企業內部控制管理探討

●劉吉文

企業構建一套完善的內部控制管理機制需要一個長期的過程。在市場競爭日趨激烈的情況下,如何基于內部控制管理視角增強企業的競爭力，已逐步成為了企業最為關注的問題。健全的內部控制管理體系能夠為企業的健康發展提供一個強有力的保證，其可以有效地保障企業財產物資的安全完整、避免會計信息失真以及促進企業有效經營等。企業為實現長遠目標，應高度重視內部控制管理建設，力求通過成熟的內部控制管理模式推動自身快速發展。

一、企業內部控制概述

2008年6月，財政部等部門聯合發布《企業內部控制基本規范》指出內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制是企業進行自我管理的一種方式，它可以實現對內部的檢查、制約及調整。內部控制的自我約束制度受到各個層面成員的監督和推動，是企業對內的一種自我完善方式。強化企業的內部控制管理可發揮四方面作用，其一是保護企業資產的完整安全及對其有效使用，提高企業經營管理和風險防范能力；其二是通過內部控制能夠盡可能壓縮成本費用支出，這將會大幅提升企業的生產經營效率，進而獲得較多盈利，確保企業可持續發展；其三是規范企業會計行為，確保會計傳遞信息的及時性、準確性和可靠性；其四是保障企業管理部門方針、政策和指令的貫徹執行，使企業各項生產經營活動有秩序地持續進行。

《企業內部控制基本規范》指出，企業建立和實施有效的內部控制，應包括內部環境、風險評估、控制活動、信息與溝通、內部監督五個要素。控制環境要素為企業提供了基本的組織架構和管理紀律氛圍，決定著內部控制的規則與結構，潛移默化地影響著企業員工的內部控制意識，包括管理者的經營管理理念、方式和風格及道德品行、組織結構、董事會、人力資源政策與實務、企業文化等。風險評估要素是風險管理的基礎工作，主要是識別和分析企業在經營管理過程中的各種風險。控制活動要素是確保企業管理層的指令得以執行的政策和程序。控制活動自上而下或自下而上貫穿于企業，包括控制范圍設定、職責劃分、業務授權、活動協調、考核、資產及信息安全保障等。內部監督要素是企業對建立和實施內部控制的情況所進行的常規、持續的監督檢查，或者對內部控制建立與實施的某些方面的情況進行不定期的、有針對性的監督檢查。有效的內部控制是增強盈利能力的重要保障[1]，具有健全內部控制制度的企業在盈利能力方面顯著高于存在內部控制缺陷的企業。

二、我國企業在內部控制管理中存在的問題

（一）內部控制環境基礎薄弱

多年來，盡管我國大部分企業的內部控制建設在不斷推進，但是仍有部分企業的內部控制基礎相對薄弱，沒有將內部控制理念全方位宣貫至全體員工思想之中，也沒有做到與各個生產經營業務緊密聯系，進而造成企業經營管理工作秩序紊亂，造成賬實不符、資產流失等現象存在。如出納、制單、審核等本該由有多人承擔的工作卻由一人承擔，企業將公章和財務用章都交由一人保管，這些漏洞違背了內部牽制的原理與初衷。

（二）風險意識薄弱

在激烈的市場競爭中，企業面臨的可控風險主要有市場風險、經營風險、財務風險。企業為了更好地生存下來，必須做到未雨綢繆。然而，很多企業中的管理人員的內部控制意識淡薄，僅重視企業營業收入、營業利潤、利潤總額等方面持續增長，缺乏對內部制衡、內部監督、內控管理等事項的高度重視。甚至有些管理者認為內部控制只是針對資產安全的控制，這將會導致部分企業內部控制管理工作只停留在表面。內部控制涵蓋了企業的各個業務過程和管理過程，還涉及到企業的各個部門及每個人員，不僅僅局限于企業的管理者。往往基層員工按照“師帶徒”模式完成工作，不按照各自崗位的標準作業流程和管理制度完成各項工作，有的員工甚至對自身的工作范圍、任務和職責等事項都不夠明晰，進而導致工作頻繁地出現差錯且效率低下。

（三）內部控制執行不力

內部控制制度是企業根據自身經營管理特點自行制定，是保證正常生產經營活動的系統行為規則，能夠有效地降低企業經營過程中的風險，提升企業綜合競爭力。然而，我國現有內部控制更偏向于內部制度的設計，忽略了內部制度的執行、對執行情況的分析以及對制度的動態調整與修正。部分企業內部控制制度的執行僅是停留在表面，落實不到位，甚至并未真正實施。有關企業內部控制方面的制度有很多，如預算業務控制、收入業務控制、合同業務控制等，還有各類內部控制表單，但如果出現財務工作代替內部控制等現象，或內部控制職責分工不明確，則在內部控制執行不力的前提下，任何健全的內部控制制度都將流于形式。

（四）信息傳遞不暢

內部信息傳遞是生產經營管理信息以內部報告形式傳遞給企業內部各管理層級的過程。內部報告系統不完善、功能缺失不健全、內容不完整、傳遞方式不安全、不通暢、不及時，都有可能導致生產經營運行障礙、泄露商業秘密，從而削弱企業核心競爭力。

1.管理信息化觀念落后。我國企業往往忽視各部門之間信息的協調溝通，進而形成了不利于信息傳遞的氛圍。企業員工對企業運營中的問題、見解和個人訴求，不能通過適當的渠道予以表達和上傳。此外，企業管理層不重視對管理信息化的投入，不能享受和運用網絡技術帶來的便捷，使得業務環節的信息化管理水平落后，企業管理手段滯后于發展的需要。

2.溝通渠道單一、僵化。部分企業管理者對有關內部控制信息化所發揮的重要作用的認識不到位，“大智移云物區”等智能科技在企業內部控制中的滲透和應用只是停留在口頭上，在信息渠道上仍習慣于通過設計組織結構、制定制度來實施對人、財、物的管理[2]。近年來，很多企業的信息傳遞還主要依靠于自上而下的行政命令，多以強制灌輸和重復傳達出現，缺乏充分的溝通交流和耐心的講解，因此信息傳遞緩慢，甚至產生扭曲、歪曲和遺漏等現象。當前，某些企業上一層級管理者信息的獲取主要依賴于自下而上的逐級報告制度，或以采取書面或口頭的方式單向傳遞為主，缺乏如例會、懇談會、交流會等多形式的交流和溝通，缺乏諸多參與人員之間不同思想的碰撞和啟迪，進而影響了信息獲取的準確性與完整性以及信息處理的及時性和科學性。長此以往，信息溝通的障礙將會使上層管理者、中層管理人員和員工缺乏對企業內部控制文化的認同，且對內部控制目標的認識也會出現偏差，以致影響企業目標和個體目標的共同實現。

3.信息化系統尚未建成。部分企業未建立內部控制信息系統，現有的管理系統與內部控制不能銜接一致，在進行內部控制檢查時只能通過手動方式對各項資料進行檢查，沒有利用財務內部管理控制系統實現企業內部數據共享，導致信息化資源的浪費和工作效率的降低。如果企業缺乏高度集成的內部控制信息化系統，則內部控制信息在企業內部縱向交流不暢，橫向不能實現共享和整合，于是各層級員工很難對內部控制關鍵信息進行及時、恰當的回應，進而無法有效識別與管控自身所面對的風險。

（五）缺乏有效的監督機制

某些企業內部審計部門僅僅是完成傳統意義上的審核賬目、查錯糾弊任務，而在內部控制評價、有效防范經營風險方面卻沒有有效地發揮監督職能[3]。部分企業內部審計部門的隸屬關系偏弱或領導層級偏低，這將導致內部審計的獨立性缺失，內部監督職能不能充分發揮，不能實施客觀的評價和公正的監督，對企業生產經營活動的各項監督執行不力。除內部審計之外，企業的董事會、監事會、紀檢部門、工會、風險管理部門等，內部監督部門過于分散、定位不明晰，不能形成協同運作的合力，也將會制約內部監督效果。

三、我國企業內部控制管理問題的成因

（一）法人治理結構不完善

多年來，盡管我國部分企業已經建立了現代企業制度，但其還依然在持續完善之中。部分企業雖然在形式上建立了董事會和監事會，設立了內部控制、內部審計、紀委、工會等部門，然則真正意義上的“產權清晰、政企分開、責權明確、管理科學”的現代企業制度中仍未有效形成，董事會沒有發揮其應有的作用。法人治理結構不完善將會導致董事會及審計委員會、監事會對董事等高管人員的監督形同虛設，內部審計機構所能發揮的監督作用有限，內部控制缺陷難以及時修復。

（二）缺乏完善的內部控制評價機制

我國企業長期以來將利潤指標作為對經營管理考核評價的主要依據，很少把內部控制建設與執行情況納入考核評價范圍[4]。一般而言，考核是“指揮棒”，考核評價的內容，決定著企業各個部門及每位員工努力的方向。如果企業以利潤最大化作為考核評價的標準，以經營績效為中心建立各項考核評價細則，則企業管理層將會重視績效考評制度、方法和程序的快速跟進，不知不覺間忽視內部控制機構職能的有效發揮，甚至會抵觸那些以犧牲利潤增長為代價的內部控制活動的實施。多年來，盡管我國出臺了一系列有關內部控制方面的法律法規，如《會計法》《審計法》中有關內部控制的規定以及《企業內部控制基本規范》《企業內部控制配套指引》《中央企業全面風險管理指引》《證券公司內部控制指引》《保險公司內部控制基本準則》等，但是我國還缺乏一套更為詳盡的內部控制評價機制以供企業借鑒和參考，這將會導致某些企業在有關內部控制評價內容的確定、評價程序的確立、評價方法的選擇等事項中，更多地依賴于相關人員的主觀經驗和職業判斷，而缺乏更為明確且全面的外在指導。

（三）缺乏有效的內部審計監督

當前，部分企業對內部控制流程的建立和執行工作缺少有效的內部監督。內部監督主要是由企業的內部審計部門執行，內部審計部門在執行內部監督時，主要存在如下不足：一是在內部控制檢查時，只是對照企業的內部控制手冊進行檢查，檢查過程大多流于形式；二是內部審計人員由于專業度不夠，不能深入到整個業務流程之中，無法全面掌握企業的各項經營業務信息，降低了內部審計工作有效性；三是在內部審計人員的檢查過程中，將會出現部門之間相互包容的現象，使得內部審計過程受到的干擾因素較多，進而很難在公平、公正的環境下開展內部監督檢查工作。外部監督主要是由年報審計機構執行，外部審計機構都是在每年的年報審計時，對照企業的內部控制手冊對企業的各項業務流程進行抽查，很難在短時間內找出企業內部控制中的風險點。

（四）缺乏專業內部控制監督人員

很多企業的內部控制監督人員是由財務人員轉崗而來的，他們對于專業的財務知識了解較多，但缺乏對企業內部控制的全方位認識。在開展檢查工作時，內部控制監督人員更關注各項業務的賬務處理是否正確。由于某些企業缺乏專業的內部控制風險管理人員，且受專業知識的影響不能深入到企業的各項業務流程中，因而他們難以發現內部控制中的風險點，以致影響了內部控制的實施效率，進而導致了企業存在內部控制執行失效的問題。

四、我國企業內部控制管理的完善策略

（一）增強企業內部控制意識

企業管理層應高度關注企業建立和實施內部控制的現實意義。企業只有建立科學的內部控制體系，才能夯實內部管理基礎，提升風險控制能力。與此同時，企業還應增強員工的內部控制意識，通過自主學習或集體培訓等方式，加強員工對崗位管理制度和有關內部控制流程的深層次認知，并嚴格要求員工按照各項內部控制流程處理各項業務。人既是內部控制的主體，也是內部控制的客體。企業必須以人為本，全方位調動全體員工內部控制建設的積極性，唯有此，才能夠做到事半功倍，有的放矢。內部控制建設離不開企業員工的控制意識行為，更離不開領導者的控制意識行為。提高領導層對內部控制重要性的認識，是企業內部控制建設的首要工作。只有管理者高度重視內部控制建設的重要性，重視內部控制建設和風險防范，才能使企業的一切管理活動以內部控制要求為參照。企業的利潤是由全體員工創造的，只有充分調動員工的積極性和創造性并在企業控制活動中發揮作用，使員工主動參與到內部控制管理的建設中，使內部控制管理文化在企業內部得到廣泛的認同，企業的經營效益才能持續提升。

（二）改善企業的內部控制環境

企業管理層的經營理念、組織結構的制約體系、員工的基本素質等在不同程度上影響了企業內部控制環境。在內部控制的所有環節中，控制環境是整個內部控制的基礎，管理者和員工的品德、企業的凝聚力、董事會的領導水平都會直接影響到企業的生存。企業管理者應重視內部控制環境的孕育與改善，自行帶頭嚴格遵守內部制度，應弘揚積極向上的內部控制文化，增強職工對內部文化的高度認同。企業管理者根據企業的內外部環境和實際情況，建立科學合理的組織架構和內部管理機構，以提高內部控制的效率和效果為前提，選擇科學、務實的經營管理方式，選擇適當的風險應對態度，轉變經營風格為穩健務實型，實現可持續發展。

（三）健全內部控制制度體系

企業經營環境瞬息萬變，所面臨的風險復雜多樣，一套完善的內部控制機制必須能夠時刻適應形勢的變化和挑戰，有效防范經營過程中的風險，保證企業戰略目標的實現。企業內部控制的建設與執行是一個長期的過程，管理層需要高度重視內部控制制度的設計及其有效實施。首先，企業應從梳理已有的制度著手，根據業務特點，找出內部制度建設中的短板和薄弱環節，做到內部控制制度的全覆蓋，事事有章可循，有據可依。其次，企業應不間斷地跟蹤內部控制制度的執行情況，開展內部控制評估和內控審計，檢查內控制度是否能夠適應企業經營管理的需要，以及企業內部不同層次對內部控制制度執行的反饋。再次，根據內部控制評估、審計和反饋情況，企業應對內控制度動態修正，使其能夠適應不同發展階段的現實需求。

（四）完善企業內部監督機制

企業應完善內部審計機構的設置，成立獨立的內部控制審計工作小組，使其不歸屬于企業的某個部門，力求做到監督處處存在，時時存在，對發現的問題督促相關部門整改到位[5]，確保收到實效。內部審計監督需要明確分工，針對企業內部部門的內部審計，由管理層委派審計部負責；針對領導層的內部審計，由審計委員會專門組織開展；針對審計委員會的內部審計，由監事會負責。內部控制監督是一項綜合性、專業性都較高的工作，涉及到的專業知識較為全面。內部控制監督的特點對內部監督人員提出了更高的專業知識要求。企業應加大對內部監督人員技能和專業知識的培訓力度，提高相關人員的綜合素質。此外，企業還應在內部控制審計小組中增加除財務、審計人員之外的其他人員，著力提高內部控制監督機構的督查能力。

（五）加強內部控制信息化建設

企業的內部控制信息化建設需要與業務部門、審計部門、信息化部門協同配合，逐步實現內部控制體系與業務信息系統互聯互通、業財融合以及有機整合。企業將內部控制體系管控嵌入各類業務信息系統，能夠確保自動識別并限制相關業務的超越權限，促使各項經營管理決策和執行活動可控制、可追溯、可檢查，并有效減少人為違規操縱因素。在日益競爭激烈的環境中，企業想要長遠穩定地發展，需要結合“大智移云物區”等智能技術，深度開展內部控制信息化建設，并以此為手段，持續提高內部控制管理的質量，以便為企業經濟效益的提高和經營風險的防范打下良好的基礎。