民營企業內控制度規劃設計和運作研究
——以A企業外部內控審計結果為例

杜 娟

（浙江印相會計師事務所有限公司，浙江 杭州 311400）

在我國宏觀外部競爭環境趨于激烈以及行業供需結構不斷調整的背景下，民營企業提高市場競爭軟實力的核心即內部控制制度的建設以及運作。當下部分民營企業的內部控制制度普遍存在架構單一、組織僵硬、運作鏈條短以及風險監控不到位等缺陷問題，同時民營企業內部控制形式化嚴重，無法有效達成風險監控、合規監管的內控目標，最終致使民營企業的資源配置效益不佳以及風險敞口擴大。外部內部控制審計主要是民營企業委托會計師事務所等社會審計機構對企業內部控制制度缺陷進行分析，并識別企業內部控制內容、內部控制流程以及內控風險機制的有效性，從而指導民營企業整改內部控制制度、優化內部控制數據處理模式、擴大內部控制風險監控范圍。內部控制審計是民營企業搭建系統性的內部控制制度以及階段性優化的必要機制，不僅關系到企業內控管理模式的轉型升級，還關乎企業內控制度的有效性以及內控風險敞口的大小。民營企業內部控制是個連續的、動態的過程，內控審計則是針對企業在特點周期內的內部控制情況進行審計監督，評估企業企業內控執行的流程是否符合要求、企業內控風險監控模式是否運作到位。

一、內控制度規劃和運作體系的主要內容

圖1展示了內部控制規劃和運作體系的基本框架，其涉及內部控制架構、內部控制執行管理以及內部控制監督管理。架構設計、內控執行以及內控監督是一個閉環的體系，三者缺一不可。內控體系要求民營企業從內控架構出發，完善內部控制執行鏈條，并通過內部控制監督機制來實現一體化的風險監控，從而優化民營企業的內控成效。

圖1 內部控制規劃和運作體系的基本框架

1.內部控制架構

內部控制制度規劃和運作體系的核心內容在于頂層內部控制架構的設計和內部控制執行鏈條的完善，因此是一種戰略規劃和執行鏈條相統一的體系。民營企業在內部控制體系建設過程中需要基于所處的市場環境、政策環境、行業環境以及競爭環境等外部環境以及自身業務發展情況、組織架構情況、投融資情況以及財務資金控制情況等內部環境制定內部控制策略，從而最大化發揮內部控制戰略的有效性。內部控制策略需要和民營企業的業務發展模式、財務資金發展模式、供應鏈管理模式以及市場營銷模式等保持一致，從而能夠統籌企業的業財融合發展、縮小企業系統性經營風險。在內部控制組織架構設計方面，內控體系要求民營企業成立獨立的內部控制職能部門或者內部控制委員會，其中內部控制委員會應該由董事會成員以及各部門負責人組成。內部控制的職能部門以及內部控制委員會應該統籌民營企業的內部控制工作，負責內部控制策略的制定以及內部控制制度的優化，并且對各個部門的內部控制執行情況進行全生命周期的監督管理。

2.內部控制執行管理

在內部控制執行層面，企業應該將業務層面和財務層面的內部控制工作適度分離，業務層面的內部控制內容包括供應鏈管理、市場營銷管理、產品研發管理、采購管理、銷售渠道管理、項目建設管理等，財務層面的內部控制內容包括預算管理、資金收支管理、成本控制、資產購進和維護、負債管理以及現金流管理等內容。民營企業需要按照既定的內部控制方針執行內控策略，并將實際的內部控制執行情況、內部控制難點問題、內部控制風險問題上報內部控制委員會，由內部控制委員會根據企業發展情況優化內部控制模式以及健全內部控制制度。內部控制運作體系還要求民營企業應該對經營活動進行系統性的分析，整合業務經營、財務經營的具體數據，并通過ERP資源管理系統以及財務共享服務系統開展指標分析和風險預警工作。在整個民營企業經營的儀表盤數據分析里面，有三個關鍵點。一是各種財務指標的分析，例如資產負債率、應收賬款周轉率、總資產周轉率、凈資產收益率、股本收益率、銷售利潤率等，如果短期內財務指標出現大幅度的超出預期的變動，則內部控制職能部門應該對風險進行預警，并進一步分析導致風險溢出的原因。二是是業務指標分析，例如鋪貨率、新增用戶數、客戶留存率、生產效率等，民營企業應該基于現有的業務發展模式、業務屬性完善業務指標庫，并評估業務指標是否滿足既定的業務經營目標。三是業務指標和財務指標的交叉分析，單一化的業務指標和財務指標往往僅能夠片面地展示的業務經營情況，而不能夠綜合展示企業風險暴露的原因，因此企業應該開展交叉化的指標分析，例如將客戶留存率、生產效率等業務指標和凈資產收益率、銷售利潤率等財務指標進行對應分析。

3.內部控制監督管理

內部控制監督管理是內控體系的最后一個環節，內控監督機制的有效性直接關乎民營企業內控制執行成效以及風險監控成果。因此，內控體系要求民營企業基于業財風險屬性、組織架構以及運作模式完善內部控制監督管理機制，并通過內部審計機制、績效考核機制以及責任追究機制來實現生命周期的內控管理。內部控制監督管理作為最后一道防線，起到了風險監控、合規運作的作用。其中內部控制體系要求民營企業利用戰略審計、資金審計、經濟責任審計等審計模塊對內部控制的執行成效進行評估，并對業務發展規劃、預算編制以及風險管理方案的執行情況進行審計監督。績效考核機制作為輔助激勵機制，是民營企業達成內部控制策略以及實現業財發展目標的核心機制。績效考核機制不僅是一種人力資源配置的激勵機制，但其本身其實也是一種控制手段，因為所有的績效考評發揮的是指揮棒的作用，指揮員工前進的方向，對于企業實現整個的戰略目標以及內控目標是非常重要組成部分。民營企業在績效考核的過程中應該將內部控制目標進行拆分，劃分不同部門的內控職責內容，并制定崗位績效指標、關鍵績效指標以及重要事件績效指標。最后，責任追究機制主要指的是民營企業對內部控制主要負責人的管理成效進行評估，并對重大決策失誤、執行失誤以及監督失誤等問題追究責任。民營企業在內控監督過程中需要對內控鏈條運作情況、內控組織架構運作情況、內部控制職能管理情況以及內部控制關鍵崗位運營情況進行綜合評估，對不合規運作、流程冗雜以及監督失效等內控制度缺陷進行整改。

二、內部控制審計的主要目標和途徑

圖2展示了內部控制審計的基本內容。內部控制審計是內控的衍生監控機制，其將審計監督和內控執行相融合，以分析民營企業內控策略、內控架構、內控流程、內控風險監控以及內控監督等環節的運作成效，最后推動民營企業開展內控改革以及解決內控執行問題。內部控制審計的主要目標是通過內控制度審查、內控鏈條評估、內控風險測試來識別企業內控制度的缺陷點以及風險暴露點，進而分析現有內控制度是否能夠合規運作以及是否在控制民營企業業財風險上具有可信度。民營企業在內控制度建設過程中往往存在內部控制架構和現有業務結構和財務資金架構不相符的問題，或者企業內部控制風險監控鏈條無法有效覆蓋全面業務經營，從而導致民營企業的內部控制趨于失效，因此需要內部控制審計介入對企業的內控規章制度以及內控執行情況進行審計鑒證，以識別內控缺陷以及缺陷等級。民營企業通過內部控制審計不僅是對潛在的內部控制問題的識別和處理，還是對現有內部控制組織架構以及內部控制風險架構的再優化。內部控制審計將審計鏈條嵌入民營企業內控的全過程中，從而有效規避不合規經營風險并提高企業內部控制執行成效。從實質上看，內部控制審計是內部控制監督管理機制的一部分，企業主要期望利用內部控制審計對特定周期內的內控策略、內控組織模式、內控鏈條進行系統性審查，以保障內控制度的有效性、縮小系統性經營風險。

圖2 內部控制審計的基本內容

內部控制審計是內控制度的再控制和再監督，主要通過詢問內部控制職能工作人員、觀察企業內部控制組織管理情況、檢查企業內部控制工作文件以及風險處理文件、模擬內控風險溢出、測試內控制度等途徑和方法來綜合審查企業內部控制制度的有效性。在內控審計過程中，會計師事務所需要深入了解企業內控制度建設情況、內控執行力度、內控風險運作機制等信息，并對企業內部控制策略進行賬面分析，評估內控制度的可行性。由于內部控制環境關乎民營企業內部控制的運作成效，因此進一步，會計師事務所需要對民營企業內部控制環境進行分析，涵蓋的內容包括民營企業決策機制、職能分配、治理結構、部門設置、企業文化等。同時會計師事務所還需要對民營企業內部控制信息溝通渠道以及信息處理模式進行評估，分析民營企業是否搭建業務和財務信息的雙向溝通渠道，是否利用多元化的信息系統處理內部控制信息。會計師事務所還需要對企業內部控制監督機制的權責內容、監督周期、監督方法等進行審查，保障民營企業的內控監督機制穩定運作。

三、 A企業外部內控制度建設以及內部控制審計情況

1.A企業基本概括

A企業成立于1992年7月，并于1994年1月在上海證券交易所上市。A企業以“創新行業建設、智能化生產”為發展目標，主營業務包括紡織、服裝、鞋帽以及日用雜貨等產品的生產和銷售，同時還參與房地產開發、建筑業服務、裝飾裝修以及礦業開采等業務。A企業的業務經營主要采取紡織業務和房地產業務雙層并重的發展模式，同時還涉及金融產品投融資以及創投等領域。A企業采取的業務發展理念是多元化業務發展、協同化生產經營，并且以中短期戰略規劃為基礎開展紡織業務和房地產開發。由于A企業重大內部控制缺陷以及財務會計控制問題，A企業于公2016年11月正式停牌，并開展重大資產重組以及債務結構調整工作。

2.A企業內控制度建設以及內部控制審計情況

表1展示了2015年至2019年A企業內部控制評價報告以及內部控制審計報告的結果。A企業2015年和2016年的內部控制審計結果都為無保留意見，意味著這兩年A企業的內部控制制度無重大缺陷，并且能夠正常運作執行。而2017年和2018年的內部控制評價報告中都提及A企業內部控制存在重大缺陷，并且A企業的內部控制制度已經趨于失效，不能夠監督A企業的正常生產經營以及識別A企業的業財融合風險。2016年至2018年A企業的關聯方交易混亂，還是A企業的內部控制制度卻無法有效識別關聯方交易風險，并且沒有及時制止A企業虛開發票等資金收支管理問題，以至于2016年至2018年A企業共計產生97億元的不合規關聯方交易金額。該關聯方交易金額遠遠大于A企業的凈資產，而A企業的內部控制制度卻沒有及時識別到該問題，并且A企業內部控制委員會并沒有對關聯方交易金額的異常提出異議。根據內部控制審計報告，A企業并沒有在關聯方交易過程中對往來賬款進行嚴格的記錄，并且相關部門的負責任并沒有對關聯方交易進行簽字確認，以至于A企業的關聯方交易的原始記錄缺失并且財務部門管理人員能夠自由控制關聯方交易金額。A企業在內部控制過程中缺乏關聯方交易信息管理機制，并且關聯方交易的管理權限較為混亂，以至于關聯方交易的真實性缺失。從不合規關聯方交易可以看出A企業的內部控制意識較為薄弱，并且內部控制制度形同虛設，不能夠識別財務資金控制風險。

表1 2015年至2019年A企業內部控制評價報告以及內部控制審計報告的結果

除了關聯方交易混亂之外，A企業的財務會計計量以及會計確認機制存在缺陷。A企業在2007年開始負責S房地產項目的建設以及運營，2010年該項目已經竣工結算，由于工程結算款并沒有全部結清，A企業并沒有對工程結算款進行準確的會計處理，以及沒有將結算單據提交至財務會計部門進行審核計量，最終導致2015年至2017年A企業虛增利潤0.63億元。此外，A企業內部控制監督管理機制的有效性不足，沒有對A企業重大信息披露、內部控制環境、資產負債運作以及風險評估等環節進行全生命周期的監督。根據A企業內部控制審計報告，A企業并沒有履行重大信息披露義務，而內部控制制度卻沒有對該問題進行反饋以及處理。因此2016年至2017年A企業隱瞞對外擔保發生額共計65.09億元，并且2017年至2018年A企業并沒有對重大債務違約問題進行信息披露，涉及債務違約金額高達39.78億元。A企業還在2016年至2018年期間隱瞞了經濟訴訟79起，仲裁2起，涉及金額共計62.61億元。

四、 民營企業搭建系統性、多元化內部控制制度的策略建議

1.基于COSO框架搭建內部控制制度

COSO內部控制框架明確了民營企業的內部控制架構、內部控制模塊以及內部控制執行機制，因此民營企業應該基于COSO框架對內部控制環境、內部控制風險評估、內部控制執行活動、內部控制信息溝通以及內部控制監督等模塊進行完善處理。第一，對于內部控制環境，民營企業應該明確內部控制的組織架構，由內部控制委員會作為內控的核心監督部門，并設立內部控制職能部門來落實內部控制委員會下發的內控指令以及內控要求。第二，在內部控制風險評估環節，民營企業應該基于市場環境、政策環境、行業發展環境分析宏觀外部環境變動分析，并從業財融合的角度分析企業供應鏈管理、市場營銷、產品研發等業務風險，資金收支、預算管理、資產負債管理等財務風險。第三，在內部控制執行活動層面，民營企業應該完善內部控制管理的內容以及流程，并基于內部控制需求合理分配內控職能，特別是對關聯方交易、資產交易、債務管理以及信息披露等內容進行重點審批監督。第四，在內部控制信息溝通環節，民營企業應該搭建雙向信息溝通渠道，并利用ERP資源管理系統、財務共享服務系統的信息處理優勢進行內部控制信息的收集、分析和處理。第五，在內部控制監督環節，民營企業應該對企業業務經營、財務資金收支、會計計量核算等日常運營內容進行全過程的監督管理，并定期出具自我內部控制評價報告，對內部控制薄弱環節以及缺陷問題進行披露。

2.開展全生命周期的內部控制監督管理

內部控制監督管理制度是內部控制最為關鍵的一個環節，不僅關乎企業業務經營和財務會計管理成效，還關乎企業內部控制執行的有效性，因此民營企業應該開展全生命周期的內部控制監督管理。首先，民營企業應該明確各個部門在內部控制管理過程中的權限以及職能，規定內部控制執行流程，并將內部控制流程潛入業務部門、財務部門、資產管理部門、會計核算部門以及風險管理部門的日常工作中。其次，民營企業在內部控制監督過程中應該對業務合規經營情況、成本費用計量情況、預算資金收支情況、關聯方交易情況以及資金占用情況進行系統性監督，防范業務控制的運營風險。最后，民營企業應該加強內部控制信息披露，對重大資產交易、債務違約情況、違規擔保情況、會計核算情況等進行信息披露，并強化董事會、監事會以及審計部門在信息披露中的監督作用，保證監督部門的獨立性，不受外界因素干擾。

五、結語

目前多數民營企業存在較多的制度建設、規劃設計、流程運作等問題，例如企業內部控制組織架構和現有業務經營模式以及財務控制模式相違背的問題，企業內部控制風險監控機制不健全導致的風控內容單一化問題，企業內部控制無法和既定的業務發展規劃、財務規劃保持統一的問題。民營企業亟須根據外部內部控制審計的結果對特定的內控薄弱環節以及缺陷點進行系統性處理，并在制度環境、宏觀戰略、執行流程上以及監督機制等環境優化內部控制結構，從而推動民營企業實現可持續發展。民營企業應該基于COSO框架搭建內部控制制度，并優化內部控制環境、強化內部控制執行、提高內控風險監控力度。此外，民營企業應該開展全生命周期的內部控制監督管理，規定內部控制執行內容以及流程，并加強內部控制信息披露。