企业内部控制问题及对策探讨

一、企业内部控制概述

（一）内部控制现状近年来，政府及各监管机构对企业内部控制陆续提出了一系列要求。财政部等五部委联合《企业内部控制基本规范》，国资委了《中央企业全面风险管理指引》，沪深交易所也都对上市公司的内部控制提出了具体的要求。一系列要求的出台使在企业内部控制方面的问题都有了一些改变。据调查显示，在面临全球金融危机的经济形势下，有约88.24%的企业提高了对内部控制和风险管理的重视程度，约82.35%的企业为应对全球金融危机而组织了内部控制的梳理活动，约35.29%的企业内部审计的侧重点发生了变化，企业更加关注风险和控制。由此说明，大部分企业在金融危机的经济形势下为保证企业的有效运行更加重视企业内部控制体系的建设工作，但是，我国企业在内部控制的建设过程中仍然存在一些不容忽视的老问题。

（二）企业内部控制研究情况目前，我国许多企业的内部经营管理还处在凭经验管理的被动阶段，内部控制十分薄弱，会计信息失真、财务舞弊和经济犯罪的现象比较严重。据调查分析，现阶段企业内部控制存在的问题，突出体现在三个方面：内控制度执行效果没有达到预期；缺乏与内部控制相关的信息系统；内控制度不健全（如表1所示）。

表1中，约58.82%的企业认为，内部控制制度的执行效果没有达到预期，这成为现阶段企业内部控制存在的最突出问题；约52.94%的企业认为，缺乏与内部控制相关的信息系统，成为企业内部控制存在的主要问题之一；另有约41.18%的企业认为，内部控制制度的执行不力也是企业内部控制存在的主要问题之一。我国诸多学者也对内部控制存在的问题及原因进行了探讨。阎达五、杨有红（2001）认为，保证会计信息的真实性是内部控制发展的主线，会计控制是企业内部控制的核心，内部控制目标随公司治理机制的完善呈多元化趋势。内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。杨有红、胡燕（2004）指出，内部控制系统局限性的克服不仅依靠系统本身的完善，还依赖于公司治理与内部控制两者间的无缝对接。李连华（2005）认为将内部控制与公司治理结构二者的关系应描述为嵌合关系，若概括为主体与环境的关系，即所谓的“制度环境论”，既不符合实际，也降低了它们彼此间的依赖性和对方所具有重要意义，从而导致在内部控制建设中忽视公司治理结构的影响或者在构建公司治理结构时忽视内部控制的重要性。余燕芳（2009）认为应结合公司的实际经营状况把内部控制与公司管理有机结合起来――在内部控制薄弱环节加强公司治理的建设，从公司治理的角度出发，建立和完善我国公司的内部控制制度。刘帆（2009）认为我国企业在公司治理上仍存在着内部治理弱化、外部治理缺失等问题。针对这些问题政府管理部门以内部治理为切入点进行了针对性的改革。在国际公司治理模式总体趋同的背景下，必须建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系。

综上所述，很多学者对内部控制与公司治理、风险管理和内部审计在企业内部控制中的作用进行了探讨和分析，并针对各自的不足之处提出了完善策略。本文认为，在企业建设内部控制的过程中必须处理好内部控制与公司治理、风险管理和内部审计的关系，突出公司治理结构、风险管理机制和内部审计监督作用的发挥，有效解决我国企业内部控制存在的问题。

二、企业内部控制存在的主要问题

（一）治理结构不规范在现代公司里，为了适应所有权与经营控制权的分离，各国公司法都加强了董事会的权力，同时，又为了防止董事会滥用权力， 保护公司、股东、债权人及其他利益相关者的权益， 一些国家通过立法确立了监事会的监督机关地位，以与董事会相抗衡。监事会是保障公司内部控制制度有效执行的部门。董事会是负责约束经营者日常行为， 为公司经理制定规则的部门。 一个积极、主动参与的董事会对内部控制来说是相当重要的。董事会可以依靠审计委员会来监督经理层受托责任的履行或解除。审计委员会是公司内部有效保护股东利益的一种制度安排，董事会在制定财务会计政策方面从审计委员会寻求指导。从公司治理理论而言，审计委员会有助于降低经理层提供虚假财务报告的程度， 保证财务报告真实反映企业的经营业绩，增强内部控制效率。

内部控制制度的建设及有效运行，依赖于企业内部良好的法人治理结构。现代企业的所有权与经营权的分离，客观上需要一个规范的法人治理结构，加强内部控制制度，以保障所有者、经营者、债权人等的合法权益。然而，国有企业改制以后，虽然形式上也建立了法人治理结构，但远未达到内部权力制衡的效果。很多公司董事长、总经理由一人担任，董事担任监事的也屡见不鲜。监事会成员的薪水和职位的升迁大都由总经理或董事长决定，使监事会形同虚设，难以有效发挥其监督职能。财务会计信息系统的运作受企业经理的直接领导，财务监督被架空。相互制衡的法人治理结构无法建立，内部控制制度不能有效运行。

（二）风险管理机制不健全首先，大多数企业没有建立起敏感的风险预警和识别系统。风险是由于内部或者外部的不确定事项所引起的。如果能够及早识别企业风险，就能及时采取措施化解风险或者矛盾，减少甚至消除不确定性带来的损失或者影响。建立敏感的企业风险管理识别系统，需要企业对内外部环境，尤其是不确定性事件或者因素进行准确的预测和分析。其次，企业的信息共享机制缺失。在风险管理中信息的及时交流和沟通十分重要，应该通过及时确认、获取相关的信息以及沟通，使公司各个阶层和个人都可以得到相关的风险信息并做出适当的风险反应。再次，我国现阶段很多企业并未建立独立的风险管理委员会。由于企业风险管理具有主观性，因此，提高风险管理决策者的水平、增强其独立性具有重要意义。本文建议，在董事会之下设置风险管理委员会，并在企业中设立独立于业务部门的风险管理机构，专门负责企业风险管理事宜。最后，良好的企业风险管理文化的建立并未引起足够的重视。一个组织可能会设置非常复杂的程序来控制风险，但是如果这个组织缺乏一个良好的风险文化内核，所有措施都将是徒有形式，不能发挥效果。

（三）内部审计监督作用未能有效发挥据调查，约64.71%的企业由内部审计部门牵头，对企业的内部控制有效性进行评价，由财务部门、董事会办公室或其他部门牵头的企业均为11.76%。内部控制的评价应尽可能的独立客观。一般而言，由于内部审计部门在企业中相对独立的地位和职责范围，由其负责组织和实施内部控制评价工作比较合适。内部审计人员必须独立于被审计部门，并且必须直接向董事会或审计委员会报告。我国企业董事会中存在董事长和总经理两职合一的现象，如在我国上市公司的内部审计模式中，董事会的控制作用占到了35.27％，总经理的控制作用却占到了36.07％，而监事会的控制作用只占到了8.37％。显然，两权分离使得管理范围增大、管理层增多，然而在我国企业治理中作为公司治理核心的董事会，并没有独立于管理层，所以其难以对经理层进行监督，更谈不上为股东利益服务，更无法保证内部控制的完善和有效运行，信息的真实可靠性也难以得到保证，所有者、债权人等相关团体的合法权益也无法得到保障。暴露出内部审计制度不健全，业务不规范，审计人员素质低，作用未能充分发挥等弊端，内部审计部门形同虚设。目前，35.29%的企业的内部控制评价由其他的部门牵头实施，可能造成一些问题，如评价者不够独立，难以产生客观的评价结果；或评价者能力有限，导致评价结果缺乏说明力或评价工作流于形式。

三、企业内部控制完善策略

（一）规范公司治理机构首先要强化董事会在组织结构中的主导地位，突出董事会在建立和完善内部控制体系过程中的核心作用。必须考虑为股东会、董事会、经理层三者之间的分级授权和不相容职务分离提供制度保证，避免高层管理人员的交叉任职，尤其是杜绝董事长和总经理的重叠，实现公司治理的制衡机制。目前，我国公司治理结构是二元结构，采用董事会和监事会的双重监督。由于董事会和监事会都是股东大会选举产生的，尽管二者存在一定的交叉，但是相互之间不存在直接任免、控制的关系，所以二者能够相互弥补，可以在强化各自职责范围的基础上协调二者的关系。其次，实行独立董事制度，通过对董事会这一内部机构的适当外部化，引入外部的独立董事，以期对其内部人形成一定的监督制约力，最大限度地维护所有股东的权益。独立董事是综合性人才，具备相当的商业阅历，由于其在公司的特殊地位，在行使职责之中，必然可以获得许多关于管理状况的信息，尤其在与外部审计师的沟通中，可获取更多关于内部控制存在问题的信息，并可以及时地向上级部门提供这些信息，以保证公司对内部控制运行的监控。另外，对内部控制的监督也是监事会的职责，通过独立董事和监事会的沟通和协调，相互交换信息，达到对内部控制的双重监控。最后，明确董事会内部分工，积极探索在董事会下设立审计委员会、薪酬委员会等控制机构，确保董事会不会丧失控制的权力，进而保证公司政策的贯彻和目标的实现，具有重要的意义。

（二）健全企业风险管理机制一个企业的风险防范和管理体系应该由三部分构成，即风险测评系统、风险控制系统和风险监管系统。

首先，在风险测评系统（如中小企业）应该重视：一是岗位或环节风险测评。岗位或环节风险测评是对企业的日常经营管理中，每一项业务或每一个工作流程中可能产生风险的可能性的预测。二是企业整体风险测评。对企业整体风险的测评，主要是对资产风险进行测评。

其次，在风险控制系统中应重视：一是经营业务风险控制系统。在企业内部形成以专家评审委员会为核心的业务管理体制。 二是决策风险控制系统。完善一级法人制度为核心的授权分责制度，加强决策的集中性、统一性和权威性；行为与个人责任密切联系的集体决策制度，防止个人独断专行；建立高级管理人员岗位定期轮换和重点岗位定期轮换的制度，保持决策体系的新鲜和活力。三是财务风险控制体系。实行统一的财务制度控制，统一核算准则和核算口径，防止“账外账”的存在；实行严格的权责发生制度，对会计账务处理，要实行明确的授权、收支审批制度；实行账务核对的安全控制。

最后，企业的风险监控系统应由循序递进的四道防线构成。第一道防线为一线岗位监督管理防线。第二道防线为专业监督管理防线。第三道防线是事后监督管理防线。第四道防线是稽核系统的监管防线。企业应设立独立的风险管理部门。风险管理部门应对公司所涉及的信贷风险、市场风险、流动性风险、运作风险和法律风险认真分析、评估、并制定相应的防范措施。

参考文献：

［1］王民治：《公司治理与内部控制探析》，《云南财经大学学报（社会科学）》2009年第5期。