企業內部控制建設的八個層級

王海兵++賀妮馨

【摘 要】 企業內部控制建設包括“點”“線”“面”“體”“鏈”“網”“云”“霧”八個層級，由簡到繁，依次遞進擴展，不同層級內部控制所能發揮作用的范圍和層次也有差異。企業內部控制建設八層級理論的提出，能夠指導企業依據自身情況建立科學的內部控制體系，推動內部控制建設向規范化、系統化、戰略化和信息化方向發展。

【關鍵詞】 企業內部控制建設； 風險管理； 層級

【中圖分類號】 F275；F239.4 【文獻標識碼】 A 【文章編號】 1004-5937（2018）03-0136-03

內部控制作為企業管理的中樞神經，是經濟發展的必然產物，能夠一定程度實現企業管理活動的調節與制約。企業內部控制建設包括“點”“線”“面”“體”“鏈”“網”“云”“霧”八個層級，由簡到繁，依次遞進，不同層級內部控制所能發揮作用的范圍和層次也有差異，內部控制所處層級越高，控制功能就越強大。傳統內部控制建設關注“點”“線”“面”“體”，未來內部控制建設的趨勢將向“鏈”“網”“云”“霧”發展。隨著市場環境的日益復雜化和競爭的白熱化，“點”“線”“面”“體”控制已不能滿足企業需求，而形成內部控制鏈，拓展內部控制網，是企業內部控制未來發展的方向之一。同時，信息化的發展推動內部控制的創新，“互聯網+”和物聯網將大大提升內部控制的速度，使得內部控制借助信息化“騰云駕霧”，發展到云控制和霧控制的高級階段。

一、把握內部控制點

內部控制點即關鍵點控制，例如時間控制、范圍控制、授權控制、人員控制、金額控制等，都屬于關鍵點控制。內部控制是人造系統，依靠人，為了人。人本經濟時代，“以人為本”是企業內部控制建設的出發點和歸宿。內部控制表面上控制的是物質、信息、業務、系統，實質上是對人的權力、責任、利益和行為所進行的規范和控制。王海兵等提出人本內部控制的概念[ 1 ]，在“物本內部控制”的理念基礎上，更加注重企業各利益相關者的權益，將內外部利益相關者在內部控制中的角色由被動變為主動[ 2 ]。但目前企業仍存在內部控制工作基礎薄弱、領導層不重視、缺乏執行力度、形同虛設等諸多亟需解決的問題。因此，基于人本治理原則，抓住內部控制關鍵點，對建立健全科學合理的內部控制體系，有效防控風險具有重大意義。一是按照不相容崗位的控制要求，合理設置崗位，并建立關鍵崗位責任制，避免一人多職和一人多權。二是明確劃分職責權限和審批權限，建立重大事項集體決策和會簽制度，實現企業內部控制相互牽制、相互制約的目標，確保經濟活動決策、運行和監督的有效分離[ 3 ]。三是建立全面預算控制制度。預算是內部控制的重要工具，必須牢牢抓住企業預算控制。由企業發展戰略指導預算控制，實施包括目標控制、程序控制、信息控制三大控制在內的全面預算控制[ 4 ]。把握企業內部控制點，能促進改善企業的運行管理，有效掌控企業面臨的風險。

二、優化內部控制線

內部控制線即流程控制，將關鍵控制點嵌入整合到流程中，能夠提升和改善內部控制的效率和效果。基于控制線，員工能夠更好地分工協作，從而更高效地控制風險。企業生產經營活動主要包括研發、采購、生產、銷售和物流運輸五個環節，由此可以衍生出更多的業務流程控制，譬如招投標采購流程控制、合同簽訂流程控制、預算流程控制、資金收付流程控制、資產管理流程控制、成本管理流程控制、績效考評流程控制等，橫跨多個崗位、多個部門，是整個內部控制的核心部分。例如根據消費者需求和預算管理進行產品研發，嚴格把控產品成本，同時結合授權審批控制、不相容職務分離控制與財產保護控制機制，明確材料采購、產品銷售各部門人員的職權范圍，防止越權，有利于維護各部門與員工的合法權益；嚴格控制采購和銷售審批環節，監控材料與產品的出入庫，防止企業資產被非法侵占或盜用；在銷售及管理過程中，要保證產品的質量安全，保護員工的人身安全，切實保護消費者和員工的利益。將內部控制目標作為根本出發點，遵循“合法合規性、整體性、牽制與配合、成本收益、原則與規則導向相結合”的原則[ 5 ]，構建科學合理的內部控制流程，并根據環境和業務變化，優化企業內部控制線，進行流程再造和重新設計，推動企業不斷發展進步。

三、加強內部控制面

內部控制面即相同或相近類型業務的政策制度控制，例如財務部門專門負責財務制度的制定和實施，并對組織財務風險進行控制。類似于電腦系統中的控制面板，將內部控制點和內部控制線進行集成，在法律框架下形成面向業務的、具有一定結構和功能的內部控制模塊。業務、財務、法務都是和內部控制密切相關的，過去強調“業財融合”，但對“業法融合”的重視還不夠，出現大量的會計造假、產品造假、環境污染案件。近年來，企業內部控制失效，引發企業經營風險、財務風險等一系列風險。為此，除了加強企業內部自身的制度建設外，政府作為宏觀調控的主體，通過制定內部控制相關法律規范，發揮其作用，促使企業更好地規范內部控制建設也顯得尤為重要。由政府制定并逐步完善相關法律規范體系來對企業內部控制作出規定、制定標準，扮演法規制定者的角色。政府同時還起到第三方監督者的作用，強制要求企業披露內部控制自評報告和內部控制審計報告，必要時可邀請相關方面專家參與評價內部控制建設與實施情況，充分調動各方內部控制建設的積極性。行業協會在不與政府制定的法規制度沖突的情況下，結合各行業的特點，制定行業內部控制規范或操作指南，對企業內部控制建設進行約束和指導。但單純的制度控制容易由于人的自利性形成破窗效應，應將制度與流程結合，形成制度管人，流程管事，各司其職[ 6 ]。因此，不僅要加強內部控制面，還要將政策制度融入內部控制流程設計，才能為企業創造可持續經營的內部環境。

四、構建內部控制體

內部控制體即組織整體控制，涵蓋發展愿景與戰略、經營理念、治理架構、組織文化、風險偏好、人力資源政策、內部營運體系、外部市場網絡、利益相關者關系管理、績效評價、內部監督等。內部控制體是對內部控制“點”“線”“面”的綜合集成，并與企業經營目標和發展戰略密切關聯，具有戰略牽引、風險驅動的特征。企業治理層在設計內部控制制度時，應摒棄“股東利益最大化”的傳統理念，倡導“利益相關者價值最大化和均衡化原則”，突出利益相關者的參與作用與監督作用[ 7 ]。同時，文化建設與制度建設雙管齊下，齊頭并進，優化企業內部控制的軟環境，提升企業軟實力。重點關注和防控企業風險，建立風險數據庫，為企業專業人員預測與估算風險發生的可能性及風險承受度提供信息，為企業開展內部控制活動提供依據。企業應當加強事前控制，隨時關注或預測企業在生產經營過程中可能會引起社會責任風險的不當行為，及時對其作出判斷并采取措施。此外，建立QHSE（Quality Health Safety Environment）管理體系，通過風險控制，從產品質量、員工健康、安全生產以及生態環境等方面降低風險事故發生的可能性[ 8 ]。監督層則對企業內部控制的執行情況實施監督，包括內部控制自我評價（CSA）、內部審計（CIA）和外部審計（CPA），共同構成C-SIP-A評價體系，形成三道評價與審計防線，對控制效果作出客觀公正的評價。endprint

五、形成內部控制鏈

內部控制鏈即面向供應鏈提出的內部控制理念。未來企業的競爭，不是單一企業之間的競爭，而是供應鏈之間的競爭，供應鏈上的企業利益共享、風險共擔，供應鏈企業各自的內部控制系統相互兼容、耦合，形成內部控制鏈。內部控制鏈具有一定的外部性、協同性和創新性，不同于單一企業內部控制或集團公司內部控制[ 9 ]。因此，應從整個供應鏈的戰略布局出發，合理規劃和運行企業內部控制。供應鏈上的企業主要包括研發商、供應商、分銷商等企業，這些企業以核心企業為基礎構建基于供應鏈的內部控制系統，主要包括控制環境、風險評估、控制活動、信息與溝通、控制監督五個部分，將內部控制的設計和運行置于企業所處的整條供應鏈中，大大提升內部控制的戰略高度和應用價值。內部控制鏈與內部控制點、內部控制線、內部控制面、內部控制體相比，復雜化和多元化特點更加突出，因此，信息的及時傳遞與良好有效的溝通是成功實施內部控制鏈的關鍵。通過信息流，將整體與部分、動態與靜態結合，形成閉環的內部控制鏈系統，促進供應鏈整體和各節點企業實現持續增值。供應鏈為內部控制的發展提供了更廣闊的空間，同時內部控制也促進了供應鏈的高效管理，將供應鏈與內部控制結合形成內部控制鏈，兩者相輔相成，產生內部控制協同效應和規模效應。

六、拓展內部控制網

內部控制網是對內部控制鏈的進一步發展，是若干內部控制鏈的有機集成。內部控制鏈以核心企業為基點，縱向考慮上下游不同節點企業內部控制的嵌套對接，內部控制網在此基礎上還橫向考慮和其他組織進行資源的整合共享和協同創新，謀求共生發展。價值和風險相伴，機遇和挑戰共存。內部控制網去中心化和扁平化，特定企業可能同時在幾條控制鏈上出現，企業與企業之間相互關聯，形成具有較強競爭力和協同效應的企業集群，資源共享，分工合作，內部交易成本大幅降低。內部控制網由多條控制鏈交織而成，多條作業鏈、價值鏈、風險鏈相互融合，在創造更多價值的同時也衍生出更大的風險。在內部控制網中，風險的形成機制、傳導機制和影響機制發揮作用，風險來源增加，傳導路徑多元化，傳導速度增快，影響程度加深，影響面擴大。內部控制網要求建立更為科學先進的綜合風險管控體系，及時識別和評估風險，對風險采取控制措施。企業內部控制建設不僅重視對內生性風險的控制，也重視外源性風險的控制，應建立日常風險處理流程和重大風險應急預案。內部控制網能夠提高信息溝通的效率，倒逼網上價值鏈和風險鏈上各利益相關方對自身內部控制系統做出相應的調整和優化，形成能夠適應復雜生態、參與高層次競爭、具有協同共生能力的內部控制網絡[ 9 ]。拓展內部控制網的企業應致力于構建以利益相關者為導向、以社會責任風險管控為中心的內部控制體系，不斷改善和優化企業運營管理。

七、實施內部控制云

內部控制云即實施云控制，是對云會計、云審計、云財務等的集成控制，是基于“互聯網+”的信息化內部控制。“互聯網+”時代是一個以人為本，以創新為驅動的時代，與人本經濟發展理念契合。“互聯網+內部控制”就是將互聯網技術引入企業內部控制的建設，二者有機融合，產生1+1>2的協同效應，實現企業內部控制的不斷增值和創新發展，是內部控制理論創新和實踐發展的必然方向。將內部控制融入管理信息系統，建立“互聯網+”環境下以QHSE管理體系為基礎的內部控制系統[ 10 ]，用信息化流程和“互聯網+”鞏固內部控制系統[ 11 ]，從一般控制和應用控制兩個層面構建內部控制績效評價體系[ 12 ]，提升企業內部控制的速度和效度。云控制搭載云技術后可以實現遠程控制，員工可以用任意一臺PC或手機登錄云端，在授權范圍內調取所需信息或處理業務。當前，利用互聯網技術進行OA云平臺的團隊協同管理已趨于成熟，OA平臺的企業管理模塊包括審批、考勤、項目管理、計劃、公告、日志等三十余項，極大地提高了企業管理和內部控制系統的運行效率。當然，內部控制信息化也帶來了諸多挑戰。首先，信息化對企業管理者的素質和專業能力提出了更高的要求；其次，風險變得更加復雜，相應的危害性也更為嚴重，云控制系統對科學授權、信息安全提出了更高要求；最后，“互聯網+”環境下，業務數據和管理數據成幾何級數增長，控制活動涉及面更廣，控制活動難度加大，線上云控制和線下實體控制的同步、并行和互促，成為新的研究課題。因此，需要不斷探索和完善“互聯網+”環境下的企業內部控制云建設，突破難關，朝著信息化的方向不斷前進。

八、探索內部控制霧

云控制是基于互聯網環境下的信息化企業內部控制架構，霧控制則是基于物聯網環境下的智能化企業內部控制架構。如果說內部控制云有比較清晰的邊界，高在云端，那么內部控制霧就無處不在了，彌散在我們周圍。物聯網在全球范圍內掀起了繼計算機和互聯網之后的第三個信息革命浪潮，是互聯網的應用拓展。企業內部控制環境隨著物聯網技術的開發應用發生變化，企業內部控制環境更加信息化、虛擬化和智能化，因此物聯網下企業內部控制建設應打破傳統內部控制規范，建立健全企業物聯網治理結構，合理分配物聯網管理職責權限[ 13 ]。企業基于傳感器技術、RFID標簽、嵌入式系統技術和互聯網平臺，通過各種信息傳感設備，實時采集任何需要監控、連接、互動的物體或過程等各種需要的信息，與互聯網結合形成的巨大網絡，旨在實現物與物、物與人，所有的物品與網絡的連接，從而為識別、管理和控制提供支持。物聯網產業由支撐層、感知層、傳輸層、平臺層和應用層五個層級構成，企業內部控制系統與這五個層級密切關聯。物、人、網絡、信息、資金，在物聯網中互聯互控。每個人或物，既是單獨的施控個體，同時也可以是受控個體，而且更多的人或物，可以通過信息化接口或授權手段，構成更大的內部控制網絡。智能性是物聯網最重要的特征，智能信息控制是物聯網背景下企業內部控制的核心[ 14 ]，企業應強化物聯網的安全性能，重視智能信息數據的保護，防止控制霧演變成“毒霧”和“霧霾”。此外，通過傳感器等物聯網技術的應用，企業內部各部門之間和與外部各關聯企業的信息獲取、處理和共享更加及時高效。同時，物聯網智能計算機還可以進行數據整理和挖掘，為企業經營決策提供更加準確可靠的數據支持，并可以直接作出決策[ 13 ]。物聯網下內部控制是“互聯網+”內部控制在信息化和智能化領域的拓展和升級，是新常態下我國企業實現轉型和升級的重要推動力。

【參考文獻】

[1] 王海兵，伍中信，李文君，等.企業內部控制的人本解讀與框架重構[J].會計研究，2011（7）：59-65.

[2] 李翠霞.醫院內部控制的面、線、點[J].產業與科技論壇，2013，12（14）：232.

[3] 秦敏玉.優化醫院內部控制 實現點線面結合[J].行政事業資產與財務，2014（33）：158-159.

[4] 王海兵，李文君，何建國.企業戰略性社會責任預算控制研究[J].當代經濟管理，2017，39（5）：12-17.

[5] 樊行健，周冰.企業內部控制流程設計原理研究[J].財會學習，2013（7）：13-15.

[6] 張慶龍.論制度、流程與內部控制[EB/OL].https：//mp.weixin.qq.com/s/JfpWbWnTzRMe7f_Lap2nPg.

[7] 楊清香，張晉.芻論企業社會風險與內部控制[J].財會月刊，2010（36）：13-15.

[8] 王海兵，黎明.汽車行業社會責任內部控制：理論框架與實施路徑[J].商業研究，2014（7）：149-155.

[9] 李文君，王海兵.基于綠色供應鏈管理的企業社會責任內部控制研究[J].會計之友，2017（16）：97-102.

[10] 王海兵，潘春華.社會責任導向的企業QHSE管理信息系統構建[J].重慶理工大學學報（社會科學），2017（12）：54-60，79.

[11] 丁卓君，王海兵.企業社會責任內部控制信息化探微[J].財會通訊，2016（28）：93-96.

[12] 程平，張盧.“互聯網+”下云會計AIS內部控制績效評價[J].會計之友，2016（2）：127-131.

[13] 溫延美，王鳳洲.物聯網環境下企業內部控制環境研究[J].信息安全與技術，2014，5（4）：29-30，40.

[14] 許金葉，韓玲.智能信息控制：物聯網下企業內部控制的核心[J].會計之友，2012（7）：65-68.endprint