許力云

摘要：目前，隨著我國(guó)經(jīng)濟(jì)體制改革的進(jìn)一步深化及現(xiàn)代企業(yè)管理的不斷完善，各大企業(yè)對(duì)內(nèi)控的重視程度不斷提升。良好的內(nèi)部控制系統(tǒng)能夠引導(dǎo)企業(yè)科學(xué)規(guī)范地發(fā)展，改善經(jīng)營(yíng)能力，促進(jìn)企業(yè)健康平穩(wěn)的運(yùn)行。為了進(jìn)一步強(qiáng)化并規(guī)范企業(yè)的內(nèi)部控制，提升企業(yè)的經(jīng)營(yíng)管理水平和防范經(jīng)營(yíng)風(fēng)險(xiǎn)能力，文章梳理了內(nèi)部控制的組成要素與核心，剖析了內(nèi)控的固有局限性并且闡釋了內(nèi)控過(guò)程中信息技術(shù)的應(yīng)用。

關(guān)鍵詞：內(nèi)控視角；風(fēng)險(xiǎn)評(píng)估；信息系統(tǒng)

一、引言

內(nèi)控是內(nèi)部控制的簡(jiǎn)稱，指一般公司企業(yè)內(nèi)部的控制運(yùn)作。內(nèi)部控制是由治理層、管理層和其他人員設(shè)計(jì)、實(shí)施和維護(hù)的流程，為企業(yè)實(shí)現(xiàn)其目標(biāo)提供了合理的保證。董事會(huì)對(duì)公司的內(nèi)控系統(tǒng)承擔(dān)最終的負(fù)責(zé)。良好的內(nèi)控系統(tǒng)能夠有效降低商業(yè)風(fēng)險(xiǎn)發(fā)生的概率，具體表現(xiàn)為以下幾個(gè)方面：提升財(cái)務(wù)報(bào)告（內(nèi)部報(bào)告：管理決策信息報(bào)告、內(nèi)部預(yù)算報(bào)告等；外部報(bào)告：財(cái)務(wù)報(bào)表，年報(bào)等）的可靠性；提高企業(yè)經(jīng)營(yíng)運(yùn)作的效率和有效性；使企業(yè)的運(yùn)營(yíng)符合法律法規(guī)的要求。

二、內(nèi)控系統(tǒng)的組成要素

內(nèi)控系統(tǒng)主要包含五個(gè)要素，分別是控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)、控制活動(dòng)和內(nèi)控監(jiān)督。首先，從整體的控制環(huán)境看管理層是否重視內(nèi)控；其次，做風(fēng)險(xiǎn)評(píng)估，抓住風(fēng)險(xiǎn)點(diǎn)；再次，根據(jù)客觀技術(shù)，有針對(duì)性地制定具體的內(nèi)控條例；最后，保持持續(xù)的評(píng)價(jià)和監(jiān)督。

1. 控制環(huán)境。管理層對(duì)內(nèi)控的態(tài)度、意識(shí)、行為和重視程度形成了大的控制環(huán)境，并逐漸演變?yōu)橐环N企業(yè)文化。如果管理層十分重視內(nèi)控的制定和貫徹實(shí)施，那么在整個(gè)公司內(nèi)就奠定了尊重內(nèi)控基調(diào)。比如：蘋果公司的創(chuàng)始人之一喬布斯就十分重視對(duì)公司內(nèi)部創(chuàng)新的控制。公司成立之初就開始了自己的創(chuàng)新，這種創(chuàng)新觀念，深入每一位員工的心中，使整個(gè)企業(yè)擁有良好的創(chuàng)新氛圍，創(chuàng)新也逐漸成為蘋果公司文化的靈魂。相反，如果公司管理層忽視內(nèi)控，凌駕于內(nèi)控之上，主張“人治”。那么即使有完善的內(nèi)控體系，也是名存實(shí)亡。因此，管理層的態(tài)度對(duì)內(nèi)控系統(tǒng)的好壞起著至關(guān)重要的作用。

2. 風(fēng)險(xiǎn)評(píng)估。要想制定好內(nèi)控系統(tǒng)，公司的管理層首先要明確企業(yè)將會(huì)面臨的風(fēng)險(xiǎn)，做好風(fēng)險(xiǎn)評(píng)估工作。風(fēng)險(xiǎn)評(píng)估主要分為以下三個(gè)步驟：首先，要確定風(fēng)險(xiǎn)點(diǎn)；其次，評(píng)估風(fēng)險(xiǎn)發(fā)生的概率以及帶來(lái)的影響；最后，制定相應(yīng)的應(yīng)對(duì)措施。尤其對(duì)于發(fā)生概率高、影響低的風(fēng)險(xiǎn)，更需要制定具體的內(nèi)控措施來(lái)有效的管制，降低商業(yè)風(fēng)險(xiǎn)。

3. 信息系統(tǒng)。當(dāng)今社會(huì)是一個(gè)信息化社會(huì)，內(nèi)控的制定、實(shí)施難以避免以信息系統(tǒng)為載體。信息系統(tǒng)包括基本的硬件、軟件、人員、程序和數(shù)據(jù)。只有具備了這些客觀條件，內(nèi)控才能很好地發(fā)揮作用。

4. 控制活動(dòng)?？刂苹顒?dòng)是指公司內(nèi)部一些具體的政策、程序，能夠幫助管理層執(zhí)行指令。

5. 內(nèi)控監(jiān)督。對(duì)內(nèi)部控制系統(tǒng)持續(xù)的監(jiān)控是常規(guī)管理活動(dòng)的一部分，用來(lái)評(píng)估內(nèi)控設(shè)計(jì)的合理性和操作的有效性。在監(jiān)察過(guò)程中，一旦發(fā)現(xiàn)新的問(wèn)題要及時(shí)反饋，以便作進(jìn)一步改進(jìn)。

三、內(nèi)控活動(dòng)的核心

內(nèi)控活動(dòng)是指公司內(nèi)部一些具體的政策、程序，其核心可以概括為“權(quán)責(zé)分離、合理授權(quán)、定期復(fù)核、連續(xù)匹配和連續(xù)編號(hào)”這五個(gè)方面。

1. 權(quán)責(zé)分離

對(duì)于內(nèi)控活動(dòng)來(lái)說(shuō)，權(quán)責(zé)分離意味著不能讓一個(gè)人負(fù)責(zé)太多的事情，比如說(shuō)出納不能記賬。如果一個(gè)人既當(dāng)出納又記賬，則很有可能截流現(xiàn)金、挪用公款。因此權(quán)責(zé)分離能夠有效地降低舞弊發(fā)生的概率，減少此類事件的發(fā)生。

2. 合理授權(quán)

企業(yè)要做到合理授權(quán)。以信用卡的額度為例，在給客戶授權(quán)信用額度之前，要仔細(xì)評(píng)估客戶的經(jīng)濟(jì)背景和收入狀況，根據(jù)審核評(píng)估的結(jié)果來(lái)確定客戶的信用額度。如果公司沒(méi)有明確的評(píng)判標(biāo)準(zhǔn)，給低收入者高額度或高收入者低額度，就會(huì)造成貸出去的資金難以得到償還或損失客戶的后果 。

3. 定期復(fù)核

企業(yè)為了適應(yīng)多變的環(huán)境和各種不確定的因素應(yīng)該根據(jù)自身的情況進(jìn)行每個(gè)月、每個(gè)季度或每年的定期復(fù)核。比如在給客戶授權(quán)信用卡額度之后的一段時(shí)間內(nèi)，要根據(jù)客戶的消費(fèi)情況，經(jīng)濟(jì)收入的增長(zhǎng)情況和還款狀況定期復(fù)核。對(duì)于信用評(píng)級(jí)好的客戶要適當(dāng)提升額度，這樣有利于維護(hù)公司和客戶之間良好的合作關(guān)系，有利于公司的長(zhǎng)遠(yuǎn)發(fā)展。

4. 連續(xù)匹配

在企業(yè)運(yùn)營(yíng)的過(guò)程中從上一環(huán)節(jié)進(jìn)入到下一環(huán)節(jié)的時(shí)候，需要信息的連續(xù)匹配來(lái)避免出錯(cuò)。比如商家在發(fā)貨前需要認(rèn)真核對(duì)收貨人的姓名、收件地址和訂單上的商品信息，以確保能夠準(zhǔn)確地發(fā)貨。

5. 連續(xù)編號(hào)

連續(xù)編號(hào)在保證交易的完整性方面發(fā)揮了重要的作用。采購(gòu)訂單、銷售訂單、銷售發(fā)票等都需要連續(xù)編號(hào)。連續(xù)編號(hào)可以有效防止訂單或票據(jù)的遺漏和丟失。以銷售訂單為例，如果銷售訂單沒(méi)有連續(xù)編號(hào)，就可能導(dǎo)致商品漏發(fā)的現(xiàn)象，進(jìn)而引起消費(fèi)者的不滿和投訴，同時(shí)也會(huì)使企業(yè)喪失好的名聲。

四、內(nèi)控的固有局限性

良好的內(nèi)部控制雖然能夠提高經(jīng)營(yíng)活動(dòng)的有效性、資產(chǎn)的安全性、經(jīng)濟(jì)信息和財(cái)務(wù)報(bào)告的可靠性，但其本身也存在固有的局限性，所以內(nèi)部控制不可能完美無(wú)缺。內(nèi)控的局限性主要分為以下幾個(gè)方面。

1. 人為錯(cuò)誤。內(nèi)控制度制定得再好，都是由人來(lái)執(zhí)行，所以避免不了人為失誤。盡管良好的內(nèi)部控制環(huán)境可以在一定程度上減少這種失誤的出現(xiàn)，但人為錯(cuò)誤依舊可能導(dǎo)致故障的發(fā)生。

2. 內(nèi)控流程被員工或他人故意地規(guī)避或繞開。例如：公司為了強(qiáng)化財(cái)務(wù)紀(jì)律、規(guī)避財(cái)務(wù)風(fēng)險(xiǎn)，明確規(guī)定單筆報(bào)銷數(shù)額不能超過(guò)1萬(wàn)元。部分員工可能會(huì)將一筆1.2萬(wàn)元的費(fèi)用，分兩次報(bào)銷，每次報(bào)銷0.6萬(wàn)元。因此很難完全控制這樣的故意規(guī)避，特別是當(dāng)雇員以特定的理由認(rèn)為他應(yīng)該這么做時(shí)。比如員工認(rèn)為他理應(yīng)獲得更多的獎(jiǎng)金，為達(dá)到這一目的員工就會(huì)繞開內(nèi)控。因此，舞弊的動(dòng)機(jī)通常伴隨著“自我行為的合理化”。

3. 管理層凌駕于內(nèi)控之上。公司內(nèi)控系統(tǒng)的好壞很大程度上取決于管理層的態(tài)度。如果管理層認(rèn)為部分內(nèi)控不合適或者不便于實(shí)施，進(jìn)而不使用它們或者主張“人治”粗暴地踐越內(nèi)控。那么即使有完備健全的內(nèi)控體系，也難以發(fā)揮其效用。

4. 發(fā)生無(wú)法預(yù)知的事件。在制定具體內(nèi)控條例的過(guò)程中，管理層通常會(huì)先明確企業(yè)將會(huì)面臨哪些風(fēng)險(xiǎn)，然后針對(duì)這些風(fēng)險(xiǎn)逐一制定流程去管理。因此先有已知的風(fēng)險(xiǎn)點(diǎn)，才能制定具體的管理?xiàng)l例。一旦無(wú)法預(yù)知的事件發(fā)生，內(nèi)控就會(huì)面臨失靈的風(fēng)險(xiǎn)。

5. 決策失誤。決策失誤可能直接導(dǎo)致內(nèi)部控制的失敗。引起決策失誤的主要原因有兩點(diǎn)。一是供管理層決策的信息不足或不準(zhǔn)確；二是做決策的人缺乏經(jīng)驗(yàn)，能力不夠。因此決策失誤也是內(nèi)控的固有局限性之一。

五、內(nèi)控過(guò)程中信息技術(shù)的應(yīng)用

在當(dāng)今這個(gè)信息化社會(huì)中，內(nèi)控的制定和實(shí)施避免不了信息技術(shù)的支撐。信息技術(shù)控制主要分為兩大類：一是總的控制；二是應(yīng)用性控制。

（一）總的控制

總的控制是與許多應(yīng)用相關(guān)的政策和程序，并通過(guò)確保信息系統(tǒng)的持續(xù)正常運(yùn)行來(lái)支持應(yīng)用程序控制的有效性。其對(duì)象是整個(gè)系統(tǒng)程序，而不是具體的某一個(gè)數(shù)據(jù)。

1. 信息系統(tǒng)的開發(fā)

在信息系統(tǒng)的開發(fā)階段，系統(tǒng)的設(shè)計(jì)、編程和文檔的記錄要有統(tǒng)一的標(biāo)準(zhǔn)。管理層要合理劃分職責(zé)，確保權(quán)責(zé)分離。負(fù)責(zé)設(shè)計(jì)信息系統(tǒng)的人不能負(fù)責(zé)測(cè)試，以便開發(fā)出更加穩(wěn)定的系統(tǒng)。另外，為了信息系統(tǒng)能夠更好的應(yīng)用，相關(guān)負(fù)責(zé)人要積極安排員工的培訓(xùn)工作，使員工能夠快速地適應(yīng)新的程序。

2. 防止未經(jīng)授權(quán)更改程序

為了防止重要的信息程序被篡改，要限制對(duì)中央服務(wù)器的訪問(wèn)，修改程序需要獲得授權(quán)和批準(zhǔn)。通過(guò)設(shè)置密碼保護(hù)程序，使訪問(wèn)權(quán)限僅限于相應(yīng)的計(jì)算機(jī)操作人員。除此以外，還可以使用只讀存儲(chǔ)器對(duì)某些實(shí)用性程序進(jìn)行更加嚴(yán)格的控制，使程序訪問(wèn)人員只有閱讀的權(quán)限而沒(méi)有修改的權(quán)限。另一方面，針對(duì)信息程序被篡改后難以恢復(fù)原狀的現(xiàn)象，需要設(shè)計(jì)程序來(lái)完整地記錄更改的過(guò)程。也可以將核心程序拷貝多份，儲(chǔ)存在其他地方。工作人員緊急離開時(shí)，手頭的工作也要及時(shí)備份，并使電腦屏幕處于屏保狀態(tài)，再次進(jìn)入時(shí)需要輸入密碼。另外，要安裝防毒軟件防止病毒入侵。

3. 確保電腦持續(xù)運(yùn)行

為了應(yīng)對(duì)突發(fā)事件，確保電腦能夠持續(xù)穩(wěn)定的運(yùn)行，要設(shè)立好完善的保護(hù)體系，避免電腦設(shè)備受到火災(zāi)或其他災(zāi)害的影響。面對(duì)突然斷電的情況，要事先準(zhǔn)備好備用電源。同時(shí)做好災(zāi)難恢復(fù)程序，與相關(guān)企業(yè)簽訂信息系統(tǒng)的維護(hù)協(xié)議并及時(shí)購(gòu)買保險(xiǎn)，將災(zāi)難發(fā)生后的經(jīng)濟(jì)、信息損失降到最低。

（二）應(yīng)用性控制

應(yīng)用性控制：應(yīng)用性控制確保所有交易被授權(quán)和記錄，并被完全、準(zhǔn)確和及時(shí)地處理。

1. 控制數(shù)據(jù)輸入的完整性

在輸入數(shù)據(jù)的過(guò)程中，需要經(jīng)歷“逐一檢查、文件計(jì)數(shù)、總計(jì)控制”這三個(gè)步驟。首先，將輸入到系統(tǒng)中的數(shù)據(jù)與源文檔進(jìn)行逐一地對(duì)比；其次，將需要輸入到系統(tǒng)中的文件數(shù)量與實(shí)際輸入的數(shù)量做對(duì)比；最后，將系統(tǒng)加總的數(shù)據(jù)總額與手動(dòng)計(jì)算的數(shù)據(jù)總額做對(duì)比，確保輸入的完整性和準(zhǔn)確性。

2. 控制數(shù)據(jù)輸入的精準(zhǔn)性

測(cè)試系統(tǒng)中數(shù)據(jù)精準(zhǔn)性的方法大體分為三種，分別是合理性實(shí)驗(yàn)、存在性檢查和允許范圍測(cè)試。

合理性試驗(yàn)是指根據(jù)正常的思維邏輯對(duì)數(shù)據(jù)的正確性進(jìn)行評(píng)估。比如：在整個(gè)行業(yè)發(fā)展?fàn)顩r不景氣的情況下，公司財(cái)報(bào)上記錄的銷售額與去年相比有大幅度的提升，這表明今年銷售額的記錄可能出現(xiàn)了錯(cuò)誤。

公司在與客戶交易的過(guò)程中，通常會(huì)為客戶建立一個(gè)數(shù)據(jù)庫(kù)且每一位客戶都會(huì)有一個(gè)單獨(dú)的編號(hào)。將商品賣給客戶時(shí)需要輸入編號(hào)，檢查系統(tǒng)中是否真的存在這個(gè)編號(hào)，如果沒(méi)有此編號(hào)銷售則無(wú)法進(jìn)行。購(gòu)買原材料時(shí)亦是如此，收到發(fā)票時(shí)需要在系統(tǒng)中查找對(duì)應(yīng)的供應(yīng)商名稱，如果沒(méi)有發(fā)現(xiàn)相應(yīng)的供應(yīng)商名稱則拒絕發(fā)票。因此，存在性檢查有助于確保輸入的準(zhǔn)確性。

允許范圍測(cè)試是指預(yù)先在系統(tǒng)中設(shè)置一個(gè)可接受的數(shù)據(jù)范圍，超過(guò)這個(gè)范圍則不被接納。例如：預(yù)先在系統(tǒng)中確定一個(gè)最大的采購(gòu)成本1000萬(wàn)元，如果錯(cuò)誤地輸入了超過(guò)1000萬(wàn)元的金額系統(tǒng)將拒絕采購(gòu)，進(jìn)一步確保了輸入的準(zhǔn)確性。

六、結(jié)語(yǔ)

綜上所述，面對(duì)著越來(lái)越激烈的市場(chǎng)競(jìng)爭(zhēng)，各個(gè)企業(yè)想要長(zhǎng)期平穩(wěn)地發(fā)展，就必須要加強(qiáng)企業(yè)內(nèi)部的管理工作，提高對(duì)內(nèi)控管理制度的認(rèn)識(shí)和重視，特別是要與現(xiàn)代信息技術(shù)相結(jié)合，為企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)。

（作者單位：安徽大學(xué)）