浅谈对企业内部控制有效性的思考

文/王瑜（陕西煤业化工物资集团有限公司）

内部控制制度是衡量企业管理水平的重要参考依据。有效的内部控制能从管理层和治理层的态度、认识和措施出发，完善风险预警体系建设、加强财务信息化建设、提升内部审计的独立性和专业性。而在实践中，当前企业的内部控制建设还存在一系列的问题，比如企业缺乏对内部控制重要性的认识、财务信息化建设滞后、内部监督流于形式等。因此，在这种背景下，开展企业内部控制有效性思考的研究就显得尤为重要。

一、相关概念介绍

（一）内部控制的概念

当前存在大量关于企业内部控制的研究，而基于差异化的角度，也形成了大量不同的结论。有研究认为在企业内部控制中，“控制”才是内涵和本质，意为约束、管束等，而“企业”则界定了内部控制的主体和客体[1]，“内部”则表明了企业内部控制应用的范围。因此，所谓内部控制指的是企业为了达到特定的经营目标，而对企业内部的各个要素实施的约束、引导、规范、监督和评价的活动[2]，其实质则是针对企业主体的一项经济控制活动。有研究认为企业内部控制是一项科学的管理活动，是由企业的需求管理所推动的，它不仅是一种“意识、方法、措施和制度”，同时也是重要的风险管理过程，并引入了外部监督主体，所共同实施的防范和纠错机制。

也有研究认为内部控制指的是企业为了实现战略目标和短期目标所构建的基本保障系统，它在企业发展的各个阶段所起到的作用存在较大差异，而其基本职能是对活动的牵制、防范、引导、规范、监督、衡量和评价[3]，具有企业管理的本质属性。而《企业内部控制基本规范》则指出内部控制是指由企业全部成员共同参与，经董事会、监事会和经理层主导其实施，来达到实现控制目标的一项过程[4]。由此可见，内部控制是企业为实现战略目标而开展的经济调节手段。

（二）内部控制要素

根据COSO的内部控制框架，文章认为企业内部控制要素主要表现为五个方面。第一，内部控制环境。内部控制环境是影响企业内部控制各个要素有效组合并发挥作用的重要内容，是开展内部控制的重要基础。其内容包括管理层和治理层对内部控制的态度和认识、企业文化的建设、岗位职责的设计等。第二，风险评估。所谓风险评估指的是及时有效识别影响企业发展战略实现的各种风险因素，并确定风险类型，评估风险大小水平的过程，其步骤包括风险控制目标的确定、对风险因素的识别、对风险因素大小的评估、制定风险应对预案[5]。第三，内部控制措施。企业要根据风险评估的结果，结合企业实际情况采取有效的应对防范措施。内部控制措施包括单位和业务两个层面的内容，比如组织机构建设、授权审批机制制定、岗位职责设计、资产盘点制度制定、预算管理制度建设和绩效考核评价机制制定等[6]。第四，信息与沟通。企业业务活动的开展是需要各个部门在相互沟通和协调中完成的。信息与沟通就是要及时、准确、完整地搜集有关企业运营管理的各种信息，并及时对这些信息进行解码。企业在完成信息的沉淀和筛选之后，将信息进行横向和纵向的传递。横向信息传递就是要将信息在同层次不同部门之间进行传输，而纵向传递指的是信息在同部门上下级之间的传输。第五，内部监督。内部监督是企业内部控制的最后一个要素，能对所制定内部控制制度的合理性、合规性和有效性进行检查和评估，并对制度水平出具报告。内部监督既包括对内部控制制度有效性的整体性检查和评估，又包括对内部控制关键要素的检查与控制，并及时提出整改意见。

二、企业提升内部控制有效性的意义

企业提升内部控制有效性的意义主要体现为三个方面。首先，能提升资产的安全性。由于缺乏有效的资产管理制度，部分企业的资产存在被侵占和挪用的情况。如果能提升内部控制的有效性，那么就能够从岗位机制设计入手，明确资产管理的第一责任人，并制定关于资产管理的考核指标。同时，内部控制制度提升了费用报销审批和采购管理的合规性，降低了人为舞弊的概率，而且，制度化的资产盘点能及时了解资产现状。

其次，能提升会计信息的可靠性。完善的内部控制制度能加强财务组织建设，提升财务人员的专业素质。具备较高专业水平的财务人员能严格依照账务处理程序开展会计活动，保证会计资料的完整性和可靠性。同时，财务信息系统的建设大大提升了会计信息搜集和分析的效率，降低了人为操作出现问题的概率。依靠财务信息系统，从信息的引入、储存、提取和分析都实现了智能化和自动化。最后，能促进企业合法合规经营。在“全面从严治党”的背景下，尤其是对于国有企业而言，其必须合法合规经营，防范国有资产流失的状况。而在实践中，国有资产在改制中频频流失。如果能加强内部控制建设，提升内部监督部门的独立性和专业性，就能将对企业经营行为的监督常态化和制度化。同时，在绩效考核方面，企业可以设计多重关于合法合规运行的考核指标，这样才能让国有企业的经营行为在法律法规框架范围内进行。

三、企业内部控制建设应坚持的原则

企业内部控制制度建设应坚持四方面的原则。首先，全面性原则。从上文的叙述中可知，内部控制包含五个要素。而内控体系的建设应该从四个方面要素着手，分别从单位层面和业务层面进行完善，不得遗漏任何一个环节。同时，要调动全体员工的参与，应发挥广大员工的想象力，鼓励员工为内控体系的建设献言献策。其次，要坚持动态性的原则。企业所处的内外部环境处在不断的发展变化当中，比如会计准则的变化、原材料价格的变动、信息系统的更新升级等。因此，企业的内部控制制度并不能一成不变，其对应要素也应该进行相应的调整，比如控制目标的变化、控制信息系统的升级、组织结构的变化等。再次，要坚持重要性原则。企业应该根据内部控制制度中存在的缺陷和漏洞，进行重点把控。如果企业存在资产流失的状况，那么就应该强化资产管理制度建设。如果企业存在廉政风险，那么就应该加强内部监督机制建设。

最后，成本效益原则。对于企业而言，内部控制制度的建设需要耗费一定的人力、物力和财力，而内部控制制度只不过是企业发展运营的制度保障，并不会对企业盈利能力的提升起到直接的促进作用。因此，企业在开展内部控制制度的成本投入时一定要从企业实际状况、期望的效益目标出发，以实现成本和效益的平衡。

四、企业内部控制建设中存在的问题

（一）内部控制环境不足

企业内部控制环境的不足主要体现在三个方面。首先，企业的组织机构建设并不完善。部分企业缺乏独立的内部审计部门。内部监督的职责由综合管理部门兼任，这种情况降低了内部监督的专业水平，同时也缺乏内部控制体系建设的统筹机构。其次，缺乏对内部控制体系建设的重视程度。任何属性的企业运行都存在一定的代理成本，管理者可能为了让企业获得较高的利润，而选择具有较高投资风险的项目，而这种行为无疑会对投资者的利益产生损害。部分企业管理者认识不到内部控制的重要性，认为内控体系的建设会加强对自身管理行为的监督和评价，从而对内控建设存在一定的抵触情绪。最后，企业内控文化建设不足。企业文化是企业价值观的沉淀和彰显。基层员工普遍缺乏对内控体系的了解，无法在日常实践中落实内控制度。

（二）控制活动流于形式

一方面，企业缺乏规范的风险评估机制。企业在发展过程中会面临多元化的风险，比如筹资风险、投资风险、营运资金风险和利润分配风险等。严谨的风险评估机制应包括风险信息的收集、风险识别、风险评估等步骤。而在实践中，部分企业缺乏风险识别的意识，在风险评估方法上主要凭借管理者的主观经验，缺乏定量分析的手段。一旦管理者风险识别失误，那么就有可能导致风险应对失效。另一方面，预算管理制度不完善。预算管理是企业对经营活动的前瞻性控制，能结合对未来环境的预测情况，运用定量化分析的方法实现对企业销售、生产、现金管理和财务报表的预算管理，可将风险进行评估和应对。而大部分企业尚未建立全面预算管理制度，预算编制并不准确、预算执行力度不足、预算考核流于形式。

（三）财务信息化建设滞后

首先，部分企业业务部门和财务部门的信息系统是各自独立的，缺乏有效连接，两者之间的数据口径和技术标准甚至存在较大差异。这就需要财务部门对业务部门上传的数据进行转换和筛选，这大大提升了转换成本。其次，业务系统和信息系统缺乏相互连接的中间点。基于业财融合的财务管理观念，业务和财务的信息系统群中间要建设共享数据库，以实现各种类型数据的沉淀。而在实践中，很多企业普遍缺乏共享数据库建设的意识。最后，企业尚未意识到“金税四期”征税系统对企业的影响。“金税四期”的上线会员通过大数据技术对企业的各种信息进行分析和处理，通过有效的数据比对发现存在的涉税风险点。而很多企业尚未针对上述变化对税务信息系统进行调整。

（四）内控考核制度不完善

内控考核是对内部控制体系的水平和相关部门在内控制度履行情况的考核与评价，能明确各个员工的履职责任，并提出针对性的改进对策。而从实际情况看，企业的内控考核机制并不完善。首先，企业内控考核体系囊括的范围并不全面。通常而言，内控体系的考核应至少包括授权审批、岗位设计、预算控制、资产保护等多个层面。而在实际中，部分企业的内控考核体系仅仅局限在岗位职责的合规性上，缺乏对单位层面内控活动有效性的评价。其次，在对各个岗位内部控制职责履行的评价方法上，部分企业倾向于采取定性评价方式，缺乏定量评价方法的引用，比如不能够根据评价模型对各个岗位的考核指标赋予分值，无法为各个指标进行权重设计，得出准确的考核结果。最后，缺乏考核评价的沟通机制。得到员工的理解和认可是内控考核评价制度有序运行的必要前提。企业在得出考核结果以后，并未设立意见反馈机制。

五、提升企业内部控制有效性的对策

（一）营造良好的控制环境

首先，企业要加强组织结构建设。有条件的企业应该成立独立的内部审计部门，并加强团队建设，提升内部审计部门的专业性和独立性，以实现对管理层的有效监督。其次，要加强内部控制制度的文化建设。企业要加强对员工的职业道德培训，提升诚信水平，确保员工的日常活动能在法律的框架内进行。同时，企业要根据实际情况，塑造具有特殊性的企业文化，引导员工形成稳定的内控文化价值观。最后，要健全人力资源的管理制度。内部控制制度是由人来制定和执行的，因此，员工的整体素质可对内部控制制度的有效性产生重要影响。企业必须加强人力资源的建设，一方面，要建立长效的岗位培训机制，就授权审批机制、费用报销制度、信息安全系统等方面的内容进行培训。另一方面，企业要根据所处的内外部环境、战略发展目标，制定完善的内部控制管理制度，让企业活动有法可依，有规可循。

（二）完善内部控制措施

首先，企业应该完善风险评估制度。企业可以将常见的风险进行划分，并建立系统风险案例库，同时要严格风险评估的程序。一旦发现内外部环境中存在异常状况，风险管理部门就应该通过风险预警系统实现风险识别、数据沉淀和分析，并得出风险值的大小。其次，要完善全面预算管理制度。一方面，企业建立能够统筹全面预算管理的部门，由其对全面预算管理进行审批和考核。另一方面，企业要完善具体的预算管理活动。企业要提升预算编制的准确性，依据战略目标，选择合适的预算编制方法。同时，要加强预算执行的力度。对于已经确定的预算指标，有关部门要及时完成，并根据意外状况进行预算的调整。最后，要完善资产管理制度。企业应重点关注资产盘点制度。一方面，企业要加强对资产的定期盘点，另一方面，企业应落实不定期的资产盘点制度，防范国有资产流失，保证资产账证、账实、账表相符。

（三）加强财务信息化建设

首先，基于内部控制体系的搭建，企业要建立由业务和财务系统组成的信息系统群。各个信息系统之间的数据口径和技术标准要做到统一无差距。其次，各个信息系统群中应该包括一个共享数据库。各部门之间的信息都可以在共享数据库中实现沉淀。财务部门可以适时从数据库中收集需要的数据信息。最后，财务部门还应该完善税务管理系统。在“金税四期”税收征管系统上线的背景下，企业必须优化税务管理系统，不仅能实现对业务数据和财务数据的比对，同时还能实现对税务筹划风险的识别、评估和应对。除此之外，企业还要完善信息安全的控制机制。一方面，企业要完善信息系统的防病毒机制，防止信息泄露。另一方面，企业要加强岗位制约和权限设置，促进不相容岗位相分离。总而言之，财务信息化是实现财务精细化管理的重要一环。

（四）完善内控考核体系

首先，企业的内部控制评价体系必须全面，至少应包括关键的控制活动。同时在内部控制指标体系的构建方面，企业可以从战略目标、经营目标、财务目标和合规性目标出发，建立各个子目标的考核指标体系。其次，企业要引入定量化的评价方法，比如企业可以采取模糊综合评价法将主观定性评价转化为定量评价，对某些不够清晰的因素进行量化，并对抽象的目标实现精准评估。再次，企业应建立同内控考核体系相匹配的激励机制。企业要根据内控绩效考核评价的结果对员工进行一定的奖惩。最后，要建立顺畅的考核沟通机制。一旦出现员工对考核结果不满的情况，就可以通过沟通渠道进行反应。企业管理者在收到员工的反馈之后，可以就内部控制体系指标的构建、考核方法的选择进行讲解。

六、结束语

内部控制制度是重要的管理制度，在企业运营管理中重要性不言而喻。在市场竞争日趋激烈，国有企业改革的宏观背景下，企业只有不断提升内部控制水平，实现对各种不确定因素的识别、评估和应对，才能促进企业实力的不断壮大。文章认为企业只有从多个角度采取措施，调动各个部门的积极性，才能提升内部控制制度的有效性。期望文章的研究能为企业内部控制制度有效性的提升提供一定的参考。