企業內部控制建設與實施問題探討

呂德明

【摘要】企業內部控制是以風險防范為導向，以經營效率與效果為主導目標，以財務報告可靠性、資產安全性與經營合規性為保障目標，在內部控制五要素的基礎上，結合企業內部控制組織結構展開建設的。其實施流程包括：內部控制流程梳理、業務風險識別、內部控制標準建立、內部控制評價實施、內部控制缺陷改進、評價報告生成。企業在建設和實施內部控制過程中會出現一些問題，本文就有關問題進行探討。

【關鍵詞】內部控制咨詢機構制約機制

【中圖分類號】F275

一、關于內部控制建設，自建還是委托咨詢機構建設問題

目前國有企業進行內部控制體系建設有以下3種模式：

（一）自行建設的模式

采取自行建設模式設計內部控制體系的企業，其優勢是企業對自身管理模式清楚，因此內部控制體系建設比較符合企業實際，適用性較強。但要防止可能出現由于人員配備，以及具有較完整的內部控制理念和相應管理能力的經理層和具備內部控制知識、技能和實際操作經驗的工作人員不足，導致設計的規范性和全面性較差。

（二）聘請專業咨詢機構，以咨詢機構為主的模式

筆者不主張該模式，因其容易造成較多的內部控制適用性和可操作性問題，需要較長時間磨合。一方面，由于咨詢機構對企業管理模式和企業文化了解不深，需要從頭開始。因此，占用了大量的時間進行前期調查準備，使內部控制建設緩慢。另一方面，企業往往把內部控制建設工作拱手交給咨詢機構，自己人員配備不足，在建設工程中，自己內部控制隊伍建設和內部控制人才培養缺失，導致日后保障和持續改進內部控制體系有效實施的人才隊伍不足。第三，可能出現制度建設的理論化、模板化傾向，從而出現設計完成的體系與企業生產經營實際脫鉤，可操作性較差，執行有效性受限制，企業磨合期過長。

（三）聘請專業咨詢機構，以企業為主的模式

該模式應該是一個較適合企業實際情況、具有一定可操作性的模式，且可節約費用成本。但需要企業增加專業部門和人員。一方面，企業人員與咨詢機構人員共同構成內部控制建設小組，取長補短。企業抽調人員構成內部控制體系建設的主要力量，他們熟悉本企業生產經營特點，能夠保證體系設計源于實際，提高適用度。另一方面，咨詢機構專業人員內部控制建設經驗豐富，對風險評估、控制活動等風險管理技術掌握相對嫻熟，對內部控制體系完整性和規范性掌握更加全面，在具體技術操作和體系規范設計方面可以為企業提供咨詢和幫助。

二、關于與咨詢機構配合和企業自身問題

（一）了解咨詢機構協助企業建立企業內部控制的關注點

一是關注企業內部控制環境，他是保證企業建立內部控制體系的基礎；二是關注企業風險意識，企業內部控制規范是以風險為導向；三是關注企業現有制度，內部控制制度不是重建，他有可能是改建，也有可能是升華；四是關注企業經營模式，內部控制不是模板，只有了解企業，才能量身定做；五是關注企業內部控制建設方案，方案要具體到時間節點；六是關注企業是否做好長期工作準備，內部控制制度建設是持續工作，需要企業充分保障。

（二）企業在內部控制建設中工作要點

一是領導重視，掛帥參與；二是認識一致，組織保障；三是全員參與，全員配合；四是人員保證，宣傳到位；五是相互信任，充分交流；六是深度互聯，說透摸清；七是做好診斷，擬定計劃；八是做好業務流程，進行梳理和再造；九是風險和措施相對應，制度落地可執行。

（三）企業要對自身診斷分析

一是對本企業業務進行梳理分類，診斷是否按照業務流程走向，描述到具體崗位，具體描述的內容，是否責任清晰；二是審定應有的控制點是否存在，風險點的尋找和確定是否完善，相應的內部控制是否明確和到位，流程管理中是否存在不符合企業實際或缺失以及重復、復雜等；三是針對現狀診斷，要有一個符合自己實際情況的改進目標。

三、內部控制設計與企業實際相結合問題

企業應實現以自主設計、自主建立符合企業生產經營特點的內部控制制度體系。以本企業現行的各項規章制度為基礎，全面梳理企業業務流程，全面總結提煉本單位管理經驗，使內部控制制度符合企業實際。

企業在內部控制設計中要注意：一是控制活動要與實際控制目標相一致。企業內部控制活動設計中，在確定了關鍵控制點、業務流程和控制內容后，就要針對這些內容采取相應的控制措施或控制手段，它是內部控制設計是否有效的關鍵。企業的控制活動設計是否有效，檢驗標準就是其結果能否與實際控制目標相一致。二是內部控制設計要與實際業務流程各職責相結合。企業在全面梳理各項業務和重大事項，認真分析關鍵環節存在的各種內部、外部風險的基礎上，結合生產經營的特點，設計內部控制業務流程，并據此制定《權限指引》。并根據不同層次、不同級別的職責范圍和管理要求，合理分配和確定權限和責任，對授權進行系統管理。三是內部控制設計要與企業實際風險管理相結合。收集整理內部、外部各類風險信息，并匯總形成各項業務風險清單。針對風險清單確定的風險，要進行分類，并進行風險識別，對已識別風險通過調查問卷、訪談、專項會議等形式進行較為科學的風險評估，確定主要風險，次要風險，一般風險等，同時確定風險差異化的容忍程度。

四、內部控制建設與執行問題

（一）內部控制建設的關鍵是執行

內部控制設計到位、共識到位是執行的基礎，檢查和考核到位是執行的保障。執行到位分為以下6個階段：認知階段、共識階段、學習階段、執行階段、評價階段和監督考核階段。分批執行、動態調整、不斷細化、不斷完善，是執行到位的必要手段。內部控制建設和執行存在著隱形影響，如管理者的認知程度、風險偏好、責任心、人員素質和企業文化等都會影響內部控制的建設與執行。因此要依靠設計者的牽引和推動，以及管理者開展內部控制的決心，存在一個長期的潛移默化過程。

（二）企業要處理好保證內部控制有效執行的制衡機制、激勵手段和監督機制

從內部控制的設計上梳理，通常情況下，企業均能夠找到關鍵風險業務流程，并且能夠貫徹內部控制的制定原則，形成較為完善的理論框架。如果企業的各個部門能夠嚴格遵守規定的內部控制制度，就會有效降低企業的經營風險。但是，實際情況中，往往存在企業有較為完善，合理的內部控制制度，卻無法有效發揮作用，在執行過程中出現問題。因此，為了保證企業內部控制的有效執行，應該處理好以下三個方面：

1.內部會計控制設計的制衡機制。通過會計信息的綜合反映和及時披露，發現和查找內部控制存在的問題，及時修訂和改進。

2.內部控制設計中合理使用的激勵手段。設計合理的激勵機制，對內部控制的執行起到一定的促進作用，但一定要看到激勵機制的反作用，即為了追求目標，而出現盲目追求和造假的可能性。因此，要完善激勵與責任的控制。

3.內部控制設計中的監督機制。監督機制是內部控制有效實施的保證，包括內部審計監督和外部審計監督。企業要重點強調自我審計監督隊伍的建設。

五、關注內部控制缺陷和持續改進問題

（一）內部控制缺陷問題

企業應當制定內部控制缺陷認定標準，對監督過程中發現的內部控制缺陷，分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告。內部控制缺陷包括：設計缺陷和運行缺陷。企業應及時發現內部控制缺陷，促進內部控制的持續改進。

（二）持續改進問題

企業在內部控制的實施過程中，必須要關注持續改進問題。由于環境和企業經營的變化，企業現有內部控制制度在具體實施過程中，可能會暴露出一些問題，例如體系不夠完善、內容不夠完整、可操作性不強等。因此，為進一步增強內部控制制度的針對性和可操作性，企業應根據內部管理和外部監管的新要求、新情況，以及內部控制實際運行和監督檢查中發現的各類問題，對《內部控制手冊》進行動態更新，對在運行過程中對原有內部控制制度進行不斷的修改和完善。

六、內部控制與信息化問題

信息化是減少內部控制成本、達到內部控制目標的重要手段。從“人控”到“機控”是內部控制升級的一個必然趨勢。在企業開展信息化的過程中，重點關注信息化業務流程的控制點。從系統權限、職責分離、配置、業務操作等方面，完善系統狀態下的控制要求，建立控制措施與系統業務流程的映射關系，使之更加明確、具體，更容易為系統操作和管理人員所遵循。在系統運行設計上，要建立留有痕跡的記錄，注意以下方面：一是確保操作員密碼授權審批；二是明確操作員密碼唯一，不可他人串用操作，出現責任不清；三是保管好上機操作日志，便于查證；四是上機操作日志備份，要按財務檔案管理規定長期保存，并備份兩份以上，分別存放在不同地方等。

七、內部控制和企業文化問題

企業文化在內部控制上，不僅體現在設計上，還體現在環境上和認識上。有的企業管理者認為，內部控制是針對下屬和普通員工進行的控制，而員工也錯誤地認為自己是進行內部控制的局外人，這些認識的存在就必然會降低企業各級管理者進行內部控制的主動性和積極性，從而影響控制的效果。內部控制中內部環境的設計，應包括企業文化的設計，樹立每個員工整體的風險意識和責任意識，使管理和控制形成企業文化，根植于企業全體員工的心中，這樣的控制，才肯定是有效的控制。

八、內部控制制度建設的繁與簡問題

內部控制設計的流程數量和標準的多少和細化，并不是判斷內部控制設計水平的標準，關鍵是能控制風險。從風險重要程度考慮，重大和重要風險是流程設計的重點，風險發生頻次較多，常規和例常性風險的控制流程，可以相對細化。一般風險流程，主要是突出控制點的設計，對于非常規、系統性和不確定性高的風險，可不進行流程的細化設計，實際工作中可通過戰略、文化、人員素質去解決。風險關聯度不大的流程，可不設計。

企業要根據業務實際情況和重點工作，去考慮流程的繁簡問題。要注重成本與效率的關系，要優化制度流程，對于高風險的、重要性的流程要細化，對于次要風險、非重要性流程可簡單化。過繁過復雜的內部控制設計，不便于人們掌握和執行。

九、內部控制老體系與新體系的問題

內部控制建設是對原有管理制度體系的梳理、改造和完善，而不是對原有管理體系的推倒重來，是在繼承和鞏固的基礎上進行發展與創新。和原有管理體系相比，內部控制更突出了流程重整和風險防范兩個特點。另一方面，在內部控制建設中，企業還會存在已經建立，且正在實施的其他標準管理體系問題，例如ISO9000質量標準體系等。企業一般希望能夠將內部控制體系和其他管理標準體系融合成一套體系，解決所有問題。但是，內部控制體系是以風險管理為導向建立的，它是圍繞重大和關鍵風險的管控來設計，而上例ISO9000質量標準體系是以質量標準管理為導向建立的，因此，突出重點不同。針對重大風險流程要單獨設計，針對一般風險設計可融合，但不是面面俱到。一般而言，戰略規劃、組織架構、生產運營風險業務標準、營銷策劃、人力資源設計等專業性很強的管理提升要求，建議要單獨設計，不宜混合在綜合性的內部控制項目中。

內部控制設計的流程標準要涵蓋企業規范的主要業務內容。但由于管理的特殊要求，有些流程無法通過內部控制流程體現，如薪酬政策、用工標準等。所以，內部控制設計在進行業務流程重整和梳理外，還要有相應配套管理制度的重整和梳理，實現流程和制度相融合的完整的內部控制體系。

十、制度建設與效率問題

個別企業負責人認為建立健全企業內部控制后，會影響企業的辦事效率。實踐過程中，確實不可避免地影響一定的工作效率。因為原來由一個部門審批的事項，變為相互制約的兩個或兩個以上部門審批后才能辦理，且重大風險事項還需要風險評估。但是，我們必須從風險防范和控制角度去理解，內部控制是防范、規避風險的有效途徑，雖然不能說百分之百的規避風險，但確實對合理的防范風險有一定的作用。另一方面從效率角度看，由于完善了管理流程，管理邊界和責任清晰，實現了制度流程的規范化和標準化，從而也促進了效率的提高。