所在位置.:首页 > 活动 > 专业研究
企业内控“授权”之10大维度剖析
2020年04月07日

 

 

 


一、问题的提出


COSO(2013)框架中将“在董事会的监督下,管理层建立相应的组织结构、汇报路径、恰当的授权(Authorization)体系,以实现组织目标”作为一条重要原则提出。企业通过授权让企业内各部门/岗位获得相应的权限,是企业高效运作的基础。而在现实中,由于授权管理不当而导致的权限界定不清晰、权限设置不合理、越权行为等是很多企业所面临的现实问题。

授权体系受到企业内外部众多因素的影响,因此如果缺乏一个系统的分析框架,企业在梳理、设计及评价其授权体系时,难免会产生如下两类困惑:

1、 企业应该如何设置权限?这个问题可以进一步分解为:应该设置哪些权限?应以怎样的方式设置权限?

2、 应如何分析并应对权限可能存在的风险?

 


二、10大维度权限分析框架


基于可能对企业授权体系产生影响的关键因素的分析,本文提出由10个分析维度构成的权限分析框架。每个维度均按照一定标准对权限进行了分类,并提出了该维度下的关键分析点。企业可从各个维度角度出发识别授权体系中应考虑的关键问题,利用分析结论优化授权体系。

 

分析维度1:从“管理动作”维度,即从权限对应的管理动作角度出发分析相关权限。

从微观的视角,企业的经营活动经过分解成为一系列管理动作。这个分析维度聚焦于根据企业各部门/岗位所完成的“管理动作”进行权限分类,具体可以归纳为下表:

权限分类

说明

示例

1. 提出权

提出或者发起某项工作的权力。

例如:物料需求部门,根据生产计划、仓储数据等依据,向采购部门提出请购。

2. 审核权

对某项业务相关程序是否完备、支持材料是否规范、数据是否正确等进行检查、核实的权力。

例如:技术部门对供应商的技术能力进行检查,确认其符合相应的技术标准。

3. 审批权

对某项业务申请、方案进行核准/决策或对某项成果进行确认的权力。

例如:采购部门负责人决定是否引入某供应商。

4. 执行权

执行某项指令、实施某项经营活动的权力。

例如:采购员经授权后,可代表企业与指定供应商进行商务谈判。

5. 记录权

对特定经营活动进行正式记录的权力。

如:销售部门的商务人员根据销售情况登记销售台账;财务部门的会计人员对经营业务进行会计处理和账目登记。

6. 检查权

对特定经营活动进行检查监督的权力。

例如:内审部门对业务部门的经营活动实施审计;市场督导部门对企业经销商的业务规范性进行检查。

7. 知情权

及时、完整、准确的获知特定经营活动相关信息的权力。

例如:总部各职能部门向子公司要求其报备重大经营事项。

8. 建议权

对特定经营活动提出优化建议的权力。

例如:企业各部门向品牌部门提出品牌方案优化建议。

9. 考核权

对特定经营活动、经营主体进行考核的权力。

例如:企业绩效管理委员会对企业各部门进行年度绩效考核。

在上述维度下,权限分析的关键点包括:

1)   针对各经营事项的权限配备是否完整并形成管控 “闭环”?例如是否明确必要的记录工作?对重要的管理工作是否已经纳入绩效考核?

2)   权限分配是否满足基本不相容职责分离原则?例如“执行权”与“记录权”、“执行权”与“审批权”、“监督权”与其他权限之间,应考虑不相容职责的分离。

 

分析维度2:从“业务功能”维度,即结合各项业务的关键环节来分析相关权限。

企业在经营过程中,可以将企业各类业务活动(如销售、采购、生产、人资等)有序划分为一系列关键环节,该分析维度聚焦于依据企业各项业务开展所涉及的关键环节进行权限分类。由于企业的业务类型较多,仅示例如下:

■在典型的销售业务中涉及的关键权限包括:销售计划权、谈判权、定价权、授信权、合同权、发货权、收款权、会计处理权等。

■在典型的采购业务中涉及的关键权限包括:请购权、谈判权、合同权、供应商选择权、验收权、付款权、会计处理权等。

■在典型的废旧物资处置业务中涉及的关键权限包括:废旧物资鉴定权、废旧物资实物管理权、废旧物资购买单位选择权、废旧物资定价权、废旧物资检斤称重权、废旧物资款项回收权、会计处理权等。 

请注意,在此分析维度下,特定权限通常表现为一系列细分权限的组合。例如,销售及采购业务中的合同权,还可以进一步划分为合同文本制定、合同审核审批、合同用印等权限。在后续其他维度中,也会出现这种情况。

在上述维度下,权限分析的关键点包括:

1)   权限分配是否能支撑各项业务的高效开展?各项业务中应明确的权限是否已经明确并清晰的划分至具体部门或岗位?

2)   权限分配是否满足基本不相容职责分离原则?例如销售发货权与会计处理权之间应考虑不相容职责分离。

3)   权限分配是否满足专业分工原则?例如负责信审的部门,是否已经配备具备信用分析能力的人员并通过可靠路径获取信审所需要的基础数据?

 

分析维度3:从“权限来源”维度,即从企业中各个主体获取权力的方式来分析相关权限。

企业作为一个在法律框架下的运行实体,其授权体系必须遵循所适用的法律。企业内部的各项授权,则可以理解为在法定授权基础上的进一步分解。本维度聚焦于依据企业各项权限的来源进行权限分类,具体可以归纳为下表:

权限分类

说明

示例

法定授权

基于《公司法》等法律法规规定,企业对应机构/人员所获得的权限。

例如:根据《公司法》,股东会、董事会、监事会、经营层被分别赋予特定了基本权限。

企业内部授权

在法定授权的基础之上,在企业内部进行分级授权,通常体现为法定授权的进一步分解。

例如:企业董事会在自己的授权范围之内,在企业内进行各类权限设定。

在上述维度下,权限分析的关键点包括:

1)   权限分配是否合法合规?例如是否符合《公司法》等法律法规的要求?

2)   企业内部授权是否有恰当的法定授权基础?例如业务部门权限不能超过董事会授予总经理的经营权限范围。

 

分析维度4:从“重要性”维度,即根据事项的相对重要性水平来分析相关权限。

“抓大放小”是贯穿各类管理活动的基本原则,基于对“重要性”的正确评估,能够帮助企业识别管理重点、合理分配管理资源,这一点在授权方面也得到了突出的体现。一般而言,企业可以从战略影响程度、涉及金额大小、风险水平高低等角度,对各项权限进行重要性评价。本维度聚焦于依据企业各项权限的相对重要性进行权限分类,具体可以归纳为下表:

权限分类

示例

控制特点

重大授权

某企业规定合同金额超过100万为重大合同,需要经总经理办公会审议通过后方可签署。

设置更多的权限节点、权限节点尽可能前移、指定较高阶的管理人员作为审批人、分配更多的专业资源、更多采用集体决策、制定更加规范的过程记录要求、制定更加严格监督机制。

非重大授权

某企业规定采用标准定价的标准格式销售合同,销售人员可与客户直接签署后提交备案。

简化权限节点、授权节点可后移(包括报备制)、指定较低阶的管理人员作为审批人、分配更少的专业资源、更少采用集体决策、简化过程记录要求、制定相对宽松的监督要求。

在上述维度下,权限分析的关键点包括:

1)   重大授权或非重大授权的划分是否合理?是否与风险评价结果相一致?

2)   企业针对重大或非重大授权所分配的资源是否恰当?是否存在资源配备不足或者过度分配资源的情况?

 

分析维度5:从“计划/预算管理”维度,即围绕计划和预算管理来分析相关权限。

在已经建立计划及预算管理体系的条件下,企业经营活动会在企业计划及预算框架下运行。本维度聚焦于依据企业各项权限与计划/预算的关系进行权限分类,具体可以归纳为下表:

权限分类

示例

控制特点

计划/预算内权限

 

某企业规定,对于计划/预算内的部门费用,经部门负责人同意即可列支。

 

通常无需再履行计划/预算相关程序,权限设计应以提高执行效率为导向。

计划/预算外权限

 

某企业规定,对于计划/预算外的部门费用,必须先履行计划/预算增补流程,经部门分管副总同意后方可列支。

 

通常需补充履行计划/预算程序,授权设计应充分考虑计划/预算相关风险。

在上述维度下,权限分析的关键点包括:

1)   企业计划/预算管理的有效性如何?各类权限能否依赖企业计划/预算管理机制?

2)   针对计划/预算外的权限设置是否满足计划/预算管理要求?例如针对计划/预算外投资项目,是否充分履行了立项论证工作(此工作通常系计划/预算阶段的重点工作内容)?

 

分析维度6:从“集团管控”维度,即从集团内成员单位的角度分析相关权限。

在集团化运作的条件下,需要考虑在不同法人主体间的权限设置,特别是集团总部与下属企业的权限划分。本维度聚焦于依据集团管控要求进行权限分类,具体可以归纳为下表:

权限分类

说明

示例

集团总部权限

指在集团内,归属于集团总部的各项权限。

在某集团,所有成员单位的年度预算的审批权归属于总部。

集团总部下属企业权限

指在集团内,归属于总部下属企业的各项权限。

在某集团,总部下属企业有在预算内列支单笔不超过2万元管理费用的权力。

在上述维度下,权限分析的关键点包括:

1)   针对重大管控风险,是否采取了恰当的权限方式?例如针对下属企业重大事项,应采取总部报批制而非总部报备制。

2)   集团授权体系是否合法合规?涉及总部下属企业其他股东的,是否获得了股东会的授权等?

3)   集团内授权体系是否在集团各主体间形成有效的执行机制?例如下属企业与总部之间是否建立了顺畅的报批、报备工作机制?

 

分析维度7:从“治理/经营”维度,即从公司治理和公司经营分析相关权限。

一般而言,企业的整体组织架构能够划分为治理层和经营层,并结合两者的职能赋予各自一定的权限。本维度聚焦于依据企业治理与企业经营进行权限分类,具体可以归纳为下表:

权限分类

说明

示例

治理权限

体现在企业治理层的权限,如股东会、董事会、监事会的权限。涉及企业顶层权力分配,主要依赖适用法律法规、《公司章程》等文件内容。

在某企业,董事会拥有审议金额超过1000万的合同的权限。

经营权限

体现在企业经营层的权限,如总经理及其下设经营团队的权限。涉及企业日常经营的权力分配,主要依赖股东会、董事会对经营层的授权。

在某企业,总经理办公会有审议金额低于1000万(含1000万)的合同的权限。

在上述维度下,权限分析的关键点包括:

1)  治理权限/经营权限的划分是否合法合规?是否符合《公司章程》规定及股东间达成的其他协议安排?

2)  治理权限与经营权限的划分是否清晰?两类权限是否有效衔接?例如在经营层授权范围之外的事项,是否能够有效的提报董事会、股东会审议?

 

分析维度8:从“业务涉外性”维度,即从是否涉及企业外主体来分析相关权限。

在企业开展经营活动的过程中,不可避免的需要和企业外部主体形成经济、法律关系。本维度聚焦于依据各项业务特点的“涉外性”进行权限分类,具体可以归纳为下表:

权限分类

说明

控制特点

涉外业务权限

该权限在应用过程中,会直接和企业外部主体形成业务、法律等关系。例如:企业人员以企业名义对外签署经济合同。

该权限设计过程中,要充分考虑外部经营、法律环境特点,例如需要确保涉外业务经办人在办理业务前经过了有效授权,降低未经授权人出现“表见代理”情形的风险。

非涉外业务权限

该权限在应用过程中,不会直接和企业外部主体形成业务、法律等关系。例如:企业仓储部门进行内部存货盘点。

通常不存在与企业外部主体相关的风险。

在上述维度下,权限分析的关键点包括:

1)  企业有哪些业务存在“涉外性”?会产生怎样的涉外风险?

2)  涉外业务如何实现“有效授权前置”?如何控制“表见代理”风险?

 

分析维度9:从“授权频率/时效性”维度,即依据企业内部各项权限的时效性来分析相关权限。

时效性是权限的一个重要属性,本维度聚焦于依据权限的“授权频率/时效性”进行权限分类,具体可以归纳为下表:

权限分类

说明

示例

常态授权

在管理制度、岗位职责说明等管理文件中予以明确的权限规定,除非被取消授权,此权限持续有效。

例如 :某企业费用管理制度规定,财务总监有权审批10万元以下的报销申请。

临时授权

通过申请、审批等方式,在常态授权范围外进行授权。与常态授权不同,此类授权通常采取一事一议的形式,该授权通常会设定权限范围及有效期,对应事项结束则对应权限自动终止。

例如:采购人员在向采购经理提出申请并获得批准后,办理一笔自己常规权限之外的采购业务。

例如:对某项重大收购项目,企业法人代表出具授权书,授权由某副总经理负责项目商务谈判、合同签订等事宜。

在上述维度下,权限分析的关键点包括:

1)   授权频率设定是否合理?是否兼顾了授权效率和风险?例如采取常态授权,高层的管理在授权方面的成本是比较低的,但当出现特殊情况时,也可能因为干预不够及时而出现风险。

2)   临时授权是否及时进行了权限终止或者更新?

3)   常态授权是否得到了持续评估?是否及时进行了必要的调整?

 

分析维度10:从“权限固化方式”维度,即围绕权限在企业的设定形式、载体等内容分析相关权限。

企业在制定了各类权限之后,为了在企业内实现有效沟通和执行落地,必须采取一定的方式将权限“固化”下来。本维度聚焦于依据“权限固化方式”进行权限分类,具体可以归纳为下表:

权限分类

说明

制度文件固化权限

在管理制度文件(包括职责描述等)中,对各类权限进行描述,对分配原则、具体分配对象、权限使用原则进行说明。

权限表固化权限

对企业的各类授权进行集中归集。

授权书固化权限

围绕特定业务,对特定人员进行书面授权。

表单固化权限

在表单设计中体现权限分配。例如在特定表单的“审批人”一栏中体现岗位名称。

信息系统设置

固化权限

在信息系统的节点设置、用户权限等内容中体现授权。

在上述维度下,权限分析的关键点包括:

1)   各类授权是否已经配置了有效的设定方式?例如针对关键权限,相对于口头授权方式,采用制度化、系统化的方式,无疑会产生更好的固化效果。

2)   各类授权方式之间的内在一致性如何?例如针对同一个授权事项,在制度、权限表、信息系统设置中应该保持一致。

 


三、框架整合应用


在区分各个维度对权限进行剖析之后,回到前文所提到的两类权限问题:

1、 企业应该如何设置权限?这个问题可以进一步分解为:应该设置哪些权限?应以怎样的方式设置权限?

2、 企业应如何分析并应对权限可能存在的风险?

在10大维度分析框架下,围绕上述问题的关键点可以归纳为下表:

10大分析

维度

企业应该如何

设置权限?

企业应如何分析应对权限可能存在的风险?

“管理动作”维度

权限设置应该全面考虑各类管理动作。

需要考虑管理动作权限的不相容职责分离要求。

“业务功能”维度

权限设置应该保障业务的有效开展。

需要考虑不同业务功能权限的不相容职责分离要求。

需要考虑不同业务功能权限的专业性要求。

“权限来源”维度

法律法规要求的权限应得到合法、清晰的设置。

各项权限应该满足法律法规的要求。

“重要性”维度

权限设置应根据风险评价结果等划分重要性水平。

针对重要权限,应充分匹配资源,加强监督。

“计划/预算管理”维度

权限设置应与企业的计划与预算体系充分结合。

针对计划外/预算外权限,应确保相关计划/预算管理要求的落实。

“集团管控”维度

权限设置应考虑集团管控需要。

根据集团管控风险设定恰当的权限。

“治理/经营”维度

权限设置需要考虑企业治理及经营要求。

权限设置应满足治理法规要求、应实现治理层与经营层的有效衔接。

“业务涉外性”维度

对企业涉外业务,应清晰设置权限。

对于涉外业务,应重点关注外部业务、法律风险(如表见代理)。

“授权频率/时效性”维度

各项权限应该明确授权频率/时效性要求。

考虑常态授权下出现例外情况所导致的风险;考虑临时授权对执行效率的影响。

“权限固化方式”维度

各项权限都采取了恰当的固化方式。

关注不同载体权限设置的内在一致性。

关注不同固化方式下的权限不清、越权等风险。

结语

“授权”在企业内控体系中扮演着非常重要的角色,本文从实践角度出发提出一个权限综合分析框架,旨在帮助企业通过提出并回答授权相关关键问题,优化其授权体系的梳理、设计及评价工作。

 

 

(文章来源于冯博内控正经谈 ,作者冯萌博士 ;如涉及侵权,请联系删除谢谢)

来源:审计之家 ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K