企業內部控制建設淺析

浙江大學城市學院 徐修遠

企業內部控制建設淺析

浙江大學城市學院 徐修遠

一、企業內部控制建設背景

安然、世通等財務舞弊和會計造假案件的發生，嚴重沖擊了美國乃至國際資本市場的正常秩序。研究結果表明，內部控制存在缺陷是導致企業經營失敗并最終鋌而走險、欺騙投資者和社會公眾的重要原因。從我國企業的現狀看，企業舞弊層出不窮，其中的一個重要原因是缺乏有效的內部控制。2004年爆發的中航油（新加坡）公司破產事件，則是企業內部控制缺失導致經營失敗的又一典型。為此，許多國家通過立法強化企業內部控制，內部控制日益成為企業進入資本市場的“入門證”和“通行證”，我國境外上市企業紛紛花巨資聘請海外機構設計內部控制制度，以適應上市地的監管要求。

我國1999年修訂的《會計法》，第一次以法律的形式對建立健全內部控制提出原則要求，之后，財政部陸續制定發布了《內部會計控制規范——基本規范》等7項內部會計控制規范，審計署、國資委、證監會、銀監會、保監會以及上海、深圳證券交易所等也從不同角度對加強內部控制提出明確要求。溫家寶總理在十屆全國人大四次會議上作《政府工作報告》時強調，要“完善公司治理，健全內控機制”；2004年底和2005年6月，國務院領導同志連續兩次就強化企業內部控制問題作出重要批示，其中，2005年6月，在財政部、國資委和證監會聯合上報的《關于借鑒〈薩班斯法案〉完善我國上市公司內部控制制度的報告》上作出批示，同意“由財政部牽頭，聯合證監會及國資委，積極研究制定一套完整公認的企業內部控制指引”

在上述背景下，2008年6月28日，財政部、證監會、審計署、銀監會、保監會等五部委聯合發布了《企業內部控制基本規范》（以下簡稱基本規范）。基本規范自2009年7月1日起先在上市公司范圍內施行，鼓勵非上市的其他大中型企業執行。

二、企業內部控制基本框架及體系

根據我國企業內部控制建設的總體規劃，基本規范出臺后，將出臺一系列的內部控制規范應用指引。為此，2010年4月26日，財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制配套指引》。標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。

我國內部控制基本框架、體系如圖1所示：

圖1

基本規范是企業內部控制建設的總體要求，主要規定企業內部控制建設的基本目標、原則、要素；企業內部控制評價指引主要規范企業管理層如何開展內部控制自我評價工作；企業內部控制審計指引用于規范會計師事務所等中介機構如何對企業的內部控制體系進行評價并出具鑒證報告。

企業內部控制應用指引是基本規范的細化，具體指導企業如何結合自身實際情況，從哪些項目內容開展內部控制。應用指引由企業層面控制、業務層面控制組成。具體項目如下：

第一，企業層面控制。具體包括：組織架構（治理結構、機構設置、權責分配、問責制、內部審計、總分公司等內容）；發展戰略（包括發展戰略的制定、實施）；人力資源（對人力資源進行全方位、全過程控制，并強調績效評價制度）；社會責任（包括社會責任的理念、制度、投入、管理、檢查等內容）；企業文化（包括企業文化的建設、評估、風險控制等）。

第二，業務層面控制。包括：資金活動（包括籌資、投資、日常運營管理以及對資金管理中的高風險問題進行防范等）；采購業務（包括物資購買、款項支付主要控制點及風險防范等）；資產管理（包括存貨、固定資產、無形資產管理控制）；銷售業務（包括銷售、收款控制）；研究與開發（包括立項、開發、知識產權保護控制等）；工程項目（包括立項、工程招標、工程造價、工程建設、竣工驗收等全過程控制）；擔保業務（包括擔保的調查、審批、具體執行控制等）；業務外包（包括承包方的選擇及具體執行控制）；財務報告（包括財務報告的編制、對外披露、內部傳遞運用等）；全面預算（包括預算的編制、審批、執行及考核等過程控制）；合同管理（包括合同的談判、簽定、履行過程控制）；內部信息傳遞（包括內部報告的分析形成、內部傳遞、結果運用等控制）；信息系統（包括信息系統的開發建設、日常運行維護等控制）。

三、企業內部控制框架體系特點

我國的內部控制基本框架體系主要有以下特點：

一是完全體現全面性原則。不管是基本規范還是具體的應用指引，在內容設計上，都強調企業內部控制是企業管理層的責任，強調企業開展內部控制工作必須全員參與、全過程開展，徹底擺脫一提內部控制人們就自然歸結為單位財務部門職責的現狀。

二是強化企業層面控制。為了改善企業控制環境，在應用指引的設計上，專門設置了企業層面控制，內容包括公司組織架構、企業文化、社會責任等，從而引導、幫助企業改善內部控制環境。

三是強調政府主導。無論是內部控制基本規范還是具體應用指引，都由政府部門主導起草、發布。在我國目前的經濟、市場環境下，政府主導有助于企業自覺建立完善的內部控制體系，有效防范企業內、外部風險。

四是注重成本效益。企業執行內部控制規范將不可避免地發生成本，如果執行成本超過控制收益，那么將得不償失。如美國的薩班斯法案，即存在企業執行成本過高的問題。為此，在起草過程中，重點對風險點、控制措施等進行描述。至于企業如何具體執行要求，則不再詳細規定，而要求企業根據自身實際情況自行明確。

五是有效吸收國際先進經驗。在基本規范的設計上，吸取了美國COSO框架的體例，同時，借鑒了國際上通行的其他有效做法。

四、對企業內部控制建設若干思考

結合基本規范，從今后的發展看，企業開展內部控制建設工作應關注以下環節。

第一，梳理、規范業務流程是內部控制建設的關鍵。具體到個體企業，要做好內部控制工作，關鍵在于梳理、規范業務流程。只有業務流程明確、清晰，才可能發現風險存在的環節，也才有可能針對關鍵控制點采取有效的控制措施。因此，要健全、完善企業內部控制，最基本的工作是要對現有的業務流程進行梳理、規范。具體的操作上，可以先把目前在用的流程全部以圖表方式列出；在此基礎上，對不合理的流程進行適當調整。

第二，制度建設是企業內部控制工作的基礎。對個體企業而言，相關的控制措施主要的體現是企業執行的各項內部制度。因此，在對現有的業務流程進行梳理、規范后，應著手梳理、修訂現有的內部制度。具體的操作上，應先梳理現有的內部制度，然后與現有的業務流程進行對比。對不符合現有業務流程的制度，進行重新修訂；對有業務流程但未建立制度的業務，要按照業務流程重新建立制度。在制度中，重點體現對各類風險的控制措施。

第三，明確的崗位職責標準是控制風險的源頭。企業建立內部控制，關鍵在于防范風險。這之中，必須建立清晰的崗位職責標準，明確每個崗位的工作職責、范圍，從而明晰權利與義務，防止差錯、舞弊的發生。

第四，內部控制建設需要企業各部門的通力協作、配合。一談到內部控制，人們自然而然地把這項工作歸集為財務部門的工作。正是基于這種擔心，在規劃應用指引框架時，已經盡可能多地考慮企業層面的控制如人力資源、組織結構等；在起草應用指引時，已經盡可能弱化財務概念的使用。事實上，內部控制絕對不僅僅是財務部門的工作，它是貫穿企業所有運營活動的一項工作，需要企業領導、全體員工共同參與。對企業而言，要建立起有效的內部控制體系，同樣需要各部門的共同努力。

第五，內部控制建設應與企業信息化工作、風險管理工作實現有效整合。目前，相當多的企業已經開展信息化建設工作、風險管理體系建設工作，這些工作與內部控制建設存在著非常緊密的聯系。如信息化建設工作，信息系統本身是一種控制手段，但是從內部控制角度看，對信息系統也必須進行控制；再如風險管理工作，內部控制的目標在于防范、降低風險，企業開展內部控制體系建設，將進行風險評估等。因此，在開展內部控制建設時，必須統籌考慮內部控制體系與其他管理體系的關系。

［1］劉玉廷、朱海林、王宏：《中國內部控制改革與發展》，《經濟科學出版社》2010年版。

（編輯 向玉章）