企業內部控制的建立和實施戰略探析

韓林靜

近幾年中國的監管機構不斷完善與內部控制相關的制度和法規，旨在提高中國企業的管理水平及增強其對建立健全內控機制的意識，中國上市公司對內部控制監管要求的意識和了解有所增強。但是，并沒有相應地加大其對實施內部控制機制的投入。

一、企業內部控制的建立和實施情況

（一）對內部控制重要性的認識在提高，但不少企業的認識仍然停留在成本控制層次

2009年德勤《中國上市公司內部控制調查分析報告》顯示：100%的企業普遍認識到加強內部控制有助于企業防范風險，并且能夠為其正常運營提供合理保證；2008年披露內部控制評價報告的353家上交所上市公司中，有27%（95家）是自覺披露的，說明我國上市公司披露內部控制的意愿在不斷增強。

但是2009年德勤《中國上市公司內部控制調查分析報告》調查結果又顯示：有29.41%的企業認為加強內控有助于企業監控并降低成本，一些被訪者表示，實施內控在一定程度上增加了工作量，但并未收到提升效率的作用，反而提高了成本和費用。由此可知，企業管理層對于內部控制作用的認識并不全面。

（二）內部控制進展較快，但達標率較低

2007年德勤《中國上市公司內部控制現狀的調查》結果顯示：只有25%的上市公司認為其自身現有的內控體系能夠完全滿足監管的要求。2008年德勤《上市公司的內部控制意識與就緒度》調查顯示：44%的受訪公司稱已經建立了良好的內部控制機制，比2007年的25%提高了19個百分點，但是仍有超過半數（56%）的受訪公司尚未建立內部控制機制或者其內部控制機制仍未完善。

（三）企業對內部控制的監督機制乏力，而且幾乎沒有進展

2007年德勤《中國上市公司內部控制現狀的調查》結果顯示：72%的受訪上市公司認為公司本身沒有一個有效而持續監控內部控制的機制。2008年德勤《上市公司的內部控制意識與就緒度》調查顯示：72%的受訪公司認為他們沒有持續監督內部控制的有效機制，調查結果與2007年調查結果相同，說明中國上市公司內部控制監督機制與上年相比沒有任何進展。2009年德勤《中國上市公司內部控制調查分析報告》顯示：只有23.53%的企業增加了內部控制檢查的頻率，僅約17.65%的企業落實了內部控制考核工作。

（四）內部控制的完善程度有所提高，但整體完善程度仍然比較低下

2008年德勤《上市公司的內部控制意識與就緒度》調查顯示：44%的受訪公司稱已經建立了良好的內部控制機制，比2007年的25%提高了19個百分點，但是仍有超過半數（56%）的受訪公司尚未建立內部控制機制或者其內部控制機制仍未完善，說明建立起與風險管理需要相適應的內部控制，大部分企業還有較長的路要走。

（五）投入力度不大，內部控制執行效果沒有達到預期目的

2008年德勤《上市公司的內部控制意識與就緒度》調查顯示：有57%的受訪公司認為管理層的意識不到位，不能有力支持和倡導內部控制工作；2009年德勤《中國上市公司內部控制調查分析報告》顯示：約58.82%的企業為應對金融危機而指定了專門的部門落實風險管理和內控工作，但是，僅有23.53%的企業將內控工作的重點從書面制度轉變為實施；僅有5.88%的企業擬組織內部控制負責人參加專業內控培訓；約52.94%的企業認為，缺乏與內控相關的信息系統；約58.82%的企業認為，內控制度的執行效果沒有達到預期目的；41.18%的企業認為內控制度執行不力。

二、內部控制實施戰略改進措施

我國絕大多數企業的內部控制尚處于內部控制結構階段，還沒有實施企業會計準則，內部控制和會計信息都沒有充分反映風險內容；公司治理、組織結構、企業文化、人力資源政策和業務流程等等，都沒有體現風險管理的要求。內部控制要想進入風險管理框架階段，還必須實現兩次跨越。為此，實施內部控制只能，采取“漸進”的方式，否則內部控制環境跟不上，人員素質更跟不上。我國境外上市公司為達到美國內控監管要求而付出的“巨大成本”提醒我們，實施內部控制不能操之過急。甚至態度強硬的COSO主席也承認：“我們期望ERM在組織里的運行是漸進式的。”

鑒于上述原因，當前我國企業在實施內部控制的時候，應當重點加強以財務報告內部控制為主線的相關標準建設，首先實現財務報告目標，待會計信息系統達到內部控制的要求后，再創造實現其他目標。

（一）企業內部控制實施戰略的重心

1、以會計活動控制為主線

財政部副部長王軍在《企業內部控制基本規范》發布會上指出，鑒于我國企業在法制意識、制度基礎、風險理念、經營風格等方面與歐美企業還存在較大差異。因此，把內部控制作為貫穿企業經營管理與風險控制全過程的系統工程來建設，在我國仍處于探索和起步階段，還需要一個加強引導、深化認識的過程，還需要一個逐步適應、分步實施、不斷完善的過程。因此，企業內部控制規范的制定和有關監管措施的出臺，必須考慮企業的接受程度和承受能力，必須考慮企業的實施成本。

（1）我國企業會計信息失真現象已經超越了會計范疇而演變成為一個嚴重的社會問題，迫切需要進行治理

會計信息質量不高始終是我國公司治理的難題，并困擾著現代企業制度的建設。2000年7月1日起實施的新《會計法》針對現實生活中會計報表錯報和舞弊的實際情況，把“保證會計資料真實、完整”列為會計法的立法宗旨，并制定了相應的條款，要求企業建立內部監督，以期遏制會計信息嚴重失真的局面。但新會計法實施后，仍然有相當一部分企業存在虛增利潤、掩蓋虧損，賬外設賬、隱瞞利潤，逃廢銀行債務、逃避企業所得稅等現象。據財政部連續幾年的年度會計信息質量抽查結果顯示，假憑證、假賬目、假報表、假評估、假審計“五假”問題有增無減。鑒于此，2001年我國《內部會計控制規范（試行）》直接將內部控制定位于內部會計控制。2005年6月，在財政部、國資委和證監會聯合上報《關于借鑒〈薩班斯法案〉完善我國上市公司內部控制制度的報告》，國務院批示，同意“由財政部牽頭，聯合證監會及國資委，積極研究制定一套完整公認的企業內部控制指引。”2006年7月15日，由財政部、國資委、證監會、審計署、銀監會、保監會聯合發起成立企業內部控制標準委員會，業務上隸屬于財政部，其31名委員中由8名來自財政部。可見，我國高層把會計控制作為企業內部控制中心的意圖是十分明顯的。

（2）我國內部控制規范是以財務報告控制為主要內容的

目前，從內部控制標準委員會初步擬定的26項具體規范（其中17項已起草完成并對外公開征求意見）的結構和內容來看，我國內部控制規范主要是以財務報告內部控制為主線的。這些具體規范，可以概括分為以下三類，每一類均與財務報告有關：第一類是對與企業財務報表項目相關的、可能會對財務報告真實可靠性產生較大影響的經濟業務事項提出具體要求的控制規范；第二類是與財務報表編報相關的控制規范，包括財務報告編制、公允價值、關聯交易、信息披露等；第三類是為實現有效的財務報告內部控制所必需的事前、事中和事后制度支持的控制規范，包括預算控制、人力資源控制、計算機信息系統控制、審計監督控制等。

2、以保證會計信息質量為首要目標

根據《企業內部控制基本規范》的要求，內部控制應當實現目標有五個：即合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。但是現階段應立足資本市場監管需要，重點引導企業加強財務報告的內部控制。

（1）真實可靠的會計信息是企業財務狀況和經營成果的真實反映

企業的經營管理活動（包括會計活動），歸根結底要通過財務報告來反映，抓住了財務報告內部控制這個“牛鼻子”，也就抓住了企業內部控制的關鍵。

（2）真實可靠的會計信息是資本市場健康發展的基礎

會計信息是投資者決策的基礎。保證會計信息真實可靠，是企業的法定責任，是維護社會公眾利益的基礎環節。強化財務報告內部控制機制建設，是提升企業市場形象與誠信度、維護資本市場健康發展，保護社會公眾利益的基本要求。

（二）企業內部控制實施戰略步驟

內部控制是一個龐大的系統工程，必須從制度和業務兩個層面，對企業戰略、流程、人員、技術和知識進行整合，以提升企業整體風險管理能力。

1、內部環境建設

按照風險管理的要求完善公司治理結構、更新企業文化、劃分崗位職責權限、制定人力資源政策等。

2、制度修訂

企業的業務活動和內部控制活動是在一定的法規框架下進行的。為此，企業應當重視基礎性制度建設，如人事制度、采購制度、財務報告制度等，為建立人力資源管理、采購業務、財務報告等業務流程和內部控制文本提供法律依據。

3、再造業務流程，建立業務流程文本

業務流程由業務環節構成，風險產生于業務環節。業務流程的每一個環節都有風險，都需要進行風險管理。所以，流程再造是識別風險、確定關鍵控制、建立關鍵控制程序等風險管理的基礎。為此，應當按照風險管理的要求，對現有管理流程和業務流程進行梳理、修改、補充和整合，并形成書面的文檔，并以此作為風險管理的依據。

4、識別關鍵控制，并建立風險管理文本

風險管理文本是內部控制運行的依據，也是內外部審計測試和評價內部控制的依據。風險管理文檔記錄的只是業務流程中的關鍵風險和關鍵控制程序，因為審計師只關注重大的風險和關鍵控制程序。例如，判斷一筆交易時是否是在受控的狀態下完成的，取決于是否附有相關的證據和文字記錄。在美國上市的中國公司為應對“薩班斯法案”的最后期限要求所做的大量工作之一，就是完善業務流程、控制條例等文本資料。

5、跟單作業測試，完善內部控制

為了測試內部控制的完整性和有效性，風險管理人員或審計師可以從某類業務中選取一筆或一筆以上的業務，從業務發生開始，一直跟蹤到財務入賬的整個過程，以核實業務活動和控制程序執行情況與流程圖和風險控制文檔描述是否一致。風險管理人員或審計師在跟單測試的時候可能還會發現一些未識別到的風險或者已識別但未加控制的風險，這些信息對于完善內部控制是很有幫助的。

［1］袁蓉君.德勤.中國僅兩成上市公司落實內控制度.金融時報.2009.6

［2］單羽青.上市公司內部控制實施障礙仍未消除.中國經濟時報報導.2008.7

［3］將義宏.會計信息失真的現狀成因與對策研究.北京:中國財政經濟出版社,2002,7

［4］王旭.INTERNAL AUDITOR.2005.(4)

［5］李維安等.美國的公司治理:馬其諾防線.北京:中國財政經濟出版社.2003.6