企业内部控制的建立和实施战略探析

韩林静

近几年中国的监管机构不断完善与内部控制相关的制度和法规，旨在提高中国企业的管理水平及增强其对建立健全内控机制的意识，中国上市公司对内部控制监管要求的意识和了解有所增强。但是，并没有相应地加大其对实施内部控制机制的投入。

一、企业内部控制的建立和实施情况

（一）对内部控制重要性的认识在提高，但不少企业的认识仍然停留在成本控制层次

2009年德勤《中国上市公司内部控制调查分析报告》显示：100%的企业普遍认识到加强内部控制有助于企业防范风险，并且能够为其正常运营提供合理保证；2008年披露内部控制评价报告的353家上交所上市公司中，有27%（95家）是自觉披露的，说明我国上市公司披露内部控制的意愿在不断增强。

但是2009年德勤《中国上市公司内部控制调查分析报告》调查结果又显示：有29.41%的企业认为加强内控有助于企业监控并降低成本，一些被访者表示，实施内控在一定程度上增加了工作量，但并未收到提升效率的作用，反而提高了成本和费用。由此可知，企业管理层对于内部控制作用的认识并不全面。

（二）内部控制进展较快，但达标率较低

2007年德勤《中国上市公司内部控制现状的调查》结果显示：只有25%的上市公司认为其自身现有的内控体系能够完全满足监管的要求。2008年德勤《上市公司的内部控制意识与就绪度》调查显示：44%的受访公司称已经建立了良好的内部控制机制，比2007年的25%提高了19个百分点，但是仍有超过半数（56%）的受访公司尚未建立内部控制机制或者其内部控制机制仍未完善。

（三）企业对内部控制的监督机制乏力，而且几乎没有进展

2007年德勤《中国上市公司内部控制现状的调查》结果显示：72%的受访上市公司认为公司本身没有一个有效而持续监控内部控制的机制。2008年德勤《上市公司的内部控制意识与就绪度》调查显示：72%的受访公司认为他们没有持续监督内部控制的有效机制，调查结果与2007年调查结果相同，说明中国上市公司内部控制监督机制与上年相比没有任何进展。2009年德勤《中国上市公司内部控制调查分析报告》显示：只有23.53%的企业增加了内部控制检查的频率，仅约17.65%的企业落实了内部控制考核工作。

（四）内部控制的完善程度有所提高，但整体完善程度仍然比较低下

2008年德勤《上市公司的内部控制意识与就绪度》调查显示：44%的受访公司称已经建立了良好的内部控制机制，比2007年的25%提高了19个百分点，但是仍有超过半数（56%）的受访公司尚未建立内部控制机制或者其内部控制机制仍未完善，说明建立起与风险管理需要相适应的内部控制，大部分企业还有较长的路要走。

（五）投入力度不大，内部控制执行效果没有达到预期目的

2008年德勤《上市公司的内部控制意识与就绪度》调查显示：有57%的受访公司认为管理层的意识不到位，不能有力支持和倡导内部控制工作；2009年德勤《中国上市公司内部控制调查分析报告》显示：约58.82%的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作，但是，仅有23.53%的企业将内控工作的重点从书面制度转变为实施；仅有5.88%的企业拟组织内部控制负责人参加专业内控培训；约52.94%的企业认为，缺乏与内控相关的信息系统；约58.82%的企业认为，内控制度的执行效果没有达到预期目的；41.18%的企业认为内控制度执行不力。

二、内部控制实施战略改进措施

我国绝大多数企业的内部控制尚处于内部控制结构阶段，还没有实施企业会计准则，内部控制和会计信息都没有充分反映风险内容；公司治理、组织结构、企业文化、人力资源政策和业务流程等等，都没有体现风险管理的要求。内部控制要想进入风险管理框架阶段，还必须实现两次跨越。为此，实施内部控制只能，采取“渐进”的方式，否则内部控制环境跟不上，人员素质更跟不上。我国境外上市公司为达到美国内控监管要求而付出的“巨大成本”提醒我们，实施内部控制不能操之过急。甚至态度强硬的COSO主席也承认：“我们期望ERM在组织里的运行是渐进式的。”

鉴于上述原因，当前我国企业在实施内部控制的时候，应当重点加强以财务报告内部控制为主线的相关标准建设，首先实现财务报告目标，待会计信息系统达到内部控制的要求后，再创造实现其他目标。

（一）企业内部控制实施战略的重心

1、以会计活动控制为主线

财政部副部长王军在《企业内部控制基本规范》发布会上指出，鉴于我国企业在法制意识、制度基础、风险理念、经营风格等方面与欧美企业还存在较大差异。因此，把内部控制作为贯穿企业经营管理与风险控制全过程的系统工程来建设，在我国仍处于探索和起步阶段，还需要一个加强引导、深化认识的过程，还需要一个逐步适应、分步实施、不断完善的过程。因此，企业内部控制规范的制定和有关监管措施的出台，必须考虑企业的接受程度和承受能力，必须考虑企业的实施成本。

（1）我国企业会计信息失真现象已经超越了会计范畴而演变成为一个严重的社会问题，迫切需要进行治理

会计信息质量不高始终是我国公司治理的难题，并困扰着现代企业制度的建设。2000年7月1日起实施的新《会计法》针对现实生活中会计报表错报和舞弊的实际情况，把“保证会计资料真实、完整”列为会计法的立法宗旨，并制定了相应的条款，要求企业建立内部监督，以期遏制会计信息严重失真的局面。但新会计法实施后，仍然有相当一部分企业存在虚增利润、掩盖亏损，账外设账、隐瞒利润，逃废银行债务、逃避企业所得税等现象。据财政部连续几年的年度会计信息质量抽查结果显示，假凭证、假账目、假报表、假评估、假审计“五假”问题有增无减。鉴于此，2001年我国《内部会计控制规范（试行）》直接将内部控制定位于内部会计控制。2005年6月，在财政部、国资委和证监会联合上报《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》，国务院批示，同意“由财政部牵头，联合证监会及国资委，积极研究制定一套完整公认的企业内部控制指引。”2006年7月15日，由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，业务上隶属于财政部，其31名委员中由8名来自财政部。可见，我国高层把会计控制作为企业内部控制中心的意图是十分明显的。

（2）我国内部控制规范是以财务报告控制为主要内容的

目前，从内部控制标准委员会初步拟定的26项具体规范（其中17项已起草完成并对外公开征求意见）的结构和内容来看，我国内部控制规范主要是以财务报告内部控制为主线的。这些具体规范，可以概括分为以下三类，每一类均与财务报告有关：第一类是对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项提出具体要求的控制规范；第二类是与财务报表编报相关的控制规范，包括财务报告编制、公允价值、关联交易、信息披露等；第三类是为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范，包括预算控制、人力资源控制、计算机信息系统控制、审计监督控制等。

2、以保证会计信息质量为首要目标

根据《企业内部控制基本规范》的要求，内部控制应当实现目标有五个：即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。但是现阶段应立足资本市场监管需要，重点引导企业加强财务报告的内部控制。

（1）真实可靠的会计信息是企业财务状况和经营成果的真实反映

企业的经营管理活动（包括会计活动），归根结底要通过财务报告来反映，抓住了财务报告内部控制这个“牛鼻子”，也就抓住了企业内部控制的关键。

（2）真实可靠的会计信息是资本市场健康发展的基础

会计信息是投资者决策的基础。保证会计信息真实可靠，是企业的法定责任，是维护社会公众利益的基础环节。强化财务报告内部控制机制建设，是提升企业市场形象与诚信度、维护资本市场健康发展，保护社会公众利益的基本要求。

（二）企业内部控制实施战略步骤

内部控制是一个庞大的系统工程，必须从制度和业务两个层面，对企业战略、流程、人员、技术和知识进行整合，以提升企业整体风险管理能力。

1、内部环境建设

按照风险管理的要求完善公司治理结构、更新企业文化、划分岗位职责权限、制定人力资源政策等。

2、制度修订

企业的业务活动和内部控制活动是在一定的法规框架下进行的。为此，企业应当重视基础性制度建设，如人事制度、采购制度、财务报告制度等，为建立人力资源管理、采购业务、财务报告等业务流程和内部控制文本提供法律依据。

3、再造业务流程，建立业务流程文本

业务流程由业务环节构成，风险产生于业务环节。业务流程的每一个环节都有风险，都需要进行风险管理。所以，流程再造是识别风险、确定关键控制、建立关键控制程序等风险管理的基础。为此，应当按照风险管理的要求，对现有管理流程和业务流程进行梳理、修改、补充和整合，并形成书面的文档，并以此作为风险管理的依据。

4、识别关键控制，并建立风险管理文本

风险管理文本是内部控制运行的依据，也是内外部审计测试和评价内部控制的依据。风险管理文档记录的只是业务流程中的关键风险和关键控制程序，因为审计师只关注重大的风险和关键控制程序。例如，判断一笔交易时是否是在受控的状态下完成的，取决于是否附有相关的证据和文字记录。在美国上市的中国公司为应对“萨班斯法案”的最后期限要求所做的大量工作之一，就是完善业务流程、控制条例等文本资料。

5、跟单作业测试，完善内部控制

为了测试内部控制的完整性和有效性，风险管理人员或审计师可以从某类业务中选取一笔或一笔以上的业务，从业务发生开始，一直跟踪到财务入账的整个过程，以核实业务活动和控制程序执行情况与流程图和风险控制文档描述是否一致。风险管理人员或审计师在跟单测试的时候可能还会发现一些未识别到的风险或者已识别但未加控制的风险，这些信息对于完善内部控制是很有帮助的。

［1］袁蓉君.德勤.中国仅两成上市公司落实内控制度.金融时报.2009.6

［2］单羽青.上市公司内部控制实施障碍仍未消除.中国经济时报报导.2008.7

［3］将义宏.会计信息失真的现状成因与对策研究.北京:中国财政经济出版社,2002,7

［4］王旭.INTERNAL AUDITOR.2005.(4)

［5］李维安等.美国的公司治理:马其诺防线.北京:中国财政经济出版社.2003.6