内部控制研究及大中型企业建立内部控制体系思考

【摘要】2008年6月28日，财政部、证监会、审计署、银监会和保监会联合了我国首部《企业内部控制基本规范》，规定将于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。基本规范的施行标志着我国企业内部控制规范化工作跨入了新的发展阶段。笔者对大中型企业建立内部控制体系进行了深入思考，认为，在大中型企业建立科学完善的内部控制体系，必须对一些问题进行深入探讨。

【关键词】内部控制 制度建立 研究

一、企业内部控制基本理论

（一）企业内部控制框架结构

在能够检索的文献资料中，内部控制通常与独立审计师的需求联系在一起，早期主要通过实物管理和薄记记录的分离来实现内部牵制，强调以职责分工互相监督的方式来保护企业内部现金资产的安全和账薄记录的准确。随着社会经济的持续发展，经济关系亦加复杂多变，特别是90年代后，美国出现了一些内控方面的重大事件，推动了内部控制理论的研究和发展。至今，内部控制理论的发展经过了四个历程，即本世纪40年代前的内部牵制，40年代末至70年代的内部控制制度，70年代至90年代初的内部控制结构，及90年代开始的内部控制综合框架。1992年，美国COSO委员会的COSO《内部控制整合框架》中，将内部控制定义为由一个企业的董事会、管理层和其他人员实现的过程，旨在为财务报告的可靠性、经营的效果和效率、符合适用的法律和法规的目标提供合理保证。其内容涵盖三个目标，即经营、财务、合规；两个层面，即企业层面、业务流程层面；五个要素，即控制环境、风险评估、控制活动、信息沟通和监控。这是目前得到广泛认可和应用的关于内部控制的定义。其范围主要是针对企业组织内部的经营活动。COSO框架的建立标志着内部控制第一次有了统一的技术标准。

随着内部控制实践在国外的发展，中国也于2006年7月15日由财政部、证监会、审计署、银监会和保监会联合发起成立了企业内部控制标准委员会，并于2008年6月28日了我国首部《企业内部控制基本规范》，同时了22项应用指引和评价指引、鉴证指引（征求意见稿）。基本规范将内部控制定义为：“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。借鉴COSO框架，内容涵盖五个目标、两个层面和五个要素（见模型图-《企业内部控制规范-基本规范》框架）：

内部控制的五个目标：一是合理保证企业经营管理合规合法；二是合理保证企业资产安全；三是合理保证企业财务报告及相关信息真实完整；四是提高经营效率和效果；五是促进企业实现发展战略。

内部控制的五个要素：一是内部环境，是由管理层倡导一种正直、伦理道德风气、宣传管理宗旨、经营方式和人力资源政策，使职员自觉管理其活动和履行他们的责任。含六个方面，即企业治理结构、内部机构设置与职责分工、内部审计、人力资源政策、企业文化和法制环境；二是风险评估，即管理当局应对目标完成期间与企业相关的风险进行识别、预见，并采取相应避险措施的管理控制。含四个方面，即确定风险承受度、识别风险、风险分析和风险应对；三是控制活动，控制活动亦称控制措施，为实现内部控制目标提供合理保证而制定的各项政策、程序和规定，含七个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财务资产保护控制、预算控制、运营分析控制和绩效考评控制；四是信息与沟通，是对关系企业内部和外部的事件或活动、有关的财务或非财务信息都应当加以识别、占有，并及时有序地传递给决策者和职责履行者。主要围绕信息收集、信息传递、信息技术平台、反舞弊机制、举报投诉制度和举报人保护制度等展开；五是内部监督，是为保证内部控制的适当性和有效性而进行的日常和定期监督、检查。主要针对内部监督的类型和方式、内控自我评价和缺陷认定机制、内控记录制度等进行规定。

基本规范科学地构建了一套内部环境优化、风险评估科学、控制措施得当、信息沟通迅捷、监督制约有力的内部控制标准框架，是我们建立企业内部控制体系的技术标准。

（二）企业内部控制的方法体系结构

在内部控制管理中，目标、原则、方法是一个有机整体。在目标实现过程中，需要根据内部控制所面临的不同对象，使用一些内部控制的方法，根据国内外的实践经验，可以把内部控制方法体系分为以下几类：

第一，组织规划控制方法。组织规划控制包括组织机构的设置和组织分工两个方面的内容。组织机构就管理层次来说主要有两个层面：一是法人治理结构，即股东会、董事会、监事会和经理层的设置，二是职能部门的设置。组织分工是指部门之间内部岗位设立和岗位之间的职责分工问题。

第二，授权审批控制方法。授权审批控制，是指单位的各级人员必须获得批准或授权，才能执行正常的或特殊的业务。按照授权批准的例行性，可以把授权批准分为一般授权（例行授权）和特殊授权（例外授权）批准两种类型。

第三，全面预算控制方法。预算控制是企业年度之初根据预期的结果对全年经济业务的授权批准控制。通过预算控制，企业的经营目标转化为各部门、集团各单位、各岗位以至个人的具体行为目标，作为各责任单位的约束条件，能够从根本上保证企业经营目标的实现。预算控制方法主要抓好预算体系的建立、预算指标的下达、预算差异的分析与调整和预算业绩的考核等环节。

第四，实物保护控制方法。实物保护控制是指对实物资产的直接保护，主要包括：限制接近、定期盘点、记录保护、财产保险、财产记录监控等。

第五，风险防范控制方法。在市场经济环境中，企业常面临各种风险，常见的风险防范方法有筹资风险评估、投资风险评估和合同风险评估等。

第六，内部审计控制方法。内部审计是内部控制的一个组成部分，指在同一企业内对各种经济活动、管理制度是否合规、合理以及有效进行的独立评价，以确定既定的政策和程序是否得到贯彻、建立的标准是否得到遵循、资源的利用是否合理有效，以及单位的目标是否达到。从这个意义上讲，内部审计是对其他内部控制所进行的再控制。

第七，人力资源控制方法。所有的内部控制都是由人制定的和执行的，所以，人力资源制度对内部控制的效果起着非常重要的作用。高素质的员工队伍对企业的内部控制至关重要，员工素质控制要点有：招聘程序、内部培训和绩效考核。

内部控制的方法还有很多，诸如会计系统控制、文件记录控制、绩效报告控制、信息系统控制等，几乎涉及企业工作的方方面面，每一项管理控制活动都有可能属于内部控制的方法。

二、大中型企业建立内部控制体系思考

面对日益复杂的社会环境和经济环境，如何以《企业内部控制基本规范》为技术标准，在大型企业建立起一套行之有效的内部控制体系，解决实际管理中的内部控制问题，是我们面临的重要课题。笔者认为，有必要对一些问题进行深入思考和研究。

（一）提高对建立内部控制体系重要性的认识

1.建立健全内部控制体系已逐步成为法定要求。随着经济全球化的发展，企业在市场经济中面对各种各样的风险。如何辨识、评估、监测、控制风险，已成为各个企业共同关心的热点问题。在资本市场，内部控制日益成为企业上市必需的“通行证”，尤其以美国在2002年颁布的萨班斯奥克斯利法案为甚，其404条款直接明确了管理层对与财务报表及与其相关的内部控制制度的有效性的责任，并要求管理层对此发表书面声明，美国政府要求所有上市公司必须满足此要求，与财务报告一起提供内部控制的年度管理报告，并要求CEO（首席执行官）和CFO（首席财务官）必须签署书面声明对记录控制设计效力测试的结果，对企业建立和维持足够的财务报告内部控制负有责任。

2006年6月6日，国资委了《中央企业全面风险管理指引》，要求中央企业及国有控股企业开展全面风险管理，包括建立健全内部控制系统。2008年6月28日由财政部等五部委联合的我国首部《企业内部控制基本规范》，将于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行，该规范的出台为我国各行各业建立健全内部控制制度提供了普遍适用的技术标准。2008年10月1日，由国资委第63次主任办公会议审议通过的《中央企业资产损失责任追究暂行办法》开始正式施行，首次以文件形式对中央企业及其独资或控股子企业的资产损失责任追究工作进行规范。《追究办法》分别对国资委和央企在资产损失责任追究工作中的主要职责、央企资产损失认定、责任追究范围、责任划分和处罚措施做出了明确规定。

因此，建立健全内部控制体系已逐步成为法定要求，未来必将成为企业规范管理的必由之路。建立一套行之有效的内部控制体系，一方面以够满足国家有关法律法规的要求，另一方面有利于促进企业的管理，确保国有资产的保值增值，合理保证企业战略目标的实现。

2.建立健全内部控制体系是大中型企业自身提升管理水平的手段之一。随着我国社会主义市场经济体制和现代企业制度的建立，内部控制已逐渐为经营者所重视，加强内部控制成为企业提高经营管理效率、在竞争中取胜的前提条件，已逐渐成为企业加强经营管理的内在需要。通过梳理经营流程、健全内部控制体系、提高风险管理水平，不仅是企业实现稳步、快速、健康发展的需要，也是企业保持和进一步完善内部管理执行力的关键，并可将此作为提升企业管理水平和竞争力途径之一。

3.建立健全内部控制体系涉及企业全员和经营管理的全过程。《企业内部控制基本规范》第三条“本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的，旨在实现内部控制的过程”，第四条第一款“内部控制应当贯穿决策、执行和监督全过程，幅盖企业及其所属单位的各种业务和事项”。可见内部控制体系建设是企业全员、全业务过程的事，在建设和管理过程中要摒弃过去内部控制只是财务、审计的事的习惯性观念，树立全新的内部控制意识。企业要加强内部控制基本知识的全员培训，应当加强法制教育，增强全体员工的法制观念，严格依法决策、依法办事、依法监督。

（二）建立内部控制体系需把握的重点

1.建立内部控制体系必须与企业的发展战略相适应，符合企业的发展战略要求，促进企业发展战略，应作为巩固企业防范风险舞弊的“防火墙”和促进企业健康稳定发展的“安全网”来抓，保障企业战略目标的实现。

2.建立和实施内部控制应遵循全面性、重要性、制衡性、适应性和成本效益原则。要贯彻到企业生产经营的各个层面和各项业务事项中，在全面控制的基础上，重点关注重要业务流程和高风险领域。在企业治理结构、机构设置和权责分配上要形成互相制约、互相监督，同时兼顾运营效率。内部控制的建立和实施要与企业的经营规模、业务范围等实际情况相适应，在实施过程中应当权衡实施成本与预期收益，以适当的成本实现有效的控制。

3.建立和实施内部控制体系应作为企业的一项固定工作来抓。该项工作是一项长效工作，而不是某一时期的专项工作。内部控制是一个动态过程，是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。它意味着向某一终点努力，但不是终点本身。企业在管理过程中应当实行动态管理，随着企业情况的变化及时加以调整。

4.建立和实施内部控制体系应有相应的组织保障。基本规范第十二条“董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或指定适当机构具体负责组织协调内部控制的建立实施和日常工作”。可见组织保障的重要性。

5.关于内部控制的局限性问题。一般而言，内部控制的局限性主要表现为：一是越权管理：即使设计良好的内部控制制度，也可能因管理人员超越权限等行为，造成内部控制的失效。二是人为错误：企业内部职务不相容人员相互串通作弊，或个人素质不适应岗位要求，也会造成内部控制的失效。所以内部控制只能为管理层实现企业目标提供合理的保证，而不是绝对的保证。

（三）建立内部控制体系的方法探讨

从目前的实践经验看，建立和实施企业内部控制体系的首要任务是编制一套企业内部控制手册，并组织实施，在实施过程中循环检测和持续完善。

1.企业应本着从实际出发，务求实效的原则，以企业现行的流程制度为基础，进行全面梳理，确定企业建立和实施内部控制体系所涉及的业务流程。

2.应用业界上通行的内部控制矩阵方法，找出企业内部控制体系的控制点。建立内部控制矩阵的目的主要是通过梳理企业的业务流程，确定企业的内部控制目标及控制活动。内部控制矩阵主要内容包括：控制目标、相关风险、关键控制措施、控制措施的性质描述（发生的频率、控制类型、控制执行岗位、相关现有的流程制度索引、评价测试程序）等。通过建立内部控制矩阵，可以清晰明了地找出企业的内部控制目标和关键控制点以及如何控制的措施。

3.根据企业的业务流程和内部控制矩阵，编制企业的内部控制手册，全面叙述企业的内部控制规范，并贯彻落实到企业业务的全过程。根据业界实践经验，内部控制手册一般包括企业内部控制建设的背景及必须性、企业内部控制的定义、内部控制的具体目标及对应的控制活动描述、企业内部控制的评价与考核等内容。根据大中型企业的实际情况，编制内部控制手册应把握以下原则：

（1）杜绝制度建设在企业“两张皮”的原则。一般企业都有大量的管理制度，在建立内部控制体系的过程中，一定要基于企业现有的制度流程基础而建立内部控制手册，不能脱离企业现行的管理制度另行建立一套内部控制管理制度，形成“两张皮”现象。

（2）根据企业集团管理特点，应当分层建立企业集团内部控制体系，以达到分级控制、层层落实、责任到位的内部控制体系。

4.关于企业内部控制体系的评价及更新维护问题。企业的内部控制体系建立以后，应建立一种定期评价和适时维护更新的常态工作机制。企业内部控制管理机构应定期对企业的内部控制体系进行循环评价和检查，定期出具评价检查报告，对内部控制设计的有效性存在问题的地方，应督促企业管理层及有关部门对企业管理制度及流程进行流程再造和流程优化；对内部控制执行有效性的问题，应充分陈述无效的事实，分析内部控制风险根源，并提出相应的改进方案，交管理层和执行层改进。

5.企业内部控制体系的管理应建立一套信息化管理系统。信息化管理系统应以企业内部控制基本规范为其技术标准，结合企业编制的内部控制手册而建立。以达到对企业内部控制管理的过程控制的目的。

（四）企业内部控制体系建立和执行的评价与考核

企业应当建立内部控制体系建立健全与执行的评价与考核制度，以促进企业内部控制体系的建设工作。应当建立一套内部控制考核标准体系，并将其纳入企业的绩效考核范畴，推动企业内部控制体系的建设和发展，为企业的内部控制体系建设和完善提供责任考核保障。

大中型企业建立内部控制体系任重而道远。笔者认为，只要确定了企业内部控制建设管理之路并予以实施，持之以恒，必将为企业的经营管理带来更多的服务和保障，也将为企业的风险管理体系建设奠定坚实的基础。

参考文献

[1]李心合：企业内部控制基本规范导读大连出版社.2008.

作者简介：宁德稳（1975-），男，云南宣威人，云南电网公司财务部副主任，研究方向：集团财务管控。