蔡鸿轩

（中国移动通信集团广东有限公司财务部，广东 广州 510000）

内部控制是市场经济发展到一定阶段的必然产物，作为一种管理手段，企业对内部控制制度的要求也随着对内强化管理，对外满足社会需要而不断丰富和发展。有效的内部控制不仅能提高企业资源有效配置，还能防范和发现企业内部和外部的潜在风险。

但就现状而言，相当一部分企业对建立内部控制制度重视不够，导致企业资产流失，经营效率低下。为解决这些问题，完善内部控制制度迫在眉睫。有效性是内部控制的精髓，如果一种内控制度不能实现“有效控制”，则内部控制就失去了其存在的价值。内部控制的有效性取决于两个变量：一是内部控制设计的合理性。内部控制的设计应结合企业的自身特点进行，这样的设计就更合理，控制的效果就更好，为主体目标的实现提供更高的合理保证程度；另一个是内部控制执行的有效性。内部控制执行得越好，内部控制的有效性就越高。

一、内部控制影响因素分析

为有针对性的提高企业内部控制的有效性，本文首先对内部控制有效性的影响因素进行梳理和分析。

（一）企业所处的内外部环境

企业环境是推动企业发展的引擎，也是其他一切要素的核心与基础，决定了其他控制要素能否发挥作用，是内部控制有效执行的必要保证。（李建华，2012）控制环境的好坏直接关系到企业其他内部控制实施的效果，好的控制环境能增强内部控制的有效性，不良的控制环境则会削弱特定控制的有效性。

（二）企业所处发展阶段

Maijoor（2000）、Doyle（2006）、郑石桥（2009）等研究了企业所处发展阶段对内部控制有效性的影响，结论显示，当企业处于成熟期时，其内部控制更加有效；朱荣恩（2004）、Ge和 McVay（2005）、Doyle（2006）对企业规模与内部控制有效性之间的关系进行研究得出企业规模与内部控制有效性呈现出正相关关系。

根据生命周期理论，企业的成长发展可分为四大阶段：初创期、成长期、成熟期和衰退期。由于各个阶段的企业所面临的外部环境和所拥有的内部条件有所差异，企业所设定的经营目标会因此而有所不同，经营管理会出现不同的侧重点，企业面临不同的内部控制结构选择。

（三）内部控制执行因素

内部控制的目的就是在每个可能的风险点上进行控制与保护，对可能发生的风险实施控制，既是企业内部控制的最初目的，也是内部控制的最终目标对企业风险的准确评估，是实现企业内部控制有效性的关键。

控制活动是在控制环境和风险评估的基础上，为保证控制目标有效落实，确保风险被有效控制而制定并实施的各种科学合理的方法、程序和控制措施。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

（四）内部控制成本因素

控制活动在整个企业的经营活动中无处不在，控制对象涉及到人、财、物、产、供、销等各个方面，远远超出了原来的会计控制范围。如果实施面面俱到、事无巨细、毫无重点的内部控制，会导致内部控制的成本相对较高，不符合成本效益原则。一般来说控制程序的成本不能超过因风险或错误可能造成的损失或浪费，否则再好的控制促使和方法也将失去降低成本的意义。内部控制应坚持重要性原则，找准重点环节、关键控制点，对重点环节进行重点控制，不仅能起到控制作用，也能使控制收益达达高于成本。

（五）企业内审机构运行效率

企业应当根据内部控制基本规范及其配套办法，制定内部控制监督制度，明确内部审计机构在内部监督中的职责权限，规范内审的程序、方法和要求。内审机构是需要长时间运作而评估执行质量的过程，它可以保证企业内部控制制度的有效性得以实现，并使之不断得到完善。

二、如何加强企业内部控制的有效性

企业应从优化内部控制环境、规范内部控制过程，控制内部控制成本和合理利用内外部监督等几方面着手，增强内部控制的有效性。

（一）优化内部控制环境

事实上，内部控制系统必须与外界经常进行能量交换，而控制环境正是能量的直接承受者。所以，要提高内部控制的有效性，必须从改善企业内部控制的环境入手。

1.完善公司治理结构。科学的公司治理结构包括民主、透明的决策程序和管理议事规则，高效、严谨的业务执行系统，以及健全有效的内部监督和反馈系统。

2.完善组织结构控制制度。组织结构是内部控制骨架，包括企业内组织机构的设置和职能责任的分配与授权。组织结构的设置应坚持相互制约原则和协调配合原则。企业在设置各工作机构的职责分工时需考虑相互制约原则，即相互制约关系的两个或两个以上的职位分别完成：不同经济业务的运行必须经过不同部门，避免越权事件发生；将经济业务的授权与执行、执行与记录、记录与审核、保管与记录等不相容职务进行分离，避免舞弊发生；明确各机构负责人的具体批准权限，防止职责不清及滥用职权现象。另外在设置各工作机构的职责与分工时，还应考虑协调配合原则，即要求在各项经营管理活动中，各部门和人员必须相互配合，各岗位和环节都应协调同步，各项业务办理程序和办理手续需要紧密衔接，从而避免脱节现象，减少矛盾和内耗，以保证经营管理活动的连续性和有效性。

3.建立良好的企业文化氛围。企业文化是企业在发展过程中逐步形成的、企业员工均认同的共有的价值体系，包括道德和行为标准以及如何在业务中沟通与强化该标准。优秀的企业文化应该以人为本、以顾客为中心、努力服务社会，同时平等对待员工、平衡相关者的利益、提倡团队精神，并鼓励创新。

企业文化是一种软约束，通过情感激励、道德感化等方式来激发全体员工为企业发展目标而奋斗的热情与责任感。良好的企业文化氛围能为内部控制程序的执行创造良好的人文环境，在很大程度上决定了内部控制是否有效。企业内部控制应当建立在共同的伦理道德规范的基础上，形成真正意义上的团队精神。企业经营者应注重对企业文化的培养与优化，树立以人为本、服务社会的核心价值观，建立起自己独特的企业文化，增强企业内部凝聚力，并长期保持一种健康的文化氛围，使其与公司战略目标趋于一致。

4.提高全体人员的素质。要保证内部控制的有效性，必须提高企业全体人员尤其是管理人员的素质。内部控制受企业的董事会、管理阶层及其他员工影响，透过企业内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标，并设置控制的机制。只有提高了员工的基本道德素质和职业素养，内部控制的各种工作才能顺利进行。

企业必须重视对内部控制制度管理人员的选用和培训，提高财会人员的素质，培养全体员工的参与意识，定期进行考评，奖优罚劣。重视管理人员的培训，企业需要加强对管理人员的职业培训（尤其是财经法纪方面的教育），选用有能力有经验的人去完成管理工作，保证内部控制制度更加完善严密，杜绝管理人员滥用职权所造成的内部控制制度形同虚设的情况；提高财会人员的素质，企业不仅需要加强其道德水平，还应提高其业务素质，通过宣传教育影响财会人员的道德思想，通过引导财会人员加强自学、努力钻研业务提高其业务能力，通过加强财会人员定期轮岗实现其全面发展；培养员工的参与意识，应充分调动各个部门员工的积极性，使其不仅承担被考核者的被检查者的义务，还主动担任内部控制的实施者与考核者角色。

设计有效的人力资源政策是保障企业人员素质的有效措施。有效的人力资源政策包括：完善的招聘与选拔方针及操作性程序；对新员工进行企业文化和道德价值观的导向培训；对违反行为准则的任何事项制订纪律约束与处罚措施；对业绩良好的员工制订具有奖励和激励作用的报酬计划，并避免诱发不道德行为；根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖罚等。

（二）规范内部控制过程

1.提高风险识别和评估水平。对于内控的研究，不可能脱离其赖以存在的环境及企业内部各种风险因素。风险防范既是企业管理的必要部分，也是内部控制机制建立的内在动力。提高风险识别和评估水平，对于提高内控执行的有效性，有着积极的作用。

环境的变化使企业经营风险增大，正因为存在各种各样的风险，企业才应该建立良好的内部控制系统，配合风险管理，实现企业目标。对一个持续经营的企业而言，常见的企业风险包括：战略风险，经营风险，财务风险，市场风险，信息风险，环境与法律风险，灾害风险等等。企业必须注意风险的防范和管理，对内分析自身优势与劣势、长处与短处，对外分析外界的机会和威胁，找出影响企业整体目标和各活动层目标实现的各种内在和外在因素。找出风险之后，再运用一系列的风险评估方法、技术、程序等对企业的风险进行全面分析，判断风险发生的概率及可能的后果，并采取相应的控制措施。也就是说，内部控制的建立是与风险管理的要求相并存的。

2.接合控制活动与企业经营活动。经营过程是指由某一单位、部门进行，或由多个单位、部门共同进行的，通过规划、执行及监督等基本的管理过程对企业加以管理的过程。控制活动是在控制环境和风险评估的基础上，为确保控制目标有效落实，确保风险被有效控制而制定并实施的各种方法、程序和控制措施，包括经营活动的复查、业务活动的批准和授权、责任分离、保证对资产记录的接触和使用的安全、独立审核等，内部控制要坚持全面性原则与重要性原则的有机结合，不能将所有经营活动中的每个控制点都进行同等的控制，要符合成本效益原则，对企业经营管理的重要方面、重要环节实行重点控制。

3.确保信息沟通与反馈的通畅。信息与沟通贯穿于企业风险管理和内部控制的所有活动之中，是实现内部控制目标及其有效性的重要保障。企业的高效运转有赖于管理层的计划准确及时地贯彻到各部门以及各部门计划执行情况及时反馈至管理层，而这一过程中高效的信息沟通至关重要。

企业应设计和维护畅通的信息沟通渠道，一方面通过拓展信息获取及传递途径，使员工懂得自己在控制系统中的作用、责任，更好地履行职责；另一方面通过形成有利的外部沟通环境，保持经营信息和控制信息畅通，减少因信息不对称导致的企业经营成本和社会监督成本的提高；第三通过建立良好可靠的、涵盖企业全部重要活动的信息系统支持策略，保证信息的搜集、存储、加工、输出和使用等各个环节的正常运行，并及时更新系统，使企业拥有良好的信息品质。

（三）控制内部控制成本

1.加强预算管理。内部控制的目标不能再仅仅满足于查弊纠错和保护资产安全，应该延伸至提高效率和效益、保证管理政策和目标的实现。为此，应逐步加强前馈控制，预算管理已成为内部控制的重要方式。预算管理是将企业的目标及其资源的配置方式以预算方式加以量化，并使之得以实现的企业内部控制活动或过程的总称。

加强预算管理，首先要将预算管理与企业整体发展目标相结合。即全面预算管理的组织、编制和实施都应该与企业长期发展战略相一致，以企业未来发展为核心，优化企业资源配置，完善考评与控制制度。其次要将预算管理与各部门的业绩考核相挂钩。在公司治理结构的基础上将预算管理的制定与执行贯穿于企业生产经营的总体过程，加强各部门、各岗位人员对全面预算管理的重视，落实各项内部控制制度。再次，预算的制定要遵循“适应性”与“效益性”原则。即将预算制定的详细程度控制在合理的范围内，使其真正发挥资源的优化配置与合理控制。

2.节约控制成本。在体现价值最大化的经营管理理念的环境中，企业不得不考虑内部控制的成本与效益问题，在建立和实施内部控制时，在可能获得的收益与不设置相应控制可能产生的损失之间做出理性的判断，进行权衡和取舍。

严谨的内部控制，应坚持重要性与全面性有机结合。在资源充足的条件下则可考虑进行全方位的内部控制，但一定要坚持成本效益原则，即内部控制的成本不能超出其所带来收益；在资源有限的情况下，应当实行有重点的控制，将控制成本花费在那些影响企业成败和经营效率的重要事项，以提高内部控制的效果。只有做到全面控制与重点控制的有机结合，加强关键控制点的管理，内部控制才能发挥良好的效率。

（四）形成有效的内部控制监督

1.发挥内部审计的作用。根据国际内部审计协会的解释，内部审计是在一个组织内部，通过对各种业务活动及相应管理控制系统的独立评价，确定组织既定的政策和程序是否贯彻，建立的标准是否遵循，资源的利用是否合理有效，以及组织的行为目标是否达到。可见，内部审计既是内部控制的重要组成部分，又是内部控制的一种特殊方式。为保证内部审计作用得以有效发挥，首先管理当局应给与其支持，授予内部审计部门足够的权限，保证其对重大疑点拥有相关的审查权力，当内部审计人员报告的信息显示公司必须采取某些行动时，管理人员应迅速对行动作出反应。其次，要保持和提高内审人员的素质，注重对内审人员进行内部控制知识和相关审计及会计知识方面的培训，使其掌握最新的行业知识，具备岗位胜任能力。再次，具备条件的企业还应单独设置内部审计机构，使其独立于财务部与人事部，并逐步将内部审计的范围由财务收支审计、设备购置审计等扩展到管理审计方面。

2.对内控系统进行持续监督。监督是对企业内部控制体系有效性进行评估的持续过程。设计有效的监督才能保证内部控制执行的有效性。企业内部应由有关管理人员和职员定期、独立地自上而下对各部门的控制进行独立的评价、持续的监督。对内部控制制度的执行情况实行严格的检查和反馈，并向董事会和总经理报告，确保公司各项经营管理活动的有效运行。

由于内部控制具有时间性和差异性，今天有效的内部控制，明天不一定有效，内部控制设计好后，不仅要坚持不懈地执行，还应适时对内部控制进行评估，以发现可能存在的重大缺陷，并采取措施予以补救，或者根据市场环境、新的金融工具、新的技术应用和新的法律法规等情况变化，提请董事会或管理层适时改进内部控制。

三、内部控制有效性的评价

内部控制的有效性源于控制目标的实现，那么，评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到合理保证水平。从另一角度来讲，也就是相关目标的风险控制是否降到了一个适当的水平。从国外最新的内部控制评价研究成果来看，主要存在详细评价方法和风险基础评价法两种。

（一）详细评价法

COSO委员会2004年的报告将企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相关联的要素。认定企业的风险管理是否“有效”，是对八个构成要素是否存在和有效运行进行评估的基础之上的评价。基于此思路，很多企业都曾采用详细评价法。

具体来说，详细评价法以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在评价内部控制的设计有效性，测试内部控制的运行有效性，最后综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在重大漏洞，确定内部控制是否有效。

为了解决以上的问题，美国的实务界和理论界又提出了风险基础评价法。

（二）风险基础评价法

风险基础评价法的思路不是从控制到风险，而是从风险到控制，即从内部控制目标实现的风险到内部控制。首先，要评估相关目标实现的风险；其次，识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。

由于目标的差异性，目标风险的含义、内部控制着重点的含义是不同的，在评价每一类目标时都需要做具体设定。当然，这种评价方法也需要评价主体具备更高的职业判断能力。

（三）两种评价方法的比较

首先，风险基础评价法是从相关目标的风险评估出发，根据评估结果判断企业内部控制制度设计和实施的有效性。这种思路和方法能够考虑到不同企业的特点，避免与内部控制框架简单对应，具有更高的灵活性和针对性。

其次，风险基础评价法在确定内部控制测试范围，评估内部控制制度的设计和运行整个过程都以风险评估为基础，提高了评价的成本效益和效率。

最后，风险基础评价法在识别和评估企业应对内控目标风险时需要更高的专业判断。与详细评价法根据一个确定框架来评价相比，风险基础法需要对风险评估进行不断的调整和判断，对评价人员的专业要求更高。

通过比较以上两种方法和行业发展趋势来看，风险基础的内部控制评价方法必然是未来的发展方向。无论是基于评价方法与企业的贴合性，还是从成本效益的考虑，风险基础评价法都具有更高的合理性。只有评价方法合理，才能为完善企业内部控制提供依据。

四、小结

综上，内部控制是一套企业内部管理的体系，不是控制手段的简单叠加。企业应该在深入分析内部控制有效性的基础上，设计有针对性的有效性实现框架，并通过实际运行进行检验和修正。对内部控制有效性评价时，应强调风险控制导向，不仅更贴合不同企业需求，也能提高成本效益和效率。

[1]潘琰.内部控制[M].北京：高等教育出版社，2007．

[2]朱荣恩.内部控制评价[M].北京：中国时代经济出版社，2003.

[3]张宜霞.企业内部控制评价方法的比较[J].会计之友，2009（1）.

[4]潘爱玲，吴有红.企业集团内部控制框架的构建及其应用[J].中国工业经济，2005（8）.

[5]张宜霞.企业内部控制评价方法的比较[J].会计之友，2009（1）.