浙江经济职业技术学院 郑 伟

《企业内部控制基本规范》实施探讨
——基于业务流程的分析

浙江经济职业技术学院 郑 伟

《企业内部控制基本规范》（简称《基本规范》）颁布后，于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。《基本规范》强调了风险管理，拓展了美国以财务报表为中心的内控体系，起点高，影响深远。然而，全新视角的《基本规范》也给企业的实施带来了不少的困难，企业如何结合实际设计与构建内部控制体系，并提高内部控制的实施效果，是摆在企业面前的现实问题。内部控制实施不是对现有企业管理体系的推倒重来，更不是独立于企业现有管理体系，而是基于组织理论的视角，对现有管理体系的整合。因此内部控制设计的基本出发点是将控制要素、控制目标的实现与企业的业务循环过程融合为一体，设计出企业据以执行的体现控制要求的业务运行程序、原则方法和制度，保证业务活动目标和控制目标的同步实现，从业务流程分析入手设计内部控制，有利于加速提高企业内部控制整体水准。

一、业务流程及其分析

（一）流程、业务流程及流程管理 流程就是完成一项任务、一件事或一项活动的工作环节或步骤，相互之间有先后顺序，有一定的指向。流程作为企业做事的一种方法，在企业管理中的作用越来越重要。业务流程是指企业为了确保经济业务活动的顺利进行，在明确各个岗位职责的基础上规定并实施的业务处理手续和程序。例如在材料采购业务中，企业规定应首先由申请单位或人员根据需要填写请购单，经计划部门同意，主管领导批准，然后由供应部门的采购人员负责采购，材料到达后，由供应部门和仓库保管部门负责检查验收，财务部门的出纳负责付款，会计负责记账。这样经过不同部门或人员，能够有效地防范和及时发现错弊，且有助于相互监督和制约。

企业必须根据自己的特性（行业环境、拥有的资源、具备的能力和掌握的知识）去选择做什么事情（确立目标与战略），如果将企业的业务流程比喻成一个输入输出的系统，那么其开端始于流程要素的投入，终于基于顾客价值创造的结果。基于业务流程的管理就是流程管理。在流程管理中，要有相应的单据记录、要有复核、验收、要有授权、审批。这些就是内部控制。因此，内控目标从属于管理目标，内部控制是企业风险管理的重要手段。

（二）企业业务流程分析 企业的各项业务流程都是围绕企业目标，为实现企业目标而存在的，那么从企业目标出发，考察各个企业业务活动的表现形式无非就是价值流、物流和资金流。根据企业内部资金流和价值运动，就可以构造出企业业务循环模型。对于一般制造业企业而言，其业务流程可分为销售与收款、采购与付款、生产与存货、人力资源与工薪、投资与筹资等业务循环。

二、基于业务流程分析的内部控制设计

（一）设计思路 企业的业务循环清晰之后，按照业务循环描述——风险分析——内部控制要点的设计思路，就可以构建基于业务流程的内部控制体系。这里的关键是如何结合《基本规范》内部控制五要素的要求来构建内控体系。

（二）设计举例 下面以企业采购为例，说明如何进行内控的设计。采购是企业运营的起点，企业必须从外部供应商手中购买原材料、获得服务、取得物料供应以支持自己的运作。采购业务表现为货币流与物资流、生产与流通、企业内与企业外的相互交织、相互影响的特点。

（1）采购业务流程。基本的采购流程包括以下步骤和环节：确定采购政策——包括明确采购的职责和范围；选择供应商——即建立恰当的供应商管理体系，选择可靠的供应商，以最合理的价格购得质量合格的产品；签订采购合同——合同的条款应符合国家法律法规的要求，并符合企业利益，与企业目标相一致；采购订单处理——所有采购业务都应被准确地记录和核准；收货处理——只接受定购并符合质量要求的货物，准确记录实际收到的货物；退货处理——所有退货都应被准确记录并受到监控；发票与收货单验证——所有发票应与采购收货单相匹配；供应商表现分析——建立供应商评价制度，以对供应商进行管理。

（2）内部控制设计。明确了采购业务流程后，接下去就是按照《基本规范》内部控制五要素的要求建立控制标准。

第一，采购业务内部控制环境。首先分析采购业务活动的控制环境，环境要素是推动企业发展的引擎，也是其他一切要素的核心。内部环境是指对建立、加强或削弱特定控制政策、程序及其效率产生影响的各种因素的总称。它是一种整体氛围，影响企业员工的控制意识，影响到内部各成员实施控制的自觉性。内部环境是内部控制体系的基础，奠定了组织对于风险的总体基调，决定了主体中的人如何认识、识别、评估风险并采取行动。

采购业务对控制环境的要求较高，在企业采购业务中，涉及人、财、物的相互关系，又是专门性较强的业务，这里包括要建立采购人员的职业道德操守、价值观和能力标准，也包括企业领导人是否重视采购工作，并能带头在企业内部形成良好的采购控制氛围等。

第二，采购业务风险评估与识别。风险是指特定事件、某种行为或其他情况对企业所造成的威胁或损失，导致企业无法顺利实施经营战略、达成经营目标，甚至遭受经营失败。风险评估系统应至少包括两个要素，即目标设定和风险管理，其中风险管理包括风险识别、风险分析和风险应对。

企业最大的风险是不能实现既定的目标，因此，目标的设定是风险评估的先决条件。采购管理的目标是在一定的时间性要求下，以适当的价格、适当的数量及质量，选择适当的供应商以保证原材料、零部件和外购件或者某种必需的服务持续无差错供给，避免不适用的质量、错误的数量以及供货延迟而给企业带来的人员和设备的闲置，增加企业的运营成本，从而使企业信誉和品牌形象受到损害。

针对采购管理的目标，采购业务中的风险主要包括：采购行为违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失；采购未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失；请购依据不充分、不合理，相关审批程序不规范、不正确，可能导致企业资产损失、资源浪费或发生舞弊；采购行为违反法律法规和企业规章制度的规定，可能受到有关部门的处罚造成资产损失；验收程序不规范，可能造成账实不符或资产损失；付款方式不恰当、执行有偏差，可能导致企业资金损失或信用受损。

第三，采购业务的控制活动。控制活动是指帮助管理人员确保其指令能被执行的政策和程序，它贯穿于企业所有层级和职能部门，是内部控制设计的重点。就采购业务而言，应当强化如下关键控制点：

一是职责分工、权限范围和审批程序应当明确规范，机构设置和人员配备应当科学合理。企业采购业务的不相容岗位至少包括：请购与审批；供应商的选择与审批；采购合同协议的拟订、审核与审批；采购、验收与相关记录；付款的申请、审批与执行。并通过设置相应的凭证，记录采购程序。

二是请购事项应当明确，请购依据应当充分适当。需求部门应提出明确的请购需求，按照审批权限对请购需求进行审批，请购内容应符合企业预算的要求。

三是采购行为应当合法合规，采购与验收流程及有关控制措施应当明确规范。采购物品要有最高限价，对大宗商品或劳务采购等应当采用招投标方式确定采购价格，要通过专门的验收部门及验收标准对所购物品进行验收，建立供应商的评价制度，对供应商信誉、供货能力等做出评价。

四是付款方式和程序、与供应商的对账办法应当有明确规定。财务部门应参与付款条件的商定，对付款单据要严格审核，通过定期与供应商核对往来款项来防止差错。

第四，采购过程的信息与沟通。采购过程的信息与沟通，是指在采购业务中及时、准确、完整地收集与采购管理中的相关信息，并使这些信息以适当的方式在企业有关部门之间进行及时传递、有效沟通和正确应用的过程。

按照信息经济学理论，在企业管理中，不同管理层级及不同部门之间的信息永远处于不对称状态，因此才需要内部控制来减少这种不对称，因此，在内部控制这一网状结构中，信息处于核心地位，可以说内部控制是依赖信息而起作用的，内部控制的体系是围绕着信息的采集、传递和分析来构建的。

在采购业务中，首先需要有明确的采购部门和采购人员的职责，这是基于授权而来自于上一层次的信息。其次，在采购过程中，会有来自于请购部门的信息，来自于外部供应商的信息，来自于验收部门的信息。通过对这些信息的处理，来完成采购业务的控制活动。而对这些信息的处理，可通过管理信息化方式，如通过ERP软件，通过采购、库存、存货、应付款等模块，以财务业务一体化方式，完成对采购信息的录入、审核、付款等管理，并实现内部控制。同时，通过信息化管理，如利用已有的采购信息（如历史价格数据、供应商档案管理、企业库存情况等）为现在和将来的采购管理提供决策服务。

第五，采购业务的监督。内部监督是指企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面检查报告并做出相应处理的过程。内部监督的方式主要包括持续性监控和专项监控。采购活动作为企业经常性的一项活动，发生的频率非常高，而内部控制固有的局限性，使得采购业务的风险也比较高，这就使得对采购活动在日常持续性监控后，还应该经常进行专项审计，以控制采购活动风险。

三、《企业内部控制基本规范》实施效果提升建议

（一）完善公司治理结构 公司治理是内部控制制度设计、运行的制度环境。根据新制度经济学观点，在企业产生和发展过程中存在着多重委托代理关系，因此，内部控制是公司治理的延伸，是一种连接企业内部管理与公司治理的契合。

从公司治理结构来看，目前主流公司治理结构应该设有股东大会、董事会、监事会及公司管理层，公司治理的控制主体是股东、董事会、监事会和经理层，而内部控制的控制主体是董事会、经理层、各基层部门单位以及委托代理链上的各个节点。二者存在着交叉区域，即董事会——经理层，董事会在内部控制中处于核心地位，对公司内部控制的设计、修改、有效运行负责任，因此在公司治理机制设计中应该充分考虑股东会、董事会、经理层三者之间的分级授权和不相容职务的分离，避免高层管理人员的交叉任职，尤其是杜绝董事长和总经理的重叠，实现公司治理的制衡机制。

（二）加强控制文化建设 文化是软实力，是背后的真正推动力量。企业中的各种规章制度往往只能书面表明管理者想让什么发生，而企业文化将最终决定什么会发生。

企业内部控制的最高境界是实现自我控制，只有让每一位员工广泛参与控制内容和标准乃至业绩评价的制定，使员工对企业和业务层面的各类风险进行更透彻的分析和评估，同时增强员工的风险管理和内部控制意识，使员工在内部控制活动中的主动性和积极性得到充分发挥，由被动接受管理与控制向自我优化的主动控制转化。通过这种广泛的参与性，员工的价值观与企业的价值观趋向融合和统一，在共同的价值观下，使员工个人的目标、行为与企业的内控目标达到最大的一致性，将企业目标转化为个人目标，从而增强内部控制的执行力度，保证内部控制的有效性。

（三）企业高层重视 要提高企业内部控制的实施效果，需要企业管理当局加以大力推动，只有在持续的推动下，内部控制才有可能走上良性发展的道路，这里企业高层人员的重视尤为重要。企业高层人员要从思想上认识到内部控制作为企业风险管理的一项重要手段，在企业管理中处于十分重要的地位。在高层认识到位后，还要加强内部控制的宣传培训，同时，设置专门的内部控制实施人员，保证内部控制的实施，提高实施效果。

（四）绩效评价与激励机制结合使用 企业内部控制的实施必须有一个完整的过程，这个过程就是制定标准、采取行动、衡量业绩，通过业绩的衡量来考核行为是否符合标准，从而使行为符合内部控制标准。在整个风险管理体系中，内部控制通过致力于抑制不利因素来达到内控目标，而激励机制则竭尽全力促使有利因素发挥更大作用，因此，如能将绩效评价与激励机制结合起来使用，将会使企业内控发挥更大效果。

以业务流程为视角，实施内部控制，关键是对业务流程有明晰的认识，只有对业务流程能有清晰的描述后，才能进行风险评估，发现流程中的缺陷，进而制定控制标准。

［1］黄国轩：《基于风险管理的内部控制创新》，《财会通讯（理财）》2008年第3期。

［本文系2010年度浙江省教育厅高校科研计划项目“企业内部控制实施探讨——基于业务流程与财务报表结合的视角”（项目编号：Y201018183）的阶段性研究成果］

（编辑 向玉章）