發展行業內控軟件 推動內控體系建設

【摘 要】2008年6月，財政部等五部委發布了《企業內部控制基本規范》。2010年4月，又發布了《企業內部控制配套指引》。至此，我國企業內部控制規范體系基本建成。建立符合規范的企業內部控制制度并對內部控制有效性定期出具評價報告，成為我國上市公司及擬上市公司的法定任務。但從實際情況來看，我國企業內控普遍薄弱，人員儲備不足，本文從國內上市及擬上市公司對于內控建設的迫切需要、內部控制行業指南、利用內控軟件加快內控建設的可行性幾個方面進行分析，著力于開發內控軟件基于行業操作指南的總結與推廣。

【關鍵詞】內部控制；內部控制設計；內部控制體系；內控軟件

2008年6月，財政部等五部委發布了《企業內部控制基本規范》。2010年4月，又發布了《企業內部控制配套指引》。至此，我國企業內部控制規范體系基本建成。按照要求自2011年1月1日起，首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行；并在此基礎上，擇機在中小板和創業板上市公司施行。這使得建立符合規范的企業內部控制制度并對內部控制有效性定期出具評價報告，成為我國上市公司及擬上市公司的法定任務。截至2012年底，我國境內上市公司總數2494家[1]，隨著2013年底IPO的重啟，由于證監會對公司的IPO提出了內控報告的要求，因此我國在法律制度上對內部控制制度有要求的企業數量超過1萬家。同時，三板市場的開放也將帶來更大的內控設計咨詢及評價市場。

按照財政部等五部委要求，我國上市公司開展內控規范體系分類分批建設，國有控股上市公司、非國有控股大型上市公司及其他上市公司2014年時需全面披露公司內部控制的自我評價報告[2]。內部控制體系建設的效果如何，評價報告可以說是一次集中檢驗。

1 內部控制規范體系建設在不同階段的建設重點

按照企業內部控制成熟度，可將企業的內控體系建設分成幾個層次：

初級階段：在此階段下企業的內部控制是不可靠或不正式的，企業沒有設計或實施任何控制，或者雖然存在一定的控制措施，但沒有進行足夠的記錄，主要依賴手工干預，公司內沒有就控制措施開展培訓或溝通。

發展階段：在這個階段，企業存在控制措施并進行了規范，雇員對現有控制措施有所了解，但控制偏差可能發生。

合規階段：此階段下，企業的標準控制措施到位，且對這些措施定期進行測試以評價其設計和操作，符合我國對上市公司的《企業內部控制規范》要求。企業為支持控制措施會有限使用一些自動化工具。

高級階段：此階段企業對于內控的重點是不斷優化，企業具有一個集成的內部控制框架以及管理層的實時監控以實現持續改進；使用自動化流程和工具來支持控制措施，使得組織能夠在必要的時候快速修改控制。

由幾個階段的特點可以判斷，企業從初級及發展階段過渡到合規階段，重點在于對內部控制的理解，體現在控制措施的制定、測試、評價、改進的文檔工作。而企業如果要達到高級階段，僅僅依靠手工核算，或者簡單的自動化工具是不夠的。必須依靠實時監控及商務智能工具，以實現組織的實施監控、持續改進的要求。

2 我國上市公司內部控制規范體系現狀

2.1 第一梯隊：內控成熟企業

這部分以我國境內外同時上市的公司為代表。21世紀初期，國際資本市場上的典型舞弊案件如安然事件等，使得內控普遍成為境外資本市場的監管要求。由此，我國境內外同時上市公司，從數年前甚至更早就開始進行內部控制建設，并已從初步摸索階段逐步達到基本成熟階段。而且，境內外同時上市公司規模較大，企業業績與支付能力較強，擁有較好的管理基礎、規范的內部運行方式以及優秀的人才儲備，在已建設的內控體系基礎上，結合我國內控基本規范及應用指南，較好的將我國與海外對于內控外面的要求進行并軌。

2.2 第二梯隊：國有控股及規模較大的上市公司

中央和地方國有控股上市公司以及總市值在50億元以上，年平均凈利潤在3000萬元以上的大型上市公司。除68家境內外同時上市的公司外，財政部、證監會等部委2011年選取了216家上市公司作為內控試點企業，這部分企業作為試點企業，多數也執行了一段時間的內部控制規范，擁有較好的執行基礎。2012年范圍增大到全部中央和地方國有控股上市公司。2013年擴大到非國有控股的大型上市公司。

2.3 第三梯隊：其他主板上市公司

從2008年《內部控制基本規范》頒布實施后，我國上市公司對該項制度逐步接納。實際執行中，2011年在滬、深交易所2340家上市公司中，共有1844家上市公司披露了內部控制自我評價報告。但根據迪博企業風險管理技術有限公司的內部控制白皮書中的統計[3]，以65分為滿分的內部控制水平打分，我國整體水平未達中位數。

說明：引自迪博企業風險管理技術有限公司《中國上市公司2012年內部控制白皮書》、《中國證券報》2012年6月13日.

2.4 第四梯隊：創業板及其他中小企業

這部分企業相對內部控制基礎較弱，很多企業具有較強的家族制管理特點，企業主家長的管理，使得企業主的意見被無線擴大，及時存在管理制度也可能被無視；有的企業人員規模較小，組織結構簡單，由于人員和組織結構的制約，使得內控流程、崗位制衡等措施較難實施；還有些企業由于發展較快，內控制度本身的變更追趕不上企業業務的發展。這些情況造成了在這個梯隊中，很多企業的內控未達合規程度。

3 完善我國內部控制體系的探索

從實際情況來看，我國企業內控普遍薄弱，人員儲備不足，由企業獨立實施內部控制難度較大。借鑒美國SOX法案實施的情況，借助外部咨詢力量又普遍成本高昂。如何在成本與內控實施效果間尋找符合我國境內上市公司特點的內部控制體系建設途徑，成為財政部、研究機構、上市公司以及內控咨詢機構的研究及實踐的重點。

從實踐和理論研究兩個方面，目前認為從兩個方向的摸索，可以降低個體公司的內控建設實施成本的同時，提高相應的內控建設效果。一是，加強行業內控規范的總結和推廣；二是，逐步發展內控軟件暨信息化的應用。通過這兩個方面的發展，將實現內控實施的“管理制度化、制度流程化、流程信息化”的最終目標。

3.1 行業內部控制規范體系的發展

《內部控制基本規范》和相應指引的出臺，為企業建立的內部控制規范體系提供了框架。而不同的行業，面臨的風險不同，其業務范疇和流程也有較大區別。基于風險的內部控制規范體系，要求企業根據風險確定控制點，繼而規劃業務流程。因此，將企業按照不同行業梳理，將更加容易實現“管理制度化、制度流程化”的內部控制規范體系的建設。

第一梯隊及第二梯隊的企業經過這些年的內控建設，不少企業的內控制度進行了多次評估和修訂，相對成熟。2012年，財政部為幫助企業有效實施推動《企業內部控制基本規范》[4]及其配套指引，會同中國石油天然氣集團公司、中國石油化工集團公司、中國海洋石油總公司，在借鑒和吸收三家石油石化企業內控管理成果和具體經驗做法的基礎上，研究編寫了《石油石化行業內部控制操作指南》，提出了石油石化行業內部控制的設計原則、基本思路和建設方法，總結歸納石油石化行業公司層面和一般業務層面存在的具體風險和相應的控制措施，可以為行業內企業和其他類型企業實施內部控制提供借鑒和幫助。

對于房地產、商品流通企業、工業企業、能源企業、公共事業、金融企業、建筑企業、通信企業、服務企業等行業，可以借鑒石油石化行業內控制度操作指南的做法，更加有針對性的結合行業特點設計符合本行業特點的內控操作指南。

3.2 內部控制軟件的積極探索

傳統上的風險管理不可避免地會伴隨著大量文檔的生成，這對企業來說是一項非常沉重的負擔，靜態的文檔難于管理，不能實時地監控各種業務事務，沒有自我糾錯能力，小到拼寫錯誤，大到業務邏輯錯誤都很難自動做出反應。即使業務邏輯發生很小的變動的時候，都會伴隨難以想象的連帶改動，而所有這些都是軟件所具有的得天獨厚的優勢。

1）行業版通用內控文檔管理軟件

企業如果處在內控控制規范體系的合規階段或在向合規階段的進程中，內控的重點是控制措施的制定、測試、評價、改進的文檔工作。通過行業操作指南的發展，行業版的通用內控文檔管理軟件的開發成為可能。在這種情況下，內控軟件的推廣，一方面可以大大降低企業尤其是中小企業建設內控規范體系的成本。另一方面，內控環境的不斷變化，決定了內控本身也需要不斷調整。因為企業的業務流程是不斷發展的，企業有必要采用一定的守法軟件來將公司運營和報告完全集成起來。如果企業還在使用紙質體系或簡單的軟件，比如電子表格、字處理和流程圖軟件來記錄其業務流程控制措施，則很難適應持續編制和不斷調整的需要。使用電子表格和字處理軟件來編制相關文檔，這種方式尚能滿足初步文檔管理的需求，在記錄文檔和流程的變化上很容易出錯。

2）商務智能內控軟件

文檔管理軟件，僅僅是內控軟件的一小部分，企業如果開始從合規階段向高級階段邁進，僅僅依靠手工核算，或者簡單的自動化工具是不夠的。必須依靠實時監控及商務智能工具，以實現組織的實施監控、持續改進的要求。

高階的內控軟件工具可以幫助企業充分理解產生的與企業活動相關的信息。這些工具從不同系統中收集數據，對數據進行分析、編輯、抽樣和提取，比較財務報表科目的變化和模式與預期正常值，以幫助識別標示著欺詐或錯誤的非正常信息。通過引入商務智能等工具，使得這些分析更加智能化，展現了強大的報告和圖形分析能力。通過實時應用，將控制與流程緊密聯系、分析和描述這些流程并將其與目標和風險聯系。讓監控和管理風險更為容易。而如果選取關鍵業績指標來作為參數，經理人可以使用這些信息來決策何時以及如何應對不斷變化的商業環境。

4 行業操作指南與信息化應對內控控制缺陷

根據上市公司已披露的常見內控控制缺陷，來分析行業操作指南及內控信息化是否可以降低企業內控控制缺陷。

4.1 設計缺陷和運行缺陷

企業參照“行業操作指南”的經驗，可以較好的幫助企業避免制度建設方面引起的重大設計缺陷。而內控軟件的全面應用及其留痕的特點，不僅能夠幫助企業避免由于不按制度流程操作引發的執行缺陷，還能大大提高企業執行效率。

4.2 公司層面缺陷和業務控制層面缺陷

公司層面指整體上存在的問題，比如內部控制的自我評價沒有形成完整的工作底稿，未嚴格按照企業內部控制評價指引要求開展內部控制評價工作；而業務層面則較為具體，如收入確認存在截止性差異問題等。行業操作指南能在一定程度上減少疏漏，但由于每個企業的特點不同，企業仍需根據自身特點及時梳理。

4.3 信息系統控制自身的缺陷形成內控缺陷

比如系統用戶及權限管理、計算模型等，隨著內部控制軟件的完善，同時提高對信息系統本身的內控意識，將減少信息系統控制缺陷。

4.4 與財務報告相關的缺陷和與非財務報告相關的內控缺陷

如財務報告內部控制缺陷中會計基礎工作方面，表現為存貨盤查時個別月份沒有簽名記錄、個別內部固定資產轉移臺賬變更記錄的及時性以及員工離職軟件系統及時與實際記錄核對等；非財務報告內部控制缺陷，表現在公司對外購軟件的管理、企業文化建設的完善等。內部控制軟件的自動審計功能，可以簡化日常的監督工作，提高內控規范體系的運行效率。

5 內部控制體系發展建議

內部控制作為企業自我調節和自行制約的內在機制，處于單位中樞神經系統的重要位置，是公司加強管理的重要手段。對于需為投資者負責的公開上市公司，內部控制建設的成熟程度，將成為投資者決策的重要信息來源。而要切實做好我國上市公司內控建設，首先需要企業高層領導提高對內控工作的重視程度，配備適當的資源，明確各個管理層次的內控職責和權限，為企業內控建設提供強有力的組織保障。

另外，可以合理利用外部力量，同時注重內控建設與企業自身情況的結合。企業在內控建設過程中，可以適當借助行業領頭羊的規范體系經驗，如參考內部控制的行業操作指南還可以利用外部咨詢機構協助開展工作。外部經驗只能適當借鑒，不能完全照搬，使內控建設著眼于企業實際。

最后，推進信息化建設，是促進內控手段固化和落地的重要手段。隨著內控建設的不斷推進，信息化應成為內控體系建設的一項基礎性工作。企業應立足實際，結合行業性質和業務特點，推進“內控管理制度化、制度流程化、流程信息化”，有效完善內控管理系統，促進企業管理水平整體提高。

【參考文獻】

[1]前瞻產業研究院：2012年12月我國上市公司數量情況分析[OL].前瞻網.

[2]財政部辦公廳、證監會辦公廳.關于2012年主板上市公司分類分批實施企業內部控制規范體系的通知[R].2012-8-14.

[3]迪博企業風險管理技術有限公司.中國上市公司2012年內部控制白皮書[J].中國證券報，2012-6-13.

[4]財政部.內部控制基本規范[S].（財會[2008]7號）.

[責任編輯：丁艷]