浅谈企业内部控制制度的建立与完善

广东风华高新科技股份有限公司 彭蔚娴

随着经济的快速发展企业经营规模日益扩大，企业加强内部控制制度建设是企业在经济活动中提升管理，加强风险防范工作主要手段。企业只有建立完善的内部控制制度，确保其有效运行，才能提升公司风险防范能力，才能满足公司持续发展的管理需求，才能完善内部管理工作、扎实管理基础和管理能力，保证企业能在激烈的市场竞争中健康平稳发展。

1 企业内部控制制度建设存在的问题

1.1 对内部控制制度建设的认识不足，风险管控意识薄弱

尽管我国已发布《企业内部控制应用指引》，但企业对于内部控制建设仍处于探索阶段。企业领导者对于企业管理仍然是重点围绕如何盈利，对内部控制管理意识和风险管理是缺失的，对建立内部控制制度加强和对业务流程风险环节和决策环节控制的不认同，甚至认为内部控制制度是繁琐的，束缚业务活动拓展，影响企业发展。有些企业管理层对建设内部控制制度完全没有意识，没有制定与企业业务相适应的内部控制制度；有些企业为应付监管部门的检查，制定了内部控制制度，但未对存在风险的业务加强风险管理，进行风险评估，不能将风险管理有效落实形同虚设，内部控制工作流于表面，导致内部控制制度和内部控制工作难以得到有效的保障。

1.2 企业内部治理机制建设不完善，影响内部控制制度的实施效果

内控制度建设是一项系统工程，需要完善的治理结构才能保证企业内部控制功能发挥，才能促进企业内部控制制度的有效运行。如果企业没有建立与公司情况相适应的治理结构、公司各层级职责权限的制定不明确、公司的权力制衡存在缺陷，就会影响内部控制制度实施的效果。但企业经营者往往注重企业经济效益，而忽视对企业内部治理机制的建立和完善，企业内部董事会、总经理和监事会之间职责划分不清晰、定位不准确，特别是企业董事会作为内部控制和风险管理的核心，董事会没有在内部控制建立完善的内部监控体系中负起总体责任，导致各级部门与各层级对自己的工作任务难以形成一个清晰而完整的认识，所制定的内部控制制度难以执行，阻碍了企业内部治理机制的建立和完善。

1.3 内部控制制度发展滞后，与业务流程脱节

企业内部控制制度设计应要结合与公司的经营情况以及长远发展战略目标。有些公司在制定内控制度时，没有对公司架构、部门职责、业务流程进行梳理，未能按照内控指引要求制定相关管理制度，制度内容不完善、不具体，控制风险的措施未有落实，高风险业务制度缺失等，导致制度不能满足企业的管控要求。

企业内部控制制度管理方法简单和手段落后，公司的业务部门职责不合理，各业务环节和流程步骤未能全面纳入到内控制度体系中，职务或岗位的设置未能起到相互分离和监督，造成实际业务操作未能按制度规定流程执行、审核审批手续不完善等执行风险。

企业内控制度是需要随着公司的发展，定期进行制度完善及修订。有些企业未能结合公司的发展和实际情况对制度进行完善及修订，造成制度业务流程与实际业务流程脱节，导致制度建设落后于实际操作，难以有效指导开展工作。

1.4 内部控制监督机制不健全，内部审计未能发挥作用

企业在内部控制制度生效执行过程中，需要对制度设计和执行的有效性进行定期监督和评估，防止内控制度出现因客观原因改变而不符合实际操作情况。但实际操作中企业内部缺少对内控制度的监督，企业内部审计人员和审计委员会对内控的监督不到位或独立性不够，对于发现的内控问题，未能及时责令相关责任部门采取整改措施或整改不力，未能对存在风险的业务进行监督和上报企业董事会，未能对存在的内控风险进行控制防范内部控制失控造成公司重大的损失。

2 完善企业内控制度的建议

2.1 加强全员风险管控意识，提高风险管理水平

首先，企业的管理层要强化风险意识，在内部控制制度活动中起着带头的作用。企业在生产经营活动过程中，就会面对各类风险的出现。加强内部控制管理是防范风险的有效手段，通过风险识别进行风险评估，采取风险控制措施，将企业生产经营风险有效在遏制，使公司业务活动规范化，才能确保企业可持续发展。

其次，为提高企业的风险管理水，便于企业管理层对战略经营管理过程中的风险进行辨识、分析、评估以及应对，企业应编制风险清单。企业参照内控法规，围绕内部环境、风险评估、控制活动、信息与沟通及内部监督五项要素，从内部控制目标设定出发，对公司每一业务循环中所涉及的业务流程中的潜在风险进行辨识、分析、分类、评估和应对，形成与企业业务相适应的一套风险管理机制体系；便于公司管理层对业务循环中面临的可能对经营管理目标造成影响的潜在风险进行辨识后形成的基本判断，让公司管理层对风险对应事件的发生频率和产生的后果损失进行量化评估；让公司管理层对风险如何进行控制有明确的选择策略。

最后，应对企业广大员工尤其关键岗位业务人员加强内部控制制度规范宣传，提高员工对企业风险管理的认识，使员工认识只有降低企业风险，才能确保企业生产经营的安全性。

2.2 设立公司治理结构，完善公司治理机制

企业只有优化内部环境，才能确保内部控制度的制定和有效实施，明确企业内部董事会、总经理和监事会之间职责划分、定位，特别是企业董事会作为内部控制和风险管理的核心责任。企业应当根据依据《内部控制基本规范》规定设立公司治理结构，制定治理结构的相应制度，明确治理机构议事规则，各机构严格按照规则执行相关职能，明确董事会在内部控制制度建立的主体责任，明确公司各部门对内部控制制度的责职，如：明确公司人力资源部门制定并不定期优化公司的组织结构图；公司办公室负责业务流程的梳理，各部门负责岗(职)位说明书和权限指引的编制等，使各部门、岗位之间、上下级之间的工作关系更加清晰、顺畅、协调，明确工作程序，努办构建部门之间、岗位之间、各工作环节之间的横向制约和上下级之间的纵向监督机制。

2.3 完善内部控制制度，规范业务操作

企业需要建立适合公司经营发展情况及长远发展目标的内部控制制度，通过制度来规范公司各项业务的操作，努力避免或降低公司在经营过程中存在的风险。

企业要完善制度体系建设，首先要组建内控项目组，需要从各业务部门调配公司业务熟悉且富有管理经的人员参与制定与企业结构符合的内部控制制度。明确内控制度要适合企业长期战略与长远发展目标，制度要长久、有延续性，对照五部委发布的《企业内部控制应用指引》的18个应用指引制定与公司现状相适应，能提升内部控制活动管理制度，包括：(1)编制公司各业务编制业务流程图，明确主要业务环节的节点，对业务流程中潜在的风险制定控制措施；(2)制定授权审批制度和授权权限指引，明确岗位权限范围、程序和责任，规范授权管理；(3)系统分析梳理业务流程中的不相容职务，列示业务管理中不相容职责表，形成相互制约的工作机制。

企业在完善制度建设中要审查公司现有管理制度与内控流程，对公司层面和业务层面的内控现状，参照内控应用指引，开展内控合规性的分析，根据内控评估和流程梳理环节发现的设计问题，提出修改意见，下发确认核对后，形成“内部缺陷与整改方案”然后将现有内控措施和整改方案有机整合后，按照内部控制对标情况，编制与业务流程相对接风险控制手册，作为公司规范业务操作，防范业务风险的依据。

2.4 加强内控监督机制，确保制度有效实施

企业除了制定适用的内部控制制度来规范业务操作，还需要建立与实施内部控制情况的内部控制监督机制，对内部控制进行日常监督与专项监督，对企业关键控制活动等发生调整或变化情况进行的持续性的监督检查，确保事后监督和事前监督的有机结合。企业应建立内部控制监督制度，对内部控制的活动进行检查、监督、考核机制，把内部执行切实落实到实处。包括：(1)确定企业内部控制监督的范围，明确对企业在关键控制活动发生调整和变化时如何进行监督；(2)确定对内部控制缺陷认定标准，明确对监督过程中的发现的内部控制缺陷应如何提出整改方案，明确对重大控制缺陷的上报流程；(3)制定与企业经营业务、环境和发展相适应的内部自我评价的流程和次数等。

企业应明确内部审计部门作为内部控制的监督机构，负责监督内部控制活动的有效实施，内部审计部门对内部控制制度的合理性、有效性进行全方位跟踪审计，对内部控制制度在具体执行过程中的可行性作判断，包括：(1)加强对内控控制度的检查，对内控制度运行过程中存在的缺陷提出整改建议，并形成内控缺陷整改报告；(2)对内控监督过程中发现的内控缺陷，特别是重大缺陷直接向管理层提出整改，防止风险发生，保护公司资产；(3)对公司内控体系运行情况进行定期有效性评价，形成内控自我评价报告，持续推动内控体系建设实施工作，把内控制度建设作为一项重要的日常工作。