第二节 组织架构
内部控制与风险管理涉及企业管理的方方面面,内部环境是其他内部控制要素的基础,而组织架构又是内部环境建设的核心,建立和完善组织架构有助于防范与化解各类舞弊风险,强化企业内部控制建设。现代企业制度的核心是组织架构问题,在企业的每一个发展阶段,不管是新建、重组改制还是稳定持续的经营,要想实现其发展战略、促进可持续发展,都应关注组织架构的建设问题,不断健全公司法人治理结构、持续优化内部机构设置,为优化内部环境、实现内部控制与风险管理的目标奠定扎实的基础。
一、组织架构的概念及内容
任何工作的有序开展都需要有力的组织保障,企业开展经营活动,必须有科学的组织架构。组织架构是企业内部环境的重要组成部分,也是企业开展风险评估、实施控制活动、促进信息沟通、强化内部监督的平台和载体。一个有序高效、分工制衡的组织架构对内部环境培育和内部控制有效性具有重要的影响,它决定了有关部门和人员的职责及关系模式,是内部控制能够良好运行的组织基础。
我国《企业内部控制应用指引第1号——组织架构》对组织架构做出了明确界定:组织架构是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。COSO 1992年版《内部控制——整合框架》中将组织架构视作控制环境的分要素之一,认为企业应在组织架构中规划、执行、控制和监督为实现企业目标而进行的活动。《中央企业全面风险管理指引》要求企业建立健全风险管理组织体系,包括规范的企业法人治理结构,风险管理职能部门、内部审计部门和法律事务部门,以及其他有关职能部门、业务单位的组织领导机构及职责。2013年,COSO发布《内部控制——整合框架(2013)》,将原框架中的基本概念性内容演变为具体原则,其中的原则3指出:管理层为实现目标,应在董事会的监督下确立组织架构、汇报路线、权利与责任。
如图2-1所示,理解组织架构的内涵,必须把握两个关键点:一是治理结构的有效性,如果企业治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现其发展战略;二是内部机构设置的科学性,如果内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
1.公司治理结构
在现代企业制度下,由于所有权和经营权相分离,所有者和管理者之间形成了一种委托代理关系,管理者为了实现自身目标的最大化,可能会背离所有者的目标,治理结构由此而产生。公司治理结构,是指为实现企业最佳经营业绩,企业所有权与经营权基于信托责任而形成相互制衡关系的结构性制度安排,具体表现为股东(大)会、董事会、监事会和经理层的职责分配与制衡关系的安排。
(1)股东(大)会由全体股东组成,是企业的最高权力机构和最高决策机构,具有选举董事和监事、进行重大决策及依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。
图2-1 组织架构设计的主要层级
(2)董事会是股东(大)会闭会期间的办事机构,制定战略、进行重大决策、聘任经理并对经营管理活动进行监督,依法行使企业的经营决策权。在内部控制建立健全和有效实施的过程中,董事会应充分认识到自身对企业内部控制所承担的责任,加强对本企业内部控制建立与实施情况的指导和监督。另外,董事会可以按股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核、风险管理等专门委员会,为董事会的科学决策提供支持。各专门委员会对董事会负责,提案应提交董事会审查决定。
(3)监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
(4)经理层对董事会负责,负责组织实施股东(大)会、董事会的决议事项,主持企业的生产经营管理工作。企业应明确经理和其他高级管理人员的职责分工。
现实中,企业股权性质和大股东持股比例有所不同,企业所有者和管理者之间的委托代理关系存在一定程度的差异,从而对公司治理提出了不同需求。委托代理关系的存在,激发了企业对公司治理的需求,公司治理结构的设立是对这种现实需求的满足。公司治理需求与供给之间的匹配程度越高,公司治理结构越合理,股东(大)会、董事会、监事会和管理层各层级之间的职责分配越合理、相互协调越一致,公司治理结构的运作效率就越高,最终将表现为企业所有者和管理者之间目标的一致性越高。
依照拟人化原则,一家企业如同一个人,是全体股东投资成立的企业法人,董事会是企业的“大脑”,总经理是企业的“心脏”,总经理管辖的各部门是企业的“五脏六腑及肢体”,监事会是企业的“免疫力系统”,公司治理结构则是企业的“神经系统”。
2.内部机构设置
内部机构设置,是指企业根据业务发展的需要,分别设置不同层次的管理人员以及由各专业人员组成的管理团队,针对各项业务功能行使决策、计划、执行、监督、评价的权力并承担相应的义务,从而为业务顺利开展、实现企业发展战略提供组织机构的支撑平台。内部机构设置的关键在于权责分配,是依据运营目标、职能划分和管理要求,结合业务特点而进行的权责分配。在内部控制建设的过程中,内部机构设置在明确各职能部门和分支机构及基层作业单位的职责权限、将权利与责任落实到各责任单位的同时,也应特别注意内部控制要求在上述过程中的体现和落实。只有将内部控制要求所对应的权利和责任落实到具体的责任单位与岗位,才能为内部控制的设计和运行奠定良好的基础。
案例2-1 宝钢集团有限公司的组织结构
图2-2 宝钢的组织结构
二、组织架构的内部控制目标
企业建立和培育内部环境,首先,根据内部控制的五大控制目标,确定内部环境要素应达到的目标;其次,对目标进行分解,确定组织架构设计与运行应达到的具体目标,以识别和分析影响预期目标实现的主要风险;最后,及时采取有效措施将风险降到可接受的水平,以保证企业目标的实现。组织架构设计与运行的内部控制目标主要包括以下四个方面:
(1)根据相关法律法规,结合公司章程和实际情况,建立规范的法人治理结构,促进企业内部控制的有效运行。企业应科学地界定决策、执行和监督各层面机构的地位、职责与任务,形成有效的分权和制衡机制,切实发挥相关机构的作用,为内部控制的建立和实施提供强有力的组织保障与工作机制保障。
(2)建立科学合理的组织架构,适应企业生产经营和管理活动的实际需要,并能适应内外部环境的变化,提高管理效能,避免机构重叠和效率低下,促进内部控制的有效实施。
(3)根据运营目标、职能划分和管理要求,明确高级管理人员、各职能部门和分支机构以及基层作业单位的职责权限,将权利与责任分解到具体岗位,为内部控制的设计和实施创造良好的条件。
(4)通过内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等适当方式,使企业员工了解和掌握内部机构设置及权责分配状况,促进企业内部各层级员工明确职责分工,正确行使职权,并加强对权责履行的监督。
三、组织架构设计与运行的主要风险
风险会影响目标的实现,为了实现组织发展战略和运营目标,企业至少应关注组织架构设计与运行中的下列风险:
治理结构设计与运行的主要风险在于治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。具体表现为:
(1)股东(大)会是否规范而有效地召开,股东是否可以通过股东(大)会行使自己的权利。
(2)企业与控股股东是否在资产、财务、人员方面实现了相互独立,企业与控股股东的关联交易是否贯彻了平等、公开、自愿的原则。
(3)对与控股股东相关的信息是否根据规定及时、完整地披露。
(4)企业是否对中小股东权益采取了必要的保护措施,使中小股东能够与大股东同等条件参加股东(大)会,获得与大股东一致的信息,并行使相应的权利。
(5)董事会是否独立于经理层和大股东,董事会及其审计委员会中是否有适当数量的独立董事存在且能有效地发挥作用。
(6)董事对于自身的权利和责任是否有明确的认知,并且有足够的知识、经验和时间去勤勉、诚信、尽责地履行职责。
(7)董事会是否能够保证企业建立并实施有效的内部控制,审批企业发展战略和重大决策并定期检查、评价其执行情况,明确设立企业可接受的风险承受度,并督促经理层对内部控制的有效性进行监督和评价。
(8)监事会的构成是否能够保证其独立性,监事能力是否与相关领域匹配。
(9)监事会是否规范而有效地运行,监督董事会、经理层正确履行职责并纠正损害企业利益的行为。
(10)对经理层的权力是否存在必要的监督和约束机制。
内部机构设计与运行的主要风险在于内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。具体表现为:
(1)企业内部组织机构是否考虑经营业务的性质,按适当集中或分散的管理方式设置。
(2)企业是否对内部组织机构设置、各职能部门的职责权限、组织的运行流程等做出明确的书面说明和规定,是否存在关键职能缺位或职能交叉的现象。
(3)企业内部组织机构是否支持发展战略的实施,并根据环境变化及时做出调整。
(4)企业内部组织机构的设计与运行是否适应信息沟通的要求,有利于信息的上传、下达以及在各层级、各业务活动间的传递,有利于为员工提供履行职权所需的信息。
(5)关键岗位员工是否对自身权责有明确的认识,有足够的胜任能力去履行权责,是否建立了关键岗位员工轮换制度和强制休假制度。
(6)企业是否对董事、监事、高级管理人员及全体员工的权限有明确的制度规定,对授权情况是否有正式的记录。
(7)企业是否对岗位职责进行了恰当的描述和说明,是否存在不相容职务未分离的情况。
(8)企业是否对权限的设置和履行情况进行了审核与监督,对于越权或权限缺位的行为是否及时予以纠正和处理。
四、组织架构设计的风险控制
企业在设计组织架构时,必须考虑内部控制的要求,合理确定治理层及内部各部门之间的权利和责任,并建立恰当的报告关系。组织架构的设计既能保证企业高效运营,又能根据内部控制环境的需要进行相应的调整。具体而言,企业应遵循以下原则:一是依据法律法规;二是有助于实现发展战略;三是符合管理控制的要求;四是能够适应内外环境的变化。
1.治理结构设计的一般要求
健全的治理结构一般要求涉及股东(大)会、董事会、监事会和经理层。企业应根据国家有关法律法规的规定,按决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则,明确董事会、监事会和经理层的职责权限、任职条件、议事规则与工作程序等。
2.上市公司治理结构设计的特殊要求
上市公司吸纳了一定比例社会公众的投资,具有公众性,上市公司治理结构的设计具有特殊要求,主要表现在:
(1)上市公司董事会应设立独立董事,独立董事应独立于所受聘的公司及其主要股东。独立董事不得在上市公司担任除独立董事外的其他任何职务。独立董事应按有关法律法规和公司章程的规定,认真履行职责,维护企业的整体利益,尤其要关注中小股东的合法权益不受损害。独立董事应独立履行职责,不受企业主要股东、实际控制人及其他与上市公司存在利害关系的单位或个人的影响。
(2)在上市公司董事会下设的审计委员会、薪酬与考核委员会中,独立董事应占多数并担任负责人,审计委员会中至少应有一名独立董事是会计专业人士。在董事会各专门委员会中,审计委员会对内部控制的建立健全和有效实施发挥着尤其重要的作用。审计委员会对董事会负责并代表董事会对经理层进行监督,侧重于对经理层提供的财务报告和内部控制评价报告加强监督;同时,审计委员会通过指导和监督内部审计与外部审计工作,提高了内部审计和外部审计的独立性,在信息披露、内部审计和外部审计之间建立起一个独立的监督与控制机制。
(3)上市公司应设立董事会秘书,董事会秘书为上市公司的高级管理人员,直接对董事会负责,并由董事长提名、董事会任免。在上市公司实务中,董事会秘书是一个重要角色,负责公司股东(大)会和董事会会议的筹备、文件及公司股东资料的保管、信息披露事务的办理等事宜。
3.国有独资企业治理结构设计的特色
(1)国有资产监督管理机构代行股东(大)会职权。国有独资企业不设股东(大)会,由国有资产监督管理机构行使股东(大)会职权。国有独资企业董事会可以根据授权部分行使股东(大)会的职权,决定企业的重大事项;但企业的合并、分立、解散、增加或者减少注册资本和发行企业债券,必须由国有资产监督管理机构决定。
(2)国有独资企业董事会成员应包括企业职工代表。董事会成员由国有资产监督管理机构委派;但是,董事会成员中的职工代表由企业职工代表大会选举产生。国有独资企业董事长、副董事长由国有资产监督管理机构从董事会成员中指定产生。
(3)国有独资企业监事会成员由国有资产监督管理机构委派;但是,监事会成员中的职工代表由企业职工代表大会选举产生。监事会主席由国有资产监督管理机构从监事会成员中指定产生。
(4)外部董事由国有资产监督管理机构提名推荐,由外部人士担任。外部董事在任期内,不得在任职企业担任其他职务。外部董事制度对于规范国有独资企业的治理结构、提高决策的科学性、防范重大风险具有重要的意义。
内部机构的设计是组织架构设计的关键环节,只有切合企业经营业务特点和内部控制要求的内部机构,才能为实现企业发展目标发挥积极作用。
(1)企业应按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。股东(大)会、董事会、监事会及经理层四个法定刚性机构为内部控制的建立、职责分工与制约提供了基本的组织框架,但并不能满足内部控制对企业组织结构的要求,内部控制的运作还必须在这一组织框架下设立满足企业监控所需的职能机构。企业在设计内部机构时,应坚持权责对等、精简高效、运转协调的原则,使企业内部机构有利于决策科学化和运行规范化。
(2)企业应对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。在内部机构设计的过程中,应体现不相容岗位相分离原则,努力识别出不相容职务,并根据相关的风险评估结果建立内部牵制机制,特别是在涉及重大或高风险业务处理程序时,必须考虑建立各层级、各部门、各岗位之间的分离和牵制;对于因机构人员较少且业务简单而无法分离的某些不相容职务,企业应制定切实可行的替代控制措施。
(3)企业应制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。企业内部各级员工必须获得相应的授权才能实施决策或执行业务,严禁越权办理。按授权对象和形式的不同,授权分为常规授权和特别授权。常规授权一般针对企业日常经营管理过程中发生的程序性和重复性工作,可以在企业正式颁布的岗(职)位说明书中予以明确,或者制定专门的权限指引予以明确。特别授权一般是由董事会给经理层或经理层给内部机构及其员工授予处理某一突发事件(如法律纠纷)、做出某项重大决策、代替上级处理日常工作的临时性权力。
“三重一大”是指企业的重大决策、重大事项、重要人事任免及大额资金使用。组织架构指引明确要求,企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应按规定的权限和程序实行集体决策审批或联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见。重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
五、组织架构运行的风险控制
组织架构运行不仅涉及新企业治理结构和内部机构的运行,还涉及对存续企业组织架构的全面梳理。组织架构运行是指企业治理结构和内部机构按既定的设计方案,行使各自权利和履行相应责任的动态过程,对组织架构运行的内部控制包括对治理结构和内部机构的全面梳理。企业应根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业的治理结构、内部机构设置和运行机制等符合现代企业制度的要求。
企业梳理治理结构,应重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况,以及董事会、监事会和经理层的运行效果。如果治理结构存在问题,企业就应采取有效措施加以改进。
(1)就任职资格而言,应重点关注行为能力、道德诚信、经营管理素质、任职程序等方面。
(2)就履职情况而言,应重点关注合规、业绩以及履行忠实、勤勉义务等方面。
(3)就运行效果而言,应重点关注:董事会是否按时定期或不定期地召集股东(大)会并向股东(大)会报告;是否严格、认真地执行了股东(大)会的所有决议;是否合理地聘任或解聘经理及其他高级管理人员等。监事会是否按规定对董事、高级管理人员的行为进行监督;在发现违反相关法律法规或损害企业利益的行为时,是否能够对其提出罢免建议或制止、纠正其行为等。经理层是否认真、有效地组织并实施董事会决议;是否认真、有效地组织并实施董事会制订的年度生产经营计划和投资方案;是否能够完成董事会确定的生产经营计划和绩效目标等。
企业梳理内部机构设置,应着力关注内部机构设置的合理性和运行的高效性。
(1)从合理性角度梳理,应重点关注:内部机构设置是否适应内外部环境的变化;是否以发展目标为导向;是否满足专业化的分工和协作,有助于企业提高劳动生产率;是否明确界定各机构和岗位的权利与责任,不存在权责交叉重叠,不存在只有权利而没有相应的责任和义务的情况等。
(2)从运行的高效性角度梳理,应重点关注内部各机构的职责分工是否针对市场环境的变化做出及时调整。特别是当企业面临重要事件或重大危机时,各机构间表现出的职责分工协调性,可以较好地检验内部机构运行的效率。此外,还应关注权力制衡的效率评估,包括机构权力是否过大并存在监督漏洞;机构权力是否被架空;机构内部或各机构之间是否存在权力失衡等。梳理内部机构的高效性,还应关注内部机构运行是否有利于保证信息及时、顺畅地流通,在各机构间达到快捷沟通的目的。评估内部机构运行中的信息沟通效率,一般包括信息在内部机构间的流通是否通畅,是否存在信息阻塞;信息在现有组织架构下的流通是否及时,是否存在信息滞后;信息在组织架构中的流通是否有助于提高效率,是否存在沟通的舍近求远。
企业拥有子公司的,应建立科学的投资管控制度,通过合法有效的形式履行出资人的职责、维护出资人的权益,重点关注子公司(特别是异地、境外子公司)的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。
企业应定期对组织架构设计和运行的效率与效果进行综合评价,发现组织架构设计与运行中存在缺陷的,应及时进行优化调整,使企业的组织架构始终处于高效运行的状态。企业组织架构调整应充分听取董事、监事、高级管理人员和其他员工的意见,按规定的权限和程序进行决策审批,通过后予以调整并及时将调整结果以适当的形式通知企业的全体员工。