淺談企業內部控制制度的建立與完善

廣東風華高新科技股份有限公司 彭蔚嫻

隨著經濟的快速發展企業經營規模日益擴大，企業加強內部控制制度建設是企業在經濟活動中提升管理，加強風險防范工作主要手段。企業只有建立完善的內部控制制度，確保其有效運行，才能提升公司風險防范能力，才能滿足公司持續發展的管理需求，才能完善內部管理工作、扎實管理基礎和管理能力，保證企業能在激烈的市場競爭中健康平穩發展。

1 企業內部控制制度建設存在的問題

1.1 對內部控制制度建設的認識不足，風險管控意識薄弱

盡管我國已發布《企業內部控制應用指引》，但企業對于內部控制建設仍處于探索階段。企業領導者對于企業管理仍然是重點圍繞如何盈利，對內部控制管理意識和風險管理是缺失的，對建立內部控制制度加強和對業務流程風險環節和決策環節控制的不認同，甚至認為內部控制制度是繁瑣的，束縛業務活動拓展，影響企業發展。有些企業管理層對建設內部控制制度完全沒有意識，沒有制定與企業業務相適應的內部控制制度；有些企業為應付監管部門的檢查，制定了內部控制制度，但未對存在風險的業務加強風險管理，進行風險評估，不能將風險管理有效落實形同虛設，內部控制工作流于表面，導致內部控制制度和內部控制工作難以得到有效的保障。

1.2 企業內部治理機制建設不完善，影響內部控制制度的實施效果

內控制度建設是一項系統工程，需要完善的治理結構才能保證企業內部控制功能發揮，才能促進企業內部控制制度的有效運行。如果企業沒有建立與公司情況相適應的治理結構、公司各層級職責權限的制定不明確、公司的權力制衡存在缺陷，就會影響內部控制制度實施的效果。但企業經營者往往注重企業經濟效益，而忽視對企業內部治理機制的建立和完善，企業內部董事會、總經理和監事會之間職責劃分不清晰、定位不準確，特別是企業董事會作為內部控制和風險管理的核心，董事會沒有在內部控制建立完善的內部監控體系中負起總體責任，導致各級部門與各層級對自己的工作任務難以形成一個清晰而完整的認識，所制定的內部控制制度難以執行，阻礙了企業內部治理機制的建立和完善。

1.3 內部控制制度發展滯后，與業務流程脫節

企業內部控制制度設計應要結合與公司的經營情況以及長遠發展戰略目標。有些公司在制定內控制度時，沒有對公司架構、部門職責、業務流程進行梳理，未能按照內控指引要求制定相關管理制度，制度內容不完善、不具體，控制風險的措施未有落實，高風險業務制度缺失等，導致制度不能滿足企業的管控要求。

企業內部控制制度管理方法簡單和手段落后，公司的業務部門職責不合理，各業務環節和流程步驟未能全面納入到內控制度體系中，職務或崗位的設置未能起到相互分離和監督，造成實際業務操作未能按制度規定流程執行、審核審批手續不完善等執行風險。

企業內控制度是需要隨著公司的發展，定期進行制度完善及修訂。有些企業未能結合公司的發展和實際情況對制度進行完善及修訂，造成制度業務流程與實際業務流程脫節，導致制度建設落后于實際操作，難以有效指導開展工作。

1.4 內部控制監督機制不健全，內部審計未能發揮作用

企業在內部控制制度生效執行過程中，需要對制度設計和執行的有效性進行定期監督和評估，防止內控制度出現因客觀原因改變而不符合實際操作情況。但實際操作中企業內部缺少對內控制度的監督，企業內部審計人員和審計委員會對內控的監督不到位或獨立性不夠，對于發現的內控問題，未能及時責令相關責任部門采取整改措施或整改不力，未能對存在風險的業務進行監督和上報企業董事會，未能對存在的內控風險進行控制防范內部控制失控造成公司重大的損失。

2 完善企業內控制度的建議

2.1 加強全員風險管控意識，提高風險管理水平

首先，企業的管理層要強化風險意識，在內部控制制度活動中起著帶頭的作用。企業在生產經營活動過程中，就會面對各類風險的出現。加強內部控制管理是防范風險的有效手段，通過風險識別進行風險評估，采取風險控制措施，將企業生產經營風險有效在遏制，使公司業務活動規范化，才能確保企業可持續發展。

其次，為提高企業的風險管理水，便于企業管理層對戰略經營管理過程中的風險進行辨識、分析、評估以及應對，企業應編制風險清單。企業參照內控法規，圍繞內部環境、風險評估、控制活動、信息與溝通及內部監督五項要素，從內部控制目標設定出發，對公司每一業務循環中所涉及的業務流程中的潛在風險進行辨識、分析、分類、評估和應對，形成與企業業務相適應的一套風險管理機制體系；便于公司管理層對業務循環中面臨的可能對經營管理目標造成影響的潛在風險進行辨識后形成的基本判斷，讓公司管理層對風險對應事件的發生頻率和產生的后果損失進行量化評估；讓公司管理層對風險如何進行控制有明確的選擇策略。

最后，應對企業廣大員工尤其關鍵崗位業務人員加強內部控制制度規范宣傳，提高員工對企業風險管理的認識，使員工認識只有降低企業風險，才能確保企業生產經營的安全性。

2.2 設立公司治理結構，完善公司治理機制

企業只有優化內部環境，才能確保內部控制度的制定和有效實施，明確企業內部董事會、總經理和監事會之間職責劃分、定位，特別是企業董事會作為內部控制和風險管理的核心責任。企業應當根據依據《內部控制基本規范》規定設立公司治理結構，制定治理結構的相應制度，明確治理機構議事規則，各機構嚴格按照規則執行相關職能，明確董事會在內部控制制度建立的主體責任，明確公司各部門對內部控制制度的責職，如：明確公司人力資源部門制定并不定期優化公司的組織結構圖；公司辦公室負責業務流程的梳理，各部門負責崗(職)位說明書和權限指引的編制等，使各部門、崗位之間、上下級之間的工作關系更加清晰、順暢、協調，明確工作程序，努辦構建部門之間、崗位之間、各工作環節之間的橫向制約和上下級之間的縱向監督機制。

2.3 完善內部控制制度，規范業務操作

企業需要建立適合公司經營發展情況及長遠發展目標的內部控制制度，通過制度來規范公司各項業務的操作，努力避免或降低公司在經營過程中存在的風險。

企業要完善制度體系建設，首先要組建內控項目組，需要從各業務部門調配公司業務熟悉且富有管理經的人員參與制定與企業結構符合的內部控制制度。明確內控制度要適合企業長期戰略與長遠發展目標，制度要長久、有延續性，對照五部委發布的《企業內部控制應用指引》的18個應用指引制定與公司現狀相適應，能提升內部控制活動管理制度，包括：(1)編制公司各業務編制業務流程圖，明確主要業務環節的節點，對業務流程中潛在的風險制定控制措施；(2)制定授權審批制度和授權權限指引，明確崗位權限范圍、程序和責任，規范授權管理；(3)系統分析梳理業務流程中的不相容職務，列示業務管理中不相容職責表，形成相互制約的工作機制。

企業在完善制度建設中要審查公司現有管理制度與內控流程，對公司層面和業務層面的內控現狀，參照內控應用指引，開展內控合規性的分析，根據內控評估和流程梳理環節發現的設計問題，提出修改意見，下發確認核對后，形成“內部缺陷與整改方案”然后將現有內控措施和整改方案有機整合后，按照內部控制對標情況，編制與業務流程相對接風險控制手冊，作為公司規范業務操作，防范業務風險的依據。

2.4 加強內控監督機制，確保制度有效實施

企業除了制定適用的內部控制制度來規范業務操作，還需要建立與實施內部控制情況的內部控制監督機制，對內部控制進行日常監督與專項監督，對企業關鍵控制活動等發生調整或變化情況進行的持續性的監督檢查，確保事后監督和事前監督的有機結合。企業應建立內部控制監督制度，對內部控制的活動進行檢查、監督、考核機制，把內部執行切實落實到實處。包括：(1)確定企業內部控制監督的范圍，明確對企業在關鍵控制活動發生調整和變化時如何進行監督；(2)確定對內部控制缺陷認定標準，明確對監督過程中的發現的內部控制缺陷應如何提出整改方案，明確對重大控制缺陷的上報流程；(3)制定與企業經營業務、環境和發展相適應的內部自我評價的流程和次數等。

企業應明確內部審計部門作為內部控制的監督機構，負責監督內部控制活動的有效實施，內部審計部門對內部控制制度的合理性、有效性進行全方位跟蹤審計，對內部控制制度在具體執行過程中的可行性作判斷，包括：(1)加強對內控控制度的檢查，對內控制度運行過程中存在的缺陷提出整改建議，并形成內控缺陷整改報告；(2)對內控監督過程中發現的內控缺陷，特別是重大缺陷直接向管理層提出整改，防止風險發生，保護公司資產；(3)對公司內控體系運行情況進行定期有效性評價，形成內控自我評價報告，持續推動內控體系建設實施工作，把內控制度建設作為一項重要的日常工作。