我国企业内部控制建设的十大热点难点问题

2021-06-01王海兵冯文静

会计之友 2021年11期

王海兵冯文静

【摘要】目前我国企业内部控制建设平稳推进，取得很大成就，但同时也存在一些瓶颈制约因素，成为影响内部控制创新发展的热点难点问题。涉及建立内部控制概念框架（理论体系），内部控制系统发展演进的阶段规划，落实企业发展战略的长效机制构建，内部控制建设与政治法律伦理的融合，內部控制建设促进经济高质量发展的路径，内部控制建设与企业文化建设的协同共生，新信息技术在内部控制建设中的应用，实施基于业务的预算、人力资源、信息系统综合控制，强化以QHSE为基础、ESG为核心的社会责任风险控制，建立内部控制评价、报告和审计协调统一的三层次监督体系。以上问题的破解，将推进我国企业内部控制建设朝着战略化、法治化、数智化、人本化和增值化的方向发展，促进我国企业内部控制实践提档升级。

【关键词】内部控制建设; 热点难点问题; 风险控制

【中图分类号】 F234.3 【文献标识码】 A 【文章编号】 1004-5937（2021）11-0050-06

内部控制作为公司内部治理机制和风险管理工具，是促进企业高质量发展的重要保证。企业通过规章制度、执行程序和具体措施加强内部控制建设，能够在一定程度上对风险进行防范和管控，促进经营管理目标实现。随着社会经济环境日益复杂和市场竞争加剧，企业业务活动日臻频繁，传统的以查错纠弊为目标的内部控制方法不再满足社会需求，企业对内部控制提出更高要求。随着社会主义市场经济的不断发展，我国在企业内部控制建设方面取得了丰硕成果。本文以企业内部控制建设为核心，分析企业内部控制理论与实践的十大热点难点问题，对内部控制建设提供参考和借鉴，旨在推进我国企业内部控制建设朝着战略化、法治化、数智化、人本化和增值化的方向发展，促进我国企业内部控制实践提档升级。

一、建立内部控制概念框架（理论体系）

1992年美国COSO报告所构建的内部控制框架由五要素构成，2004年美国COSO基于风险管理框架对五要素进行创新与发展，将内部控制五要素扩展为八要素，增加目标设定、事项识别和风险应对三要素。2008年我国《企业内部控制基本规范》结合我国实际状况对COSO内部控制五要素和八要素进行借鉴，提出内部控制框架由内部环境、风险评估、控制活动、信息与沟通、内部监督五要素组成。自此，我国企业和行政事业单位以五要素为指导构建内部控制概念框架，各主体根据国际形势、国家政策法规、经济发展水平、大众需求等外部环境和文化观念、组织架构、内部章程等内部环境从假设、原则、目标、职能、本质、准则、指南、系统、审计、报告等方面制定内部控制框架。例如目标成分，不同类型主体的内部控制目标与整体目标具有一致性，否则内部控制将毫无意义，但不同类型主体的整体目标具有特殊性。企业的整体目标是追求企业价值最大化，下设财务报告真实、资产安全完整、经营效率效果、法律法规遵守等子目标，也是企业进行内部控制建设的目标。政府内部控制目标以政府职能作为标准，即经济调节目标、市场监管目标、社会管理目标和公共服务目标[ 1 ]，从而稳定社会秩序以及维护公平与正义。但目前我国一些企业风险意识淡薄，未建立有效的风险管理控制体系，责权利不清，忽视员工身心健康等问题较为突出。因此，有必要从风险控制速度、战略高度、治理广度、人本温度重新构建内部控制理论体系。对于风险控制速度，企业应坚持风险导向，实施面向大数据和人工智能的财务风险控制、营运风险控制、市场风险控制、法律风险控制、信息技术风险控制等，对潜在风险进行识别和评估，根据风险性质、风险水平以及风险偏好合理划分风险等级并制定风险应对措施，旨在规避风险或者将风险降低至可承受范围内。对于战略高度，企业应坚持战略导向，基于战略导向和系统整合构建企业内部控制规范实施机制[ 2 ]，从整体出发，制定符合国家经济结构和产业政策的发展战略，对发展战略进行分解与落实;加强对发展战略的宣传培训，通过组织结构调整、人员安排、薪酬调整、财务安排、管理变革等配套措施，保障发展战略顺利实施。对于治理广度，企业应坚持治理导向，建立现代管理制度，加强全面预算管理，实施分权制度，包括分事行权、分岗设权、分级授权、定期轮岗，强化内部流程控制[ 3 ]，提高企业治理能力。对于人本温度，企业应坚持人本导向，以利益相关者为导向，构建以“人”为中心的人本内部控制概念框架（王海兵，2011）;整合人力资源，注重智力资本培养，充分发挥人的创造性和主观能动性，实现自我管理、自我发展和自我完善，人本内部控制是在物本内部控制基础上的重大突破。

二、内部控制系统发展演进的阶段规划

内部控制是一个复杂的系统工程，建立健全企业内部控制不可能一蹴而就，需要一个不断深化和持续完善的过程，必须按照系统的方法，抓住主要矛盾和矛盾的主要方面，统筹兼顾，逐步推进。肖荣智（2008）提出从点、线、面出发推进内部会计控制，抓住点的突破，抓好线的推进，形成面的平衡，初步探究了内部会计控制由点到线再到面的进化。点是指内部控制重点、难点和关键点，企业要抓住重点、突破难点、完成关键点跨越，其中资金流入流出控制、产品创新控制和人员控制等在内部控制建设中起着主导作用。线是指研发线、采购线、生产线、营销线、运输线和售后服务线，每条操作线配备专业人员和软硬件设施，构建内部控制线以实行线条化运作，后期根据操作线实际运行状况进行优化设计以期完善内部控制线。面即控制面，由控制线构成，将内部控制功能划分为紧密联系的各个模块，其中，政府、企业、消费者等利益相关者各为一控制面进行模块化操作，实现动态平衡。企业内部控制建设包括“点”“线”“面”“体”“链”“网”“云”“雾”八个层级，由简到繁，依次递进扩展[ 4 ]，构建内部控制系统发展演进的阶段规划。控制体是从整体出发，纵观全局，涵盖企业发展战略、企业文化、社会责任、人力资源、全面预算管理等，是点线面的升级。“点线面体”是传统内部控制发展层级，随着信息技术的发展，“链网云雾”是未来内部控制的发展趋势。控制链是基于供应链提出的内部控制理念，在企业与企业之间建立价值链、信息链、物流链、资金链，各企业内部控制系统通过链条产生协同和规模效应，实现资源共享、信息互通、共担风险、共创价值。链控强调纵向打通，网控在此基础上，进一步进行链控的横向拓展，交织成网。由于互联网和物联网等信息技术的迅速发展，未来的内部控制必将呈现“腾云驾雾”之势，基于“互联网+内部控制”的“云控制”与基于“物联网+内部控制”的“雾控制”由此诞生。云控制集云计算、云会计、云审计于一体，能够快速进行数据收集、储存、整理、分析和处理，从而对内部控制在云端进行动态化管理，“互联网+”下的云会计AIS具有开放性、共享性、多元性、敏捷性等新的特征将优化企业的内部控制。雾控制是云控制的深入发展，随着物联网的发展，雾控制将无处不在，内部控制跨越时空，人们可以根据兴趣、爱好任意选择办公地点。从战略目标管理、核心能力管理、协同创新管理和评估预警管理四个维度构建“物联网+内部控制”体系[ 5 ]，运用全球定位系统、RFID、传感器技术、物联网平台，通过数据层、传输层、处理层、应用层，实现人与人、人与物、物与物之间的连接和互控，是未来内部控制的高级发展阶段。

三、内部控制建设落实企业发展战略的长效机制构建

保证组织发展战略贯彻落实是企业开展内部控制建设的重要目标。《企业内部控制应用指引第2号——发展战略》指出企业应根据现实状况和未来趋势，在综合分析、科学预测的基础上制定并实施长远发展目标与战略规划。因此，企业内部控制建设与组织发展战略密切相关。由于部分企业内部控制建设与发展战略协调性差，导致脱节问题出现，降低内部控制执行力和效率，不利于组织发展战略的落地。在激烈的市场竞争中提升企业核心竞争力，形成差异化竞争优势，必须明确内部控制与发展战略之间的关系，抓住内部控制建设关键节点，从而建立战略导向型内部控制体系，以提高二者的协同驱动效应。首先，加强目标管理，制定科学全面的发展规划。企业结合自身实际情况，分析内部控制建设现状，提出切实可行的发展目标，同时对重大事项目标确定采取集体决策或者投票表决方式，避免决策失误，实现内部控制的相互牵制;根据战略目标，科学规划战略计划，通过层层分解实现目标具体化，结合自身资源优势推行子目标，在发展战略实施中融入内部控制建设，促使二者实现良性互动。其次，健全流程管控，坚持以人为本。人本经济时代，人是经济活动的出发点和落脚点，也是内部控制建设的起点和归宿。流程管控是一个系统的有机整体，涉及生产、销售、财务、人力等各个职能部门，表面上是对时间、资金、物质等资源进行优化配置，实际上是坚持以人为本，对人进行约束和规范。企业应强调“仁爱”精神、“以和为贵”，加强沟通与交流以减少隔阂，形成“人为为人”“集体主义”机制，调动工作人员的积极性、主动性和创造性;同时重视人才培养机制，发掘员工自身潜力，实现经济效益与社会效益和谐统一。最后，开展绩效评价，优化内部控制。公司治理水平越高，企业财务绩效越高;内部控制质量越好，企业财务绩效越高[ 6 ]。采用定性与定量相结合、财务指标与非财务指标相结合的方法构建全面科学的绩效评价体系，将各责任单位计划目标完成情况纳入绩效考评体系，实施激励约束机制，做到赏罚分明、扬长补短，从而优化内部控制，促进发展战略有效落实，实现经济活动的经济性、效率性、效果性、公平性和环境性。

四、加强内部控制建设与政治法律伦理的融合

内部控制建设中对法律、政治和伦理等人文因素的忽视容易导致内部控制失效。近年来，国内相继出现康得新药业、獐子岛、康美药业等系列财务造假事件，给经济发展带来惊人的破坏力。因此，强化内部控制的法律属性，深化内部控制的政治功能，重视内部控制的伦理特征在当下具有重要实践意义。第一，内部控制具有法律属性。内部控制的法律属性为企业管理增加法制约束，推动内部控制法制化。政治法律伦理以内部控制为载体，内部控制为政治法律伦理的目标实现提供支持，二者交相辉映、相得益彰。内部控制法律法规主要分为渊源性法律法规、标准性法律法规与其他辅助性法律法规三类，分别代表内部控制建设的法律基础、直接法律依据与间接法律依据，共同构成我国内部控制法律法规体系，推动内部控制立法日趋成熟。包含内部控制基本规范、应用指引、评价指引、审计指引、操作指南等在内的内部控制规范体系，是内部控制建设的重要法规基础，直接指导内部控制实践。公司法、证券法、税法、预算法、合同法、会计法、审计法、招投标法、政府采购法、环境保护法、劳动法、劳动者权益保护法、产品质量法、会计制度、会计准则、审计准则、内部审计准则等，均需要通过外规内化形式，融入到内部控制系统。以内部控制审计的法律法规为例，迪博数据库统计显示，2014—2018年上市公司内部控制建设不断完善，除2014年、2015年有极少数公司缺乏内部控制审计依据外，其他上市公司审计依据主要为《企业内部控制审计指引》《中国注册会计师执业准则》《中国注册会计师其他鉴证业务准则第3101号》等，2018年有企业以《内部控制鉴证指引》作为内部控制审计依据促使审计依据呈现多样化特征。第二，内部控制具有政治功能。内部控制的政治功能具体执行方式为治理，政治引领是内部控制工作的必然。内部控制具有参与国家治理和公司治理的功能，通过思想政治内部控制建设、反腐倡廉机制流程建设和人本责任文化建设，促进内部控制政治功能的实现。正如国家和家庭的经济收支与社会活动需要得到控制，企事业单位和非营利组织也需在治理中得到管控。内部控制作为企业内部治理机制，无论对人财物进行控制还是满足筹资与投资、采购与付款、销售与收款、工程结算等需要，均能在领导层与被领导层之间、供产销各方之间、组织与国家社会之间建立有效联系，实现相互监督制衡，保障利益相关者合法权益，促进社会经济可持续发展和政治稳定。第三，内部控制具有伦理特征。伦理是为社会大多数成员所认可的道德和准则，作为一种社会行为规范，对内部控制产生深远影响。企业应当以风险管理为核心，以内部控制为基础，以商业伦理为环境，从而实现企业的有效运营（陈汉文，2008）。法安民，德润心。我国历来强调“修己安人”“以德治国”，这要求企业站在伦理的高度加强顶层设计，将法治和德治结合起来，建立高效的商业伦理管理体系，促进企业建立健全社会责任管理体系，积极承担企业社会责任，汲取优秀传统文化，优化伦理环境，實现“无为而治”的理想境界。此外，应坚持外部政策法律和内部制度流程协同控制，定期或者不定期开展外部审计和内部审计，识别、评估和控制重大风险，从而保障企业正常运转。

五、厘清内部控制建设促进经济高质量发展的路径

全面有效的内部控制制度是提高企业经营管理水平、促进经济高质量发展的重要举措。一是控制业财风险，增加企业价值。建立和完善财务岗位责任制，重要岗位进行轮岗换岗制度，关键岗位实行亲属回避制度，规范业务工作流程，严格按照申请、审批、复核、付款程序推进。二是控制法律风险，保障公司安全。近年产品造假、腐败案件、环境污染等系列事件频繁出现，对公司安全构成威胁。企业在法律法规允许范围内开展业务活动，尊重法律权威，加强法务学习，实现知法、懂法、守法、用法，创造安全有序的内部环境。三是建立健全权力监督机制。按照不相容岗位相分离原则合理设置岗位，实现相互制衡，积极开展舞弊审计、内部控制审计、经济责任审计和绩效审计，堵塞舞弊行为发生的漏洞。四是合理安排社会责任投资，积累社会资本。企业忽视社会效益而一味追求经济速度或者只投资与自身利益相关的项目而未进行长远考虑，必然是舍本逐末。鉴于此，企业应综合考虑主观条件与客观条件、内部资源条件与外部环境、长期目标与短期目标，有效率有效益地进行社会责任投资，提高企业信誉与知名度。同时，注重环境保护，促进人与自然、人与社会、人与人和谐共处。十九大报告明确强调建设生态文明的重要性，企业作为社会主义市场经济主要参与者，应构建生态化内部控制系统，在发展中保护环境，在保护环境中求发展，走绿色可持续发展之路，实现经济绩效、社会绩效、生态环境绩效的协调统一。五是优化流程，提高经济效率。在研发、设计、生产、销售、售后等生产经营活动过程中实现内部控制全覆盖，通过组织架构调整、有效资源分配、信息技术采用、人员素质提升等举措优化流程，保障日常经营活动顺利进行。六是重视人力资源建设，凝聚人心。不断优化人力资源布局，加强人力资源管理机制建设，包括人才引进、人才培养和人才退出机制;对企业文化进行宣传推广，使人本文化深入人心，从而提高企业核心竞争力。七是加强战略控制与审计，谋求长远发展。战略是企业总体发展方向，战略内部控制包括对战略制定、战略执行、战略评价以及战略调整的控制，战略管理审计则是对战略管理的存在性、合理性、一致性、有效性等进行审计。

六、促进内部控制建设与企业文化建设的协同共生

企业文化是企业全体员工在长期的生产经营活动中形成的发展理念、思维模式、价值观念、企业精神以及行为规范等全部精神活动及其产品。制度是明规则，文化是潜规则。企业文化作为内部控制环境的构成要素，对内部控制的建立、运行、发展、优化产生重要影响，同时，文化控制本质上是一种特殊的内部控制形式。如何实现内部控制建设和企业文化建设协同共生，助推企业健康持续发展是亟待解决的重大问题。内部控制塑造文化，文化反過来影响内部控制的有效性。《企业内部控制应用指引第5号——企业文化》提出加强企业文化建设，推进内部控制建设，切实做到文化建设与内部控制建设有机耦合。王海兵和张元婧[ 7 ]通过人本文化、风险文化和绩效文化将我国传统文化嵌入内部控制，认为内部控制建设也能规范并发展企业文化。王颖等[ 8 ]认为内部控制建设必然由经验管理、制度管理过渡到文化管理。因此，刚柔并济，全面加强内部控制和企业文化协同建设，能达到1+1>2的理想效果。内部控制文化作为企业的“根”与“魂”，为内部控制有效性提供精神支撑，能够营造良好的控制环境。这要求企业鼓励全员主动参与内部控制文化建设，加强内部控制文化理念宣传，摒弃个人利益至上等错误思想倾向，将内部控制制度精神融入人心，从而规范全员行为，提高公司治理能力和治理水平。企业文化能强化和优化内部控制系统，为企业内部控制建设赋能。营造人性化管理氛围，发挥文化的引导功能，提高自我约束能力，将个人价值追求和企业发展目标融为一体，增强向心力和凝聚力，能够促进员工个人价值与企业价值共同提升，做到“硬约束”与“软约束”、“外控”与“内控”相结合，从而实现企业的发展战略和经营目标。

七、加快新信息技术在内部控制建设中的应用

数智化时代内部控制与信息技术的集成速度日益加快，新信息技术为内部控制建设提供了新方向和新动能，应加速布局企业智能互联的数字化转型体系。以5G技术、人工智能、区块链、云计算、大数据、移动互联网、物联网等为代表的新信息技术广泛应用于内部控制建设，促进了内部控制的更新和升级，显著提升了执行效率与效果。信息技术在内部控制建设中的应用领域包括：第一，实施“互联网+内部控制”的云控制。（1）将会计及管理信息系统融入内部控制建设，提高内部控制信息化，云控制在云端的更新升级、实时监控、动态部署、业务对接将显著提升会计信息系统的内部控制自动化水平。（2）引入质量、健康、安全和环境管理体系（QHSE）进行优化，建立在“互联网+”背景下以会计信息系统（AIS）为基础、QHSE管理体系为核心的内部控制系统。（3）从一般控制和应用控制两个层面构建内部控制绩效评价指标体系，对云会计信息系统内部控制绩效进行评价，促进AIS内部控制系统完善。云控制搭载云技术后可以实现远程控制，员工可以用任意一台PC或手机登录云端，在授权范围内调取所需信息或处理业务[ 4 ]。第二，构建管理会计云计算平台。对内外部业务数据、财务数据和绩效数据进行采集构成大数据仓库，通过云计算和大数据分析等信息技术对数据进行深入挖掘与分析获得有效信息建立信息资源库，利用大数据共享平台实现信息共享，消除“信息孤岛”效应，从有效信息中提取企业关键战略点转化为企业价值。这要求企业完善内部控制体制，构建管理会计云计算平台，协调各个部门积极从大数据中挖掘价值。第三，将人工智能、机器人流程自动化（RPA）和智能办公应用于内部控制领域。人工智能机器人可以通过综合处理财会领域的文字、图像、音频和视频等数据，进行大数据处理并自主学习，实现智能财务分析、预测和决策，人工智能机器人全面控制、精细化运作是未来内部控制建设的发展趋势。RPA能够实现财务和业务流程的集成化和自动化，智能数据处理和智能阅读海量信息，替代大量机械化、简单重复性人工工作，减少人为因素造成的错误和舞弊，大幅度提质增效。第四，创建智能财务共享中心。以财务为核心，注重业财融合，通过信息技术将各个企业、部门相互联系，以共享平台为支撑实现财务共享，促进企业以及部门之间协调发展，其建设包括地点选择、流程设计、组织设置、信息技术支持等方面[ 9 ]。第五，运用信息化手段加强对内部控制的审计监督。借助现代大数据等信息技术提前分析、预警可能发生的目标错位或风险失控信号[ 10 ]。在信息技术时代下实现“三步走”审计和功能协同，包括实施“信息技术+内部控制（内部审计）”“信息技术+外部审计”以及“内部审计+外部审计”的内外部交叉审计。如分布式记账系统要求全员共同参与，输入信息必须真实有效且一致，否则被拒绝输入。借助区块链建立公开透明的风险防范机制，将关联方联系在一起，对企业会计信息进行分析，及时报告异常情况，从而发现并解决潜在风险。区块链的“分布式记账”技术凭借其分布式、不可篡改性、安全密钥、智能合约、公开透明等技术特点将会颠覆和重塑传统会计监督工作。除此之外，智能化“内控流程”、区块链比特币底层技术、风险预警技术、“信息技术+绿色供应链”、大数据内部控制技术等都是信息技术在内部控制中的具体应用，能够促进企业内部控制智能化建设。

八、实施基于业务的预算、人力资源、信息系统综合控制

基于业务的预算、人力资源和信息系统控制在内部控制建设中具有重要作用，对资金的控制、人力资源的控制和信息系统控制，是内部控制非常重要的业务板块。内部控制贯穿于企业资金活动、采购业务、资产管理、研究与开发、销售业务、工程项目和财务报告等全过程，因此，以发展战略为耦合点协同推进以业务为核心的预算、人力资源、信息系统综合控制是企业发展壮大的必经之路。《企业内部控制应用指引第15号——全面预算》指出企业应实行全面预算管理，强化全面预算工作的组织领导，明确各预算单位的职责权限、授权审批程序和工作协调机制等，发挥全面预算的作用。预算控制是非常有用的内部控制工具，从目标控制、程序控制、信息控制三部分进行全面预算[ 11 ]，坚持全面控制、事前控制、重要性控制三大原则，建立健全全面预算制度;制定科学合理的预算目标，对预算编制、审批、确定、执行、评价、报告、分析实施过程监控，实时掌控财务状况，控制预算过程中存在的风险;利用信息系统加强预算信息管理，充分发挥全面预算在业务执行前控制计划投入量，在业务执行中控制投入产出效用，在业务执行后评价预算的价值目标的职能。《企业内部控制应用指引第3号——人力资源》指出企业应妥善安排职工、实现人尽其才、实行岗位回避制度，切实做到因事设岗、因岗配人、事岗匹配、人岗协调。因此，应制定人员招聘制度，加强对财务会计、内部控制、内部审计等的岗位管理，对员工进行岗位技能、工作内容和工作标准培训，实行人力资源奖惩机制，健全员工退出机制，从而提高内部控制有效性，促进企业更好地发展。《企业内部控制应用指引第18号——信息系统》指出企业应在内部控制建设中运用信息系统与信息化技术，加大信息技术投入、开发、运行和维护，提高现代企业管理水平。从五要素来看主要体现在优化内外部环境，提高风险评估的准确性，增强控制活动的协调性，增强信息与沟通的有效性以及为监督与评价提供技术支撑。在信息技术环境下，内部控制信息系统不仅要有不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考核控制等传统的控制措施，而且也必须有治理结构、机构设置和权责分配、人力资源政策等控制方法和手段[ 12 ]。比如授权审批实行线上操作，在不同层级之间嵌入严格的防火墙，切实做到自上而下的授权审批程序，防止各领导层僭越和企业机密文件泄露;同时设置人脸识别、指纹解锁、ID代码等高级访问权限机制实现专人专用，成立技术专家团队加强对系统的更新安全维护，避免黑客恶意攻击系统造成重要数据泄露。

九、强化以QHSE为基础、ESG为核心的社会责任风险控制

《企业内部控制应用指引第4号——社会责任》规定，企业应当履行社会责任以控制社会责任风险，实现社会发展与企业发展协调统一，主要涉及产品质量、服务质量、安全生产、节能减排、促进就业、保护员工权益等。2018年新版《上市公司治理准则》确立ESG的基本框架，强化上市公司在环境保护和社会责任方面的引领作用。企业社会责任履行与内部控制质量分别对企业可持续发展水平发挥促进作用[ 13 ]，因此，建立以社会责任为导向、ESG为核心、QHSE管理体系为基础的内部控制体系，采用PDCA循环工作方法，通过过程识别和控制规范管理、强化职责落实和制度建设，形成一套事前计划、事中管控、事后纠错的科学规范管理体系，对企业的质量、健康、安全、环境、公司治理等社会责任风险进行控制，促进企业发展目标实现。在内部控制体系中，企业可以从用户层、逻辑层、数据层和反馈层进行构建。用户层主要包括管理者公司内部用户和消费者等外部用户;逻辑层主要参照PDCA循环工作方法，由决策层、执行层、检查层和优化层构成;数据层主要是数据的存储、共享和运用，数据随着企业的发展而迅速增加，数据是否安全与完整关系着企业能否正常运转;反馈层主要用于收集各方面的建议进行内部控制体系的完善。这要求企业创造良好的内部控制环境，为安全生产保驾护航;鼓励全体员工参与该系统建设，加强员工职业技能培训，对可能发生的风险制定应急预案，加强风险评估和应对;加强控制活动，对员工进行定期体检，生产过程实行正规化管理，确保员工健康和安全;坚持资源节约与环境保护，实现绿色生产、绿色营销、绿色物流，建设资源节约型和环境友好型社会，从而增加社会资本、赢得社会声誉，促进企业可持续发展。2019年12月联交所正式发布新修订的《上市规则》及《环境、社会及管治报告指引》，规定上市公司将环境和社会目标纳入公司发展战略，及早将ESG纳入公司治理中，全面提升企业ESG管理能力。要求企业在信息披露中公布环境、社会和公司治理的非财务信息指标并按时出具ESG报告，该报告是社会责任报告和可持续发展报告的未来发展趋势。企业内部控制系统应基于ESG报告框架来实施，报告不仅要从质量管理、健康管理、安全管理和环境管理四个方面反映实施QHSE绩效评估的过程及结果，也反映其他与环境、社会和公司治理方面的信息，同时将ESG报告和内外部审计结合建立ESG内部控制评估体系，更好地对企业存在的ESG有关问题进行诊断，及时发现问题并解决问题，优化内部控制系统。

十、建立内部控制评价、报告和审计协调统一的三层次监督体系

《企业内部控制评价指引》要求企业对内部控制的设计和运行情况开展全面评价，规范内部控制评价程序并公开披露评价报告。《企业内部控制审计指引》规定在特定基准日会计师事务所接受委托，对企业内部控制设计和运行的有效性进行审计，并发表审计意见。内部控制评价及审计指引为我国内部控制评价、报告和审计提供了操作指南，但在实际执行过程中仍然存在诸如企业领导层关注度低、全员参与度不够、报告时间不连贯、内容选择性报告严重、外部审计缺乏标准等问题。内部控制审计报告的影响因素基本与内部控制自评报告相同[ 14 ]，内部控制评价、报告和审计三位一体，是内部控制的监督机制、考评机制和优化机制。因此，抓住三位一体，建立层层落实、分级监管的有效监督体系刻不容缓，包括内部控制自我评价（CSA）、内部控制的内部审计（CIA）和内部控制的外部审计（CPA），即C-SIP-A三层监督體系[ 15 ]。三管齐下，达到1+1+1>3的效果，对内部控制的有效性做出客观评价，促进内部控制系统持续优化。外部审计人员应提高工作能力和水平，严格按照《企业内部控制审计指引》等审计依据进行审计，扩大内部控制审计测试范围，进而发现内部控制缺陷并提出改进建议。企业应制定内部审计章程，加强内部监督，建立问责机制，同时配合会计师事务所加强内外部监督协同建设。监管机构作为市场经济秩序的维护者，规范内部控制评价、报告和审计义不容辞，包括内部控制自我评价及内部控制审计方法、程序、范围、评价报告和内部控制审计报告的披露标准、内部控制重大缺陷的界定等，提高内部控制评价与审计的报告质量。在C-SIP-A监督体系中引入大数据和人工智能等信息技术，建设信息化的C-SIP-A监督体系，让技术替代人的耳朵和眼睛，能够减少主观臆断带来的偏差，缩小内部控制报告期望差。建立C-SIP-A三层监督体系，提高业务能力，完善法人治理结构，明确内部控制审计程序和界限，积极配合第三方审计，形成业务层面风险防控、管理层面风险防控、内部审计层面风险防控、外部审计层面风险防控四道防线是保护相关者利益、实现公司发展战略和推动经济社会高质量发展的重要基础。

【主要参考文献】

[1] 樊行健，刘光忠.关于构建政府部门内部控制概念框架的若干思考[J].会计研究，2011（10）：34-41.

[2] 池国华.企业内部控制规范实施机制构建：战略导向与系统整合[J].会计研究，2009（9）：66-71.

[3] 唐大鹏，王璐璐，武威.预算分权下政府内部控制概念框架及实现路径[J].财政研究，2017（6）：59-71，58.

[4] 王海兵，贺妮馨.企业内部控制建设的八个层级[J].会计之友，2018（3）：136-139.

[5] 陈俊，张敏娜.企业“物联网+内部控制”体系的构建[J].会计之友，2018（13）：113-115.

[6] 叶陈刚，裘丽，张立娟.公司治理结构、内部控制质量与企业财务绩效[J].审计研究，2016（2）：104-112.

[7] 王海兵，张元婧.传统文化嵌入企业内部控制的机制和路径研究[J].会计之友，2019（20）：113-119.

[8] 王颖，卜海.内部控制与组织文化的契合及互动：特征辨析与路径探索[J].审计与经济研究，2014，29（6）：42-48.

[9] 孙红梅，雷喻捷.大数据、人工智能环境下内控风险及防范探索[J].会计之友，2019（13）：118-122.

[10] 王凡林.大数据环境下的内部控制体系重构[J].会计之友，2020（10）：2-7.

[11] 王海兵，李文君，何建国.企业战略性社会责任预算控制研究[J].当代经济管理，2017，39（5）：12-17.