Z公司内部控制现状分析及优化对策研究

苗绪野

摘 要 内部控制是公司在经营过程中为确保公司能够按照既定的发展目标持续经营所制定的管理机制，具体表现为内部各种管理制度、工作程序，控制方法和具体措施。有效的内部控制可以帮助企业在经营管理过程中做到持续经营、在风险防范方面降低各项经营风险，从而为企业的发展保驾护航。本文分析了Z公司的内部控制现状，通过COSO框架模型并结合国内内部控制规范体系，对Z公司存在的内部控制问题提出优化方案。

关键词 内部控制；COSO五要素；风险防范措施；优化设计

DOI： 10.19840/j.cnki.FA.2023.03.016

Z公司作为S保险集团一级子公司，除自身投资业务外，还受托接受S集团的委托对下辖的18家机构进行业务管理；下辖机构业务主要涉及集团公司内部不动产项目的投资交易和工程建设管理、动产项目的租售管理和物业管理、健康养老项目和另类资产投资项目。Z公司管理资产规模巨大，业务条线较多，管理难度高，公司在其经营过程中对各项风险的管控就特别重要。有效的内部控制对企业的经营环境、社会治理评级有着正面的影响，因为它能够提升企业的运营效率，并使企业能够依法合规地开展经营业务。Z公司内部控制措施随着公司业务的开展不断地进行完善和补充，但某些方面仍然存在问题。

一、COSO内部控制五要素

COSO风险管理框架的要素包括以下内容，分别是控制环境、风险评估、控制活动、信息和沟通、监督。

控制环境包括表明对诚信的承诺、行使监督责任、建立权力结构、表明对效率的承诺和加强问责制；风险评估包括设定目标、确定风险、评估欺诈风险和确定影响内部控制的变化；控制活动包括选择和发展监督活动，测试和发展一般信息技术控制活动，制定可在机构内实施的政策和程序；信息和沟通包括利用相关信息支持其他控制部件的工作、单位内部沟通以及与外部缔约方的外部沟通；监督包括进行持续或最后评估，以确保内部控制系统的有效性，评估内部控制中的缺陷，并向负责各方报告，以便采取纠正措施。

二、Z公司内部控制现状、存在的问题及成因分析

Z公司根据公司业态及条线性质，对各下属公司共性的工作方面制定了内控合规及操作风险流程手册，包括科技运营、行政文秘、财务管理、风险管理及法律合规等方面。同时，Z公司还对涉及不动产建设、物业经营管理、医养项目经营管理的业务针对操作风险、市场风险、声誉风险等方面制定了防控措施，以期能提升公司的内部控制有效性。但Z公司在实际执行和评价的过程中发现公司的内部控制仍然存在问题，表现如下。

（一）内部控制环境有待加强

健全的组织结构对于一个公司的发展至关重要[1]。Z公司在发展过程中，内部控制环境出现一些问题，比如在公司组织架构设计方面存在缺陷、公司本身没有独立的审计部门但又与外部监督部门或监管机构存在博弈、人力资源管理的不完善、部分管理层人员法制观念淡薄、公司信息管理系统建设欠缺等方面都存在着不足。

1. 公司的组织架构设计不满足现代企业治理需要

Z公司不设监事会，唯一的监事是由股东任命的，且该名监事不在公司内部任职，不参与公司经营，对公司总经理和董事会的监督形同虚设。总经理是Z公司的最高权力人，所有的事项决策均需要总经理的同意，且无相应的监督部门对总经理的决策行为进行有效的监督，这就容易导致总经理的权力无限膨胀，形成“一言堂”，违背民主集中制原则，继而超出其权力范围做出错误的决策。

2. 存在岗位不兼容的情况

下辖机构的财务出纳岗位的设置上面明显违背了《会计基础规范》的规定：下辖机构财务部均只设财务人员一名，财务出纳岗由行政人员兼任，机构总经理兼任财务凭证复核岗位。通过访谈，出纳岗位、财务复核岗位的设置均是形式上满足《会计基础规范》的规定，因岗位人员没有财务专业知识，实际上无法胜任岗位管理要求，实际的工作仍由一人完成，没有形成财务岗位间相互制约，存在重大的潜在财务舞弊风险。类似还有：未设置关联交易管理专岗，信息化队伍建设不完善，IT运营室岗位设置不合规，且存在一人兼多岗的情况以及重要岗位缺少备份人员。

3. 管理人员内部控制意识不足

公司管理层的内部控制意识和法制观念决定公司内部控制水平的高度，只有管理层提高自身的内部控制意识和法制观念，才会引导公司整体对内部控制的重视和依法合规开展工作的重视。通过查阅内部检查资料和员工访谈，发现Z公司部分管理层员工存在内部控制意识和法制观念淡薄的情况。比如采取不适当的措施对应收欠款进行追收，从而造成国有资产流失；对没有完工的項目为应对考核而提前验收，导致保修期提前结束和保修款提前兑付，给公司造成经济损失。

4. 现有的信息管理系统不足以支撑业务的开展

Z公司信息管理系统是公司正常业务经营开展的重要保障，通过对Z公司的机房设备检查和现行的业务信息管理系统使用的需求分析，Z公司信息系统建设与业务发展不匹配，目前在信息系统建设、系统间互联互通、核心系统功能方面存在缺失及功能不完善的情况，无法有效支撑业务操作。

（二）风险评估存在缺陷

为提升内部控制的有效性，Z公司根据各项业务的特点编制了系列风险管理制度；结合业务开展情况，编制了各岗位的风险操作手册以应对各方面的风险；同时指定了风管管理部门对公司的整体风险水平进行评估，监督其他业务部门和下辖机构的风险管理工作。但是Z公司在风险评估岗位采用了兼职合规联系人的制度，即在业务部门内部设置风险管理的兼职岗位，由此岗位对该业务部门的风险水平进行评估。实际上，因兼职人员的专业知识不充分、此项工作又属于附加工作以及风险评估工作并没有纳入绩效考核范围，从而造成了风险评估的结果不能真正反映Z公司的风险管理的真实状态。

1. 内部控制活动的主动性不强

Z公司由于风险管理专业人员配置等原因，在生产经营过程中对风险的主动识别能力有待加强，特别是在对内部控制进行实时动态的持续监控和控制方面。因缺乏风险识别的主动性，往往忽略了部分项目的潜在风险或未对应当核对上报的事件进行关注，从而影响业务在后期出现了不利的情况。比如公司投后管理部在发现了投资项目估值降低并对其进行了披露后，但并未对该项目由于股价持续下跌所造成的影响进行深入分析，同时也没有分析该项目所在的二级市场的相关系统性风险。由此而展现了Z公司对于内部控制、风险防范的积极性不足，缺乏主动性。

2. 信息与沟通传递不畅

Z公司内部信息传达通过办公OA进行分发，内外部业务的沟通主要通过内部邮箱进行。与其他公司相比，Z公司还设有深圳、北京双总部，主要职能部门设在深圳，北京职场主要是投资管理部门，因此双总部之间的文件、函件等传递是非常频繁的。通过办公OA系统导出2021年Z公司年度流转的文件153份，对其从发起到流转至公司员工处闭环的时间统计如图1所示。

通过分析可以知道，Z公司通过办公OA流转的文件仅有约三分之一的数量是在5天内完成闭环流转的。在现代经济环境中，这样的OA流转效率是非常低下的。

3. 监督机制不健全

Z公司的各项内部控制监督主要通过兼职合规联系人开展。兼职合规联系人协助风险合规管理部及时收集风险合规管理方面工作的相关指标、信息，并及时反馈突发事件、违规事件等异常情况，并参与部门或机构的事中监督工作。根据Z公司的《事中监督管理办法》，事中监督系指公司在采购货物、服务、工程等事项的过程中，对采购流程中的重要节点以及公司相关重要会议进行的程序合规监督。因此，风险合规部及其兼职联系人所起到的监督，主要集中在招标采购管理过程中，而对公司在财务管理流程、物业管理流程、投资管理业务流程、工程建设管理流程的监督存在缺失。另由于合规联系人是由职能部门或下辖机构职员兼职兼岗，在其绩效考核主要受其所在部门或机构进行考核时，其本身所兼任的监督职责就不具有独立性，部分情况下会导致监督机制的失效。

（三）Z公司内部控制问题的成因分析

1. 公司治理的权力高度集中

Z公司的总经理权力事实上凌驾于董事会之上，形成了“一支笔”决策的局面，主要表现为董事会、监事的职责及权力的缺位，实际上形成了公司各项决策没有有效的监督。

2. 与稽核公司存在天然矛盾

Z公司内部不设审计委员会和内部审计部门，公司的內部审计工作均委托集团内部的稽核公司开展。由于稽核公司独立于Z公司，其作为集团内部的监督部门，对其他公司的稽核审计本身就带有“有罪推定”的潜在意识，认为被稽核公司各个方面都不符合法律、制度等，且以稽核发现的问题作为其工作业绩。Z公司则认为稽核公司是来“找茬”的，稽核公司的部分问题认定纯粹是“指鹿为马”，干扰了企业的正常生产经营。在此情况下，Z公司对稽核公司的稽核审计存在强烈的排斥心理，双方也对“稽核问题”展开博弈，最终导致无法通过稽核审计对企业进行正确的诊断，不利于企业直面自身的问题。

3. 过度的成本管控影响了人员配置

Z公司内部存在大量的兼岗现象，部分岗位人员的设置存在不兼容的现象，存在较大的内控风险。根据公司内部文件显示，出现这种情况的主要原因是Z公司为节约公司人事成本，通过压缩下级部门和机构人员配置的手段来实现成本节约。而通过压缩人员编制导致的岗位人员配置不齐，采用大量兼岗形式进行弥补，就出现了一人多岗、岗位不兼容的情况。而人员兼岗的情况又会影响员工的职业素质与岗位匹配性，比如兼职合规联系人因其专业知识无法支撑其对进行管理层的决策行为进行深入的监督，影响了监督效果。

4. 公司对内控和风险管理的培训不足

Z公司对内部控制风险、法律合规概念的宣传不到位，没有全面覆盖全体员工，深度也不够；对关键岗位内控和风险管理业务技能培训不到位。由此导致公司内部控制氛围较差，员工的内控意识较薄弱，特别是公司个别管理层不参加相关内控风险、法律合规培训，也不学习公司规章制度，处理工作“想当然”，可能造成内控失效和经济损失。

5. 公司管理制度存在缺陷且执行不到位

Z公司部分管理制度的条款可操作性不强，导致公司职能部门及下辖机构无法按公司管理制度开展业务活动。比如，《工程竣工决算管理办法（试行）》中有如下规定：“工程项目完工可投入使用或者试运行合格30个工作日内，项目公司应向公司总部财务会计部上报工程竣工决算工作方案。”经过实践证明，该条款的可操作性不强。理由如下：一是工程项目完工可投入使用或者试运行合格30个工作日内，项目进入各个合同下的“结算”阶段，而非“决算”阶段。二是决算是在结算基础之上对数据进行财务归集与统计，确定最终建设成本。三是结算工作相较决算工作复杂、冗长，编制结算工作方案对项目的指导性更大、更强，因此“结算管理人”编制结算工作方案更具有现实意义。

6. 工作的网络环境限制

信息与沟通是指企业识别、获取以及沟通内外部的相关信息，以保证企业的工作人员可以更好地履行工作职责完成工作[2]。Z公司为了业务保密与安全，统一身份认证平台的所有业务系统均只支持内部网络登录，由此产生了非内部网络情况下无法查看公司下发或传达的重要信息，导致不能及时获取信息而对公司安排的工作任务无法及时反馈。另外，OA信息传递的环节较多，也影响了信息传递的效率。Z公司的下辖机构，特别是建设工程条线机构，由于其建设项目一般均与职场所在地有一段距离，而相关管理人员不坐班，无法及时读取内部邮箱和办公OA系统文件，形成了上下级内部沟通不畅、布置的工作任务不能及时反馈的局面。

三、Z公司内部控制优化设计

内部控制体系建设和优化是一个长期、持续的过程[3]。Z公司应该围绕公司经营发展战略，发挥公司治理机制作用，将公司合规经营与持续、健康发展作为内部控制优化目标，以加强公司内部控制体系建设、提高员工内控合规意识、强化内控流程及岗位制衡作用为优化思路，切实把风险防范和内控合规常规化、制度化、规范化，结合业务流程梳理的成果推动信息系统建设，有效提高内部风险防控水平。

（一）优化内部控制环境

1.按现代公司治理对组织架构进行调整

在优化公司治理和治理结构方面，根据监管要求和存在的问题，加快董事会下设立审计委员会、提名薪酬专委会；完善公司治理的制度建设方面，需要全面加快制度“建、改、废”工作；在风险战略制定和实施中，加强业务流程中核心风险点的梳理、识别和控制措施；优化声誉风险和操作风险容忍度和限额指标，完善战略风险管理机制，细化分级授权和业务分类授权标准；在信息系统建设方面，加快投资后管理、委托资产财务会计、反洗钱、资产风险分类等信息系统建设。

2. 通过培训提升员工内部控制意识

员工的内部控制意识的水平将决定企业的内部控制措施能否得到有效的执行，决定企业应对风险的指令能否得以贯彻执行。因此提高员工的内部控制意识，提高员工对公司内部控制体系建设的原则、内部控制的目标以及内部控制与公司经营管理之间的关系就十分重要。Z公司目前存在因员工的风险合规意识不强，违反公司相关业务工作流程，以致出现业务工作流程内控失效的情况。

员工培训教育的方式或渠道可以采取案例分享的模式，就公司内部出现的内部控制失效或风险管理失控事件进行案例分析讨论和分享学习，从讨论和分享中加深公司内部控制和风险管理方面制度的学习，提高以后遇到同类事件的警惕性；采取合规管理风险小贴士，在内部定期分享内控和风险管理知识，潜移默化地宣贯内控风险管理意识。

3. 完善绩效考核和激励奖惩

Z公司应当建立健全风险防控考核体系，加强风险防控重点工作、风险合规内控指标、内部违规情况、稽核整改情况考核，将风险防控考核与公司、员工绩效考核合理结合，让依法合规经营、业务品质优良的机构和员工在业务考核和评先评优中得到更多地体现和肯定。同时也应当完善问责机制，严肃问责执行，持之以恒正风肃纪，做到有责必问、问责必严，特别要严肃追究重大违法违规行为和重大风险事件责任，夯实主体责任。

4. 完善财务控制

Z公司应当加强公司财务管理各业务流程的全面梳理，根据业务流程具体流转环节综合分析其风险控制的关键点，可以通过业务流程内部控制基本情况表的形式将其具象化，并根据具象化的风险控制点提出具体的防控措施。TPIH公司在费用申请报销流程、固定资产管理业务流程、增值税业务管理流程、资产损失核销业务流程等方面也应当进一步明确财务关键控制点，通过对现行的业务流程的执行状况进行评估分析，完善财务控制措施。在内部控制体系中，财务控制是内部控制的重要内容，完善的财务控制可以更好地提升公司内部控制，助力公司长远的发展。

5. 加强企业文化建设

Z公司企业文化传承于S集团公司，自身并没有再另行创立一套企业文化。Z公司是S集团下属的另类投资业务和不动产投资业务平台公司，其主要业务与S集团的金融保险业务有着天然的差异，在传承下来的企业文化方面与S集团的共鸣点的交集处并不多，尤其是下辖的管理机构。因此对公司企业文化传承、建设是非常重要的，特别是核心价值观。企业文化体现着公司管理的风格，是公司治理的灵魂所在，Z公司的内部控制环境是否能够满足公司内部控制体系的建设在很大程度上依赖于企业文化建设。

（二）加强风险评估

1. 设立风险管理部门

Z公司的下辖管理机构并没有设置风险管理部门，仅通过设置兼职合规联系人监督管理机构的风险事项。下辖机构的兼职合规联系人由办公室或财务部的员工兼任，在风险管理和事中监督方面接受机构和风险合规部的双重领导。但是因为岗位涉及部分业务不兼容以及合规联系人的专业知识不能很好地胜任此岗位工作，因此在Z公司下属机构设置专门的风险管理机构就显得十分必要。设立风险管理机构可以对公司的各项业务涉及的风险实现“识别、评估、控制（规避、缓释、转移）、报告、监控、检查”全过程的风险防控，也可以避免因岗位工作不兼容导致的业务流程不合规的风险。下辖机构的风险管理机构可以更好地对接外部稽核审计与内部日常风险检查工作，对此发现问题的整改措施也可以独立提供合理合规可行的整改意见，对Z公司在风险管理及下辖公司管理方面是重要的提升。

2. 完善风险预警机制

风险预警机制可以在对公司风险识别、风险评估中对可能发生的风险事件或可能造成较大经济损失的风险事件进行警示。根据Z公司面临的业务风险和其可以承受的风险损失，制定风险等级矩阵表（见表1），对各项业务所面临的操作风险等级进行预警。

3. 提高风险控制参与度

风险管理不仅仅是公司管理层或者风险管理机构的事，也应当是公司全体员工的义务。公司的健康发展离不开全体员工依法合规地开展工作，公司内部控制体系的构建也需要公司各部门、各机构全体员工从其自身工作的角度参与到风险控制工作中来。

（三）规范内部控制活动

1. 全面内部控制

Z公司可以通过持续推动全员参与、全流程覆盖的内部控制和行为管理，全面识别和分析重点业务流程可能面临的风险因素，全面梳理风险点分布情况，细化对应控制措施，提高内部控制管理水平。工程管理方面，加强安全生产管理，严格落实项目施工中的安全操作规程；加强签证变更管理，注重签证变更的合理性、必要性以及决策权限的合规性；加强成本管控，平衡好造价和结算时长的关系，合理控制工程成本。物业管理方面，重点加强消防安全管理、设备设施维护、应急预案演练，将疫情防控常态化。集中采购方面，严格审查项目采购方式，防止化整为零规避招标，对达到招标标准的采购项目做到“应招尽招”；加强采购文件审查力度，严禁设置不合理条件限制、排斥潜在投标人；规范供应商管理，开发“供应商关联关系校验系统”，降低围标、串标风险；加强评审人员管理，严禁评审人员在评标（包括资格审查）过程中发表导向性言论，影响其他评审成員。

2. 全过程内部控制

Z公司在实施全面内部控制的基础上，应当对Z公司内部全部业务流程进行全过程的内部控制。Z公司可以通过对各个业务流程风险点进行分析，提出各个风险点对应的内部控制措施及责任部门、岗位和公司内部制度依据，使各个业务流程在执行过程中均依法合规，在遇到风险点时均可以参照风险控制措施得以执行，从而对公司全部业务流程进行全过程的控制。

（四）畅通信息与沟通渠道

基于现代信息社会的快速发展、员工的工作习惯等，Z公司应当在現有的沟通渠道之外搭建移动的信息沟通渠道，比如基于内部控制环境下开发的手机移动终端的办公系统，将基于电脑终端的OA系统、费控系统、综合业务管理系统、资金审批系统、邮箱系统等业务功能移动化，实现移动办公，解决公司目前存在的只能在内部网络的电脑终端进行业务操作和信息沟通。

除了改进信息传递渠道和方式外，Z公司还应当与外部的供应商或客户建立信息沟通渠道，在业务合作中向其公开纪检举报投诉渠道，以发现可能存在的舞弊行为。在公司内部设立员工信箱和纪检信访接待办法，受理内部员工对违法违纪情况的投诉和举报；建立可能存在舞弊行为的问题处理和报告机制，及时应对和处理公司内部控制中的失效行为。

（五）有效进行内部控制监督

公司在完善内部控制体系过程中应当制定内部控制评价机制，完善内部控制评价目标和评价原则。Z公司可以通过内部控制评价机制强化内部控制合规意识，建立内部控制机制，保证内部控制体系的有效运行；提高公司的风险管理能力，确保公司各类资产的安全；促进公司提高业务、财务等管理信息的真实性、完整性和及时性；引导公司经营管理活动严格遵守国家或地区的法律法规、监管规定和内部规章制度，促进公司内部控制流程的完善。

Z公司还需要完善其组织结构，增强内部监督机构独立监督的能力，在企业内部进行权责划分并进行内部控制流程监督和检查[4]。要增强内部监督的独立性，Z公司应当完善公司治理结构，在公司董事会下设置审计委员会，由审计委员会配备专业内部审计人员，独立于公司其他业务部门开展内部控制监督工作；深化公司监事在公司治理过程中的监督作用，监事对股东会负责，在内部监督方面行使的监事权力要高于公司管理层，使监事的职能在内部监督上能够无保留地执行。

四、结束语

本文对Z公司的内部控制管理现状进行了深入的分析，提出Z公司在内部控制方面还存在一些问题，并对问题的成因进行分析，有助于有针对性地提出内部控制的优化措施。随着研究的深入，Z公司内部控制的不足和漏洞逐步暴露出来。Z公司管理层应当采取相应措施，对现有的内控机制进行优化、完善；通过内控机制的优化，推动全员参与，加深对内部控制思想的理解，把握内部控制关键环节，有效防范公司生产经营过程中的各种风险和问题。 AFA

参考文献

[1] 傅凌玲.国有控股上市公司内部控制体系优化设计——以B钢铁公司为例[J].财会通讯， 2021（5）： 10-12.

[2] 杨重姚.企业内部控制局限性及其基于COSO五要素的对策研究[J].中国乡镇企业会计，2017 （1）： 153-154.

[3] 赵基全.企业内部控制优化“三步式”方法探究[J].会计之友， 2020（12）： 84-88.

[4] 曹中.基于企业流程管理的内部控制体系研究[J].会计之友，2012 （9）： 47-48.

（编辑：赵晴）