內部控制：從設計合理到執行有效的飛躍

　　【摘要】 本文以在美國上市的A公司為例，介紹了A公司為滿足美國資本市場監管要求，選用COSO內控框架進行內部控制體系設計并積極執行的情況，引申思考了中國企業在經歷“要我做”到“我要做”并必然走向“做我要”的內部控制建設中值得注意的六大問題，提出了中國企業內部控制從設計合理到執行有效飛躍過程中要解決的七大關鍵問題。
　　【關鍵詞】 內部控制；建設；有效
　　
　　一、引言
　　
　　從國際上內部控制規范建設情況來看，伴隨著近十年令人震驚的公司丑聞和失敗事件，新的立法、標準、準則以及指南也相應出臺，如COSO（美國反對虛假財務報告委員會下的發起委員會 ）、特恩布爾（英國）、COCO（加拿大特許會計師協會下的控制標準委員會）以及2002年的美國薩班斯——奧克斯利法案（以下稱為薩班斯法案）等。在中國，2006年上海證券交易所、深圳證券交易所分別發布《上市公司內部控制指引》，國資委出臺了《中央企業全面風險管理指引》，財政部成立了中國企業內部控制標準委員會，組織起草了《企業內部控制規范——基本規范》和17項具體規范的征求意見稿，旨在促使企業構建起完善的內部控制體系和機制。國內外內部控制規范已經覆蓋了全球所有的資本市場，內部控制日益成為企業進入資本市場的“入門證”和“通行證”。中國企業無論是走向世界或是在國內市場生存發展，迫于市場及其監管的要求，都要建立并實踐完善的內部控制體系。
　　從內部控制理論沿革的軌跡分析，內部控制經歷了由內部牽制、內部控制制度、內部控制結構到內部控制整體框架的變化；由零散的內部控制、專項的內部控制、系統的內部控制到綜合的內部控制的變化；伴隨著內部控制的要素從“三要素”到“五要素”到“八要素”的變化，其形象圖從平面圖到三面錐形圖再到八面立體圖，這不僅是概念的翻新、控制內容的深化，更是其包含屬性的演變，是由自發的無意識的內部控制，到自覺的有主觀目的內部控制，再到有管制、規范要求的他律性的內部控制過程，這為內部控制的實踐拓展了更加廣闊的平臺。
　　從中國企業內部控制的實踐觀察，我國對內部控制的研究和實踐起步較晚，在20世紀90年代才得到發展。目前多數上市公司是由原國有企業進行股份制改造而來的，其管理和內部控制水平參差不齊，有些企業甚至連基本的內部牽制都達不到，大部分企業的管理和控制水平處于內部控制結構階段。但基于國內外市場及其監管的要求，中國企業又急切地認識到建立完善的內部控制的意義，迫切需求構建起完善的內部控制體系，正在經歷“要我做——我要做——做我要”的轉變。內部控制的“要我做”階段，就是企業在外界市場和政策的壓力下，被動、形式化地建立內部控制，內部控制多屬于“掛在嘴上說，放在桌上看”的“擺設”；內部控制的“我要做”階段，就是企業從生產經營中的風險認識到要實踐內部控制，以減少企業純風險發生的可能性，但內部控制建設仍處于“法規政策要求什么做什么”、“人有我有”的階段；內部控制的“做我要”階段，就是企業從整體戰略和風險的角度出發，主動利用實踐內部控制為實現公司目標服務，為企業價值增值服務，內部控制在政策規定的框架下隨著實踐個體的豐富而各具特色。目前，中國企業正在經歷“要我做——我要做”的轉變，也必然要走向“做我要”的階段。為此，筆者以A公司內部控制實踐的經驗，討論我國企業內控建設中如何促使企業實現內部控制從設計合理到執行有效的飛躍。
　　
　　二、A公司內部控制實踐情況
　　
　　A公司發行的美國存托股份及H股于2000年分別在紐約證券交易所及香港聯合交易所有限公司掛牌上市。為遵循上市地監管的要求，2005年，A公司由總裁負責，各部門負責人參與，內部控制部牽頭，進一步完善了內部控制。
　　（一）構建和完善內部控制的具體步驟
　　為了符合美國資本市場監管的要求，A公司按照以下流程構建和完善內部控制：
　　1. 明確內部控制建設計劃。
　　（１）啟動階段，主要完成了管理的組織架構和前期培訓，全面了解法案和COSO框架的內容及要求，明確工作目標，編制工作計劃。（２）體系建設階段，完成體系建設的范圍界定、開展流程描述和風險評估；通過建立風險控制文檔進行差異分析，查找控制的缺失并進行改進；隨著與薩班斯法案配套的審計準則和規范的陸續出臺，在前期梳理流程和風險分析的基礎上，初步建立起內控體系，形成“統一設計、集中培訓、試點先行、全面推廣”的工作推進方式。（３）實施改進階段。實施公司內部控制體系，明確公司層面控制和業務層面控制的關鍵控制，開展體系試運行，并進行符合性檢查；（４）測試與審計階段。按照“測試－整改－再測試－確保有效”這一主線，公司開展管理層測試并接受外部審計，在此基礎上實施跟蹤整改。確保在年度外部審計中，每年都對內部控制進行審計與測試，以持續開展內控體系維護及改進，保證體系長期有效運行。
　　2. 流程描述、風險控制分析。
　　在總裁負責下，由內部控制部門牽頭，直接參與人員約1 600余人，對照COSO標準以及國外內部控制的最佳實踐，展開業務流程描述、風險控制分析。具體流程為：業務流程描述→在每個流程中通過風險識別機制確定重大風險點→對重大風險進行控制→確定關鍵控制環節→識別關鍵控制點。
　　3. 形成內部控制管理手冊。
　　公司按照補充、完善、填補空缺循序漸進的路徑對涉及的10 000余個相關制度、規定和規范進行了制定、修訂和完善，完成了2. 1萬余個流程圖的繪制、1. 2萬余個風險控制文檔的編制，梳理完善文件制度近8 600項，覆蓋了公司主要經營管理環節和崗位，建立起完整的內部控制文檔化體系，把過去零碎、局部的制度完善為一個統一整體，并在整體上強調基礎制度的統一與規范。
　　（二）落實內部控制的具體措施
　　為了使花大力氣完善的內部控制真正得到貫徹落實，A公司從上到下、從下到上實施了全方位的改善：
　　1. 以內部控制體系框架為指引，分解企業的工作目標，協調內控與企業發展目標。
　　從控制環境、風險評估、控制活動、溝通與監督5個方面分解企業的目標，圍繞目標落實每個部門和人員的工作責任，共同為企業價值增值服務。
　　2. 重新構建企業組織構架，明確職責與權限，為實踐內部控制提供組織保證。
　　為了保證在總裁領導下的決策、管理、執行、監督四個層次的管理架構真正形成一個開放性的、動態循環系統，內控項目建設委員會、內部部門、審計監察部門等內部控制相關部門的職責明確分工。
　　3. 動態評估中促使內部控制不斷改善，使企業形成一個開放的動態的控制循環。
　　由于本身固有的限制、由于企業經營管理活動變化以及人的因素，設計再完善的內部控制也會出現控制無效的現象，因此，為了減少內部控制失效的概率，需要不斷對內部控制設計及其運行進行評估，并在評估的基礎上提出相關咨詢意見，通過信息和溝通的傳遞促使內部控制在不斷糾正改善中形成一個科學、合理的動態控制循環。
　　A公司的動態評估是以自我評估為主的持續監督結合內部審計或稽查部門的獨立評估，通過匯總、報告以及傳遞缺陷報告來完成其使命的。
　　4. 簽署責任書，建立激勵和約束機制。
　　A公司在落實職責方面，通過“兩卡一表”來明確責任與規范，各單位普遍建立本單位各部門、下屬各單位的《內控工作執行要