浙江大学城市学院 徐修远

企业内部控制建设浅析

浙江大学城市学院 徐修远

一、企业内部控制建设背景

安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序。研究结果表明，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。从我国企业的现状看，企业舞弊层出不穷，其中的一个重要原因是缺乏有效的内部控制。2004年爆发的中航油（新加坡）公司破产事件，则是企业内部控制缺失导致经营失败的又一典型。为此，许多国家通过立法强化企业内部控制，内部控制日益成为企业进入资本市场的“入门证”和“通行证”，我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。

我国1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求，之后，财政部陆续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范，审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。温家宝总理在十届全国人大四次会议上作《政府工作报告》时强调，要“完善公司治理，健全内控机制”；2004年底和2005年6月，国务院领导同志连续两次就强化企业内部控制问题作出重要批示，其中，2005年6月，在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》上作出批示，同意“由财政部牵头，联合证监会及国资委，积极研究制定一套完整公认的企业内部控制指引”

在上述背景下，2008年6月28日，财政部、证监会、审计署、银监会、保监会等五部委联合发布了《企业内部控制基本规范》（以下简称基本规范）。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。

二、企业内部控制基本框架及体系

根据我国企业内部控制建设的总体规划，基本规范出台后，将出台一系列的内部控制规范应用指引。为此，2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

我国内部控制基本框架、体系如图1所示：

图1

基本规范是企业内部控制建设的总体要求，主要规定企业内部控制建设的基本目标、原则、要素；企业内部控制评价指引主要规范企业管理层如何开展内部控制自我评价工作；企业内部控制审计指引用于规范会计师事务所等中介机构如何对企业的内部控制体系进行评价并出具鉴证报告。

企业内部控制应用指引是基本规范的细化，具体指导企业如何结合自身实际情况，从哪些项目内容开展内部控制。应用指引由企业层面控制、业务层面控制组成。具体项目如下：

第一，企业层面控制。具体包括：组织架构（治理结构、机构设置、权责分配、问责制、内部审计、总分公司等内容）；发展战略（包括发展战略的制定、实施）；人力资源（对人力资源进行全方位、全过程控制，并强调绩效评价制度）；社会责任（包括社会责任的理念、制度、投入、管理、检查等内容）；企业文化（包括企业文化的建设、评估、风险控制等）。

第二，业务层面控制。包括：资金活动（包括筹资、投资、日常运营管理以及对资金管理中的高风险问题进行防范等）；采购业务（包括物资购买、款项支付主要控制点及风险防范等）；资产管理（包括存货、固定资产、无形资产管理控制）；销售业务（包括销售、收款控制）；研究与开发（包括立项、开发、知识产权保护控制等）；工程项目（包括立项、工程招标、工程造价、工程建设、竣工验收等全过程控制）；担保业务（包括担保的调查、审批、具体执行控制等）；业务外包（包括承包方的选择及具体执行控制）；财务报告（包括财务报告的编制、对外披露、内部传递运用等）；全面预算（包括预算的编制、审批、执行及考核等过程控制）；合同管理（包括合同的谈判、签定、履行过程控制）；内部信息传递（包括内部报告的分析形成、内部传递、结果运用等控制）；信息系统（包括信息系统的开发建设、日常运行维护等控制）。

三、企业内部控制框架体系特点

我国的内部控制基本框架体系主要有以下特点：

一是完全体现全面性原则。不管是基本规范还是具体的应用指引，在内容设计上，都强调企业内部控制是企业管理层的责任，强调企业开展内部控制工作必须全员参与、全过程开展，彻底摆脱一提内部控制人们就自然归结为单位财务部门职责的现状。

二是强化企业层面控制。为了改善企业控制环境，在应用指引的设计上，专门设置了企业层面控制，内容包括公司组织架构、企业文化、社会责任等，从而引导、帮助企业改善内部控制环境。

三是强调政府主导。无论是内部控制基本规范还是具体应用指引，都由政府部门主导起草、发布。在我国目前的经济、市场环境下，政府主导有助于企业自觉建立完善的内部控制体系，有效防范企业内、外部风险。

四是注重成本效益。企业执行内部控制规范将不可避免地发生成本，如果执行成本超过控制收益，那么将得不偿失。如美国的萨班斯法案，即存在企业执行成本过高的问题。为此，在起草过程中，重点对风险点、控制措施等进行描述。至于企业如何具体执行要求，则不再详细规定，而要求企业根据自身实际情况自行明确。

五是有效吸收国际先进经验。在基本规范的设计上，吸取了美国COSO框架的体例，同时，借鉴了国际上通行的其他有效做法。

四、对企业内部控制建设若干思考

结合基本规范，从今后的发展看，企业开展内部控制建设工作应关注以下环节。

第一，梳理、规范业务流程是内部控制建设的关键。具体到个体企业，要做好内部控制工作，关键在于梳理、规范业务流程。只有业务流程明确、清晰，才可能发现风险存在的环节，也才有可能针对关键控制点采取有效的控制措施。因此，要健全、完善企业内部控制，最基本的工作是要对现有的业务流程进行梳理、规范。具体的操作上，可以先把目前在用的流程全部以图表方式列出；在此基础上，对不合理的流程进行适当调整。

第二，制度建设是企业内部控制工作的基础。对个体企业而言，相关的控制措施主要的体现是企业执行的各项内部制度。因此，在对现有的业务流程进行梳理、规范后，应着手梳理、修订现有的内部制度。具体的操作上，应先梳理现有的内部制度，然后与现有的业务流程进行对比。对不符合现有业务流程的制度，进行重新修订；对有业务流程但未建立制度的业务，要按照业务流程重新建立制度。在制度中，重点体现对各类风险的控制措施。

第三，明确的岗位职责标准是控制风险的源头。企业建立内部控制，关键在于防范风险。这之中，必须建立清晰的岗位职责标准，明确每个岗位的工作职责、范围，从而明晰权利与义务，防止差错、舞弊的发生。

第四，内部控制建设需要企业各部门的通力协作、配合。一谈到内部控制，人们自然而然地把这项工作归集为财务部门的工作。正是基于这种担心，在规划应用指引框架时，已经尽可能多地考虑企业层面的控制如人力资源、组织结构等；在起草应用指引时，已经尽可能弱化财务概念的使用。事实上，内部控制绝对不仅仅是财务部门的工作，它是贯穿企业所有运营活动的一项工作，需要企业领导、全体员工共同参与。对企业而言，要建立起有效的内部控制体系，同样需要各部门的共同努力。

第五，内部控制建设应与企业信息化工作、风险管理工作实现有效整合。目前，相当多的企业已经开展信息化建设工作、风险管理体系建设工作，这些工作与内部控制建设存在着非常紧密的联系。如信息化建设工作，信息系统本身是一种控制手段，但是从内部控制角度看，对信息系统也必须进行控制；再如风险管理工作，内部控制的目标在于防范、降低风险，企业开展内部控制体系建设，将进行风险评估等。因此，在开展内部控制建设时，必须统筹考虑内部控制体系与其他管理体系的关系。

［1］刘玉廷、朱海林、王宏：《中国内部控制改革与发展》，《经济科学出版社》2010年版。

（编辑 向玉章）