如何建立有效的內控體系以更好地促進內部審計工作

姚莉莉 游族網絡信息技術有限公司

引言

IBM領導層早就意識到，要實施有效的內控絕對不是一件容易的事情，在設計和執行內控過程中需要付出高昂的成本。如果可以選擇，IBM可能不會花費那么多資金和高級管理層的精力去關注控制。按照IBM顧問個人的理解，內控就像企業的“紅綠燈”，沒有人希望受到它的限制，但沒有“紅綠燈”整個企業將可能陷入一片混亂。內控執行難其實是一個普遍而客觀的存在。企業內控通常會遇到以下十大問題：領導凌駕在制度之上；內控設計目標定位不準確；忽視流程環節關鍵控制點；缺乏內控成本與效益的權衡；盲目照搬，不能因地制宜；內控設計不能隨企業發展與時俱進；控制程序與業務執行脫節；習慣代替制度，信任逾越監督；內控設計不能匹配控制環境；過度依賴信息管理系統。企業應該針對內部控制問題建立系統性的內部控制制度，并營造內部控制文化提高員工的職工素養和職業道德，讓員工懂得在企業內部個人沒有絕對的自由，企業中的各項決策必須受到制衡。內控內審人員也要認識到內控是企業運營的剎車、是對效率的牽制，這是客觀事實，內控不是越嚴越好，完全追求效率的極端和完全強化內控的極端都是不對的，我們需要找到內控和效率的平衡點。企業有效實施和順利推進內控的基礎，事先疏通企業的內部利益結構。梳理清楚有哪些人會因為推行內控制度而利益上有損害，通過換崗等方式將其妥善安置好后再推行。否則現在推行內控把其原來的利益拿掉了，會讓其產生很強的失去感，就會明里暗里地抵制內控，導致內控很難推行下去。

一、內部控制體系的基本框架概念

（一）內部控制的涵義與目標

COSO（全美反舞弊性財務報告委員會的簡稱）定義了內部控制（簡稱“內控”）是受企業董事會、管理層和其他職員共同作用，為實現經營效果性和效率性、財務報告的可靠性以及對適用法律、法規的遵循性等目標提供合理保證的一種過程。從內控的定義可以看出，內控是動態的過程，并不等同于一系列的規章制度，制度是要求、操作流程，內控是制度設計、工具、保證制度能落地的方法；制度是載體，內控是在規章制度中的嵌入。比如說將不相容職務的相互分離、表單管控、歸口管控、授權管控、安全控制、會計控制、信息化控制、預算控制、政府采購控制、招投標控制等內控方法植入到相應的制度流程中。

內控的目的包括以下五個方面：保障整個企業的經營合法合規，這是企業內控的底線；保護股東投資和公司財產的安全；確保內部和外部報告的真實、完整和可靠；確保公司能朝著既定的戰略目標前進，提升經營效率和經營的效果；管理和控制風險（不是消除風險）。內控的具體目標和要求絕非只有嚴格一個導向，它是一個動態權衡的結果，需要根據企業的特征、發展階段來權衡，而不是絕對化，具體目標和措施的制定要務實。

（二）內部控制與內部審計的關系

我們在談內控的時候，后面都會談有沒有監督，這個監督就是內部審計機構的職能范圍。內審職責不僅限于會計報表的審計，還要看各項業務活動是不是符合企業管理的規章制度、是不是符合企業內部控制的要求、是不是符合風險控制的要求、是不是符合業務流程的相應規定。所以內審工作，一方面是對企業內部經營活動的監督、檢查和評價，另一方面內審不僅限于評價，還應拓展到對企業內部經營活動和內控工作的優化、改進和完善。綜合來講，內審在企業內部通過不斷地發現問題并解決問題，承擔了監察和咨詢的功能。

因此，內控與內審是相互促進的關系，設計有效并能執行到位的內控體系能大大提高內審的工作效率與工作價值，而內審的工作能促進內控的優化和完善。

二、評估內部控制管理成效的基本內容

（一）控制環境

控制環境是土壤，包括風險管理的理念和風險偏好、誠信和道德價值觀，以及它們的運營環境。董事會的態度和經營方式，是決定控制環境優勢的關鍵因素。從治理結構上來說，獨立董事在董事會中的比例為判斷董事會的獨立性和公司治理結構合理性的一個重要標志。控制環境是整個內控系統的底層基礎，就像高樓大廈的根基、種植橘子樹的土壤。

（二）風險評估

風險評估就是要識別和分析公司面臨的所有的潛在風險，包括商業風險、財務風險、合規風險、運營風險，然后確定應該如何減輕和管理這些風險。企業運營始終是涉及風險的，需要在完全消除風險和對風險關注不足之間做恰當的平衡，在確定整個公司的環境和業務活動的風險以后，需要對風險進行評估和分析。一旦評估了風險的重要性和可能性，那么管理層就需要考慮如何去管理風險以及選擇對應的策略。

（三）控制活動

控制活動就是包括各種政策和程序，企業不同層面的人員共同實施的控制活動，可以歸納為以下幾種：一是合理授權，比如對外支付的審批、簽字制度；二是活動管理，由負責的管理人員對績效報告進行審查，比如定期將實際數據、預算數據進行比較，分析差異；三是信息處理，執行各種控制與檢查交易的準確性、完整性和授權，比如異常報告；四是實物控制，確保設備、庫存、證券和其他資產得到保護，并且定期的檢查，如倉庫的收發存系統、各種實物資產定期的盤點制度。五是職責分離，在不同的人和崗位之間劃分和分離職責加強檢查，并最大限度地減少錯誤的風險。

（四）信息和溝通

信息和溝通是指能夠使人們識別信息、獲取信息和匯報信息的有效流程。信息系統提供運營、財務、合規的相關信息，促進業務的運行和控制，是執行決策和外部報告的必要條件，信息質量會影響管理層做出適當的決策的能力。信息的內容需要真實完整的，具有時效性、準確性、可靠性和可訪問性。有效的溝通必須貫穿整個組織的各個方向，員工必須了解自己在內部控制系統中的角色及個人活動和他人工作的關系，什么行為是預期的、什么是可接受的、什么不是預期的，或者不是被公司接受的。管理層與董事會和董事會的委員會之間的溝通至關重要。管理層必須使董事會了解績效發展和重大風險、重大舉措等相關一些問題。反過來呢，董事會也應該向管理層傳達所需要的信息，并提供指導和反饋。除了公司內部，董事會和管理層還需要與股東、客戶、供應商、監管機構等各個外部等人士進行有效的溝通。

（五）監控

內部控制系統最后一環節是需要一個評估內部控制系統的過程。所發現的內部控制的缺陷應該報告給公司高層，如高級管理層、審計委員會或者董事會，監控的目的是確保內部控制持續有效運營，監控涉及由內控審計人員評估內控的設計和實施，以采取適當的后續行動。

三、內部控制措施執行難的原因

內部控制的靈魂在執行。作為內審人員，都很希望制定了內控制度就能夠執行，執行就能有效。然而在實務中，審計人員深有體會：構建內控體系、完善規章制度、設計內控流程、推廣和培訓內控制度都不難，但內控體系構建好之后，實際執行卻常常不到位，總是遇到明里暗里的抵制，或者流于形式與理想狀態相差甚遠。其實內控執行難有著深層次的原因，主要有兩大根源：

（一）內控限制了個體的自由

因為內控為了防范由于個人自由造成企業的一些潛在風險，就必須限制個人自由。內控的控制活動包括審批、復核、監督、輪崗等，都是對個人自由的限制，但恰恰追求自由又是個體的天性，因此個體從潛意識里就會抵觸內控。內控牽制了工作的效率。我們要認識一點，內控在防范風險的同時，確實會不得不牽制和影響工作效率。而業務部門是希望效率越高越好的，縮短流程、減少審批就會提高效率，所以業務部門出于對效率的追求，也會自然而然地抵制內部控制，這個矛盾的存在也是客觀的。

（二）內控影響了個人的利益

企業中永遠會存在著個人利益和企業利益發生矛盾沖突的地方。其實企業中很多風險的存在，是由于個人利益和企業利益之間發生矛盾。內部控制傾向于保護企業的利益，因此就會限制某些個人的利益，影響到某些個人的不當得利，比如供應商選擇、費用報銷等環節的內部控制程序等，觸動別人利益而導致內控被抵觸。綜上，內控執行絕非一帆風順，因為它客觀上限制了人的自由，影響了效率和利益，所以如果想要順利推行內控制度，必須先提高員工的思想認識，讓其認識到自由和企業的制衡是必然的，效率和內控的平衡點要找到，還得梳理好內控利益結構，才有可能順利有效地推行內控制度。

四、企業搭建有效的內控體系的策略建議

（一）健全規范化的內部控制制度

建設內控有一套系統化的方法體系，可以用幾個“化”來概括：管理制度化、制度流程化、流程崗位化、崗位職責化、職責表單化、表單信息化、信息數字化、數字智能化。內控不僅是建設內控制度，比制度更大的問題是執行。因此必須將制度流程化。從制度、崗位、流程三個層面上，去評價現有的工作步驟，采取相應的措施規范操作流程，避免內控的重大風險。同時，還不能因為建設內控而過度影響工作效率，需要將流程崗位化，只有崗位還不行，還需明確崗位對應的職責，將崗位職責化，職責是通過表單的形式體現出來的，因此就有了職責表單化。制度、流程、崗位職責、表單這些構成了整個內控一個系統的方法，在規范統一流程的同時，植入內控的方法體系。在流程執行過程中可能出現的問題叫風險。把風險標注出來，單獨列示相應的風險清單，同時標示風險的屬性、風險的等級、風險應對的控制措施、風險歸屬的責任部門，把所有的風險在流程中列出來，就是風險矩陣。針對每個風險點去建立相應的內部控制時，要用到風險評估的方法。風險評估要從風險發生的可能性和風險影響的程度，對流程中所涉及的每個控制點進行綜合分析，從成本效益的角度來綜合考慮針對各個風險點的內控措施。

（二）完善內部控制工具的使用內容以及流程

系統化的方法體系基礎上，企業還可以結合使用以下內部控制工具和手段進行內控建設。一是不相容職務的分離控制。在整個內控里面是最基本的，也是最重要的一個控制。授權批準、業務經辦、會計核算、財產保管和稽核檢查，理論上這5個環節的人和崗位都要分開，這樣在工作流程的內控設計上就有了一個基本的底線。二是授權審批的控制要求。明確股東會、董事會和經營層三個層面的決策規則和機制。誰有權利動錢、誰有權力決定人事、誰有權利碰機要文件和印章，這三個是最重要的授權審批控制，需要明確審批控制的要求。三是財產的保護控制。廣義的財產，包括貨幣資金、存貨、應收賬款、固定資產、土地房產等。財產保護在內控執行的時候，一定要遵循職務分離的基本原則，在整個管理的過程中，采購人、保管人、記賬人、監督人這4個職務要確保分離。要注意的四個要點包括：資產日常管理，入賬管理確保都有明確的人員負責，包括入庫、領用、損毀、核查等環節都有專人登記；資金管理，要有統一管理的資金池，公司的資金池盡可能在規范的賬戶當中，不要和個人賬戶夾雜在一起；資金與賬目的審批一定要及時匹配；定期清查防范內部舞弊。四是預算的控制。對于預算的控制要注意三點：預算一定要有一個專門的機構負責，管理層推動，財務部門或預算管理委員會牽頭，自下而上再自上而下進行溝通和推動，得到絕大多數人的認可，預算才能推下去；預算不要求很準，在整個實施過程當中，要建立一個動態調整的機制；預算一定要同績效考核銜接，同財務審批銜接，才能夠通過預算實現內部控制的目標，保證所有人朝著既定的目標，在既定的軌道內前進。

（三）搭建信息化的業財控制體系

一方面利用信息化手段建設流程，另一方面在今天數字化的時代，要把流程看成一個采集數據的過程。從業務端的發生到財務端的收付款，語言是不一致的。業務以目標為導向，財務以流程為統領，業財的不融合背后是目標管理和流程管理的不融合，它們兩者融合在一起的時候，就會產生矛盾，會發現業財的數據沒有貫通。所以內控的建設背后還有一個業財流程融合的過程。而業財流程融合的過程，其實是業財數據打通的過程，這個過程中所增加的工作量，必須運用智能化的手段，讓大量的人工在重復性發生的環節中解脫，必須以大量的數據實現智能化的應用，讓業務與財務的語言能夠相互共享。所以流程再造的過程，是一個數據標準統一的過程，又可以看成是一個數字化的過程。此外，為了提高業務部門填寫各種表單的效率，企業需要將表單信息化。這里要注意的是，在信息化落地之前，從制度走向表單，需要大量的流程梳理和再造工作，否則就會把線下問題搬到線上。

（四）開展全過程的會計監督管理

內部控制建設一定不能忽視會計控制的基礎性作用。管理的核心是財務管理，財務管理的核心是資金管理，我們抓住資金管理這條線，再逐步地延伸到業務。財務管理就是一套流程化管理的體系，將其延伸至業務，就能夠規范業務中的流程管理，業財融合就是業務和財務流程的整合。企業應該確保會計系統的真實和完整，讓管理層以及稅務機關客觀真實地看到企業的經營狀況，并讓投資人能夠認可企業管理的客觀性、真實性、透明度，從而愿意與企業一起發展。因此，在內控管理中，第一，要保證財務體系和賬務體系的真實性，堅決杜絕兩套賬；第二，要確保財務做賬證據鏈的完整，包括比如生產計劃、物流、出庫入庫、合同、票據等支撐材料，只有證據鏈是真實完整的，才能夠檢驗賬是否為完整的；第三，建立符合企業業務特點的、統一的核算標準（企業會計準則），消除理解偏差，擺脫對做賬人的主觀依賴性；第四，確保財務報告制度的實施。財務報告制度包括外部報告和內部報告，外部報告是以三表為核心的，內部報告需要在三表的基礎上加上一些特殊的財務分析、一些特殊的業務數據的比對等。在公司內部形成一套財務報告機制，是確保財務會計系統真實性、完整性的一個重要手段；第五，監督包括內部監督和外部監督。內部審計的審核、外部第三方專業審計機構的審查，是確保會計系統合規、會計系統能夠處于控制合理范圍內的重要工具。

（五）基于頂層設計內部控制架構

第一，內控要注意與宏觀戰略相結合，要有高度、有目標。內部控制只有與戰略相結合，才能得到管理者的認同，才能得到全體業務部門的認同，否則，就會被認為只是對外的合規，為了符合監管的要求，是某一個具體部門的事情，是具體業務層面上的內部控制，而忽略了在內部控制中應該關注的控制環境的建設。而控制環境又是內部控制所生存和發展的土壤，土壤不好，種什么苗都會出問題。所以應該把內部控制放在戰略高度下去觀察，戰略不確定性與風險相互聯系，那么內部控制才會以風險為導向去建設。

第二，內部控制建設，要與企業內部現有的標準體系相互整合，實現有效的融合。一個單位里有各種標準，包括內部控制也是一套標準。而一個單位不可能去實現各種各樣的標準，而是要在這些標準中去整合，梳理可能會出現的沖突，可能出現的具體的問題，將標準之間進行一個有效的融合。

第三，內部控制一定要注意上升到集團的高度，集團管控問題是集權和分權的劃分問題，直接影響到一個單位的組織架構、崗位職責的劃分、部門職責的劃分，這也是內控的問題。集權和分權的劃分有一個思路，叫做集中的更集中、分散的更分散。重復性發生、低附加值、容易有重大風險的，要把它集中；有利于調動積極性、發揮主動性的權力要注意分散。

第四，內部控制要平衡風險和效率之間的關系。我們不可能把所有的內部控制都建立起來，但是對關鍵風險關鍵控制必須要把握住。有些控制雖然成本會很高，但是它的風險一旦發生，造成的影響會非常大，那必須概化相應的成本；有些風險可能很少去發生，形成的風險也不會有那么大，那就沒有必要去建立最嚴格的控制體系。總之，我們要平衡效率和成本之間的關系。

結語

《黃帝內金》有云：“上工治未病，不治已病，此之謂也。”內控強調的是企業應該構建一個對于相關風險的防范體系。一個精心設計的且被實際執行的內部控制系統，可以有效地幫助高管或者投資者管理公司，同時也降低風險且增加業務的價值。正是由于企業有規范、執行到位的內部控制，有良好的控制環境、科學的風險評估、有效的控制活動和暢通的信息溝通，內審的事后監督工作才能更有效率更好地開展，從而促進內控進一步完善，促成企業內部管理的良性循環，降低成本和內耗，提高市場競爭力協助企業做大做強。否則，若企業的內控設計失效、執行不到位，內審只能事后做亡羊補牢、事倍功半的工作，不僅效率低下而且很難產生價值。所以一定要重視內審工作之前的內控建設和執行的工作。內部控制的建設只有起點沒有終點。內部控制實際上形成了單位的一套標準，標準減現狀等于問題，企業需要不斷地進行內部控制評價，讓內部控制體系不斷趨于完善。企業要從制度、流程、崗位三個層面上來搭建內部控制評價制度，同時要注意對缺陷的評價，這些缺陷的評價又是未來整改的方向，所以內部控制的建設是一個系統的工程、是一個動態的過程，內部控制的建設永遠在路上。