◇赵晓会

随着信息技术的应用，企业管理已实现了战略、经营、财务一体化，但是企业内部控制还停留于职务分离、账证核对等财务控制层面，游离于战略和经营流程之外。因此，内部控制如何在保证财务信息真实的基础上服务企业战略，是企业迫切需要考虑的问题。

一、企业内部控制基础建设

（一）管理层重视内部控制

内部控制是一个由企业管理层主导的自控系统，受到企业管理层真正重视是内部控制有效的基本保证。但是，管理层重视内部控制的前提是内部控制要有用。因为内部控制的有效性取决于多种因素，而且控制是否有效具有滞后性，何况还有相当多的企业虽然有完善的内部控制，却仍然没有避免失败。因此，在内部控制建设之前，管理层就对内部控制抱有信心很重要，只有如此，企业才会为内部控制提供人才物资源，并通过建立各项制度，保证其有效实施。

（二）企业要有清晰的发展战略

一个企业要实现其组织目标，必须要规划战略，并为员工所认知，作为员工行动的向导和奋斗的目标。战略是企业识别风险和管理风险的基础，如果一个企业没有清晰的战略，或者战略不被员工所熟知所理解，必然形不成统一的风险偏好，当风险出现的时候，必然会无所适从，形不成统一的应对策略。

（三）统一的风险偏好

风险偏好是企业在实现其目标的过程中愿意接受的风险的数量，其实是组织对待风险的态度。基于内部控制的需要，企业应当有统一的风险偏好，这样才能有统一的思维和行动。因此，企业领导者要善于根据行业特征和企业特点确定自己的风险承受能力，并依次确定风险偏好，并且要注意使自己的风险为员工所认同，从而使其成为企业风险偏好。

（四）先进的风险文化

风险文化是企业内部控制的动力机制的一部分。为此，企业要确立公司核心价值观，并将其作为企业文化的核心。为了保证企业的核心价值观被员工所理解和认同，就要注意企业核心价值观的朴实化、通俗化，并且要注意与企业战略目标和财务目标契合。例如，专注于顾客价值创造的价值观，就容易被员工所认同，因为它不仅为企业创造价值，而且也会为员工成长创造机会。当公司的价值观确定之后，再通过制订《员工职业道德准则》和《企业文化建设规范》等文化创建活动，对其固化，最后内化为企业文化。

（五）适宜的组织架构

企业的信息沟通能力取决于企业组织结构，例如，扁平化的组织结构能够减少管理层级，提高信息沟通能力，而直线制组织结构则相反。企业应当根据自身的规模、业务繁简程度以及管理层的管理能力，选择适当的组织结构模式。不管采取什么样的组织结构，机构设置及权责分配都必须贯穿内部控制的基本思想，各职能部门和各业务单位之间以及各业务流程之间应形成相互制约、相互监督的控制机制，上级可以制衡下级，同级可以相互制衡，下级也可以制衡上级。

二、企业内部控制实现路径

（一）营造控制环境

顶层设计主要是构建内部控制环境，包括组织架构、企业文化、人力资源政策。内部控制有五个要素，但是内部控制整体质量的高低不是由各要素的平均水平决定的，而是由其中最薄弱的一个要素决定的，内部控制最薄弱的要素就是控制环境，因为我国市场经济发育不充分，公司治理不完善，企业文化尚没有形成。

（二）流程再造

传统的业务流程是建立在劳动分工理论基础上的，它是职能化组织结构，业务流程被部门割裂，信息传递缓慢失真，已经很难适应内部控制对风险管理的需要，流程再造势在必行。将金字塔式组织结构改造为扁平化组织结构，重组职能部门，重新划分相关人员权责，尽可能实现信息的一次处理与共享，从而适应内部控制的需要。

（三）控制闭环建设

如前所述，内部控制的有效性主要取决于企业管理层的意愿，所以说，作为一种制度安排，内部控制本身就应内嵌执行机制，由此构成一个包含制度设计、制度执行、制度检查、约束和激励的闭合系统。

（四）组织建设

风险是具有层次和系统性的，具有叠加、放大、抵消效应，企业不能仅仅从某项业务、某个部门的角度考虑风险，而应当对风险进行组合管理。首先要在董事会下设风险管理的领导机构——风险管理委员会，从而将内部控制纳入董事会管理之下；其次，在最高管理层之下设立首席风险官，负责执行内部控制，以落实企业管理层对内部控制的执行责任；第三，在首席风险官下设风险管理部，具体负责内部控制建设和运行工作；最后，赋予内部审计风险管理职能，对内部控制的运行进行监督和评价。

（五）信息系统建设

信息与沟通是实施内部控制的前提条件，企业需要通过信息传递和内外部沟通掌握内部控制体系运行情况，发现存在的问题。另外，伴随着企业规模的扩大，企业的内部组织结构以及业务流程也变得更加复杂，仅仅依靠人工手段进行控制是不现实的，这就需要运用信息技术，将内部控制政策固化于信息系统，实现对流程的自动控制，防止人为因素规避控制。鉴于此，企业应当根据组织架构、业务流程等特征，制订信息系统建设规划，对信息系统进行开发、运行和维护。

三、企业内部控制实施策略

（一）将内部控制规范内化为企业法律

内部控制是企业自己建立的法律，任何人都不能超越它。内部控制制度是企业行为的底线，对任何违反内部控制的行为必须予以惩处。例如，美国1934年《证券交易法》对于违反关于内部控制制度条款的行为将处以罚款和监禁。再如，1977年美国颁布的《反国外贿赂法》中规定违反该法中关于内部控制条款的人将被判处5年的刑期和1万美元的罚款。由此我们可以得到启示，企业可以将外在的法律内化为“企业法律”，为企业自觉执行内部控制提供保证。

（二）内部控制逐步推进战略

控制是一个系统工程，需要有适宜的环境。我国绝大多数企业的公司治理、组织架构、企业文化、人力资源政策和业务流程等，都与风险管理不匹配。因此，内部控制只能逐步实施，首先以财务报告内部控制为重点，通过财务控制建设带动管理控制建设。之所以要以财务报告为重点主要是基于以下原因：第一，财务信息是内部控制的基础，而企业财务信息质量普遍不高，有必要加以控制；第二，财务工作是管理的核心，牵扯面广，带动性强，适宜于作为控制的主线，例如，我国已经出台的18项内部控制制度大都与财务有关。有一些是直接关于财务控制规范，如财务报告、资金活动；有些是对与企业财务报表项目相关的规范，如资产管理、采购业务、全面预算；第三类是为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范，包括信息系统、人力资源等。

（三）内部控制与管理制度的整合

企业的内部控制与管理制度的目标是一致的，都是为了提高经营效率，完成财务目标，从而确保战略的实现。因而内部控制的建立必须与现有的管理制度相结合，将内部控制规则自动嵌入企业管理制度中，在执行管理制度过程中自动落实内部控制制度，而不是在管理制度之外另搞一套内部控制制度。整合实际上解决的是各项管理制度之间的协调问题。目前，企业的管理制度，如会计制度、财务制度、内部审计制度、营销管理制度、人力资源管理制度等，这些制度大多都与内部控制重叠，这样就会不可避免地出现内部控制制度与已有的管理制度之间的协调问题。企业应当以内部控制的实施为契机，以系统观为依据，对内部控制和管理制度进行整体的思考，以内部控制为主导，以流程为主线，以风险管理为目标，梳理管理制度，以此发挥内部控制对管理制度的统领作用。

（四）内部控制制度的整体优化

每一个企业其实都有内部控制制度，但是绝大多数企业现有的内部控制制度都达不到内部控制规范标准的要求。如果企业只是对现有的内部控制修修补补，即对照规范标准，缺什么补什么，势必会造成内部控制的无序化，甚至出现矛盾和冲突。这就要求企业要有系统思想，对内部控制进行通盘的思考，对流程进行梳理和再造，重组职能部门，重新划分相关人员权责权限，使内部控制整体优化而不是局部优化。

[1]张继德.企业内部控制规范体系实施的初始条件与应对策略[J].北京工商大学学报（社会科学版），2012（04）.

[2]池国华.企业内部控制规范实施机制构建:战略导向与系统整合[J].会计研究，2009（09）.

[3]财政部会计司考察团.英国和法国企业内部控制考察报告[J].会计研究，2007（09）.