王墨 北京银行股份有限公司

纵观企业内部控制的发展历程，企业内部控制起源于会计问题，从内部牵制开始，目标是资金、账目、物资核对一致并保证资产安全，是对财务风险的高度关注。经过几十年的发展，内部控制发展到今天，财政部发布的《企业内部控制应用指引》，基本涵盖了企业的常见业务和经营活动，企业内部控制已经演变成了企业管理问题。原来的企业管理层普遍认为，内部控制主要是控制财务风险，企业内部控制建设与自评价的牵头部门通常都是财务或内审部门。财务和审计部门则认为，内部控制涵盖了对企业所有业务的合规管控，应该由企业的管理层或者业务部门来实施。经过几十年的探索，内部控制的建设与自评需要所有部门的参与和实施。当今的企业内部控制已经从财务视角逐渐发展转变为管理视角，重点关注管理模式与管理效率，以及达成企业战略目标的风险，包括内部控制的建设、实施、自评、检查，以提升管理水平和经营能力。

一、企业内部控制的发展沿革

从企业内部控制的发展视角看，从20世纪中期企业内部控制产生到2008年我国财政部发布内部控制指引，企业内部控制经历了以下五个发展阶段。

（一）内部牵制阶段

1947年以前，企业内部控制主要是指内部牵制和内部会计控制。内部牵制以防范舞弊为目的，主要强调不相容分离控制及账务的核对相符，控制对象为实物牵制和簿记牵制。以关注交易为主的内部会计控制，依据管理授权，依据美国通用会计准则（GAAP）或其他标准，主要目的在于确保财务报表的真实性，以及资产的价值管理与实物管理的分离管理，以达到保护现金和资产安全及账簿记录的准确性。

（二）建立内部控制阶段

20世纪40-70年代是建立内部控制阶段，目标是数据准确一致，这一阶段强调内控的可靠性。1947年，美国注册会计师协会（AICPA）首次正式提出了内部控制，把会计以外的经营效率和管理问题纳入内部控制的范畴。

（三）完善内部控制结构阶段

1949年的审计专题报告对内部控制的定义内容比较宽泛，后来基于承担对内部控制进行检查的责任，审计程序委员会提出了新的解决方案，把内部控制划分为了内部会计控制与内部管理控制两大类。内部会计控制基于内部牵制阶段提出的以关注交易为主，主要在于依据GAAP或其他标准，确保编制财务报告真实可靠，以及保护资产安全。内部管理控制包括内部会计控制，更偏重于管理部门基于企业战略目标对经济业务的管控措施。

（四）COSO内部控制整合框架

1985年，美国股市的重大丑闻，使相关企业的会计师和会计师事务所受到了舆论和投资者的极大压力。美国注册会计师协会（AICPA）等五家协会联合创建COSO（Committee of Sponsoring Organization）委员会，通过研究发现，企业的财务风险和经营过程密不可分。COSO委员会于1992年9月发布了《内部控制——整合框架》（COSO-IC），包括控制环境、风险评估、控制活动、信息与沟通及内部监督五个要素。

（五）COSO风险管理整合框架

COSO的《内部控制——整合框架》发表10年后，美国安然、世通财务舞弊事件使人们更深层次思考内控的有效性问题。2002年，美国国会颁布《萨班斯——奥克利法案》，首次提出对内部控制的有效性进行审计，使美国上市公司在接受财报审计时还要接受内控审计。当时中石油、中国移动、华能股份等在美国的上市公司都因萨班斯法案的出台建立整套企业内控体系，以通过美国的内部控制审计。至此，内部控制从一个会计问题延伸到了管理经营，各国的监管机构不断推动，到今天各个企业都在建立内控体系。从原来的注重经营结果也就是财报的真伪，到现在注重整个经营过程的规范。

在此基础上，内控有效性及公司面临的运营风险成为焦点。COSO委员会于2004年9月又发布了《企业风险管理——整合框架》（COSO-ERM），使内控延伸到了全面风险管理。风险管理框架在内控框架的基础上增加了目标设定、事项识别、风险应对，共八要素。内部控制是风险管理的有机组成部分，而风险管理是企业管理体系的重要组成部分。COSO的两个文件是企业内控管理和风险管理的里程碑。

二、我国内部控制发展现状

（一）财政部发布内部控制指引

2008年6月，财政部等五部委联合发布了《企业内部控制基本规范》，形式上借鉴采用了COSO-IC的五要素内控框架，在内容上体现了COSO-ERM的八要素实质。基本规范和后来发布的配套指引共同构成了我国内部控制整体框架。其中，应用指引包括18号具体指引，分为内部环境类（1-5号）、控制活动类（6-14号）及控制手段类（15-18号）。内控体系分为公司层面控制、业务流程层面控制及评价机制建设。国务院国资委要求所有中央企业2012年开始实施内控管理，且每年4月30日提交内控评价报告，至此我国与国际上的内控管理正式接轨。财政部会计司其后又发布了内控管理解读，对内控和风险管理具有很强的指导意义。财政部内部控制指引首先明确了以风险为导向，其次突出流程管理，再次将内部控制从财务向管理转化。

（二）基于我国内部控制建设的思考

内部控制是对企业经营过程的控制。内部控制是风险管理的手段之一，防范的是内部的程序性风险。可以看出，规范的企业经营清晰界定了业务流程，把流程环节和岗位责任加以明确，增加了操作环节的文档要求和实施证据。这使造假账的难度和成本增加了，减小了舞弊和造假风险。

内部控制应紧密贴合企业经营管理业务实际。以流程框架梳理为起点的内部控制建设，是为了避免内控体系建设和后续的风险评估偏离企业的整体管理和业务管理。内部控制建设应从企业经营业务实际出发，核心业务、重大风险管控流程要做细，体现业务特征、管理特征和风险特征。业务流程梳理的主责部门应该是业务部门，牵头部门仅发挥组织指导的作用。将财务和业务勾稽关联起来，找到造成财务风险的业务流程缺陷，完成整改并强化执行，管控企业经营风险。

通过制定风险控制矩阵识别企业风险。制定风险控制矩阵，梳理企业各流程环节，发现流程环节中的重大风险点，并对重大风险提出控制措施和解决方案，并将这些控制措施纳入企业制度中加以规范。制度应该与流程环节相对应，实现管理制度化、制度流程化。

流程梳理包括业务职责梳理、业务制度梳理及流程环节梳理。通过业务职责梳理的内控缺陷如缺少归口管理部门；部分业务职责存在缺失、模糊；部分业务职责存在交叉、不相容等。通过业务制度梳理的内控缺陷如缺少业务管理制度；业务管理制度不适用；业务管理制度未执行等。通过流程环节梳理的内控缺陷包括缺少流程环节；审批权限不明确；缺少控制表单；缺少风险控制措施等。

三、内部控制流程举例

以大宗物资采购为例，供货商按照供货要求供货，财务付款需要发票履行付款程序，实施证据仅为发票和银行付款凭证，仅有订单及财务交易凭证是远远不够的，这样的证据不排除企业制造虚假交易取得。内部控制要求，采购首先需要履行招投标流程，包括编制招标书、供应商资质审查、评标过程记录、评标结果上报审批。二是履行合同管理流程，包括合同谈判、合同起草、合同审批、合同归档保存。三是履行验货流程，包括货物验收、货物入库。具备以上流程后才能进入付款流程，取得发票和银行付款凭证。

（一）采购环节内部控制流程

采购业务流程防范舞弊的三个关键控制点包括供应商选择的方式、采购价格的确定、货款支付时间和方式。三个关键控制点对应三种核心采购权力岗位，分别为供应商选择权、价格确定权、货款支付权，均为不相容岗位。企业的资源通常分部在各个不同的部门，这类资源必须是有价值且是稀有和专有的。采购部门能够通过管理供应商来增加企业的资源，协助企业达成战略目标。采购管理是从订单管理到供应商关系管理，再到战略采购的提升过程。订单管理包括谈判、合同签署跟踪订单的质量、进度、完成采购目标；供应商关系管理包括供应商分类培训、供应商管理的指导、供应商关系协调、供应商考评、供应商奖惩；战略采购包括战略制定、战略寻源、确定战略供应商、共同进行开发产品和计划、实行一致性和标准化的业务流程，是从培训到固化、从源头到完成的全链条管理。①采购管理的提升路径应该是从成本驱动向综合管理转变的过程。

（二）合同环节内部控制流程

合同管理可按照合同的业务活动具体环节来梳理风险点，通过制定风险控制矩阵，梳理流程环节，发现重大风险点，制定控制措施，并将其融入相关制度中。流程梳理过程中的内控缺陷，包括业务职责梳理、业务制度梳理及流程环节梳理。通过业务职责梳理的内控缺陷包括缺少归口管理部门；部分业务职责存在缺失、模糊；部分业务职责存在交叉、不相容。通过业务制度梳理的内控缺陷包括缺少业务管理制度；业务管理制度不适用；业务管理制度未执行。通过流程环节梳理的内控缺陷包括缺少流程环节；审批权限不明确；缺少控制表单；缺少风险控制措施。

四、内部控制促进企业管理提升

企业在内部控制的实施过程中，往往只涵盖了财务的“规”和标准，而业务的“规”和标准缺失很多。在向管理型内控延伸时，这些标准有很大的提升空间。企业管理发展阶段与内部控制内容分为以下五个渐进的阶段。

一是合规阶段。梳理制定流程与制度，避免设计与执行中的重大缺陷，减少人为的管控风险。二是优化阶段。对流程执行中具体标准、表单、模板进行细化和优化完善。三是提升阶段。分析标准化流程形成的大量样本、数据、表单进行有效风险度量、量化管理。四是战略整合阶段。建立公司战略目标达成与风险影响指标的关联；进行关键指标监控预警和IT建设。五是有机协同阶段。风险管理作为各部门及各分子公司有机协同的竞争优势，持续管理能力提升，已达到世界一流的水平。

五、结论与建议

企业内部控制应明确董事会、监事会、经理层及全体员工的内部控制职责，建立自上而下、全员参与的内部控制体系。在日常业务流程中，企业应注重风险的识别和评估，并制定风险应对策略，特别是重点领域和关键环节的控制措施，确保内部控制融入决策、执行和监督全过程。企业应当将内部控制与全面风险管理、合规管理等管理体系融为一体，以制度为抓手将各管理体系融入业务流程中，避免各管理体系分散管理造成的叠床架屋。注重内部控制的管理协调，内部控制牵头部门应协调各职能部门统筹内部控制措施，保证业务流程控制的有效性。企业应根据企业规模、内外部环境变化、经营战略随时调整内部控制，制定适合本企业的、切实有效的内部控制体系，促进内部控制的有效执行，推动企业的可持续发展。

注释

① 张依林：《企业内部控制体系建设》，2016年12月。