中国石油辽阳石化公司 潘大强

美国安然、世通等公司舞弊案的发生，促使美国出台了《萨班斯-奥克斯利法案》，要求上市公司管理层对公司内部控制发表独立性的审计意见。笔者所在企业是集团公司下属的地区企业，集团公司在美国上市，必须遵循上市地的监管要求，自2003年起开始着手内部控制体系建设，按COSO框架，从控制环境、风险评估、控制活动、信息与沟通、监督五个方面，逐步建立起对各项经营管理活动全方位覆盖、全过程监督的内部控制体系。通过建立健全内部控制体系，不但满足了资本市场监管要求，而且在强化企业管理、提高企业竞争力方面取得了显著的成效。

一、企业内部控制体系情况

集团公司采用《COSO内部控制整体框架》作为内部控制体系的基础框架，同时汲取了COSO《企业风险管理框架》和《中央企业全面风险管理指引》中全面风险管理理念及相关内容，进行了内部控制体系建设，总体目标是：贯彻落实国资委全面风险管理要求，全面推进内部控制管理工作。建立起集团公司统一的，以风险管理为核心，较为完善和有效运行的内部控制体系，为企业又好又快发展提供有力保障。

笔者所在地区企业按集团公司的要求，从梳理主要业务流程出发，在优化或再造业务流程的过程中，对企业已有的规章制度重新评价、规范，以适应新的内部控制制度的需要，将管理制度嵌入到控制流程中，并认真进行各业务流程的测试与评价工作，逐步完善了内部控制体系。经过反复的内部控制测试和评价工作，在2005年建立健全了《企业内部控制手册》，并在2006年第一个执行年，以“零缺陷”通过了外部审计机构的测试。每年总经理和总会计师都要对企业的内部控制有效性发表声明，并对内部审计中发现的控制缺陷负责。通过实施内部控制，完善了企业风险防范机制，提高了企业管理控制能力。

二、企业现有内部控制体系存在的问题及原因

COSO报告对内部控制的定义:“内部控制是由企业董事会、经理阶层和其他员工实施的，为运营的效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程”，主要由控制环境、风险评估、控制活动、信息与沟通、监督五个要素构成。企业在实施内部控制上虽然取得了突出成绩，但在这五个要素方面仍存在一些问题，集中表现在以下方面：

（一）内部控制的执行力不足

内部控制的生命力在于执行，任何好的制度和管理方法如果没能得到有效执行则形同虚设，在企业内部控制执行过程中出现执行不力现象。一是有些部门的领导对内部控制体系的长远发展、总体性认识不足，存在“通过外部审计内部控制工作就结束了”的错误认识，不认真执行内部控制制度。或者在日常工作中虽然知晓制度的规定，但不如经验更有效，怕麻烦图省事便不按制度执行，使制度流于形式而失效。二是企业的性质决定了企业更多关心的是自身利益，目标是追求企业利益最大化，在制度与利益有冲突时有可能饶过制度办事。目前在企业管理层面上的恶意违规操作导致内部控制失控现象基本可以得到控制，但出于本位主义考虑各部门自身利益所发生的避控行为仍然存在。三是重大风险事件仍然没有得到有效遏制。特别是一些长期存在的问题仍没得到有效控制，出现了有制度不执行的现象。例如：固定资产转资不及时；物资采购中仍存在合同签定不及时、为平衡各方利益导致招标失去公平等现象。

（二）内部控制手册与实际业务存在差距

作为在美国上市的公司，集团公司在实施内部控制时必须严格遵循《萨班斯-奥利斯利法案》的规定，根据SOX404条款的要求，聘请内、外部专家进行内部控制业务流程的设计，同时借鉴了西门子公司的内部控制经验，在推行内部控制体系时强调按COSO控制理论进行编制。集团公司希望通过建立全部覆盖、严密控制的控制体系，将企业风险降至最低，所以在控制环节和控制重点的设计上尽可能做到全面、严密，致使内部控制手册执行过程中，不少流程让使用者在操作时感到难度较大，需要投入的资源较高。集团公司规定：流程中关键控制点的控制各地区企业必须遵照执行，地区企业无权改动集团公司下发的内控模板中涉及关键控制点的内容，只能根据模板来修改自己的规章制度来适应关键控制点的要求，造成关键控制点的风险描述和控制措施与地区企业存在差异，如果硬性执行反而存在风险。同时文化差异带来了执行效果的差异，如美国文化强调记录，注重“锱痕”，所有控制过程强调留痕，当事人必须对自己的签字负责，在实际工作中人们对“锱痕”的认识还存在较大的差距，为应付内部控制的检查过分注重表面的留痕工作，而忽略了对过程的实质控制。

（三）内部控制体系缺乏适应性

由于内、外部环境的变化企业业务和管理不断创新，机构和业务流程相应地会有较大的调整，现有内部控制手册不能覆盖所有的业务领域，相关的控制环节和重点发生了较大的变化，需要对内部控制制度重新修订。但内部控制手册每年初发布一次，所有的流程变动只能等到合适的时机再统一进行修改、完善，手册的修改跟不上业务的变化，造成一段时间内无章可循，使内部控制失去连贯性，暴露出内部控制体系缺乏适应性的缺点。

目前企业的内部控制面临最大的挑战是即将实施的ERP系统，ERP系统是基于先进的企业管理理念上高度集成化的信息系统，是“一套将财会、分销、制造和其它业务功能合理集成的应用软件系统”，对企业而言，ERP首先应该是管理思想，其次才是管理手段与信息系统，而ERP的核心管理思想就是实现对整个供应链的有效管理。实施ERP系统后，企业所遇到的业务风险一般来自四个方面：业务流程、应用架构、数据质量和技术架构。其中，业务流程的转变对企业内部控制的影响最大，对企业内部管理和财务方面的监控提出了新的要求，这方面的风险特征相比过去发生了根本性的变化。ERP实行的是流程化的管理，打破了原来职能部门的条块分割，实现了企业资源的统一管理和共享。企业的运行和管理在一定程度上已经交给了ERP系统来进行控制。这样一来，一方面导致企业所处的内部风险环境发生了变化，过去手工状态下的控制风险，由于ERP系统的引入而变得更加复杂；另一方面，ERP系统的实施需要对原有的业务流程进行优化和设计，改变了企业的组织结构，因此研究和制订ERP系统下的内部控制体系，是当前企业内部控制面临的重大课题。

三、完善企业内部控制体系的对策

内部控制的目的在于实行有效的控制，如何消除内控控制中的隐患，确保有效控制是内部控制研究的重点。针对企业上述问题，结合内部控制的实际情况，提出以下几点建议：

（一）倡导诚信企业文化，营造良好的控制环境。

诚信经营既是资本市场监管的要求，也是一个企业基业长青的保证，在COSO控制五要素中，控制环境是基础。为营造良好的控制环境，一是确保内部控制体系的权威性。内部控制已经成为企业科学管理的重要手段，成为企业软实力的重要组成部分，通过实施内部控制形成以制度来管理企业的经营理念，而不是以“一把手”的意志决定企业经营风格。二是强化“一把手”的责任意识，建立并推行企业高级管理层的职业道德规范，将职业道德建设列入企业高管的考核内容。各级领导应该以身作则遵守内部控制制度，不允许滥用职权、逾越控制，导致内部控制的信任度和威慑力下降，控制制度失效。三是强化素质教育以提高员工的胜任能力。建立并推行员工职业道德规范，通过总经理讲话、下发文件等不同形式将其介绍给员工，通过印发学习资料、利用网络或开设职业道德建设学习栏目等多种形式开展培训。企业监察部和人事处等部门根据企业管理层的授权，对员工遵守职业道德的情况进行监督。四是建立以业绩为基础的激励机制。针对不同层次的员工，分别制定企业高层领导、管理人员、操作人员及服务人员的业绩考核管理办法，形成较为系统规范的业绩考核评价体系。

（二）建立内部控制体系的优化机制

内部控制本质上是设计者在一定时空条件下的一种制度设计，它要受到设计者自身水平和企业当时条件的限制。在管理学上，建立一套科学的管理体系，还要符合现代企业规范化管理的原则。首先内部控制的设计原则需符合国家法规、适应企业特点和管理要求，切合企业管理的技术水平并与企业其他管理制度相协调。其次控制流程要随业务流程的变动而不断更新。建立对经营单位以防为主、对业务单位以堵为主、对内部管理以查为主的三层控制框架。重点关注对高风险领域的风险控制，对于风险相对集中的业务领域，随时做好风险识别和控制。例如：重大项目投资、物资采购环节、货币资金管理、安全生产等。最后加强内部审计的作用。开展内部控制测试，评价内部控制体系的科学性和健全性，通过管理层面测试评价企业的控制环境，通过业务层面测试发现业务流程中的控制不足，加深对COSO理论精髓的理解，在注重控制形式的基础上，更突出实质控制。内部控制手册需不断的调整和修订，逐步构建一个符合SOX404条款、PCAOB第5号审计准则要求的控制体系，使其更符合企业自身的特点，提高运营效率和效果。

（三）降低实施ERP系统的内部控制风险

ERP的实施，使财务与业务一体化处理和实时监控成为现实。系统数据在传输过程中最大限度地减少了人为干预，但是，如果在基础数据录入时产生失误，或者系统误操作，将直接影响最终结果或导致后续工作无法进行。因此数据的符合工作必须从源头开始，对所有业务集成会计凭证数据录入情况进行即时监控与审核，在数据信息未进入系统运算程序之前，就进行有效地复核，保证输出结果的正确。同时强化权限管理，严密ERP系统的使用、维护、审批权限控制。在ERP实施过程中要将企业内部控制体系有步骤地融入ERP环境当中，并将由信息技术带来的风险纳入新的内部控制之中。坚持不相容职务分离原则，加强对ERP系统使用者的计算机水平和专业知识的培训，提高员工的风险防范意识。同时通过定期风险评估，对关键业务流程的内部控制点进行定期分析，使系统运行的每一个过程都处于严密控制之中。

席卷全球的金融风暴再次诠释有控则强、失控则弱、无控则乱。2008年月，财政部、证监会、审计署、银监会、保监会联合发布了我国首部《企业内部控制基本规范》，标志着我国企业内部控制体系建设走上了法制化、规范化的轨道，因此完善企业的内部控制具有重要的意义，它是企业基业长青的有力保证。

[1]杨雄胜.内部控制理论研究新视野[J].会计研究,2005,(7):49-54

[2]张连起.中国式内部控制之短板弱环与第一要务[J].财务与会计,2006,(8):7-9

[3]龚杰、方时雄：企业内部控制：理论、方法与案例[M].浙江大学出版社，2006