当前位置：首页> 安全验证

安全验证

时间：2023-12-02 09:18:56 下载该word文档

内部控制：从设计合理到执行有效的飞跃——基于A公司内部控制实践看我国企业的内控建设
李晓慧;沈树忠;赵晓红;康学敏;胡建忠
【摘要】本文以在美国上市的A公司为例,介绍了A公司为满足美国资本市场监管要求,选用COSO内控框架进行内部控制体系设计并积极执行的情况,引申思考了中国企业在经历"要我做"到"我要做"并必然走向"做我要"的内部控制建设中值得注意的六大问题,提出了中国企业内部控制从设计合理到执行有效飞跃过程中要解决的七大关键问题.
【期刊名称】《会计之友》【年(卷,期】2008(000028【总页数】4页(P62-65【关键词】内部控制;建设;有效
【作者】李晓慧;沈树忠;赵晓红;康学敏;胡建忠
【作者单位】中央财经大学会计学院;中国糖业酒类集团公司;中国五矿集团公司;中国通用技术(集团公司;中国石油天然气公司【正文语种】中文【中图分类】F2
从国际上内部控制规范建设情况来看，伴随着近十年令人震惊的公司丑闻和失败事件，新的立法、标准、准则以及指南也相应出台，如COSO（美国反对虚假财务
报告委员会下的发起委员会）、特恩布尔（英国）、COCO（加拿大特许会计师协会下的控制标准委员会）以及2002年的美国萨班斯——奥克斯利法案（以下称为萨班斯法案）等。在中国，2006年上海证券交易所、深圳证券交易所分别发布《上市公司内部控制指引》，国资委出台了《中央企业全面风险管理指引》，财政部成立了中国企业内部控制标准委员会，组织起草了《企业内部控制规范——基本规范》和17项具体规范的征求意见稿，旨在促使企业构建起完善的内部控制体系和机制。国内外内部控制规范已经覆盖了全球所有的资本市场，内部控制日益成为企业进入资本市场的“入门证”和“通行证”。中国企业无论是走向世界或是在国内市场生存发展，迫于市场及其监管的要求，都要建立并实践完善的内部控制体系。
从内部控制理论沿革的轨迹分析，内部控制经历了由内部牵制、内部控制制度、内部控制结构到内部控制整体框架的变化；由零散的内部控制、专项的内部控制、系统的内部控制到综合的内部控制的变化；伴随着内部控制的要素从“三要素”到“五要素”到“八要素”的变化，其形象图从平面图到三面锥形图再到八面立体图，这不仅是概念的翻新、控制内容的深化，更是其包含属性的演变，是由自发的无意识的内部控制，到自觉的有主观目的内部控制，再到有管制、规范要求的他律性的内部控制过程，这为内部控制的实践拓展了更加广阔的平台。
从中国企业内部控制的实践观察，我国对内部控制的研究和实践起步较晚，在20世纪90年代才得到发展。目前多数上市公司是由原国有企业进行股份制改造而来的，其管理和内部控制水平参差不齐，有些企业甚至连基本的内部牵制都达不到，大部分企业的管理和控制水平处于内部控制结构阶段。但基于国内外市场及其监管的要求，中国企业又急切地认识到建立完善的内部控制的意义，迫切需求构建起完善的内部控制体系，正在经历“要我做——我要做——做我要”的转变。内部控制的“要我做”阶段，就是企业在外界市场和政策的压力下，被动、形式化地建立
内部控制，内部控制多属于“挂在嘴上说，放在桌上看”的“摆设”；内部控制的“我要做”阶段，就是企业从生产经营中的风险认识到要实践内部控制，以减少企业纯风险发生的可能性，但内部控制建设仍处于“法规政策要求什么做什么”、“人有我有”的阶段；内部控制的“做我要”阶段，就是企业从整体战略和风险的角度出发，主动利用实践内部控制为实现公司目标服务，为企业价值增值服务，内部控制在政策规定的框架下随着实践个体的丰富而各具特色。目前，中国企业正在经历“要我做——我要做”的转变，也必然要走向“做我要”的阶段。为此，笔者以A公司内部控制实践的经验，讨论我国企业内控建设中如何促使企业实现内部控制从设计合理到执行有效的飞跃。
A公司发行的美国存托股份及H股于2000年分别在纽约证券交易所及香港联合交易所有限公司挂牌上市。为遵循上市地监管的要求，2005年，A公司由总裁负责，各部门负责人参与，内部控制部牵头，进一步完善了内部控制。（一）构建和完善内部控制的具体步骤
为了符合美国资本市场监管的要求，A公司按照以下流程构建和完善内部控制：1.明确内部控制建设计划。
（1）启动阶段，主要完成了管理的组织架构和前期培训，全面了解法案和COSO框架的内容及要求，明确工作目标，编制工作计划。（2）体系建设阶段，完成体系建设的范围界定、开展流程描述和风险评估；通过建立风险控制文档进行差异分析，查找控制的缺失并进行改进；随着与萨班斯法案配套的审计准则和规范的陆续出台，在前期梳理流程和风险分析的基础上，初步建立起内控体系，形成“统一设计、集中培训、试点先行、全面推广”的工作推进方式。（3）实施改进阶段。实施公司内部控制体系，明确公司层面控制和业务层面控制的关键控制，开展体系试运行，并进行符合性检查；（4）测试与审计阶段。按照“测试－整改－再测试－确保有效”这一主线，公司开展管理层测试并接受外部审计，在此基础上实施跟踪
整改。确保在年度外部审计中，每年都对内部控制进行审计与测试，以持续开展内控体系维护及改进，保证体系长期有效运行。2.流程描述、风险控制分析。
在总裁负责下，由内部控制部门牵头，直接参与人员约1600余人，对照COSO标准以及国外内部控制的最佳实践，展开业务流程描述、风险控制分析。具体流程为：业务流程描述→在每个流程中通过风险识别机制确定重大风险点→对重大风险进行控制→确定关键控制环节→识别关键控制点。3.形成内部控制管理手册。
公司按照补充、完善、填补空缺循序渐进的路径对涉及的10000余个相关制度、规定和规范进行了制定、修订和完善，完成了2.1万余个流程图的绘制、1.2万余个风险控制文档的编制，梳理完善文件制度近8600项，覆盖了公司主要经营管理环节和岗位，建立起完整的内部控制文档化体系，把过去零碎、局部的制度完善为一个统一整体，并在整体上强调基础制度的统一与规范。（二）落实内部控制的具体措施
为了使花大力气完善的内部控制真正得到贯彻落实，A公司从上到下、从下到上实施了全方位的改善：
1.以内部控制体系框架为指引，分解企业的工作目标，协调内控与企业发展目标。从控制环境、风险评估、控制活动、沟通与监督5个方面分解企业的目标，围绕目标落实每个部门和人员的工作责任，共同为企业价值增值服务。
2.重新构建企业组织构架，明确职责与权限，为实践内部控制提供组织保证。为了保证在总裁领导下的决策、管理、执行、监督四个层次的管理架构真正形成一个开放性的、动态循环系统，内控项目建设委员会、内部部门、审计监察部门等内部控制相关部门的职责明确分工。
3.动态评估中促使内部控制不断改善，使企业形成一个开放的动态的控制循环。

由于本身固有的限制、由于企业经营管理活动变化以及人的因素，设计再完善的内部控制也会出现控制无效的现象，因此，为了减少内部控制失效的概率，需要不断对内部控制设计及其运行进行评估，并在评估的基础上提出相关咨询意见，通过信息和沟通的传递促使内部控制在不断纠正改善中形成一个科学、合理的动态控制循环。
A公司的动态评估是以自我评估为主的持续监督结合内部审计或稽查部门的独立评估，通过汇总、报告以及传递缺陷报告来完成其使命的。4.签署责任书，建立激励和约束机制。
A公司在落实职责方面，通过“两卡一表”来明确责任与规范，各单位普遍建立本单位各部门、下属各单位的《内控工作执行要点卡》,明确每个部门的内控职责；在执行层面，各单位编制《员工岗位内控执行卡》，明确每个岗位的内控职责。同时，通过部门审计的规章制度表来明确各个部门必须执行的制度。在此基础上，各个部门领导和各个岗位负责人签署责任书，明确各自对内部控制的责任，公司也将内部控制执行作为一项重要指标，纳入对高管人员的业绩考核中，内控考核权重占业绩考核的5%。为落实考核工作，制定了《内部控制执行考核暂行规定》，明确了考核标准，成立了内部控制执行考核小组。地区公司对内控考核指标实行层层分解，落实到了具体的部门、岗位和个人，为内部控制有效执行提供了保障。随着经济全球化进程的不断推进，我国政府正在着力加强企业内部控制规制的建设，我国企业也积极尝试建立和完善适应市场化竞争要求的内部控制机制。近年来，已有为数不少的象A公司这样的企业，已经或正在推行和实施内部控制，并取得了可喜的成效，积累了宝贵的经验，为中国企业提供了有益的启示和借鉴。（一）值得进一步思考的问题1.内部控制构建与运行成本较高。
以A公司为例，该公司在根据上市地监管要求推行内部控制过程中，虽然没有采
用“推倒重来、另起炉灶”的方案，而是对原有的控制进行“持续改进”，但按照COSO框架设计内部控制时，公司想方设法做到设计全面、追求“尽善尽美”，花费了大量成本。
2.企业管理层对实施内部控制态度暧昧
现实中,往往由于以下原因：（1）开展内部控制要花费大量的人力和费用；（2）实施内部控制在某种程度上降低运营效率；（3）由于“水至清则无鱼”效应，害怕规范的内控程序限制了各级管理层的自由空间，管理层的权力受到分散和制约，往往导致企业管理层不愿意或不积极推动内部控制的实践。3.内部控制的控制目标存在“近视”问题。
在控制目标上，现阶段内控体系建设主要是应对上市地监管要求，主要侧重于财务报告可靠性的控制，即建立内控体系基础框架，补充、修订相应制度，重点关注与对外披露财务信息密切相关的流程和关键控制，达到满足外部审计和对外披露的基本要求，只是“达标”设计，还不能满足公司现代化管理的要求，更不能满足企业全面风险管理的要求，容易走向敷衍监管、应付测评的不利境地，无法真正达到强化控制、防范风险的目的。
4.内部控制规范性与特殊事项例外性的冲突。
能够形成规范的内部控制制度的内容具有普遍性与固有性，但企业在激烈的国际市场竞争中求存生，如果被固有的制度所束缚，不能灵活应对新市场、新技术和新业务等带来的风险，所有的变化带来的例外事项将会冲击规范的内控制度，也会给企业带来更大的风险。为此，内部控制在实施中要权衡其规范性和例外性，尽量避免过分强调规范性而把企业约束死了，但也要避免过分关注例外性而把内部控制束之高阁。
5.内部控制与企业现有管理制度缺乏有效地融合。
任何一个企业都已存在预算管理、质量管理、成本管理、绩效考核等诸多领域的管
理制度，这些制度体系本身也都包含有内部控制的思想，而企业根据上市地监管要求设计的内部控制体系。主要是从满足上市监管要求的相关条款出发展开的。在现实中常会出现内部控制体系与其他相关制度的不衔接、不匹配、不融合，甚至出现相互制肘、互相排斥、相互矛盾的情形，增大了内部协调和统筹的成本和精力。在不能清晰界定内控制度和其他制度关系的企业，就容易产生同样的控制行为在内控体系和其他制度同时实施而撞车，或者因为相互依赖结果相互推诿的情形，让人感觉到“花费很大精力建立的内控起不到多少作用”，进而影响企业治理层、管理层以及员工对内部控制的遵守情况。
6.内部控制信息平台不统一，难以对内部控制形成有效支撑。
与国际上高效快捷的信息系统控制相比，我国企业由于系统整合程度低、软件平台不统一、信息系统不兼容等原因，存在着信息系统没有包容所有控制对象、线上控制与线下控制并行、信息标准不统一、不规范等情形，导致控制不到位，控制信息杂乱，控制效率不高，弱化了控制效果。
（二）启示：内部控制从设计合理到执行有效飞跃的关键
考察A公司落实内部控制的情况，尽管它是为了在海外上市而按照COSO内部控制框架建立和实践内部控制的，但从中得到的启发应当引起我国所有企业的关注：设计再完善的内部控制，在执行中也总会遇到这样或那样的问题，更何况企业内部控制设计时，也要考虑成本效益的因素，因此，企业在内部控制建设中，不能一味追求最先进的最完善的内部控制制度，而是要讲究适合企业自身的内部控制体系，讲究内部控制执行有效。现实中，如何实现内部控制从设计合理到执行有效的飞跃呢？
1.构建适合企业实际且遵循“简单、有效和可控”原则的内部控制。
企业在构建和实践内部控制时，由于不同所有制形式、不同组织形式、不同业务范围、不同规模的企业在实施内部控制中有不同的要求，这就要求企业必须立足实际
情况，实行创新。即在按照《企业内部控制规范》中内部控制的实质和框架要求，企业要更多地从内控的体系化、系统化这一维度审视企业治理和管理体系，使内控渗透、融合到其他制度中去。同时，企业内部控制规范必须与我国企业所处的具体环境相协调，必须与国家有关法律法规相协调，必须与企业经营管理实践相协调。在这个“实事求是”的过程中，企业内部控制建设力争做到把零碎的管理系统化，要极力避免把简单的管理复杂化。通过系统，简化和规范管理的规程，提高管理要效益，并站在企业整体战略层面上，逐步建立一套以防范风险和控制舞弊为中心、以财务报告内部控制为主线，企业各个部门、人员共同参与的不断改进、不断完善的动态的内部控制机制。
2.科学的公司治理结构是内控执行有效的关键一环。
公司治理是指股东、董事会、监事会、经理层之间形成的权责分配、激励与约束以及权利制衡关系。科学的公司治理结构包括民主、透明的决策程序和管理议事规则，高效、严谨的业务执行系统以及健全、有效的内部监督和反馈系统。由于企业最高管理者对内部控制和风险管理的态度、做法、决定是整个企业内部控制和风险管理的基调，也左右着企业风险控制，因此企业运行中要尽量避免管理者的绝对权威和不受约束的行为，避免管理者凌驾于内部控制之上。同时，要充分发挥独立董事和监事会的监督职能，坚决避免内部人控制现象的发生。3.内部控制要真正深入、融入到企业文化中。
公司的内控体系建设工作由设计到执行，可以说跨越了一大步，内部控制已经开始融入公司的企业文化，开始成为公司的管理规范。也就是说，从内部控制“我要做”转到了“做我要”的阶段。在内部控制“我要做”阶段，企业的治理层、管理层以及员工已经意识到企业必须建立内部控制，但往往是照抄照搬内部控制规范要求。由于内部控制的一般要求并非适合所有的公司，也由于每个公司自身的特征和条件，照抄照搬过来的内部控制运行成本和效益并不能匹配，让人们感到企业的内部控制
似乎是“外生的”。经过一段时间的磨合，企业终于明白，“外生的”内部控制往往会“运行成本大于运行收益”，内控仍然处于失控状态。于是，人们从确保公司持续、有效、快速发展的战略高度出发，从企业每个员工的责任感和使命感出发，提出开展嵌入企业经营管理过程中的内部控制建设，使企业内部控制进一步真正深入、融入公司文化。如此，公司内控体系建设不仅是为了满足上市地监管要求，如在美国上市要遵从萨班斯法案，更重要的是为企业的价值增值服务，为员工实现自身价值服务。这样，企业的内部控制“嵌入”于企业经营管理的方方面面，尤其从风险防范、控制等方面促使企业锻炼内功，凝聚企业的核心竞争力，使企业能够积极应对国内外市场的各种挑战。
4.落实常规控制和强化特殊风险控制的有机结合。
目前，每个公司都有各种各样的成文规范的控制活动，在形式上可以称为具有完善的内部控制制度，但许多控制活动（控制措施和方法）都被束之高阁或被熟视无睹，这是内部控制无法正常运行和发挥作用的关键所在，为此，研究如何构建完善的内部控制体系，不能仅仅在文字上、名词上下功夫，更应当在如何落实常规的控制活动上下功夫。
随着经济国际化、金融化和信息化的发展，企业的创新活动、新业务、新领域不断拓展，这些变化带来了越来越多的特殊风险。针对这些凸显出来的特殊事项，企业要动态地跟随经济形势和业务环境的变化，寻找对于公司来讲属于特殊或例外的事项，并对此专门设计和重点实施完善的内部控制和风险管理，才能使企业立于不败之地。
为此，常规内部控制的落实与特殊风险控制的强化是内部控制运行中的两大核心问题，这两个方面落实时都要“硬”，更要协调，否则，内部控制必然会出现缺陷，不仅不能起到发现、预防和纠正企业经营管理中的风险的作用，而且内部控制执行本身的控制风险也会增大企业的风险。

5.动态评估与监督是内控有效运行的制度保证。
内部控制监督是对内部控制和风险管理系统有效性进行评估的过程，可以通过持续性监督、独立评估或两者的结合来实现。巴林银行等事件告诉我们，当内部控制和风险管理内生因素——监督要素不能完善地发挥其作用时，外部的监督更具有间接性和时滞性，内部控制的实施效果更差。为此，构建完善的内部控制机制时，要具备这样的思路：标准明确的内容要用制度来规范，制度规定的东西一定要在实践中执行，执行后要留下管理控制的痕迹，管理控制痕迹要经得起验证。按照这样的思路，在公司整个运行中实施全面监督，即每年对每个部门、每个流程都要做自我评估；结合企业发展变化及其控制重点的变化，决定实施对管理者的监督评价的幅度和频率。同时，配合外部审计对内部控制的测试，保证内部控制在动态改善中为企业增进价值。
6.畅通有效的信息与沟通是内控有效运行的载体。
信息与沟通指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业风险过程中所需的信息，并交换这些信息。信息系统提供包括经营、财务等方面信息的报告，作为经营和控制企业的依据。有效的信息沟通不仅包括上下级之间的信息流动，还包括信息在各部门的横向流动。企业应当拥有“双向沟通通道”，即所有的人员都能够从上层管理部门获取准确信息，所有的上级部门都能够及时获取员工的反馈信息，从而使他们理解自己在内部控制和风险管理框架中的作用以及本人活动与他人工作的关系。信息沟通不仅包括企业内部的信息沟通，还包括与企业外部的信息沟通。企业只有拥有畅通有效的沟通与信息，才能在透明状态下使交易始终处于监督（内外监督）之中，才能更好地对风险予以管理，提高内部控制的运行效率。
7.目标设定和战略实施的协调决定了内控运行方向。
企业发展缺乏明确的战略目标是不行的，但如果战略目标缺乏相应的组织结构、管
理能力、资金技术等条件的支持，战略目标不仅不能够实现，还会使企业陷入更大的危机。为此，企业内部控制需要严格控制企业设计目标和战略实施的风险。也就是说，对于任何企业而言，企业目标的设定首先要适应市场的变化，但在跟进市场热点的同时，要培养起与战略目标相匹配的能够支持目标实现的技术、人才、资金与市场，否则，目标将无法实现，反而将招致更大的风险。从A公司内部控制管理手册的实施中可知，一个公司的内部控制要得到有效实施，首先要按照内部控制手册详细分解企业的目标，通过分解找到落实目标的路径以及明确实现目标可能遇到的障碍，并整合企业本身所特有的人财物等资源，寻找到保证目标实现的最佳路径，使企业的内部控制为企业价值增值做出应有的贡献。
从前文论述中可以看到，笔者对内部控制的进一步思考以及从中获得的启示是从象A公司一样的个案中总结和引申的，也许这些个案还不具有普遍代表性，但由于目前我国企业在构建和实践内部控制时面临的几乎是同样的市场、同样的政策背景（从大的方面来讲）、同样的内部控制基础（从部分或缺乏整体控制方面来讲），因此笔者可以初步归纳出这样的结论：无论企业目前的内部控制处在什么水平，所有的企业都正在经历“要我做——我要做”的转变，也必然要走向“做我要”的阶段。在内部控制建设中，不能也没必要一味追求所谓的“最先进”、“最完善”的内部控制制度，而是要一切从企业自身实际出发，从企业内部控制最为薄弱的领域出发，由点及面，稳步推进，构建最能满足本企业需求和特点的内部控制体系，从而在最大程度上实现内部控制的有效运行。

【相关文献】
[1]财政部内部控制专家委员会.企业内部控制规范（征求意见稿）.2006，（12）.[2]杨雄胜.内部控制理论研究新视野.会计研究