浅谈内控体系建设对公司发展的重要性

辛德学 中铁上海工程局市政工程有限公司企业策划部，湖北省襄阳市 441000

浅谈内控体系建设对公司发展的重要性

辛德学 中铁上海工程局市政工程有限公司企业策划部，湖北省襄阳市 441000

中国中铁股份公司为推进两大转变，实现二次创业，特于2010年10月底在经济发达的上海设点布局，新组建中铁上海工程局有限公司。作为在沪港两地同时上市的公众公司的一员，自新组建之初就应在公司内部实行有效内部控制，防范经营、管理、财务、法律等风险，以保持公司高效可控跨越式发展。这不仅对企业内部员工负责，更是对广大投资人负责。

内部控制；法律风险；流程；指引

近年来，世界上陆续发生了美国安然事件、墨西哥湾原油泄漏事件、三九集团董事长投资决策失误案、TCL国际收购失误案等，这些知名企业内发生的事件，给企业利益、声誉造成了巨大打击，甚至是致命的。分析发生原因，之前都有征兆，有关责任人不执行相关制度，内部控制不完备，造成企业内部管理失控。认识到这些情况以后，国家有关部门高度重视，财政部等五部委继2008年6月发布了《企业内部控制基本规范》之后，2010年4月又发布了《企业内部控制应用指引》、《企业内部控制评价指引》以及《企业内部控制审计指引》，并要求自2011年元月1日起在境内外同时上市的公司首先施行。这些规范、指引的发布实施，不断推进企业内部控制建设，提高企业经营管理水平和风险防范能力，促进企业可持续发展。作为新组建的公司，更应从开始就建立起完备的内控制度，规范公司，实现快速可控发展。下面就从内控制度的发展、概念、对象以及方法等方面予以论述。

1.内部控制的发展

内部控制的理论与实践的发展经历了一个漫长的时期，大体上经历了内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制框架阶段、风险管理框架阶段等五个阶段。

内部控制源于内部牵制。古代的内部牵制的实践是我们现代意义上的内部控制的渊源。例如：古罗马宫廷库房采取的“双人记账制度”，我国西周时期的内部牵制都是内部控制雏形的表现形式。内部牵制是指提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。内部控制制度有两类：内部会计控制制度和内部管理控制制度，内部管理控制制度包括且不限于组织结构的计划，以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。上世纪70年代以后，内部控制的研究重点逐步从一般含义向具体内容深化。而且，控制环境逐步被纳入内部控制范畴。明确提出内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序，包括控制环境、会计制度和控制程序三个方面组成。进入90年代以后，学术界对内部控制的研究又进入内部控制框架阶段。内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。这是目前国内外最为权威的内部控制理论。2004年，COSO委员会发布《企业风险管理——整合框架》。提出企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险控制之内，并为主体目标的实现提供合理保证。该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。

2.内部控制的概念

COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规”。

国家五部委颁布的《企业内部控制基本规范》指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的，旨在实现控制目标的过程。是在财务控制的基础上，发展的以企业全部经营活动为对象开展的一系列管理活动，是以风险为导向，通过对战略风险、财务风险、经营风险、合规风险和资产安全风险这五大方面的分析，采取相应的控制措施，从而实现风险的有效控制。因此，内部控制是财务控制的发展和延伸。

3.企业风险的客观性分析

企业法人是以营利为目的的从事商品生产和经营活动的实体组织，依法独立享有民事权利和承担民事义务。法人实体地位决定法律风险的客观存在。在市场经济中，企业追求利润最大化和法律的维护公平正义往往是矛盾的，但追求利润时必须合法合规，否则就使企业面临相应风险。

企业风险的存在是不以企业所有者、经营者的意志为转移的。凡是有企业生产经营活动，就有风险；凡是有风险，就势必给企业带来损害。企业在经济活动中的交易行为也决定风险的客观存在。社会一切经济活动都是通过各种各样的交易行为进行的。有的经济学家把经济活动的交易行为分为基于市场的交易制度与基于企业的交易制度。在市场体系中，专业化的经济活动由“看不见的手”协调，分散的资源有价格配置，这是“买卖的交易”；而在企业里，专业化的经济活动由“看得见的手”协调，分散的资源有行政指令配置，这是“管理的交易”。显然，“买卖的交易”是在法律上具有平等地位的主体之间进行的，“管理的交易”是在法律上的上下级之间进行的。这两种交易行为的成立都有赖于法律加以规范，一旦违反法律就势必发生法律风险。企业的组织性质决定了法律风险的客观存在。企业是专门从事生产、贸易、运输等经济活动的经济实体，是由为了共同经营目标的一群人结合而成立的。为了协调大家的活动，展现组织生命力，企业内部就应有一定形式的控制措施和规范约束成员的行为。但是，这与企业内部成员的自由是一对矛盾，任何成员在任何节点上对制度框架的破坏都势必导致风险的发生。

综上可见，企业面临各种风险是不可避免的。企业应该正视风险，对于那些风险一旦发生后果严重，企业不能承受或不愿接收的情况，可以采取严格的风险防范措施，尽量避免其发生；对于那些重要风险，如果避免所花成本过高，有适当的途径可以转移，就可通过转移的手段减少风险；对于那些风险发生的可能性很小，发生的负面影响也小，或者承担风险比采取控制措施对企业的综合收益更大的就可以接收风险；对其他风险，难以避免，也无法接收，就可以通过各种事前、事中、事后等控制措施降低风险。

4.建立内部控制体系，防范企业风险

内部控制的目标体现在战略的实现、经营的合理、财务报告真实准确、资产安全和活动合法合规五大方面。从参与者来看，内部控制是由企业董事会、监事会、经理层和全体员工实施的，是企业所有人员参与的一个系统的活动。

内部控制是对经营活动的一项干预措施，是一个需要企业全体成员持续参与的过程，是一种流程的控制。通过内控实现企业的经营合法合规、企业资产安全完整、企业财务报告的信息（财务信息）和其他信息要真实可靠完整，最终达到通过内控提高企业的经营效率和效果，促成企业实现战略目标。内部控制就是通过管理要效益。

内部控制主要包含内部环境、风险评估、控制活动、信息与沟通、内部监督等五大要素。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

对于新的中铁上海工程局有限公司，结合公司施工生产的实际情况，根据《企业内部控制应用指引》、《企业内部控制评价指引》以及《企业内部控制审计指引》的具体要求，在参考股份公司其他单位已建立的内部控制管理体系经验基础上，建设“以风险为导向，以内部控制为手段”的内控与风险管理体系，建立统一、规范、有效的内部控制体系，增强公司风险防范能力。具体程序分为以下三个阶段：

4.1 梳理公司所有业务流程，编制流程体系文件，全面覆盖经营管理业务循环

正如“盲人摸象”的故事，不能只看到事物的一部分，而应看全局才能了解事物的全面和真实情况。企业中这样的例子可以说是屡见不鲜。比如，我们对待同一个事物有不同甚至截然不同的视角和看法，这本身就是一个最好的例证。日常工作中，正是由于长期的职能导向，我们的视角被局限在流程的某一小段，对流程整体的认识来源于上下环节直接接触的模糊认识，流程中各个节点“各自为政”，导致公司无法有效开展内部控制管理工作。为解决这个问题，需要将公司内所有业务活动的程序固定化、清晰化，对尚未固化（按习惯或凭经验）的隐形流程显性化，对描述不完整、不清晰、与实际运作不符而影响规范化管理的现有流程进行分析、清晰与确认。将公司的流程分为三个层次，分别是：一级流程、二级流程、三级流程。通过这种由粗到细，由横向和纵向交替的方式梳理公司所有的业务流程，搭建公司流程体系框架。

4.2 基于业务流程，识别、评估经营管理风险

建立内控体系的一个指导思想是以风险为导向，风险是由目标所决定的。因此，公司应该设定的目标，全面、系统、持续地收集相关风险信息，结合实际情况对风险进行评估。

根据设定的控制目标，收集与公司风险和风险管理相关的内、外部初始信息，并对收集的数据和信息进行反复核实、不断验证，以确保信息本身的真实、可靠，通过必要的筛选、提炼、对比、分类和组合对风险进行识别，以便开展风险评估。

外部初始信息至少包括：

1）国内外宏观经济政策以及经济运行情况，影响融资、资本支出等。

2）国家安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素，导致对产品或服务需求的变化、新的购买场所和人力资源问题。

3）行业状况、国家产业政策因素。

4）能源、原材料、配件等物资供应的充足性、稳定性和价格变化。

5）潜在竞争者、竞争者及其主要产品、替代品情况等竞争因素，影响公司的战略目标。

6）技术进步、工艺改进等科学技术因素，影响研发的性质和时机。

7）不断变化的客户需求和期望， 影响产品的开发和定价。

8）自然灾害、环境状况等自然环境因素，可能导致公司遭受损失。

9）法律法规、监管要求等法律法规和政策因素。如财务部、国税局、北京市地税局、银监局、证监局关于购买固定资产的增值税优惠政策、关于购买节能减排等专用设备的企业所得税优惠政策等。

10）其他有关外部风险因素。

内部初始信息至少包括：

1）公司组织机构、管理层职责的变化，包括组织结构的形式，各职能部门的划分，以及各职能部门的权责分配情况，上述变化可能影响公司实施控制的方式。

2）公司的发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据等信息。

3）公司的各种业务政策，包括普遍性原则和具体的操作指南，是连接战略与业务流程的链环，可能导致公司战略目标不能得以实现。

4）公司的各种业务流程信息，包括质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节。

5）经营方式、资产管理等管理因素，可能产生公司资产的挪用。

6）董事、监事、经理及其他高级管理人员的职业操守、必要的知识、专业技能和经验等人力资源因素，可能为管理层的轻率行为提供机会，致使公司遭受损失或业务控制系统失灵。

7）财务状况、经营成果、现金流量等财务因素，影响财务报告信息的真实完整性。

8）信息系统运行中断，影响经营的正常运转。

9）公司签订的重大协议和有关贸易合同，以及发生的重大法律纠纷案件的情况等，可能导致公司的法律风险。

10）其他有关内部风险因素。

然后才用定性和定量相结合的方法，按照风险发生的可能性及影响程度，对识别的风险进行分析。

4.3 评价控制措施的有效性

具体内容包括：对比流程风险,评价控制措施的有效性；识别控制缺陷,进行流程优化。

针对所有流程，分析流程可能遭遇的风险和已采取的控制措施，评价流程中的控制措施是否能够有效规避或降低相关风险发生的可能性。

[1]中华人民共和国财政部.企业内部控制规范（第1版）.北京:中国财政经济出版社. 2010;1-205

[2]企业内部控制编审委员会.企业内部控制配套指引解读与案例分析（第1版）上海:立信会计出版社.2010;1-410

[3]胡为民.内部控制与企业风险管理：案例与评析（第1版）.北京:电子工业出版社. 2009;1-241

[4]德勤华永会计师事务所有限公司企业风险管理服务组.构建风险导向的内部控制（第1版）.北京：中信出版社.2009;1-207

[5]2010年全国企业法律顾问执业资格考试用书编委会.企业法律顾问实务分册(第1版).北京：经济科学出版社.2010;540-561

10.3969/j.issn.1001-8972.2011.12.095