企业内部控制建设的八个层级

王海兵++贺妮馨

【摘 要】 企业内部控制建设包括“点”“线”“面”“体”“链”“网”“云”“雾”八个层级，由简到繁，依次递进扩展，不同层级内部控制所能发挥作用的范围和层次也有差异。企业内部控制建设八层级理论的提出，能够指导企业依据自身情况建立科学的内部控制体系，推动内部控制建设向规范化、系统化、战略化和信息化方向发展。

【关键词】 企业内部控制建设； 风险管理； 层级

【中图分类号】 F275；F239.4 【文献标识码】 A 【文章编号】 1004-5937（2018）03-0136-03

内部控制作为企业管理的中枢神经，是经济发展的必然产物，能够一定程度实现企业管理活动的调节与制约。企业内部控制建设包括“点”“线”“面”“体”“链”“网”“云”“雾”八个层级，由简到繁，依次递进，不同层级内部控制所能发挥作用的范围和层次也有差异，内部控制所处层级越高，控制功能就越强大。传统内部控制建设关注“点”“线”“面”“体”，未来内部控制建设的趋势将向“链”“网”“云”“雾”发展。随着市场环境的日益复杂化和竞争的白热化，“点”“线”“面”“体”控制已不能满足企业需求，而形成内部控制链，拓展内部控制网，是企业内部控制未来发展的方向之一。同时，信息化的发展推动内部控制的创新，“互联网+”和物联网将大大提升内部控制的速度，使得内部控制借助信息化“腾云驾雾”，发展到云控制和雾控制的高级阶段。

一、把握内部控制点

内部控制点即关键点控制，例如时间控制、范围控制、授权控制、人员控制、金额控制等，都属于关键点控制。内部控制是人造系统，依靠人，为了人。人本经济时代，“以人为本”是企业内部控制建设的出发点和归宿。内部控制表面上控制的是物质、信息、业务、系统，实质上是对人的权力、责任、利益和行为所进行的规范和控制。王海兵等提出人本内部控制的概念[ 1 ]，在“物本内部控制”的理念基础上，更加注重企业各利益相关者的权益，将内外部利益相关者在内部控制中的角色由被动变为主动[ 2 ]。但目前企业仍存在内部控制工作基础薄弱、领导层不重视、缺乏执行力度、形同虚设等诸多亟需解决的问题。因此，基于人本治理原则，抓住内部控制关键点，对建立健全科学合理的内部控制体系，有效防控风险具有重大意义。一是按照不相容岗位的控制要求，合理设置岗位，并建立关键岗位责任制，避免一人多职和一人多权。二是明确划分职责权限和审批权限，建立重大事项集体决策和会签制度，实现企业内部控制相互牵制、相互制约的目标，确保经济活动决策、运行和监督的有效分离[ 3 ]。三是建立全面预算控制制度。预算是内部控制的重要工具，必须牢牢抓住企业预算控制。由企业发展战略指导预算控制，实施包括目标控制、程序控制、信息控制三大控制在内的全面预算控制[ 4 ]。把握企业内部控制点，能促进改善企业的运行管理，有效掌控企业面临的风险。

二、优化内部控制线

内部控制线即流程控制，将关键控制点嵌入整合到流程中，能够提升和改善内部控制的效率和效果。基于控制线，员工能够更好地分工协作，从而更高效地控制风险。企业生产经营活动主要包括研发、采购、生产、销售和物流运输五个环节，由此可以衍生出更多的业务流程控制，譬如招投标采购流程控制、合同签订流程控制、预算流程控制、资金收付流程控制、资产管理流程控制、成本管理流程控制、绩效考评流程控制等，横跨多个岗位、多个部门，是整个内部控制的核心部分。例如根据消费者需求和预算管理进行产品研发，严格把控产品成本，同时结合授权审批控制、不相容职务分离控制与财产保护控制机制，明确材料采购、产品销售各部门人员的职权范围，防止越权，有利于维护各部门与员工的合法权益；严格控制采购和销售审批环节，监控材料与产品的出入库，防止企业资产被非法侵占或盗用；在销售及管理过程中，要保证产品的质量安全，保护员工的人身安全，切实保护消费者和员工的利益。将内部控制目标作为根本出发点，遵循“合法合规性、整体性、牽制与配合、成本收益、原则与规则导向相结合”的原则[ 5 ]，构建科学合理的内部控制流程，并根据环境和业务变化，优化企业内部控制线，进行流程再造和重新设计，推动企业不断发展进步。

三、加强内部控制面

内部控制面即相同或相近类型业务的政策制度控制，例如财务部门专门负责财务制度的制定和实施，并对组织财务风险进行控制。类似于电脑系统中的控制面板，将内部控制点和内部控制线进行集成，在法律框架下形成面向业务的、具有一定结构和功能的内部控制模块。业务、财务、法务都是和内部控制密切相关的，过去强调“业财融合”，但对“业法融合”的重视还不够，出现大量的会计造假、产品造假、环境污染案件。近年来，企业内部控制失效，引发企业经营风险、财务风险等一系列风险。为此，除了加强企业内部自身的制度建设外，政府作为宏观调控的主体，通过制定内部控制相关法律规范，发挥其作用，促使企业更好地规范内部控制建设也显得尤为重要。由政府制定并逐步完善相关法律规范体系来对企业内部控制作出规定、制定标准，扮演法规制定者的角色。政府同时还起到第三方监督者的作用，强制要求企业披露内部控制自评报告和内部控制审计报告，必要时可邀请相关方面专家参与评价内部控制建设与实施情况，充分调动各方内部控制建设的积极性。行业协会在不与政府制定的法规制度冲突的情况下，结合各行业的特点，制定行业内部控制规范或操作指南，对企业内部控制建设进行约束和指导。但单纯的制度控制容易由于人的自利性形成破窗效应，应将制度与流程结合，形成制度管人，流程管事，各司其职[ 6 ]。因此，不仅要加强内部控制面，还要将政策制度融入内部控制流程设计，才能为企业创造可持续经营的内部环境。

四、构建内部控制体

内部控制体即组织整体控制，涵盖发展愿景与战略、经营理念、治理架构、组织文化、风险偏好、人力资源政策、内部营运体系、外部市场网络、利益相关者关系管理、绩效评价、内部监督等。内部控制体是对内部控制“点”“线”“面”的综合集成，并与企业经营目标和发展战略密切关联，具有战略牵引、风险驱动的特征。企业治理层在设计内部控制制度时，应摒弃“股东利益最大化”的传统理念，倡导“利益相关者价值最大化和均衡化原则”，突出利益相关者的参与作用与监督作用[ 7 ]。同时，文化建设与制度建设双管齐下，齐头并进，优化企业内部控制的软环境，提升企业软实力。重点关注和防控企业风险，建立风险数据库，为企业专业人员预测与估算风险发生的可能性及风险承受度提供信息，为企业开展内部控制活动提供依据。企业应当加强事前控制，随时关注或预测企业在生产经营过程中可能会引起社会责任风险的不当行为，及时对其作出判断并采取措施。此外，建立QHSE（Quality Health Safety Environment）管理体系，通过风险控制，从产品质量、员工健康、安全生产以及生态环境等方面降低风险事故发生的可能性[ 8 ]。监督层则对企业内部控制的执行情况实施监督，包括内部控制自我评价（CSA）、内部审计（CIA）和外部审计（CPA），共同构成C-SIP-A评价体系，形成三道评价与审计防线，对控制效果作出客观公正的评价。endprint

五、形成内部控制链

内部控制链即面向供应链提出的内部控制理念。未来企业的竞争，不是单一企业之间的竞争，而是供应链之间的竞争，供应链上的企业利益共享、风险共担，供应链企业各自的内部控制系统相互兼容、耦合，形成内部控制链。内部控制链具有一定的外部性、协同性和创新性，不同于单一企业内部控制或集团公司内部控制[ 9 ]。因此，应从整个供应链的战略布局出发，合理规划和运行企业内部控制。供应链上的企业主要包括研发商、供应商、分销商等企业，这些企业以核心企业为基础构建基于供应链的内部控制系统，主要包括控制环境、风险评估、控制活动、信息与沟通、控制监督五个部分，将内部控制的设计和运行置于企业所处的整条供应链中，大大提升内部控制的战略高度和应用价值。内部控制链与内部控制点、内部控制线、内部控制面、内部控制体相比，复杂化和多元化特点更加突出，因此，信息的及时传递与良好有效的沟通是成功实施内部控制链的关键。通过信息流，将整体与部分、动态与静态结合，形成闭环的内部控制链系统，促进供应链整体和各节点企业实现持续增值。供应链为内部控制的发展提供了更广阔的空间，同时内部控制也促进了供应链的高效管理，将供应链与内部控制结合形成内部控制链，两者相辅相成，产生内部控制协同效应和规模效应。

六、拓展内部控制网

内部控制网是对内部控制链的进一步发展，是若干内部控制链的有机集成。内部控制链以核心企业为基点，纵向考虑上下游不同节点企业内部控制的嵌套对接，内部控制网在此基础上还横向考虑和其他组织进行资源的整合共享和协同创新，谋求共生发展。价值和风险相伴，机遇和挑战共存。内部控制网去中心化和扁平化，特定企业可能同时在几条控制链上出现，企业与企业之间相互关联，形成具有较强竞争力和协同效应的企业集群，资源共享，分工合作，内部交易成本大幅降低。内部控制网由多条控制链交织而成，多条作业链、价值链、风险链相互融合，在创造更多价值的同时也衍生出更大的风险。在内部控制网中，风险的形成机制、传导机制和影响机制发挥作用，风险来源增加，传导路径多元化，传导速度增快，影响程度加深，影响面扩大。内部控制网要求建立更为科学先进的综合风险管控体系，及时识别和评估风险，对风险采取控制措施。企业内部控制建设不仅重视对内生性风险的控制，也重视外源性风险的控制，应建立日常风险处理流程和重大风险应急预案。内部控制网能够提高信息沟通的效率，倒逼网上价值链和风险链上各利益相关方对自身内部控制系统做出相应的调整和优化，形成能够适应复杂生态、参与高层次竞争、具有协同共生能力的内部控制网络[ 9 ]。拓展内部控制网的企业应致力于构建以利益相关者为导向、以社会责任风险管控为中心的内部控制体系，不断改善和优化企业运营管理。

七、实施内部控制云

内部控制云即实施云控制，是对云会计、云审计、云财务等的集成控制，是基于“互联网+”的信息化内部控制。“互联网+”时代是一个以人为本，以创新为驱动的时代，与人本经济发展理念契合。“互联网+内部控制”就是将互联网技术引入企业内部控制的建設，二者有机融合，产生1+1>2的协同效应，实现企业内部控制的不断增值和创新发展，是内部控制理论创新和实践发展的必然方向。将内部控制融入管理信息系统，建立“互联网+”环境下以QHSE管理体系为基础的内部控制系统[ 10 ]，用信息化流程和“互联网+”巩固内部控制系统[ 11 ]，从一般控制和应用控制两个层面构建内部控制绩效评价体系[ 12 ]，提升企业内部控制的速度和效度。云控制搭载云技术后可以实现远程控制，员工可以用任意一台PC或手机登录云端，在授权范围内调取所需信息或处理业务。当前，利用互联网技术进行OA云平台的团队协同管理已趋于成熟，OA平台的企业管理模块包括审批、考勤、项目管理、计划、公告、日志等三十余项，极大地提高了企业管理和内部控制系统的运行效率。当然，内部控制信息化也带来了诸多挑战。首先，信息化对企业管理者的素质和专业能力提出了更高的要求；其次，风险变得更加复杂，相应的危害性也更为严重，云控制系统对科学授权、信息安全提出了更高要求；最后，“互联网+”环境下，业务数据和管理数据成几何级数增长，控制活动涉及面更广，控制活动难度加大，线上云控制和线下实体控制的同步、并行和互促，成为新的研究课题。因此，需要不断探索和完善“互联网+”环境下的企业内部控制云建设，突破难关，朝着信息化的方向不断前进。

八、探索内部控制雾

云控制是基于互联网环境下的信息化企业内部控制架构，雾控制则是基于物联网环境下的智能化企业内部控制架构。如果说内部控制云有比较清晰的边界，高在云端，那么内部控制雾就无处不在了，弥散在我们周围。物联网在全球范围内掀起了继计算机和互联网之后的第三个信息革命浪潮，是互联网的应用拓展。企业内部控制环境随着物联网技术的开发应用发生变化，企业内部控制环境更加信息化、虚拟化和智能化，因此物联网下企业内部控制建设应打破传统内部控制规范，建立健全企业物联网治理结构，合理分配物联网管理职责权限[ 13 ]。企业基于传感器技术、RFID标签、嵌入式系统技术和互联网平台，通过各种信息传感设备，实时采集任何需要监控、连接、互动的物体或过程等各种需要的信息，与互联网结合形成的巨大网络，旨在实现物与物、物与人，所有的物品与网络的连接，从而为识别、管理和控制提供支持。物联网产业由支撑层、感知层、传输层、平台层和应用层五个层级构成，企业内部控制系统与这五个层级密切关联。物、人、网络、信息、资金，在物联网中互联互控。每个人或物，既是单独的施控个体，同时也可以是受控个体，而且更多的人或物，可以通过信息化接口或授权手段，构成更大的内部控制网络。智能性是物联网最重要的特征，智能信息控制是物联网背景下企业内部控制的核心[ 14 ]，企业应强化物联网的安全性能，重视智能信息数据的保护，防止控制雾演变成“毒雾”和“雾霾”。此外，通过传感器等物联网技术的应用，企业内部各部门之间和与外部各关联企业的信息获取、处理和共享更加及时高效。同时，物联网智能计算机还可以进行数据整理和挖掘，为企业经营决策提供更加准确可靠的数据支持，并可以直接作出决策[ 13 ]。物联网下内部控制是“互联网+”内部控制在信息化和智能化领域的拓展和升级，是新常态下我国企业实现转型和升级的重要推动力。

【参考文献】

[1] 王海兵，伍中信，李文君，等.企业内部控制的人本解读与框架重构[J].会计研究，2011（7）：59-65.

[2] 李翠霞.医院内部控制的面、线、点[J].产业与科技论坛，2013，12（14）：232.

[3] 秦敏玉.优化医院内部控制 实现点线面结合[J].行政事业资产与财务，2014（33）：158-159.

[4] 王海兵，李文君，何建国.企业战略性社会责任预算控制研究[J].当代经济管理，2017，39（5）：12-17.

[5] 樊行健，周冰.企业内部控制流程设计原理研究[J].财会学习，2013（7）：13-15.

[6] 张庆龙.论制度、流程与内部控制[EB/OL].https：//mp.weixin.qq.com/s/JfpWbWnTzRMe7f_Lap2nPg.

[7] 杨清香，张晋.刍论企业社会风险与内部控制[J].财会月刊，2010（36）：13-15.

[8] 王海兵，黎明.汽车行业社会责任内部控制：理论框架与实施路径[J].商业研究，2014（7）：149-155.

[9] 李文君，王海兵.基于绿色供应链管理的企业社会责任内部控制研究[J].会计之友，2017（16）：97-102.

[10] 王海兵，潘春华.社会责任导向的企业QHSE管理信息系统构建[J].重庆理工大学学报（社会科学），2017（12）：54-60，79.

[11] 丁卓君，王海兵.企业社会责任内部控制信息化探微[J].财会通讯，2016（28）：93-96.

[12] 程平，张卢.“互联网+”下云会计AIS内部控制绩效评价[J].会计之友，2016（2）：127-131.

[13] 温延美，王凤洲.物联网环境下企业内部控制环境研究[J].信息安全与技术，2014，5（4）：29-30，40.

[14] 许金叶，韩玲.智能信息控制：物联网下企业内部控制的核心[J].会计之友，2012（7）：65-68.endprint