姚莉莉 游族网络信息技术有限公司

引言

IBM领导层早就意识到，要实施有效的内控绝对不是一件容易的事情，在设计和执行内控过程中需要付出高昂的成本。如果可以选择，IBM可能不会花费那么多资金和高级管理层的精力去关注控制。按照IBM顾问个人的理解，内控就像企业的“红绿灯”，没有人希望受到它的限制，但没有“红绿灯”整个企业将可能陷入一片混乱。内控执行难其实是一个普遍而客观的存在。企业内控通常会遇到以下十大问题：领导凌驾在制度之上；内控设计目标定位不准确；忽视流程环节关键控制点；缺乏内控成本与效益的权衡；盲目照搬，不能因地制宜；内控设计不能随企业发展与时俱进；控制程序与业务执行脱节；习惯代替制度，信任逾越监督；内控设计不能匹配控制环境；过度依赖信息管理系统。企业应该针对内部控制问题建立系统性的内部控制制度，并营造内部控制文化提高员工的职工素养和职业道德，让员工懂得在企业内部个人没有绝对的自由，企业中的各项决策必须受到制衡。内控内审人员也要认识到内控是企业运营的刹车、是对效率的牵制，这是客观事实，内控不是越严越好，完全追求效率的极端和完全强化内控的极端都是不对的，我们需要找到内控和效率的平衡点。企业有效实施和顺利推进内控的基础，事先疏通企业的内部利益结构。梳理清楚有哪些人会因为推行内控制度而利益上有损害，通过换岗等方式将其妥善安置好后再推行。否则现在推行内控把其原来的利益拿掉了，会让其产生很强的失去感，就会明里暗里地抵制内控，导致内控很难推行下去。

一、内部控制体系的基本框架概念

（一）内部控制的涵义与目标

COSO（全美反舞弊性财务报告委员会的简称）定义了内部控制（简称“内控”）是受企业董事会、管理层和其他职员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对适用法律、法规的遵循性等目标提供合理保证的一种过程。从内控的定义可以看出，内控是动态的过程，并不等同于一系列的规章制度，制度是要求、操作流程，内控是制度设计、工具、保证制度能落地的方法；制度是载体，内控是在规章制度中的嵌入。比如说将不相容职务的相互分离、表单管控、归口管控、授权管控、安全控制、会计控制、信息化控制、预算控制、政府采购控制、招投标控制等内控方法植入到相应的制度流程中。

内控的目的包括以下五个方面：保障整个企业的经营合法合规，这是企业内控的底线；保护股东投资和公司财产的安全；确保内部和外部报告的真实、完整和可靠；确保公司能朝着既定的战略目标前进，提升经营效率和经营的效果；管理和控制风险（不是消除风险）。内控的具体目标和要求绝非只有严格一个导向，它是一个动态权衡的结果，需要根据企业的特征、发展阶段来权衡，而不是绝对化，具体目标和措施的制定要务实。

（二）内部控制与内部审计的关系

我们在谈内控的时候，后面都会谈有没有监督，这个监督就是内部审计机构的职能范围。内审职责不仅限于会计报表的审计，还要看各项业务活动是不是符合企业管理的规章制度、是不是符合企业内部控制的要求、是不是符合风险控制的要求、是不是符合业务流程的相应规定。所以内审工作，一方面是对企业内部经营活动的监督、检查和评价，另一方面内审不仅限于评价，还应拓展到对企业内部经营活动和内控工作的优化、改进和完善。综合来讲，内审在企业内部通过不断地发现问题并解决问题，承担了监察和咨询的功能。

因此，内控与内审是相互促进的关系，设计有效并能执行到位的内控体系能大大提高内审的工作效率与工作价值，而内审的工作能促进内控的优化和完善。

二、评估内部控制管理成效的基本内容

（一）控制环境

控制环境是土壤，包括风险管理的理念和风险偏好、诚信和道德价值观，以及它们的运营环境。董事会的态度和经营方式，是决定控制环境优势的关键因素。从治理结构上来说，独立董事在董事会中的比例为判断董事会的独立性和公司治理结构合理性的一个重要标志。控制环境是整个内控系统的底层基础，就像高楼大厦的根基、种植橘子树的土壤。

（二）风险评估

风险评估就是要识别和分析公司面临的所有的潜在风险，包括商业风险、财务风险、合规风险、运营风险，然后确定应该如何减轻和管理这些风险。企业运营始终是涉及风险的，需要在完全消除风险和对风险关注不足之间做恰当的平衡，在确定整个公司的环境和业务活动的风险以后，需要对风险进行评估和分析。一旦评估了风险的重要性和可能性，那么管理层就需要考虑如何去管理风险以及选择对应的策略。

（三）控制活动

控制活动就是包括各种政策和程序，企业不同层面的人员共同实施的控制活动，可以归纳为以下几种：一是合理授权，比如对外支付的审批、签字制度；二是活动管理，由负责的管理人员对绩效报告进行审查，比如定期将实际数据、预算数据进行比较，分析差异；三是信息处理，执行各种控制与检查交易的准确性、完整性和授权，比如异常报告；四是实物控制，确保设备、库存、证券和其他资产得到保护，并且定期的检查，如仓库的收发存系统、各种实物资产定期的盘点制度。五是职责分离，在不同的人和岗位之间划分和分离职责加强检查，并最大限度地减少错误的风险。

（四）信息和沟通

信息和沟通是指能够使人们识别信息、获取信息和汇报信息的有效流程。信息系统提供运营、财务、合规的相关信息，促进业务的运行和控制，是执行决策和外部报告的必要条件，信息质量会影响管理层做出适当的决策的能力。信息的内容需要真实完整的，具有时效性、准确性、可靠性和可访问性。有效的沟通必须贯穿整个组织的各个方向，员工必须了解自己在内部控制系统中的角色及个人活动和他人工作的关系，什么行为是预期的、什么是可接受的、什么不是预期的，或者不是被公司接受的。管理层与董事会和董事会的委员会之间的沟通至关重要。管理层必须使董事会了解绩效发展和重大风险、重大举措等相关一些问题。反过来呢，董事会也应该向管理层传达所需要的信息，并提供指导和反馈。除了公司内部，董事会和管理层还需要与股东、客户、供应商、监管机构等各个外部等人士进行有效的沟通。

（五）监控

内部控制系统最后一环节是需要一个评估内部控制系统的过程。所发现的内部控制的缺陷应该报告给公司高层，如高级管理层、审计委员会或者董事会，监控的目的是确保内部控制持续有效运营，监控涉及由内控审计人员评估内控的设计和实施，以采取适当的后续行动。

三、内部控制措施执行难的原因

内部控制的灵魂在执行。作为内审人员，都很希望制定了内控制度就能够执行，执行就能有效。然而在实务中，审计人员深有体会：构建内控体系、完善规章制度、设计内控流程、推广和培训内控制度都不难，但内控体系构建好之后，实际执行却常常不到位，总是遇到明里暗里的抵制，或者流于形式与理想状态相差甚远。其实内控执行难有着深层次的原因，主要有两大根源：

（一）内控限制了个体的自由

因为内控为了防范由于个人自由造成企业的一些潜在风险，就必须限制个人自由。内控的控制活动包括审批、复核、监督、轮岗等，都是对个人自由的限制，但恰恰追求自由又是个体的天性，因此个体从潜意识里就会抵触内控。内控牵制了工作的效率。我们要认识一点，内控在防范风险的同时，确实会不得不牵制和影响工作效率。而业务部门是希望效率越高越好的，缩短流程、减少审批就会提高效率，所以业务部门出于对效率的追求，也会自然而然地抵制内部控制，这个矛盾的存在也是客观的。

（二）内控影响了个人的利益

企业中永远会存在着个人利益和企业利益发生矛盾冲突的地方。其实企业中很多风险的存在，是由于个人利益和企业利益之间发生矛盾。内部控制倾向于保护企业的利益，因此就会限制某些个人的利益，影响到某些个人的不当得利，比如供应商选择、费用报销等环节的内部控制程序等，触动别人利益而导致内控被抵触。综上，内控执行绝非一帆风顺，因为它客观上限制了人的自由，影响了效率和利益，所以如果想要顺利推行内控制度，必须先提高员工的思想认识，让其认识到自由和企业的制衡是必然的，效率和内控的平衡点要找到，还得梳理好内控利益结构，才有可能顺利有效地推行内控制度。

四、企业搭建有效的内控体系的策略建议

（一）健全规范化的内部控制制度

建设内控有一套系统化的方法体系，可以用几个“化”来概括：管理制度化、制度流程化、流程岗位化、岗位职责化、职责表单化、表单信息化、信息数字化、数字智能化。内控不仅是建设内控制度，比制度更大的问题是执行。因此必须将制度流程化。从制度、岗位、流程三个层面上，去评价现有的工作步骤，采取相应的措施规范操作流程，避免内控的重大风险。同时，还不能因为建设内控而过度影响工作效率，需要将流程岗位化，只有岗位还不行，还需明确岗位对应的职责，将岗位职责化，职责是通过表单的形式体现出来的，因此就有了职责表单化。制度、流程、岗位职责、表单这些构成了整个内控一个系统的方法，在规范统一流程的同时，植入内控的方法体系。在流程执行过程中可能出现的问题叫风险。把风险标注出来，单独列示相应的风险清单，同时标示风险的属性、风险的等级、风险应对的控制措施、风险归属的责任部门，把所有的风险在流程中列出来，就是风险矩阵。针对每个风险点去建立相应的内部控制时，要用到风险评估的方法。风险评估要从风险发生的可能性和风险影响的程度，对流程中所涉及的每个控制点进行综合分析，从成本效益的角度来综合考虑针对各个风险点的内控措施。

（二）完善内部控制工具的使用内容以及流程

系统化的方法体系基础上，企业还可以结合使用以下内部控制工具和手段进行内控建设。一是不相容职务的分离控制。在整个内控里面是最基本的，也是最重要的一个控制。授权批准、业务经办、会计核算、财产保管和稽核检查，理论上这5个环节的人和岗位都要分开，这样在工作流程的内控设计上就有了一个基本的底线。二是授权审批的控制要求。明确股东会、董事会和经营层三个层面的决策规则和机制。谁有权利动钱、谁有权力决定人事、谁有权利碰机要文件和印章，这三个是最重要的授权审批控制，需要明确审批控制的要求。三是财产的保护控制。广义的财产，包括货币资金、存货、应收账款、固定资产、土地房产等。财产保护在内控执行的时候，一定要遵循职务分离的基本原则，在整个管理的过程中，采购人、保管人、记账人、监督人这4个职务要确保分离。要注意的四个要点包括：资产日常管理，入账管理确保都有明确的人员负责，包括入库、领用、损毁、核查等环节都有专人登记；资金管理，要有统一管理的资金池，公司的资金池尽可能在规范的账户当中，不要和个人账户夹杂在一起；资金与账目的审批一定要及时匹配；定期清查防范内部舞弊。四是预算的控制。对于预算的控制要注意三点：预算一定要有一个专门的机构负责，管理层推动，财务部门或预算管理委员会牵头，自下而上再自上而下进行沟通和推动，得到绝大多数人的认可，预算才能推下去；预算不要求很准，在整个实施过程当中，要建立一个动态调整的机制；预算一定要同绩效考核衔接，同财务审批衔接，才能够通过预算实现内部控制的目标，保证所有人朝着既定的目标，在既定的轨道内前进。

（三）搭建信息化的业财控制体系

一方面利用信息化手段建设流程，另一方面在今天数字化的时代，要把流程看成一个采集数据的过程。从业务端的发生到财务端的收付款，语言是不一致的。业务以目标为导向，财务以流程为统领，业财的不融合背后是目标管理和流程管理的不融合，它们两者融合在一起的时候，就会产生矛盾，会发现业财的数据没有贯通。所以内控的建设背后还有一个业财流程融合的过程。而业财流程融合的过程，其实是业财数据打通的过程，这个过程中所增加的工作量，必须运用智能化的手段，让大量的人工在重复性发生的环节中解脱，必须以大量的数据实现智能化的应用，让业务与财务的语言能够相互共享。所以流程再造的过程，是一个数据标准统一的过程，又可以看成是一个数字化的过程。此外，为了提高业务部门填写各种表单的效率，企业需要将表单信息化。这里要注意的是，在信息化落地之前，从制度走向表单，需要大量的流程梳理和再造工作，否则就会把线下问题搬到线上。

（四）开展全过程的会计监督管理

内部控制建设一定不能忽视会计控制的基础性作用。管理的核心是财务管理，财务管理的核心是资金管理，我们抓住资金管理这条线，再逐步地延伸到业务。财务管理就是一套流程化管理的体系，将其延伸至业务，就能够规范业务中的流程管理，业财融合就是业务和财务流程的整合。企业应该确保会计系统的真实和完整，让管理层以及税务机关客观真实地看到企业的经营状况，并让投资人能够认可企业管理的客观性、真实性、透明度，从而愿意与企业一起发展。因此，在内控管理中，第一，要保证财务体系和账务体系的真实性，坚决杜绝两套账；第二，要确保财务做账证据链的完整，包括比如生产计划、物流、出库入库、合同、票据等支撑材料，只有证据链是真实完整的，才能够检验账是否为完整的；第三，建立符合企业业务特点的、统一的核算标准（企业会计准则），消除理解偏差，摆脱对做账人的主观依赖性；第四，确保财务报告制度的实施。财务报告制度包括外部报告和内部报告，外部报告是以三表为核心的，内部报告需要在三表的基础上加上一些特殊的财务分析、一些特殊的业务数据的比对等。在公司内部形成一套财务报告机制，是确保财务会计系统真实性、完整性的一个重要手段；第五，监督包括内部监督和外部监督。内部审计的审核、外部第三方专业审计机构的审查，是确保会计系统合规、会计系统能够处于控制合理范围内的重要工具。

（五）基于顶层设计内部控制架构

第一，内控要注意与宏观战略相结合，要有高度、有目标。内部控制只有与战略相结合，才能得到管理者的认同，才能得到全体业务部门的认同，否则，就会被认为只是对外的合规，为了符合监管的要求，是某一个具体部门的事情，是具体业务层面上的内部控制，而忽略了在内部控制中应该关注的控制环境的建设。而控制环境又是内部控制所生存和发展的土壤，土壤不好，种什么苗都会出问题。所以应该把内部控制放在战略高度下去观察，战略不确定性与风险相互联系，那么内部控制才会以风险为导向去建设。

第二，内部控制建设，要与企业内部现有的标准体系相互整合，实现有效的融合。一个单位里有各种标准，包括内部控制也是一套标准。而一个单位不可能去实现各种各样的标准，而是要在这些标准中去整合，梳理可能会出现的冲突，可能出现的具体的问题，将标准之间进行一个有效的融合。

第三，内部控制一定要注意上升到集团的高度，集团管控问题是集权和分权的划分问题，直接影响到一个单位的组织架构、岗位职责的划分、部门职责的划分，这也是内控的问题。集权和分权的划分有一个思路，叫做集中的更集中、分散的更分散。重复性发生、低附加值、容易有重大风险的，要把它集中；有利于调动积极性、发挥主动性的权力要注意分散。

第四，内部控制要平衡风险和效率之间的关系。我们不可能把所有的内部控制都建立起来，但是对关键风险关键控制必须要把握住。有些控制虽然成本会很高，但是它的风险一旦发生，造成的影响会非常大，那必须概化相应的成本；有些风险可能很少去发生，形成的风险也不会有那么大，那就没有必要去建立最严格的控制体系。总之，我们要平衡效率和成本之间的关系。

结语

《黄帝内金》有云：“上工治未病，不治已病，此之谓也。”内控强调的是企业应该构建一个对于相关风险的防范体系。一个精心设计的且被实际执行的内部控制系统，可以有效地帮助高管或者投资者管理公司，同时也降低风险且增加业务的价值。正是由于企业有规范、执行到位的内部控制，有良好的控制环境、科学的风险评估、有效的控制活动和畅通的信息沟通，内审的事后监督工作才能更有效率更好地开展，从而促进内控进一步完善，促成企业内部管理的良性循环，降低成本和内耗，提高市场竞争力协助企业做大做强。否则，若企业的内控设计失效、执行不到位，内审只能事后做亡羊补牢、事倍功半的工作，不仅效率低下而且很难产生价值。所以一定要重视内审工作之前的内控建设和执行的工作。内部控制的建设只有起点没有终点。内部控制实际上形成了单位的一套标准，标准减现状等于问题，企业需要不断地进行内部控制评价，让内部控制体系不断趋于完善。企业要从制度、流程、岗位三个层面上来搭建内部控制评价制度，同时要注意对缺陷的评价，这些缺陷的评价又是未来整改的方向，所以内部控制的建设是一个系统的工程、是一个动态的过程，内部控制的建设永远在路上。