架构风险是指组织架构设计与运行中对企业目标实现影响的程度，包括机会和损失两方面的不确定性。
　　组织架构方面的风险是多方面的。笔者认为，就治理结构层面风险点来说，至少包括治理方针、董事会的组成、董事的责任和义务、独立董事、监事会章程、外部监事、审计委员会的独立性等。而从机构设置及权责分配层面的风险点来看，至少包括职责认识、胜任能力、报告关系、员工数量和能力等。
　　笔者认为，组织架构具体风险描述因所识别的风险的不同而不同，将具体组织架构风险与组织架构流程结合是个比较好的做法。按照企业内部控制配套指引的规范要求，中天恒3C框架研究编制了《组织架构风险及其描述表》等模板或工具。
　　2、分析风险。组织架构理风险分析的内容很多，一般应从成因和结果两个方面进行，并编制组织架构风险分析表。