企业的内部控制该如何“控”住？

企业的内部控制该如何“控”住？

杨洋

杨洋/湘潭大学商学院

在美国，能源巨人安然公司的巨额假帐案、最大的证券经纪公司美林公司发布不实分析、世界通信公司超过70亿美元创纪录的假帐丑闻、世界最大的复印机生产商美国施乐公司虚报收入，美国制药巨头默克公司传出虚报利润124亿美元。在中国，“银广夏”造假案、蓝田股份利润虚构、三九企业集团及其附属企业不正当挪用深交所上市的三九医药资金、在新加坡上市的中国航油（新加坡）有限公司因石油衍生品交易巨亏5.50亿美元、中国电器制造商广东科龙电器多位前高管会计造假等等内部控制的失败案例历历在目。到底企业的内部控制该如何“控”，成为社会、企业、投资者共同关注的问题。

所谓内部控制，是指企业以实现其经营活动的经济性、效率性、效果性为目标，为保证遵守现行法规、财务资料正确可靠，而在企业内部制定的由企业董事会、管理当局及其员工实施的一系列自我调整、约束、规划、评价和控制的措施。历史上，内部控制共经历四个阶段内部牵制阶段、内部控制制度阶段、内部控制结构阶段和内部控制整合框架阶段，在这过程中不断完善不断发展。

2002年，美国出台新法案《萨班斯——奥克斯利法案》（Sarbanes-OxleyAct）。该法对上市公司的内部控制建设和第三方评估都提出了严格的要求。我国政府也提出自己的内部控制规范，2008年5月根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定《企业内部控制基本规范》，2010年4月26日，发布《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。

尽管政府出台一系列的规章制度约束企业，但造假案仍然频频发生，2011年，中国森林招股书造假、内蒙古公司瑞金矿业会计造假，2012年，秦宝牧业涉嫌全部产业链造假案依旧出现在民众的视野内。企业内部控制的缺陷暴露无遗。如，内部控制重大缺陷披露比例过低、界定和审计标准不统一、评价体系不完善、监管不到位、信息化有待加强、企业重视程度不足、执行力度不够等等原因。总体而言，内部控制中存在问题存在与每一个环节，事前、事中、事后，要促进内部控制的有效实施，笔者认为有以下几个关键因素。

一、内部控制缺陷的明确认定、量化区分

内部控制缺陷的认定是内部控制评价和鉴定中最基础的问题，但是往往由于企业自身的资金、技术、人员等各方面实力的制约，企业内部的重视程度与操作成本的影响，再加上外界与内部信息的不一致，导致企业内部控制缺陷的认定界限糊并失去应有的职能作用。因此，有必要根据企业的不同需要，理清各类缺陷的逻辑关系，制定统一标准，对内部控制缺陷的概念、层次分类、具体措施及认定目标等方面进行清晰明确的定义。

内部控制是由企业董事会、管理当局及其员工实施的一系列措施，内部控制缺陷也应当从他们的角度出发，分析设计缺陷和运行缺陷。从设计源头开始，根据必需的控制因地制宜设计控制程序时，区分内控缺陷与风险事件，由点至面的对控制体系进行标准的认定，对于现行内控设计不当的缺陷制定机制及时调整、约束，帮助企业行为向企业目标靠拢。

从内部控制缺陷的影响程度来看，应由企业内部管理层参与重大缺陷、重要缺陷和一般缺陷的认定，对缺陷进行的严重程度进行客观评价，对控制环境缺陷、风险评估缺陷、控制活动缺陷下设因素根据企业实际情况进行因素的完善从而促进企业内控的有效性。在界定过程中，通过量化的方式增加制度的清晰度，如我国《或有事项会计准则》规定，对一项或有事项是否确认为预计负债主要考虑其发生可能性，其中“很可能”为发生概率大于50%但小于或等于95%；“可能”为大于5%但小于或等于50%；“极小可能”为大于0但小于或等于5%。防止相关管理人员的行为性缺陷，减少其单凭经验对事件的不当处理。

二、内部控制信息化的健全与实施

由于企业信息化的成本较高，规模相对较小的企业往往容易忽略信息化这样重要的一个环节，更多的是凭借管理层和工作人员的经验和主观判断，运用效率低下的控制手段，将大量的人力物力消耗在审核凭证、单据、报表等原始资料上，拘泥于传统的查账审计模式，对企业的风险评估、管理审计、投资效率等等综合性分析较为缺乏。致使企业重复建设率高，内部控制职能模糊，内部控制效果不佳。

我国的《企业内部控制应用指引第18号——信息系统》就把信息系统定义为“企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台”。企业内部控制信息化的主体是由计算机硬件、软件、管理层、操作人员、运行流程为主要组成部分，通过建设与经营管理相适应的系统的运行来增强企业信息的安全、可靠、合理程度，提高信息的保密、完整以及科学性，从而快速有效的发现经营管理中的缺陷，降低企业内控风险，促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素。

建立一套切实可行的信息网络系统要在企业内部控制框架下进行设计，根据企业内部控制环境特征、内部控制理论、制度规范以及企业具体内控实施方案进行适时实时调整。针对不同类型企业的主要业务流程，制定信息化具体流程，可包括采购流程、销售流程、层级管理流程等。从商品生产、客户开发、资产收入费用管理、后期服务到企业预决算管理，分门别类从控制目标、主要风险、管控措施、主管部门、应急预案等与环节相关因素结合企业负责人制度进行严格的多位一体的信息化管理，并制定完善的激励、安全、监督制度，定期加强对企业员工的培训提高内控人员综合素质以确保信息化管理的有效实施。

三、内部控制监督体系的完善

我国现行企业内部控制监督体系主要由监事会、独立董事和内审部门这三大机构组成，其职责是检查、监督和评价“企业董事会、管理层和其他员工实施企业内部控制活动”的效果和效率，保证企业的正常运行。监督作为内部控制系统的重要要素之一，是对整个内部控制活动的反馈以及有效运行的保障。COSO委员会于2009年1月发布了《监督内部控制系统的指南》，该指南以风险为导向作为核心理念，将监督融入企业全方位的经营活动控制过程，构建出一个有效的内部控制监督模型。内部控制之所以需要进行监督原因是管理层在共同构建控制规则时，存在内在和外界的局限性，有限的知识、个人主观意愿、外界环境的影响导致内控体系的不完备。监督则是对这些必然的缺陷及时反馈，从而及时纠正、改进，保持内控系统的持续有效。

现行内部控制监督体系存在着以下几个问题：1、监督体制不流畅、难操作致使内部控制监督执行力低。2、监督权限受限，内部控制监督独立性难以保障。3、缺少规范的法律法规，监督质量管理不到位。4、内控人员数量、素质不达标，监督内容较为单一。

因此，企业首先应当完善健全组织架构，细分职能结构，建立包括股东大会、董事会、监事会和高级管理层在内的公司治理架构，以章程或议事规则的形式对其职责做出明确的规定，职责相互之间应当不重叠、不交叉。董事会应设立一定数量的独立董事，同时设立包括战略委员会、提名委员会、薪酬与考核委员会、风险管理与关联交易委员会等多个专业委员会，负责指导重大决策。第二，企业应设置专门的、独立的、职权明确的且具有监督权威的内部审计部门，配置专职工作人员且监审人员不参与、不干预企业生产经营的决策与管理，只出具审计意见，不对经营后果负直接责任，定期轮换审计人员，以提高内审部门的独立性。建立相关部门共同管理的跨部门联动工作机制，也可在企业审计部门下设审计举报办公室，接受外界的监督，对异常情况进行及时处理，共同推进企业内控建设。第三，企业可建立经营管理控制的自我评估以及财务部门的后台监督管理，分别从现状、原因、措施、改进等方面进行内控质量的检验与评估，设定一个合理的标准，建立风险数据库，对总体情况进行统计分析，不断调整、控制、执行。当然，企业的内控是一个庞大的系统工程，国家有关部门、企业、管理者应当共同出力研究，建立适应当代企业发展的法律、法规和规章体系，正确定位不同层次内部监督机构的功能，使之产生有效合力，防止效能削减。

无论是内控缺陷的认定、内控信息化的管理还是内控体系的健全，都离不开人和制度，只有两者同时不断进步，才能使企业内控变得更加容易“控制”。面对新形势下国内国际环境的迅猛发展，企业不仅要促进内部控制的建设，还有更多企业管理与竞争带来的严峻挑战，战略、组织、管理上的变革将推进企业的全面发展。