企業(yè)內(nèi)部控制運行基礎(chǔ)及實施策略

◇趙曉會

隨著信息技術(shù)的應(yīng)用，企業(yè)管理已實現(xiàn)了戰(zhàn)略、經(jīng)營、財務(wù)一體化，但是企業(yè)內(nèi)部控制還停留于職務(wù)分離、賬證核對等財務(wù)控制層面，游離于戰(zhàn)略和經(jīng)營流程之外。因此，內(nèi)部控制如何在保證財務(wù)信息真實的基礎(chǔ)上服務(wù)企業(yè)戰(zhàn)略，是企業(yè)迫切需要考慮的問題。

一、企業(yè)內(nèi)部控制基礎(chǔ)建設(shè)

（一）管理層重視內(nèi)部控制

內(nèi)部控制是一個由企業(yè)管理層主導的自控系統(tǒng)，受到企業(yè)管理層真正重視是內(nèi)部控制有效的基本保證。但是，管理層重視內(nèi)部控制的前提是內(nèi)部控制要有用。因為內(nèi)部控制的有效性取決于多種因素，而且控制是否有效具有滯后性，何況還有相當多的企業(yè)雖然有完善的內(nèi)部控制，卻仍然沒有避免失敗。因此，在內(nèi)部控制建設(shè)之前，管理層就對內(nèi)部控制抱有信心很重要，只有如此，企業(yè)才會為內(nèi)部控制提供人才物資源，并通過建立各項制度，保證其有效實施。

（二）企業(yè)要有清晰的發(fā)展戰(zhàn)略

一個企業(yè)要實現(xiàn)其組織目標，必須要規(guī)劃戰(zhàn)略，并為員工所認知，作為員工行動的向?qū)Ш蛫^斗的目標。戰(zhàn)略是企業(yè)識別風險和管理風險的基礎(chǔ)，如果一個企業(yè)沒有清晰的戰(zhàn)略，或者戰(zhàn)略不被員工所熟知所理解，必然形不成統(tǒng)一的風險偏好，當風險出現(xiàn)的時候，必然會無所適從，形不成統(tǒng)一的應(yīng)對策略。

（三）統(tǒng)一的風險偏好

風險偏好是企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險的數(shù)量，其實是組織對待風險的態(tài)度。基于內(nèi)部控制的需要，企業(yè)應(yīng)當有統(tǒng)一的風險偏好，這樣才能有統(tǒng)一的思維和行動。因此，企業(yè)領(lǐng)導者要善于根據(jù)行業(yè)特征和企業(yè)特點確定自己的風險承受能力，并依次確定風險偏好，并且要注意使自己的風險為員工所認同，從而使其成為企業(yè)風險偏好。

（四）先進的風險文化

風險文化是企業(yè)內(nèi)部控制的動力機制的一部分。為此，企業(yè)要確立公司核心價值觀，并將其作為企業(yè)文化的核心。為了保證企業(yè)的核心價值觀被員工所理解和認同，就要注意企業(yè)核心價值觀的樸實化、通俗化，并且要注意與企業(yè)戰(zhàn)略目標和財務(wù)目標契合。例如，專注于顧客價值創(chuàng)造的價值觀，就容易被員工所認同，因為它不僅為企業(yè)創(chuàng)造價值，而且也會為員工成長創(chuàng)造機會。當公司的價值觀確定之后，再通過制訂《員工職業(yè)道德準則》和《企業(yè)文化建設(shè)規(guī)范》等文化創(chuàng)建活動，對其固化，最后內(nèi)化為企業(yè)文化。

（五）適宜的組織架構(gòu)

企業(yè)的信息溝通能力取決于企業(yè)組織結(jié)構(gòu)，例如，扁平化的組織結(jié)構(gòu)能夠減少管理層級，提高信息溝通能力，而直線制組織結(jié)構(gòu)則相反。企業(yè)應(yīng)當根據(jù)自身的規(guī)模、業(yè)務(wù)繁簡程度以及管理層的管理能力，選擇適當?shù)慕M織結(jié)構(gòu)模式。不管采取什么樣的組織結(jié)構(gòu)，機構(gòu)設(shè)置及權(quán)責分配都必須貫穿內(nèi)部控制的基本思想，各職能部門和各業(yè)務(wù)單位之間以及各業(yè)務(wù)流程之間應(yīng)形成相互制約、相互監(jiān)督的控制機制，上級可以制衡下級，同級可以相互制衡，下級也可以制衡上級。

二、企業(yè)內(nèi)部控制實現(xiàn)路徑

（一）營造控制環(huán)境

頂層設(shè)計主要是構(gòu)建內(nèi)部控制環(huán)境，包括組織架構(gòu)、企業(yè)文化、人力資源政策。內(nèi)部控制有五個要素，但是內(nèi)部控制整體質(zhì)量的高低不是由各要素的平均水平?jīng)Q定的，而是由其中最薄弱的一個要素決定的，內(nèi)部控制最薄弱的要素就是控制環(huán)境，因為我國市場經(jīng)濟發(fā)育不充分，公司治理不完善，企業(yè)文化尚沒有形成。

（二）流程再造

傳統(tǒng)的業(yè)務(wù)流程是建立在勞動分工理論基礎(chǔ)上的，它是職能化組織結(jié)構(gòu)，業(yè)務(wù)流程被部門割裂，信息傳遞緩慢失真，已經(jīng)很難適應(yīng)內(nèi)部控制對風險管理的需要，流程再造勢在必行。將金字塔式組織結(jié)構(gòu)改造為扁平化組織結(jié)構(gòu)，重組職能部門，重新劃分相關(guān)人員權(quán)責，盡可能實現(xiàn)信息的一次處理與共享，從而適應(yīng)內(nèi)部控制的需要。

（三）控制閉環(huán)建設(shè)

如前所述，內(nèi)部控制的有效性主要取決于企業(yè)管理層的意愿，所以說，作為一種制度安排，內(nèi)部控制本身就應(yīng)內(nèi)嵌執(zhí)行機制，由此構(gòu)成一個包含制度設(shè)計、制度執(zhí)行、制度檢查、約束和激勵的閉合系統(tǒng)。

（四）組織建設(shè)

風險是具有層次和系統(tǒng)性的，具有疊加、放大、抵消效應(yīng)，企業(yè)不能僅僅從某項業(yè)務(wù)、某個部門的角度考慮風險，而應(yīng)當對風險進行組合管理。首先要在董事會下設(shè)風險管理的領(lǐng)導機構(gòu)——風險管理委員會，從而將內(nèi)部控制納入董事會管理之下；其次，在最高管理層之下設(shè)立首席風險官，負責執(zhí)行內(nèi)部控制，以落實企業(yè)管理層對內(nèi)部控制的執(zhí)行責任；第三，在首席風險官下設(shè)風險管理部，具體負責內(nèi)部控制建設(shè)和運行工作；最后，賦予內(nèi)部審計風險管理職能，對內(nèi)部控制的運行進行監(jiān)督和評價。

（五）信息系統(tǒng)建設(shè)

信息與溝通是實施內(nèi)部控制的前提條件，企業(yè)需要通過信息傳遞和內(nèi)外部溝通掌握內(nèi)部控制體系運行情況，發(fā)現(xiàn)存在的問題。另外，伴隨著企業(yè)規(guī)模的擴大，企業(yè)的內(nèi)部組織結(jié)構(gòu)以及業(yè)務(wù)流程也變得更加復雜，僅僅依靠人工手段進行控制是不現(xiàn)實的，這就需要運用信息技術(shù)，將內(nèi)部控制政策固化于信息系統(tǒng)，實現(xiàn)對流程的自動控制，防止人為因素規(guī)避控制。鑒于此，企業(yè)應(yīng)當根據(jù)組織架構(gòu)、業(yè)務(wù)流程等特征，制訂信息系統(tǒng)建設(shè)規(guī)劃，對信息系統(tǒng)進行開發(fā)、運行和維護。

三、企業(yè)內(nèi)部控制實施策略

（一）將內(nèi)部控制規(guī)范內(nèi)化為企業(yè)法律

內(nèi)部控制是企業(yè)自己建立的法律，任何人都不能超越它。內(nèi)部控制制度是企業(yè)行為的底線，對任何違反內(nèi)部控制的行為必須予以懲處。例如，美國1934年《證券交易法》對于違反關(guān)于內(nèi)部控制制度條款的行為將處以罰款和監(jiān)禁。再如，1977年美國頒布的《反國外賄賂法》中規(guī)定違反該法中關(guān)于內(nèi)部控制條款的人將被判處5年的刑期和1萬美元的罰款。由此我們可以得到啟示，企業(yè)可以將外在的法律內(nèi)化為“企業(yè)法律”，為企業(yè)自覺執(zhí)行內(nèi)部控制提供保證。

（二）內(nèi)部控制逐步推進戰(zhàn)略

控制是一個系統(tǒng)工程，需要有適宜的環(huán)境。我國絕大多數(shù)企業(yè)的公司治理、組織架構(gòu)、企業(yè)文化、人力資源政策和業(yè)務(wù)流程等，都與風險管理不匹配。因此，內(nèi)部控制只能逐步實施，首先以財務(wù)報告內(nèi)部控制為重點，通過財務(wù)控制建設(shè)帶動管理控制建設(shè)。之所以要以財務(wù)報告為重點主要是基于以下原因：第一，財務(wù)信息是內(nèi)部控制的基礎(chǔ)，而企業(yè)財務(wù)信息質(zhì)量普遍不高，有必要加以控制；第二，財務(wù)工作是管理的核心，牽扯面廣，帶動性強，適宜于作為控制的主線，例如，我國已經(jīng)出臺的18項內(nèi)部控制制度大都與財務(wù)有關(guān)。有一些是直接關(guān)于財務(wù)控制規(guī)范，如財務(wù)報告、資金活動；有些是對與企業(yè)財務(wù)報表項目相關(guān)的規(guī)范，如資產(chǎn)管理、采購業(yè)務(wù)、全面預算；第三類是為實現(xiàn)有效的財務(wù)報告內(nèi)部控制所必需的事前、事中和事后制度支持的控制規(guī)范，包括信息系統(tǒng)、人力資源等。

（三）內(nèi)部控制與管理制度的整合

企業(yè)的內(nèi)部控制與管理制度的目標是一致的，都是為了提高經(jīng)營效率，完成財務(wù)目標，從而確保戰(zhàn)略的實現(xiàn)。因而內(nèi)部控制的建立必須與現(xiàn)有的管理制度相結(jié)合，將內(nèi)部控制規(guī)則自動嵌入企業(yè)管理制度中，在執(zhí)行管理制度過程中自動落實內(nèi)部控制制度，而不是在管理制度之外另搞一套內(nèi)部控制制度。整合實際上解決的是各項管理制度之間的協(xié)調(diào)問題。目前，企業(yè)的管理制度，如會計制度、財務(wù)制度、內(nèi)部審計制度、營銷管理制度、人力資源管理制度等，這些制度大多都與內(nèi)部控制重疊，這樣就會不可避免地出現(xiàn)內(nèi)部控制制度與已有的管理制度之間的協(xié)調(diào)問題。企業(yè)應(yīng)當以內(nèi)部控制的實施為契機，以系統(tǒng)觀為依據(jù)，對內(nèi)部控制和管理制度進行整體的思考，以內(nèi)部控制為主導，以流程為主線，以風險管理為目標，梳理管理制度，以此發(fā)揮內(nèi)部控制對管理制度的統(tǒng)領(lǐng)作用。

（四）內(nèi)部控制制度的整體優(yōu)化

每一個企業(yè)其實都有內(nèi)部控制制度，但是絕大多數(shù)企業(yè)現(xiàn)有的內(nèi)部控制制度都達不到內(nèi)部控制規(guī)范標準的要求。如果企業(yè)只是對現(xiàn)有的內(nèi)部控制修修補補，即對照規(guī)范標準，缺什么補什么，勢必會造成內(nèi)部控制的無序化，甚至出現(xiàn)矛盾和沖突。這就要求企業(yè)要有系統(tǒng)思想，對內(nèi)部控制進行通盤的思考，對流程進行梳理和再造，重組職能部門，重新劃分相關(guān)人員權(quán)責權(quán)限，使內(nèi)部控制整體優(yōu)化而不是局部優(yōu)化。

[1]張繼德.企業(yè)內(nèi)部控制規(guī)范體系實施的初始條件與應(yīng)對策略[J].北京工商大學學報（社會科學版），2012（04）.

[2]池國華.企業(yè)內(nèi)部控制規(guī)范實施機制構(gòu)建:戰(zhàn)略導向與系統(tǒng)整合[J].會計研究，2009（09）.

[3]財政部會計司考察團.英國和法國企業(yè)內(nèi)部控制考察報告[J].會計研究，2007（09）.