企業內部控制規范建設的理論與實務研究

【摘 要】隨著本世紀初世界范圍內公司舞弊事件的暴發，內部控制對于加強企業風險管理，防止企業失敗的重要作用已經得到了理論界和實務界的普遍認可。本文以大型企業為對象，以COSO風險管理框架為標準，對企業現行內部控制的理論和實務問題進行了粗淺的探討，希望對深化內部控制研究有所幫助。

【關鍵詞】內部控制；風險管理；控制環境；預算管理

2004年，為遵循《薩班斯法案》的要求，美國反虛假財務報告委員會發起人委員會（COSO）又發布了《企業風險管理——整合框架》，為強調了風險管理的重要性，將原有的《企業內部控制——整體框架》中的風險評估要素細化為目標確定、事件識別、風險評估、風險反應四個要素，從而將內部控制由五要素擴展為八要素。2008年，我國財政部、證監會等五部委聯合發布了《企業內部控制基本規范》之后，我國大型企業開始按照規范要求進行了內部控制方面的重建工作。但是，就整體上而言，我國企業現有企業的內部控制不管是在完整性，還是在系統性方面與標準化的內部控制規范相比，均存在不小的差距，直接影響了內部控制的執行力，迫切要求進一步加強理論研究工作，以便為企業內部控制實踐提供理論依據。

一、企業內部控制理論綜述

美國反虛假財務報告委員會總共發布了兩個內部控制文件，一個是《企業風險管理——整合框架》，另一個是《企業風險管理——整合框架》。后者主要是針對本世紀初美國一系列公司舞弊事件提出的，更強調了風險管理的重要性，其理念與企業面臨的多變的經濟環境比較吻合。所以，2008年，我國《企業內部控制基本規范》在形式上采納了《企業風險管理——整合框架》，但是在理念上全面接受了《企業風險管理——整合框架》，故本文主要以這兩個文件為依據，展開對內部控制的研究。（1）內部控制目標。根據COSO企業風險管理框架，企業內部控制目標是保證經營的效果和效率、財務報告的可靠性、法律法規的遵循性、企業資產的安全性和企業戰略的實現。該框架不再以財務報告為唯一目標，要求內部控制涵蓋企業經營管理的全過程，并且以企業戰略為落腳點，提升了內部控制的層次。（2）內部控制的主體和客體。隨著內部控制實踐和理論的發展，企業內部控制的要素和內容也在不斷擴展，企業內部控制的主體和客體也隨之不斷擴大。內部控制的主體由最初的最高管理層提升到到董事會層，把內部控制提升到了公司治理層面；、和所有員工，內部控制客體范圍則由最初的財務活動擴大到企業所有經營活動、董事會、管理層、企業風險項目及企業所有員工。（3）內部控制要素。內部控制是一個框架性的概念，它由控制環境、風險評估、控制活動、信息與溝通和監督五個要素組成，各要素相互支持、互相制約，缺一不可。第一，控制環境。控制環境是影響企業戰略實現的各種內外因素的組合。控制環境包括公司治理、組織結構、員工的職業道德、管理人員的管理哲學和風格、各部門的權責分配、企業人力資源政策等，為企業戰略實現提供了組織構架和運行規則，是其他控制要素發揮作用的前提和基礎。外部環境包括行業特征、市場競爭態勢、國家產業政策和政府監管等，它是影響企業發展戰略實現的外在因素。第二，風險評估。風險評估是對影響企業戰略實現的各種風險及其發生概率和影響程度所進行的評定和估算，目的是為企業制定風險管理策略提供依據。風險是指影響企業戰略實現的各種不利因素，風險評估的核心是管理風險，所以企業必須將相關的風險與具體的業務活動建立聯系，以便借助于業務活動控制對風險進行管理。這就要求企業必須要建立完整和有效的風險評估機制以識別、評估和應對對企業實現戰略實現具有重要不利影響的風險因素。第三，控制活動。控制活動指為保證企業戰略實現的各種政策和程序，它包括一系列針對經營管理的制度、政策和活動。控制活動應當貫穿于企業經營管理活動的始終和所有的層面，也就是說，控制活動應當作用于企業所有崗位和所有員工。第四，信息與溝通。信息是企業管理的基礎，也是企業風險管理的基礎。根據風險管理的要求，企業所有員工應當充分了解自己在內部控制中的角色和崗位職責。同時，企業還應當建立的開放的信息收集和溝通渠道，加強與客戶和供應商等利益相關者的聯系，以保證顧客可以通過信息溝通渠道向企業反聵關于產品或服務的設計或質量要求方面的需求信息，幫助企業提高及時響應市場的能力。第五，監督。監督是對企業內部控制持續性改善的過程，它指的是企業對內部控制完整性和有效性所進行的自我評價，這一督過程是在持續性的監督和專門評價兩種方式下進行的，實踐中這兩種方式是密不可分的。對內部控制的持續性監督內生于企業經營管理過程，與內部控制具有較強的粘合度，因而比較有效。專門評價獨立于企業具體的業務活動，它是在企業內部審計部門的組織下對內部控制的有效性所進行的評價，其范圍和時間頻率取決于持續性監督的效果的強弱。由于專門評價具有事后監督的性質，與持續性監督相比，更容易發現內部控制中的問題。

二、企業內部控制存在的問題

（1）內部控制目標問題。企業內部控制目標偏重于財務報告的可靠性和法律法規的遵循性目標，忽視了內部控制對經營效果和效率提升和對企業價值增長的貢獻。（2）內部控制主、客體問題。企業內部控制主體定位于高層管理人員和財務部門，忽視了董事會對內部控制的領導作用。由于內部控制主體定位過低以及內部控制客體不全面，企業經理層可以輕易地規避內部控制，內部控制往往流于形式。（3）內部控制要素問題。企業現有的內部控制系統相對注重內控組織和責權制度的建設，而忽視了企業文化和管理哲學等“軟控制”因素的作用。受長期計劃體制慣性的影響，我國企業管理層普遍不重視風險管理，幾乎沒有成型風險管理機制。內部審計獨立性和權威性不足，且定位于財務監督，沒有很好地發揮對內部控制的監督和評價作用。

三、內部控制體系架構建設

（1）完善控制環境。控制環境對企業內部控制的方式和特點有著潛移默化的影響，影響著控制的效率和效果。因此，加強控制環境建設是目前構建企業內部控制的首要任務。首先要加強企業文化建設，向員工輸入風險意識，增強其自覺服從內部控制的自覺性；其次，企業領導人要按照企業目標要求形成自己的風險偏好，并將其轉化為企業的風險偏好，為企業風險管理奠定基調。（2）建立風險評估機制。每個企業戰略目標的實現都要受到來自于內部和外部的各種風險的考驗，因而風險評估是企業風險管理的基礎和核心。由于企業所處的宏觀經濟環境和行業環境總是處于不斷的變化之中。這就要求企業必須建立起完善的風險識別、評估機制，以自如地應對各種風險的挑戰。（3）規范控制活動。控制活動由全面預算、授權審批等控制政策和程序組成。全面預算是對企業各種資源的戰略規劃和安排，因此首先要加強企業預算管理，嚴格預算編制、執行和調整程序，增強企業預算的約束力。其次要嚴格授權審批制度，將企業一切經營管理活動都納入到授權范圍之內，以增強內部控制對企業員工行為的約束力。（4）促進信息溝通。信息與溝通是風險識別和管理的依據，也是提高企業內部控制執行力的根本。風險管理要求信息溝通具有廣泛性，信息溝通渠道要遍布企業組織機體的各種方面。這就要求企業必須建立廣泛的信息溝通渠道，并保證其暢通無阻。（5）加強對控制的監控。提升對內部控制的監督關鍵在于，加強內部審計的作用，首先要理順內部審計管理體制，將內部審計直接置于董事會的領導之一，以加強對企業經理層的約束能力，增強內部審計在內部控制評價中的獨立性和權威性；其次要轉變內部審計職能，將內部審計的功能由傳統的財務監督職能拓展到為企業內部控制服務領域，并通過對內部控制的持續改善，為增進企業價值服務。

參 考 文 獻

[1]內部控制課題組．企業內部控制基本規范解讀與案例分析[M]．上海：立信會計出版社，2008

[2]肖旭東．我國企業內部控制現狀及原因探究[J]．企業導報．2010（5）

[3]朱榮恩．企業內部控制制度設計——理論與實踐[M]．上海：上海財經大學出版社，2005