企業內部控制運行基礎及實施策略

◇趙曉會

隨著信息技術的應用，企業管理已實現了戰略、經營、財務一體化，但是企業內部控制還停留于職務分離、賬證核對等財務控制層面，游離于戰略和經營流程之外。因此，內部控制如何在保證財務信息真實的基礎上服務企業戰略，是企業迫切需要考慮的問題。

一、企業內部控制基礎建設

（一）管理層重視內部控制

內部控制是一個由企業管理層主導的自控系統，受到企業管理層真正重視是內部控制有效的基本保證。但是，管理層重視內部控制的前提是內部控制要有用。因為內部控制的有效性取決于多種因素，而且控制是否有效具有滯后性，何況還有相當多的企業雖然有完善的內部控制，卻仍然沒有避免失敗。因此，在內部控制建設之前，管理層就對內部控制抱有信心很重要，只有如此，企業才會為內部控制提供人才物資源，并通過建立各項制度，保證其有效實施。

（二）企業要有清晰的發展戰略

一個企業要實現其組織目標，必須要規劃戰略，并為員工所認知，作為員工行動的向導和奮斗的目標。戰略是企業識別風險和管理風險的基礎，如果一個企業沒有清晰的戰略，或者戰略不被員工所熟知所理解，必然形不成統一的風險偏好，當風險出現的時候，必然會無所適從，形不成統一的應對策略。

（三）統一的風險偏好

風險偏好是企業在實現其目標的過程中愿意接受的風險的數量，其實是組織對待風險的態度。基于內部控制的需要，企業應當有統一的風險偏好，這樣才能有統一的思維和行動。因此，企業領導者要善于根據行業特征和企業特點確定自己的風險承受能力，并依次確定風險偏好，并且要注意使自己的風險為員工所認同，從而使其成為企業風險偏好。

（四）先進的風險文化

風險文化是企業內部控制的動力機制的一部分。為此，企業要確立公司核心價值觀，并將其作為企業文化的核心。為了保證企業的核心價值觀被員工所理解和認同，就要注意企業核心價值觀的樸實化、通俗化，并且要注意與企業戰略目標和財務目標契合。例如，專注于顧客價值創造的價值觀，就容易被員工所認同，因為它不僅為企業創造價值，而且也會為員工成長創造機會。當公司的價值觀確定之后，再通過制訂《員工職業道德準則》和《企業文化建設規范》等文化創建活動，對其固化，最后內化為企業文化。

（五）適宜的組織架構

企業的信息溝通能力取決于企業組織結構，例如，扁平化的組織結構能夠減少管理層級，提高信息溝通能力，而直線制組織結構則相反。企業應當根據自身的規模、業務繁簡程度以及管理層的管理能力，選擇適當的組織結構模式。不管采取什么樣的組織結構，機構設置及權責分配都必須貫穿內部控制的基本思想，各職能部門和各業務單位之間以及各業務流程之間應形成相互制約、相互監督的控制機制，上級可以制衡下級，同級可以相互制衡，下級也可以制衡上級。

二、企業內部控制實現路徑

（一）營造控制環境

頂層設計主要是構建內部控制環境，包括組織架構、企業文化、人力資源政策。內部控制有五個要素，但是內部控制整體質量的高低不是由各要素的平均水平決定的，而是由其中最薄弱的一個要素決定的，內部控制最薄弱的要素就是控制環境，因為我國市場經濟發育不充分，公司治理不完善，企業文化尚沒有形成。

（二）流程再造

傳統的業務流程是建立在勞動分工理論基礎上的，它是職能化組織結構，業務流程被部門割裂，信息傳遞緩慢失真，已經很難適應內部控制對風險管理的需要，流程再造勢在必行。將金字塔式組織結構改造為扁平化組織結構，重組職能部門，重新劃分相關人員權責，盡可能實現信息的一次處理與共享，從而適應內部控制的需要。

（三）控制閉環建設

如前所述，內部控制的有效性主要取決于企業管理層的意愿，所以說，作為一種制度安排，內部控制本身就應內嵌執行機制，由此構成一個包含制度設計、制度執行、制度檢查、約束和激勵的閉合系統。

（四）組織建設

風險是具有層次和系統性的，具有疊加、放大、抵消效應，企業不能僅僅從某項業務、某個部門的角度考慮風險，而應當對風險進行組合管理。首先要在董事會下設風險管理的領導機構——風險管理委員會，從而將內部控制納入董事會管理之下；其次，在最高管理層之下設立首席風險官，負責執行內部控制，以落實企業管理層對內部控制的執行責任；第三，在首席風險官下設風險管理部，具體負責內部控制建設和運行工作；最后，賦予內部審計風險管理職能，對內部控制的運行進行監督和評價。

（五）信息系統建設

信息與溝通是實施內部控制的前提條件，企業需要通過信息傳遞和內外部溝通掌握內部控制體系運行情況，發現存在的問題。另外，伴隨著企業規模的擴大，企業的內部組織結構以及業務流程也變得更加復雜，僅僅依靠人工手段進行控制是不現實的，這就需要運用信息技術，將內部控制政策固化于信息系統，實現對流程的自動控制，防止人為因素規避控制。鑒于此，企業應當根據組織架構、業務流程等特征，制訂信息系統建設規劃，對信息系統進行開發、運行和維護。

三、企業內部控制實施策略

（一）將內部控制規范內化為企業法律

內部控制是企業自己建立的法律，任何人都不能超越它。內部控制制度是企業行為的底線，對任何違反內部控制的行為必須予以懲處。例如，美國1934年《證券交易法》對于違反關于內部控制制度條款的行為將處以罰款和監禁。再如，1977年美國頒布的《反國外賄賂法》中規定違反該法中關于內部控制條款的人將被判處5年的刑期和1萬美元的罰款。由此我們可以得到啟示，企業可以將外在的法律內化為“企業法律”，為企業自覺執行內部控制提供保證。

（二）內部控制逐步推進戰略

控制是一個系統工程，需要有適宜的環境。我國絕大多數企業的公司治理、組織架構、企業文化、人力資源政策和業務流程等，都與風險管理不匹配。因此，內部控制只能逐步實施，首先以財務報告內部控制為重點，通過財務控制建設帶動管理控制建設。之所以要以財務報告為重點主要是基于以下原因：第一，財務信息是內部控制的基礎，而企業財務信息質量普遍不高，有必要加以控制；第二，財務工作是管理的核心，牽扯面廣，帶動性強，適宜于作為控制的主線，例如，我國已經出臺的18項內部控制制度大都與財務有關。有一些是直接關于財務控制規范，如財務報告、資金活動；有些是對與企業財務報表項目相關的規范，如資產管理、采購業務、全面預算；第三類是為實現有效的財務報告內部控制所必需的事前、事中和事后制度支持的控制規范，包括信息系統、人力資源等。

（三）內部控制與管理制度的整合

企業的內部控制與管理制度的目標是一致的，都是為了提高經營效率，完成財務目標，從而確保戰略的實現。因而內部控制的建立必須與現有的管理制度相結合，將內部控制規則自動嵌入企業管理制度中，在執行管理制度過程中自動落實內部控制制度，而不是在管理制度之外另搞一套內部控制制度。整合實際上解決的是各項管理制度之間的協調問題。目前，企業的管理制度，如會計制度、財務制度、內部審計制度、營銷管理制度、人力資源管理制度等，這些制度大多都與內部控制重疊，這樣就會不可避免地出現內部控制制度與已有的管理制度之間的協調問題。企業應當以內部控制的實施為契機，以系統觀為依據，對內部控制和管理制度進行整體的思考，以內部控制為主導，以流程為主線，以風險管理為目標，梳理管理制度，以此發揮內部控制對管理制度的統領作用。

（四）內部控制制度的整體優化

每一個企業其實都有內部控制制度，但是絕大多數企業現有的內部控制制度都達不到內部控制規范標準的要求。如果企業只是對現有的內部控制修修補補，即對照規范標準，缺什么補什么，勢必會造成內部控制的無序化，甚至出現矛盾和沖突。這就要求企業要有系統思想，對內部控制進行通盤的思考，對流程進行梳理和再造，重組職能部門，重新劃分相關人員權責權限，使內部控制整體優化而不是局部優化。

[1]張繼德.企業內部控制規范體系實施的初始條件與應對策略[J].北京工商大學學報（社會科學版），2012（04）.

[2]池國華.企業內部控制規范實施機制構建:戰略導向與系統整合[J].會計研究，2009（09）.

[3]財政部會計司考察團.英國和法國企業內部控制考察報告[J].會計研究，2007（09）.