企業內部控制體系建設的相關思考

文/邢常海（中國建筑材料工業地質勘查中心青海總隊）

內部控制體系的建設是企業健康穩定發展的重要保證。加強內部控制的必要性可以從以下幾方面來概述：首先，加強內部控制可以推動企業的健康穩定發展。企業在內部控制的影響下可以建立監督機制、執行機制并行的決策層，基于投資責任制度、決策聯簽制度等規范決策審批流程，避免“一言堂”現象，進而提高企業對決策環節的控制成效，實現企業可持續發展。其次，內控的加強有助于企業工作效率的提高。企業內控體系從本質上來說是一項十分復雜的綜合性體系，通過內部控制管理可以有效地對企業內各個業務流程進行規范，使企業各個層級和部門之間的員工更加有效地進行配合和制約，從而使企業內部部門之間、不同層級之間能夠更加有效地進行交流，形成上下同心的企業工作環境和氛圍，切實促進內部工作效率的提高。不過雖然企業已經認識到內部控制建設的重要性，但多數企業內部控制建設進程緩慢，實際應用常不及預期，有待企業進一步研究優化改進之法。

一、企業內部控制體系建設的路徑

從2008年發布《企業內部控制基本規范》后，我國企業基本建立相對成體系的內部控制，保障企業的資產安全、會計信息質量等，促進企業戰略發展目標的實現。近年來，隨著外部市場變化，企業經營狀況越發復雜，多數企業原有內控體系越來越難以滿足管理需要。2019年國資委也發布了《關于加強中央企業內部控制體系建設與監督工作的實施意見》，給企業內控體系建設提供了新思路、新方向和新要求。目前，多數企業內部控制體系的建設主要從以下幾方面出發：

（一）設立專門的管理小組

在內部控制建設上，多數企業采用從上到下的工作組織模式。成立內部控制體系領導小組，由企業總經理、董事會成員、財務負責人等高層領導人員組成，主要負責內部控制目標的確定，內控方案、內控手冊的審批，重大問題的決策等工作；設立獨立的內部控制工作小組，主要由內控人員、各部門負責人組成。主要負責結合企業實際，以企業審批、管理等流程為依據，制定相適宜的內控體系建設方案，起草現代化內部控制制度預案，上報領導小組進行審定。同時，牽頭負責企業各部門內控建設和培訓工作，監督實際運行成果，識別內控建設存在的問題，完善內控手冊，報經領導小組審批。通過對內控管理組織架構的進一步優化，企業將內控工作細化到了具體，確定了各部門的職責，將內控相關政策和企業發展規劃相結合，明確了內控體系建設責任主體。

（二）邀請第三方機構共同參與建設

為了進一步提高企業內部控制建設和運行效果，多數企業選擇邀請第三方專業機構來協助建設。企業將第三方機構團隊納入內控工作小組中，由外部人員和內部人員共同梳理企業內控流程，通過調查問卷、面談、穿行測試等模式，對企業人事管理、資產管理、財務管理、公章管理、合同管理等重點業務流程進行分析，基于分析結果制定內控建設實施方案。同時，全面展開風險評估，做好風險準備、信息搜集、風險識別和分析、風險評價以及確定解決方案等工作，對發現的問題及時上報給領導小組，編制風險管理報告。另外，結合企業業務流程各環節控制要點以及關鍵風險點，繪制內控流程體系，編制內控手冊。

（三）編制權限指引規章文件

企業根據內控工作小組編制的風險管理報告、內控手冊、內控流程，全面梳理各業務環節的授權審批過程，建立授權審批崗位責任制，編制了《權限指引表》，明確劃分相關部門、崗位的職責和權限，各級人員只能在規定的授權審批范圍內行使權利、辦理業務，形成相互制約、相互制衡的管理格局。

（四）診斷管理問題，制定整改方案

企業內控工作小組對當前內控體系運行現狀進行充分調研，深入研讀現有內控制度、相關管理制度等，將其和當前發布的內控規范文件進行對比，診斷當前內控缺陷，并針對性地提出整改意見，編制了《內控管理現狀診斷報告》《內控整改跟蹤表》，為企業完善內控體系建設提供指引。

（五）優化了內控評價機制

內部控制評價是內部控制體系優化的重要一環，由于以往并未建立規范的內控評價工作流程，因而在現階段內控體系建設中，多數企業都加強了對內控評價機制構建的重視，以《內控評價指引》為依據，完善內控評價程序、流程、方法等，合理分配制度、流程的得分權重，完善《內控評價評分細則》，進一步規范了內控評價工作。

二、實踐中企業內部控制建設存在的問題

目前，雖然多數企業都在積極推進內部控制體系建設，但實踐中仍然暴露出不少問題：

（一）第三方機構配合度不高

企業一般選擇業內具有口碑、經驗的第三方機構來協助建設自身內控體系，但實操中，第三方機構帶來的協助效果并不理想。一方面是由于部分企業內控建設預算有限，第三方機構出于成本考慮，委派給企業的內控團隊在經驗、專業能力上都稍遜色，以通用內控體系建設模板為依據，給企業提供了建議，缺乏針對性，實際上并不切合企業實際業務流程。另一方面，第三方機構對企業所處行業了解不深，尤其是對于業務復雜、涉及多個行業的企業，全面梳理耗時耗力，短期內第三方機構難以全面、深入地了解到企業各業務流程風險點，雖然提出的內控建設方案具有可行性，但還存在較大優化空間。然而部分企業認為只有初始建設方案設計階段需要較多人力，如果招募過多人員，后續運行管理中容易出現人力冗余，因而雖然企業也招募了專業內部控制人員，組建了內控工作小組，但出于長期人力設置考慮，部分企業內控人員數量有限，難以獨立擔負企業內控體系建設重任。而且企業內控自查時難免會存在主觀臆斷情況，部分內控缺陷、問題無法及時識別，所設計的內控建設實施方案可操作性、合理性都不高。

（二）內控執行不到位

在內控建設過程中，多數企業通過企業內控工作小組以及第三方專業機構的努力，為企業編制了內控手冊等文件，做好了頂層設計。但在具體實施時，存在執行不到位的問題。一方面是由于目前企業只有部分人員具有內控意識，相當一部分執行人員對內部控制認識不足，執行時往往是應付了事。甚至部分企業領導也對內部控制建設的認識不到位，僅僅認為只要按照內部控制手冊實施工作，完成手冊要求就算是完成了內控體系建設。表面上企業已經設計了較為了合理的內控建設方案，完善了內部控制手冊，取得了“豐厚”的成果，但實際上，企業內控設計和運行是“兩張皮”，制度建設是一回事，落實又是另一回事，內控手冊執行缺乏跟蹤監督和評價，為了建設而建設，企業內部控制所發揮的效果大打折扣。

（三）內控診斷和整改不及時

從審計評價來看，企業在內控缺陷診斷和整改上還存在問題。部分企業雖然通過內控評價考核發現了自身內部控制體系中的不足，找到了問題所在，但負責人風險防控意識不強，加上企業也未健全相關評價獎懲制度，問題發現后多數時間在相互扯皮，推諉責任，問題解決時效性緩慢，整改不及時，甚至是已發現的問題在后續經營管理中仍然多次出現。部分企業則是沒有做好內控評價，沒有完全識別到內控缺陷，沒有找到問題所在，無從整改，影響了內控體系效果的發揮。另外，還有企業并未有健康的內部審計機制，缺乏獨立的內部審計部門，內審人員綜合能力有限，對內部控制診斷和整改情況的監督不夠全面、深入，無法及時發現不足之處，給企業營造出了一種“一切都好”的假象。

（四）風險評估和控制不理想

風險評估包括前期準備、相關數據的搜集、風險識別和分析、風險評價以及風險解決方案的制定幾大流程，在實際內控運行中，雖然企業也依據規范在開展風險評估工作，但一方面，搜集的數據不夠全面、真實，風險分析深度不夠。這主要是由于目前企業仍然存在信息孤島問題，構建的業務系統、財務系統等的信息并不能直接共享，還需人工支持，往往會存在數據丟失或是被篡改的情況，風險評估數據不全，部分風險可能并未發現。同時，數據的混亂也會影響到企業對數據背后信息的追蹤，風險分析結果有限。另一方面，風險控制力度不強。企業內部各部門之間還未形成管理合力，各部門難以協同聯動，多數是由財務部門把控風險，企業業務流程風險缺乏控制。

三、企業推進內部控制體系建設的保障策略

通過對上述問題的研究，針對企業內控體系建設的優化提出以下建議：

（一）選擇合適的第三方中介機構

企業要明確認識到內部控制體系建設是一項長期的工程，需要投入一定的資金和人力，在建設初期，應給予足夠的重視和資金支持，做好預算。同時，企業還需認識到必須選擇第三方機構參與的必要性，客觀認識到如果單純依靠自身內控團隊建設時存在的弊端，比如部門溝通效率低、專業工作團隊難建立、自查有效性較低等問題。而在選擇第三方中介機構時，在考慮聘請成本的同時，更應重視第三方機構的資質、資信等，不要求邀請業內頂尖的內控建設團隊，但要保證所邀請的第三方機構團隊具有一定的經驗和成功的案例。如果企業規模較小，可以向同業同規模的企業取經，挑選口碑好且有同行業內控建設經驗的機構，對其服務進行考量，綜合成本、服務質量等作出最優選擇。而對于企業規模比較大的企業，可以通過招投標的方式來選擇。另外，企業在和第三方中介機構簽訂合同時，可以將選取一些內控建設評價標準作為硬性條件，比如約定賠付或扣費條款等，以此來保證第三方機構可以有效發揮作用，幫助企業制定科學、合理且行之有效的內控體系建設方案。

（二）將內控建設與負責人績效評價相掛鉤

企業要組織各管理層學習現代化內控知識，革新內部控制理念，明確認識到內部控制是一項“一把手”工程，內部控制職能作用的發揮既要有完善的內控建設方案做指引，也要保證內部控制執行的有效性。針對當前內控執行不到位的問題，企業需進一步明確劃分各環節職責，將業務流程各關鍵內控點、風險點的職責和權限具體到各負責人、各崗位，并建立相適應的績效考核評價體系，如果內控執行評價較差，應直接追究相關負責人的責任。另外，企業還需完善激勵機制，管理心理學把激勵看成是“持續激發動機的心理過程”。有效的激勵措施能夠刺激員工工作的積極性，提高工作效率。實踐中，企業可以將內控執行效果和人員績效工資、年終獎等的核算相掛鉤，或是將員工在內控執行過程中的履職情況作為崗位升遷的加分項，以此來激發負責人、相關職員的工作熱情。除了物質激勵外，企業也需重視精神層面的激勵，比如可以在內控建設討論會或是職工大會上，宣講優秀完成任務的負責人經驗，讓其代表企業去宣講企業內控建設的成功經驗等，以此來增加職員的歸屬感和榮譽感，為企業內控建設繼續發光發熱。

（三）及時展開內控體系評價和審計工作，將自查常態化

企業內部控制體系的建設應隨企業經營的變動、市場環境的變動不斷進行調整，因而可能某一時段企業所建設的內控體系較為完善，但在后續評價時會出現和企業實際情況脫節、偏離等問題，因此企業需定期展開內部控制評價和設計工作，保證企業可以及時發現內控缺陷，并做好整改。實踐中，企業可以利用內部審計來進行內控自我評價。在這一過程中，企業需構建獨立的內部審計部門或是紀檢部門，招募專業的審計評價人才，并結合內控評價需求優化內控評價流程，對企業日常經營活動進行不定期的專項審計，識別存在的管理缺陷，并提出整改意見。同時，企業也需做好信息披露工作，借助外部監督來提高內控評價的真實性。通常外部監督包括政府相關部門監督和社會監督兩類，政府部門監督具有強制性、廣泛性特征，不過監督范圍有限，以行業要求為主。而社會監督主要為公眾監督、會計師事務所監督等，企業可以定期邀請會計師事務所來對現行內控體系運行情況進行評估，反饋存在的問題。而且企業也可以對比外部審計評價報告來發現自查評價中的不足和缺陷，不斷優化。另外，在具體評價時，原則上，企業在實際評價過程中針對失誤和錯誤應當視情況區分認定評價、綜合分析研判，正確把握事業為上、實事求是、依紀依法、容糾并舉等原則，鼓勵探索創新，支持擔當作為，保護員工的積極性、主動性和創造性。

（四）健全風險識別、評估以及控制體系

首先，企業應設立風險評估小組，對企業業務流程進行全面稽查、復核，識別存在的風險，并對風險危險等級進行評估，結合企業風險承擔能力編制風險清單。以此為依據，結合風險動因，追溯到具體業務節點，并選擇風險敏感值，構建適宜的風險管理模型，借助信息系統實時監管，使得管理人員可以及時了解到經營過程中存在的風險及其危險級別。其次，推進信息化建設。一方面，將風險管理模塊嵌入到內部控制系統中，實現風險識別、評估以及控制的自動化。另一方面，企業還需推進內部共享平臺建設，實現業務各環節數據的實時共享，為企業風險識別和評估提供全面、有效的數據支撐，保證企業可以有效識別出業務流程中潛在的風險，發現內控缺陷。另外，企業還可以構建風險控制數據庫，包含風險清單上各類風險的具體應對措施，以便在發現風險后，可以及時制定出有效的管理辦法，強化風險控制力，從而避免風險蔓延，把風險影響降低到最小。

四、結語

綜上所述，內部控制雖然是企業經營管理中常見的管理體系，但多數企業現行內部控制都存在著一些問題，優化內部控制體系是企業應對市場變革、風險沖擊的關鍵。而各企業雖然都已經逐步推進現代化內控體系的建設，但企業必須認識到建設中存在的“重設計輕運行”的問題，要主動尋求外部幫助，結合業務特點建立科學的內控建設方案，同時健全考核管理、內控監督評價以及風險評估體系，保證方案可以有效落地，防控內控缺陷，充分發揮內控效果，助力企業實現穩健發展。