淺談企業內部控制體系的建設

東莞職業技術學院 馬錦清

淺談企業內部控制體系的建設

東莞職業技術學院 馬錦清

企業內部控制已經成為企業管理的重要組成部分，2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部委聯合發布了《企業內部控制基本規范》，標志著我國企業用以規范發展、規避風險的內控指南已初步建立。在當前發展形勢下，我國企業內部控制制度產生的新變化，對企業加強內部控制提出了新的思路和途徑。本文就此進行初步探討，結合實際操作中需注意的一些問題，提出完善內部控制的對策建議。

內部控制體系 企業內部控制 基本規范

一、企業內部控制體系建設的現狀分析

《企業內部控制基本規范》在企業內控體系中處于最高層次，起統馭作用，為企業內部控制制度的建設提供了指導性綱領，促進了企業管理制度的完善。但具體實踐中，還是存在很多不盡人意的地方：

1.企業內部控制得不到重視，控制環境不良

控制環境是企業內部控制的核心，是其他要素發揮作用的基礎，直接影響企業內部控制的貫徹和執行。但目前我國企業的內部控制因為沒有強制的有效性界定的限制，很多企業經營者并不重視內部控制制度的建設，沒有設置相應的部門機構進行專門管理，人事安排也達不到制度管理的需要，無章可循或有章不循的現象較為嚴重。還有很多企業受經濟性質的影響，政府干預行為過多，內部控制被人為操縱，有效性受到質疑，整個內部控制缺少獨立的執行空間，控制環境不利于開展內部控制制度的建設。

2.缺乏實之有效的內部控制制度

由于企業經營者風險意識較差，對于經營環境的變化、采取新的或改良的信息系統、應用新技術、開發新產品等現代企業風險估計不足，對風險防御措施的要求也較低。只追求眼前不喪失巨額的經濟利益，沒有考慮企業發展的長遠目標，也就沒有涉及與風險管理相應的內部控制制度；或者內部控制制度時為了應付檢查，不是從本單位的實際情況出發，僅從現有的規章制度中摘抄，從設立開始就一直停留在紙上談兵階段，未能有效執行，內控制度缺乏實用性和可操作性。

3.企業信息共享度低，溝通不順暢

內部控制要想有效地開展，必須借助于企業良好的信息系統，職能部門及時獲得其他各個部門的工作進展狀況。而在我國企業中很多事務由于信息達不到共享，溝通不暢，各個部門封閉運行，有限的資源得不到合理配置，常會發生資源的浪費。有的信息還可能被隨意控制，管理者在做出經營發展決策時面臨較大的決策失誤風險。

4.企業控制活動不當，內部監督不力

目前很多企業的董事會及公司經營管理的權力集中于法定代表人一身，這種權責劃分使“內部人控制”現象不斷升級，影響了整個企業的控制活動的開展。而且內部審計應該是企業內部控制制度的一個重要組成部分，但相當一部分企業內部監督體系殘缺不全，沒有設置內部審計機構。即使設置了內審機構，也是有名無權，審計工作無法開展，其職能也已嚴重弱化，嚴重影響了內部控制的有效性和執行力。還有的企業雖然建立了嚴格的監督機制，但監督內容不夠全面、不夠科學，側重于事后監督，對事前控制不做要求，也未設置相應的考核評價指標，審計人員的工作開展的實效得不到鑒證，內控措施難以真正落到實處。

二、完善企業內部控制的建議措施

1.強化控制意識，增強內部控制的權威性

企業首先應充分認識到實行內部控制的必要性，樹立正確的內部控制意識。管理者要提高自身的管理水平和管理思想，將內部控制制度的建設提到重要日程上來，并為其排除可能存在的制度建設障礙。在機構設置上科學規劃內控部門的權力與職責，保證內控工作人員順利開展工作，并結合企業自身的特點，加強對員工業務技能和內部控制知識的培訓，或通過內訓、考證、研討等方式促進內部審計人員綜合素質的提高，培養其采用現代內部控制信息技術手段的能力，改進傳統審計方法，提高監督質量，規避企業風險。

2.改善內控環境，突出關鍵控制點

首先應該構建濃厚的企業文化氛圍，創造良好的內部控制環境，通過加大宣傳和培訓貫徹力度，強化全員內控意識，規范員工內控行為，提高推進內部控制工作的積極性。其次建立科學高效的內部控制崗位責任制，明確權利與責任，調動企業內部各成員實施控制的自覺性，為內部控制的不斷完善創造條件。此外，還需注意突出關鍵控制點，結合企業實際情況，在保證內部控制整體流程的有效性的前提下，對內控設計和運行情況進行評估，關注各關鍵控制點，有重點地解決最有可能帶來風險損失的事項。以電信企業為例，由于電信運營商的運營業務基本是以信息技術為支撐，考慮到這個行業特點，再參考《薩班斯——奧克斯利法案》的要求，據需要著重從TI控制環境、計算機操作、程序及數據的訪問、程序開發及變更等方面進行改善，這種內控關鍵點的把握可以提高工作效率，節約人力物力。

3.加強企業內部控制的評價與監督

首先需建立事前、事中、事后監督體系。改變以往只重視事后監督的方式，對各項業務進行全程監控，盡可能地發現所有風險因素。但全程監控還應注意要有選擇、有重點對風險高點進行反復監督控制，以保證內部控制機制的高效性和可靠性。其次因為《內部審計準則第5號——內部控制審計》明確了內部審計與內部控制是檢查和被檢查、評價和被評價的關系，內部審計是對控制系統的再監督、再控制，在控制系統中具有不可替代、舉足輕重的地位，所以有效地執行內部控制必須加大內部審計的監督力度。內部審計機構應當隨時對內部控制制度執行情況進行檢查，監督企業內部各項規定的落實和執行情況。對監督檢查中發現的內部控制重大缺陷，直接向董事會及審計委員會報告，為改進企業內部控制提供建設性意見。還可以借助政府和會計師事務所等外部審計力量實現對內控的雙重監督，從而對企業內部控制進行獨立、客觀、公正的評價。

4.建立完善的企業內部控制體系，強化信息溝通

企業在建立內部控制體系時，在遵守現有法律規范的基礎上，必須與企業發展的具體條件和環境相結合。在設定控制目標之后，可采取以點帶面全面展開的策略，逐步健全多目標、多層次的內部控制整體框架，并隨著內控活動的開展不斷修改、完善，使其更好地為企業發展服務。同時要強化信息系統的溝通，確保組織中每個人都明確各自所承擔的特定職務，能及時獲取與外部的事項、活動及環境等有關的信息，調整自己的業務活動，保證工作效果不與企業發展目標相偏離，減少內部控制的工作量。

三、建設內部控制體系需注意的問題

內部控制對企業的風險管理成效顯著，但在具體的管理中還必須對內部控制有正確的理解，需注意以下問題：

1.內部控制具有相對獨立性，只是控制過程的一部分

企業應該努力建立完善的內部控制體系，但內部控制體系只是具有相對的獨立性，它可以通過控制監督發現企業存在的風險隱患和管理問題，卻不能完全解決差錯和避免一切舞弊的發生。管理層不能對內部控制提出過高的、不切實際的要求，不能完全依賴于內部控制體系來實現發展目標。內部控制也不是企業控制工作的全部內容和管理方式，內部控制要想收到預期的管理效果，還必須與其他部門密切配合，形成一個統一的、互相促進的整體，共同為企業的風險管理而努力。

2.要注意處理好內部控制與風險管理的關系

企業加強內部控制目的就是全面提升企業經營管理水平和風險防范能力，是企業風險管理的重要手段、核心內容。通過內部控制可以促使企業建立有效的風險管理系統，科學合理地開展風險的識別、評估、分析、報告等工作，增強風險管理的效率，將各種風險對企業可能造成的不利影響降低到最低程度。因此企業的內部內控應該與風險防范相結合，形成有機統一體，提高企業的管理效率。

3.企業內部控制體系建設的目標確定

企業內部控制作為企業管理的一種手段，其最終目的不是發現問題、懲罰失誤，而是要通過有效地內部控制手段實現企業價值的最大化。如果內部控制活動偏離了企業價值最大化的終級目標，其監督控制行為效果就不會是最佳的，不僅不會給企業帶來應有的效益和管理流程的改進，還可能引起其他部門的反感，激化利益矛盾，牽連企業其他項目的發展。因此，建立在價值管理基礎上的內部控制，才是企業所要建立的真正有效的內控體系。

4.將企業內控建設納入經營業績考評體系

目前我國企業剛剛處于內控建設的初期，員工受思想觀念的局限，對內控的重要性認識不足，開展工作積極性不高是普遍現象。要想真正將內部控制落實到位，就必須將這種制度的貫徹落實與員工最切身的利益相連，即把內部控制抽象性、要素性的方法和程序設計為企業具體可操作的方法與程序，對每個步驟制定考核指標，將企業內部控制建設同績效考核掛鉤，調動工作人員的積極性，保證內部控制工作在各部門的貫徹落實。

[1]胡興國.論中國特色的企業內部控制監管體系.財務與會計（綜合版），2009；8

[2]徐哲.董事會與企業內部控制環境創建.經濟與管理，2008；2

[3]胡玄能.企業內部控制規范解讀.新華出版社，2008