徐春阳

（胜利石油管理局 财务监控中心，山东 东营257000）

内部控制是指企业决策层、管理层和操作层为实现经营目标、财务目标、合规目标，而实施的一系列控制措施和过程，是企业规范经营行为、防范经营风险、提升管理效果的重要手段。目前，国内外理论界和实务界普遍认为内部控制主要包括五个方面，即内部环境、风险评估、控制活动、信息与沟通、内部监督。其中，内部环境是实施内部控制的重要基础，风险评估是内部控制的首要前提，控制活动是内部控制的具体措施，信息与沟通是内部控制的必要条件，内部监督是内部控制的保证手段。企业在实务操作中，需要将以上五方面按公司层面和业务层面进行控制，因此，企业在内部控制过程中理清好两个层面的关系十分重要和必要。

一、公司层面控制内容及其基本要求

公司层面的控制是指存在于公司整体层面，对业务层面实施的控制措施产生普遍、深远影响的控制，体现公司的风险管理理念、风险承受能力、公司治理监控水平、对道德价值观的遵守、人员素质与发展水平以及职责权力分工。根据《企业本部控制基本规范》，公司层面控制的主要内容包括内部环境、风险评估、信息与沟通及内部监督四个部分，其基本要求主要体现在企业体制、机制、规章、制度等方面。

1.内部环境。内部环境是建立与实施内部控制的基础，包括治理结构、权责分配、发展战略、人力资源、社会责任、企业文化、反舞弊及内部审计等方面。一是治理结构。企业要根据国家有关法律法规和公司内控手册的要求，按照决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则，明确本企业的治理（管理）架构和内部职能机构的设置和职责。如上市公司必须建立健全股东大会、董事会、监事会和经理层，以及结合生产经营特点和内部控制要求，采取职能制或事业部制设置内部组织机构。二是权责分配。企业要按照公司内控手册中权责分配的原则和规定，结合本企业业务特点和管理需要，按照权责对等的原则确定权限层级、标准，建立本企业的权限指引和授权机制。尤其应建立审批行为的自律机制，对权力行使应有规范要求，形成恰当的制衡和授权机制，权责清晰、授权有度，防止权力行使的随意或滥用。三是发展战略。企业要结合外部监管要求，结合本企业的市场机会、可利用资源水平和自身优势与弱点等情况，制定、实施、监控和动态调整本企业的发展战略，落实公司发展战略并体现公司的相关要求。如近几年国内、外对环境保护提出了更严格的要求，许多企业适时调整，将“绿色低碳”作为发展战略之一。四是人力资源。企业要按照公司人力资源管理的相关要求，结合本企业人力资源管理现状，制定本企业的人力资源规划，建立健全本企业的人员引进与开发、使用与退出等机制，充分体现本企业人力资源管理特色。五是社会责任。企业要根据公司社会责任管理体系，在安全生产与环境保护、节能减排与产品质量、促进就业与保护员工合法权益、社会公益等方面的要求，结合本企业的社会责任工作开展情况，建立并完善本企业的社会责任管理工作，落实公司针对社会责任工作的相关要求。如国有企业必须按照《工会法》要求，成立工会组织，定期召开职工代表大会。六是企业文化。企业要在遵循公司统一的价值理念、企业愿景、企业精神、企业作风以及经营理念的基础上，塑造企业文化并定期开展评估和创新，落实公司针对企业文化工作的相关要求。如中国石油化工集团公司提出“爱我中华，振兴石化”，制定下发企业文化建设纲要等企业建设活动。七是内部审计。企业要在遵循公司内部审计工作要求的基础上，结合本企业内审机构和人员设置，以及内审工作开展情况，建立本企业内部审计管理制度和程序，明确本企业内部审计基础管理工作。如作为上市公司应成立审计委员会，保证工作的独立性。

2.风险评估。风险评估是内部控制的首要前提，是在风险识别和预测的基础上，采用定性或定量方法，对风险发生可能性和影响程度进行预计和估算，最终确定风险评级的过程。具体内容包括风险管理组织体系、风险识别和分类、风险评估、风险应对及风险监控与报告等。企业应全面梳理、识别和评估影响目标实现的相关风险，建立本企业风险清单或风险库。针对不同风险，结合本企业的风险偏好和承受度，权衡利弊，按照成本效益原则制定完善相应的规避、降低、分担或承受措施。通常情况下，内部风险可以进行有效防范和控制，外部风险主要采取规避。

3.信息沟通。信息沟通是内部控制的必要条件，指信息在公司内部各层级、各部门之间以及公司与客户、供应商、监管者和股东等之间的传递。包括信息收集机制、信息沟通机制、内部报告、保密管理及信息技术整体控制。企业信息沟通的内容，应包括信息收集机制、信息沟通机制、内部报告管理、保密管理和信息技术整体控制五个方面。企业应识别来源于本企业内部及外部、与经营管理相关的各类信息，明确本企业的信息收集渠道和方式，建立内部及外部沟通机制，制定内部报告体系及信息保密制度，并加强信息技术整体控制。

4.内部监督。内部监督是内部控制的保证手段，是公司对内部控制建立与实施情况进行监督检查，评价内部控制设计和运行的有效性，发现内部控制缺陷，提出改进措施并监督整改情况的过程。主要包括对建立并执行内部控制的整体情况进行持续性日常监督，对内部控制的某一方面或者某些方面进行专项监督，以及提交相应的检查评价报告、提出有针对性的改进措施等。企业内部监督的内容，应包括内部监督架构、内部监督分类及内部控制评价两个方面。企业应参考公司内部监督架构和内部监督分类并结合自身情况，建立本企业的内部监督架构及分类，明确各层级职责。根据本企业的架构及分类，建设内部控制评价和测试机制，健全本企业的内部控制监督机制。

二、业务层面控制内容及其基本要求

业务层面控制是内部控制具体实施，是各种控制措施和要求的集成，为达到特定的目标而由不同的岗位分别共同完成的一系列活动。活动之间不仅有严格的先后顺序限定，而且活动的内容、方式、责任等也都必须有明确的安排和界定，以使不同活动在不同岗位之间进行转接成为可能，构成闭环系统。目前，业务层面控制活动一般应包括：生产、销售、采购、成本、资金、资产、工程、担保、合同、信息管理等方面。控制措施一般应包括：不相容职责分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等，每一项控制措施独立或组合用于各类活动中。

企业可采用内控业务流程形式，将以上生产经营管理活动分解成多个内控流程。每个业务流程应明确控制目标、控制风险、控制步骤、不相容岗位、对应权限和职责。从发起到结束，每一个内控流程步骤由一个或多个控制点构成。控制点内容应执行主体、执行动作、执行结果，执行动作中应采用一种或多种控制措施。以采购活动为例。企业首先应分析评估采购活动各环节存在的风险，其次针对风险明确控制目标，最后围绕目标制定控制步骤，每一步骤明确控制点内容。并严格依照各步骤涉及的物资采购、合同、财务、考核等部门及岗位的职责，实施计划控制。

通过内控流程体系进行业务层面控制，能够梳理各业务流程，突出流程中主要风险及关键控制点，更加清晰的反映企业实际生产经营过程中面临的风险，并实施针对性控制，加强企业对于风险的反应及处理能力。同时，也易于企业按照流程体系对风险控制情况进行检查监督。企业需要注意的是，以流程形式实施业务层面的内部控制，既要坚持全面性原则，尽可能全过程、全方位、全覆盖，又要坚持成本效益原则，突出重点，以控制有效来保证经营高效。

三、公司层面与业务层面的关系

通过分析了解公司层面和业务层面的控制内容和要求，可以清晰地看到两者的不同点和共同点。公司层面控制侧重于宏观指导，原则要求，着眼于长远。而业务层面控制侧重于具体措施，操作程序，立足于实际。只有两者紧密联系，相辅相成，才能形成内部控制的整体。作为企业，在重点实施业务层面控制的基础上，应高度重视公司层面控制，充分认识控制的必要性，进一步明确控制方向、内容和具体措施。同时，根据公司层面内容的变化，按照重要性原则，结合实际，适时调整、优化业务层面的控制流程或控制步骤、控制点以及权限设置。

1.公司层面与业务层面的不同点。公司层面与业务层面的不同点主要体现在三方面。一是控制的执行主体侧重点不同。公司层面控制执行主体侧重于决策层和管理层，业务层面控制执行主体侧重于管理层和操作层。如发展战略、人力资源政策主要是由董事会制定，物资采购主要由供应部门来实施；二是控制的角度不同。公司层面侧重于宏观要求，业务层面侧重于微观执行。如风险评估要求企业要全面分析、评价可能存在的风险，资金管理重点是如何控制财务风险；三是控制结果的影响不同。公司层面失去控制有可能导致企业全局性的失败，业务层面失去控制往往造成局部的损失。

2.公司层面与业务层面的共同点。公司层面与业务层面的共同点主要体现在三方面。一是控制遵循的原则基本一致。即都要遵循全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则；二是控制实现的总体目标是一致的。即都围绕实现生产经营目标、财务目标和合规目标而实施；三是防范的基本风险是一致。即主要为了经营风险、防范战略风险、法律风险和财务风险。

3.公司层面与业务层面的结合。目前，企业实施内部控制必须避免两类片面性。一是重视公司层面控制，而轻视业务层面控制。如建立了公司治理结构，制定了发展战略，明确了权限责任，但是没有制定具体的配套措施，以原有的制度来代替内部控制操作流程，有可能导致控制不落地，中看不中用；二是重视业务层面控制，而忽视公司层面控制。如针对生产、销售、采购、成本、资金、资产、工程、担保、合同、信息等管理活动，均制定了相应的控制流程，明确了详细的控制措施。但对公司层面的发展战略、企业文化、社会责任等没有明确控制要求，则有可能导致控制方向出现偏差，南辕北辙事倍功半。

具体实务操作中，企业可借鉴国家《企业内部控制基本规范》与《企业内部控制应用指引》的方式。即将公司层面涉及的四个方面，以指引形式表述。如《企业组织架构控制指引》《企业权责分配控制指引》《企业发展战略控制指引》《企业人力资源控制指引》《企业社会责任控制指引》《企业文化控制指引》《企业风险评估控制指引》《企业信息沟通控制指引》《企业内部监督控制指引》等，每个指引明确控制目标、风险及要求。业务层面以流程化或矩阵化形式表述，如《企业资本支出管理业务流程》《企业货币资金管理业务流程》《企业物资采购管理业务流程》《企业生产销售管理业务流程》《企业合同管理业务流程》等，每个流程明确控制主体、岗位、步骤、节点及权限，同时将公司层面的有关要求具体落实，由原则性要求变为实际的操作与控制，从而形成一个有效的整体内部控制体系。