李棚　黄磊　陈重阳　任娟　王博

[提要] 自2009年《企业内部控制基本规范》执行以来，实施过程中出现低效率现象。本文从内部控制整合可行性角度出发，提出内部控制与企业管理多平台进行整合的设想，并提出整合的实施机制，以期解决内部控制实施过程中导致的管理低效率现象。

关键词：企业管理；内部控制；整合

中图分类号：F27 文献标识码：A

收录日期：2018年6月13日

企业内部控制制度颁布实施以来，学术界争议不断。部分学者积极展开对该制度的研究，例如郭永清、陈留平、池国华、白华等；也有部分学者始终不承认企业内部控制的地位，例如李心合等。但从2008年、2010年分别颁布《企业内部控制基本规范》、《企业内部控制配套指引》，标志着我国企业内部控制规范体系基本建成。这些规章制度自2009年起逐步在各种类型的企业中实施开来，但是由于内部控制与企业管理平台间的各种制度存在重叠、矛盾、冲突等情况，这在很大程度上降低了企业的经营效率。我们针对此种现象，展开了企业内部控制平台整合研究，期望能在一定程度上解决这一问题。

一、研究文献回顾

Laura F.Spira（2003）认为，内部控制与风险管理二者之间的关系仍是含混不清的。对于风险管理的强调伴随着一系列风险定义与评价工具的产生，这不仅避免了对内部控制定义的困难而且使人们对公司治理的讨论重点从财务报告质量方面灵活地转变到了公司治理机制不应妨碍企业（实现价值）上来。

池國华（2009）认为内部控制的实施应该立足于系统思考的角度，从组织最根本的目标即价值创造出发，全面考虑企业的内外部环境及其存在的风险，并对企业的现有管理制度进行梳理与整合。只有这样，才能避免企业管理制度之间的重复和冲突，实现各项管理制度的系统化，而且提出了基于战略导向与系统整合的企业内部控制规范实施机制，分为环境因素、战略控制、管理控制与作业控制四个层级。

从上述学者的观点中，不难发现一个共同的特点，即从内部控制制度出发，沿制度体系寻找与企业管理结合点，然后设想存在的问题并提出解决方案。所以，一直未跳出企业内部控制的体系，但是整合不能局限于这个平台，必须考虑平台间的整合。这也是本文的主旨所在。

二、整合的前提条件

企业内部控制服务于企业管理，这就意味着内部控制的目标与企业管理的目标是一致的。企业中虽然存在着多个管理平台，各个管理平台又会覆盖各个子系统，各子系统之间有不同程度的矛盾与冲突，目标的一致性又会驱使矛盾缓解直至消除，因为他们的目标都是为实现企业目标贡献力量，正是这一共同的目标实现意愿超出各子系统目标而存在，使得整合成为可能。这就在逻辑层次为内部控制的整合提供了可行性，整合会使企业管理成本下降，管理效率与效果得到提升，这又在现实层面为企业内部控制整合提供了可行性。因此，笔者认为下列具体项目属于整合的先决条件。

（一）内部控制游离于企业管理之外。企业内部控制与企业其他方面的管理相同，都是要保证与促进企业目标的实现，但实际操作中，相当部分企业的内部控制与企业管理分两套班子两套制度，二者之间既有重叠又有矛盾。为了避免这种杂乱无序的现象，有必要对内部控制与企业管理进行整合。

（二）企业系统内部子系统间冲突。企业作为一个组织无疑是一个复杂的系统，企业中的各个部门即是该系统中的子系统。系统的一个重要原则就是整体性原则，子系统受到系统整体的约束和限制，某种程度上其性质被屏蔽，独立性丧失，也就是说企业中的各个子系统都必须以企业的整体目标作为其终极目标，为实现企业整体目标作出该有的贡献与牺牲。根据系统理论，包括内部控制在内的各管理子系统都要服从于企业这一大系统，其最终目标都是要实现企业的整体目标。但是各子系统间的整合工作不到位的情况时有发生，因此就会出现各部门间的内部控制制度经常出现矛盾。

（三）内控制度与现有管理制度重叠。郭永清认为主体和手段的交叉性是重叠的主要体现。笔者对此是认同的，正是由于不同部门间规章制度的重复甚至矛盾，首先会造成管理活动的重复、管理成本的上升，而不同部门间业务规定的矛盾会使操作者无所适从，影响工作的效率和效果，更有甚者有可能会导致员工之间推脱责任、互相推诿，只有统一的规章制度才能明确清晰地为员工理解，才会促进员工工作效率与效果的提升。

企业内部控制、风险管理和信息系统等均为企业管理的一个工具或者一种方式，自然他们的目标与企业管理的目标是一致的，但是种种方式之间存在的差异性甚至矛盾性使得企业管理成本大幅上升而管理的效率与效果却未见明显提高，因此企业有必要对企业内部控制等进行整合。

三、整合依据的原则

在进行企业内部控制整合之前，必须明确整合所依据原则问题。本文提出“一个中心、两个立足、三个满足、四个提高”十六字方针，具体内容如下：

（一）一个中心，即以内控建设为中心。以内控为中心主要表现在控制环境、业务操作层面和控制措施方面，内部控制还贯穿到每一个流程中的所有风险的控制，针对不同的风险状况，企业结合自身的实际情况来采取最适宜的控制措施。企业的业务流程包含了从企业的战略制定到基层操作的企业运行的全过程，内部控制是以操作流程为基础的，所以它就得以渗透到企业运行的全过程，涉及到企业最高层到基层操作员工的全体人员，只有这样环环相扣，才能够保证每一个经营环节都朝着管理者所制定的目标顺利运行，最后保证企业目标的实现。

（二）两个立足，就是立足于本企业，立足于现有流程。立足于本企业就意味着，企业内部控制整合必须与企业现有的日常管理平台相结合，不能脱离企业实际，避免机械的按照现有制度照搬照抄。在企业内部控制制度实施初级阶段，部分企业不能将内控制度的精神与企业实际相结合，做了很多费时费力的事，造成人、财、物等资源无价值的消耗。立足于现有流程，就意味着内控整合应该依托于企业现有流程。部分学者，在其研究成果中一味建议企业在内控建设时搞流程再造。对此，笔者不敢苟同。在企业内控建设的实践过程中，同样证明了流程再造更不被企业接受，也无形中更容易使内控制度流产的几率增大。

（三）三个满足，即满足规范、满足评价、满足审计。当企业多个日常管理平台与内控制度平台进行整合时，必须要适用于上述三大满足。其实，这不仅是内控所要实现的目的，也是企业管理所要实现的目的。因此，他们是共通的不是某一个管理平台所要实现的目的。当然，实现上述三个满足也从根源上实现了企业执行内控制度的目的，为企业内控所要实现的目标得到了保证。这样的过程，是实现企业进入良性循环的必要过程。

（四）四个提高，即提高风险防范能力、提高管理水平、提升企业形象、提高实现目标的程度。将内控平台与其他平台整合，一定会提高企业自身的风险防范能力。在未颁布正式文件之前，很多学者曾认为防范风险是内控的主要作用，尽管这样的认识未必全面，但同样说明了内控预防风险这个重要的作用。整合一定要消除各系统和各平台间矛盾，消灭矛盾需要提升管理水平，随着管理水平的提升，企业实现目标的程度也会有一定上升，最终必将会提升企业形象。

四、整合内容

在整合的过程中，应当遵循“以业务流程为基础、以风险评估为前提、以内部控制为主线、以管理制度为核心、以控制手段为保障、以信息系统为载体”的整合思路。按照这样的思路，本文提出了内控制度与下列制度平台进行整合。至此，笔者认为贯穿内控整合整个过程的思想精髓已形成，如图1所示。（图1）

（一）与企业组织机构平台整合。内部控制与企业组织结构相整合主要体现在三个方面：（1）目标的整合。通过战略目标分解实现各控制流程目标全方位有序推进；（2）方法的整合。二者都涉及到科学管理、人本管理、系统理论等一系列的管理方法，这些方法在内部控制系统与企业管理系统中的应用是相辅相成的；（3）制度的整合。内控制度是在整合组织运行现有制度，在此基础上优化已有制度，调整不合理制度，创新不完整的制度部分。

（二）与企业文化平台相整合。每个组织应当构建积极向上、符合企业愿景的文化，在文化构建中，高级管理人员要发挥主导和垂范作用，且要加强企业文化的宣传贯彻，渗透到生产经营，确保员工共同遵守；与此同时，企业要加大控制文化的宣传力度，使内部控制理念深入人心，为内部控制的实施打下良好的环境基础。只有将内控制度深入到每一位员工的心中才会切实落实内控实施的目的，只有将内控与企业文化融合后，才能促进企业文化蓬勃发展。

（三）与人力资源管理平台相整合。首先，企业在进行高管人员、专业技术人员和普通员工等各层次的人员的引进和发展时，要重视其胜任能力和道德观念，并在以后的发展中不断培养；其次，在人力资源的使用中，企业应当制定各级管理人员和关键岗位员工定期轮岗制度，形成相关岗位员工的有序持续流动，既考虑效率又兼顾公平的考核体系才能激励员工并提高其对企业的忠诚度；最后，企业要建立完备的人力资源的退出机制，有效地退出机制也能提高员工的忠诚度，考核不合格的人员要积极进行培训、考虑转岗甚至辞退，对于辞职和辞退等退出方式，要注意商业机密等的保密，严格按照法律要求进行操作，避免不必要损失的发生。

（四）与风险管理体系相整合。尽管人们已经基本认定有一些风险是不可完全避免的，但是人们同时普遍认为内部控制系统可以起到遏制欺骗，防止不称职情况发生的作用。新框架直接凸显风险管理，对风险的控制不仅面向过去，而且也面向未来，使得风险管理不仅贯穿于作业层次也贯穿于管理层次。笔者认为，内部控制与风险管理是相互渗透的，甚至二者是一体化的。鉴于内部控制与风险管理二者间如此紧密的联系，将内部控制与风险管理二者进行整合就是顺理成章的。首先，内部控制与风险管理二者目标一致，都是为实现企业目标提供合理保障；其次，二者的实施主体是相同的，都涉及到企业的高级管理层到基层操作人员的企业全体人员与全过程；最后，二者的手段是共通的，风险评估作为两者共同的要素是二者达到目标的重要手段，那么风险评估的各种方法也构成了二者共同的手段，又例如风险管理的风险应对决策、降低经营型意外和损失等多项活动都要靠内部控制手段的实施来完成。

（五）与认证体系平台相整合。管理认证体系主要包括ISO认证、QS认证、OHSAS认证、SA认证、CE认证，国内的GB/T、CCC认证等诸多认证体系。认证作为提高企业管理水平和信誉的一种手段，已被越来越多的企业接受，目前各种认证体系并存，既有重叠又各有侧重，难免也有冲突的情况。企业内部控制要做到与认证体系相整合，就必须要首先详细掌握各种认证体系或者企业要进行认证的某一体系的内容，在内部控制制度设计方面多考虑不同认证体系的内容及各自的侧重点，每个认证体系的最低要求，结合企业的具体情况，把认证体系中涉及该方面的管理方法和制度规定等纳入到企业的内部控制体系中。比如，ISO9000族的认证体系和CE认证体系等多强调产品质量方面的要求，那么企业在设计关于产品质量和员工操作等方面的内部控制制度时就要考虑ISO9000族的相关要求。企业的内部控制与认证体系进行整合之后，就可以构建起以内部控制体系为唯一管理平台的“一套体系，多重功能”的管理体系，这就避免了多个体系、多层认证系统并存的现象，达到操作过程中遵守本企业内部控制制度的同时又遵守了认证体系的效果，从而提高内控效率，实现管理统一。

（六）与信息系统平台相整合。COSO突出强调信息系统作用。信息系统的应用给内部控制的实施提供了新的更有效的工具。同时，要求信息系统起到应有的作用就必须保证其本身运行的正确性，因此就必须要对信息系统进行必要的有效的控制，对于信息系统的一般控制与应用控制必须增加到企业内部控制体系当中。

综上所述，我们认为可以构建一个，以内部控制为核心的，将企业管理、风险管理、认证体系和信息系统等几大内容都嵌入到内部控制当中的嵌入式内部控制平台。进行上述整合后，我们将构建了一个“一条主线，双向贯通，反馈改进”的内部控制整合实施机制，以期这个机制可以在一定程度上解决内部控制制度、各部门管理制度各自内部以及两者之间的重复甚至冲突，达到节约管理成本，提高企业管理的效率，改善企业管理效果的作用。

主要参考文献：

[1]Laura F.Spira，Michael Page.Risk management：The reinvention of internal control and the changing role of internal audit. Accounting[J].Auditing & Accountability，2003（16）.

[2]郭永清，夏大慰.基于公司治理的內部控制整合研究[J].商业经济与管理，2009（7）.

[3]池国华.企业内部控制规范实施机制构建：战略导向与系统整合[J].会计研究，2009（9）.

[4]谢志华.内部控制、公司治理、风险管理：关系与整合[J].会计研究，2007（10）.