企業內部控制優化“三步式”方法探究

趙基全

【摘 要】 內控體系建設和完善是一個長期、持續的過程，企業的內部控制既要有效，又要適度，內部控制應當與企業的經營規模、業務范圍和風險特點相適應，以合理的成本實現內部控制的目標。要實現流程化、風險為導向的內部控制，需從梳理現狀、診斷缺陷、實施優化三個階段實施，文章從內部控制具體實踐出發，以風險為導向梳理企業業務體系、制度體系，從完整性、合理性、有效性三個方面進行制度規范、用制度控制風險、強化制度執行，并進行缺陷優化。研究結論對提高企業內控管理水平，助力企業穩健運行和價值提升有重要意義。

【關鍵詞】 內部控制; 風險管理; 三步式; 流程梳理

一、引言

企業內部控制已經成為提高經營管理效率、規范業務發展的重要管理手段，而內部控制的機構設置、技術發展和流程處理等路徑安排在業內并無統一的標準，應該根據企業自身風險偏好特點，選擇適當的、有效的內部控制路徑，在企業內部控制體系的建設與發展過程中，部分企業形成了內部控制、風險管理和合規管理多頭監管的局面，出現了部門職責的交叉重疊所導致的工作不順暢的問題，正是在這一背景之下，2019年11月14日，國務院國資委在組織調整的基礎上頒布了《關于加強中央企業內部控制體系建設與監督工作的實施意見》，明確要求整合企業風險管理、內部控制和合規管理。對于企業來說，如何整合建設以“強內控、防風險、促合規”為目標的內控體系[1]，就是一個現實的問題。本文結合當前企業內部控制工作的現狀和有關的監管要求，分析企業在內部控制建設方面存在的問題，從內部控制目標、作用、實施及存在的缺陷等方面，提出內部控制思路、改善路徑，針對性地提出企業內部控制優化的“三步式”工作方法，以促進企業內控體系不斷健全。

二、企業在內部控制建設方面存在的問題

企業內部控制設計與實踐在國內已經發展數十年，不少企業已經梳理建設出一套完整成熟的體系，有的已經從內部控制單一理論發展為整合內部控制、風險管理與合規管理的方法論體系，并配套建立了相應的電子系統。但一些企業在內部控制建設方面仍存在不少問題，掣肘了發展，表現在[2]：

（一）流程化的內部控制有待進一步完善

一些企業以部門為單位進行業務內部控制，組織架構仍以部門職能作為主要形態，將完整的業務流程割裂為若干部分，未建立流程負責人或控制負責人的概念，不利于內控管理的職責分工，由于內控責任尚無章可循，使得部分人員將內部控制等同于牽制、制衡、復核、監督，局限地將內控建設理解為控制活動或僅為內控部門的職責，真正意義上的流程化管理步履維艱，部門接口的環節出現控制缺失或冗余情況，部門銜接環節的內控責任界定不清，導致內控執行人員缺乏全流程概念，執行過程中互相推諉、扯皮的現象時有發生。

（二）風險管理的認知和評估存在缺陷

一是風險管理的認知水平低。隨著經濟社會多元化發展，企業面臨的風險處于動態發展變化中，存在對風險認知不一致，風險評估范圍不夠全面、評估標準不統一，難以達成一致的風險熱圖或業務流程地圖，并以此作為識別重大風險和流程層面的關鍵控制的基礎，對于一些新業務、新產品又缺乏足夠的風險前瞻預判能力，風險識別與評估機制建設相對滯后，風險計量的模型、監控預警的規則不能及時有效地防范風險。二是信息技術利用水平低。一些企業對信息資源利用度低，信息局限于單個部門或機構內部，或分散在各個業務系統的現象仍較為常見，難免會形成信息孤島，一定程度上增加了風險，上傳下達過程中容易出現理解偏差、拖延、避重就輕、信息疏漏等現象，進而影響企業相關政策和制度的落實。

（三）內部監督的方法應進一步完善

一是缺乏適用的內控評價指標體系。完善的內控評價標準與程序未能建立，對出現的損失事件、經營管理領域的重要變化的再評價不及時，內控評價結果的約束和激勵效果不理想。二是在績效考核體系方面，企業內控責任未能清晰界定，進而無法建立實施有針對性的內控績效考核，直接影響了整體內控環境運行的有效性。

三、企業內部控制優化的“三步式”

內控體系建設和完善是一個長期、持續的過程，實現流程化、風險為導向的內部控制，需從梳理現狀、診斷缺陷、實施優化三個階段實施。

（一）以風險為導向梳理現狀

21世紀初以來，內部控制進入全面風險管理階段。這一階段的重要標志為美國COSO委員會于2004年4月發布的《企業風險管理——整合框架》[3]。該報告的主要內容是在1992年COSO內部控制框架基礎上，建立了企業全面風險管理框架。近年來，COSO架構歷經調整變更[4]，我國企業內部控制規范應用以法律、規章、行業監管為主，具有很強的外部性，同時也呈現精細化和融合化發展趨勢[5]，企業內部控制制度體系建設，應該以風險的識別、評估與控制為導向。風險存在于企業生產經營管理的各個環節，所以，以風險為導向的內部控制建設，應該從企業管理現狀出發，首先梳理企業的業務體系和制度體系兩個方面的現實情況[6]。

1.業務體系

對業務體系的梳理，就是要明確企業有哪些業務，是如何管理的，流程是如何執行的。流程化既是風險管理的需要，也是提升內部管理效率的需要，是制度落地的具體手段和關鍵措施。內部控制必須以流程化為前提，內控的流程化必須以崗位為節點，流程化的效果決定了內控效用大小，在對業務體系的梳理過程中，應重點關注兩個方面的問題。

一是業務體系的梳理應該以財政部發布的18項企業內部控制應用指引[7]為依據，密切結合企業實際情況，全面覆蓋且重點突出。一方面，財政部所發布的18項內部控制應用指引為一般行業的企業建設內部控制提供了一個基本的框架體系，企業的業務現狀的梳理應該在這個框架體系的基礎之上展開。另一方面，不同行業的企業，業務的重心有所不同，所以在結合18項應用指引梳理的基礎之上，需要體現企業的行業特點。比如說，對于制造業企業來說，采購、生產、銷售、存貨管理等領域屬于非常重要的內控領域。但如果是服務業行業的企業，如研究設計院，內部控制的重點領域則更多的是項目的全過程管理。

二是在梳理的過程中，一般應該按照業務領域、業務模式、業務階段三個層次做逐級細化，最終完成企業的業務地圖。

2.制度體系

在完成業務體系的梳理之后，對制度體系的梳理相對來說比較簡單，需要特別重視兩個方面的問題。

一是制度體系的梳理應該以業務體系為基礎，也就是說在前述業務地圖的基礎之上，將企業現有的制度與業務地圖做匹配，在做制度匹配時，應基于流程視角，從客戶需求和客戶滿意兩個角度出發，關注流程接口、嚴格管理職責、識別關鍵控制點、按重要性優先次序排列流程、聚焦核心流程和關鍵績效區、識別事項與風險，促進內控目標實現。

二是需要關注，由于前述業務地圖是按照業務的線條和流程梳理的，而在企業里制度體系往往是按照部門起草和發布的，所以在將制度體系匹配到業務體系時，一般會出現制度與業務并不完全匹配的問題。比如說，在集團化企業，工程建設項目是一個系統性的業務程序，但在梳理制度的時候，很可能會發現計劃部門有項目計劃管理制度、財務部門有項目財務管理制度、工程部門有項目施工管理制度、審計部門有項目審計管理制度，這就需要在對現有的制度體系進行梳理的同時，對制度的具體規定加以細化梳理，并將細化梳理的結果匹配到業務體系中。

特別需要強調的是，在對企業的業務和內部控制制度現狀進行梳理的時候，一定是先梳理業務，再梳理制度，而不是相反。否則，現有制度存在缺失的業務不會納入業務梳理的范疇，導致最終建立的制度體系不夠完整。

（二）以問題為導向診斷缺陷

內部控制診斷包括三個層面，一是完整性，二是合理性，三是有效性，分別關注的是現有的業務有沒有相應的制度規范、現有的制度能不能夠有效控制風險以及現有的制度有沒有得到執行三個層面的問題。

1.完整性

完整性診斷就是需要判斷是不是所有業務都有制度規范加以保障，具體來說應該關注以下兩個層面的問題。

一是重要的業務都應該有制度加以規范。這就涉及到如何判斷重要性的問題。一般可以從金額和性質兩個方面入手。一方面，一項業務的金額越大，也就越重要，越應該通過制度加以規范。比如說，一個工業企業每年采購備品備件費用為100萬元，那么備品備件的采購就應該有制度加以規范，但每年采購辦公用品10 000元，那么辦公用品的采購就不一定需要單獨的管理制度。另一方面，要關注業務事項的標準化程度，業務事項的標準化程度越低，這個業務事項在內控里重要程度就越高，越應該通過制度加以規范。比如說，一個電解鋁生產企業每年用電費用為1 000萬元，并不需要有單獨的購電管理制度，但每年非標件的定制采購100萬元，因為標準化程度低，風險較大，所以，需要專門的制度加以規范。

二是制度對現有業務事項的規范，不能僅僅停留在業務領域級，還應該細化到業務模式和業務階段級。比如說，對于采購業務的規范，不僅僅需要有采購管理制度，而且采購管理制度里需要對各種不同類別采購模式以及每一種采購模式下各個不同階段的工作，都用制度加以規范。特別需要強調的是，在對完整性進行梳理的時候，這個層面的問題比業務領域層面的完整性更為重要，也是目前很多企業的內部控制工作中常見的問題，可以將業務分解為不同的業務領域、業務產品。運用風險地圖識別相應風險，重點關注業務流程描述過程與風險控制目標是否一一對應，將業務活動與崗位、職責、風險應對、監督等緊密結合，形成內部控制業務流程鏈條。

2.合理性

對現有制度合理性的診斷，就是假設現有的制度在得到有效執行的情況下，能不能控制業務中所存在的風險，重點關注以下三個方面的問題。

一是需要明確識別每個業務事項中可能存在的風險。制度的建設與執行是為了控制業務中可能存在的風險，沒有風險也就無從判斷制度本身的合理性。本文不打算詳述風險的識別與評估，但需要強調的是，風險事項的認定必須是損失與損害導向的，而不應該是流程執行導向的。比如說在應收賬款管理中，應該認定的風險是把產品賒銷給沒有足夠實力的客戶所導致的應收賬款無法全部回收的風險，而不是賒銷沒有經過審批的風險。這是因為只有當把風險定義為損失或者損害的時候，在制度建設與優化的過程中才能夠找到明確的方向。有一些企業把風險定義為制度與流程本身的建設與執行，所導致的問題是控制點越來越煩瑣，流程的鏈條越來越長，制度建設與執行的風險導向性反而越來越差。當然，制度建設與執行并不是不重要，但制度建設與執行中存在的問題是內部控制的缺陷而不是風險。

另外，以內部控制、風險管理和合規管理整合為導向的內部控制優化，在識別風險的時候，應該特別注意將不同管理領域的風險做系統性的梳理。限于篇幅，不再贅述。

二是在對現有制度的合理性進行診斷時，是假設這個制度能夠得到有效執行。制度不能夠得到有效執行所可能帶來的問題，屬于有效性診斷的范疇。

三是內部控制合理性的診斷，特別依賴于診斷人員的經驗。在實際工作中，一方面這個工作應該交給企業里有足夠經驗的人員去執行，另一方面可能需要外部專家的配合。

3.有效性

對有效性的診斷就是關注現有的制度是否得到了執行。需要特別強調的是，內部控制診斷的前兩個環節是對制度文本本身的診斷，而有效性的診斷不是對制度文本本身的診斷，是對制度執行情況的測試，一般應該按照以下順序展開。

一是選擇業務樣本。一般來說，在選擇業務樣本的時候，既應該以等距、隨機等抽樣方式抽取一定量的隨機樣本，也應該結合企業的業務實際情況選擇具有代表性的或者重要的典型樣本。

二是以選取的業務樣本為基礎進行執行測試，一般包括審閱業務執行過程中留下的相關憑證、觀察業務的執行過程、詢問相關業務人員，有必要的話，重新執行或模擬重新執行相關的業務流程。

三是如果測試的結果與制度規定完全一致，則對測試過程進行記錄，如果不一致，則對不一致的樣本做記錄，一般應該記錄制度規定與實際執行的差異情況、產生差異的原因、相關人員的解釋等，必要的時候，應該采集測試證據。

上述完整性、合理性和有效性診斷的結果，最終形成內部控制缺陷報告。內部控制缺陷包括完整性缺陷、合理性缺陷和有效性缺陷，其中前兩種情況屬于設計缺陷，后一種情況屬于執行缺陷。

（三）以缺陷為基礎實施優化

內部控制優化，主要是兩方面的工作。一是針對內部控制診斷階段所提出的完整性和合理性缺陷，強化制度的完善與建設;二是針對內部控制診斷階段所出現的有效性缺陷，強化制度的落地實施。但目前內部控制在大多數企業沒有引起足夠的重視，一方面，導致很多企業的內部控制建設工作流于形式;另一方面，流于形式的制度建設的結果也不可能落地實施，嚴重阻礙了整體內控體系的完善。

1.通過頂層設計實現相互牽制

內部控制制度的建設與完善，最重要的首先不是要寫出制度條文，而是要在企業內部不同層級、不同部門之間正確劃分職責與權限界面，從而正確處理部門與部門之間、崗位與崗位之間、層級與層級之間的牽制關系。有兩個方面的問題在很多企業現有的內控制度建設過程中重視不夠，迫切需要解決。

一是在強調內部控制的牽制原則的時候，很多企業重視崗位牽制，比如說會計與出納的牽制，但對部門與部門之間的牽制、企業分管領導之間的牽制，重視不夠。企業有一些內部控制的領域，標準化程度很低，金額比較大，風險很高，僅僅進行崗位牽制是不夠的。比如說，在有一些有大額工程的企業，工程過程管理與造價結算的審核與委托審計在同一個部門內部隸屬于不同的崗位，這種牽制是有問題的，由于工程建設過程的標準化程度比較低，特別是有大量的變更，施工管理與后期的造價結算審核與委托審計在同一個部門，容易在價款結算環節導致舞弊，這兩個職能不僅不應該在同一個部門，更不應該由一個負責人來分管。

二是在現有的牽制體系的建設過程中，企業的最高管理者重視程度不夠。在很多時候，制度建設的重心落在了部門，而部門在起草制度和執行制度的過程中，難免會存在部門本位主義。因此，實現內部控制的牽制，要明確制度的建設首先是頂層設計，然后才是部門起草。也就是說企業的管理者特別是一把手要在內部控制建設過程中理順不同部門、不同層級的職責與權限界面，在職責與權限界面的劃分過程中，嵌入牽制的相關要求，在此基礎之上，才能夠由每一個部門去推進部門內的制度建設與執行。

2.加強對下屬企業內部控制的監督管理

與上述問題有類似之處，在集團化企業的內控體系建設與優化過程中，還應該明確一件事情，就是對子公司的董、監、高的內部控制，是集團公司內部控制監管應該重點關注的問題，如子公司領導班子成員的分工與牽制，這在子公司的內控建設過程中是一個非常重要的問題，集團公司的內部控制工作職能部門也應該對此引起足夠的重視，不能寄希望于子公司自身的內控體系建設解決這些問題，背后的原因，仍然是自我管理難以避免的本位主義[8]。

3.強化規矩與程序

明確了職責劃分與相互牽制以后，內部控制制度建設的另外一個問題是必須要認識到內部控制制度的核心不僅僅是審批的程序，更重要的是審批的規矩。有很多企業在內部控制體系建設過程中存在一個誤區，花大量的時間起草相關的制度條文和有關的流程圖，但對于制度條文和流程圖執行過程中的規則不夠明確，比如在采購預付有關的內部控制制度中，很詳細地規定了多大金額的預付款應該由誰、按什么樣的程序來審批，但并沒有規定什么樣的供應商可以預付，什么樣的供應商不能預付，以及決定給每一個供應商預付額度的確定規則。需要強調的是，內部控制制度的作用不僅僅是在不同的部門和不同的層級之間劃分職責和權限，更重要的是要明確每一個層級、每一個部門、每一個崗位做事情的規則和標準，也就是說做事要有規矩。

4.探索將內部控制制度的實施納入考核的辦法

任何完善的制度建設，最終想要發揮作用，必須通過制度的落地實施來實現。關于內控制度的落地實施，現有的討論已經很多，本文想特別強調的一點是，在集團化企業里邊，在集團公司的內部控制職能部門強化了對子公司的內控監督管理之外，另外一個促進企業內控制度落地實施的手段，就是要探索把內部控制制度的落地實施情況納入企業考核的辦法。比如說，將年度內部控制評價細化為日常內控評價，通過設計KPI指標和日常考核工作結合，通過不斷完善評價指標強化企業的日常經營管理;又或者把年度內部控制自評工作和年度考核工作結合起來，在年度內部控制自評的執行缺陷的基礎之上，制定執行缺陷納入考核的計分規則，并根據計分規則在年度考核時進行考核，兌現獎懲。

5.內部控制電子化

隨著經濟發展，電子技術的廣泛應用，企業發展已經全面步入了IT時代，日新月異的電子技術正給經營管理帶來翻天覆地的變化。如對銀行而言，網上銀行的推行，手機銀行、無人銀行使人們遠離柜臺，更加自主地享受金融服務。可以毫不夸張地說，離開了IT支撐的企業，無異于新時代的恐龍。因此，在推行內部控制時，必須以電子化作為手段，盡可能實現各類管理業務系統“機控”代替“人控”[9]。

四、結論

內部控制理論體系隨著經濟發展得到了迅猛發展。企業越發展，內部控制重要性愈發凸顯。當今企業界，管理已經成為其核心競爭力，內部控制是管理最重要的手段，從這個意義上講，內部控制能力決定了企業的成敗。隨著業務線、產品線的日益多元化，由“單一業務風險控制”向“全面識別關聯風險控制”轉變，要求內部控制工作內容更加豐富，隨著信息化建設潮流，“大數據+智能化”的控制技術水平進一步提高，因此，內部控制改善路徑的探索永遠在路上。

【參考文獻】

[1] 黃勝忠，劉清.企業內部控制與合規管理的整合[J].財會通訊，2019（17）：105-108.

[2] 晉商銀行內部控制體系建設與交流[Z].

[3] COSO.企業風險管理——整合框架（節選）[A].2004.

[4] 孫友文.首次全面解析2017COSO正式版《企業風險管理框架》[J].工業審計與會計，2017（4-5）：7-10.

[5] 楊智浩.新時期國企黨風廉政建設與加強內部控制的共進研討[J].企業與文化，2019（2）：49-51.

[6] 耿云江.王麗瓊.成本粘性、內部控制質量與企業風險[J].會計研究，2019（5）：75-80.

[7] 財政部，證監會，審計署，等.企業內部控制基本規范[A].2008.

[8] 顧雪玲.我國財政部門內部控制制度優化設計[J].會計之友，2019（24）：89-93.

[9] 葉陳云，宋蕊.企業運用管理會計技術方法提升風險管理能力的策略[J].財務與會計，2017（13）：59-60.

[10] 周婷婷，張浩.COSO ERM框架的新動向[J].會計之友，2018（17）：82-85.

[11] 鄧云君.裴瀟.管理會計視角下企業風險管理框架：全球觀[J].財會通訊，2017（23）：108-111.

[12] 巴塞爾委員會.銀行組織內部控制系統框架[A].1998.

[13] 劉新宇.基于會計操作風險視角下我國商業銀行內部控制研究[D].沈陽：遼寧大學博士學位論文，2011.

[14] 張小霞.現代商業銀行制度研究[M].北京：中國財政經濟出版社，2005：77-85.