內部控制研究及大中型企業建立內部控制體系思考

寧德穩

（云南電網公司，云南 昆明 650000）

一、企業內部控制基本理論

（一）企業內部控制框架結構

在能夠檢索的文獻資料中，內部控制通常與獨立審計師的需求聯系在一起，早期主要通過實物管理和薄記記錄的分離來實現內部牽制，強調以職責分工互相監督的方式來保護企業內部現金資產的安全和賬薄記錄的準確。隨著社會經濟的持續發展，經濟關系亦加復雜多變，特別是90年代后，美國出現了一些內控方面的重大事件，推動了內部控制理論的研究和發展。至今，內部控制理論的發展經過了四個歷程，即本世紀40年代前的內部牽制，40年代末至70年代的內部控制制度，70年代至90年代初的內部控制結構，及90年代開始的內部控制綜合框架。1992年，美國COSO委員會發布的COSO《內部控制整合框架》中，將內部控制定義為由一個企業的董事會、管理層和其他人員實現的過程，旨在為財務報告的可靠性、經營的效果和效率、符合適用的法律和法規的目標提供合理保證。其內容涵蓋三個目標，即經營、財務、合規；兩個層面，即企業層面、業務流程層面；五個要素，即控制環境、風險評估、控制活動、信息溝通和監控。這是目前得到廣泛認可和應用的關于內部控制的定義。其范圍主要是針對企業組織內部的經營活動。COSO框架的建立標志著內部控制第一次有了統一的技術標準。

隨著內部控制實踐在國外的發展，中國也于2006年7月15日由財政部、證監會、審計署、銀監會和保監會聯合發起成立了企業內部控制標準委員會，并于2008年6月28日發布了我國首部《企業內部控制基本規范》，同時發布了22項應用指引和評價指引、鑒證指引（征求意見稿）。基本規范將內部控制定義為：“由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程”。借鑒COSO框架，內容涵蓋五個目標、兩個層面和五個要素（見模型圖-《企業內部控制規范－基本規范》框架）：

注：根據五部委聯合發布的基本規范二、三、五條制作。

內部控制的五個目標：一是合理保證企業經營管理合規合法；二是合理保證企業資產安全；三是合理保證企業財務報告及相關信息真實完整；四是提高經營效率和效果；五是促進企業實現發展戰略。

內部控制的五個要素：一是內部環境，是由管理層倡導一種正直、倫理道德風氣、宣傳管理宗旨、經營方式和人力資源政策，使職員自覺管理其活動和履行他們的責任。含六個方面，即企業治理結構、內部機構設置與職責分工、內部審計、人力資源政策、企業文化和法制環境；二是風險評估，即管理當局應對目標完成期間與企業相關的風險進行識別、預見，并采取相應避險措施的管理控制。含四個方面，即確定風險承受度、識別風險、風險分析和風險應對；三是控制活動，控制活動亦稱控制措施，為實現內部控制目標提供合理保證而制定的各項政策、程序和規定，含七個方面，即不相容職務分離控制、授權審批控制、會計系統控制、財務資產保護控制、預算控制、運營分析控制和績效考評控制；四是信息與溝通，是對關系企業內部和外部的事件或活動、有關的財務或非財務信息都應當加以識別、占有，并及時有序地傳遞給決策者和職責履行者。主要圍繞信息收集、信息傳遞、信息技術平臺、反舞弊機制、舉報投訴制度和舉報人保護制度等展開；五是內部監督，是為保證內部控制的適當性和有效性而進行的日常和定期監督、檢查。主要針對內部監督的類型和方式、內控自我評價和缺陷認定機制、內控記錄制度等進行規定。

基本規范科學地構建了一套內部環境優化、風險評估科學、控制措施得當、信息溝通迅捷、監督制約有力的內部控制標準框架，是我們建立企業內部控制體系的技術標準。

（二）企業內部控制的方法體系結構

在內部控制管理中，目標、原則、方法是一個有機整體。在目標實現過程中，需要根據內部控制所面臨的不同對象，使用一些內部控制的方法，根據國內外的實踐經驗，可以把內部控制方法體系分為以下幾類：

第一，組織規劃控制方法。組織規劃控制包括組織機構的設置和組織分工兩個方面的內容。組織機構就管理層次來說主要有兩個層面：一是法人治理結構，即股東會、董事會、監事會和經理層的設置，二是職能部門的設置。組織分工是指部門之間內部崗位設立和崗位之間的職責分工問題。

第二，授權審批控制方法。授權審批控制，是指單位的各級人員必須獲得批準或授權，才能執行正常的或特殊的業務。按照授權批準的例行性，可以把授權批準分為一般授權（例行授權）和特殊授權（例外授權）批準兩種類型。

第三，全面預算控制方法。預算控制是企業年度之初根據預期的結果對全年經濟業務的授權批準控制。通過預算控制，企業的經營目標轉化為各部門、集團各單位、各崗位以至個人的具體行為目標，作為各責任單位的約束條件，能夠從根本上保證企業經營目標的實現。預算控制方法主要抓好預算體系的建立、預算指標的下達、預算差異的分析與調整和預算業績的考核等環節。

第四，實物保護控制方法。實物保護控制是指對實物資產的直接保護，主要包括：限制接近、定期盤點、記錄保護、財產保險、財產記錄監控等。

第五，風險防范控制方法。在市場經濟環境中，企業常面臨各種風險，常見的風險防范方法有籌資風險評估、投資風險評估和合同風險評估等。

第六，內部審計控制方法。內部審計是內部控制的一個組成部分，指在同一企業內對各種經濟活動、管理制度是否合規、合理以及有效進行的獨立評價，以確定既定的政策和程序是否得到貫徹、建立的標準是否得到遵循、資源的利用是否合理有效，以及單位的目標是否達到。從這個意義上講，內部審計是對其他內部控制所進行的再控制。

第七，人力資源控制方法。所有的內部控制都是由人制定的和執行的，所以，人力資源制度對內部控制的效果起著非常重要的作用。高素質的員工隊伍對企業的內部控制至關重要，員工素質控制要點有：招聘程序、內部培訓和績效考核。

內部控制的方法還有很多，諸如會計系統控制、文件記錄控制、績效報告控制、信息系統控制等，幾乎涉及企業工作的方方面面，每一項管理控制活動都有可能屬于內部控制的方法。

二、大中型企業建立內部控制體系思考

面對日益復雜的社會環境和經濟環境，如何以《企業內部控制基本規范》為技術標準，在大型企業建立起一套行之有效的內部控制體系，解決實際管理中的內部控制問題，是我們面臨的重要課題。筆者認為，有必要對一些問題進行深入思考和研究。

（一）提高對建立內部控制體系重要性的認識

1.建立健全內部控制體系已逐步成為法定要求。隨著經濟全球化的發展，企業在市場經濟中面對各種各樣的風險。如何辨識、評估、監測、控制風險，已成為各個企業共同關心的熱點問題。在資本市場，內部控制日益成為企業上市必需的“通行證”，尤其以美國在2002年頒布的薩班斯奧克斯利法案為甚，其404條款直接明確了管理層對與財務報表及與其相關的內部控制制度的有效性的責任，并要求管理層對此發表書面聲明，美國政府要求所有上市公司必須滿足此要求，與財務報告一起提供內部控制的年度管理報告，并要求CEO（首席執行官）和CFO（首席財務官）必須簽署書面聲明對記錄控制設計效力測試的結果，對企業建立和維持足夠的財務報告內部控制負有責任。

2006年6月6日，國資委發布了《中央企業全面風險管理指引》，要求中央企業及國有控股企業開展全面風險管理，包括建立健全內部控制系統。2008年6月28日由財政部等五部委聯合發布的我國首部《企業內部控制基本規范》，將于2009年7月1日起首先在上市公司范圍內施行，并鼓勵非上市的其他大中型企業執行，該規范的出臺為我國各行各業建立健全內部控制制度提供了普遍適用的技術標準。2008年10月1日，由國資委第63次主任辦公會議審議通過的《中央企業資產損失責任追究暫行辦法》開始正式施行，首次以文件形式對中央企業及其獨資或控股子企業的資產損失責任追究工作進行規范。《追究辦法》分別對國資委和央企在資產損失責任追究工作中的主要職責、央企資產損失認定、責任追究范圍、責任劃分和處罰措施做出了明確規定。

因此，建立健全內部控制體系已逐步成為法定要求，未來必將成為企業規范管理的必由之路。建立一套行之有效的內部控制體系，一方面以夠滿足國家有關法律法規的要求，另一方面有利于促進企業的管理，確保國有資產的保值增值，合理保證企業戰略目標的實現。

2.建立健全內部控制體系是大中型企業自身提升管理水平的手段之一。隨著我國社會主義市場經濟體制和現代企業制度的建立，內部控制已逐漸為經營者所重視，加強內部控制成為企業提高經營管理效率、在競爭中取勝的前提條件，已逐漸成為企業加強經營管理的內在需要。通過梳理經營流程、健全內部控制體系、提高風險管理水平，不僅是企業實現穩步、快速、健康發展的需要，也是企業保持和進一步完善內部管理執行力的關鍵，并可將此作為提升企業管理水平和競爭力途徑之一。

3.建立健全內部控制體系涉及企業全員和經營管理的全過程。《企業內部控制基本規范》第三條“本規范所稱內部控制，是由企業董事會、監事會、經理層和全體員工實施的，旨在實現內部控制的過程”，第四條第一款“內部控制應當貫穿決策、執行和監督全過程，幅蓋企業及其所屬單位的各種業務和事項”。可見內部控制體系建設是企業全員、全業務過程的事，在建設和管理過程中要摒棄過去內部控制只是財務、審計的事的習慣性觀念，樹立全新的內部控制意識。企業要加強內部控制基本知識的全員培訓，應當加強法制教育，增強全體員工的法制觀念，嚴格依法決策、依法辦事、依法監督。

（二）建立內部控制體系需把握的重點

1.建立內部控制體系必須與企業的發展戰略相適應，符合企業的發展戰略要求，促進企業發展戰略，應作為鞏固企業防范風險舞弊的“防火墻”和促進企業健康穩定發展的“安全網”來抓，保障企業戰略目標的實現。

2.建立和實施內部控制應遵循全面性、重要性、制衡性、適應性和成本效益原則。要貫徹到企業生產經營的各個層面和各項業務事項中，在全面控制的基礎上，重點關注重要業務流程和高風險領域。在企業治理結構、機構設置和權責分配上要形成互相制約、互相監督，同時兼顧運營效率。內部控制的建立和實施要與企業的經營規模、業務范圍等實際情況相適應，在實施過程中應當權衡實施成本與預期收益，以適當的成本實現有效的控制。

3.建立和實施內部控制體系應作為企業的一項固定工作來抓。該項工作是一項長效工作，而不是某一時期的專項工作。內部控制是一個動態過程，是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程。它意味著向某一終點努力，但不是終點本身。企業在管理過程中應當實行動態管理，隨著企業情況的變化及時加以調整。

4.建立和實施內部控制體系應有相應的組織保障。基本規范第十二條“董事會負責內部控制的建立健全和有效實施。監事會對董事會建立與實施內部控制進行監督。經理層負責組織領導企業內部控制的日常運行。企業應當成立專門機構或指定適當機構具體負責組織協調內部控制的建立實施和日常工作”。可見組織保障的重要性。

5.關于內部控制的局限性問題。一般而言，內部控制的局限性主要表現為：一是越權管理：即使設計良好的內部控制制度，也可能因管理人員超越權限等行為，造成內部控制的失效。二是人為錯誤：企業內部職務不相容人員相互串通作弊，或個人素質不適應崗位要求，也會造成內部控制的失效。所以內部控制只能為管理層實現企業目標提供合理的保證，而不是絕對的保證。

（三）建立內部控制體系的方法探討

從目前的實踐經驗看，建立和實施企業內部控制體系的首要任務是編制一套企業內部控制手冊，并組織實施，在實施過程中循環檢測和持續完善。

1.企業應本著從實際出發，務求實效的原則，以企業現行的流程制度為基礎，進行全面梳理，確定企業建立和實施內部控制體系所涉及的業務流程。

2.應用業界上通行的內部控制矩陣方法，找出企業內部控制體系的控制點。建立內部控制矩陣的目的主要是通過梳理企業的業務流程，確定企業的內部控制目標及控制活動。內部控制矩陣主要內容包括：控制目標、相關風險、關鍵控制措施、控制措施的性質描述（發生的頻率、控制類型、控制執行崗位、相關現有的流程制度索引、評價測試程序）等。通過建立內部控制矩陣，可以清晰明了地找出企業的內部控制目標和關鍵控制點以及如何控制的措施。

3.根據企業的業務流程和內部控制矩陣，編制企業的內部控制手冊，全面敘述企業的內部控制規范，并貫徹落實到企業業務的全過程。根據業界實踐經驗，內部控制手冊一般包括企業內部控制建設的背景及必須性、企業內部控制的定義、內部控制的具體目標及對應的控制活動描述、企業內部控制的評價與考核等內容。根據大中型企業的實際情況，編制內部控制手冊應把握以下原則：

（1）杜絕制度建設在企業“兩張皮”的原則。一般企業都有大量的管理制度，在建立內部控制體系的過程中，一定要基于企業現有的制度流程基礎而建立內部控制手冊，不能脫離企業現行的管理制度另行建立一套內部控制管理制度，形成“兩張皮”現象。

（2）根據企業集團管理特點，應當分層建立企業集團內部控制體系，以達到分級控制、層層落實、責任到位的內部控制體系。

4.關于企業內部控制體系的評價及更新維護問題。企業的內部控制體系建立以后，應建立一種定期評價和適時維護更新的常態工作機制。企業內部控制管理機構應定期對企業的內部控制體系進行循環評價和檢查，定期出具評價檢查報告，對內部控制設計的有效性存在問題的地方，應督促企業管理層及有關部門對企業管理制度及流程進行流程再造和流程優化；對內部控制執行有效性的問題，應充分陳述無效的事實，分析內部控制風險根源，并提出相應的改進方案，交管理層和執行層改進。

5.企業內部控制體系的管理應建立一套信息化管理系統。信息化管理系統應以企業內部控制基本規范為其技術標準，結合企業編制的內部控制手冊而建立。以達到對企業內部控制管理的過程控制的目的。

（四）企業內部控制體系建立和執行的評價與考核

企業應當建立內部控制體系建立健全與執行的評價與考核制度，以促進企業內部控制體系的建設工作。應當建立一套內部控制考核標準體系，并將其納入企業的績效考核范疇，推動企業內部控制體系的建設和發展，為企業的內部控制體系建設和完善提供責任考核保障。

大中型企業建立內部控制體系任重而道遠。筆者認為，只要確定了企業內部控制建設管理之路并予以實施，持之以恒，必將為企業的經營管理帶來更多的服務和保障，也將為企業的風險管理體系建設奠定堅實的基礎。

[1]李心合：企業內部控制基本規范導讀大連出版社.2008.