企业内部控制建设与实施问题探讨

吕德明

【摘要】企业内部控制是以风险防范为导向，以经营效率与效果为主导目标，以财务报告可靠性、资产安全性与经营合规性为保障目标，在内部控制五要素的基础上，结合企业内部控制组织结构展开建设的。其实施流程包括：内部控制流程梳理、业务风险识别、内部控制标准建立、内部控制评价实施、内部控制缺陷改进、评价报告生成。企业在建设和实施内部控制过程中会出现一些问题，本文就有关问题进行探讨。

【关键词】内部控制咨询机构制约机制

【中图分类号】F275

一、关于内部控制建设，自建还是委托咨询机构建设问題

目前国有企业进行内部控制体系建设有以下3种模式：

（一）自行建设的模式

采取自行建设模式设计内部控制体系的企业，其优势是企业对自身管理模式清楚，因此内部控制体系建设比较符合企业实际，适用性较强。但要防止可能出现由于人员配备，以及具有较完整的内部控制理念和相应管理能力的经理层和具备内部控制知识、技能和实际操作经验的工作人员不足，导致设计的规范性和全面性较差。

（二）聘请专业咨询机构，以咨询机构为主的模式

笔者不主张该模式，因其容易造成较多的内部控制适用性和可操作性问题，需要较长时间磨合。一方面，由于咨询机构对企业管理模式和企业文化了解不深，需要从头开始。因此，占用了大量的时间进行前期调查准备，使内部控制建设缓慢。另一方面，企业往往把内部控制建设工作拱手交给咨询机构，自己人员配备不足，在建设工程中，自己内部控制队伍建设和内部控制人才培养缺失，导致日后保障和持续改进内部控制体系有效实施的人才队伍不足。第三，可能出现制度建设的理论化、模板化倾向，从而出现设计完成的体系与企业生产经营实际脱钩，可操作性较差，执行有效性受限制，企业磨合期过长。

（三）聘请专业咨询机构，以企业为主的模式

该模式应该是一个较适合企业实际情况、具有一定可操作性的模式，且可节约费用成本。但需要企业增加专业部门和人员。一方面，企业人员与咨询机构人员共同构成内部控制建设小组，取长补短。企业抽调人员构成内部控制体系建设的主要力量，他们熟悉本企业生产经营特点，能够保证体系设计源于实际，提高适用度。另一方面，咨询机构专业人员内部控制建设经验丰富，对风险评估、控制活动等风险管理技术掌握相对娴熟，对内部控制体系完整性和规范性掌握更加全面，在具体技术操作和体系规范设计方面可以为企业提供咨询和帮助。

二、关于与咨询机构配合和企业自身问题

（一）了解咨询机构协助企业建立企业内部控制的关注点

一是关注企业内部控制环境，他是保证企业建立内部控制体系的基础；二是关注企业风险意识，企业内部控制规范是以风险为导向；三是关注企业现有制度，内部控制制度不是重建，他有可能是改建，也有可能是升华；四是关注企业经营模式，内部控制不是模板，只有了解企业，才能量身定做；五是关注企业内部控制建设方案，方案要具体到时间节点；六是关注企业是否做好长期工作准备，内部控制制度建设是持续工作，需要企业充分保障。

（二）企业在内部控制建设中工作要点

一是领导重视，挂帅参与；二是认识一致，组织保障；三是全员参与，全员配合；四是人员保证，宣传到位；五是相互信任，充分交流；六是深度互联，说透摸清；七是做好诊断，拟定计划；八是做好业务流程，进行梳理和再造；九是风险和措施相对应，制度落地可执行。

（三）企业要对自身诊断分析

一是对本企业业务进行梳理分类，诊断是否按照业务流程走向，描述到具体岗位，具体描述的内容，是否责任清晰；二是审定应有的控制点是否存在，风险点的寻找和确定是否完善，相应的内部控制是否明确和到位，流程管理中是否存在不符合企业实际或缺失以及重复、复杂等；三是针对现状诊断，要有一个符合自己实际情况的改进目标。

三、内部控制设计与企业实际相结合问题

企业应实现以自主设计、自主建立符合企业生产经营特点的内部控制制度体系。以本企业现行的各项规章制度为基础，全面梳理企业业务流程，全面总结提炼本单位管理经验，使内部控制制度符合企业实际。

企业在内部控制设计中要注意：一是控制活动要与实际控制目标相一致。企业内部控制活动设计中，在确定了关键控制点、业务流程和控制内容后，就要针对这些内容采取相应的控制措施或控制手段，它是内部控制设计是否有效的关键。企业的控制活动设计是否有效，检验标准就是其结果能否与实际控制目标相一致。二是内部控制设计要与实际业务流程各职责相结合。企业在全面梳理各项业务和重大事项，认真分析关键环节存在的各种内部、外部风险的基础上，结合生产经营的特点，设计内部控制业务流程，并据此制定《权限指引》。并根据不同层次、不同级别的职责范围和管理要求，合理分配和确定权限和责任，对授权进行系统管理。三是内部控制设计要与企业实际风险管理相结合。收集整理内部、外部各类风险信息，并汇总形成各项业务风险清单。针对风险清单确定的风险，要进行分类，并进行风险识别，对已识别风险通过调查问卷、访谈、专项会议等形式进行较为科学的风险评估，确定主要风险，次要风险，一般风险等，同时确定风险差异化的容忍程度。

四、内部控制建设与执行问题

（一）内部控制建设的关键是执行

内部控制设计到位、共识到位是执行的基础，检查和考核到位是执行的保障。执行到位分为以下6个阶段：认知阶段、共识阶段、学习阶段、执行阶段、评价阶段和监督考核阶段。分批执行、动态调整、不断细化、不断完善，是执行到位的必要手段。内部控制建设和执行存在着隐形影响，如管理者的认知程度、风险偏好、责任心、人员素质和企业文化等都会影响内部控制的建设与执行。因此要依靠设计者的牵引和推动，以及管理者开展内部控制的决心，存在一个长期的潜移默化过程。

（二）企业要处理好保证内部控制有效执行的制衡机制、激励手段和监督机制

从内部控制的设计上梳理，通常情况下，企业均能够找到关键风险业务流程，并且能够贯彻内部控制的制定原则，形成较为完善的理论框架。如果企业的各个部门能够严格遵守规定的内部控制制度，就会有效降低企业的经营风险。但是，实际情况中，往往存在企业有较为完善，合理的内部控制制度，却无法有效发挥作用，在执行过程中出现问题。因此，为了保证企业内部控制的有效执行，应该处理好以下三个方面：

1.内部会计控制设计的制衡机制。通过会计信息的综合反映和及时披露，发现和查找内部控制存在的问题，及时修订和改进。

2.内部控制设计中合理使用的激励手段。设计合理的激励机制，对内部控制的执行起到一定的促进作用，但一定要看到激励机制的反作用，即为了追求目标，而出现盲目追求和造假的可能性。因此，要完善激励与责任的控制。

3.内部控制设计中的监督机制。监督机制是内部控制有效实施的保证，包括内部审计监督和外部审计监督。企业要重点强调自我审计监督队伍的建设。

五、关注内部控制缺陷和持续改进问题

（一）内部控制缺陷问题

企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括：设计缺陷和运行缺陷。企业应及时发现内部控制缺陷，促进内部控制的持续改进。

（二）持续改进问题

企业在内部控制的实施过程中，必须要关注持续改进问题。由于环境和企业经营的变化，企业现有内部控制制度在具体实施过程中，可能会暴露出一些问题，例如体系不够完善、内容不够完整、可操作性不强等。因此，为进一步增强内部控制制度的针对性和可操作性，企业应根据内部管理和外部监管的新要求、新情况，以及内部控制实际运行和监督检查中发现的各类问题，对《内部控制手册》进行动态更新，对在运行过程中对原有内部控制制度进行不断的修改和完善。

六、内部控制与信息化问题

信息化是减少内部控制成本、达到内部控制目标的重要手段。从“人控”到“机控”是内部控制升级的一个必然趋势。在企业开展信息化的过程中，重点关注信息化业务流程的控制点。从系统权限、职责分离、配置、业务操作等方面，完善系统状态下的控制要求，建立控制措施与系统业务流程的映射关系，使之更加明确、具体，更容易为系统操作和管理人员所遵循。在系统运行设计上，要建立留有痕迹的记录，注意以下方面：一是确保操作员密码授权审批；二是明确操作员密码唯一，不可他人串用操作，出现责任不清；三是保管好上机操作日志，便于查证；四是上机操作日志备份，要按财务档案管理规定长期保存，并备份两份以上，分别存放在不同地方等。

七、內部控制和企业文化问题

企业文化在内部控制上，不仅体现在设计上，还体现在环境上和认识上。有的企业管理者认为，内部控制是针对下属和普通员工进行的控制，而员工也错误地认为自己是进行内部控制的局外人，这些认识的存在就必然会降低企业各级管理者进行内部控制的主动性和积极性，从而影响控制的效果。内部控制中内部环境的设计，应包括企业文化的设计，树立每个员工整体的风险意识和责任意识，使管理和控制形成企业文化，根植于企业全体员工的心中，这样的控制，才肯定是有效的控制。

八、内部控制制度建设的繁与简问题

内部控制设计的流程数量和标准的多少和细化，并不是判断内部控制设计水平的标准，关键是能控制风险。从风险重要程度考虑，重大和重要风险是流程设计的重点，风险发生频次较多，常规和例常性风险的控制流程，可以相对细化。一般风险流程，主要是突出控制点的设计，对于非常规、系统性和不确定性高的风险，可不进行流程的细化设计，实际工作中可通过战略、文化、人员素质去解决。风险关联度不大的流程，可不设计。

企业要根据业务实际情况和重点工作，去考虑流程的繁简问题。要注重成本与效率的关系，要优化制度流程，对于高风险的、重要性的流程要细化，对于次要风险、非重要性流程可简单化。过繁过复杂的内部控制设计，不便于人们掌握和执行。

九、内部控制老体系与新体系的问题

内部控制建设是对原有管理制度体系的梳理、改造和完善，而不是对原有管理体系的推倒重来，是在继承和巩固的基础上进行发展与创新。和原有管理体系相比，内部控制更突出了流程重整和风险防范两个特点。另一方面，在内部控制建设中，企业还会存在已经建立，且正在实施的其他标准管理体系问题，例如ISO9000质量标准体系等。企业一般希望能够将内部控制体系和其他管理标准体系融合成一套体系，解决所有问题。但是，内部控制体系是以风险管理为导向建立的，它是围绕重大和关键风险的管控来设计，而上例ISO9000质量标准体系是以质量标准管理为导向建立的，因此，突出重点不同。针对重大风险流程要单独设计，针对一般风险设计可融合，但不是面面俱到。一般而言，战略规划、组织架构、生产运营风险业务标准、营销策划、人力资源设计等专业性很强的管理提升要求，建议要单独设计，不宜混合在综合性的内部控制项目中。

内部控制设计的流程标准要涵盖企业规范的主要业务内容。但由于管理的特殊要求，有些流程无法通过内部控制流程体现，如薪酬政策、用工标准等。所以，内部控制设计在进行业务流程重整和梳理外，还要有相应配套管理制度的重整和梳理，实现流程和制度相融合的完整的内部控制体系。

十、制度建设与效率问题

个别企业负责人认为建立健全企业内部控制后，会影响企业的办事效率。实践过程中，确实不可避免地影响一定的工作效率。因为原来由一个部门审批的事项，变为相互制约的两个或两个以上部门审批后才能办理，且重大风险事项还需要风险评估。但是，我们必须从风险防范和控制角度去理解，内部控制是防范、规避风险的有效途径，虽然不能说百分之百的规避风险，但确实对合理的防范风险有一定的作用。另一方面从效率角度看，由于完善了管理流程，管理边界和责任清晰，实现了制度流程的规范化和标准化，从而也促进了效率的提高。