刘慧娟

摘要：内部控制的建立和健全，对于企业其实现经营目标有着重要意义。目前我国多数企业的内部控制存在一定的问题，本文通过分析内部控制理论演进阶段的要素，探讨在风险管理整合框架下如何完善企业的内部控制。

关键词：内部控制；风险管理；公司治理；对策

中图分类号：F235 文献标识码：A

文章编号：1005-913X（2014）12-0207-02

我国企业内部控制基本规范中内部控制的定义如下：内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。其目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

一、内部控制理论的演进阶段

内部控制理论的演进经历了五个阶段：内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理整合框架阶段。

（一）内部牵制阶段（内部控制的“一要素”阶段）

20世纪30年代之前产生了内部牵制思想。内部牵制主要是以保证财产的安全完整和查错防弊为目的，以职务分离和互相牵制为手段，以钱、账、物等会计记录为主要控制事项的牵制过程。这一阶段内部牵制的核心是基于企业个体行为层面的控制，内部控制局限于一般性的经济制约关系。从理论上看，只是通过组织制度表现出来的经济制约的一般性实践活动，并没有形成内部控制的概念。内部牵制在一段很长的时间内占有相当重要地位，因此，内部牵制是内部控制的雏形。

（二）内部控制制度阶段（内部控制的“二要素”阶段）

20 世纪 30 年代出现的世界性经济大危机，企业为了生存，促使企业内部控制工作要超越原有的会计和财务范畴，不能仅仅局限于差错防弊的目的。传统的内部牵制思想与古典管理理论结合起来，出现了内部控制的严格定义，在定义时，将内部控制区分为内部会计控制和内部管理控制两方面 ，主要通过形成和推行一整套内部控制制度（方法和程序）来实施控制。内部控制制度阶段的重要意义是该阶段内部控制发展的奠基阶段。

（三）内部控制结构阶段（内部控制的“三要素”阶段）

20世纪80年代以后，内部控制研究由对具体控制程序、方法的偏重变为对内部控制系统的全方位研究。1988 年美国注册会计师协会（AICPA）下设的审计准则委员会发布了《审计准则公告》第 55 号，其中第一次以“内部控制结构（Internal Control Structure）”一词取代了“内部控制”一词，形成了由控制环境、会计系统和控制程序三个要素组成的内部控制结构的概念。该突破性成果最大的特点是不再把控制环境作为内部控制的外部因素来看待，放弃了会计控制和管理控制的划分。

（四）内部控制整体框架阶段（内部控制的“五要素”阶段）

20世纪90年代以后，美国的 COSO 报告发布了《内部控制—整体框架》报告，该报告提出了内部控制的三大目标和五大要素。内部控制的三大目标：营业的效果与效率；财务报告可信赖度；相关法令的遵循。内部控制的五要素：控制环境、风险评估、控制活动、信息与沟通和监督。在此阶段内部控制发展成了一个目标明确、主体清晰、内部控制要素健全以及要素之间有机联系的内部控制框架体系，内部控制整体框架阶段是内部控制发展的成熟阶段。

（五）企业风险管理框架阶段（内部控制的“八要素”阶段）

2004 年 10 月，COSO 委员会以《内部控制—整合框架》为基础，结合《萨班斯—奥克斯法案》的相关要求，进行扩展研究，最后发布了《企业风险管理》（ERM）框架。与前期的内部控制理论相比，将内部控制成为企业风险管理的一个组成部分。按照该框架，内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控共同构成企业风险管理的八个要素。企业目标由战略目标、经营目标、报告目标、合规目标四大目标组成。企业全面风险管理框架阶段是内部控制发展的深化阶段。

二、我国企业内部控制现状及问题

（一）公司治理结构不完善

目前，国内多数企业尤其是中小企业在公司治理中沿用了传统的组织结构，尚未建立法人治理结构。职代会和工会职能交叉、人员重叠，达不到权利制衡的效果。有些企业虽然形式上成立了董事会、监事会，然而在具体工作中，法人治理结构并未真正建立，也因此导致股东会和监事会的作用难以发挥，董事会和监事会的法定职能不能有效履行。权责分配混乱的现实情况使公司的组织结构不能发挥应有的作用。

（二）企业管理者素质不高

内部控制实施的主要责任人是企业的管理者，因此管理者素质的高低是内部控制质量好坏的首要因素。现行多数企业的管理者理论知识和实践经验不足，未接受过系统正规的管理学培训，所以对于内部控制的管理理念未能充分理解和贯彻。部分企业管理者为了经营业绩的考核，提供虚假的财务信息，无视企业的长期发展。由于内部控制制度涉及到企业全员的参与执行，管理者是否执行会影响其他员工的执行度。

（三）风险管理意识不足

风险评估是内部控制的重要要素。企业要实现其经营目标就应分析经营过程中存在的相关风险。目前我国一部分企业初步构建了风险识别和风险分析体系，在风险管理方面有一定的效果，起到一定的示范作用。但大多数企业的风险管理仍局限于少数业务职能部门的具体活动，极易出现重视局部利益忽视主要矛盾的状况，未能将风险管理渗透到整个企业的经营活动过程中，缺乏完善的风险评估体系。

（四）内外部监督乏力

有些企业虽然建立了内控部门，但在执行过程中由于某些利益，形同虚设。还有一些企业没有单独设立内部审计部门，由财务部门的部分人员负责内部审计的相关工作。对于设立内部审计部门的企业也存在着内审人员审计专业知识有限，缺少执行内部控制审计所必需的胜任能力和经验。包括政府监督和社会监督在内的企业外部监督体系存在着外部监督功能标准不一的情况，再加上独立的中介机构会计师事务所不规范的执业环境和不正当的业务竞争，外部监督作用并未有效发挥，内部控制的有效性难以得到保证。

三、完善我国企业内部控制的对策

（一）完善公司法人治理结构

完善法人治理结构主要从以下几方面进行：完善企业代理机制，纠正公司治理结构中的种种形式主义；发挥董事会的作用，董事会的建设要根据不同企业的产权结构和产权关系因地制宜；尝试内部员工持股方案，使员工和企业形成风险共担的利益共同体；建立监事会的相应权责机制，发挥监事会的监督作用。对于尚未建立法人治理结构的企业，应认识到公司治理结构的重要性。高层管理人员要敢于引进经验丰富的职业经理人等，来确保对企业日常经营活动的监督和控制。

（二）提高企业管理者的素质

管理者素质的高低会影响到企业内部控制的效率和效果。一方面要尽快提高企业管理者的素质。企业管理者素质的提高不仅是知识与专业技能的提高，更重要的是管理者的经营理念及管理哲学的提高。另一方面要加强管理者的诚信观。管理者要树立诚信观，遵守道德规范，通过自身示范，来培育员工的诚信意识，引领员工形成诚信的道德价值观，最终提升企业信誉。通过管理者素质的提高，全员达成共识，才能使内部控制制度按照既定的目标执行。

（三）增强企业风险管理意识

企业要树立风险意识，对各个风险控制点建立有效的风险管理系统，防范和控制可能发生的各种风险。企业在进行风险管理时，必须要进行适当的风险识别。经济业务事项的发生对企业的影响结果有三种情况：正面影响、负面影响、正面和负面都有。其中企业的风险就是负面影响的事项，这就要求企业的管理者对其进行评估和反应。如何进行有效的风险评估，主要是考虑以下几点：首先要评估企业的固有风险和剩余风险，其次是确定风险评估的技术方法，最后是风险事项概率的发生和影响程度。

（四）加强内外部审计监督

外部审计是一种重要的社会监督方式，能够及时发现并遏制企业的违规行为，促使企业更快建立和健全内控制度。为此加强外部审计机构的独立性和权威性，就要进一步修订相关法律法规，进而赋予审计机关相应的权利，将内部控制制度审计纳入审计工作重点。而对于内部审计可以从以下几方面完善：首先董事会和管理层要重视内部审计部门的组建，要确保内部审计部门的控制职能，而不是很多事情跳过内部审计部门。其次通过审计培训来提高内部审计人员专业素质和职业道德，使内部审计人员督促各部门更好的执行企业内部控制规范。

参考文献：

[1] 朱小芳，周大伟，杨 丹.基于内部控制理论的国有企业内部控制研究[J].财会通讯，2012（3）.

[2] 叶陈云，杨展业.论我国企业内部控制制度体系的构建与实施[J].财会月刊，2010（4）.

[3] 吴江涛，麻 坤.谈谈企业内部控制的有关问题[J].财务与会计，2014（4）.

[责任编辑：方 晓]