企業內部控制建設若干問題的思考

蔡念東

（江蘇省廣電有線信息網絡股份有限公司，江蘇 南京 210018）

近年來，內部控制常常被作為衡量企業管理水平高低的重要標志，內部控制作為企業生產經營活動的自我調節和自我約束機制，在企業生產管理中具有舉足輕重的作用。

一、內部控制建設的重要性

1.內部控制是企業發展的“助推器”

內部控制是指圍繞企業全面風險管理目標，將風險管控要求融入企業流程、制度、職責、考核、文化等方面，由企業決策層、管理層和全體員工，按照既定的風險管理策略共同實施的、貫穿企業經營活動的控制過程和管理方法，旨在保障風險控制目標實現的過程。通過實施內部控制建設，有助于建立良好的內部環境，能夠為企業平穩發展打下堅實基礎；有助于樹立全面風險意識，及時識別、分析企業系統中存在的各類風險并合理確定風險等級以及風險應對策略；有助于持續開展內部監督，形成事前、事中、事后業務的監管和控制。企業通過實施自我調整、約束、規劃、評價和控制等一系列內部控制的方法、手段與措施，不斷適應企業改革發展的需要，助推企業系統又好又快發展。

2.內部控制是企業風險的“防火墻”

在實施內部控制過程中，圍繞企業戰略目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本程序，識別可能影響戰略目標實現的潛在風險，對識別出來的風險，通過手工控制與自動控制，預防性控制和發現性控制相結合的方法，實施運用相應的內部控制措施，將風險控制在可承受范圍之內，避免“小風險”釀成“大風險”，構筑了一道風險“防火墻”，為實現企業戰略怒表提供合理保障。

3.內部控制是企業管理的“內視鏡”

許多企業在實施內控控制建設之后，取得良好的效果，其成功的原因各種各樣，但其中包含一個共同因素，那就是重新審視、調整自身的業務流程。筆者認為，實施內部控制建設的首要環節是對企業系統業務流程的全面、系統的梳理。內部控制的核心思想就是將與企業相關的各類風險控制在可承受范圍內，從而確保企業的平穩健康發展。因此，在實施內部控制建設過程中，非常重要的一環就是根據全面性原則，系統梳理企業的業務流程，分析各種業務、各個環節中可能存在的風險，按照其性質和可能產生的影響進行分類，并分別采取合理的措施和適當的控制活動。這一過程，正如人的體檢，通過對身體各個器官的全面檢查，來判斷自身的健康狀況，并針對存在的問題對癥下藥。從這個意義來說，內部控制就是企業管理的“內視鏡”。

二、實施內部控制建設存在的認識誤區

內部控制為企業管理提供了一個規范性的管理框架，幫助企業系統規范管理，有效降低風險。但不可否認，在內部控制建設過程中，有的企業在對內部控制的理解上出現了四個方面的誤區。

誤區一：內部控制等同于財務控制或會計控制。

風險管理基本流程主要包括初始信息收集、風險評估、風險管理策略、內部控制、監督改進。在《企業內部控制引用指引》中，內部環境類指引（組織架構、發展戰略等）和控制手段類指引（合同管理、信息系統等）中的大多數內容與會計控制無關或關系不大。因此，將內部控制等同于財務控制或會計控制是片面的，將實施內部控制當成財務部門的事，則過于局限狹隘。企業內部控制的目標一般包括確保將風險控制在與企業戰略目標相適應并可承受的范圍內，保障資產安全；確保遵守國家有關法律法規、企業規章制度，保障經營管理合法合規；確保財務報告、內外部信息溝通及相關信息真實、可靠；確保企業各項決策部署有效執行，提高經營活動的效率和效果，促進戰略目標實現。在上述控制目標中，保障經營管理合法合規、確保財務報告、內外部信息溝通及相關信息真實、可靠是內部控制的基礎目標，均與會計控制直接相關。我國早期的內部控制都是從基礎目標開始的，但隨著現代市場經濟的持續快速發展，不僅要求企業必須圍繞這些基礎目標加強管控，而且必須在提高經營效率效果方面提到提升，最終促進企業實現發展戰略。因此，會計控制既不是內部控制的惟一內容，也并非終極目標，內部控制的建設需要全員參與、全過程管控和全方位覆蓋。

誤區二：內部控制建設就是按《企業內部控制應用指引》規定的18項業務來開展工作。

不可否認，《企業內部控制引用指引》的發布極大地推進了內部控制的推廣應用，但如果將兩者畫上等號，卻有失偏頗。內部控制具有全面性，在內容上應覆蓋企業所有業務、活動、功能和人員，而一些重要的業務活動，比如技術及商業秘密管理、法律事務、數據管理、制度管理、母子公司控制等，在18項應用指引中仍處處于缺項。還有一些與整個行業或單獨企業有關的特殊業務或活動，更是沒被納入應用指引的整個體系中。所以內部控制建設就是按《企業內部控制應用指引》規定的18項業務來開展工作的認識是片面的，只有全方位的實施內部控制建設，才能使內部控制在本企業落地生根，并成為企業防范重大風險、提升自身管理水平的“利器”。

誤區三：實施內部控制建設都能取得顯著效果。

內部控制無論建設的程度如何，也只能作為為被審計單位實現財務報告目標提供合理保證的一種制度安排。內部控制實現目標的可能性受其固有限制的影響，這些限制至少包括以下方面：（1）在執行時可能出現人為錯誤；（2）控制可能由于內部人員串通舞弊而失效；（3）執行人員素質不適應崗位要求；（4）實施內部控制需要考慮成本效益原則；（5）內部控制一般都是針對常規業務設置的。從固有限制可以看出：一方面，內部控制有效性包括內部控制設計的有效性和內部控制執行的有效性，由于上述眾多方面的原因，它只能為實現企業的內部控制目標提供合理保證，而不可能提供絕對保證；另一方面，從性質上說，內部控制只是企業內部管理的工具和手段，一個企業從其設立到最終解散過程中，面臨著眾多不確定因素，如政治、經濟、自然環境等方面，有些因素變化帶來的影響往往超出企業最大的可承受能力。

誤區四：實施內部控制建設可以“畢其功于一役”。

在持有這種觀點的人看來，內部控制是上級部門或上級領導交代的一項工作任務，因此，他們更多的是一種“被動接受”的思想。他們往往認為實施內部控制無非就是成立一下組織機構、印發幾份文件或填寫一些資料，短時間內就可以完成。此外，他們將內部控制和企業現有的管理方式和手段隔離開來，將其視為現行日常工作之外的額外工作，在這種思想下，“兩張皮”現象就不可避免了。要扭轉上述錯誤認識并在內部控制建設中取得實效，至少應通過以下方面的努力：一是內部控制應該是企業的一項主動行為。企業的治理層及管理人員只有正確認識到實施內部控制的重要性和必要性，才能變“被動接受”為“主動作為”。二是內部控制是一個持續改進的過程。任何企業的內部控制都不可能是盡善盡美的，應隨著外部環境的變化、單位管理要求的提高、職責職能的變化，對內部控制相關文件不斷修訂和完善。三是內部控制嵌入在日常工作當中，與日常工作合為一體。實行內部控制建設并非是一項“額外工作”，它是對現有流程的改進，是對現有風險的防范，是日常工作的某一具體環節或要求。只有這樣才能促進企業管理水平的不斷提高，使內部控制真正發揮作用。

三、破解內部控制建設存在問題的出路

1.統籌協調是成功基礎：重視各項準備工作，逐步推廣實施

實施企業內部控制建設是一項系統工程，需要在全企業范圍內統籌協調。重視和強化實施前的各項準備工作，是保證內部控制順利實施的重要前提。內部控制建設的準備工作至少包括以下幾個方面：一是公司董事會或類似權利機構對內部控制建設應予以高度重視，要發揮好建立健全和有效實施內部控制建設工作的領導和指揮的作用；二是內部控制應當從企業最高管理層到企業各職能部門、專業機構等各基層組織，上下統籌協調，縝密安排，結合企業經營的特點和管理要求，對現行內控制度和管理要求進行梳理優化，健全適合本企業實際的內部控制制度；三是化大力氣加大對企業信息系統的改造，促進內部控制流程與信息系統的有機結合，實現對各類業務和事項的自動控制，減少或消除人為操縱因素。

2.人員是至關重要因素：樹立正確認識，保證思想到位

“人”是企業中最重要最活躍的因素，是企業發展的源泉和動力。對于內部控制而言，“人”是制度的設計者，更是制度的執行者。因此，在企業系統內部控制建設過程中，企業員工作為最核心的要素，必須全員參與，在“上下聯動、左右協同”的基礎上，完善內部控制體系。首先，在企業管理層中樹立“內控面前人人平等”的思想，杜絕管理層可以凌駕于內部控制之上的“特權思想”；其次，通過不同方式和途徑，增強內部控制宣傳貫徹力度，讓內部控制意識逐漸內化于心、外化于行；最后，要充分發揮員工的主觀能動性和積極性，廣泛征求和收集員工對于內部控制的意見和建議，保障各項工作目標順利實施。

3.風險排查和風險管控是重中之重：多措并舉多管齊下，確保工作到位

在風險信息收集方面要動態化，應選取成本支出較大的基層單位或者部門，按照預算金額梳理大額成本支出的項目清單，對成本預算的規范性、經濟性、效益型進行現場監督檢查，建立風險清單，滾動性的開展風險信息的收集。在風險評估方面要科學化，要發揮業務管理部門的主體作用，對收集的風險進行認真分析，辨識風險類型、風險因素、風險成因、風險損失度，準確評估風險等級，科學確定風險的預警指標以及閾值。在風險防控方面要長效化，要采取崗位防控、部門內控、監督部門重點監控的方式，將風險防控融入企業經營管理和工作流程，強化日常監督和過程控制，健全完善覆蓋全面、統一規定的內部控制體系和全面風險管理體系。在風險責任追究方面要常態化。堅持有權必有責、有責要擔當、失責必追究，健全完善責任追究程序、機制，常態化開展風險監督檢查，切實將風險管控的主體責任、監督責任、領導責任等壓緊、壓實。

4.信息技術是支撐手段：借助ERP平臺，提升效率效果

內部控制是在企業內部實施的各種制約和調節的組織、計劃、程序和方法，而這些組織、計劃、程序和方法要得以實施，需要通過信息化的手段才能得以便捷地實現。如沒有信息化，內部控制的成本極高，在現代企業中沒有存在的意義。《企業內部控制基本規范》明確要求：“企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素”。在以往的企業管理中，由于管理手段落后，信息處理明顯不及時。而以ERP系統為代表的企業資源管理系統則能將企業基本流程緊密串連，從業務前端到財務部門，數據可以被自動記錄并生成憑證，使企業能實時掌握內部資源的運轉信息。在信息共享的同時，ERP還利用嵌入式流程處理業務活動方式，實時采集和存儲業務實際發生時的數據。由此可見，以ERP系統為代表的企業資源管理系統的使用能大幅度減少業務活動數據的重復記錄量、降低數據核對工作量，消除了傳統環境下的中間步驟，從而很大程度上降低了數據處理量和處理時間，增強了對業務過程中每個控制點的實時控制，使控制效率更高。

5.有效評價是推進動力：兼顧內外部視角，持續開展評價活動

在實施內部控制過程中，對內部控制進行評價是非常重要的一環。筆者認為，有效的內部控制評價應兼顧內部管理和外部審計視角，要同時站在企業管理者和外部監督者兩個角度來進行評價。從企業管理者角度來看，他們更關心內部控制目標中的企業戰略和經營的效率效果目標，實現價值創造和實施戰略目標是企業發展的根本動力和最終追求，內部控制評價被當成為了上述目標的實現以及可持續發展而形成的一種自我需要；從外部監督者角度來看，他們則更側重會計信息的真實性、資產安全及遵循法律法規目標，他們以查找企業經營管理中存在的問題為主要目的，內部控制評價被當成企業管理成效的一部分，這種視角在依法治企要求日益提高的形勢下具有特殊意義。由此看來，有效的內部控制評價是內部控制有效實施的一項重要且必要的活動和安排。只有合理設計并正確應用內部控制評價系統，才能不斷地促進企業內部控制體系的有效實施與持續改進。

6.企業文化是最終落腳點：打造優秀企業文化，確保企業平穩健康發展

企業的各項經營活動好比一泓湖水，企業文化好比千里長堤， 越是優秀的企業文化，規范制約越有無形的作用。筆者認為，判斷一家企業內部控制建設是否最終取得成效，可以通過其企業文化得到驗證。與內部控制相關的優秀企業文化至少包括以下方面：一是規章制度的執行。內部控制的表現形式往往是一系列的規章制度，而規章制度的生命力在于執行，具備了優秀的企業文化，規章制度將不再是冰冷的文件條款，而是員工的自覺行為。二是風險意識的塑造。倡導風險意識并非否定企業的自主創新或是固步自封，而是在對各類風險進行充分分析和論證之后，更有針對性地開展各種業務活動，是在保持謹慎態度下的積極進取。三是協調機制的建立。人與人之間的利益關系是社會關系中最為本質的關系，良好的內部控制利益協調機制，可以有效抑制利益的過度分化，實現各業務部門的動態平衡，從而形成相互包容、相得益彰、相互促進、平等競爭的良好局面，確保企業平穩健康發展。

四、結語

綜上所述，通過企業內部控制建設，能夠在很大程度上防范企業風險，在內部控制建設中，更需要統籌推進，激發員工積極性，借助信息化手段，開展有效的評價，最終實現企業文化價值的提升。企業制定并試行《內部控制手冊》，進行組織架構調整，進一步加強企業內控建設，確保開拓經營和風險防控兩個輪子都健康，在企業面臨行業下滑的殘酷態勢下良好運行并實現全年經營目標。