企业内部控制规范实施解析

　　【摘要】 2008年6月，财政部等五部委联合发布了《企业内部控制基本规范》，并要求从2009年7月1日起首先在我国境内的大中型企业范围内实施。面对这一新规定，许多企业感到无所适从，不知从何做起。针对这一情况，财政部等五部委又抓紧制定了内部控制配套指引，规定从2011年开始逐步执行。即便如此，由于缺乏按照新的规范体系进行整合、梳理内部控制的经验，具体操作中仍然可能存在各种问题。文章就企业内部控制实施过程中的一些问题进行阐述。
　　【关键词】 内部控制；控制环境；内部审计
　　
　　一、提高对内部控制规范的认识
　　实施内部控制规范体系，最重要的是提高对内部控制规范体系的认识，把内部控制建设工作作为新时期的一件大事来抓。
　　第一，要充分认识到目前的不足，令人满意的经营成果下面有哪些令人不满意的地方。长期以来，许多企业对内部控制持漠视态度，特别是近些年我国宏观环境形势大好、国民经济突飞猛进，社会需求的持续增长和企业的高速发展掩盖了许多风险和缺陷，许多基本的牵制或检查制度流于形式，良好的客观形势加重了主观上对企业内部控制的冷淡，所以首先要从思想上正视内部控制规范。
　　第二，对企业内部控制进行规范利在企业，利在社会。内部控制基本规范的出台，使许多企业领导又开始头疼，埋怨政府又在念“紧箍咒”了，觉得政府在给企业找麻烦，增加企业的成本。这种观念是非常错误的，内部控制基本规范的目的是为了提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公共利益。实施内部控制规范，首先得利的是企业自身。建立健全有效的内部控制体系，可以使企业高层人员能有更多的精力放在企业战略层面，管理人员的目光更多地放在例外事项的处置，使得管理层有机会从一个应接不暇的“救火员”变为一个富有远见的“思想者”。
　　第三，内部控制不是新生事物，不是推倒重来。内部控制不是新近的发明创造，而是每个企业在日常经营管理中都切实存在的，比如现金和存货的保管制度，待付款项的审核与批准制度，考勤的记录与审核等，每个企业在实践中都有自己的特色。从现在的观点来看，这些都是内部控制体系的一部分，但仅仅这些制度本身并不是内部控制的全部。构建新的内部控制规范体系，不是推翻原有的制度、原有的做法，重新开始，而是从一个整体的观点、系统的角度对原有的制度进行梳理、分析、纠正、补充和整合。比如原有的制度可能针对的是某些部门、某些事件，现在还要强调企业文化、权责划分、治理结构和正直的品质等；原有的工资发放可能牵涉到的制度有考勤制度、薪级制度、资金支付制度等，分别面向业务部门、人事部门和财会部门割裂开来，现在要强调从整个薪酬计算、发放等流程的角度进行分析和规范。
　　
　　二、建立有效的内部控制体系是董事会的职责
　　摆正态度之后，接下来要搞清楚内部控制是谁的职责，谁应该对此负责。在现代市场经济中，公众持股的上市公司构成了市场的主体，公众股东选举产生董事会，然后由董事会招聘职业经理人进行经营管理，所以作为管理的一项基本内容和职责，建立健全、有效的控制体系是以总经理为代表的管理层的基本职责之一，总经理应该对此负最终责任。然而，由于我国的上市公司大都是由国有企业改制而来，复杂的历史渊源造成现实中总经理大部分是董事会的成员，还有一些企业设有CEO、总裁等，根据我国的实际情况，从权威性出发，规定由董事会对企业的内部控制负最终责任。
　　内部控制决不是财务部一个部门的事情。许多企业领导会习惯性地把任务交给财务总监去办，相关的内部控制文件交由财务部门制定，然后以公司董事会的名义签发，还有许多单位的内部控制文件仅仅停留在财务部门，相关业务部门根本没有看过。许多公司所举办的内部控制培训仅仅是财务部门的“专场”，整个活动由财务部门策划、财务部门的人员参加，公司的领导和其他业务部门并没有介入。这说明许多公司包括财务人员在内都理所当然地把内部控制视为了一项财务制度，理所应当地只是财务部门的事情，跟领导机关、业务部门没有什么关系。其实对内部控制应该负责的是领导，企业的总经理、部门的经理、基层的业务经理等，每一级别的经理都有责任对自己所负责范围内的相关业务建立有效的风险识别、评估和控制机制，并进行监督。当然制定控制文件就是由相关经理来负责，只有他们更清楚自己所负责的流程或业务内容的风险，才能更符合实际，单纯财务部门制定的必将是束之高阁。财务部门该做的是建立健全本部门相关业务控制系统。
　　内审人员在内部控制中的角色只是监督和评价。许多公司开始重视内部审计工作，然而往往把内部审计看成了业务控制的“最后一道防线”，使内审部门承担起了超过其职责范围的“保险栓”的功能，所有的业务事项都要求由内审“过滤”，风险由内审承担。一些内审人员满腹委屈地说，现在领导重视我们内审了，要求我们内审搞好内部控制，我们内审经常被邀请出席各种场合，比如验收固定资产和物品时，要求我们去；和购货方的定价会要求我们去；合同的会签要求我们去，有时候得赶场子不停地参与各种经营活动。业务部门也说了，要让内审部门参与，否则将来出问题省得他们老找后账，万一出问题了，内审也在上面签了字的！总经理也说“我们要搞事前控制”。内审本来就没有多少人，搞得疲惫不堪不说，还总是心惊胆战。我们担的责任越来越大了，但我们许多专业问题是不懂的，比如某些专业合同内容等，我们去了也就是走走过场，没什么作用。对业务风险控制的主体应该是业务部门，内审人员可以按照公司领导的安排对内部控制系统进行评价或监督，即内审人员关注的应该是针对这项经营活动，业务部门是否建立了风险识别和评估、风险应对和控制的措施，这些措施是否有效，目前的控制流程可能存在哪些风险等，而不应把重点放在业务内容本身。否则控制看起来很完善，也都签字了，内审、法律、纪检都来了，其实只能沦为一场又一场疲惫的签字游戏。
　　
　　三、内部控制是什么
　　内部控制是什么？经常可以看到许多企业在诸多规章制度中有一个制度很奇怪，名字就叫“内部控制制度”，和资金管理制度、预算管理制度、费用报销制度等并列在一起，打开看一下，发现其中规定了内部控制的定义、主体等，有的在其中又提到了资金管理、费用管理等不一而足。也有一些审计人员在给被审计单位的管理建议中会提到，贵公司在资金管理方面不尽完善，在长期股权投资方面较为混乱，在内部控制方面如何如何等，将内部控制与具体的业务管理并列在一起进行分析和讨论。这里就谈到一个问题，什么是内部控制？以上列举的这些做法表明这些制度的制定者或评价者把内部控制视为了一个独立的机体，脱离于具体业务过程的一个规章制度，有了预算，有了资金管理，有了销售控制，还得有一个叫做“内部控制”的制度，这样才更加完善，更加符合国家规定和潮流需要。其实，内部控制是一个过程，包括风险识别、评价、控制和监督反馈的过程。也就是说内部控制是一个总称，泛指企业内部所有的业务控制以及确保这些控制有效执行的机制。所以可以这样理解，企业所制定的资金管理制度、预算管理制度、费用报销制度等等都是企业内部控制的一个方面，在评价被审计单位资金控制时其实就已经是在评价其内部控制的某个方面了。内部控制是一个全集，而资金控制、业务控制、授权体系等都是内部控制的子集。
　　另外一些人认为，制定的制度就是内部控制，文件柜里摆放的、印刷成册的汇编就是内部控制。有些经理人员自豪地说，我们公司的制度非常完善，覆盖了所有的业务环节，所有的人都有章可依，可以说，我们的内控是非常健全和有效的。也有些经理人员意识到管理中应该更多地靠制度来约束而不是靠人来指挥，因此经常督促参谋人员制定、完善各项制度，甚至于年终总结中都将制定了多少项制度作为“丰功伟绩”汇报。然而，仅仅制度本身不是内部控制，内部控制还包括对制度的执行并留下有效执行的证据或轨迹，经常地和不经常地对这些证据和轨迹进行检查，以评价制度执行的有效性。同样，制度要靠人来执行，执行的人如何看待这些制度关系到执行的效果，内部环境中的一些重要因素如企业文化、正直的品格、人事政策的合理性和高层人员的行为和表率等都会对执行人员的主观意愿产生重要影响，并随之影响到制度执行的有效性。此外，所制定的制度也应该经常审视是否已经过时，是否还适合目前的实际情况，是否已经成为导致效率降低或诱发新的风险的“坏制度”。制度不是永远合理的，一项非常有效的、有利的适合企业需要的制度如果一成不变，迟早会变成产生新的风险的根源。
　　
　　所以，内部控制是一项机制。这项机制里有书面文件，放在柜子里的那些汇编，还有不成文的规定和习惯，保证所有的人员按照这些文件和习惯处理所有的业务并留下证据以便能够对执行的有效性进行检查。检查分为定期和不定期的，所有未按规定处理的例外业务能够在分析后得到处理和报告，同时，对这些制度进行定期的梳理和随时的反馈汇报、顺畅的举报通道也是这个机制的一部分，以便这个机制及时更新。高层人员应树立良好的风气，使所有人员能够正确地对待这些文件，也是这一机制的重要组成部分。
　　
　　四、内部控制体系如何建立
　　内部控制是一项机制，一项自我维护的动态机制，所以内部控制是建立起来的，而不是抄来的。一些企业开始重视制度建设，总经理一声令下，加快制度建设，学会照章办事，要求办公室几日之内拿出成果来。于是只好把同行的制度抄过来，甚至从网上一搜，稍微改动一下，颁布实施。仔细一看，制度中的名称有些都没来得及改过来，还是其他公司的名字，结果自不必说。有些分公司说没有收到，有些子公司在邮箱里都没有打开过，有些部门打印出来，往文件柜里一放，总算有制度了。这里面有两个问题，一是总经理已然认识到了制度的重要性，但思想认识却有些依稀，觉得终究不如“攻市场、谈合作”重要，更应当放在“上市”这件大事的后面，也不如诸多人员的安排调配与关系处理重要，实际上只是一个号召和想法，因为毕竟不是那么迫在眉睫的事情。二是搞不清楚是谁的事，也不清楚应该怎么干，也没去认真分析应该如何做，无端地认为这都是“你们的事”，都是你们这些“高学历、摆笔杆子、坐办公室”的人的事情，我提个号召和想法即可。任何事情必须得到领导的充分重视，才可能做好，只有领导重视，其他员工才会重视，才可能认真去做，所以本文开篇提到必须端正思想，高度重视才行。那么，在领导重视的前提下究竟应该如何去建呢？
　　任何一个存在的、处于运营状态的企业，无论其规模大小，有无制度，都有其业务处理的做法和习惯，小规模企业的业务处理流程可能通过创始人的口授、传帮带甚至是自我摸索的方式形成、流传，历史较长或规模较大的企业可能或多或少都会有些制度及规定。这些做法、习惯和规定有的比较合理，比较统一，可做起来却各种各样；也有些虽然没有出过什么事情，但却暗藏着风险，因为以前没有出过问题不代表没有出问题的可能性。
　　因此首先要对这些业务流程进行梳理，识别业务过程中的风险有哪些，目前是怎么做的，应该怎么做更有效、风险更小。进行业务流程的梳理不是财务部的事情，也不是办公室的事情，而是所有业务部门的事情。每个业务部门的经理都要对本部门所有业务的风险识别和风险控制负责，充分发动本部门的员工，采取多种行之有效的方式如讨论、举报、书面的反馈等形式识别本部门所有业务流程风险，分配不同层次的业务处理权限，并建立控制措施应对可能出现的风险，经常地审视这些风险，经常地审视业务流程是业务部门责无旁贷的事情。财务部门要对财务业务相关风险进行识别和控制，如资金的管控、财务信息产生流程的质量控制、财务信息系统的控制、财务与销售、生产等基础数据部门的协调等。要设计一些表单，或者通过信息系统将控制执行的记录留存下来，常见的有验收报告、应收账款的催收记录、经理人员的审批意见等。各个业务部门要有检查制度，定期地对控制执行情况记录进行检查、核实，并留下检查记录。业务部门经理还要建立所属业务范围内举报和揭发的通道。
　　控制执行得效果怎么样，员工以怎样的态度去对待，这是内控体系建设的另一个重要方面，也就是内部环境的建设。内部环境建设相对来说不是那么具体化，有些公司印有一些小册子，所有的员工人手一册，上面记载了应该干什么，不应该干什么，遇到各种问题应该怎么办。这是文化建设的一个方面，其中会体现公司高层的意愿。但文化的形式多种多样，各层领导在各种场合的讲话和行为表现起到了更为直观和显著的影响作用，公司的标语、警示等也会有一定的提醒作用，哪些人得到了提拔、哪些人被弃之不用都会形成强烈的示范和引导。公司的文化和宣传部门在这方面可以做很多事情。有些企业在本公司内部定期收集一些案例，哪些事做得对，有什么经验；哪些做得不对，为什么，记载的全部是公司内各部门的人和事。因为大家都认识，都是身边的人，会很感兴趣，认真读一下，被褒扬的自然得到莫大的鼓励，被批评的也会铭记在心，这种喜闻乐见的形式会给公司控制的执行起到很大的积极作用。
　　最后，任何一项制度针对的都是某种情况下的特定风险，然而导致这种特定风险的外部环境是不断变化的。比如公司的组织结构，公司的发展战略，顾客的偏好，销售渠道和方式，原材料的供应，科技的进步，自然环境的变化等。所以，没有一种风险是永久的，也没有一项制度是一劳永逸的，况且，任何制度时间久了难免在执行过程中大打折扣。公司应该建立内部控制的自我评价制度，评价曾经有效的制度是否还一直有效，评价曾经完整的制度是否已经变得片面，评价现在的制度究竟还需不需要。这种评价不同于上面所讲的日常的检查与核实，这种全面的、深刻的评价应该至少每二至三年进行一次，或者在有重大的经营环境变化（如重组、流程再造、重大组织结构变更、重大人事变更等）发生时进行。内审部门可以作为一个主要的组织者，但不是唯一的负责者，可以根据公司的实际情况，采用问卷调查、研讨会和管理导向分析等多种形式，对公司内部控制体系的有效性进行评价。
　　
　　五、如何进行内部控制的自我评价
　　一般来说，内审部门可以作为内部控制自我评价的组织者，也可以聘请外部机构作为智囊参谋和组织者之一，然而真正进行自我评价的主体还是各个业务部门——即各项风险识别、控制机制的制定者和执行者。因为具体到各个业务而言，了解实际情况、熟悉专业知识的还是业务部门，内审人员起到一个组织、监督和评价的作用，内审人员评价的内容应该是业务部门的自我评价过程是否可以验证、自我评价结论是否恰当，而不应该评价具体的业务内容本身。
　　作为一个组织者和推动者，内审部门首先要向各业务部门展开营销，即向他们宣传和动员，思考并强调进行该项评价能够为该部门带来什么好处，通过自我评价能够提供哪些显而易见的绩效的改善，切实让业务部门理解自我评价能够给本部门提供增值服务，而不是一项“压下来的硬任务”或者是内审部门为了部门利益而跳出来“找乱子”。只有经过有效的营销并赢得业务部门的充分理解与配合之后，内部控制的自我评价才有意义，才不会演变成为一项劳民伤财的“形式主义”累赘。
　　营销之后，应该制定详细的评价计划。根据西方国家的经验，计划工作应该占整个内部控制自我评价工作的60%以上。为了最大限度地减少对正常业务的干扰并找出真正的问题所在，必须进行充分的事前规划。首先要确定评价的范围，对哪些业务部门进行评价，评价这些业务部门的哪些内部控制要素，牵涉到哪些具体业务、具体人员等等。其次要确定评价的方式，对不同的内部控制要素和不同的部门范围，可能需要不同的方法。如对企业文化、正直的品格、人员的作风进行评价以及较广范围内的测试可能采用问卷调查更为恰当，而对治理结构、战略等问题可能需要与高管人员进行深入的交谈，而对验收、账务处理流程的控制测试可能需要更多的检查、穿行测试等。一些经验丰富的内审人员说，我不用去看、不用去查就知道下属各单位的内部控制怎么样。在司机接我的路上，我就会认真地观察司机来的是否整点，着装是否庄重整齐；然后问些问题，如汽车晚上停在哪里，是在公司还是自己家，出车是否打卡记录，修车如何结算记录等，从而就可以了解出这个公司的内部控制情况如何，根本不用查凭证。那么这种做法是否正确呢？非常正确，使用的方法叫做“询问法”，可以管中窥豹，略见一斑。但是，如此了解的内容只是被审计单位内部环境的一部分，而不是全部，更不是内部控制系统的全部。司机没有打领带并不一定能说明账务处理是否正确，业务处理是否合法，经营是否具有效率。他只能告诉我们这个公司的氛围是什么。当然，同样的氛围下，行为有可能是一致的，也许公司的内部控制系统真的很差，但不能仅凭跟司机的谈话就作出细致的评价。再次要考虑需要哪些人参加自我评价。一般来说，问卷调查需要每个人的参与，而访谈和研讨会一般是中层及以上的主管人员或涉及到的相关业务的关键人员参加。因为中层主管以上的人员较为熟悉本部门的全面流程和风险。有些特殊问题的调查和测试则需要相关人员的回避。最后需要确定的是各个评价环节的具体执行时间，有些需要与相关参与人员事前协调，个别事项需要随机和突击的方式进行。
　　评价的实施过程有两个关键点，一是要留有充分的记录，包括问卷、访谈记录、会议记录和工作底稿等，以便事后整理得到恰当中肯的结论，而且也必须保存好以备核查。二是要有充分的互动，内审人员作为组织者，要充分调动业务部门的积极性，引导他们进行自我剖析，引导不同人员进行交流。记住，业务部门是评价的主体，千万不要喧宾夺主。
　　
　　【参考文献】
　　［1］ 财政部等五部委.企业内部控制规范［M］.北京：中国财政经济出版社，2010.