内控丨企业内控“授权”之10大维度剖析

一、问题的提出

COSO（2013）框架中将“在董事会的监督下，管理层建立相应的组织结构、汇报路径、恰当的授权（Authorization）体系，以实现组织目标”作为一条重要原则提出。企业通过授权让企业内各部门/岗位获得相应的权限，是企业高效运作的基础。而在现实中，由于授权管理不当而导致的权限界定不清晰、权限设置不合理、越权行为等是很多企业所面临的现实问题。

授权体系受到企业内外部众多因素的影响，因此如果缺乏一个系统的分析框架，企业在梳理、设计及评价其授权体系时，难免会产生如下两类困惑：

1、 企业应该如何设置权限？这个问题可以进一步分解为：应该设置哪些权限？应以怎样的方式设置权限？

2、 应如何分析并应对权限可能存在的风险？

二、10大维度权限分析框架

基于可能对企业授权体系产生影响的关键因素的分析，本文提出由10个分析维度构成的权限分析框架。每个维度均按照一定标准对权限进行了分类，并提出了该维度下的关键分析点。企业可从各个维度角度出发识别授权体系中应考虑的关键问题，利用分析结论优化授权体系。

分析维度1：从“管理动作”维度，即从权限对应的管理动作角度出发分析相关权限。

从微观的视角，企业的经营活动经过分解成为一系列管理动作。这个分析维度聚焦于根据企业各部门/岗位所完成的“管理动作”进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)   针对各经营事项的权限配备是否完整并形成管控 “闭环”？例如是否明确必要的记录工作？对重要的管理工作是否已经纳入绩效考核？

2)   权限分配是否满足基本不相容职责分离原则？例如“执行权”与“记录权”、“执行权”与“审批权”、“监督权”与其他权限之间，应考虑不相容职责的分离。

分析维度2：从“业务功能”维度，即结合各项业务的关键环节来分析相关权限。

企业在经营过程中，可以将企业各类业务活动（如销售、采购、生产、人资等）有序划分为一系列关键环节，该分析维度聚焦于依据企业各项业务开展所涉及的关键环节进行权限分类。由于企业的业务类型较多，仅示例如下：

■在典型的销售业务中涉及的关键权限包括：销售计划权、谈判权、定价权、授信权、合同权、发货权、收款权、会计处理权等。

■在典型的采购业务中涉及的关键权限包括：请购权、谈判权、合同权、供应商选择权、验收权、付款权、会计处理权等。

■在典型的废旧物资处置业务中涉及的关键权限包括：废旧物资鉴定权、废旧物资实物管理权、废旧物资购买单位选择权、废旧物资定价权、废旧物资检斤称重权、废旧物资款项回收权、会计处理权等。 

请注意，在此分析维度下，特定权限通常表现为一系列细分权限的组合。例如，销售及采购业务中的合同权，还可以进一步划分为合同文本制定、合同审核审批、合同用印等权限。在后续其他维度中，也会出现这种情况。

在上述维度下，权限分析的关键点包括：

1)   权限分配是否能支撑各项业务的高效开展？各项业务中应明确的权限是否已经明确并清晰的划分至具体部门或岗位？

2)   权限分配是否满足基本不相容职责分离原则？例如销售发货权与会计处理权之间应考虑不相容职责分离。

3)   权限分配是否满足专业分工原则？例如负责信审的部门，是否已经配备具备信用分析能力的人员并通过可靠路径获取信审所需要的基础数据？

分析维度3：从“权限来源”维度，即从企业中各个主体获取权力的方式来分析相关权限。

企业作为一个在法律框架下的运行实体，其授权体系必须遵循所适用的法律。企业内部的各项授权，则可以理解为在法定授权基础上的进一步分解。本维度聚焦于依据企业各项权限的来源进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)   权限分配是否合法合规？例如是否符合《公司法》等法律法规的要求？

2)   企业内部授权是否有恰当的法定授权基础？例如业务部门权限不能超过董事会授予总经理的经营权限范围。

分析维度4：从“重要性”维度，即根据事项的相对重要性水平来分析相关权限。

“抓大放小”是贯穿各类管理活动的基本原则，基于对“重要性”的正确评估，能够帮助企业识别管理重点、合理分配管理资源，这一点在授权方面也得到了突出的体现。一般而言，企业可以从战略影响程度、涉及金额大小、风险水平高低等角度，对各项权限进行重要性评价。本维度聚焦于依据企业各项权限的相对重要性进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)   重大授权或非重大授权的划分是否合理？是否与风险评价结果相一致？

2)   企业针对重大或非重大授权所分配的资源是否恰当？是否存在资源配备不足或者过度分配资源的情况？

分析维度5：从“计划/预算管理”维度，即围绕计划和预算管理来分析相关权限。

在已经建立计划及预算管理体系的条件下，企业经营活动会在企业计划及预算框架下运行。本维度聚焦于依据企业各项权限与计划/预算的关系进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)   企业计划/预算管理的有效性如何？各类权限能否依赖企业计划/预算管理机制？

2)   针对计划/预算外的权限设置是否满足计划/预算管理要求？例如针对计划/预算外投资项目，是否充分履行了立项论证工作（此工作通常系计划/预算阶段的重点工作内容）？

分析维度6：从“集团管控”维度，即从集团内成员单位的角度分析相关权限。

在集团化运作的条件下，需要考虑在不同法人主体间的权限设置，特别是集团总部与下属企业的权限划分。本维度聚焦于依据集团管控要求进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)   针对重大管控风险，是否采取了恰当的权限方式？例如针对下属企业重大事项，应采取总部报批制而非总部报备制。

2)   集团授权体系是否合法合规？涉及总部下属企业其他股东的，是否获得了股东会的授权等？

3)   集团内授权体系是否在集团各主体间形成有效的执行机制？例如下属企业与总部之间是否建立了顺畅的报批、报备工作机制？

分析维度7：从“治理/经营”维度，即从公司治理和公司经营分析相关权限。

一般而言，企业的整体组织架构能够划分为治理层和经营层，并结合两者的职能赋予各自一定的权限。本维度聚焦于依据企业治理与企业经营进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)  治理权限/经营权限的划分是否合法合规？是否符合《公司章程》规定及股东间达成的其他协议安排？

2)  治理权限与经营权限的划分是否清晰？两类权限是否有效衔接？例如在经营层授权范围之外的事项，是否能够有效的提报董事会、股东会审议？

分析维度8：从“业务涉外性”维度，即从是否涉及企业外主体来分析相关权限。

在企业开展经营活动的过程中，不可避免的需要和企业外部主体形成经济、法律关系。本维度聚焦于依据各项业务特点的“涉外性”进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)  企业有哪些业务存在“涉外性”？会产生怎样的涉外风险？

2)  涉外业务如何实现“有效授权前置”？如何控制“表见代理”风险？

分析维度9：从“授权频率/时效性”维度，即依据企业内部各项权限的时效性来分析相关权限。

时效性是权限的一个重要属性，本维度聚焦于依据权限的“授权频率/时效性”进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)   授权频率设定是否合理？是否兼顾了授权效率和风险？例如采取常态授权，高层的管理在授权方面的成本是比较低的，但当出现特殊情况时，也可能因为干预不够及时而出现风险。

2)   临时授权是否及时进行了权限终止或者更新？

3)   常态授权是否得到了持续评估？是否及时进行了必要的调整？

分析维度10：从“权限固化方式”维度，即围绕权限在企业的设定形式、载体等内容分析相关权限。

企业在制定了各类权限之后，为了在企业内实现有效沟通和执行落地，必须采取一定的方式将权限“固化”下来。本维度聚焦于依据“权限固化方式”进行权限分类，具体可以归纳为下表：

在上述维度下，权限分析的关键点包括：

1)   各类授权是否已经配置了有效的设定方式？例如针对关键权限，相对于口头授权方式，采用制度化、系统化的方式，无疑会产生更好的固化效果。

2)   各类授权方式之间的内在一致性如何？例如针对同一个授权事项，在制度、权限表、信息系统设置中应该保持一致。

三、框架整合应用

在区分各个维度对权限进行剖析之后，回到前文所提到的两类权限问题：

1、 企业应该如何设置权限？这个问题可以进一步分解为：应该设置哪些权限？应以怎样的方式设置权限？

2、 企业应如何分析并应对权限可能存在的风险？

在10大维度分析框架下，围绕上述问题的关键点可以归纳为下表：