企业内部控制体系构建的研究       富茜楠　陈卫萍            

企业内部控制体系构建的研究       富茜楠　陈卫萍             　　内部控制是指企业经营管理者阶层和全体员工，为维护资产完整、保证会计信息及其他信息的真实可靠，提高经营活动效率和效果，以及贯彻执行企业经营战略和最终实现企业的经营目标，并使各利益相关者的利益得以实现而建立的一个由控制环境、风险评估机制、控制活动等要素形成的，且借助于信息与沟通和监督等来发挥其控制、调节、防护、反馈功能的有机控制系统。分析内部控制存在的问题，建立科学、完善的内部控制系统，是完善现代企业制度，加强企业管理、防止控制弱化的迫切要求。 　　 　　一、 我国企业内部控制的发展情况 　　 　　从我国企业实践来看，经过长期的探索，企业管理形成了一些内部控制措施和方法，比如岗位责任制、内部牵制、责任中心管理、预算管理等一系列基础性工作。企业界越来越意识到强化内部控制对提高企业经营效益、防范经营风险的重要性，越来越多的企业开始重视内部控制，目前，多数大中型企业都建立了内部控制制度，企业内部管理水平日益提高。 　　从理论研究来看，我国理论界对内部控制的研究起源于20世纪80年代，虽然起步比较晚，但也取得了一定的成绩。对内部控制主要有过三种认识：内部会计与管理控制、内部控制结构和内部控制系统。近几年来，研究内容逐渐从原来的“制度二分法”向内部控制结构和要素理论转变，其方向已接近国际标准。一些专家学者纷纷将COSO报告所提出的内部控制框架理论进行了编译，并结合运用到我国内部控制的理论研究中来。 　　从政府方面来看，自20世纪90年代起，我国政府开始加大对企业内部控制的推动力度，颁布和修订了一系列内部控制相关法律法规，主要有1996年12月财政部颁布的《独立审计具体准则——内部控制和审计风险》，1999年颁布，2000年7月实施的《会计法》，2005年颁布的《上海证券交易所上市公司内部控制制度指引(征求意见稿)》，2006年颁布的《中国注册会计师审计准则第1211号》等。这些法律法规的颁布和实施，对于强化企业内部监督，整顿和规范社会主义市场经济秩序，都有着十分重要的意义。 　　 　　二、我国企业内部控制存在的问题分析 　　 　　1.缺乏良好的内部控制环境 　　控制环境是内部控制的基础，直接关系到企业内部控制的执行和贯彻。目前，我国企业的内部控制环境还存在诸多不完善之处。内部控制观念意识薄弱，公司治理结构不完善，缺乏相互制衡的有效治理机制和监督机制；企业组织控制存在缺陷，比较重视纵向间的权利与义务关系，而对横向间的协调缺乏足够的重视。 　　2.缺乏风险评估机制 　　风险是客观存在的，不可能绝对消除。风险和收益并存，企业作为市场的主体，要参与市场竞争，必然要面对风险。但我国企业缺乏辨认、分析和管理风险的机制，许多公司风险管理组织框架普遍不健全，风险管理人员的素质亟待提高，未建立真正意义上的风险识别和控制机制。 　　3.信息流通不顺畅 　　在信息技术突飞猛进的现代社会，信息技术改变了传统的生活和生产方式，也改变了企业生产管理流程。有效的内部控制可保证企业形成真实可靠的内部信息，而真实可靠的信息是管理者作出决策的依据。作为管理的桥梁和纽带，信息也是管理者、审计人员对企业内部控制进行评价的重要方面。 　　4.缺乏适当的控制活动 　　控制活动是确保管理层的指令得以实现的政策和程序，是使内部控制得以实现的重要组成部分。在我国企业中，或者不存在内部控制活动，或者即使存在所谓的政策和程序，也只是“写在纸上、贴在墙上”，没有认真地去执行、考核、检查，而只是搞形式、走过场，其执行效果往往很差，控制活动未实际发挥其作用，最终不能确保管理层的指令得以实现。 　　企业要想建立完善的内部控制系统并切实予以实施且效果良好，内部控制能够随时适应新情况等，就要对内部控制的执行情况进行再控制，即对内部控制进行监督。无论制度多么先进、完备，没有有效的控制、考核，没有对整个内部控制的过程施以恰当的监督，就很难发挥出应有的作用。由于管理体制和管理方式的问题，我国企业内部控制活动中最薄弱的环节就是监督环节，监督层次和监督内容都不到位，内部审计机构没有起到应有的作用，没能真正履行其应有的职责。 　　 　　三、我国企业内部控制体系完善措施的研究 　　 　　(一)完善企业内部控制环境 　　1.加大宣传力度，提高全员尤其是管理者的内部控制意识。内部控制的成败取决于企业员工的控制意识，而企业管理当局对内部控制的自觉控制意识和行为又是关键。从我国一些企业的现状分析，有些企业不是没有建立内部控制制度，而是没有很好地执行，其中往往是企业负责人带头不执行、破坏既定的内部控制程序，导致内部控制形同虚设。基于此，我国应在COSO报告的基础上，结合我国的实际情况，由有关机构先以指南的形式发布一套内涵全面、可操作性较强的内部控制标准体系，并将内部控制的全新理念与精神传达给企业内的所有人员，加大宣传力度，提高全员尤其是管理者的内部控制意识。 　　2.完善公司治理结构。公司治理构成内部控制制度的基础，治理结构问题也是建立完善的内部控制以及内部控制能否有效发挥作用首先要解决的问题。加强企业内部控制，要重视董事会的建设，发挥董事会的作用和潜能，完善董事会构建机制，将董事会建成真正独立行使权利和承担责任的机构，并要积极地推行独立董事制度，在董事会中设置一定比例的独立董事有利于完善公司治理结构，对内部人进行有效的监督制约，促进公司的规范运作，维护公司的整体利益，提高董事会的职能作用。另一方面强化监事会的监督职能，要保证其有足够的独立性，控制监事会成员中内部成员的数量及质量，还需保证监事有提议召开临时股东大会和列席董事会会议的权利。这使监事在发现重大问题时，可以通过股东大会表决来及时防范和制止，从而保障投资者的利益。 　　3.健全组织结构与权责分配体系。企业组织结构建设的好坏直接影响到企业的经营成果及控制效果。构建组织结构的一个重要方面，在于界定关键区域的权责以及建立适当的沟通渠道。企业应根据责、权、利相结合的原则，明确规定各职能机构的权限与责任；根据各职能机构的经营任务与特点，划分岗位系列，以确定需要的岗位；根据岗位的需要选择合适的人才。但是，组织的结构只是给企业的经营运作与控制提供了一个合理的框架，真正进行这些工作的主要还是企业员工。因此，企业组织设立的一项重要任务就是权责分配，包括指派进行营运活动的权责以及建立沟通渠道和授权方式等。 　　(二)进行全面的风险管理 　　在当前日趋激烈的市场竞争条件下，企业经营风险不断提高，时刻威胁着企业内部控制系统的有效性。企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险，为企业目标实现提供合理保证的过程。 　　企业进行风险管理和风险控制的第一步是设置专门的风险管理部门或者配备专门的风险管理人员。在进行风险管理时，第一步要进行事项识别，就事项对企业的影响进行识别；第二步是要对识别出的风险事项发生的可能性和影响进行评估；第三步要制订风险应对计划，制定控制风险方案和措施的过程，通过这一过程，使对企业经营和财务造成损失的风险得到有力的控制。 　　风险管理贯穿着企业的始终，企业应该对内分析自身的优势与劣势，长处与短处，对外分析外界的机会和威胁，考虑自己的生存机遇。不仅企业在战略目标的制定过程中要进行风险分析，而且在企业日常的内部控制过程中也应该时时这样做，才能将内部控制目标达不成的风险降至最低。 　　 　　内部控制是指企业经营管理者阶层和全体员工，为维护资产完整、保证会计信息及其他信息的真实可靠，提高经营活动效率和效果，以及贯彻执行企业经营战略和最终实现企业的经营目标，并使各利益相关者的利益得以实现而建立的一个由控制环境、风险评估机制、控制活动等要素形成的，且借助于信息与沟通和监督等来发挥其控制、调节、防护、反馈功能的有机控制系统。分析内部控制存在的问题，建立科学、完善的内部控制系统，是完善现代企业制度，加强企业管理、防止控制弱化的迫切要求。 　　 　　一、 我国企业内部控制的发展情况 　　 　　从我国企业实践来看，经过长期的探索，企业管理形成了一些内部控制措施和方法，比如岗位责任制、内部牵制、责任中心管理、预算管理等一系列基础性工作。企业界越来越意识到强化内部控制对提高企业经营效益、防范经营风险的重要性，越来越多的企业开始重视内部控制，目前，多数大中型企业都建立了内部控制制度，企业内部管理水平日益提高。 　　从理论研究来看，我国理论界对内部控制的研究起源于20世纪80年代，虽然起步比较晚，但也取得了一定的成绩。对内部控制主要有过三种认识：内部会计与管理控制、内部控制结构和内部控制系统。近几年来，研究内容逐渐从原来的“制度二分法”向内部控制结构和要素理论转变，其方向已接近国际标准。一些专家学者纷纷将COSO报告所提出的内部控制框架理论进行了编译，并结合运用到我国内部控制的理论研究中来。 　　从政府方面来看，自20世纪90年代起，我国政府开始加大对企业内部控制的推动力度，颁布和修订了一系列内部控制相关法律法规，主要有1996年12月财政部颁布的《独立审计具体准则——内部控制和审计风险》，1999年颁布，2000年7月实施的《会计法》，2005年颁布的《上海证券交易所上市公司内部控制制度指引(征求意见稿)》，2006年颁布的《中国注册会计师审计准则第1211号》等。这些法律法规的颁布和实施，对于强化企业内部监督，整顿和规范社会主义市场经济秩序，都有着十分重要的意义。 　　 　　二、我国企业内部控制存在的问题分析 　　 　　1.缺乏良好的内部控制环境 　　控制环境是内部控制的基础，直接关系到企业内部控制的执行和贯彻。目前，我国企业的内部控制环境还存在诸多不完善之处。内部控制观念意识薄弱，公司治理结构不完善，缺乏相互制衡的有效治理机制和监督机制；企业组织控制存在缺陷，比较重视纵向间的权利与义务关系，而对横向间的协调缺乏足够的重视。 　　2.缺乏风险评估机制 　　风险是客观存在的，不可能绝对消除。风险和收益并存，企业作为市场的主体，要参与市场竞争，必然要面对风险。但我国企业缺乏辨认、分析和管理风险的机制，许多公司风险管理组织框架普遍不健全，风险管理人员的素质亟待提高，未建立真正意义上的风险识别和控制机制。 　　3.信息流通不顺畅 　　在信息技术突飞猛进的现代社会，信息技术改变了传统的生活和生产方式，也改变了企业生产管理流程。有效的内部控制可保证企业形成真实可靠的内部信息，而真实可靠的信息是管理者作出决策的依据。作为管理的桥梁和纽带，信息也是管理者、审计人员对企业内部控制进行评价的重要方面。 　　4.缺乏适当的控制活动 　　控制活动是确保管理层的指令得以实现的政策和程序，是使内部控制得以实现的重要组成部分。在我国企业中，或者不存在内部控制活动，或者即使存在所谓的政策和程序，也只是“写在纸上、贴在墙上”，没有认真地去执行、考核、检查，而只是搞形式、走过场，其执行效果往往很差，控制活动未实际发挥其作用，最终不能确保管理层的指令得以实现。 　　企业要想建立完善的内部控制系统并切实予以实施且效果良好，内部控制能够随时适应新情况等，就要对内部控制的执行情况进行再控制，即对内部控制进行监督。无论制度多么先进、完备，没有有效的控制、考核，没有对整个内部控制的过程施以恰当的监督，就很难发挥出应有的作用。由于管理体制和管理方式的问题，我国企业内部控制活动中最薄弱的环节就是监督环节，监督层次和监督内容都不到位，内部审计机构没有起到应有的作用，没能真正履行其应有的职责。 　　 　　三、我国企业内部控制体系完善措施的研究 　　 　　(一)完善企业内部控制环境 　　1.加大宣传力度，提高全员尤其是管理者的内部控制意识。内部控制的成败取决于企业员工的控制意识，而企业管理当局对内部控制的自觉控制意识和行为又是关键。从我国一些企业的现状分析，有些企业不是没有建立内部控制制度，而是没有很好地执行，其中往往是企业负责人带头不执行、破坏既定的内部控制程序，导致内部控制形同虚设。基于此，我国应在COSO报告的基础上，结合我国的实际情况，由有关机构先以指南的形式发布一套内涵全面、可操作性较强的内部控制标准体系，并将内部控制的全新理念与精神传达给企业内的所有人员，加大宣传力度，提高全员尤其是管理者的内部控制意识。 　　2.完善公司治理结构。公司治理构成内部控制制度的基础，治理结构问题也是建立完善的内部控制以及内部控制能否有效发挥作用首先要解决的问题。加强企业内部控制，要重视董事会的建设，发挥董事会的作用和潜能，完善董事会构建机制，将董事会建成真正独立行使权利和承担责任的机构，并要积极地推行独立董事制度，在董事会中设置一定比例的独立董事有利于完善公司治理结构，对内部人进行有效的监督制约，促进公司的规范运作，维护公司的整体利益，提高董事会的职能作用。另一方面强化监事会的监督职能，要保证其有足够的独立性，控制监事会成员中内部成员的数量及质量，还需保证监事有提议召开临时股东大会和列席董事会会议的权利。这使监事在发现重大问题时，可以通过股东大会表决来及时防范和制止，从而保障投资者的利益。 　　3.健全组织结构与权责分配体系。企业组织结构建设的好坏直接影响到企业的经营成果及控制效果。构建组织结构的一个重要方面，在于界定关键区域的权责以及建立适当的沟通渠道。企业应根据责、权、利相结合的原则，明确规定各职能机构的权限与责任；根据各职能机构的经营任务与特点，划分岗位系列，以确定需要的岗位；根据岗位的需要选择合适的人才。但是，组织的结构只是给企业的经营运作与控制提供了一个合理的框架，真正进行这些工作的主要还是企业员工。因此，企业组织设立的一项重要任务就是权责分配，包括指派进行营运活动的权责以及建立沟通渠道和授权方式等。 　　(二)进行全面的风险管理 　　在当前日趋激烈的市场竞争条件下，企业经营风险不断提高，时刻威胁着企业内部控制系统的有效性。企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险，为企业目标实现提供合理保证的过程。 　　企业进行风险管理和风险控制的第一步是设置专门的风险管理部门或者配备专门的风险管理人员。在进行风险管理时，第一步要进行事项识别，就事项对企业的影响进行识别；第二步是要对识别出的风险事项发生的可能性和影响进行评估；第三步要制订风险应对计划，制定控制风险方案和措施的过程，通过这一过程，使对企业经营和财务造成损失的风险得到有力的控制。 　　风险管理贯穿着企业的始终，企业应该对内分析自身的优势与劣势，长处与短处，对外分析外界的机会和威胁，考虑自己的生存机遇。不仅企业在战略目标的制定过程中要进行风险分析，而且在企业日常的内部控制过程中也应该时时这样做，才能将内部控制目标达不成的风险降至最低。 　　 　　(三)加强信息流动与沟通 　　一个良好的信息系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。信息管理系统就是向企业内部的各级主管部门、其他相关人员，以及企业外的有关部门提供信息的系统。 　　每个企业都应建立系统的信息网络和信息情报中心，从组织机构、人员配备、工作程序上保证信息的搜集、贮存、加工、输出和使用。无论是涉及整个企业的系统，还是涉及个别部门的系统，都要有利于搜集充分而正确的信息，有利于信息的存在而不失真、有利于信息的分类筛选和加工、有利于各层次的管理人员根据各方面的信息把握时机。 　　(四)设立良好的控制体系 　　企业经营的目的在于实现其整体目标，而控制体系的建立可以确保企业目标的实现。控制活动是确保管理阶层的指令得以实现的政策和程序，企业要想建立控制体系并予以实施，且实施的效果良好，就需要对控制活动的执行情况进行再控制，即对控制活动进行监督。因此，本文把监督也纳入到控制体系中。 　　1.设立良好的控制活动。控制活动出现在整个企业内的各个阶层与各种职能部门，包括两个要素：政策与程序。政策规定应该做什么，程序则使政策产生效果。控制活动在实务中的应用，重点是要加强企业业务程序的内部控制。首先，构造企业的业务循环，将业务循环细分为业务流程，再将流程分为若干个作业，在业务循环模型构造的基础上，分析该业务在运行中可能出现的错误和弊端，然后，提出内部控制关键控制点，最后，再设置内部控制文本，以流程图或调查表的形式描述内部控制。 　　2.加强企业内部监督 　　作为内部监督的一种重要手段，内部审计既是企业内部控制的一部分，也是监督内部控制其他环节的主要力量，是对内部控制的再控制。因此，要加强内部审计机构在企业内部监督中的作用，要明确内部审计机构在企业组织机构中的定位，提高企业内部审计人员的专业素质，保持其独立性。 　　控制自我评估(CSA)作为内部监督的另一手段是企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。CSA关注业务的过程和控制的成效，由管理部门和职员共同进行，通过引导会议法、问卷调查法等方法开展自我评估。实施CSA的方法对企业加强管理、提高劳动生产率、改进内部审计程序和业务流程以及控制风险有着积极的作用。我国企业在加强内部控制建设的过程中，应该适时引进CSA方法，对内部控制进行自我评估，以便发现和解决内部控制系统中出现的问题。 　　总之，内部控制是衡量现代企业管理的重要标志，得控则强，失控则弱，无控则乱。企业界应该逐步改善控制环境，增强风险意识，强化内部监督，畅通信息沟通渠道，从而加速我国企业内部控制的健康发展，确保其在组织中的有效运行，更好地发挥其在企业管理中的积极作用。 　　(昆明理工大学管理与经济学院) 　　 企业内部控制体系构建的研究       富茜楠　陈卫萍