如何实现有效内控管理

吴蔚

一、什么是内部控制

根据财政部2008年发布的《企业内部控制基本规范》，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

二、如何实现有效内控

内部控制的缺陷可能会造成企业重大损失甚至走向衰亡。典型的例子就是华夏证券公司的衰败。该公司成立于1992年10月，由中国工行、农行、中行、建行、人保五家金融机构作为主要发起人，联合其他41家大型企业共同组建。之后公司迅猛发展，曾一度拥有91家营业部和24家证券服务部，并成为第一家全国交易联网券商。与此同时，公司尚未健全的内部控制却屡遭人破坏，导致了挪用客户保证金、违规回购国债、账外经 营和投资、违规自营和坐庄、账目作假和不清等内部风险的频繁发生。而主管部门在对其拯救中未能对症施治，内乱外患之下，2008年4月，公司正式宣告破产。可见，内控的失效后果非常严重。

那么，如何实现有效内控才能确保企业的可持续发展？笔者认为应从以下几点出发：

1.企业组织结构的完善

一般来说，企业组织结构的设立，包括纵向和横向两个方面。横向划分的结果是部门的设立，即部门化；纵向划分的结果是形成不同的管理层次，确定各层次管理人员的职责权限。企业内部控制的组织结构是可以跟企业本身的组织结构不一致的，企业建立和实施内部控制是在现有机构设置的基础进行，还是从内部控制的视角重新进行组织机构的设置，是可以权衡的。但笔者认为，如果能在组织结构中嵌入内部控制的内容，各级组织纵向层次定位明确，同时考虑横向部门的沟通问题，把组织结构作为实施内部控制的基础，则能更好地实现有效内控。按内控内容设计组织结构后，每一个纵向管理层对自己业务范围内的内控负责。每年从中层开始对本部门内控的实施情况进行签字确认，再到上层，直至企业最高层签字确认。这样能更好地加强管理层的内控意识，从行政的角度真正落实内部控制的实施。

2.企业管理层的内控意识

企业犹如一个家庭。管理层就像家长一样，给员工指引着方向，同时他们的一言一行也会像家长影响孩子一样，深深影响着员工的行为。作为企业管理层在企业内部控制中要起到学习、带领、督促和推广的作用。企业的经营环境是不断变化的，包括政治、市场甚至气候、社会风俗的变化。只有不断的学习才能适应环境的变化，才能有宽阔的眼界，才能明晰本企业的现状与发展前景，给员工于明确的发展方向。同时，也只有以身作则，才能带领员工在问题和矛盾中寻找到突破，才能调动大家的积极性。由于内部控制建设是一项长期的全员参与的工作，公司管理层需要不断向员工传达和灌输内部控制理念，将其贯穿于公司文化的管理哲学、经营理念中，形成上下一致的重视内控氛围，让每一个员工了解内控，才能自觉执行内控。我们的管理层还要善于发现问题，及时做出响应，建立必需的监督考核机制，加强员工的自我约束，只有这样才能真正将内控落到实处，而不是停留在文字报告上。

3.有效性制度及流程的设计

企业内控制度要以所有者利益和控制目标为基点，充分体现对风险和决策的控制，同时遵循信息化、系统化和成本效益原则并结合企业外界环境和自身特点进行设计才具有可行性和有效性。

有效性制度及流程的设计包括两个方面。

一是内容的设计。在制度内容设计前，先将本企业涉及的风险全部列出分类，再对本企业所有经济业务进行分类、梳理、整合，确保没有风险遗漏同时尽量避免重复控制。二是表达方式的设计。笔者认为，内控制度的表达方式主要有四种，即大纲条文、流程图、矩阵图和包含文字描述的控制表格。我们可以把企业内部控制度分为二个层次，即管理制度和分业务模块的操作流程。

为确保内控制度及流程的有效性，在完成设计后，要有一个或多个熟悉业务的人对有效性再进行评估，以确保所有风险都得到有效控制。当然，我们的业务和经营环境是动态的，因此需要每年对我们的制度特别是操作流程按实际情况由专人进行完善和再评估。

4.有效性运行的控制

为了检查制度及流程定义的关键控制点在各个不同时点是否得以按既定设计一贯执行，我们需要对关键控制点的实际执行结果进行测试。运行有效性测试可以由专人进行抽样测试。所抽取样本量应根据该项业务年度发生的頻率。发生频率多的， 样本量就多，发生少的，样本量则少。如发现有不当行为，应报告该关键控制点负责人，同时分析原因得出相应对策。如果是执行人缺少业务能力，可以考虑加强培训或岗位轮换。如果是控制点在实际操作中难以做到，可以考虑修改制度和流程的设计。

5.信息及沟通渠道的优化

现代企业，离不开信息沟通。因此，一个好的信息系统对内控的实施意义重大。信息化的本质就是流程的体现。企业在设计流程的时候就要考虑在信息系统实行的可能性。如果把信息化视为一种生产过程，这个过程的第一道工艺就应该是流程设计。不合理的流程体现在信息系统中，也就失去了信息化的真正意义，同时也发挥不了对流程的监督作用。一个好的信息系统， 能为内控提供各岗位各部门履行职责分析所需的可靠数据，能对各岗位各部门的权限进行有效设置，能生成简单清晰便于使用的报告，同时也能为企业内外部沟通提供良好畅通的渠道和途径。如果信息系统跟内控流程脱节，处于“孤岛化”状态，内控的实施也会大打折扣。

总之，加强内部控制是保证企业可持续发展的重要保证。一个完善的企业组织架构内，在一个高度重视内部控制的管理层带领下，通过对本企业业务和风险的全面分析，设计出本企业适用的制度及流程，配备在与流程高度契合的信息系统内，对执行内部控制情况进行定期监督与评价，就能保护企业经济资源的安全、完整，有效防范和发现企业内部和外部的欺诈行为和不足之处，充分发挥内部控制防范风险的作用。

参考文献：

[1]华夏证券公司的免疫缺陷综合症：内部控制严重失效.中国财政杂志社，财政部、证监会