企業內控“大有可為”

【摘 要】日前，財政部、證監會在《我國上市公司2013年實施企業內部控制規范體系情況分析報告》中曬出了一批企業內控“黑名單”， 上海家化、康達爾、四海股份等25家A股上市公司“榜上有名”。另外，報告還披露了31家企業存在內部控制重大缺陷。數據不容樂觀。國際內控權威專家Adrian Cadbury爵士曾說，“公司的敗績都是由內部控制失敗引起的”。由此可見，構建科學的內部控制體系，對建設一個管控有力、運行高效的現代型公司具有重要作用與意義。

【關鍵詞】企業內部控制；體系

1.內控體系建設目標—合規為基礎，提升為根本

內部控制體系建設應以保障和促進業務發展的效果和效率為目標，以提升可持續發展的企業競爭力為根本，實現從合規經營到提升效率的優化升級。所謂“合規”，就是保證企業經營管理合法合規，確保企業資產安全，保證財務報告及相關信息真實完整。“提升”即在實現“合規”的基礎上，提高企業經營效率和效果、促進企業實現發展戰略。

在內部控制體系建設完善的過程中，企業將逐步實現內控的合規性、可操作性及標準化。“合規性”為第一階段目標，即構建符合《企業內部控制基本規范》和監管機構要求的內部控制體系；“可操作性”為第二階段目標，即構建與業務、產品、流程、系統變化想適應的、具備可操作性的內部控制體系；“標準化”為第三階段目標，即統一定義內部控制體系的語言和標準，實現關鍵業務條線的標準化運行，提升內控水平。

2.內控體系建設過程—分階段、分層級”

內部控制體系建設是一個長期過程，并非“一蹴而就”，需要公司分階段、分層級的開展。

首先，內部控制體系建設不應停留在針對現狀進行查漏補缺的階段，還應結合公司未來業務的發展趨勢、同行業領先實踐、國際國內的監管要求，具有前瞻性地建立一套完善、適應公司持續發展、靈活且可落地執行的內部控制規范體系以及運行保障機制，以切實滿足公司未來的業務發展需要。

其次，內部控制規范只有得到切實落實，才能實現公司的“長治久安”。必須切實將內部控制規范通過制度規范融入流程和操作、通過業務系統的升級和建設將內部控制嵌入系統，最終將內控執行落到實處，以真正實現內部控制與風險管理手段、工具的建設與提升。

第三，內部控制體系建設需保持常態化、持續化，不是一朝一夕就能完成的。企業必須結合未來業務發展步伐，循序漸進地建設內部控制體系，最終形成動態監控、持續完善、持續改進的長效機制。通過持續的內部控制體系建設、完善與提升工作，促進企業發展戰略目標的實現，實現股東回報。

3.全方位構建內部控制體系—“全面、全員、全過程”

以全面風險管理為導向的內部控制體系應實現“三全控制”—“全面、全員、全過程”。

全面控制。

企業的內部控制應涉及企業的方方面面，涵蓋企業經營的各個環節、各個流程、各個崗位。

首先，應制定覆蓋全業務面的內部控制規范與流程。

全面控制建設應圍繞內部控制五要素開展，確保每項工作都有制可依、有據可循。涉及的規范和流程應涵蓋公司組織架構、發展戰略、人力資源、社會責任、企業文化、資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息傳遞、信息系統。在建立內部控制規范時，還應考慮到公司未來發展規劃與國內外內控制度的要求，在設計制度與流程時堅持嚴謹性與靈活性相統一。

其次，建立以風險類別為主線，以關鍵業務和管理領域為維度的風險庫。

企業的風險成因可分為外部風險和內部風險，外部風險通常來自經濟、法律、政治、社會、同業競爭和科學技術等；內部風險包括基礎設施、人力資源、業務流程、技術能力、管理基礎和風險事件等。企業在實施內部控制，進行風險管理時，首先應識別公司經營中的各項風險點，記錄風險信息，根據風險的來源，分析風險發生的可能性以及對公司造成的負面影響和可能發生的后果確定固有風險等級，并提出相應的風險應對措施，形成覆蓋公司各項經營業務的風險數據庫。

此外，還應建立內部控制監控預警體系，對各項風險進行持續監控、分析、預警、報告。定期對風險數據庫進行維護和更新，以適應新的業務領域，并對業務流程的關鍵控制點進行不斷建設與改進。

4.全員控制

深入完善的內部控制體系離不開公司管理層高度重視和支持、內部審計部門充分發揮職能和作用，更離不開公司全體員工的積極參與、多方配合。

首先要培養員工的全局觀念和風險管理意識。

通過持續的內控制度及標準宣導，樹立規范的職業道德操守，確保所有員工能夠正確理解和執行相關制度，切實履行崗位職責。通過長期教育提高全員防風險、防隱患、堵漏洞的工作意識，能夠將在工作中遇到的問題與內部控制和風險管理相聯系，主動防范風險并提出可操作的改進建議，將靜態的制度和流程用活用到位，避免內部控制成為擺設，從而真正建立起完善有效的內部控制體系。

其次要明確界定崗位職責權限。

內部控制是一套制度、一班人馬以及一系列相應行為的動態組合。如何將這一整套的活動細化到流程，責任到崗位是內部控制體系建設過程中一門不可小覷的技巧和藝術。在實際操作中，必須首先將每個業務流程按部門責任分工，再在部門內將各個流程和控制點細化到崗位，并界定明確的崗位職責。部門內部應指定內控管理員，通常以部門主管或業務骨干為主力，形成上下聯動、責任到人、齊抓共管的良好局面。此外，還應規范審批權限和流程，切實有效地執行不相容崗位分離制度。

三是建立內控考核機制，調動全員積極性。

考核有兩個方面，一個是激勵，一個是懲罰。內外兼修，壓力與動力并存，才能真正為內控落地“保駕護航”。一方面，企業可通過常規性和非常規性的審計、內控檢查等，對內控標準的執行、內控的評估、缺陷的整改進行考核評價，推動執行工作的落實到位，并通過問責、通報、警示函等方式促進內部控制持續改進。另一方面，企業可建立有效的內部控制激勵機制，對于嚴格執行內部控制制度的，可給予精神鼓勵和物質獎勵，還可與職務升降掛鉤。

5.全過程控制

對企業來說，內部控制不應是靜態的控制，而是動態管理。內部控制僅做到全面、全員還不夠，還必須做到全過程控制，不能只是單一的事后檢查控制，還要實行事前、事中的動態控制，為企業構筑起三道防線。

一是事前控制。事前控制主要由業務部門執行，由此構成企業安全運營的第一道防線。各崗位工作人員按照事先公司制定好的業務制度與流程進行運營，保證業務活動沿著既定的方向進行。執行期間，業務部門要時刻把控風險，通過了解情況、收集整理資料、掌控規律、預測趨勢、正確預測出未來可能發生的問題，提前采取措施防患于未然，將隱患扼殺在萌芽中。

二是事中控制。事中控制主要由內控部門及合規部門執行，由此構成企業安全運營的第二道防線。內控及合規人員應在日常工作中積極配合業務部門，共同管理風險，監測業務流程中的控制點、監控內部控制的有效性并定期審視內部控制設計有效性，在經營活動過程中做到及時指導、及時檢查、及時監督，發現問題時及時更正，確保經營活動順利進行。

三是事后控制。事后控制主要由內部審計部門執行，由此構成企業安全運營的第三道防線。內部審計部門需堅持年度經濟綜合審計和平時專項審計相結合，以經濟效益審計為中心，對公司進行全面審計，及時發現問題，提出整改措施，切實抓好整改。此外，還應抓好內部控制制度的評審，審查總結內部控制各環節、各方面的有效性和存在問題，為不斷強化內部控制，提高整體效益及時提出建議。

綜上所述，企業在經營管理中，應多方面、多渠道發揮內部控制效能，建立起“全面”、“全員”、“全過程”的內部控制體系，從而最大限度的避免和減少經營管理活動中出現的無效和錯誤行為。