（安徽工商职业学院 安徽合肥231131）

一、2011年内部控制实施基本情况

2011是我国企业内部控制实施元年，内控试点上市公司制定和公布了实施方案并组织员工培训学习，按照财政部等部委相关要求做好内控体系建设的实施工作。从上市公司披露的年度财务报告信息、内控体系建设实施方案和上市公司内控自我评价报告看，2011年度内控工作是历史上最好的一年，主要体现在实施内控标准体系、全面内控、实行企业内控审计并披露内控审计报告等方面。从披露情况看，除1家上市公司披露了内部控制存在重大缺陷外，其余上市公司均表示不存在与财务报告相关的内部控制重大缺陷。除少数上市公司披露内控工作中存在的重要缺陷和一般缺陷外，大多数上市公司都未披露。

具体调查上市公司内控实施情况发现，一些企业的内控仍以“财务内控”为主体，而一些风险管理水平较高的企业 （如金融企业和一些开展了全面风险管理的央企）则以“合规内控或风险内控”为侧重点。在组织实施情况方面，企业整体上倾向于内部成立专门的部门或者成立内控团队来执行基本规范。但上市公司则倾向于由外部顾问团队以及内设内部控制部门的方式进行建设，究其原因，上市公司考虑到未来内控评价报告的披露，为了将来能顺利通过内控审计，在内控建设上希望获得更多的外部支持以确保顺利过关。而试点公司中则是少数分公司建立健全内控制度，并拟进行审计，相当一部分公司尚待后续运行、整改。在近200份内控审计报告中，非标意见相对较少，唯有1家公司出具的是非标意见，内控有效性审计报告过于完美令人难以信服。

二、目前上市公司内部控制实施存在的问题

（一）内部控制认识不统一，缺乏内生动力。纵观企业管理层对内控的认识，呈现出以下观点：一是内控的实施会限制管理层的权利；二是内控的实施仅仅为了满足外部监管要求；三是内控的实施仅是内控制度完善的过程；四是内控的实施仅是财务部门的事情；五是内控的实施会降低企业运行效率等等。这些不全面的甚至错误的认识，必然会导致企业缺乏内生动力，影响企业内控制度建立的健全和完善。

（二）公司治理结构不完善，难以发挥监督作用。目前，有些企业虽然形式上已经建立了法人治理机构，但很多公司的董事长、总经理依然由一人担任，股权过于集中，董事担任监事，监事会受制于董事会或总经理，董事会成员大多由企业经理人员担任，董事会与经理层职权重叠等现实问题的存在，使内控制度形同虚设。

（三）内审机构不独立，缺乏有效监督机制。目前，一些企业还没有建立独立于财务机构之外的内审机构，也没有安排专职人员从事内控审计工作。企业的内控运行状况大部分依赖于外部审计机构，造成企业内部审计缺乏有效性。除此之外，我国企业外部审计大多服务于企业，自身缺乏一定的刚性，甚者还会按照企业管理者的意图进行内审，严重影响了审计监督的效果。

（四）内控复合型人才短缺，缺乏内控建设长效基因。近些年，由于内部控制专业人才储备不足，缺乏实务经验和操作指南等原因，我国大中型企业内控体系建设多选择外包方式。而不同的服务范围及性质对外部机构的资源投入不同，对公司提供的辅助程度也不同，很大程度上取决于外部机构的执业素质，影响了企业实施内控制度的效果。

（五）内控规范与管理结合程度不够，缺乏内控实质效果。一些企业内控设计被认为是融合了国际经验，并结合了企业实际，企业也积极推动实施，那么内控规范体系的设计是否合理？在多大程度上适用于公司呢？一些企业内控设计纯粹是为了外部监管的需要，高薪聘请外部机构，诸如事务所、管理咨询机构、IT公司等，简单按照18项指引进行自身制度建设，形成一系列所谓的内控成果，如内控手册、流程图、风险地图等，没有考虑企业切身需要、服务企业战略管理目标。

（六）内控有关配套措施不完备，缺乏长远战略目标。很多企业对内控的建设还是停留在内控的初级阶段，比如内部监督、内部成本控制、内部资产安全控制等。企业内控一个很大的薄弱环节就是缺乏健全有效的激励约束机制和长远战略规划。企业内控建设应该分为内控基础建设、内控促进管理和内控融入管理三个阶段。内控基础建设应包括现状调研、风险评估、内控体系设计、内控宣传推广及内控管理平台建设等方面；内控促进管理应包括内控体系完善和相关业务管理完善等；内控融入管理则包括内控体系的持续改造和相关业务管理的持续改进。

（七）内控与信息化结合程度不够，影响内控作用充分发挥。内控有效实施需要信息化的大力支持，很多企业选择了ERP系统、办公自动化系统、电子商务系统、客户管理系统等，但未能做到各种信息系统的有效整合，有些企业内控信息化建设只是将信息化看作是技术，忽视信息系统与管理思想的有机融合，从而严重影响了内控信息化使用的效果，造成企业资源的浪费。目前，企业缺失内控行业协会标准与操作指南，造成企业实施内控体系建设不够标准化和规范化。

（八）对内控自我评价重视程度不够，过度依赖外部服务。一些企业董事会对自身责任认识不够，缺乏内控评审完整体系、行之有效的操作方法和符合企业实际的缺陷认定标准，而过于依赖中介机构的服务。即使一些企业执行自我内控评价，也容易产生追求零缺陷、过度整改的错误倾向。

（九）内控信息披露流于形式，缺乏规范性。纵览2011年上市公司内控信息披露状况，可以发现上市公司缺乏内控信息详细披露的动力，一些公司披露内控相关信息只是流于形式，有的公司甚至仅以“公司现有内控制度基本覆盖公司经营管理各业务环节，保证了公司经营管理活动的正常运行”等空洞的语言一带而过，即使是披露略微详细的公司，也未能完全符合《指引》中要求的内容。

（十）注册会计师和事务所执行内审业务问题突出，内审报告质量令人堪忧。具体表现出以下问题：一是对内控审计业务不重视，标准制定及培训不足。部分事务所尚未制定该部分技术指引，项目团队对内控缺陷评价关键环节及要素理解不够准确，存在明显偏差，项目组间就同一内容反馈存在较大差异等。二是事务所分所管理不善，以低价竞争方式扰乱市场秩序。三是事务所内审人员专业胜任能力及水平较差。事务所项目合伙人、项目经理对内控审计的目的及程序缺乏基本认知，项目合伙人无法说明被审计客户企业层面内控、流程梳理的方法论及基本情况，项目合伙人无法说明被审计客户使用的财务系统种类以及功能模块，审计质量堪忧。四是事务所信息系统审计力量不足。事务所信息系统审计团队建设整体处于起步阶段，尚未或正在建立信息系统审计团队，信息系统审计力量不足；内审中仅测试信息系统一般控制而不包括信息系统应用控制，存在着较高的审计风险。五是非整合审计导致审计程序受限。221家实施内审试点的公司中有13家以非整合审计形式出具审计报告，占比5％，内审师无法及时、充分获取财务报表审计过程中的审计发现，导致其无法根据财表审计结果充分衡量对内审意见的影响，审计程序受限。六是注册会计师对内控审计关键技术要求理解存在偏差。有的流程描述过于简单，测试控制点与流程描述缺乏匹配关系，有的内控执行测试样本规模及样本量选择存在偏差，对内控审计中信息系统审计的理解存在偏差。七是事务所内控审计工作入场晚，导致审计程序出现偏差。

三、现阶段上市公司内控规范建设有效性对策

（一）加强内控文化的宣传贯彻，提高内控建设内生动力。内控文化是内控建设的灵魂，渗透于企业的一切经营管理活动之中，是推动企业可持续性发展的动力。企业应通过各种行之有效的宣传手段，提高并统一其管理者对内部控制的认识水平，将内控置于企业的战略高度。为此，公司领导要高度重视内控建设工作，首先就是要提升全员的内控与风险意识，从公司董事会、经营管理层自上而下推动，调动公司各业务部门、各工作岗位的全方位参与；其次，由于内控建设是系统性工作，因此需要进行业务梳理、流程再造以及形成内控手册、开展自我评价、配合外部审计等。这一些列工作专业性强、工作量大、期限长，只有在不同的管理层级配备专门的部门和人员，才能保证该项工作的组织、协调和推进。

（二）完善内控环境建设，规范法人治理机构。内控环境是企业实施内控的重要基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。由于体制的问题，企业的部门规章都是各个部门制定的，站在各自的角度上，相互之间的协调和配套有欠缺，而这也就加大了企业现在实施内部控制的难度。企业要从所有者立场出发，设置科学合理的组织结构，明确董事会、监事会、股东会、经理层等部门职责，强化董事会在治理机构的主导地位和内控中的核心作用，建立董事会对经营者的约束和激励机制，通过引入外部独立董事，有效实行独立董事制度，改善公司内部均衡机制，最大限度维护所有股东的权益。

（三）加强内控自我评价，保证内控规范有效实施。内控评价是企业董事会或类似机构对内控有效性进行全面评价，从而形成评价结论、出具评价报告的过程。内控评价与内控建立和实施，共同构成有机循环。内控评价最大难点仍然是缺乏具体的操作标准和依据。对此，我国政府相关监管部门迫切需要在一个更高平台上构建一个统一、科学、规范的内部控制审计标准。企业应当建立有效的、全面内部审计机构，独立于其他职能部门，并直接向董事会负责，保证其相对独立性。目前，一方面要充实审计力量，优化审计人员结构，开展各种形式培训等继续教育，提高审计人员的业务素质；另一方面要制定一套操作性强的考核制度，提高审计人员的主观能动性。

（四）加大内控业务培训力度，培养和造就内控建设的复合型人才。企业内控体系应该量身定制，需要大量的专业内控人才。但目前我国比较缺乏内控的高端人才。许多人才都是局部性的、某一些环节的人才，复合型的人才非常缺乏。为此，企业需要加大培训力度，如培训教材要统一，案例要有实务指导，并且要长抓不懈，在总结经验基础上形成制度，将内控规范培训纳入会计等专业人员的评价和后续教育内容。培养和造就内控体系建设所需的核心团队和专业人才。在此情况下，国际注册内部控制师应运而生，成为企业内控体系设计、实施和日常监控等业务活动的领军人才。

（五）切实落实内控信息化系统设计和实施，提升信息化内控管理水平。首先，信息系统的有效实施是企业内控落地的有效手段，其目标就是提高企业现代化管理水平，减少人为主观操作因素干扰，为建立有效的信息与沟通机制提供支持保障。笔者认为提升信息化内控水平首先就是要将企业管理思想与信息化系统管理思想有效结合。其次，结合企业管理模式，召集一线管理人员，广泛征求意见，分析风险关键控制点，优化业务流程，寻找企业核心业务合理的组织架构，界定各层级权责以及不相容职务区分标准。应通过各种培训、实地参观等方式，培养既懂内控专业知识，又熟悉信息系统应用，既熟悉业务流程，又清楚关键控制的内控复合型人才。

（六）规范内控信息披露内容，明确内控信息披露责任主体，加大惩处力度。管理当局、内审机构对企业内控设计和执行有效性进行评价，应由注册会计师进行验证并将其结果公布给外部信息使用者，这有利于管理当局及时发现内控缺陷，提高会计信息质量。为此，首先要从国家立法机构、财政等相关部门、证交所等加强上市公司内控规范性建设，提高内控信息披露工作的强制性。其次，明确规定上市公司内控信息强制披露的内容和形式要求。另外，我国还可借鉴美国等国家的先进经验，明确并认真落实内控信息披露的责任主体，对于上市公司内控信息不披露、披露不规范或披露虚假信息的行为应当进行严厉惩处，加强对上市公司内部控制信息披露的监督和处罚力度。

（七）加强注册会计师行业监管，保证内审执业质量。注册会计师行业首先要大力倡导诚信文化，把职业道德操守作为内审执业着力点，并将其贯穿内审业务检查和评价始终。其次，推进注册会计师行业监管体系改革，进一步强化监管信息公开披露机制，提高行业监管透明度，构建一套以“周期性检查为基础、防范系统风险为核心、体现独立监管要求”，与国际普遍认可监管制度趋同的会计师事务所执业质量监管体系。另外，还要按照“兼职化→兼职与专职相结合→专职化”的发展路径，着力培养一支业务精湛、职业道德优良的内审执业监管队伍，以内审执业质量提高促进事务所服务质量的提升。当然，还要进一步积极推动与发达国家资本市场内审监管合作，推动我国会计师事务所的内审质量和经我国会计师事务所审计的上市公司会计信息与国际对接，为推进国际内控监管合作提供技术和实践基础。