COSO报告等权威的内控文献均把内控定义为一种“流程”，但学界很少就内控流程进行专门研究或对内控流程与业务流程的关系进行专门梳理，内控流程及其设计与再造理论目前仍处于缺位状态。由于缺乏系统有效的理论指导，实践中内控流程的设计与管理存在诸多问题需要解决。

关于“流程”，业界的解释很多，视角的差异至少就有五种：一是词典（如韦氏大辞典）意义的一般流程概念；二是OA系统的审批流程概念；三是ERP系统的工作流程概念；四是BPM系统或流程管理意义上的业务流程概念；五是《内部控制手册》描述的内控流程概念。即使是同一视角的流程概念，不同文献、不同流派也给出了不同的词义解释。

不同视角的流程概念有其不同的功能和应用场景。五种类型中，以BPM的业务流程概念影响力最大，目前网络上搜到的“流程”或“流程管理”概念几乎都是面向经营、反映业务的业务流程概念。似乎一说到“流程”就是指“业务流程”、一说到“流程管理”就与“业务流程管理”划上等号。从学界关注度看，内控流程与业务流程真可谓是“冰火两重天”，而内控流程的关注度似乎比工作流程和OA流程还差得多，后者至少还可以在一些文献中出现，只是频率比不上业务流程概念而已。

论及业务流程，援引流程管理大师麦克•哈默的经典定义：是把一个或多个输入转化为对顾客有价值的输出的活动。针对这个定义，流程管理理论将业务流程在概念上的主要特征归纳为：以客户为导向，端到端地满足客户需求；以为顾客提供产品或服务或为顾客创造价值为最终目标；以输入相关资源为条件；以一系列相互关联、相互作用并能创造价值的跨部门活动集合为内容；以客户、输入、输出、价值、活动、活动的相互作用六个元素为框架；以输出满足市场需要的产品或服务为结果；向外部（供应商和客户）延伸并跨企业进行流程集成等。

业务流程针对经营，又叫经营流程。现代市场格局下，经营确需确立以客户为中心、以需求为导向、以价值为目标的理念，并且业务流程管理理论所倡导的通过规范、再造、改进和优化流程达到简化流程、提高效率、降低成本和为客户创造更多价值的思想，也是符合现代企业经营状态和发展趋势的。问题在于经营有风险，并且新冠肺炎疫情、“东升西降”、百年变局必定会加剧未来经营的战略、市场、财务、运营和合规等整体风险。从我国的情况看，2018年以来，陷入债务危机的龙头性民营企业数量大增，民营企业仍面临很大的生存风险，安全性管理仍是民营企业的重中之重；政府投融资平台企业是地方国有企业中的特殊企业，资产规模大、负债水平高、隐性负债多、资产质量差、营收水平低、自生能力弱、转型难度大存在较大的安全风险。业务流程及其管理理论似乎忽视了这一点，换句话说，业务流程及其管理理论在强调客户价值的同时忽视了创造价值的风险，在追求效率的同时忽视了风险控制，忽视了效率与控制的关系处理。企业的发展应以可持续的高质量发展为目标，为达到此目标，要求把风险导向的内控体系建设贯穿于企业发展的全过程，构建发展与安全、价值与风险、效率与控制良性互动的企业流程及其管理理论新框架，并把业务流程与内控流程整合起来，构建以客户为中心、以价值创造为目标、以风险与价值均衡为导向的企业全流程管理理论。

与业务流程对比，内控流程的主要特征是：以风险为导向，从企业内部满足防控企业组织的各类经济性和非经济性风险及管理者与职务相关联的个人风险的需求；以可接受的风险水平为目标，可接受的风险水平也可以是最小的风险水平甚至是零风险水平；以企业内部的各类组织和全体员工为主体；以一系列相互关联、相互作用并能防控风险的跨部门活动集合为内容；以风险、活动、活动方式、活动承担者、活动连接方式或逻辑关系为流程要素；仅限于企业内部各控制主体之间活动，不能延伸到企业外部；等等。内控流程与业务流程的差异如表1所示。

由表1可知，内控流程不同于业务流程。常规意义上，业务流程以价值创造为导向，内控流程以风险防控为导向；业务流程以客户为中心，体现若干创造价值的活动集合，而内控流程以制衡为主线，集合的是若干风险的控制活动。理论上讲，内控建设只是安排一些控制活动，但现实中控制活动通常嵌入固有的业务流程之中、与业务流程一体化设计或调整。整合之后的流程叫什么并不重要，可以称为业务流程，也可以是内控流程或业务管理流程，重要的是流程是否合理和有效。由于现实的流程是在业务流程的基础上嵌入控制活动而成，嵌入的控制活动不同，实际运行流程也就不同。以采购业务为例，由于归属于“经营活动”，采购申请的审批一般在经营层完成，不需要提交董事会审议。但国有企业执行“三重一大”（重大决策、重要人事任免、重大项目安排和大额度资金运作事项）集体决策制度，明确要求“重大采购”（包括经营性采购）必须提交董事会审议，金额较大的采购业务流程就增加了董事长审查、董事会审议等相适应的控制活动。再如投资业务流程，“三重一大”集体决策制度把决策方案“征求党委会意见”作为董事会审议前的前置性控制活动嵌入于投资决策流程之中。

从一般意义上说，内控流程应由风险、活动、活动的实现方式、活动承担者、活动连接方式或逻辑关系等要素组成。

（一）风险

内控流程是风险导向而非价值导向，因此，与流程相关的风险点的识别和评估是内控流程分析、设计和优化的起点。关于风险，业界也有多种定义，比如把风险定义为带来痛苦和损失的不确定性、损失发生的可能性或概率、对目标实现产生不利影响的因素等。内控流程控制的风险有多种类型：

按风险来源分外部风险与内部风险。企业内部形成的风险应以可控为主，而来自自然界及企业外部的政治、经济、社会、市场、技术、政策、行业和其他主体等风险因素的外部风险控制难度相对较大，但也不是属于完全不可控风险。即使属于不可控风险，也未必就属于不可防风险。严格地说，不可控风险与不可防风险还是有差别的。“控制”（以降低乃至消除风险）是风险应对的策略之一，“规避”（以防风险）同样也是常用的风险应对策略。因此，无论是内部风险还是外部风险，企业都应高度重视并认真研究和评估。

按风险影响分整体风险与业务风险。整体风险对企业有全局性、重大性的影响，应给予特别关注。诸如战略风险、市场风险、财务风险和运营风险等，都是企业的整体性风险，但这些风险都是经济性风险。对中国的企业来说，整体风险不限于经济性风险，还有政治性风险、社会性风险、合规性风险、环境性风险、技术性风险、廉洁性风险等，甚至包括企业内部管理者与职务相关联的个人风险，所有这些风险都应纳入内控的风险范围。

按控制状态分固有风险与剩余风险。内控流程是针对风险的，风险评估是内控流程设计的前提和基础。风险评估首先针对固有风险，在对固有风险和现有应对策略措施进行分析后，未能有效应对的部分应纳入剩余风险应对的范围。

（二）活动

内控流程是一系列能够防控风险的活动集合，活动构成了内控流程的最基本要素。单纯控制流程中的“活动”可以分为基本活动与附加活动两类。内控流程各异，但最基本的活动总离不开“提、审、决、办、督”五个字。附加的活动很多，诸如调查、谈判、可研、评审、鉴定、招标、验收、记账、对账、询问等。附加活动并不是同时和基本活动结合嵌入在同一业务流程之中，不同的业务流程需要嵌入的附加活动也是不同的。合同签订需要在“提”之前附加合同调查与谈判或招标活动，设备采购流程则需要在基本活动的基础上附加鉴定、招标、验收、质检、鉴定等活动。

在其他条件一定时，活动越多则流程越长、效率也就越低。然而内控流程设计的基本原则之一是平衡控制与效率的关系，从这个意义上说，并不是活动越多越好，特别是性质和功能相同或相似的活动，应尽可能选择性合并、删除以求简化。以费用报销为例，有些单位在流程中设置了多个“审”的活动，比如经办人所在部门负责人审、业务归口管理部门负责人审、预算归口部门负责人审、财务部门专设审核岗审、财务部门负责人审等，费用报销流程长、效率低。关于“审”，至少有两种认识需要辨析与矫正：一是认为强化控制就需要增加审的环节，“审”多多益善。而实际上，多审未必就是好事，存在降低效率、增加成本、搭便车与责任难以明晰和追究等诸多弊端。二是认为财务上的审是必不可少的。这更多考虑的是手工操作背景而忽视信息化背景。在手工背景下，假发票泛滥，财务审核的交易量和单据量有限，财务部门设置专门的审核岗或稽核岗进行独立的财务审核，之后还要提交财务部门负责人进行财务二审。信息化背景下，首先，审核的交易量大大增加，尤其是实行财务共享的集团，财务审核量大幅增加；其次，信息化推动业务与财务趋于一体化，业财融合是否会推动审核制度变革、使业务和财务“两审”合“一审”，且审核的岗位或活动前移至业务端；再次，信息化推动税务系统发票管理改革和强化，假发票现象大大遏制。这都会改变财务在单证审核中的地位和作用。实践中已有企业这样变革：取消财务审，保留业务审，加大业务审的合规性、真实性责任和压力，一旦发现业务部门负责人审核的事项有问题，则审核人承担主要责任，同时强化事后的审计抽样检查和监督。

（三）活动的实现方式

内控流程中活动的实现方式受多种因素影响，包括活动的目标设定、外部环境变化、技术条件变化、设计者对流程的认知状况等，其中信息技术的影响力最为强大。实践中，许多的活动实现方式变革或流程再造，均与信息技术的应用有关，诸如集中核算与财务共享、集中管理、业财融合、组织扁平化等。

设计者的认知能力也是很重要的因素。比如财务共享，认识不同则实现方式的设计也有所不同。当下，国内很多人和很多企业采用全口径集中式财务共享模式，在这种模式下，被共享的企业财会机构撤销、财会人员集中到共享中心。全集中模式对财务资源进行了全面整合和重新配置，有利于充分利用财务资源。但是，这种模式的缺陷也很明显，主要有两点：一是“业”与“财”在线上实现了融合，却在线下出现“断裂”的局面。线下融合指的是财会人员实际参与到战略规划的制定、经营计划和投资计划的编制、可行性研究、招标评标、合同审查、价格确定、绩效考核、薪酬激励、资本运作等，共享中心的建立导致原有财会机构被裁撤，财会人员都集中了，被共享的单位也就不具备实现在线下业财融合的基本条件。二是财会人才培养方式发生很大变化。共享之前，财会人才在广泛的业财融合中得到全方位锻炼和培养，成为既懂财务又熟悉业务的复合型人才，这是CFO能够优先继任CEO职位的基本条件。但是，财务共享把财会人员封闭在狭小的共享中心，远离业务和管理，不说生疏业务和管理，就连本职工作范围内的事情（如成本计算与控制）也未必能掌握。要解决这些问题，唯一的出路就是变革，我的看法是，最好把财会职能或活动分为两类：基本活动（或直线职能）与参谋活动（参谋职能），前者属于财会活动的本体，如核算与报告、预算和资金管理等，后者是需要财会人员参与的业务活动。财务共享的只应当是基本活动，参谋活动必须留在各家单位自主进行，不能集中共享。做到这一条，财会集中共享的范围以及财会机构和人员就不能全口径集中。这就是认识分歧对活动实现方式选择的影响。

（四）活动承担者

分工形成流程，分工使一个主体完成的工作变成由若干主体协同进行的活动。活动的实施主体或承担者或内控主体，可以分为组织与个人两类。以审批为例，企业内部的审批权是在内部组织与个人两个序列配置的，具有审批权的组织有党委等党组织和董事会、总经理办公会等行政组织，具有审批权的个人取决于审批模式的选择，采用“一支笔”制度的企业，“一把手”才是具有审批权的个人主体。

组织作为企业内控活动的实施主体，在企业内部又有多种类型：按组织性质分有党组织（如党委等）与行政组织（如董事会和总经理办公会等）；按履职范围分有综合性组织（如董事会等）和专门组织（各种从属于董事会或总经理办公会的专委会）；按存续时间分有常设组织（如董事会和监事会等）和临时组织（如各种类型的评审委员会等）；按功能分有决策组织（如党委和董事会）、执行组织（如职能部门）和监督组织（如监事会等）；按活动性质分有经营性组织（如分公司和子公司等）和非经营性组织（如职能部门等）；按层级地位分有治理组织（如党委和董事会等）、管理组织（如职能部门等）和操作组织（如车间基层组织等）；按在活动中的角色分有主要组织（如主办）和协助组织（如协办）等。

（五）活动连接方式或逻辑关系

活动之间的先后顺序与逻辑联系同样因流程而异。内控流程图上基本的逻辑关系有三种类型：一是串行关系，或垂直关系或纵向关系。同一岗位或部门内部不同岗位之间的活动关系，通常发生在不同性质和功能的活动之间，特别是上下级之间。经办人申请——部门负责人审核——公司领导审批就是常见的串行关系。二是平行关系，或水平关系或横向关系。通常发生在性质和功能相同或相似的活动或岗位或部门之间，常见的是多审流程或多批流程。以合同签订为例，流程中的“三审”（业务审、财务审与法务审）就是常见的平行关系。三是反馈关系。B（后一种活动的执行者）对A（前一种活动的执行者）提供的相关信息进行判断后再返送给A，并对A再输出信息施加影响，制约A的信息输出，以达到预期的目的。在流程中出现“审”或“决”等控制活动的执行者出具“NO”的结论时，就需要采用反馈机制，没有反馈的流程往往是走过场的流程。

内控流程中的活动很多，“提、审、决、办、督”是常见的、基本的活动。

（一）提

活动必须有人提出来，这是内控流程的开始或起点。一个内控体系健全、流程清晰、运作规范的企业，针对“提”至少有四个问题在内控制度和流程中要明确：

1.资格。“提”可以是个人也可以是集体，可以是下级也可以是上级，可以是经办人也可以是决策者。同一类活动可以有不同的提出者。比如上市公司财务报告审计中，年报审计与中报和季报审计的提出者就有不同。提出也是一种权利，也应当被纳入授权规范管理的范围。

2.对象。即向谁提出申请，有向组织提和向个人提两种类型。按双方关系有纵向提和横向提两种类型，其中纵向提又有对上提和对下提两种路径。提请决策以对上提为主，提请执行以对下提为主，横向提多以会审、协管或协办、联合或参与等活动为内容。

3.方式。相关机构或人员要以正式的书面形式提出来，以便留有痕迹，实行痕迹管理。比如费用报销，提出者按照规定要求，填写报销单时必须以合理、合法、真实、完整的凭证为依据，原始发票不得臆造、涂改；必须手续齐全，相关合同、请示审批单、会议纪要、文件作为报销付款依据随原始单据附后。

有些费用报销业务对当事人提交的书面申请附件有特定要求。比如公务接待费的报销申请，报销单的附件至少包括通知等函件、发票、人员清单和流水等。又如以收据作为附件的报销申请，收据的范围限定于财政机关统一印制的行政事业费收据，不包括单位自制的收据。

4.标准。有些费用报销业务的申请有规定的标准，包括国家标准、地区标准、行业标准和单位自定标准等，比如公务出差的交通工具、住宿费等。申请提出者应在规定标准范围内提出申请。

（二）审

有审查、审核、稽核、评审等义。按审的环节可以划分为一审与多审，很少有流程是一审，多数都是两审或以上，比如合同评审，业务、财务和法务都要审；按审的方式可以分为个人自审与集体会审，重要的事项通常要集体会审；按审与信息化的关系分为线上审与线下审。

1.业务审核、财务审核与法务审核。审核或审查或稽核等，通常是发生在部门和岗位层面，一般有业务审核、财务审核和法务审核或法律审核三种，俗称“三务审核”。有些业务或事项是三种审核全覆盖，如经济合同审核；有些业务或事项仅覆盖其中的两种审核，如费用报销需要业务审核和财务审核，重要制度的制定或修订需要业务审核和法务审核；很少有业务或事项仅需要一种审核。

三种审核的应用范围有所不同。所有业务或事项的开展都需要业务审核，并且，实行管办分离管理方式的业务或事项，业务审核进一步分为业务经办审核和业务管理审核两个环节，管办不分的业务则无需这样区分；财务审核应用于财务事项，包括费用报销、资金支付和财务专项三大类，其中财务专项包括财务预决算、融资、担保、资产损失核销等，所有财务事项都必须进行财务审核，另外一些涉财业务（如经济合同）也需要财务审核；法务审核或法律审核主要应用于三种场合——重要制度的制定或修订、重要经济合同的签订或变更和重大决策方案，习惯上被称为“三项法律审核”。

从顺序看，业务承办审核通常是作为第一道关“初审”。企业内部审核一般是“先业务后财务”，业务审核在先，法务审核置后，财务审核居中。执行政府部门预算的机关事业单位一般遵循“先财务后业务”的程序，这些单位普遍按预算办事， “有预算不超支、无预算不列支”正体现这类单位执行的是政府硬预算管理。

从内容看，三种审核其实都应该包括三项审核内容，即前置审核、形式审核与实质审核。前置审核是对发生在本业务或事项之前的相关联的前项业务或事项实施情况的审核，形式审核通常是对相关单证、文本及其附件的完整性、规范性和正确性的审核，实质审核主要是围绕业务或事项本身的真实性、合规性、合理性等展开的。三种审核的内容侧重点及其差别如表2所示。

审核的输出物是书面的审核意见。业务审核、财务审核与法律审核的内容不同，所出具审核意见的内容也有差别。以法律审核意见为例，应当具备的内容包括：审核对象的主要内容介绍；审核对象合法合规性审核的法律法规、政策依据；审核对象存在的法律合规风险分析；降低审核对象法律合规风险的建议和预防措施；审核对象合法合规性审核的最终意见等。

审核人并非只是发表审核意见，也不是对审核不合格的申请材料一律采取退回的简单处理方式，而是根据具体情况具体对待。以财务审核为例，《会计法》明确规定，经审核符合要求的支出凭证，会计人员应及时办理报销和资金支付手续；对于真实、合法、合理但内容不够完整、计算有错误的凭证应退还给经办部门和人员，由其负责将有关凭证补充完整，更正错误后再办理正式报销或支付手续；对于不真实、不合法的原始凭证，会计人员有权拒绝受理，并及时向领导报告。

值得注意的是业务与财务、业务审核与财务审核的关系。实际上，财务与业务是“一枚硬币的两面”，既相异又关联、既不相容又相容。以采购为例，基本的活动是“钱出去”与“货进来”。“钱出去”代表资金流，体现的是财务；“货进来”代表的是物流，体现的是业务的内涵。从内控的角度需要注意：一方面，业务审批与财务审批分离，做到分事行权；另一方面，业务审批应前置于财务审批，降低财务风险。

第一，业务审批与财务审批分离。仍以采购为例，完整的采购审批包括采购业务审批与采购财务审批两个方面。这涉及两个分管领导审批权的安排。通常的做法是：分管采购业务的领导在“物”（采购申请等环节）和“钱”上（付款环节）有审批权，分管财务的领导的审批权集中在付款环节。也就是说，采购付款环节两个分管领导双重审批。这种制度安排是有缺陷的：增加审批环节，降低审批效率；更为重要的是，分管采购的领导既有事权又有财权，不符合分离制衡原则。恰当的做法是适度分离。作为“一枚硬币的两面”，财务与业务、财权与事权、财务审批与业务审批既关联又不相容，设置权限时最好不要在一个岗位上重合。财权与事权重合不分的现象在单位“一把手”身上更为突出，很多“一把手”既有事权又分管财务，也有些单位“一把手”实施了“四不直管”或“五不直管”制度或通过充分授权把财务审批权限全部转移给分管财务的领导。

第二，业务审批前置于财务审批。从控制角度看，人们常说控制点前移，表现在财务审批权限设置上，就是要联系事权或业务审批，并把业务审批权限上移至较高的职级，而把财务审批权限授予相对低一些的职级，以会议费为例，参加会议（业务）的审批置于费用报销之前，且审批人的职务层级可以更高。

2.线上审核、线下会审与专家评审。运行OA系统或其他管理信息系统的单位，业务审核、财务审核和法务审核基本上是在线上进行的。从线下走到线上，这些功能性审核的效率大大提高、成本大大降低，但审核质量未必会提高。究其原因，在于尚未被认知的信息化固有的功能性缺陷及其对内控流程运行的“伤害”和“破坏”——导致内控流程“形式化”和“无效化” 。

内控信息化乃大势所趋，无人能逆转，但信息化（线上审核）与手工操作（线下审核）各有千秋。手工操作效率低下，但其有两种质量保证机制是线上审核所没有的：一是当事人的场景制衡。线下审核时经办人与审核人通常是面对面进行的，这无形中会形成一种制衡。即使不考虑审核人的责任心，仅仅出于面子过得去，审核人也会去真实地亲自审阅单证。二是信息沟通机制。必要时审核人也会询问经办人一些情况，重大的或有异议的事项采用现场会议形式集体讨论后决定，这些在一定程度上确保了审核的效果。信息化或线上审核改变了审核的实施方式，主要有两点：一是经办人与审核人由直面状态变成分离状态。经办人不再与审核人处于面对面状态，也就失去了经办人对审核人的场景监督或制衡，并且审核人也不再具有询问的条件，这等于是弱化了审核的效果。二是线上审核完全是在审核人自己的电脑或手机、自身的权限界面甚至是自己的办公室独立、背对背地进行的，失去了经办人的现场“监视”，这为审核人偷懒创造了便利条件或提供了可能性。现实地看，审核人的偷懒也是有动力的。受业务量增长、信息化带来的高效率等因素的影响，公司安排的每个审核人的审核单证数量大增，迫使审核人员不得不想办法缩短审核周期、提高审核效率。偷懒无疑是最能提高审核生产率的最快捷的方法。从我主持设计近百家企业单位内控流程的经验看，不少线上审核人，都出现过“审核偷懒”的现象，“走过场”式的线上审核较为普遍。

有鉴于此，一些企业采用线上审核与线下审核相结合的方式。以合同为例，通过OA系统完成业务、财务和法务三项功能性审核，再根据具体情况增加三种线下审核：一是线下法律顾问审核。金额超过一定标准的重要合同、法律关系复杂的合同，应由外部法律顾问进行法律复审。二是线下会审。重大合同、关系复杂的合同、技术难度大的合同和有争议的重要合同，实行线下会审制度，由承办部门召集财务、法务、招标等主管人员对合同进行现场会议审核。三是线下专家评审。对于技术难度较大的合同，可以邀请外部专家评审鉴定。

（三）决

决定是审核之后的决策拍板程序，有决定、审定、审议、审批、批准、同意等义。“决”的前提是权力，因此与企业审批权的配置密切相关。有些业务或事项由党委会、董事会等集体决定，有些由单位主要负责人、分管领导等个人决定；有些业务环节由分管业务的领导决定，有些由分管财务的领导决定；有些业务或事项由单位内部机构或个人决定，有些必须经过外部机构特别是上级机构或监管机构决定。

1.集体决定与个人决定。重要的业务或事项通常是集体研究决定。关于集体决定，至少应当关注以下三点：

第一，“集体”的概念在不同类型的单位存在差别。典型的公司制国有企业有决定权的“集体”包括党组会或党委会、董事会、总经理办公会和职代会。非国有的公司制企业主要有董事会和总经理办公会两个起决定作用的集体。公司的股东会作为公司最高权力机构，应被纳入集体决策机构。在高校等事业单位，有权决定的“集体”有三个，即党委会或常委会、校务会或校长办公会、教代会等。行政机关的决策集体就是党组（或党委）会和行政办公会两个。

第二，集体决定的事项范围包括两类：一是强制性集体决定事项。《公司法》等国家相关法律法规规定的董事会等机构职权范围内的决策事项、国有单位《“三重一大”决策制度实施办法》圈定的“三重一大”范围内的决策事项，都具有强制性，必须集体研究决定，但要区别不同决策主体的决定事项范围。二是自愿性集体决定事项。指相关法律法规未做要求，单位根据管理需要自主纳入董事会等“集体”的决策事项清单。现在越来越多的公司编制党委会、董事会等治理机构的决策事项清单，清单所包括的事项实际上就是强制性集体决定事项包括的两类。“三重一大”制度中界定的董事会决策范围与企业实际编制的董事会决策事项清单范围是不能划上等号的，清单的范围通常要比“三重一大”范围大的多。

第三，董事会集体决定前至少需要“三重把关”：一是董事长审定。凡提交董事会审议决定的事项，都必须经过董事长审定通过。二是法律审查。国企重大决策在提交董事会审议前须进行法律审核，由外聘法律顾问出具专项法律意见书，进行法律把关。三是党委会前置讨论。这是国有企业特有的程序，最初增设这个程序旨在将部分提交董事会审议的重大事项事前征求党委会意见，现在这个程序的性质和功能有了新的重大变化。从江苏省委组织部和省国资委党委联合发布的《江苏省国有企业党委前置研究讨论重大事项规程示范文本（试行）》（以下简称《示范文本》）看，党委前置讨论的事项范围明显扩大（5大类23项），前置讨论的功能由之前的“征求意见”变成“决策性把关”。《示范文本》明确规定：应当由党委前置研究讨论但未经党委研究讨论通过的事项，不得提交董事会或经理层研究决定。董事会下设专门委员会的企业，专委会的功能基本上都是咨询性而非决策性或执行性的，实际上也是董事会决定前的把关程序。

集体决定之外的一般事项由个人决定。关于个人决定，也有三点值得关注：

第一，个人决定权可以按层级设置。就公司企业财务事项而言，按职务层级设置个人决定权可以有四种模式：一是“一支笔”审批或一级审批制。掌握“一支笔”的通常是单位“一把手”或主要负责人。二是两级审批制。即“一把手”的决定权往下授权一级，通常是单位“二把手”，在不同性质和类型的单位里，“二把手”的职级概念是不同的。设置有执行性董事长的公司，总经理是“二把手”。三是三级审批制。也就是财务审批权在董事长、总经理和分管领导三个职级之间配置。用“分管领导”而不用“副总经理”来表达第三层级的审批主体，是因为分管领导除副总经理外，还有总会计师或财务总监、总经济师、总工程师、总审计师、总法律顾问、首席风险官、首席合规官、副书记、纪委书记、董秘等多种职位。四是四级审批制，在三级审批制的基础上进一步向部门负责人授权。就像企业的产权层级不是越多越好一样，财务审批权的配置层级也需要合理设计才能确保控制与效率的统一。我的观点是原则上不超过三级，个别费用项目的报销审批可以延伸至四级。层级模式的选择及各层级审批范围的大小，取决于单位的性质、规模、业态、结构、管理风格、“一把手”的个性、团队素质等。

第二，个人决定权可以分类型设置。以费用报销审批为例，权限的设置可以有四种模式：一是分项设置，按费用项目分别设置审批权限；二是分类设置，按费用类别设置不同的审批权限；三是单一标准设置，全部费用项目执行一个审批权限标准；四是单一标准加特别项目标准，在单一标准的基础上，适当考虑管控上有特别要求的费用项目单独设置标准。考虑费用管控要求的差别、审批层级设置、审批的便利性等因素，建议采用分类模式，并把费用按管控要求分为三大类分类划分审批层级（见表3）。

第三，合理设置审批金额标准。人们习惯性地把设定金额作为判断审批权大小的指标，而审批金额标准的合理设置需要具备良好的专业知识和能力。即便如此，设置审批的金额标准时至少还需考虑四项因素：一是预算情况。预算内项目授权审批，超预算或预算外严格审批。二是合同情况。属于合同内付款的授权程度较大，提前付款原则上禁止发生，如有发生提交主要领导审批。三是金额大小。金额小的授权程度大，而所谓金额大小，可以依据“二八”法则或“黄金分割法”确定主要领导人的审批权限。总的原则是，主要领导人控制的应当是“关键的少数”，授权的应当是“次要的多数”。四是审批人的行权能力。

2.内部决定与外部决定。外部决定通常体现的是股东的终极决定权，但在政府主导型国家，企业的一些事项的最终决定权在政府手里，“看得见的手”也就是政府决定仍在企业决策中发挥重要作用。关于股东会，我在《企业内部控制的新解读》（《财务与会计》2022年第1期）一文中已经将其作为内部机构纳入内控主体，但有两种情况仍属于外部决定的范畴：一是子公司的事项由其唯一股东（全资）或控股股东——集团公司来决定；二是国有企业的重要事项由国有资本出资人代表——国资委决定。我国的情况还有特殊，国有企业的一些重大事项，特别是涉及领导干部任免的事项，必须由上级党组织决定，这也是外部决定的重要内容。这样，国有企业的外部决定就有集团公司决定、国资委决定、政府决定和上级党组织决定四种类型。

第一，集团公司决定。由母子公司构成的企业集团里，子公司是在母公司控制下的、并不是拥有完整法人财产权的公司。在会计上，“控制”一词意味着母公司可以决定、左右子公司的财务和经营政策。在内控领域，“控制”一词意味着母公司拥有对子公司重大事项的最终决定权，意味着子公司重大事项的内部控制流程需要外部化延伸至母公司。但有两点值得关注：一是集团公司拥有子公司决策权的事项范围，取决于集团管控模式的选择。伴随集中化或集权化趋势的增强，纳入集团母公司决策范围的子公司的重要事项呈范围扩大的趋势。二是集团公司决定程序前置。也就是将集团公司对子公司重要事项的审批程序置于子公司董事会决策之前。集团公司对子公司的控制有两种方式，即审批式控制和参与式控制，后者是通过委派股权代表（委派董事和监事）参与子公司决策实施控制。参与式控制的前提是董事结构与股权结构相一致。董事会的决策权配置原则不同于股东会，股东会为“一股一票”，董事会则遵循“一人一票”的原则，只有当大股东委派的董事占比超过半数甚至是2/3以上、且董事不存在相反表决意见时，大股东才能通过委派股东代表表决权的行使达到控制子公司财务和经营政策的效果。很显然，在有独立董事存在、且独立董事占比不低于1/3的上市公司里，参与式是难以达到控制效果的，必须依赖审批控制。

第二，国资委决定。我国经济结构的基本特征是以公有制经济为主体、以国有经济为主导。国资委作为政府的特设机构，履行国有企业出资人代表的角色，从出资人的立场管理国有企业。国资委对国企的管理模式正经历一场重大转型，即从“管资产”向“管资本”转变。官方把“管资本”的实质内涵解释为“四聚四管”：聚焦优化国有资本配置，管好资本布局；聚焦增强国有企业活力，管好资本运作；聚焦提高国有资本回报，管好资本收益；聚焦防止国有资产流失，管好资本安全。国资委的决定权应围绕“四聚四管”展开，与“管资产”模式比较，国资委的决定权需要缩小。适应国资监管转型的需要，《国务院国资委授权放权清单（2019年版）》分别针对各中央企业、综合改革试点企业、国有资本投资、运营公司试点企业以及特定企业明确了35个授权放权事项。即便如此，国资委作为出资人代表仍需要保留部分决定权。以江苏省为例，江苏省国资委编制的《江苏省国资委审批事项清单（2020）》保留了15类事项的审批权，包括：清产核资；1 000万元（含）以上的资产损失核销；重大国有产权变动方案；国有资本金变动事项；国有股权管理事项；发行债券；国有产权转让；资产评估；战略规划；特别监管类投资项目；重要子公司改制或上市方案；公司章程；省属企业负责人薪酬水平；省属企业集团本部工资总额预算；上市公司股权激励方案。

第三，政府决定。政府对企业重要事项的管理有多种方式，投资项目管理有审批制、核准制和备案制三种，公司上市还有注册制等方式。政府决定的典型方式是审批制，分全国统一审批和地方政府审批两类，以投资项目审批为例，既有国家发改委等15部门联合发布《全国投资项目在线审批监管平台投资审批管理事项统一名称清单（2018年版）》，也有地方政府编制的投资审批事项清单。

第四，上级党组织决定。国企遵循“党管干部”原则。97家央企中，49家中管企业的董事长由中组部决定，48家委管企业的董事长由国务院国资委任命，其余包括总经理在内的高级管理人员均由企业董事会决定和任命，但是党的干部（如党委委员等）均由中组部或国务院国资委直接决定。

（四）办

有经办、办理、操作、落实、执行、实施、经办等义。针对“办”，内控流程至少应当明确三点：

1.主体。可以是组织也可以是个人。当两个或两个以上的主体共同经办时，需要明确主办和协办及各自的职责范围。出于制衡考虑，“办”与“管”应当分开，做到“管办分离”。此外还应有“督办”，形成“三分离”的制衡机制。

2.要求。内控制度和流程应当明确经办的方式、程序、标准和其他具体要求。相关法律法规规定和企业作出的决定或决策方案，及以此为基础形成的规划、计划、预算和合同等，都是“办”的依据。首先，“办”的过程中如遇不确定因素干扰或发现原定方案出现偏差乃至错误，原则上应反馈决策者并由决策者决定是否调整和如何调整，经办者无权自行调整。但当出现确凿证据表明决策错误或被新的因素干扰，以致于原定决策方案已不适用，情况紧急且继续执行原定方案会导致重大损失时，应赋予经办者适时调整的权力。其次，考虑“办”在内控全流程中的位置及经办效率等因素，“办”的过程中出现的审批事项，审批权可以低位配置，换句话说，对“办”的过程中的决策事项的授权程度可以大一些。再次，“办”的过程应严格执行控制标准。有合同的严格按合同执行，不得超合同进度付款；有预算的应严格执行预算书，做到“有预算不超支、无预算不列支”。

3.结果。“办”的结果要有报告与反馈、考核与评价、奖惩与问责、改进与提升，形成闭环控制。

（五）督

有监督、督查、督办、督察、检查、巡查、巡察、监察、核查、稽查、考核、审计等之义，统称“监督”。企业内部的监督有多种类型：按主体性质分为党纪监督与行政监督，纪检监察监督是融合了党纪与行政监督（监察）的综合性监督；按主体类型分有决策机构的监督、执行机构的监督和专设监督机构的监督，纪检监察、监事会和内部审计被公认是国有企业的三大专门监督机构；按监督所处的业务运行阶段分为事前监督、事中监督和事后监督，董事会重大决策事前征求党委会意见就是典型的事前监督；按监督方式分为常规监督与特别监督等。

监督的多重意义有其各自的含义和应用场景。比如督查督办，企业有制度执行的督查督办、重点工作的督查督办和公文的督查督办三种类型；再如巡察与巡查，前者体现的是党内监督，重点在“察”，即了解情况，后者是针对某个具体问题、为促进任务落实、推动目标实现所做的检查，重点在“查”，即查找和查处问题。

审计机构的监督是内控体系建设中特别受重视的常规性监督。在很多内控文献和内控规范中，审计监督甚至被视为唯一的监督形态。审计机构监督与审计监督不是一回事，不能划上等号。实际上，很多人并不清楚，内部审计机构的职能包括审计（内部审计）、调查（专项审计调查）、评价（内控评价）和服务四项，其中前三项均属于“监督”范畴。专项审计与专项审计调查是有差别的，审计要出具审计报告，专项审计调查虽然也是审计机构和人员使用审计的方法，但出具的是调查报告，比审计更灵活。目前很多企业尚未启用专项审计调查这一监督工具。

国有企业的内控程序上有两个鲜明的特征：一是重大事项必须集体决策；二是重大事项决策前必须经过党委前置研究讨论。

（一）“三重一大”集体决策

国有企业执行“三重一大”集体决策制度，被企业列入“三重一大”范围的事项，均实行集体决策。列入“三重一大”范围的事项，有一项让众多单位颇为困扰，即“一大”——“大额度资金运作”。

第一，是“大额度资金运作”还是“大额度资金使用”？实践中，两种理解和做法都有。何种表达准确？追根溯源，1996年最早提出“三重一大”的第十四届中央纪委第六次全会公报的提法是“大额度资金使用”；2005年和2008年中共中央、中央纪委等发布的关于教育系统反腐倡廉的文件中该提法未变；2010年中共中央办公厅和国务院办公厅联合印发的《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》（以下简称《意见》）将“一大”重新表述为“大额度资金运作”，并将其解释为：超过由企业或者履行国有资产出资人职责的机构所规定的企业领导人员有权调动、使用的资金限额的资金调动和使用。主要包括年度预算内大额度资金调动和使用，超预算的资金调动和使用，对外大额捐赠、赞助，以及其他大额度资金运作事项。照此理解，“资金运作”是包括“资金使用”但又比“资金使用”范围更宽泛的概念。

第二，“大额度资金支付”是否应当列入“三重一大”事项范围实行集体决策？受地方性“三重一大”集体决策制度示范文本的引导以及企业相互之间的影响，一部分国有企业在所制定的“三重一大”决策制度实施细则中，明确规定超过一定金额的“大额度资金支付”须作为“三重一大”事项，由董事会或总经理办公会集体决策。巡视巡察和政府审计也是按照这种做法来把握的，有的企业董事长因未在大额资金支付环节履行集体决策程序而被审计机关的离任审计报告判定为违规决策。我的看法是，正常的资金支付，无论金额大小，都可以不需要集体决策。理由有三：一是缺乏政策依据，国家涉及“三重一大”的正式文件并无“大额度资金支付”的表述，《意见》对“大额度资金运作事项”的解释并没有使用“支付”一词；二是“大额度资金支付”在实践中通常是按合同或协议支付的，合同或协议都还没有纳入“三重一大”的范围，甚至合同或协议都还不需要单独“上会”，按合同或协议付款就更没必要“上会”集体决策；三是董事会或总经理办公会集体决策控制的重点应当是前期的资金运作方案或预算。资金运作或使用是一个过程，全过程有很多节点，与资金直接相关且重要的节点至少有年度全部的资金预算、事项发生时的资金运作或使用方案或预算、事项的资金支付申请和资金拨付等。很显然，全程集体决策既无必要也不可能，合理的做法应该是：前期的年度资金预算和事项的资金使用方案或预算应当集体决策，正常的特别是依据合同的资金支付按财务审批制度的规定分级个人审批即可，特殊有争议的资金支付可采用例外集体决策程序，但不属于“三重一大”的范畴。

第三，是“资金调动”还是“资金调度”？《意见》使用的概念是“资金调动”，但是实践中很多企业在所制定的“三重一大”决策制度中使用“资金调度”，也有的用“资金调拨”。我的看法是“资金调动”的提法更加科学。按习惯用法，“资金调度”指的是集团或独立法人单位内部关联主体间的资金划转，同一管辖范围的或同一系统的关联的企业集团之间或关联的独立法人单位之间资金划转习惯上称为“资金调拨”，广义的“资金调拨”包括了“资金调度”。“资金调动”的范围最宽泛，既包括了各类关联主体间的资金划转，又包括了非关联主体间的资金划转，如把存款从A银行划转到无关联的B银行。大额度资金调动的方案应当“上会”集体决策。

（二）党委前置研究讨论

党委前置研究讨论是推进党的领导与公司治理有机统一、建设中国特色现代国有企业制度的重要内容。从实践看，有三点值得思考和研究：

第一，是“一会（董事会）前置”还是“两会（董事会和总经理办公会）前置”？2019年中共中央发布的《中国共产党国有企业基层组织工作条例（试行）》（以下简称《条例》）第十五条规定：“国有企业重大经营管理事项必须经党委（党组）研究讨论后，再由董事会或者经理层作出决定”。实践中两种理解、两种做法都有，但以董事会前置最为常见。我的看法是应“一会前置”，理由有三：其一，《条例》及相关文件在涉及党委前置研究程序时，使用的表达方式不是“董事会和经理层”而是“董事会或者经理层”。前者指的是“两会”，后者说的是“一会”的两种情形：单设董事会的就是董事会，未单设董事会的就是经理层或总经理班子或总经理办公会。这样的理解才能与《意见》对“三重一大”决策制度的解释保持一致。其二，经理层的研究拟定本身就是董事会的前置研究程序。经理层有三项职能：一是“拟定”，为董事会拟定决策方案；二是“制定”或“决定”，在董事会授权范围内直接拍板定案；三是“执行”，落实董事会通过的决策方案。其中的“拟定”就属于董事会的前置研究程序，若是“两会前置”，就等于为董事会设置了两项前置研究程序。其三，总经理办公会虽有“决定”的事项，并且部分也属于“三重一大”范围内的事项，但是将其纳入党委前置研究的范围与党委前置研究的“聚焦点”不相吻合。原则上，党委前置研究讨论主要聚焦事关企业发展的根本性、方向性、长远性、全局性问题及涉及员工切身利益的重大问题，而具备这些特征的事项一般都要提交董事会决策，总经理办公会更多研究的是执行层面的问题或重要性程度偏低的事项决策。因此，党委的前置研究讨论应当严把董事会这一关。

第二，党委前置研究讨论的是“上会（董事会）”的全部还是部分事项？针对国企党委前置研究讨论的事项范围，《条例》第十五条明确规定了6项：①贯彻党中央决策部署和落实国家发展战略的重大举措；②企业发展战略、中长期发展规划，重要改革方案；③企业资产重组、产权转让、资本运作和大额投资中的原则性方向性问题；④企业组织架构设置和调整，重要规章制度的制定和修改；⑤涉及企业安全生产、维护稳定、职工权益、社会责任等方面的重大事项；⑥其他应当由党委（党组）研究讨论的重要事项。同时要求党委（党组）要结合企业实际制定研讨的事项清单，厘清党委（党组）和董事会、监事会、经理层等其他治理主体的权责。随着中央和地方组织部门及国资监管机构相继出台《国有企业党委前置研究讨论重大事项清单示范文本》，党委前置研究讨论的内容被具体化和扩大化，并在地区间出现了差别化。《条例》列出的6类党委前置研究事项，浙江将其具体化为19项、江苏为23项、辽宁为37项。地区间国有企业以及央企与地方国企在决策程序上存在的差别，对于跨地区的或央企与地方国企联合起来的企业集团制定统一的决策和管控规则体系构成不利因素，最好的做法是国务院国资委牵头制定全国统一的党委前置研究讨论示范规程。

第三，党委是前置研究还是前置决定？有些国有企业把两者混淆在一起，用“决定”代替“研究”。实际上，党委重点从“四个是否”（是否符合党的路线方针政策，是否契合党和国家的战略部署，是否有利于实现国有资本保值增值，是否有利于维护社会公众利益和职工群众合法权益）对事项进行研究讨论，把好“四关”（政治关、政策关、程序关、廉洁关），把关的方式是提出指导性意见和建议，真正行使决策权的还是董事会。党委的前置研究应当以切实维护董事会的决策权为前提。