內(nèi)部控制研究及大中型企業(yè)建立內(nèi)部控制體系思考

寧德穩(wěn)

（云南電網(wǎng)公司，云南 昆明 650000）

一、企業(yè)內(nèi)部控制基本理論

（一）企業(yè)內(nèi)部控制框架結(jié)構(gòu)

在能夠檢索的文獻(xiàn)資料中，內(nèi)部控制通常與獨立審計師的需求聯(lián)系在一起，早期主要通過實物管理和薄記記錄的分離來實現(xiàn)內(nèi)部牽制，強調(diào)以職責(zé)分工互相監(jiān)督的方式來保護(hù)企業(yè)內(nèi)部現(xiàn)金資產(chǎn)的安全和賬薄記錄的準(zhǔn)確。隨著社會經(jīng)濟的持續(xù)發(fā)展，經(jīng)濟關(guān)系亦加復(fù)雜多變，特別是90年代后，美國出現(xiàn)了一些內(nèi)控方面的重大事件，推動了內(nèi)部控制理論的研究和發(fā)展。至今，內(nèi)部控制理論的發(fā)展經(jīng)過了四個歷程，即本世紀(jì)40年代前的內(nèi)部牽制，40年代末至70年代的內(nèi)部控制制度，70年代至90年代初的內(nèi)部控制結(jié)構(gòu)，及90年代開始的內(nèi)部控制綜合框架。1992年，美國COSO委員會發(fā)布的COSO《內(nèi)部控制整合框架》中，將內(nèi)部控制定義為由一個企業(yè)的董事會、管理層和其他人員實現(xiàn)的過程，旨在為財務(wù)報告的可靠性、經(jīng)營的效果和效率、符合適用的法律和法規(guī)的目標(biāo)提供合理保證。其內(nèi)容涵蓋三個目標(biāo)，即經(jīng)營、財務(wù)、合規(guī)；兩個層面，即企業(yè)層面、業(yè)務(wù)流程層面；五個要素，即控制環(huán)境、風(fēng)險評估、控制活動、信息溝通和監(jiān)控。這是目前得到廣泛認(rèn)可和應(yīng)用的關(guān)于內(nèi)部控制的定義。其范圍主要是針對企業(yè)組織內(nèi)部的經(jīng)營活動。COSO框架的建立標(biāo)志著內(nèi)部控制第一次有了統(tǒng)一的技術(shù)標(biāo)準(zhǔn)。

隨著內(nèi)部控制實踐在國外的發(fā)展，中國也于2006年7月15日由財政部、證監(jiān)會、審計署、銀監(jiān)會和保監(jiān)會聯(lián)合發(fā)起成立了企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會，并于2008年6月28日發(fā)布了我國首部《企業(yè)內(nèi)部控制基本規(guī)范》，同時發(fā)布了22項應(yīng)用指引和評價指引、鑒證指引（征求意見稿）。基本規(guī)范將內(nèi)部控制定義為：“由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標(biāo)的過程”。借鑒COSO框架，內(nèi)容涵蓋五個目標(biāo)、兩個層面和五個要素（見模型圖-《企業(yè)內(nèi)部控制規(guī)范－基本規(guī)范》框架）：

注：根據(jù)五部委聯(lián)合發(fā)布的基本規(guī)范二、三、五條制作。

內(nèi)部控制的五個目標(biāo)：一是合理保證企業(yè)經(jīng)營管理合規(guī)合法；二是合理保證企業(yè)資產(chǎn)安全；三是合理保證企業(yè)財務(wù)報告及相關(guān)信息真實完整；四是提高經(jīng)營效率和效果；五是促進(jìn)企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。

內(nèi)部控制的五個要素：一是內(nèi)部環(huán)境，是由管理層倡導(dǎo)一種正直、倫理道德風(fēng)氣、宣傳管理宗旨、經(jīng)營方式和人力資源政策，使職員自覺管理其活動和履行他們的責(zé)任。含六個方面，即企業(yè)治理結(jié)構(gòu)、內(nèi)部機構(gòu)設(shè)置與職責(zé)分工、內(nèi)部審計、人力資源政策、企業(yè)文化和法制環(huán)境；二是風(fēng)險評估，即管理當(dāng)局應(yīng)對目標(biāo)完成期間與企業(yè)相關(guān)的風(fēng)險進(jìn)行識別、預(yù)見，并采取相應(yīng)避險措施的管理控制。含四個方面，即確定風(fēng)險承受度、識別風(fēng)險、風(fēng)險分析和風(fēng)險應(yīng)對；三是控制活動，控制活動亦稱控制措施，為實現(xiàn)內(nèi)部控制目標(biāo)提供合理保證而制定的各項政策、程序和規(guī)定，含七個方面，即不相容職務(wù)分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財務(wù)資產(chǎn)保護(hù)控制、預(yù)算控制、運營分析控制和績效考評控制；四是信息與溝通，是對關(guān)系企業(yè)內(nèi)部和外部的事件或活動、有關(guān)的財務(wù)或非財務(wù)信息都應(yīng)當(dāng)加以識別、占有，并及時有序地傳遞給決策者和職責(zé)履行者。主要圍繞信息收集、信息傳遞、信息技術(shù)平臺、反舞弊機制、舉報投訴制度和舉報人保護(hù)制度等展開；五是內(nèi)部監(jiān)督，是為保證內(nèi)部控制的適當(dāng)性和有效性而進(jìn)行的日常和定期監(jiān)督、檢查。主要針對內(nèi)部監(jiān)督的類型和方式、內(nèi)控自我評價和缺陷認(rèn)定機制、內(nèi)控記錄制度等進(jìn)行規(guī)定。

基本規(guī)范科學(xué)地構(gòu)建了一套內(nèi)部環(huán)境優(yōu)化、風(fēng)險評估科學(xué)、控制措施得當(dāng)、信息溝通迅捷、監(jiān)督制約有力的內(nèi)部控制標(biāo)準(zhǔn)框架，是我們建立企業(yè)內(nèi)部控制體系的技術(shù)標(biāo)準(zhǔn)。

（二）企業(yè)內(nèi)部控制的方法體系結(jié)構(gòu)

在內(nèi)部控制管理中，目標(biāo)、原則、方法是一個有機整體。在目標(biāo)實現(xiàn)過程中，需要根據(jù)內(nèi)部控制所面臨的不同對象，使用一些內(nèi)部控制的方法，根據(jù)國內(nèi)外的實踐經(jīng)驗，可以把內(nèi)部控制方法體系分為以下幾類：

第一，組織規(guī)劃控制方法。組織規(guī)劃控制包括組織機構(gòu)的設(shè)置和組織分工兩個方面的內(nèi)容。組織機構(gòu)就管理層次來說主要有兩個層面：一是法人治理結(jié)構(gòu)，即股東會、董事會、監(jiān)事會和經(jīng)理層的設(shè)置，二是職能部門的設(shè)置。組織分工是指部門之間內(nèi)部崗位設(shè)立和崗位之間的職責(zé)分工問題。

第二，授權(quán)審批控制方法。授權(quán)審批控制，是指單位的各級人員必須獲得批準(zhǔn)或授權(quán)，才能執(zhí)行正常的或特殊的業(yè)務(wù)。按照授權(quán)批準(zhǔn)的例行性，可以把授權(quán)批準(zhǔn)分為一般授權(quán)（例行授權(quán)）和特殊授權(quán)（例外授權(quán)）批準(zhǔn)兩種類型。

第三，全面預(yù)算控制方法。預(yù)算控制是企業(yè)年度之初根據(jù)預(yù)期的結(jié)果對全年經(jīng)濟業(yè)務(wù)的授權(quán)批準(zhǔn)控制。通過預(yù)算控制，企業(yè)的經(jīng)營目標(biāo)轉(zhuǎn)化為各部門、集團各單位、各崗位以至個人的具體行為目標(biāo)，作為各責(zé)任單位的約束條件，能夠從根本上保證企業(yè)經(jīng)營目標(biāo)的實現(xiàn)。預(yù)算控制方法主要抓好預(yù)算體系的建立、預(yù)算指標(biāo)的下達(dá)、預(yù)算差異的分析與調(diào)整和預(yù)算業(yè)績的考核等環(huán)節(jié)。

第四，實物保護(hù)控制方法。實物保護(hù)控制是指對實物資產(chǎn)的直接保護(hù)，主要包括：限制接近、定期盤點、記錄保護(hù)、財產(chǎn)保險、財產(chǎn)記錄監(jiān)控等。

第五，風(fēng)險防范控制方法。在市場經(jīng)濟環(huán)境中，企業(yè)常面臨各種風(fēng)險，常見的風(fēng)險防范方法有籌資風(fēng)險評估、投資風(fēng)險評估和合同風(fēng)險評估等。

第六，內(nèi)部審計控制方法。內(nèi)部審計是內(nèi)部控制的一個組成部分，指在同一企業(yè)內(nèi)對各種經(jīng)濟活動、管理制度是否合規(guī)、合理以及有效進(jìn)行的獨立評價，以確定既定的政策和程序是否得到貫徹、建立的標(biāo)準(zhǔn)是否得到遵循、資源的利用是否合理有效，以及單位的目標(biāo)是否達(dá)到。從這個意義上講，內(nèi)部審計是對其他內(nèi)部控制所進(jìn)行的再控制。

第七，人力資源控制方法。所有的內(nèi)部控制都是由人制定的和執(zhí)行的，所以，人力資源制度對內(nèi)部控制的效果起著非常重要的作用。高素質(zhì)的員工隊伍對企業(yè)的內(nèi)部控制至關(guān)重要，員工素質(zhì)控制要點有：招聘程序、內(nèi)部培訓(xùn)和績效考核。

內(nèi)部控制的方法還有很多，諸如會計系統(tǒng)控制、文件記錄控制、績效報告控制、信息系統(tǒng)控制等，幾乎涉及企業(yè)工作的方方面面，每一項管理控制活動都有可能屬于內(nèi)部控制的方法。

二、大中型企業(yè)建立內(nèi)部控制體系思考

面對日益復(fù)雜的社會環(huán)境和經(jīng)濟環(huán)境，如何以《企業(yè)內(nèi)部控制基本規(guī)范》為技術(shù)標(biāo)準(zhǔn)，在大型企業(yè)建立起一套行之有效的內(nèi)部控制體系，解決實際管理中的內(nèi)部控制問題，是我們面臨的重要課題。筆者認(rèn)為，有必要對一些問題進(jìn)行深入思考和研究。

（一）提高對建立內(nèi)部控制體系重要性的認(rèn)識

1.建立健全內(nèi)部控制體系已逐步成為法定要求。隨著經(jīng)濟全球化的發(fā)展，企業(yè)在市場經(jīng)濟中面對各種各樣的風(fēng)險。如何辨識、評估、監(jiān)測、控制風(fēng)險，已成為各個企業(yè)共同關(guān)心的熱點問題。在資本市場，內(nèi)部控制日益成為企業(yè)上市必需的“通行證”，尤其以美國在2002年頒布的薩班斯奧克斯利法案為甚，其404條款直接明確了管理層對與財務(wù)報表及與其相關(guān)的內(nèi)部控制制度的有效性的責(zé)任，并要求管理層對此發(fā)表書面聲明，美國政府要求所有上市公司必須滿足此要求，與財務(wù)報告一起提供內(nèi)部控制的年度管理報告，并要求CEO（首席執(zhí)行官）和CFO（首席財務(wù)官）必須簽署書面聲明對記錄控制設(shè)計效力測試的結(jié)果，對企業(yè)建立和維持足夠的財務(wù)報告內(nèi)部控制負(fù)有責(zé)任。

2006年6月6日，國資委發(fā)布了《中央企業(yè)全面風(fēng)險管理指引》，要求中央企業(yè)及國有控股企業(yè)開展全面風(fēng)險管理，包括建立健全內(nèi)部控制系統(tǒng)。2008年6月28日由財政部等五部委聯(lián)合發(fā)布的我國首部《企業(yè)內(nèi)部控制基本規(guī)范》，將于2009年7月1日起首先在上市公司范圍內(nèi)施行，并鼓勵非上市的其他大中型企業(yè)執(zhí)行，該規(guī)范的出臺為我國各行各業(yè)建立健全內(nèi)部控制制度提供了普遍適用的技術(shù)標(biāo)準(zhǔn)。2008年10月1日，由國資委第63次主任辦公會議審議通過的《中央企業(yè)資產(chǎn)損失責(zé)任追究暫行辦法》開始正式施行，首次以文件形式對中央企業(yè)及其獨資或控股子企業(yè)的資產(chǎn)損失責(zé)任追究工作進(jìn)行規(guī)范。《追究辦法》分別對國資委和央企在資產(chǎn)損失責(zé)任追究工作中的主要職責(zé)、央企資產(chǎn)損失認(rèn)定、責(zé)任追究范圍、責(zé)任劃分和處罰措施做出了明確規(guī)定。

因此，建立健全內(nèi)部控制體系已逐步成為法定要求，未來必將成為企業(yè)規(guī)范管理的必由之路。建立一套行之有效的內(nèi)部控制體系，一方面以夠滿足國家有關(guān)法律法規(guī)的要求，另一方面有利于促進(jìn)企業(yè)的管理，確保國有資產(chǎn)的保值增值，合理保證企業(yè)戰(zhàn)略目標(biāo)的實現(xiàn)。

2.建立健全內(nèi)部控制體系是大中型企業(yè)自身提升管理水平的手段之一。隨著我國社會主義市場經(jīng)濟體制和現(xiàn)代企業(yè)制度的建立，內(nèi)部控制已逐漸為經(jīng)營者所重視，加強內(nèi)部控制成為企業(yè)提高經(jīng)營管理效率、在競爭中取勝的前提條件，已逐漸成為企業(yè)加強經(jīng)營管理的內(nèi)在需要。通過梳理經(jīng)營流程、健全內(nèi)部控制體系、提高風(fēng)險管理水平，不僅是企業(yè)實現(xiàn)穩(wěn)步、快速、健康發(fā)展的需要，也是企業(yè)保持和進(jìn)一步完善內(nèi)部管理執(zhí)行力的關(guān)鍵，并可將此作為提升企業(yè)管理水平和競爭力途徑之一。

3.建立健全內(nèi)部控制體系涉及企業(yè)全員和經(jīng)營管理的全過程。《企業(yè)內(nèi)部控制基本規(guī)范》第三條“本規(guī)范所稱內(nèi)部控制，是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的，旨在實現(xiàn)內(nèi)部控制的過程”，第四條第一款“內(nèi)部控制應(yīng)當(dāng)貫穿決策、執(zhí)行和監(jiān)督全過程，幅蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項”。可見內(nèi)部控制體系建設(shè)是企業(yè)全員、全業(yè)務(wù)過程的事，在建設(shè)和管理過程中要摒棄過去內(nèi)部控制只是財務(wù)、審計的事的習(xí)慣性觀念，樹立全新的內(nèi)部控制意識。企業(yè)要加強內(nèi)部控制基本知識的全員培訓(xùn)，應(yīng)當(dāng)加強法制教育，增強全體員工的法制觀念，嚴(yán)格依法決策、依法辦事、依法監(jiān)督。

（二）建立內(nèi)部控制體系需把握的重點

1.建立內(nèi)部控制體系必須與企業(yè)的發(fā)展戰(zhàn)略相適應(yīng)，符合企業(yè)的發(fā)展戰(zhàn)略要求，促進(jìn)企業(yè)發(fā)展戰(zhàn)略，應(yīng)作為鞏固企業(yè)防范風(fēng)險舞弊的“防火墻”和促進(jìn)企業(yè)健康穩(wěn)定發(fā)展的“安全網(wǎng)”來抓，保障企業(yè)戰(zhàn)略目標(biāo)的實現(xiàn)。

2.建立和實施內(nèi)部控制應(yīng)遵循全面性、重要性、制衡性、適應(yīng)性和成本效益原則。要貫徹到企業(yè)生產(chǎn)經(jīng)營的各個層面和各項業(yè)務(wù)事項中，在全面控制的基礎(chǔ)上，重點關(guān)注重要業(yè)務(wù)流程和高風(fēng)險領(lǐng)域。在企業(yè)治理結(jié)構(gòu)、機構(gòu)設(shè)置和權(quán)責(zé)分配上要形成互相制約、互相監(jiān)督，同時兼顧運營效率。內(nèi)部控制的建立和實施要與企業(yè)的經(jīng)營規(guī)模、業(yè)務(wù)范圍等實際情況相適應(yīng)，在實施過程中應(yīng)當(dāng)權(quán)衡實施成本與預(yù)期收益，以適當(dāng)?shù)某杀緦崿F(xiàn)有效的控制。

3.建立和實施內(nèi)部控制體系應(yīng)作為企業(yè)的一項固定工作來抓。該項工作是一項長效工作，而不是某一時期的專項工作。內(nèi)部控制是一個動態(tài)過程，是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的過程。它意味著向某一終點努力，但不是終點本身。企業(yè)在管理過程中應(yīng)當(dāng)實行動態(tài)管理，隨著企業(yè)情況的變化及時加以調(diào)整。

4.建立和實施內(nèi)部控制體系應(yīng)有相應(yīng)的組織保障。基本規(guī)范第十二條“董事會負(fù)責(zé)內(nèi)部控制的建立健全和有效實施。監(jiān)事會對董事會建立與實施內(nèi)部控制進(jìn)行監(jiān)督。經(jīng)理層負(fù)責(zé)組織領(lǐng)導(dǎo)企業(yè)內(nèi)部控制的日常運行。企業(yè)應(yīng)當(dāng)成立專門機構(gòu)或指定適當(dāng)機構(gòu)具體負(fù)責(zé)組織協(xié)調(diào)內(nèi)部控制的建立實施和日常工作”。可見組織保障的重要性。

5.關(guān)于內(nèi)部控制的局限性問題。一般而言，內(nèi)部控制的局限性主要表現(xiàn)為：一是越權(quán)管理：即使設(shè)計良好的內(nèi)部控制制度，也可能因管理人員超越權(quán)限等行為，造成內(nèi)部控制的失效。二是人為錯誤：企業(yè)內(nèi)部職務(wù)不相容人員相互串通作弊，或個人素質(zhì)不適應(yīng)崗位要求，也會造成內(nèi)部控制的失效。所以內(nèi)部控制只能為管理層實現(xiàn)企業(yè)目標(biāo)提供合理的保證，而不是絕對的保證。

（三）建立內(nèi)部控制體系的方法探討

從目前的實踐經(jīng)驗看，建立和實施企業(yè)內(nèi)部控制體系的首要任務(wù)是編制一套企業(yè)內(nèi)部控制手冊，并組織實施，在實施過程中循環(huán)檢測和持續(xù)完善。

1.企業(yè)應(yīng)本著從實際出發(fā)，務(wù)求實效的原則，以企業(yè)現(xiàn)行的流程制度為基礎(chǔ)，進(jìn)行全面梳理，確定企業(yè)建立和實施內(nèi)部控制體系所涉及的業(yè)務(wù)流程。

2.應(yīng)用業(yè)界上通行的內(nèi)部控制矩陣方法，找出企業(yè)內(nèi)部控制體系的控制點。建立內(nèi)部控制矩陣的目的主要是通過梳理企業(yè)的業(yè)務(wù)流程，確定企業(yè)的內(nèi)部控制目標(biāo)及控制活動。內(nèi)部控制矩陣主要內(nèi)容包括：控制目標(biāo)、相關(guān)風(fēng)險、關(guān)鍵控制措施、控制措施的性質(zhì)描述（發(fā)生的頻率、控制類型、控制執(zhí)行崗位、相關(guān)現(xiàn)有的流程制度索引、評價測試程序）等。通過建立內(nèi)部控制矩陣，可以清晰明了地找出企業(yè)的內(nèi)部控制目標(biāo)和關(guān)鍵控制點以及如何控制的措施。

3.根據(jù)企業(yè)的業(yè)務(wù)流程和內(nèi)部控制矩陣，編制企業(yè)的內(nèi)部控制手冊，全面敘述企業(yè)的內(nèi)部控制規(guī)范，并貫徹落實到企業(yè)業(yè)務(wù)的全過程。根據(jù)業(yè)界實踐經(jīng)驗，內(nèi)部控制手冊一般包括企業(yè)內(nèi)部控制建設(shè)的背景及必須性、企業(yè)內(nèi)部控制的定義、內(nèi)部控制的具體目標(biāo)及對應(yīng)的控制活動描述、企業(yè)內(nèi)部控制的評價與考核等內(nèi)容。根據(jù)大中型企業(yè)的實際情況，編制內(nèi)部控制手冊應(yīng)把握以下原則：

（1）杜絕制度建設(shè)在企業(yè)“兩張皮”的原則。一般企業(yè)都有大量的管理制度，在建立內(nèi)部控制體系的過程中，一定要基于企業(yè)現(xiàn)有的制度流程基礎(chǔ)而建立內(nèi)部控制手冊，不能脫離企業(yè)現(xiàn)行的管理制度另行建立一套內(nèi)部控制管理制度，形成“兩張皮”現(xiàn)象。

（2）根據(jù)企業(yè)集團管理特點，應(yīng)當(dāng)分層建立企業(yè)集團內(nèi)部控制體系，以達(dá)到分級控制、層層落實、責(zé)任到位的內(nèi)部控制體系。

4.關(guān)于企業(yè)內(nèi)部控制體系的評價及更新維護(hù)問題。企業(yè)的內(nèi)部控制體系建立以后，應(yīng)建立一種定期評價和適時維護(hù)更新的常態(tài)工作機制。企業(yè)內(nèi)部控制管理機構(gòu)應(yīng)定期對企業(yè)的內(nèi)部控制體系進(jìn)行循環(huán)評價和檢查，定期出具評價檢查報告，對內(nèi)部控制設(shè)計的有效性存在問題的地方，應(yīng)督促企業(yè)管理層及有關(guān)部門對企業(yè)管理制度及流程進(jìn)行流程再造和流程優(yōu)化；對內(nèi)部控制執(zhí)行有效性的問題，應(yīng)充分陳述無效的事實，分析內(nèi)部控制風(fēng)險根源，并提出相應(yīng)的改進(jìn)方案，交管理層和執(zhí)行層改進(jìn)。

5.企業(yè)內(nèi)部控制體系的管理應(yīng)建立一套信息化管理系統(tǒng)。信息化管理系統(tǒng)應(yīng)以企業(yè)內(nèi)部控制基本規(guī)范為其技術(shù)標(biāo)準(zhǔn)，結(jié)合企業(yè)編制的內(nèi)部控制手冊而建立。以達(dá)到對企業(yè)內(nèi)部控制管理的過程控制的目的。

（四）企業(yè)內(nèi)部控制體系建立和執(zhí)行的評價與考核

企業(yè)應(yīng)當(dāng)建立內(nèi)部控制體系建立健全與執(zhí)行的評價與考核制度，以促進(jìn)企業(yè)內(nèi)部控制體系的建設(shè)工作。應(yīng)當(dāng)建立一套內(nèi)部控制考核標(biāo)準(zhǔn)體系，并將其納入企業(yè)的績效考核范疇，推動企業(yè)內(nèi)部控制體系的建設(shè)和發(fā)展，為企業(yè)的內(nèi)部控制體系建設(shè)和完善提供責(zé)任考核保障。

大中型企業(yè)建立內(nèi)部控制體系任重而道遠(yuǎn)。筆者認(rèn)為，只要確定了企業(yè)內(nèi)部控制建設(shè)管理之路并予以實施，持之以恒，必將為企業(yè)的經(jīng)營管理帶來更多的服務(wù)和保障，也將為企業(yè)的風(fēng)險管理體系建設(shè)奠定堅實的基礎(chǔ)。

[1]李心合：企業(yè)內(nèi)部控制基本規(guī)范導(dǎo)讀大連出版社.2008.