对深化企业内部控制工作的分析

摘要：所谓内部控制是一种管理过程，用以合理达成信息的可靠性与完整性，以及政策、计划、程序、法令及规章的遵循，资产的保全，资源的经济及有效使用，营运或专案计划目标的达成等。本文综合分析了企业内部控制的步骤的工作要点。

关键词：内部控制 步骤 要点

一、企业内部控制工作的步骤

第一，确认目标。这包括各企业部门所设立目的、愿景、策略及实施目标等应有整体层级目标，并通过内部各部门业务进行，确认以作业类别或作业项目为基础的作业层级目标；各企业部门应每年定期或不定期检查既有整体层级目标与作业层级目标的一致性。

第二，风险评估。首先是各企业部门得参考企业风险管理与危机处理作业基准及作业手册的观念、方法，辨识整体层级与作业层级目标不能达成的内、外在因素，分析其影响程度及发生的可能性，并进行风险评价；其次是各企业部门进行风险评估时，得参考以往经验或现行作业缺失，通过量化或非量化方式，分析风险因素的影响及机率，以决定风险等级；最后是各企业部门应综合考虑风险评估结果及风险容忍度，就不可容忍的风险，研究及采取适当回应措施。对于可容忍的风险，应监督并定期检讨，以确定该等风险仍维持可容忍的程度。

第三，选定业务项目。各企业部门设计内部控制制度时，应涵盖内部各部门的业务，并审视各该业务的重要性及风险性，决定纳入内部控制制度的业务项目，其中有关出纳与财产管理、人事、公共建设计划编审、行政管理、科技发展计划等共通性业务项目，可参照企业所制订的共通性作业范例办理。

第四，设计控制作业。首先是各企业部门应针对选定的业务项目，由内部各部门对其承办作业流程，视业务性质需要，设计控制重点，包括核准、验证、调节、复核、定期盘点、记录核对、职能分工、实体控制及计划、预算或前期绩效的分析比较等程序。其次是各企业部门应针对已发生内部控制设计缺失的业务项目，立即修正应有的控制重点。

第五，建立检查机制。首先是例行监督，各企业部门主管应于例行业务督导作业中，及时评估内部控制制度的有效性；其次是自行检查，企业应就内部控制制度设计及执行的有效性，每年至少自行检查一次，遇有特殊情形，得随时办理，并作成纪录建档备供主管企业部门访查及督导。

二、企业内部控制工作的要点

第一，控制环境，即塑造企业文化及影响员工对内部控制认知的综合因素。首先是职业操守及伦理价值观念的建立与维持，强调职业操守重要性及法制责任观念，排除或减少高层主管及员工从事非法行为的环境诱因、压力或机会；其次是高层主管对推动及落实内部控制制度的重视与支持，企业管理人员应全力支持且对内部控制制度的有效运作负责，各部门主管以上人员以身示范将行动风格导入正向，为企业部门设定明确的整体层级目标且避免承受过量风险；最后是企业组织架构及授权的适当明确，各部门责任明确分工，授给员工的权力与其担负的责任相称。

第二，风险评估，即企业需辨识风险、分析该风险的影响程度与发生可能性，以及评价对风险容忍度的过程，据以决定如何处理或回应相关风险。首先是风险辨识，辨识影响目标达成的风险因素（事项）。工作计划的拟订，应切合企业整体层级目标，进而辨认作业层级目标，考虑可能引发整体层级风险与作业层级风险的因素；其次是风险评价，即评价对风险的容忍度并依据风险等级，决定需优先处理的风险因素；最后是风险处理，即对于不可接受的风险因素，选择可行的风险处理方式（如减轻影响程度或降低发生机率等），逐步设计必要的控制作业，以降低该等风险。

第三，控制作业，即为了合理确保企业部门达成目标、降低风险，且有助于落实执行企业部门决策，所订定的控制规范及程序。首先是整体层级控制，针对企业各部门多项业务有广泛影响的控管措施，设计企业部门整体层级的控制规范（如各类制度）；其次是作业层级控制，依据企业部门个别业务所设定的作业层级目标与风险评估结果，选定作业流程，坚持化繁为简原则，逐项设计重要作业程序与关键控制重点。并配合业务调整及作业变动，适时检讨修订[2]。

第四，信息与沟通，即适时有效编制及管理信息，并传达给相关人员，使其有效履行职责。首先是对称信息，包括与企业部门目标有关，且完整、及时与可靠的财务及非财务信息，可由内部产生或自外部取得，以供决策及监督使用。其次是所称沟通，包括内部沟通与外部沟通。最后是内部控制制度的文件化质量，为企业部门能否落实的基础。通过信息处理作业，将内部控制制度设计及执行相关信息，以纸本、电子或其他文件化方式储存、管理及传达，有利连贯与支援包括如下要素：宣传企业部门管理人员及设定的目标等，以营造企业部门控制环境；进行风险评估时，将文件化的质量纳入考虑；将各项业务的控制作业，整合形诸于文件，使企业部门人员可了解、易遵循，并掌握控制重点；监督时，依此检视内部控制制度是否有效设计及执行，而相关评估结果、建议及后续改善的纪录，可供回馈或追踪办理情形。

第五，监督，即企业部门评估内部控制制度设计及执行成效的过程，评价管控内部控制制度是否有效设计及执行，并适时修正改善。首先是例行管理，由各项业务承办人及其主管，经常执行的一般控管及督导作业；其次是自行检查，由企业部门内部各部门，就内部控制制度设计及执行的有效性加以评估，并及时补救或改正，且作成纪录建档；最后是稽核机制，统合或运用相关稽核职能，复核内部各部门的内部控制制度自行检查结果，据以客观评估企业部门整体内部控制制度是否有效运作，就稽核所发现的缺失及改善建议，提报企业部门内部控制专案小组，并追踪改善情形。

参考文献：

[1]杨雄胜.内部控制范畴定义探索[J].会计研究，2011年第8期

[2]李连华.公司治理结构与内部控制的链接与互动[J].会计研究，2005年第2期