宗頤淼

（江蘇蘇美達集團有限公司）

一、企業(yè)建立內(nèi)部控制體系的驅(qū)動力

從外部因素來看，企業(yè)內(nèi)部控制建設主要源于法律法規(guī)、證券監(jiān)管的需求，特別是上市公司為解決中小股東、大股東及企業(yè)信息不對稱的問題，強制要求企業(yè)建立內(nèi)部控制體系，披露內(nèi)部控制評價及審計報告。2021年已有4562家上市公司進行了內(nèi)部控制自我評價，并披露了內(nèi)部控制自我評價報告，占比高達98%，可見強制性規(guī)范要求是企業(yè)建立內(nèi)部控制的重要因素。從企業(yè)內(nèi)部因素來看，所有權與經(jīng)營權分離的現(xiàn)代企業(yè)架構，股東對于職業(yè)經(jīng)理人的監(jiān)督必然成為重要的內(nèi)容，而由董事會建設的內(nèi)部控制體系就是對職業(yè)經(jīng)理人最好的約束和監(jiān)督；同時，企業(yè)經(jīng)營過程中收益與風險并存，漠視風險一味追求收益是危險的，也是不可持續(xù)的，內(nèi)部控制建設也是職業(yè)經(jīng)理人規(guī)避風險的方式。對于上市公司來說，在滿足信息披露要求的同時，完善的內(nèi)部控制能夠建立和維持投資者信心，提升上市公司價值，也是上市公司建立健全內(nèi)部控制的內(nèi)在動力。所以企業(yè)建立內(nèi)部控制體系不僅是外部監(jiān)管的需求，也是企業(yè)自身發(fā)展的需求。

二、企業(yè)內(nèi)部控制現(xiàn)狀分析

（一）企業(yè)在內(nèi)部控制建設時存在誤區(qū)

很多企業(yè)在進行內(nèi)部控制建設時存在內(nèi)部控制建設等同于內(nèi)部控制制度建設的誤區(qū)。很多企業(yè)一提到內(nèi)部控制，就認為是一套內(nèi)部控制制度，把制度建設作為內(nèi)控建設的全部內(nèi)容，只關注制度建設的完善程度，沒有對流程進行梳理，沒有對風險進行識別、評估。在內(nèi)部控制評價的時候，也是把提供一套內(nèi)部控制制度作為評價的主要內(nèi)容，實際上這是內(nèi)部控制最大的誤區(qū)。制度建設是以部門職能管理為基礎的制度建設，而不是以流程管控為基礎的制度建設，到最后企業(yè)雖然有繁多的管理制度，但是反而很難做好管理工作。實際上內(nèi)部控制應該是以風險為導向，以流程為紐帶，以制度為基礎的管理體系，制度建設只是內(nèi)部控制的一部分，而且制度建設應該是從流程的角度，去管理業(yè)務流程中涉及的風險點，規(guī)范流程中的管控措施。

（二）內(nèi)部控制體系形同虛設

當前企業(yè)內(nèi)部控制存在的另一個主要問題是形同虛設。很多企業(yè)進行內(nèi)部控制建設，編制了內(nèi)部控制手冊，修訂完善了內(nèi)部控制制度。但經(jīng)過一段時間后，這些制度、手冊就變成了“印在紙上、掛在墻上”的擺設，成了應付審計、檢查的工具，逐漸與企業(yè)業(yè)務及管理實際情況相脫離，最終造成內(nèi)部控制體系形同虛設。其原因主要有以下兩個方面：

一是忽視內(nèi)部控制日常管理工作。當前企業(yè)內(nèi)部控制建設的主要動力是外部制度約束，如五部委發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引，上市公司還有來自證券監(jiān)管機構的相關規(guī)定。為滿足監(jiān)管者的要求，各企業(yè)一般會組織進行系統(tǒng)的內(nèi)部控制建設工作，在建設過程中梳理業(yè)務流程、識別相關風險，最終形成內(nèi)部控制手冊及相關管理制度。總結(jié)這些年內(nèi)部控制建設經(jīng)驗，當前企業(yè)內(nèi)部控制建設基本已經(jīng)形成了相對成熟的方案，同時也存在大量有內(nèi)部控制建設能力和經(jīng)驗的咨詢機構可以協(xié)助企業(yè)進行內(nèi)控建設工作。但是，大部分企業(yè)認為制定了內(nèi)部控制手冊就完成了內(nèi)部控制建設全部工作，企業(yè)內(nèi)部尚缺少內(nèi)部控制日常運行機制，絕大部分企業(yè)的內(nèi)部控制停留在日常審計、每年一次的內(nèi)控評價層面。究其原因是在進行內(nèi)部控制建設時，忽視了對后期內(nèi)控日常工作的思考，沒有充分考慮內(nèi)部控制建設的真正目標是什么？內(nèi)部控制在日常管理中的抓手是怎樣的？很多公司開展的是運動式、項目化的建設，雖然設置了內(nèi)控崗位、內(nèi)控人員，但是對于內(nèi)控人員日常如何開展工作，內(nèi)控人員的考核、激勵等基本是一片空白。

二是內(nèi)部控制難以量化的局限性。企業(yè)作為經(jīng)營主體，在經(jīng)營過程中收益與風險并存。收益可以通過會計核算、財務分析等手段較為清晰的展示出來，且已經(jīng)形成了規(guī)范化、通用化的會計語言。但是風險卻是一個難以量化的概念，內(nèi)部控制以風險管理為核心，同樣也存在難以量化的局限性。由于這種客觀情況的存在，企業(yè)也更加關注收益等量化指標，而風險只有在真正發(fā)生后，才會在后期進行相關的修補，修訂相關的制度，加強流程的管控等。很多時候，企業(yè)發(fā)生損失或風險事件的時候，往往是“沒有跡象”的，其實并不是風險不存在，而是在量化的收益面前，企業(yè)會忽視風險的存在，比如在投資項目決策的時候往往只考慮投資回報率、回報周期等指標，而忽略隱藏在投資回報背后的風險，甚至是在做投資回報測算的時候人為地剔除了風險因素的影響。2018年初暴發(fā)的浦發(fā)銀行成都分行向1493個空殼企業(yè)違規(guī)授信775億元的事件就是片面追求績效，內(nèi)部控制形同虛設的典型。影響風險量化管理的因素主要有兩個：一個是風險發(fā)生的概率，對于企業(yè)經(jīng)營來說，很難從數(shù)據(jù)的角度去分析相關風險發(fā)生的概率；一個是風險發(fā)生造成的損失，風險帶來的是全部損失、還是部分損失，部分損失又是多少？這在企業(yè)經(jīng)營中很難計算，也是造成內(nèi)部控制形同虛設的主要原因。

三、企業(yè)內(nèi)部控制建設要點探索

（一）明確內(nèi)部控制建設目標

在內(nèi)部控制建設的準備階段，最應該思考的是企業(yè)內(nèi)部控制建設的目標是什么？想建設成什么樣的內(nèi)部控制體系？《企業(yè)內(nèi)部控制基本規(guī)范》中提出的內(nèi)部控制目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。從目前企業(yè)內(nèi)部控制體系建設實踐來看，基本可以分為合規(guī)型內(nèi)部控制體系、監(jiān)督型內(nèi)部控制體系、管理型內(nèi)部控制體系及價值型內(nèi)部控制體系。合規(guī)型內(nèi)部控制體系主要是基于法律法規(guī)、監(jiān)管機構的要求，提出最底線的管理標準，合規(guī)檢查是日常管理的重要組成部分，在實際運用中對業(yè)務流程的管理相對較差，適用于規(guī)模較小、擬上市的企業(yè)。但是合規(guī)性內(nèi)部控制體系是最基礎的，特別對于擬上市公司來說，在IPO的發(fā)行條件里，企業(yè)必須建立與實施內(nèi)部控制。2017年IPO被否的企業(yè)共86家，其中有21家企業(yè)因內(nèi)部控制不健全被否。監(jiān)督型內(nèi)部控制體系主要以法律法規(guī)、內(nèi)部規(guī)范等為準繩，通過業(yè)務檢查、有效性評價、審計等手段，實現(xiàn)對企業(yè)流程、風險的監(jiān)測，并著重加強對問題的整改落實，可充分利用IT技術，整合風險評估、監(jiān)測、內(nèi)部控制評價等方面，適用于資本管控、偏財務管控的集團總部。管理型內(nèi)部控制體系主要強調(diào)基礎管理系統(tǒng)化的整合管理，將內(nèi)部控制管理成為常態(tài)化職能，風險管控要求嵌入到經(jīng)營管理的流程中，從組織、制度、流程和標準等方面實現(xiàn)對經(jīng)營管理的支持，適用于管理基礎完善、產(chǎn)業(yè)經(jīng)營穩(wěn)定的大中型企業(yè)。價值型內(nèi)部控制體系重點在于在經(jīng)營管理中對經(jīng)營管理數(shù)據(jù)進行挖掘和分析，設置風險指標，從量化的角度對風險進行監(jiān)控、預警；在企業(yè)決策中考慮風險因素，將風險與收益結(jié)合起來，成為決策的重要參照。

不同的建設目標有不同的建設路徑，明確建設目標是內(nèi)部控制建設的前提，因此，企業(yè)在進行內(nèi)部控制建設的時候，一定要清晰地思考企業(yè)建設的目標是什么，建設完成后能給企業(yè)帶來什么，這樣才能有正確的建設路徑。企業(yè)最終追求的目標應該是價值型內(nèi)部控制體系，事前內(nèi)部控制風險指標成為事項決策的重要指標，企業(yè)在投審會、經(jīng)營管理會等做決策的時候，需要體現(xiàn)存在的風險、風險的量化指標、風險的管理措施等方面，將風險與收益相結(jié)合去進行決策。事中有指標化風險監(jiān)控預警體系，預警體系融入到日常管理，起到提示、監(jiān)控等作用，如應收賬款逾期預警等。事后有完善的評價體系，包含審計、評價等方面，通過開展定期評價或?qū)ｍ棇徲嫞瑘允仄髽I(yè)風險管理的最后一道防線。

（二）做好流程梳理的基礎工作

流程是內(nèi)部控制建設的紐帶，企業(yè)首先要做的是整理、歸納出企業(yè)的業(yè)務、管理主流程，并將這些主流程分解到相關的子流程。主流程的整理、歸納可以參考《企業(yè)內(nèi)部控制應用指引》，同時結(jié)合企業(yè)業(yè)務形態(tài)，如生產(chǎn)型企業(yè)可以參照應用指引，貿(mào)易型企業(yè)在業(yè)務流程中可以歸納為國內(nèi)貿(mào)易、進口貿(mào)易、出口貿(mào)易這種更加貼近企業(yè)業(yè)務形態(tài)的流程。在主流程整理完成后，需進一步分解成詳細的子流程，子流程的分解主要體現(xiàn)企業(yè)業(yè)務流、管理流，具體到操作的每個細節(jié)，將流程各環(huán)節(jié)對應到部門及崗位，這個時候就能清晰地看到人員在流程中的作用和控制。如可以將采購與付款流程分解為供應商管理與評價、采購計劃的制定與審批、采購訂單及合同管理、物料驗收入庫管理、采購退換貨管理、采購付款、物料編碼管理、采購招標管理、采購稽核等子流程。只有通過流程的分解才能看到各節(jié)點對應的風險，從而制定對應的控制活動。流程即是工作的思路和順序，通過流程的梳理，還可以進一步梳理出流程中的標準性工作，很多流程中都會涉及相同或者類似的控制活動，標準化工作的總結(jié)提煉，將會極大地提升企業(yè)管理水平。所以做好流程梳理的基礎工作是內(nèi)部控制的重要組成部分。

（三）完善以風險管理為核心的風險控制矩陣

企業(yè)應在梳理流程的基礎上，做好風險識別、風險評估工作，充分利用風險控制矩陣這一風險管理工具，防范風險的發(fā)生。目前風險控制矩陣主要解決了以下幾個問題：風險有哪些？控制有哪些？誰進行控制？控制是怎樣的等，所包含的要素主要是風險描述、控制目標、控制活動描述、控制方式、責任部門等方面。從實踐來看，這些要素其實并不能完全滿足企業(yè)的需求，存在不完善的部分，正是因為有缺失的建設工具，導致了很多企業(yè)內(nèi)部控制無法融入企業(yè)日常管理。建議企業(yè)在制作風險控制矩陣時加入風險類別，區(qū)分定性風險和定量風險；增加風險評估措施，設置風險評估指標和公式，量化風險數(shù)據(jù)并體現(xiàn)對財務報告的影響。量化風險是風險管理破冰的利器，目前大部分企業(yè)把風險管理看做企業(yè)管理的重點，但是礙于風險的不確定性，在實際管理中很大程度上成為一紙空談，只有逐步將風險量化才能解決目前風險管理存在的這種問題；增加風險等級，結(jié)合企業(yè)內(nèi)部控制缺陷標準，將風險等級標識出來，這樣能夠清晰地看出企業(yè)在日常管理中需要重點對那些風險進行管理，同時后期評價時也可以重點關注風險程度高的事項，風險等級的高低不能只根據(jù)一些打分標準，需要結(jié)合風險計算公式對財務報表的影響，避免一些模糊的表述；另外，增加對控制活動能否通過系統(tǒng)控制的識別，信息化是企業(yè)業(yè)務、管理的重要手段，也是內(nèi)部控制的重要技術支持，信息化的控制能夠提升內(nèi)部控制的效率與效果，所以在內(nèi)部控制建設時識別出可以信息化控制的部分，這部分將是企業(yè)信息化建設應該考慮并重點建設的部分，對于不能通過信息化控制的部分，制定相應的輔助控制措施，這樣才能形成完整的控制活動方案。通過以上要素的加入，能夠更加貼近企業(yè)需求，同時為內(nèi)部控制日常工作提供基礎，避免出現(xiàn)建設與日常管理相脫離的情況。

圍繞風險管理為核心，形成風險識別、風險評估與控制活動的整合，整合后的風險控制矩陣可以直接作為企業(yè)風險庫，避免了內(nèi)部控制與風險管理兩張皮的情況。對于可量化的風險，設置計算指標，在公司領導層面呈現(xiàn)最重要、領導最關注的指標，在公司風險管理部門建立公司風險庫，對風險進行統(tǒng)一管理。這樣形成多層次的風險管理、風險提示體系。

（四）加強內(nèi)部控制文化建設

內(nèi)部控制能否有效運行，良好的控制環(huán)境是必不可少的前提，在組織架構、發(fā)展戰(zhàn)略、人力資源、社會責任及企業(yè)文化中，最關鍵但最容易忽略的就是企業(yè)文化。大部分企業(yè)的企業(yè)文化中普遍缺少內(nèi)部控制文化要素，存在除企業(yè)風險管理部門外，其他部門及員工內(nèi)部控制意識薄弱的情況。企業(yè)可以通過以下幾個途徑加強內(nèi)部控制文化建設：一是加強對一些高風險案例的宣傳，特別是企業(yè)涉及業(yè)務中存在的高風險環(huán)節(jié)，如工程項目中的采購、分包、合同、支付；投資管理中的決策、管控、投后管理；資產(chǎn)處置中的定價、選擇、合同、決策等。通過對高風險案例的宣傳、分享，增強企業(yè)內(nèi)部控制意識。二是加強內(nèi)部控制培訓工作，企業(yè)需要不斷強化對內(nèi)部控制的培訓工作，首先讓員工樹立起內(nèi)部控制的理念，再慢慢融入到工作中去，最終形成良好的內(nèi)控意識，從“強制要求這么做”變?yōu)椤白约赫J為應該這么做”。企業(yè)文化是企業(yè)的靈魂，良好的內(nèi)部控制文化可以加強控制措施的運行效果，還會給企業(yè)內(nèi)部控制活動帶來很好的補充，特別在企業(yè)沒有控制到的地方將會發(fā)揮出重要的作用。