企业内部控制制度的建立与执行

○巫晓艳

（厦门惠航国际货运代理有限公司 福建 厦门 361000）

2002年7月，美国出台了萨班斯-奥克斯利（Sarbanes-Oxley）法案，该法案中“公司对财务报告的责任”和“管理层对内部控制的评估”，对美国上市公司内部控制结构做出了明确规定，美国证券交易委员（SEC）根据萨班斯法案制定了相应的规则，并要求美国上市公司自2006年15日开始执行内部控制报告的要求。萨班斯法案制定是以安然、世通丑闻事件为背景的，该法案加强会计监管、严厉打击公司财务造假。

2006年6月，国资委出台了《中央企业全面风险管理指引》，目标是加强内部控制风险防范，全面推动中央企业科学风险管理工作。

2008年6月28日，财政部、证监会、审计署、银监会、保监会等五部委联合出台了《企业内部控制基本规范》，旨在指导、规范、完善国内上市公司内部控制制度的建立。

一、内部控制的基本目标

根据COSO内部控制框架，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素构成，它们取决于企业的经营特点，并融入管理过程本身。

内部控制的基本目标是确保单位经营活动的效率性和效果性、资产的安全性、财务报告的可靠性。内部控制目标分为三类：与营运相关的目标、与财务报告相关的目标及与法令遵守相关的目标等。

1、促进经营方针的实施和目标的实现

内部控制无处不在，渗透于企业每个经营管理活动的各个方面，只要单位内存在经营活动和经营管理的环节，就需要有相应的内部控制。内部控制是为实现管理层目标设计的具体政策、制度和程序。

2、保证单位资产的安全性和完整性，防范资产非法侵占现象发生

这里的资产是指单位的现金、银行存款和其他货币资金、股票、债券等有价证券、存货以及其他重要实物资产。

3、保证财务会计资料提供信息真实完整

管理层需要通过来自各方面的报告有效、准确地获得信息，以及时处理来自各方面的风险，来实现其经营方针和目标。

二、具体控制活动设计和改进时应遵循的具体内部控制设计原则

1、相互牵制原则

相互牵制原则体现在一项完整的经济业务活动，必须由相互制约的两个或两个以上的部门（或岗位）分别完成。具体表现在：授权批准与执行相分离；执行与监督审核相分离；执行与记录相分离；执行与财产保管相分离；财产保管与记录相分离。

2、授权控制原则

授权体系包括：第一，将企业所有的经营活动都纳入授权批准的范围。第二，适当授权，明确每个员工的职责，并根据经济活动的重要性水平和金额大小确定不同的授权批准层次，层次要做到连续性，避免出现监管漏洞。第三，审批程序规范化，每一类经济业务都要有明确的审批程序，以便其按程序办理审批，以免发生越级审批和违规审批的情况。

3、成本效益原则

管理层制定内部控制要重视成本效益原则，不能过分追求财务质量而忽视过繁杂的内控程序消耗的成本，内控的目标是保证企业业绩的实现，内控多增加的经营业绩一定要大于消耗的成本。

4、整体结构原则

各子系统的具体控制目标，必须对应、服从整体控制系统的一般目标。

三、建设内部控制体系五步走

1、制定企业内控战略规划

除了文章前面提到的内部控制的基本目标，企业要根据自身经营业务的范围、企业规模、行业环境及竞争对手的特点等，制定具体的内部控制战略目标。企业在制定与实施发展战略时的风险包括：缺乏明确的发展战略导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力的风险；过于激进，脱离企业实际能力的战略，导致经营失败的风险；因主管原因频繁变动的战略，导致企业资源浪费，影响企业可持续发展的风险等。针对这些风险，《企业内部控制应用指引第2号——发展战略》明确提出了应对措施：第一，要求企业在董事会下设立战略委员会，或指定相关机构履行此项职责。第二，在充分调查研究、科学分析预测和广泛征求意见的基础上制定战略发展规划。第三，战略规划应该服从企业的发展目标，具体到发展的每个阶段和发展程度，确定每个发展阶段的目标、工作任务和实现途径。第四，若宏观环境发生重大变化，企业应及时按照规定的权限和程序调整战略规划。第五，董事会对战略委员会提交的战略发展方案严格审议，强调战略的可行性、可接受性、全局性和长远性。

2、风险评估

风险评估以设立的目标为基础，即根据确认的内控目标，识别公司层面的内外部主要风险，并尽量将风险因素与业务活动联系起来，评估风险的重要性程度和发生的可能性。以便了解企业内部控制的特点，发现企业的集中风险区域，针对性地规划并确定内部控制体系建设的重心。

3、全面梳理业务流程，锁定、确认与内控目标相关的业务流程

把通过战略梳理确定的关键风险区域用流程图表示出来，并对现有的流程进行描述，针对流程中的风险点和现有的控制措施的缺失，制定内部控制措施。

4、制定评价内部控制程序

内部控制有效性包括财务报告内部控制有效性和非财务报告内部控制有效性，企业应制定内部控制评价程序，对其进行全面评价，同时对内部评价工作内容形成详细工作底稿。企业应在评价工作中明确内部控制缺陷的标准，并要在年报中披露评价过程中形成的内部控制自我评价报告。内部控制评价程序一般包括：评价标准、组织专门的评价工作小组、制定评价方案、实施评价工作、分析评价结果并形成报告。评价系统的作用通过持续的监控行为、独立的评价或两者的结合来实现，监控包括日常管理和监管行为。评价广度和深度主要依赖于风险评估结果。

5、整改建议

对上步评价工作中存在的问题提出改进建议。整改包括流程上的整改，制度上的整改，组织结构和文化上的整改，管理相应升级，逐级的测试，弥补内控体系运行的缺陷，真正做实企业内控措施。

四、内控制度建立、执行中存在的问题

1、过度追求完美

盲目追求个别和局部的最优可能会影响整体或系统的内控建设。对于内控，要树立整体结构概念，做到对整体或系统而言的稳定持续控制，才能真正发挥内部控制的成效。何况内部控制只能做到“合理”保证。不论设计及执行有多么完善完整，内部控制都只能为管理阶层及股东达成企业经营目标提供合理保证，不是绝对的，最终目标达成还受内部控制本身的制约。

2、内部控制体系建设范围的缺陷

内部控制体系建设范围自身的缺陷表现在：公司内控目标更多的关注在财务报告提供信息的准确和可靠性上，而忽视了内控的初衷是为了保证企业经营方针的贯彻落实和实现经营业绩。随着对全面风险管理框架理论的深入探索，内部控制体系的范围需要更进一步的全面，将建设重点向战略目标、经营目标、合规目标转移，将财务报告目标视为内控目标实现的表现之一，从而真正实现企业有效的内部控制。

3、内部控制审计实践不足

一方面，上市公司中仍有一些不聘请外部独立会计师内部控制进行审计，外部审计监督的缺乏显然是不合理的，外部审计由于其独立性和专业性的优势，更有利于审核评价内部控制的执行情况。如聘请外部审计并获得标准无保留意见的审计报告，就可向投资者传递一种企业内部控制良好的信号，可以起到提升企业价值，易于融资等目的。外部审计的缺失，一方面，可能是由于节约审计费用，但另一方面，也可能意味着，企业自身内部控制有效性存在问题。另一方面，外部审计师测试的着眼点比较单一，更多的关注在财务报告提供信息上，这造成本末倒置，仅仅为了满足监管的要求而审计，因此，就需要拓展外部审计师对内部控制审计范围，相信这也有助于完善内部控制体系的建设。

4、内部控制评价报告的编制基础薄弱

调查发现一些企业并未对企业自身的内部控制进行全面自查并保存检查的计录文件或工作底稿。可见，这些企业编制内部控制评价报告编制的基础不可靠，如仅依赖于各部门或各子公司上报的内控报告，而没有亲自调查，程序不规范导致报告的质量难以保证。

五、进一步完善内控制度的建立和执行

1、注意建设以人为本到价值创造的内部控制

邓小平同志有句名言：“所谓管理好，主要是做好人的工作。”“做好人的工作”，要求坚持以人为本的管理理念，就要教育人、培养人、关心人、鼓舞人来提高管理层次，增强管理效果，提升财务管理水平。

企业要做到变被动内控为主动内控，需经常举办一些学习活动，提高员工的服务于内部控制的意识，使员工能看到内控产生的长远效益，自觉地做好内控，首先要求领导带头示范，重视执行监督稽查奖惩机制，以期做到以制治人为辅，自觉为主的内控体系。

2、制度中注重内控体系中对员工的激励

杜绝报有在职位就可以领工资的心理，要赏罚分明，采取绩效激励、期权激励的方法，创造创新的环境，鼓励员工认真执行和利用知识发展企业。在多种分配方式下，让员工感受到自己的劳动价值得到应有回报和认可，让能力的差异从激励政策中显示出来，在内部挖掘内控人才，有助于节约人才成本和促进内控体系的建设。

3、“广义”内控，不局限于财务报告相关的控制

企业要对内部控制的有效性进行全面评价，即要求注册会计师不仅要完成财务报告内部控制审计目标，还要对非财务报告内部控制的重大缺陷进行披露。如注册会计师认为非财务报告内部控制存在不可忽视的重大缺陷，应当以书面形式与企业董事会和经理层沟通，告之企业完善；同时应当在内部控制审计报告中，增加非财务报告内部控制重大缺陷描述段，对重大缺陷的重要性加以描述。

六、结束语

内控管理的成效可以说是无处不在，防范杠杆风险、增强抗风险能力、优化价值链、控制存货、加强对筹资、投资、应收账款回收等风险的防范。可见，有效的内部控制对企业的意义重大，我国应该加强企业内控意识，注意外部监督，完善内控体制，在成本效益原则下，全面展开内控体系的建设和实施。

[1]裴建光：企业集团内控机制建设的思考[J].冶金财会，2008（1）.

[2]王菁、廖杰熙：内控配套指引“三驾马车”全面提速内控体系建设[J].新会计，2010（7）.

[3]王建新：如何加强内控文化建设[J].现代金融，2008（4）.