中國石油遼陽石化公司 潘大強

美國安然、世通等公司舞弊案的發(fā)生，促使美國出臺了《薩班斯-奧克斯利法案》，要求上市公司管理層對公司內(nèi)部控制發(fā)表獨立性的審計意見。筆者所在企業(yè)是集團公司下屬的地區(qū)企業(yè)，集團公司在美國上市，必須遵循上市地的監(jiān)管要求，自2003年起開始著手內(nèi)部控制體系建設，按COSO框架，從控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五個方面，逐步建立起對各項經(jīng)營管理活動全方位覆蓋、全過程監(jiān)督的內(nèi)部控制體系。通過建立健全內(nèi)部控制體系，不但滿足了資本市場監(jiān)管要求，而且在強化企業(yè)管理、提高企業(yè)競爭力方面取得了顯著的成效。

一、企業(yè)內(nèi)部控制體系情況

集團公司采用《COSO內(nèi)部控制整體框架》作為內(nèi)部控制體系的基礎框架，同時汲取了COSO《企業(yè)風險管理框架》和《中央企業(yè)全面風險管理指引》中全面風險管理理念及相關內(nèi)容，進行了內(nèi)部控制體系建設，總體目標是：貫徹落實國資委全面風險管理要求，全面推進內(nèi)部控制管理工作。建立起集團公司統(tǒng)一的，以風險管理為核心，較為完善和有效運行的內(nèi)部控制體系，為企業(yè)又好又快發(fā)展提供有力保障。

筆者所在地區(qū)企業(yè)按集團公司的要求，從梳理主要業(yè)務流程出發(fā)，在優(yōu)化或再造業(yè)務流程的過程中，對企業(yè)已有的規(guī)章制度重新評價、規(guī)范，以適應新的內(nèi)部控制制度的需要，將管理制度嵌入到控制流程中，并認真進行各業(yè)務流程的測試與評價工作，逐步完善了內(nèi)部控制體系。經(jīng)過反復的內(nèi)部控制測試和評價工作，在2005年建立健全了《企業(yè)內(nèi)部控制手冊》，并在2006年第一個執(zhí)行年，以“零缺陷”通過了外部審計機構的測試。每年總經(jīng)理和總會計師都要對企業(yè)的內(nèi)部控制有效性發(fā)表聲明，并對內(nèi)部審計中發(fā)現(xiàn)的控制缺陷負責。通過實施內(nèi)部控制，完善了企業(yè)風險防范機制，提高了企業(yè)管理控制能力。

二、企業(yè)現(xiàn)有內(nèi)部控制體系存在的問題及原因

COSO報告對內(nèi)部控制的定義:“內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為運營的效率、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程”，主要由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五個要素構成。企業(yè)在實施內(nèi)部控制上雖然取得了突出成績，但在這五個要素方面仍存在一些問題，集中表現(xiàn)在以下方面：

（一）內(nèi)部控制的執(zhí)行力不足

內(nèi)部控制的生命力在于執(zhí)行，任何好的制度和管理方法如果沒能得到有效執(zhí)行則形同虛設，在企業(yè)內(nèi)部控制執(zhí)行過程中出現(xiàn)執(zhí)行不力現(xiàn)象。一是有些部門的領導對內(nèi)部控制體系的長遠發(fā)展、總體性認識不足，存在“通過外部審計內(nèi)部控制工作就結束了”的錯誤認識，不認真執(zhí)行內(nèi)部控制制度?；蛘咴谌粘９ぷ髦须m然知曉制度的規(guī)定，但不如經(jīng)驗更有效，怕麻煩圖省事便不按制度執(zhí)行，使制度流于形式而失效。二是企業(yè)的性質(zhì)決定了企業(yè)更多關心的是自身利益，目標是追求企業(yè)利益最大化，在制度與利益有沖突時有可能饒過制度辦事。目前在企業(yè)管理層面上的惡意違規(guī)操作導致內(nèi)部控制失控現(xiàn)象基本可以得到控制，但出于本位主義考慮各部門自身利益所發(fā)生的避控行為仍然存在。三是重大風險事件仍然沒有得到有效遏制。特別是一些長期存在的問題仍沒得到有效控制，出現(xiàn)了有制度不執(zhí)行的現(xiàn)象。例如：固定資產(chǎn)轉資不及時；物資采購中仍存在合同簽定不及時、為平衡各方利益導致招標失去公平等現(xiàn)象。

（二）內(nèi)部控制手冊與實際業(yè)務存在差距

作為在美國上市的公司，集團公司在實施內(nèi)部控制時必須嚴格遵循《薩班斯-奧利斯利法案》的規(guī)定，根據(jù)SOX404條款的要求，聘請內(nèi)、外部專家進行內(nèi)部控制業(yè)務流程的設計，同時借鑒了西門子公司的內(nèi)部控制經(jīng)驗，在推行內(nèi)部控制體系時強調(diào)按COSO控制理論進行編制。集團公司希望通過建立全部覆蓋、嚴密控制的控制體系，將企業(yè)風險降至最低，所以在控制環(huán)節(jié)和控制重點的設計上盡可能做到全面、嚴密，致使內(nèi)部控制手冊執(zhí)行過程中，不少流程讓使用者在操作時感到難度較大，需要投入的資源較高。集團公司規(guī)定：流程中關鍵控制點的控制各地區(qū)企業(yè)必須遵照執(zhí)行，地區(qū)企業(yè)無權改動集團公司下發(fā)的內(nèi)控模板中涉及關鍵控制點的內(nèi)容，只能根據(jù)模板來修改自己的規(guī)章制度來適應關鍵控制點的要求，造成關鍵控制點的風險描述和控制措施與地區(qū)企業(yè)存在差異，如果硬性執(zhí)行反而存在風險。同時文化差異帶來了執(zhí)行效果的差異，如美國文化強調(diào)記錄，注重“錙痕”，所有控制過程強調(diào)留痕，當事人必須對自己的簽字負責，在實際工作中人們對“錙痕”的認識還存在較大的差距，為應付內(nèi)部控制的檢查過分注重表面的留痕工作，而忽略了對過程的實質(zhì)控制。

（三）內(nèi)部控制體系缺乏適應性

由于內(nèi)、外部環(huán)境的變化企業(yè)業(yè)務和管理不斷創(chuàng)新，機構和業(yè)務流程相應地會有較大的調(diào)整，現(xiàn)有內(nèi)部控制手冊不能覆蓋所有的業(yè)務領域，相關的控制環(huán)節(jié)和重點發(fā)生了較大的變化，需要對內(nèi)部控制制度重新修訂。但內(nèi)部控制手冊每年初發(fā)布一次，所有的流程變動只能等到合適的時機再統(tǒng)一進行修改、完善，手冊的修改跟不上業(yè)務的變化，造成一段時間內(nèi)無章可循，使內(nèi)部控制失去連貫性，暴露出內(nèi)部控制體系缺乏適應性的缺點。

目前企業(yè)的內(nèi)部控制面臨最大的挑戰(zhàn)是即將實施的ERP系統(tǒng)，ERP系統(tǒng)是基于先進的企業(yè)管理理念上高度集成化的信息系統(tǒng)，是“一套將財會、分銷、制造和其它業(yè)務功能合理集成的應用軟件系統(tǒng)”，對企業(yè)而言，ERP首先應該是管理思想，其次才是管理手段與信息系統(tǒng)，而ERP的核心管理思想就是實現(xiàn)對整個供應鏈的有效管理。實施ERP系統(tǒng)后，企業(yè)所遇到的業(yè)務風險一般來自四個方面：業(yè)務流程、應用架構、數(shù)據(jù)質(zhì)量和技術架構。其中，業(yè)務流程的轉變對企業(yè)內(nèi)部控制的影響最大，對企業(yè)內(nèi)部管理和財務方面的監(jiān)控提出了新的要求，這方面的風險特征相比過去發(fā)生了根本性的變化。ERP實行的是流程化的管理，打破了原來職能部門的條塊分割，實現(xiàn)了企業(yè)資源的統(tǒng)一管理和共享。企業(yè)的運行和管理在一定程度上已經(jīng)交給了ERP系統(tǒng)來進行控制。這樣一來，一方面導致企業(yè)所處的內(nèi)部風險環(huán)境發(fā)生了變化，過去手工狀態(tài)下的控制風險，由于ERP系統(tǒng)的引入而變得更加復雜；另一方面，ERP系統(tǒng)的實施需要對原有的業(yè)務流程進行優(yōu)化和設計，改變了企業(yè)的組織結構，因此研究和制訂ERP系統(tǒng)下的內(nèi)部控制體系，是當前企業(yè)內(nèi)部控制面臨的重大課題。

三、完善企業(yè)內(nèi)部控制體系的對策

內(nèi)部控制的目的在于實行有效的控制，如何消除內(nèi)控控制中的隱患，確保有效控制是內(nèi)部控制研究的重點。針對企業(yè)上述問題，結合內(nèi)部控制的實際情況，提出以下幾點建議：

（一）倡導誠信企業(yè)文化，營造良好的控制環(huán)境。

誠信經(jīng)營既是資本市場監(jiān)管的要求，也是一個企業(yè)基業(yè)長青的保證，在COSO控制五要素中，控制環(huán)境是基礎。為營造良好的控制環(huán)境，一是確保內(nèi)部控制體系的權威性。內(nèi)部控制已經(jīng)成為企業(yè)科學管理的重要手段，成為企業(yè)軟實力的重要組成部分，通過實施內(nèi)部控制形成以制度來管理企業(yè)的經(jīng)營理念，而不是以“一把手”的意志決定企業(yè)經(jīng)營風格。二是強化“一把手”的責任意識，建立并推行企業(yè)高級管理層的職業(yè)道德規(guī)范，將職業(yè)道德建設列入企業(yè)高管的考核內(nèi)容。各級領導應該以身作則遵守內(nèi)部控制制度，不允許濫用職權、逾越控制，導致內(nèi)部控制的信任度和威懾力下降，控制制度失效。三是強化素質(zhì)教育以提高員工的勝任能力。建立并推行員工職業(yè)道德規(guī)范，通過總經(jīng)理講話、下發(fā)文件等不同形式將其介紹給員工，通過印發(fā)學習資料、利用網(wǎng)絡或開設職業(yè)道德建設學習欄目等多種形式開展培訓。企業(yè)監(jiān)察部和人事處等部門根據(jù)企業(yè)管理層的授權，對員工遵守職業(yè)道德的情況進行監(jiān)督。四是建立以業(yè)績?yōu)榛A的激勵機制。針對不同層次的員工，分別制定企業(yè)高層領導、管理人員、操作人員及服務人員的業(yè)績考核管理辦法，形成較為系統(tǒng)規(guī)范的業(yè)績考核評價體系。

（二）建立內(nèi)部控制體系的優(yōu)化機制

內(nèi)部控制本質(zhì)上是設計者在一定時空條件下的一種制度設計，它要受到設計者自身水平和企業(yè)當時條件的限制。在管理學上，建立一套科學的管理體系，還要符合現(xiàn)代企業(yè)規(guī)范化管理的原則。首先內(nèi)部控制的設計原則需符合國家法規(guī)、適應企業(yè)特點和管理要求，切合企業(yè)管理的技術水平并與企業(yè)其他管理制度相協(xié)調(diào)。其次控制流程要隨業(yè)務流程的變動而不斷更新。建立對經(jīng)營單位以防為主、對業(yè)務單位以堵為主、對內(nèi)部管理以查為主的三層控制框架。重點關注對高風險領域的風險控制，對于風險相對集中的業(yè)務領域，隨時做好風險識別和控制。例如：重大項目投資、物資采購環(huán)節(jié)、貨幣資金管理、安全生產(chǎn)等。最后加強內(nèi)部審計的作用。開展內(nèi)部控制測試，評價內(nèi)部控制體系的科學性和健全性，通過管理層面測試評價企業(yè)的控制環(huán)境，通過業(yè)務層面測試發(fā)現(xiàn)業(yè)務流程中的控制不足，加深對COSO理論精髓的理解，在注重控制形式的基礎上，更突出實質(zhì)控制。內(nèi)部控制手冊需不斷的調(diào)整和修訂，逐步構建一個符合SOX404條款、PCAOB第5號審計準則要求的控制體系，使其更符合企業(yè)自身的特點，提高運營效率和效果。

（三）降低實施ERP系統(tǒng)的內(nèi)部控制風險

ERP的實施，使財務與業(yè)務一體化處理和實時監(jiān)控成為現(xiàn)實。系統(tǒng)數(shù)據(jù)在傳輸過程中最大限度地減少了人為干預，但是，如果在基礎數(shù)據(jù)錄入時產(chǎn)生失誤，或者系統(tǒng)誤操作，將直接影響最終結果或?qū)е潞罄m(xù)工作無法進行。因此數(shù)據(jù)的符合工作必須從源頭開始，對所有業(yè)務集成會計憑證數(shù)據(jù)錄入情況進行即時監(jiān)控與審核，在數(shù)據(jù)信息未進入系統(tǒng)運算程序之前，就進行有效地復核，保證輸出結果的正確。同時強化權限管理，嚴密ERP系統(tǒng)的使用、維護、審批權限控制。在ERP實施過程中要將企業(yè)內(nèi)部控制體系有步驟地融入ERP環(huán)境當中，并將由信息技術帶來的風險納入新的內(nèi)部控制之中。堅持不相容職務分離原則，加強對ERP系統(tǒng)使用者的計算機水平和專業(yè)知識的培訓，提高員工的風險防范意識。同時通過定期風險評估，對關鍵業(yè)務流程的內(nèi)部控制點進行定期分析，使系統(tǒng)運行的每一個過程都處于嚴密控制之中。

席卷全球的金融風暴再次詮釋有控則強、失控則弱、無控則亂。2008年月，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了我國首部《企業(yè)內(nèi)部控制基本規(guī)范》，標志著我國企業(yè)內(nèi)部控制體系建設走上了法制化、規(guī)范化的軌道，因此完善企業(yè)的內(nèi)部控制具有重要的意義，它是企業(yè)基業(yè)長青的有力保證。

[1]楊雄勝.內(nèi)部控制理論研究新視野[J].會計研究,2005,(7):49-54

[2]張連起.中國式內(nèi)部控制之短板弱環(huán)與第一要務[J].財務與會計,2006,(8):7-9

[3]龔杰、方時雄：企業(yè)內(nèi)部控制：理論、方法與案例[M].浙江大學出版社，2006