淺談內控體系建設對公司發展的重要性

辛德學 中鐵上海工程局市政工程有限公司企業策劃部，湖北省襄陽市 441000

淺談內控體系建設對公司發展的重要性

辛德學 中鐵上海工程局市政工程有限公司企業策劃部，湖北省襄陽市 441000

中國中鐵股份公司為推進兩大轉變，實現二次創業，特于2010年10月底在經濟發達的上海設點布局，新組建中鐵上海工程局有限公司。作為在滬港兩地同時上市的公眾公司的一員，自新組建之初就應在公司內部實行有效內部控制，防范經營、管理、財務、法律等風險，以保持公司高效可控跨越式發展。這不僅對企業內部員工負責，更是對廣大投資人負責。

內部控制；法律風險；流程；指引

近年來，世界上陸續發生了美國安然事件、墨西哥灣原油泄漏事件、三九集團董事長投資決策失誤案、TCL國際收購失誤案等，這些知名企業內發生的事件，給企業利益、聲譽造成了巨大打擊，甚至是致命的。分析發生原因，之前都有征兆，有關責任人不執行相關制度，內部控制不完備，造成企業內部管理失控。認識到這些情況以后，國家有關部門高度重視，財政部等五部委繼2008年6月發布了《企業內部控制基本規范》之后，2010年4月又發布了《企業內部控制應用指引》、《企業內部控制評價指引》以及《企業內部控制審計指引》，并要求自2011年元月1日起在境內外同時上市的公司首先施行。這些規范、指引的發布實施，不斷推進企業內部控制建設，提高企業經營管理水平和風險防范能力，促進企業可持續發展。作為新組建的公司，更應從開始就建立起完備的內控制度，規范公司，實現快速可控發展。下面就從內控制度的發展、概念、對象以及方法等方面予以論述。

1.內部控制的發展

內部控制的理論與實踐的發展經歷了一個漫長的時期，大體上經歷了內部牽制階段、內部控制制度階段、內部控制結構階段、內部控制框架階段、風險管理框架階段等五個階段。

內部控制源于內部牽制。古代的內部牽制的實踐是我們現代意義上的內部控制的淵源。例如：古羅馬宮廷庫房采取的“雙人記賬制度”，我國西周時期的內部牽制都是內部控制雛形的表現形式。內部牽制是指提供有效的組織和經營，并防止錯誤和其他非法業務發生的業務流程設計。內部控制制度有兩類：內部會計控制制度和內部管理控制制度，內部管理控制制度包括且不限于組織結構的計劃，以及關于管理部門對事項核準的決策步驟上的程序與記錄。會計控制制度包括組織機構的設計以及與財產保護和財務會計記錄可靠性有直接關系的各種措施。上世紀70年代以后，內部控制的研究重點逐步從一般含義向具體內容深化。而且，控制環境逐步被納入內部控制范疇。明確提出內部控制結構包括為合理保證企業特定目標的實現而建立的各種政策和程序，包括控制環境、會計制度和控制程序三個方面組成。進入90年代以后，學術界對內部控制的研究又進入內部控制框架階段。內部控制是受企業董事會、管理層和其他人員影響，為經營的效率效果、財務報告的可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程。這是目前國內外最為權威的內部控制理論。2004年，COSO委員會發布《企業風險管理——整合框架》。提出企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險控制之內，并為主體目標的實現提供合理保證。該框架拓展了內部控制，更有力、更廣泛地關注于企業風險管理這一更加寬泛的領域。

2.內部控制的概念

COSO委員會對內部控制的定義是“公司的董事會、管理層及其他人士為實現以下目標提供合理保證而實施的程序：運營的效益和效率，財務報告的可靠性和遵守適用的法律法規”。

國家五部委頒布的《企業內部控制基本規范》指出，內部控制是由企業董事會、證監會、經理層和全體員工實施的，旨在實現控制目標的過程。是在財務控制的基礎上，發展的以企業全部經營活動為對象開展的一系列管理活動，是以風險為導向，通過對戰略風險、財務風險、經營風險、合規風險和資產安全風險這五大方面的分析，采取相應的控制措施，從而實現風險的有效控制。因此，內部控制是財務控制的發展和延伸。

3.企業風險的客觀性分析

企業法人是以營利為目的的從事商品生產和經營活動的實體組織，依法獨立享有民事權利和承擔民事義務。法人實體地位決定法律風險的客觀存在。在市場經濟中，企業追求利潤最大化和法律的維護公平正義往往是矛盾的，但追求利潤時必須合法合規，否則就使企業面臨相應風險。

企業風險的存在是不以企業所有者、經營者的意志為轉移的。凡是有企業生產經營活動，就有風險；凡是有風險，就勢必給企業帶來損害。企業在經濟活動中的交易行為也決定風險的客觀存在。社會一切經濟活動都是通過各種各樣的交易行為進行的。有的經濟學家把經濟活動的交易行為分為基于市場的交易制度與基于企業的交易制度。在市場體系中，專業化的經濟活動由“看不見的手”協調，分散的資源有價格配置，這是“買賣的交易”；而在企業里，專業化的經濟活動由“看得見的手”協調，分散的資源有行政指令配置，這是“管理的交易”。顯然，“買賣的交易”是在法律上具有平等地位的主體之間進行的，“管理的交易”是在法律上的上下級之間進行的。這兩種交易行為的成立都有賴于法律加以規范，一旦違反法律就勢必發生法律風險。企業的組織性質決定了法律風險的客觀存在。企業是專門從事生產、貿易、運輸等經濟活動的經濟實體，是由為了共同經營目標的一群人結合而成立的。為了協調大家的活動，展現組織生命力，企業內部就應有一定形式的控制措施和規范約束成員的行為。但是，這與企業內部成員的自由是一對矛盾，任何成員在任何節點上對制度框架的破壞都勢必導致風險的發生。

綜上可見，企業面臨各種風險是不可避免的。企業應該正視風險，對于那些風險一旦發生后果嚴重，企業不能承受或不愿接收的情況，可以采取嚴格的風險防范措施，盡量避免其發生；對于那些重要風險，如果避免所花成本過高，有適當的途徑可以轉移，就可通過轉移的手段減少風險；對于那些風險發生的可能性很小，發生的負面影響也小，或者承擔風險比采取控制措施對企業的綜合收益更大的就可以接收風險；對其他風險，難以避免，也無法接收，就可以通過各種事前、事中、事后等控制措施降低風險。

4.建立內部控制體系，防范企業風險

內部控制的目標體現在戰略的實現、經營的合理、財務報告真實準確、資產安全和活動合法合規五大方面。從參與者來看，內部控制是由企業董事會、監事會、經理層和全體員工實施的，是企業所有人員參與的一個系統的活動。

內部控制是對經營活動的一項干預措施，是一個需要企業全體成員持續參與的過程，是一種流程的控制。通過內控實現企業的經營合法合規、企業資產安全完整、企業財務報告的信息（財務信息）和其他信息要真實可靠完整，最終達到通過內控提高企業的經營效率和效果，促成企業實現戰略目標。內部控制就是通過管理要效益。

內部控制主要包含內部環境、風險評估、控制活動、信息與溝通、內部監督等五大要素。內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。 風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。

對于新的中鐵上海工程局有限公司，結合公司施工生產的實際情況，根據《企業內部控制應用指引》、《企業內部控制評價指引》以及《企業內部控制審計指引》的具體要求，在參考股份公司其他單位已建立的內部控制管理體系經驗基礎上，建設“以風險為導向，以內部控制為手段”的內控與風險管理體系，建立統一、規范、有效的內部控制體系，增強公司風險防范能力。具體程序分為以下三個階段：

4.1 梳理公司所有業務流程，編制流程體系文件，全面覆蓋經營管理業務循環

正如“盲人摸象”的故事，不能只看到事物的一部分，而應看全局才能了解事物的全面和真實情況。企業中這樣的例子可以說是屢見不鮮。比如，我們對待同一個事物有不同甚至截然不同的視角和看法，這本身就是一個最好的例證。日常工作中，正是由于長期的職能導向，我們的視角被局限在流程的某一小段，對流程整體的認識來源于上下環節直接接觸的模糊認識，流程中各個節點“各自為政”，導致公司無法有效開展內部控制管理工作。為解決這個問題，需要將公司內所有業務活動的程序固定化、清晰化，對尚未固化（按習慣或憑經驗）的隱形流程顯性化，對描述不完整、不清晰、與實際運作不符而影響規范化管理的現有流程進行分析、清晰與確認。將公司的流程分為三個層次，分別是：一級流程、二級流程、三級流程。通過這種由粗到細，由橫向和縱向交替的方式梳理公司所有的業務流程，搭建公司流程體系框架。

4.2 基于業務流程，識別、評估經營管理風險

建立內控體系的一個指導思想是以風險為導向，風險是由目標所決定的。因此，公司應該設定的目標，全面、系統、持續地收集相關風險信息，結合實際情況對風險進行評估。

根據設定的控制目標，收集與公司風險和風險管理相關的內、外部初始信息，并對收集的數據和信息進行反復核實、不斷驗證，以確保信息本身的真實、可靠，通過必要的篩選、提煉、對比、分類和組合對風險進行識別，以便開展風險評估。

外部初始信息至少包括：

1）國內外宏觀經濟政策以及經濟運行情況，影響融資、資本支出等。

2）國家安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素，導致對產品或服務需求的變化、新的購買場所和人力資源問題。

3）行業狀況、國家產業政策因素。

4）能源、原材料、配件等物資供應的充足性、穩定性和價格變化。

5）潛在競爭者、競爭者及其主要產品、替代品情況等競爭因素，影響公司的戰略目標。

6）技術進步、工藝改進等科學技術因素，影響研發的性質和時機。

7）不斷變化的客戶需求和期望， 影響產品的開發和定價。

8）自然災害、環境狀況等自然環境因素，可能導致公司遭受損失。

9）法律法規、監管要求等法律法規和政策因素。如財務部、國稅局、北京市地稅局、銀監局、證監局關于購買固定資產的增值稅優惠政策、關于購買節能減排等專用設備的企業所得稅優惠政策等。

10）其他有關外部風險因素。

內部初始信息至少包括：

1）公司組織機構、管理層職責的變化，包括組織結構的形式，各職能部門的劃分，以及各職能部門的權責分配情況，上述變化可能影響公司實施控制的方式。

2）公司的發展戰略和規劃、投融資計劃、年度經營目標、經營戰略，以及編制這些戰略、規劃、計劃、目標的有關依據等信息。

3）公司的各種業務政策，包括普遍性原則和具體的操作指南，是連接戰略與業務流程的鏈環，可能導致公司戰略目標不能得以實現。

4）公司的各種業務流程信息，包括質量、安全、環保、信息安全等管理中曾發生或易發生失誤的業務流程或環節。

5）經營方式、資產管理等管理因素，可能產生公司資產的挪用。

6）董事、監事、經理及其他高級管理人員的職業操守、必要的知識、專業技能和經驗等人力資源因素，可能為管理層的輕率行為提供機會，致使公司遭受損失或業務控制系統失靈。

7）財務狀況、經營成果、現金流量等財務因素，影響財務報告信息的真實完整性。

8）信息系統運行中斷，影響經營的正常運轉。

9）公司簽訂的重大協議和有關貿易合同，以及發生的重大法律糾紛案件的情況等，可能導致公司的法律風險。

10）其他有關內部風險因素。

然后才用定性和定量相結合的方法，按照風險發生的可能性及影響程度，對識別的風險進行分析。

4.3 評價控制措施的有效性

具體內容包括：對比流程風險,評價控制措施的有效性；識別控制缺陷,進行流程優化。

針對所有流程，分析流程可能遭遇的風險和已采取的控制措施，評價流程中的控制措施是否能夠有效規避或降低相關風險發生的可能性。

[1]中華人民共和國財政部.企業內部控制規范（第1版）.北京:中國財政經濟出版社. 2010;1-205

[2]企業內部控制編審委員會.企業內部控制配套指引解讀與案例分析（第1版）上海:立信會計出版社.2010;1-410

[3]胡為民.內部控制與企業風險管理：案例與評析（第1版）.北京:電子工業出版社. 2009;1-241

[4]德勤華永會計師事務所有限公司企業風險管理服務組.構建風險導向的內部控制（第1版）.北京：中信出版社.2009;1-207

[5]2010年全國企業法律顧問執業資格考試用書編委會.企業法律顧問實務分冊(第1版).北京：經濟科學出版社.2010;540-561

10.3969/j.issn.1001-8972.2011.12.095