蔡念东

（江苏省广电有线信息网络股份有限公司，江苏 南京 210018）

近年来，内部控制常常被作为衡量企业管理水平高低的重要标志，内部控制作为企业生产经营活动的自我调节和自我约束机制，在企业生产管理中具有举足轻重的作用。

一、内部控制建设的重要性

1.内部控制是企业发展的“助推器”

内部控制是指围绕企业全面风险管理目标，将风险管控要求融入企业流程、制度、职责、考核、文化等方面，由企业决策层、管理层和全体员工，按照既定的风险管理策略共同实施的、贯穿企业经营活动的控制过程和管理方法，旨在保障风险控制目标实现的过程。通过实施内部控制建设，有助于建立良好的内部环境，能够为企业平稳发展打下坚实基础；有助于树立全面风险意识，及时识别、分析企业系统中存在的各类风险并合理确定风险等级以及风险应对策略；有助于持续开展内部监督，形成事前、事中、事后业务的监管和控制。企业通过实施自我调整、约束、规划、评价和控制等一系列内部控制的方法、手段与措施，不断适应企业改革发展的需要，助推企业系统又好又快发展。

2.内部控制是企业风险的“防火墙”

在实施内部控制过程中，围绕企业战略目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本程序，识别可能影响战略目标实现的潜在风险，对识别出来的风险，通过手工控制与自动控制，预防性控制和发现性控制相结合的方法，实施运用相应的内部控制措施，将风险控制在可承受范围之内，避免“小风险”酿成“大风险”，构筑了一道风险“防火墙”，为实现企业战略怒表提供合理保障。

3.内部控制是企业管理的“内视镜”

许多企业在实施内控控制建设之后，取得良好的效果，其成功的原因各种各样，但其中包含一个共同因素，那就是重新审视、调整自身的业务流程。笔者认为，实施内部控制建设的首要环节是对企业系统业务流程的全面、系统的梳理。内部控制的核心思想就是将与企业相关的各类风险控制在可承受范围内，从而确保企业的平稳健康发展。因此，在实施内部控制建设过程中，非常重要的一环就是根据全面性原则，系统梳理企业的业务流程，分析各种业务、各个环节中可能存在的风险，按照其性质和可能产生的影响进行分类，并分别采取合理的措施和适当的控制活动。这一过程，正如人的体检，通过对身体各个器官的全面检查，来判断自身的健康状况，并针对存在的问题对症下药。从这个意义来说，内部控制就是企业管理的“内视镜”。

二、实施内部控制建设存在的认识误区

内部控制为企业管理提供了一个规范性的管理框架，帮助企业系统规范管理，有效降低风险。但不可否认，在内部控制建设过程中，有的企业在对内部控制的理解上出现了四个方面的误区。

误区一：内部控制等同于财务控制或会计控制。

风险管理基本流程主要包括初始信息收集、风险评估、风险管理策略、内部控制、监督改进。在《企业内部控制引用指引》中，内部环境类指引（组织架构、发展战略等）和控制手段类指引（合同管理、信息系统等）中的大多数内容与会计控制无关或关系不大。因此，将内部控制等同于财务控制或会计控制是片面的，将实施内部控制当成财务部门的事，则过于局限狭隘。企业内部控制的目标一般包括确保将风险控制在与企业战略目标相适应并可承受的范围内，保障资产安全；确保遵守国家有关法律法规、企业规章制度，保障经营管理合法合规；确保财务报告、内外部信息沟通及相关信息真实、可靠；确保企业各项决策部署有效执行，提高经营活动的效率和效果，促进战略目标实现。在上述控制目标中，保障经营管理合法合规、确保财务报告、内外部信息沟通及相关信息真实、可靠是内部控制的基础目标，均与会计控制直接相关。我国早期的内部控制都是从基础目标开始的，但随着现代市场经济的持续快速发展，不仅要求企业必须围绕这些基础目标加强管控，而且必须在提高经营效率效果方面提到提升，最终促进企业实现发展战略。因此，会计控制既不是内部控制的惟一内容，也并非终极目标，内部控制的建设需要全员参与、全过程管控和全方位覆盖。

误区二：内部控制建设就是按《企业内部控制应用指引》规定的18项业务来开展工作。

不可否认，《企业内部控制引用指引》的发布极大地推进了内部控制的推广应用，但如果将两者画上等号，却有失偏颇。内部控制具有全面性，在内容上应覆盖企业所有业务、活动、功能和人员，而一些重要的业务活动，比如技术及商业秘密管理、法律事务、数据管理、制度管理、母子公司控制等，在18项应用指引中仍处处于缺项。还有一些与整个行业或单独企业有关的特殊业务或活动，更是没被纳入应用指引的整个体系中。所以内部控制建设就是按《企业内部控制应用指引》规定的18项业务来开展工作的认识是片面的，只有全方位的实施内部控制建设，才能使内部控制在本企业落地生根，并成为企业防范重大风险、提升自身管理水平的“利器”。

误区三：实施内部控制建设都能取得显著效果。

内部控制无论建设的程度如何，也只能作为为被审计单位实现财务报告目标提供合理保证的一种制度安排。内部控制实现目标的可能性受其固有限制的影响，这些限制至少包括以下方面：（1）在执行时可能出现人为错误；（2）控制可能由于内部人员串通舞弊而失效；（3）执行人员素质不适应岗位要求；（4）实施内部控制需要考虑成本效益原则；（5）内部控制一般都是针对常规业务设置的。从固有限制可以看出：一方面，内部控制有效性包括内部控制设计的有效性和内部控制执行的有效性，由于上述众多方面的原因，它只能为实现企业的内部控制目标提供合理保证，而不可能提供绝对保证；另一方面，从性质上说，内部控制只是企业内部管理的工具和手段，一个企业从其设立到最终解散过程中，面临着众多不确定因素，如政治、经济、自然环境等方面，有些因素变化带来的影响往往超出企业最大的可承受能力。

误区四：实施内部控制建设可以“毕其功于一役”。

在持有这种观点的人看来，内部控制是上级部门或上级领导交代的一项工作任务，因此，他们更多的是一种“被动接受”的思想。他们往往认为实施内部控制无非就是成立一下组织机构、印发几份文件或填写一些资料，短时间内就可以完成。此外，他们将内部控制和企业现有的管理方式和手段隔离开来，将其视为现行日常工作之外的额外工作，在这种思想下，“两张皮”现象就不可避免了。要扭转上述错误认识并在内部控制建设中取得实效，至少应通过以下方面的努力：一是内部控制应该是企业的一项主动行为。企业的治理层及管理人员只有正确认识到实施内部控制的重要性和必要性，才能变“被动接受”为“主动作为”。二是内部控制是一个持续改进的过程。任何企业的内部控制都不可能是尽善尽美的，应随着外部环境的变化、单位管理要求的提高、职责职能的变化，对内部控制相关文件不断修订和完善。三是内部控制嵌入在日常工作当中，与日常工作合为一体。实行内部控制建设并非是一项“额外工作”，它是对现有流程的改进，是对现有风险的防范，是日常工作的某一具体环节或要求。只有这样才能促进企业管理水平的不断提高，使内部控制真正发挥作用。

三、破解内部控制建设存在问题的出路

1.统筹协调是成功基础：重视各项准备工作，逐步推广实施

实施企业内部控制建设是一项系统工程，需要在全企业范围内统筹协调。重视和强化实施前的各项准备工作，是保证内部控制顺利实施的重要前提。内部控制建设的准备工作至少包括以下几个方面：一是公司董事会或类似权利机构对内部控制建设应予以高度重视，要发挥好建立健全和有效实施内部控制建设工作的领导和指挥的作用；二是内部控制应当从企业最高管理层到企业各职能部门、专业机构等各基层组织，上下统筹协调，缜密安排，结合企业经营的特点和管理要求，对现行内控制度和管理要求进行梳理优化，健全适合本企业实际的内部控制制度；三是化大力气加大对企业信息系统的改造，促进内部控制流程与信息系统的有机结合，实现对各类业务和事项的自动控制，减少或消除人为操纵因素。

2.人员是至关重要因素：树立正确认识，保证思想到位

“人”是企业中最重要最活跃的因素，是企业发展的源泉和动力。对于内部控制而言，“人”是制度的设计者，更是制度的执行者。因此，在企业系统内部控制建设过程中，企业员工作为最核心的要素，必须全员参与，在“上下联动、左右协同”的基础上，完善内部控制体系。首先，在企业管理层中树立“内控面前人人平等”的思想，杜绝管理层可以凌驾于内部控制之上的“特权思想”；其次，通过不同方式和途径，增强内部控制宣传贯彻力度，让内部控制意识逐渐内化于心、外化于行；最后，要充分发挥员工的主观能动性和积极性，广泛征求和收集员工对于内部控制的意见和建议，保障各项工作目标顺利实施。

3.风险排查和风险管控是重中之重：多措并举多管齐下，确保工作到位

在风险信息收集方面要动态化，应选取成本支出较大的基层单位或者部门，按照预算金额梳理大额成本支出的项目清单，对成本预算的规范性、经济性、效益型进行现场监督检查，建立风险清单，滚动性的开展风险信息的收集。在风险评估方面要科学化，要发挥业务管理部门的主体作用，对收集的风险进行认真分析，辨识风险类型、风险因素、风险成因、风险损失度，准确评估风险等级，科学确定风险的预警指标以及阈值。在风险防控方面要长效化，要采取岗位防控、部门内控、监督部门重点监控的方式，将风险防控融入企业经营管理和工作流程，强化日常监督和过程控制，健全完善覆盖全面、统一规定的内部控制体系和全面风险管理体系。在风险责任追究方面要常态化。坚持有权必有责、有责要担当、失责必追究，健全完善责任追究程序、机制，常态化开展风险监督检查，切实将风险管控的主体责任、监督责任、领导责任等压紧、压实。

4.信息技术是支撑手段：借助ERP平台，提升效率效果

内部控制是在企业内部实施的各种制约和调节的组织、计划、程序和方法，而这些组织、计划、程序和方法要得以实施，需要通过信息化的手段才能得以便捷地实现。如没有信息化，内部控制的成本极高，在现代企业中没有存在的意义。《企业内部控制基本规范》明确要求：“企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素”。在以往的企业管理中，由于管理手段落后，信息处理明显不及时。而以ERP系统为代表的企业资源管理系统则能将企业基本流程紧密串连，从业务前端到财务部门，数据可以被自动记录并生成凭证，使企业能实时掌握内部资源的运转信息。在信息共享的同时，ERP还利用嵌入式流程处理业务活动方式，实时采集和存储业务实际发生时的数据。由此可见，以ERP系统为代表的企业资源管理系统的使用能大幅度减少业务活动数据的重复记录量、降低数据核对工作量，消除了传统环境下的中间步骤，从而很大程度上降低了数据处理量和处理时间，增强了对业务过程中每个控制点的实时控制，使控制效率更高。

5.有效评价是推进动力：兼顾内外部视角，持续开展评价活动

在实施内部控制过程中，对内部控制进行评价是非常重要的一环。笔者认为，有效的内部控制评价应兼顾内部管理和外部审计视角，要同时站在企业管理者和外部监督者两个角度来进行评价。从企业管理者角度来看，他们更关心内部控制目标中的企业战略和经营的效率效果目标，实现价值创造和实施战略目标是企业发展的根本动力和最终追求，内部控制评价被当成为了上述目标的实现以及可持续发展而形成的一种自我需要；从外部监督者角度来看，他们则更侧重会计信息的真实性、资产安全及遵循法律法规目标，他们以查找企业经营管理中存在的问题为主要目的，内部控制评价被当成企业管理成效的一部分，这种视角在依法治企要求日益提高的形势下具有特殊意义。由此看来，有效的内部控制评价是内部控制有效实施的一项重要且必要的活动和安排。只有合理设计并正确应用内部控制评价系统，才能不断地促进企业内部控制体系的有效实施与持续改进。

6.企业文化是最终落脚点：打造优秀企业文化，确保企业平稳健康发展

企业的各项经营活动好比一泓湖水，企业文化好比千里长堤， 越是优秀的企业文化，规范制约越有无形的作用。笔者认为，判断一家企业内部控制建设是否最终取得成效，可以通过其企业文化得到验证。与内部控制相关的优秀企业文化至少包括以下方面：一是规章制度的执行。内部控制的表现形式往往是一系列的规章制度，而规章制度的生命力在于执行，具备了优秀的企业文化，规章制度将不再是冰冷的文件条款，而是员工的自觉行为。二是风险意识的塑造。倡导风险意识并非否定企业的自主创新或是固步自封，而是在对各类风险进行充分分析和论证之后，更有针对性地开展各种业务活动，是在保持谨慎态度下的积极进取。三是协调机制的建立。人与人之间的利益关系是社会关系中最为本质的关系，良好的内部控制利益协调机制，可以有效抑制利益的过度分化，实现各业务部门的动态平衡，从而形成相互包容、相得益彰、相互促进、平等竞争的良好局面，确保企业平稳健康发展。

四、结语

综上所述，通过企业内部控制建设，能够在很大程度上防范企业风险，在内部控制建设中，更需要统筹推进，激发员工积极性，借助信息化手段，开展有效的评价，最终实现企业文化价值的提升。企业制定并试行《内部控制手册》，进行组织架构调整，进一步加强企业内控建设，确保开拓经营和风险防控两个轮子都健康，在企业面临行业下滑的残酷态势下良好运行并实现全年经营目标。