宗頤淼

（江蘇蘇美達(dá)集團(tuán)有限公司）

一、企業(yè)建立內(nèi)部控制體系的驅(qū)動(dòng)力

從外部因素來看，企業(yè)內(nèi)部控制建設(shè)主要源于法律法規(guī)、證券監(jiān)管的需求，特別是上市公司為解決中小股東、大股東及企業(yè)信息不對(duì)稱的問題，強(qiáng)制要求企業(yè)建立內(nèi)部控制體系，披露內(nèi)部控制評(píng)價(jià)及審計(jì)報(bào)告。2021年已有4562家上市公司進(jìn)行了內(nèi)部控制自我評(píng)價(jià)，并披露了內(nèi)部控制自我評(píng)價(jià)報(bào)告，占比高達(dá)98%，可見強(qiáng)制性規(guī)范要求是企業(yè)建立內(nèi)部控制的重要因素。從企業(yè)內(nèi)部因素來看，所有權(quán)與經(jīng)營(yíng)權(quán)分離的現(xiàn)代企業(yè)架構(gòu)，股東對(duì)于職業(yè)經(jīng)理人的監(jiān)督必然成為重要的內(nèi)容，而由董事會(huì)建設(shè)的內(nèi)部控制體系就是對(duì)職業(yè)經(jīng)理人最好的約束和監(jiān)督；同時(shí)，企業(yè)經(jīng)營(yíng)過程中收益與風(fēng)險(xiǎn)并存，漠視風(fēng)險(xiǎn)一味追求收益是危險(xiǎn)的，也是不可持續(xù)的，內(nèi)部控制建設(shè)也是職業(yè)經(jīng)理人規(guī)避風(fēng)險(xiǎn)的方式。對(duì)于上市公司來說，在滿足信息披露要求的同時(shí)，完善的內(nèi)部控制能夠建立和維持投資者信心，提升上市公司價(jià)值，也是上市公司建立健全內(nèi)部控制的內(nèi)在動(dòng)力。所以企業(yè)建立內(nèi)部控制體系不僅是外部監(jiān)管的需求，也是企業(yè)自身發(fā)展的需求。

二、企業(yè)內(nèi)部控制現(xiàn)狀分析

（一）企業(yè)在內(nèi)部控制建設(shè)時(shí)存在誤區(qū)

很多企業(yè)在進(jìn)行內(nèi)部控制建設(shè)時(shí)存在內(nèi)部控制建設(shè)等同于內(nèi)部控制制度建設(shè)的誤區(qū)。很多企業(yè)一提到內(nèi)部控制，就認(rèn)為是一套內(nèi)部控制制度，把制度建設(shè)作為內(nèi)控建設(shè)的全部?jī)?nèi)容，只關(guān)注制度建設(shè)的完善程度，沒有對(duì)流程進(jìn)行梳理，沒有對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估。在內(nèi)部控制評(píng)價(jià)的時(shí)候，也是把提供一套內(nèi)部控制制度作為評(píng)價(jià)的主要內(nèi)容，實(shí)際上這是內(nèi)部控制最大的誤區(qū)。制度建設(shè)是以部門職能管理為基礎(chǔ)的制度建設(shè)，而不是以流程管控為基礎(chǔ)的制度建設(shè)，到最后企業(yè)雖然有繁多的管理制度，但是反而很難做好管理工作。實(shí)際上內(nèi)部控制應(yīng)該是以風(fēng)險(xiǎn)為導(dǎo)向，以流程為紐帶，以制度為基礎(chǔ)的管理體系，制度建設(shè)只是內(nèi)部控制的一部分，而且制度建設(shè)應(yīng)該是從流程的角度，去管理業(yè)務(wù)流程中涉及的風(fēng)險(xiǎn)點(diǎn)，規(guī)范流程中的管控措施。

（二）內(nèi)部控制體系形同虛設(shè)

當(dāng)前企業(yè)內(nèi)部控制存在的另一個(gè)主要問題是形同虛設(shè)。很多企業(yè)進(jìn)行內(nèi)部控制建設(shè)，編制了內(nèi)部控制手冊(cè)，修訂完善了內(nèi)部控制制度。但經(jīng)過一段時(shí)間后，這些制度、手冊(cè)就變成了“印在紙上、掛在墻上”的擺設(shè)，成了應(yīng)付審計(jì)、檢查的工具，逐漸與企業(yè)業(yè)務(wù)及管理實(shí)際情況相脫離，最終造成內(nèi)部控制體系形同虛設(shè)。其原因主要有以下兩個(gè)方面：

一是忽視內(nèi)部控制日常管理工作。當(dāng)前企業(yè)內(nèi)部控制建設(shè)的主要?jiǎng)恿κ峭獠恐贫燃s束，如五部委發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引，上市公司還有來自證券監(jiān)管機(jī)構(gòu)的相關(guān)規(guī)定。為滿足監(jiān)管者的要求，各企業(yè)一般會(huì)組織進(jìn)行系統(tǒng)的內(nèi)部控制建設(shè)工作，在建設(shè)過程中梳理業(yè)務(wù)流程、識(shí)別相關(guān)風(fēng)險(xiǎn)，最終形成內(nèi)部控制手冊(cè)及相關(guān)管理制度?？偨Y(jié)這些年內(nèi)部控制建設(shè)經(jīng)驗(yàn)，當(dāng)前企業(yè)內(nèi)部控制建設(shè)基本已經(jīng)形成了相對(duì)成熟的方案，同時(shí)也存在大量有內(nèi)部控制建設(shè)能力和經(jīng)驗(yàn)的咨詢機(jī)構(gòu)可以協(xié)助企業(yè)進(jìn)行內(nèi)控建設(shè)工作。但是，大部分企業(yè)認(rèn)為制定了內(nèi)部控制手冊(cè)就完成了內(nèi)部控制建設(shè)全部工作，企業(yè)內(nèi)部尚缺少內(nèi)部控制日常運(yùn)行機(jī)制，絕大部分企業(yè)的內(nèi)部控制停留在日常審計(jì)、每年一次的內(nèi)控評(píng)價(jià)層面。究其原因是在進(jìn)行內(nèi)部控制建設(shè)時(shí)，忽視了對(duì)后期內(nèi)控日常工作的思考，沒有充分考慮內(nèi)部控制建設(shè)的真正目標(biāo)是什么？?jī)?nèi)部控制在日常管理中的抓手是怎樣的？很多公司開展的是運(yùn)動(dòng)式、項(xiàng)目化的建設(shè)，雖然設(shè)置了內(nèi)控崗位、內(nèi)控人員，但是對(duì)于內(nèi)控人員日常如何開展工作，內(nèi)控人員的考核、激勵(lì)等基本是一片空白。

二是內(nèi)部控制難以量化的局限性。企業(yè)作為經(jīng)營(yíng)主體，在經(jīng)營(yíng)過程中收益與風(fēng)險(xiǎn)并存。收益可以通過會(huì)計(jì)核算、財(cái)務(wù)分析等手段較為清晰的展示出來，且已經(jīng)形成了規(guī)范化、通用化的會(huì)計(jì)語言。但是風(fēng)險(xiǎn)卻是一個(gè)難以量化的概念，內(nèi)部控制以風(fēng)險(xiǎn)管理為核心，同樣也存在難以量化的局限性。由于這種客觀情況的存在，企業(yè)也更加關(guān)注收益等量化指標(biāo)，而風(fēng)險(xiǎn)只有在真正發(fā)生后，才會(huì)在后期進(jìn)行相關(guān)的修補(bǔ)，修訂相關(guān)的制度，加強(qiáng)流程的管控等。很多時(shí)候，企業(yè)發(fā)生損失或風(fēng)險(xiǎn)事件的時(shí)候，往往是“沒有跡象”的，其實(shí)并不是風(fēng)險(xiǎn)不存在，而是在量化的收益面前，企業(yè)會(huì)忽視風(fēng)險(xiǎn)的存在，比如在投資項(xiàng)目決策的時(shí)候往往只考慮投資回報(bào)率、回報(bào)周期等指標(biāo)，而忽略隱藏在投資回報(bào)背后的風(fēng)險(xiǎn)，甚至是在做投資回報(bào)測(cè)算的時(shí)候人為地剔除了風(fēng)險(xiǎn)因素的影響。2018年初暴發(fā)的浦發(fā)銀行成都分行向1493個(gè)空殼企業(yè)違規(guī)授信775億元的事件就是片面追求績(jī)效，內(nèi)部控制形同虛設(shè)的典型。影響風(fēng)險(xiǎn)量化管理的因素主要有兩個(gè)：一個(gè)是風(fēng)險(xiǎn)發(fā)生的概率，對(duì)于企業(yè)經(jīng)營(yíng)來說，很難從數(shù)據(jù)的角度去分析相關(guān)風(fēng)險(xiǎn)發(fā)生的概率；一個(gè)是風(fēng)險(xiǎn)發(fā)生造成的損失，風(fēng)險(xiǎn)帶來的是全部損失、還是部分損失，部分損失又是多少？這在企業(yè)經(jīng)營(yíng)中很難計(jì)算，也是造成內(nèi)部控制形同虛設(shè)的主要原因。

三、企業(yè)內(nèi)部控制建設(shè)要點(diǎn)探索

（一）明確內(nèi)部控制建設(shè)目標(biāo)

在內(nèi)部控制建設(shè)的準(zhǔn)備階段，最應(yīng)該思考的是企業(yè)內(nèi)部控制建設(shè)的目標(biāo)是什么？想建設(shè)成什么樣的內(nèi)部控制體系？《企業(yè)內(nèi)部控制基本規(guī)范》中提出的內(nèi)部控制目標(biāo)是合理保證企業(yè)經(jīng)營(yíng)管理合法合規(guī)、資產(chǎn)安全、財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)完整，提高經(jīng)營(yíng)效率和效果，促進(jìn)企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略。從目前企業(yè)內(nèi)部控制體系建設(shè)實(shí)踐來看，基本可以分為合規(guī)型內(nèi)部控制體系、監(jiān)督型內(nèi)部控制體系、管理型內(nèi)部控制體系及價(jià)值型內(nèi)部控制體系。合規(guī)型內(nèi)部控制體系主要是基于法律法規(guī)、監(jiān)管機(jī)構(gòu)的要求，提出最底線的管理標(biāo)準(zhǔn)，合規(guī)檢查是日常管理的重要組成部分，在實(shí)際運(yùn)用中對(duì)業(yè)務(wù)流程的管理相對(duì)較差，適用于規(guī)模較小、擬上市的企業(yè)。但是合規(guī)性內(nèi)部控制體系是最基礎(chǔ)的，特別對(duì)于擬上市公司來說，在IPO的發(fā)行條件里，企業(yè)必須建立與實(shí)施內(nèi)部控制。2017年IPO被否的企業(yè)共86家，其中有21家企業(yè)因內(nèi)部控制不健全被否。監(jiān)督型內(nèi)部控制體系主要以法律法規(guī)、內(nèi)部規(guī)范等為準(zhǔn)繩，通過業(yè)務(wù)檢查、有效性評(píng)價(jià)、審計(jì)等手段，實(shí)現(xiàn)對(duì)企業(yè)流程、風(fēng)險(xiǎn)的監(jiān)測(cè)，并著重加強(qiáng)對(duì)問題的整改落實(shí)，可充分利用IT技術(shù)，整合風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)、內(nèi)部控制評(píng)價(jià)等方面，適用于資本管控、偏財(cái)務(wù)管控的集團(tuán)總部。管理型內(nèi)部控制體系主要強(qiáng)調(diào)基礎(chǔ)管理系統(tǒng)化的整合管理，將內(nèi)部控制管理成為常態(tài)化職能，風(fēng)險(xiǎn)管控要求嵌入到經(jīng)營(yíng)管理的流程中，從組織、制度、流程和標(biāo)準(zhǔn)等方面實(shí)現(xiàn)對(duì)經(jīng)營(yíng)管理的支持，適用于管理基礎(chǔ)完善、產(chǎn)業(yè)經(jīng)營(yíng)穩(wěn)定的大中型企業(yè)。價(jià)值型內(nèi)部控制體系重點(diǎn)在于在經(jīng)營(yíng)管理中對(duì)經(jīng)營(yíng)管理數(shù)據(jù)進(jìn)行挖掘和分析，設(shè)置風(fēng)險(xiǎn)指標(biāo)，從量化的角度對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)控、預(yù)警；在企業(yè)決策中考慮風(fēng)險(xiǎn)因素，將風(fēng)險(xiǎn)與收益結(jié)合起來，成為決策的重要參照。

不同的建設(shè)目標(biāo)有不同的建設(shè)路徑，明確建設(shè)目標(biāo)是內(nèi)部控制建設(shè)的前提，因此，企業(yè)在進(jìn)行內(nèi)部控制建設(shè)的時(shí)候，一定要清晰地思考企業(yè)建設(shè)的目標(biāo)是什么，建設(shè)完成后能給企業(yè)帶來什么，這樣才能有正確的建設(shè)路徑。企業(yè)最終追求的目標(biāo)應(yīng)該是價(jià)值型內(nèi)部控制體系，事前內(nèi)部控制風(fēng)險(xiǎn)指標(biāo)成為事項(xiàng)決策的重要指標(biāo)，企業(yè)在投審會(huì)、經(jīng)營(yíng)管理會(huì)等做決策的時(shí)候，需要體現(xiàn)存在的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)的量化指標(biāo)、風(fēng)險(xiǎn)的管理措施等方面，將風(fēng)險(xiǎn)與收益相結(jié)合去進(jìn)行決策。事中有指標(biāo)化風(fēng)險(xiǎn)監(jiān)控預(yù)警體系，預(yù)警體系融入到日常管理，起到提示、監(jiān)控等作用，如應(yīng)收賬款逾期預(yù)警等。事后有完善的評(píng)價(jià)體系，包含審計(jì)、評(píng)價(jià)等方面，通過開展定期評(píng)價(jià)或?qū)ｍ?xiàng)審計(jì)，堅(jiān)守企業(yè)風(fēng)險(xiǎn)管理的最后一道防線。

（二）做好流程梳理的基礎(chǔ)工作

流程是內(nèi)部控制建設(shè)的紐帶，企業(yè)首先要做的是整理、歸納出企業(yè)的業(yè)務(wù)、管理主流程，并將這些主流程分解到相關(guān)的子流程。主流程的整理、歸納可以參考《企業(yè)內(nèi)部控制應(yīng)用指引》，同時(shí)結(jié)合企業(yè)業(yè)務(wù)形態(tài)，如生產(chǎn)型企業(yè)可以參照應(yīng)用指引，貿(mào)易型企業(yè)在業(yè)務(wù)流程中可以歸納為國內(nèi)貿(mào)易、進(jìn)口貿(mào)易、出口貿(mào)易這種更加貼近企業(yè)業(yè)務(wù)形態(tài)的流程。在主流程整理完成后，需進(jìn)一步分解成詳細(xì)的子流程，子流程的分解主要體現(xiàn)企業(yè)業(yè)務(wù)流、管理流，具體到操作的每個(gè)細(xì)節(jié)，將流程各環(huán)節(jié)對(duì)應(yīng)到部門及崗位，這個(gè)時(shí)候就能清晰地看到人員在流程中的作用和控制。如可以將采購與付款流程分解為供應(yīng)商管理與評(píng)價(jià)、采購計(jì)劃的制定與審批、采購訂單及合同管理、物料驗(yàn)收入庫管理、采購?fù)藫Q貨管理、采購付款、物料編碼管理、采購招標(biāo)管理、采購稽核等子流程。只有通過流程的分解才能看到各節(jié)點(diǎn)對(duì)應(yīng)的風(fēng)險(xiǎn)，從而制定對(duì)應(yīng)的控制活動(dòng)。流程即是工作的思路和順序，通過流程的梳理，還可以進(jìn)一步梳理出流程中的標(biāo)準(zhǔn)性工作，很多流程中都會(huì)涉及相同或者類似的控制活動(dòng)，標(biāo)準(zhǔn)化工作的總結(jié)提煉，將會(huì)極大地提升企業(yè)管理水平。所以做好流程梳理的基礎(chǔ)工作是內(nèi)部控制的重要組成部分。

（三）完善以風(fēng)險(xiǎn)管理為核心的風(fēng)險(xiǎn)控制矩陣

企業(yè)應(yīng)在梳理流程的基礎(chǔ)上，做好風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估工作，充分利用風(fēng)險(xiǎn)控制矩陣這一風(fēng)險(xiǎn)管理工具，防范風(fēng)險(xiǎn)的發(fā)生。目前風(fēng)險(xiǎn)控制矩陣主要解決了以下幾個(gè)問題：風(fēng)險(xiǎn)有哪些？控制有哪些？誰進(jìn)行控制？控制是怎樣的等，所包含的要素主要是風(fēng)險(xiǎn)描述、控制目標(biāo)、控制活動(dòng)描述、控制方式、責(zé)任部門等方面。從實(shí)踐來看，這些要素其實(shí)并不能完全滿足企業(yè)的需求，存在不完善的部分，正是因?yàn)橛腥笔У慕ㄔO(shè)工具，導(dǎo)致了很多企業(yè)內(nèi)部控制無法融入企業(yè)日常管理。建議企業(yè)在制作風(fēng)險(xiǎn)控制矩陣時(shí)加入風(fēng)險(xiǎn)類別，區(qū)分定性風(fēng)險(xiǎn)和定量風(fēng)險(xiǎn)；增加風(fēng)險(xiǎn)評(píng)估措施，設(shè)置風(fēng)險(xiǎn)評(píng)估指標(biāo)和公式，量化風(fēng)險(xiǎn)數(shù)據(jù)并體現(xiàn)對(duì)財(cái)務(wù)報(bào)告的影響。量化風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理破冰的利器，目前大部分企業(yè)把風(fēng)險(xiǎn)管理看做企業(yè)管理的重點(diǎn)，但是礙于風(fēng)險(xiǎn)的不確定性，在實(shí)際管理中很大程度上成為一紙空談，只有逐步將風(fēng)險(xiǎn)量化才能解決目前風(fēng)險(xiǎn)管理存在的這種問題；增加風(fēng)險(xiǎn)等級(jí)，結(jié)合企業(yè)內(nèi)部控制缺陷標(biāo)準(zhǔn)，將風(fēng)險(xiǎn)等級(jí)標(biāo)識(shí)出來，這樣能夠清晰地看出企業(yè)在日常管理中需要重點(diǎn)對(duì)那些風(fēng)險(xiǎn)進(jìn)行管理，同時(shí)后期評(píng)價(jià)時(shí)也可以重點(diǎn)關(guān)注風(fēng)險(xiǎn)程度高的事項(xiàng)，風(fēng)險(xiǎn)等級(jí)的高低不能只根據(jù)一些打分標(biāo)準(zhǔn)，需要結(jié)合風(fēng)險(xiǎn)計(jì)算公式對(duì)財(cái)務(wù)報(bào)表的影響，避免一些模糊的表述；另外，增加對(duì)控制活動(dòng)能否通過系統(tǒng)控制的識(shí)別，信息化是企業(yè)業(yè)務(wù)、管理的重要手段，也是內(nèi)部控制的重要技術(shù)支持，信息化的控制能夠提升內(nèi)部控制的效率與效果，所以在內(nèi)部控制建設(shè)時(shí)識(shí)別出可以信息化控制的部分，這部分將是企業(yè)信息化建設(shè)應(yīng)該考慮并重點(diǎn)建設(shè)的部分，對(duì)于不能通過信息化控制的部分，制定相應(yīng)的輔助控制措施，這樣才能形成完整的控制活動(dòng)方案。通過以上要素的加入，能夠更加貼近企業(yè)需求，同時(shí)為內(nèi)部控制日常工作提供基礎(chǔ)，避免出現(xiàn)建設(shè)與日常管理相脫離的情況。

圍繞風(fēng)險(xiǎn)管理為核心，形成風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估與控制活動(dòng)的整合，整合后的風(fēng)險(xiǎn)控制矩陣可以直接作為企業(yè)風(fēng)險(xiǎn)庫，避免了內(nèi)部控制與風(fēng)險(xiǎn)管理兩張皮的情況。對(duì)于可量化的風(fēng)險(xiǎn)，設(shè)置計(jì)算指標(biāo)，在公司領(lǐng)導(dǎo)層面呈現(xiàn)最重要、領(lǐng)導(dǎo)最關(guān)注的指標(biāo)，在公司風(fēng)險(xiǎn)管理部門建立公司風(fēng)險(xiǎn)庫，對(duì)風(fēng)險(xiǎn)進(jìn)行統(tǒng)一管理。這樣形成多層次的風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)提示體系。

（四）加強(qiáng)內(nèi)部控制文化建設(shè)

內(nèi)部控制能否有效運(yùn)行，良好的控制環(huán)境是必不可少的前提，在組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會(huì)責(zé)任及企業(yè)文化中，最關(guān)鍵但最容易忽略的就是企業(yè)文化。大部分企業(yè)的企業(yè)文化中普遍缺少內(nèi)部控制文化要素，存在除企業(yè)風(fēng)險(xiǎn)管理部門外，其他部門及員工內(nèi)部控制意識(shí)薄弱的情況。企業(yè)可以通過以下幾個(gè)途徑加強(qiáng)內(nèi)部控制文化建設(shè)：一是加強(qiáng)對(duì)一些高風(fēng)險(xiǎn)案例的宣傳，特別是企業(yè)涉及業(yè)務(wù)中存在的高風(fēng)險(xiǎn)環(huán)節(jié)，如工程項(xiàng)目中的采購、分包、合同、支付；投資管理中的決策、管控、投后管理；資產(chǎn)處置中的定價(jià)、選擇、合同、決策等。通過對(duì)高風(fēng)險(xiǎn)案例的宣傳、分享，增強(qiáng)企業(yè)內(nèi)部控制意識(shí)。二是加強(qiáng)內(nèi)部控制培訓(xùn)工作，企業(yè)需要不斷強(qiáng)化對(duì)內(nèi)部控制的培訓(xùn)工作，首先讓員工樹立起內(nèi)部控制的理念，再慢慢融入到工作中去，最終形成良好的內(nèi)控意識(shí)，從“強(qiáng)制要求這么做”變?yōu)椤白约赫J(rèn)為應(yīng)該這么做”。企業(yè)文化是企業(yè)的靈魂，良好的內(nèi)部控制文化可以加強(qiáng)控制措施的運(yùn)行效果，還會(huì)給企業(yè)內(nèi)部控制活動(dòng)帶來很好的補(bǔ)充，特別在企業(yè)沒有控制到的地方將會(huì)發(fā)揮出重要的作用。