淺析企業內部控制的發展與建設

王墨 北京銀行股份有限公司

縱觀企業內部控制的發展歷程，企業內部控制起源于會計問題，從內部牽制開始，目標是資金、賬目、物資核對一致并保證資產安全，是對財務風險的高度關注。經過幾十年的發展，內部控制發展到今天，財政部發布的《企業內部控制應用指引》，基本涵蓋了企業的常見業務和經營活動，企業內部控制已經演變成了企業管理問題。原來的企業管理層普遍認為，內部控制主要是控制財務風險，企業內部控制建設與自評價的牽頭部門通常都是財務或內審部門。財務和審計部門則認為，內部控制涵蓋了對企業所有業務的合規管控，應該由企業的管理層或者業務部門來實施。經過幾十年的探索，內部控制的建設與自評需要所有部門的參與和實施。當今的企業內部控制已經從財務視角逐漸發展轉變為管理視角，重點關注管理模式與管理效率，以及達成企業戰略目標的風險，包括內部控制的建設、實施、自評、檢查，以提升管理水平和經營能力。

一、企業內部控制的發展沿革

從企業內部控制的發展視角看，從20世紀中期企業內部控制產生到2008年我國財政部發布內部控制指引，企業內部控制經歷了以下五個發展階段。

（一）內部牽制階段

1947年以前，企業內部控制主要是指內部牽制和內部會計控制。內部牽制以防范舞弊為目的，主要強調不相容分離控制及賬務的核對相符，控制對象為實物牽制和簿記牽制。以關注交易為主的內部會計控制，依據管理授權，依據美國通用會計準則（GAAP）或其他標準，主要目的在于確保財務報表的真實性，以及資產的價值管理與實物管理的分離管理，以達到保護現金和資產安全及賬簿記錄的準確性。

（二）建立內部控制階段

20世紀40-70年代是建立內部控制階段，目標是數據準確一致，這一階段強調內控的可靠性。1947年，美國注冊會計師協會（AICPA）首次正式提出了內部控制，把會計以外的經營效率和管理問題納入內部控制的范疇。

（三）完善內部控制結構階段

1949年的審計專題報告對內部控制的定義內容比較寬泛，后來基于承擔對內部控制進行檢查的責任，審計程序委員會提出了新的解決方案，把內部控制劃分為了內部會計控制與內部管理控制兩大類。內部會計控制基于內部牽制階段提出的以關注交易為主，主要在于依據GAAP或其他標準，確保編制財務報告真實可靠，以及保護資產安全。內部管理控制包括內部會計控制，更偏重于管理部門基于企業戰略目標對經濟業務的管控措施。

（四）COSO內部控制整合框架

1985年，美國股市的重大丑聞，使相關企業的會計師和會計師事務所受到了輿論和投資者的極大壓力。美國注冊會計師協會（AICPA）等五家協會聯合創建COSO（Committee of Sponsoring Organization）委員會，通過研究發現，企業的財務風險和經營過程密不可分。COSO委員會于1992年9月發布了《內部控制——整合框架》（COSO-IC），包括控制環境、風險評估、控制活動、信息與溝通及內部監督五個要素。

（五）COSO風險管理整合框架

COSO的《內部控制——整合框架》發表10年后，美國安然、世通財務舞弊事件使人們更深層次思考內控的有效性問題。2002年，美國國會頒布《薩班斯——奧克利法案》，首次提出對內部控制的有效性進行審計，使美國上市公司在接受財報審計時還要接受內控審計。當時中石油、中國移動、華能股份等在美國的上市公司都因薩班斯法案的出臺建立整套企業內控體系，以通過美國的內部控制審計。至此，內部控制從一個會計問題延伸到了管理經營，各國的監管機構不斷推動，到今天各個企業都在建立內控體系。從原來的注重經營結果也就是財報的真偽，到現在注重整個經營過程的規范。

在此基礎上，內控有效性及公司面臨的運營風險成為焦點。COSO委員會于2004年9月又發布了《企業風險管理——整合框架》（COSO-ERM），使內控延伸到了全面風險管理。風險管理框架在內控框架的基礎上增加了目標設定、事項識別、風險應對，共八要素。內部控制是風險管理的有機組成部分，而風險管理是企業管理體系的重要組成部分。COSO的兩個文件是企業內控管理和風險管理的里程碑。

二、我國內部控制發展現狀

（一）財政部發布內部控制指引

2008年6月，財政部等五部委聯合發布了《企業內部控制基本規范》，形式上借鑒采用了COSO-IC的五要素內控框架，在內容上體現了COSO-ERM的八要素實質。基本規范和后來發布的配套指引共同構成了我國內部控制整體框架。其中，應用指引包括18號具體指引，分為內部環境類（1-5號）、控制活動類（6-14號）及控制手段類（15-18號）。內控體系分為公司層面控制、業務流程層面控制及評價機制建設。國務院國資委要求所有中央企業2012年開始實施內控管理，且每年4月30日提交內控評價報告，至此我國與國際上的內控管理正式接軌。財政部會計司其后又發布了內控管理解讀，對內控和風險管理具有很強的指導意義。財政部內部控制指引首先明確了以風險為導向，其次突出流程管理，再次將內部控制從財務向管理轉化。

（二）基于我國內部控制建設的思考

內部控制是對企業經營過程的控制。內部控制是風險管理的手段之一，防范的是內部的程序性風險。可以看出，規范的企業經營清晰界定了業務流程，把流程環節和崗位責任加以明確，增加了操作環節的文檔要求和實施證據。這使造假賬的難度和成本增加了，減小了舞弊和造假風險。

內部控制應緊密貼合企業經營管理業務實際。以流程框架梳理為起點的內部控制建設，是為了避免內控體系建設和后續的風險評估偏離企業的整體管理和業務管理。內部控制建設應從企業經營業務實際出發，核心業務、重大風險管控流程要做細，體現業務特征、管理特征和風險特征。業務流程梳理的主責部門應該是業務部門，牽頭部門僅發揮組織指導的作用。將財務和業務勾稽關聯起來，找到造成財務風險的業務流程缺陷，完成整改并強化執行，管控企業經營風險。

通過制定風險控制矩陣識別企業風險。制定風險控制矩陣，梳理企業各流程環節，發現流程環節中的重大風險點，并對重大風險提出控制措施和解決方案，并將這些控制措施納入企業制度中加以規范。制度應該與流程環節相對應，實現管理制度化、制度流程化。

流程梳理包括業務職責梳理、業務制度梳理及流程環節梳理。通過業務職責梳理的內控缺陷如缺少歸口管理部門；部分業務職責存在缺失、模糊；部分業務職責存在交叉、不相容等。通過業務制度梳理的內控缺陷如缺少業務管理制度；業務管理制度不適用；業務管理制度未執行等。通過流程環節梳理的內控缺陷包括缺少流程環節；審批權限不明確；缺少控制表單；缺少風險控制措施等。

三、內部控制流程舉例

以大宗物資采購為例，供貨商按照供貨要求供貨，財務付款需要發票履行付款程序，實施證據僅為發票和銀行付款憑證，僅有訂單及財務交易憑證是遠遠不夠的，這樣的證據不排除企業制造虛假交易取得。內部控制要求，采購首先需要履行招投標流程，包括編制招標書、供應商資質審查、評標過程記錄、評標結果上報審批。二是履行合同管理流程，包括合同談判、合同起草、合同審批、合同歸檔保存。三是履行驗貨流程，包括貨物驗收、貨物入庫。具備以上流程后才能進入付款流程，取得發票和銀行付款憑證。

（一）采購環節內部控制流程

采購業務流程防范舞弊的三個關鍵控制點包括供應商選擇的方式、采購價格的確定、貨款支付時間和方式。三個關鍵控制點對應三種核心采購權力崗位，分別為供應商選擇權、價格確定權、貨款支付權，均為不相容崗位。企業的資源通常分部在各個不同的部門，這類資源必須是有價值且是稀有和專有的。采購部門能夠通過管理供應商來增加企業的資源，協助企業達成戰略目標。采購管理是從訂單管理到供應商關系管理，再到戰略采購的提升過程。訂單管理包括談判、合同簽署跟蹤訂單的質量、進度、完成采購目標；供應商關系管理包括供應商分類培訓、供應商管理的指導、供應商關系協調、供應商考評、供應商獎懲；戰略采購包括戰略制定、戰略尋源、確定戰略供應商、共同進行開發產品和計劃、實行一致性和標準化的業務流程，是從培訓到固化、從源頭到完成的全鏈條管理。①采購管理的提升路徑應該是從成本驅動向綜合管理轉變的過程。

（二）合同環節內部控制流程

合同管理可按照合同的業務活動具體環節來梳理風險點，通過制定風險控制矩陣，梳理流程環節，發現重大風險點，制定控制措施，并將其融入相關制度中。流程梳理過程中的內控缺陷，包括業務職責梳理、業務制度梳理及流程環節梳理。通過業務職責梳理的內控缺陷包括缺少歸口管理部門；部分業務職責存在缺失、模糊；部分業務職責存在交叉、不相容。通過業務制度梳理的內控缺陷包括缺少業務管理制度；業務管理制度不適用；業務管理制度未執行。通過流程環節梳理的內控缺陷包括缺少流程環節；審批權限不明確；缺少控制表單；缺少風險控制措施。

四、內部控制促進企業管理提升

企業在內部控制的實施過程中，往往只涵蓋了財務的“規”和標準，而業務的“規”和標準缺失很多。在向管理型內控延伸時，這些標準有很大的提升空間。企業管理發展階段與內部控制內容分為以下五個漸進的階段。

一是合規階段。梳理制定流程與制度，避免設計與執行中的重大缺陷，減少人為的管控風險。二是優化階段。對流程執行中具體標準、表單、模板進行細化和優化完善。三是提升階段。分析標準化流程形成的大量樣本、數據、表單進行有效風險度量、量化管理。四是戰略整合階段。建立公司戰略目標達成與風險影響指標的關聯；進行關鍵指標監控預警和IT建設。五是有機協同階段。風險管理作為各部門及各分子公司有機協同的競爭優勢，持續管理能力提升，已達到世界一流的水平。

五、結論與建議

企業內部控制應明確董事會、監事會、經理層及全體員工的內部控制職責，建立自上而下、全員參與的內部控制體系。在日常業務流程中，企業應注重風險的識別和評估，并制定風險應對策略，特別是重點領域和關鍵環節的控制措施，確保內部控制融入決策、執行和監督全過程。企業應當將內部控制與全面風險管理、合規管理等管理體系融為一體，以制度為抓手將各管理體系融入業務流程中，避免各管理體系分散管理造成的疊床架屋。注重內部控制的管理協調，內部控制牽頭部門應協調各職能部門統籌內部控制措施，保證業務流程控制的有效性。企業應根據企業規模、內外部環境變化、經營戰略隨時調整內部控制，制定適合本企業的、切實有效的內部控制體系，促進內部控制的有效執行，推動企業的可持續發展。

注釋

① 張依林：《企業內部控制體系建設》，2016年12月。