許力云

摘要：目前，隨著我國經(jīng)濟體制改革的進一步深化及現(xiàn)代企業(yè)管理的不斷完善，各大企業(yè)對內(nèi)控的重視程度不斷提升。良好的內(nèi)部控制系統(tǒng)能夠引導(dǎo)企業(yè)科學(xué)規(guī)范地發(fā)展，改善經(jīng)營能力，促進企業(yè)健康平穩(wěn)的運行。為了進一步強化并規(guī)范企業(yè)的內(nèi)部控制，提升企業(yè)的經(jīng)營管理水平和防范經(jīng)營風(fēng)險能力，文章梳理了內(nèi)部控制的組成要素與核心，剖析了內(nèi)控的固有局限性并且闡釋了內(nèi)控過程中信息技術(shù)的應(yīng)用。

關(guān)鍵詞：內(nèi)控視角；風(fēng)險評估；信息系統(tǒng)

一、引言

內(nèi)控是內(nèi)部控制的簡稱，指一般公司企業(yè)內(nèi)部的控制運作。內(nèi)部控制是由治理層、管理層和其他人員設(shè)計、實施和維護的流程，為企業(yè)實現(xiàn)其目標提供了合理的保證。董事會對公司的內(nèi)控系統(tǒng)承擔(dān)最終的負責(zé)。良好的內(nèi)控系統(tǒng)能夠有效降低商業(yè)風(fēng)險發(fā)生的概率，具體表現(xiàn)為以下幾個方面：提升財務(wù)報告（內(nèi)部報告：管理決策信息報告、內(nèi)部預(yù)算報告等；外部報告：財務(wù)報表，年報等）的可靠性；提高企業(yè)經(jīng)營運作的效率和有效性；使企業(yè)的運營符合法律法規(guī)的要求。

二、內(nèi)控系統(tǒng)的組成要素

內(nèi)控系統(tǒng)主要包含五個要素，分別是控制環(huán)境、風(fēng)險評估、信息系統(tǒng)、控制活動和內(nèi)控監(jiān)督。首先，從整體的控制環(huán)境看管理層是否重視內(nèi)控；其次，做風(fēng)險評估，抓住風(fēng)險點；再次，根據(jù)客觀技術(shù)，有針對性地制定具體的內(nèi)控條例；最后，保持持續(xù)的評價和監(jiān)督。

1. 控制環(huán)境。管理層對內(nèi)控的態(tài)度、意識、行為和重視程度形成了大的控制環(huán)境，并逐漸演變?yōu)橐环N企業(yè)文化。如果管理層十分重視內(nèi)控的制定和貫徹實施，那么在整個公司內(nèi)就奠定了尊重內(nèi)控基調(diào)。比如：蘋果公司的創(chuàng)始人之一喬布斯就十分重視對公司內(nèi)部創(chuàng)新的控制。公司成立之初就開始了自己的創(chuàng)新，這種創(chuàng)新觀念，深入每一位員工的心中，使整個企業(yè)擁有良好的創(chuàng)新氛圍，創(chuàng)新也逐漸成為蘋果公司文化的靈魂。相反，如果公司管理層忽視內(nèi)控，凌駕于內(nèi)控之上，主張“人治”。那么即使有完善的內(nèi)控體系，也是名存實亡。因此，管理層的態(tài)度對內(nèi)控系統(tǒng)的好壞起著至關(guān)重要的作用。

2. 風(fēng)險評估。要想制定好內(nèi)控系統(tǒng)，公司的管理層首先要明確企業(yè)將會面臨的風(fēng)險，做好風(fēng)險評估工作。風(fēng)險評估主要分為以下三個步驟：首先，要確定風(fēng)險點；其次，評估風(fēng)險發(fā)生的概率以及帶來的影響；最后，制定相應(yīng)的應(yīng)對措施。尤其對于發(fā)生概率高、影響低的風(fēng)險，更需要制定具體的內(nèi)控措施來有效的管制，降低商業(yè)風(fēng)險。

3. 信息系統(tǒng)。當(dāng)今社會是一個信息化社會，內(nèi)控的制定、實施難以避免以信息系統(tǒng)為載體。信息系統(tǒng)包括基本的硬件、軟件、人員、程序和數(shù)據(jù)。只有具備了這些客觀條件，內(nèi)控才能很好地發(fā)揮作用。

4. 控制活動?？刂苹顒邮侵腹緝?nèi)部一些具體的政策、程序，能夠幫助管理層執(zhí)行指令。

5. 內(nèi)控監(jiān)督。對內(nèi)部控制系統(tǒng)持續(xù)的監(jiān)控是常規(guī)管理活動的一部分，用來評估內(nèi)控設(shè)計的合理性和操作的有效性。在監(jiān)察過程中，一旦發(fā)現(xiàn)新的問題要及時反饋，以便作進一步改進。

三、內(nèi)控活動的核心

內(nèi)控活動是指公司內(nèi)部一些具體的政策、程序，其核心可以概括為“權(quán)責(zé)分離、合理授權(quán)、定期復(fù)核、連續(xù)匹配和連續(xù)編號”這五個方面。

1. 權(quán)責(zé)分離

對于內(nèi)控活動來說，權(quán)責(zé)分離意味著不能讓一個人負責(zé)太多的事情，比如說出納不能記賬。如果一個人既當(dāng)出納又記賬，則很有可能截流現(xiàn)金、挪用公款。因此權(quán)責(zé)分離能夠有效地降低舞弊發(fā)生的概率，減少此類事件的發(fā)生。

2. 合理授權(quán)

企業(yè)要做到合理授權(quán)。以信用卡的額度為例，在給客戶授權(quán)信用額度之前，要仔細評估客戶的經(jīng)濟背景和收入狀況，根據(jù)審核評估的結(jié)果來確定客戶的信用額度。如果公司沒有明確的評判標準，給低收入者高額度或高收入者低額度，就會造成貸出去的資金難以得到償還或損失客戶的后果 。

3. 定期復(fù)核

企業(yè)為了適應(yīng)多變的環(huán)境和各種不確定的因素應(yīng)該根據(jù)自身的情況進行每個月、每個季度或每年的定期復(fù)核。比如在給客戶授權(quán)信用卡額度之后的一段時間內(nèi)，要根據(jù)客戶的消費情況，經(jīng)濟收入的增長情況和還款狀況定期復(fù)核。對于信用評級好的客戶要適當(dāng)提升額度，這樣有利于維護公司和客戶之間良好的合作關(guān)系，有利于公司的長遠發(fā)展。

4. 連續(xù)匹配

在企業(yè)運營的過程中從上一環(huán)節(jié)進入到下一環(huán)節(jié)的時候，需要信息的連續(xù)匹配來避免出錯。比如商家在發(fā)貨前需要認真核對收貨人的姓名、收件地址和訂單上的商品信息，以確保能夠準確地發(fā)貨。

5. 連續(xù)編號

連續(xù)編號在保證交易的完整性方面發(fā)揮了重要的作用。采購訂單、銷售訂單、銷售發(fā)票等都需要連續(xù)編號。連續(xù)編號可以有效防止訂單或票據(jù)的遺漏和丟失。以銷售訂單為例，如果銷售訂單沒有連續(xù)編號，就可能導(dǎo)致商品漏發(fā)的現(xiàn)象，進而引起消費者的不滿和投訴，同時也會使企業(yè)喪失好的名聲。

四、內(nèi)控的固有局限性

良好的內(nèi)部控制雖然能夠提高經(jīng)營活動的有效性、資產(chǎn)的安全性、經(jīng)濟信息和財務(wù)報告的可靠性，但其本身也存在固有的局限性，所以內(nèi)部控制不可能完美無缺。內(nèi)控的局限性主要分為以下幾個方面。

1. 人為錯誤。內(nèi)控制度制定得再好，都是由人來執(zhí)行，所以避免不了人為失誤。盡管良好的內(nèi)部控制環(huán)境可以在一定程度上減少這種失誤的出現(xiàn)，但人為錯誤依舊可能導(dǎo)致故障的發(fā)生。

2. 內(nèi)控流程被員工或他人故意地規(guī)避或繞開。例如：公司為了強化財務(wù)紀律、規(guī)避財務(wù)風(fēng)險，明確規(guī)定單筆報銷數(shù)額不能超過1萬元。部分員工可能會將一筆1.2萬元的費用，分兩次報銷，每次報銷0.6萬元。因此很難完全控制這樣的故意規(guī)避，特別是當(dāng)雇員以特定的理由認為他應(yīng)該這么做時。比如員工認為他理應(yīng)獲得更多的獎金，為達到這一目的員工就會繞開內(nèi)控。因此，舞弊的動機通常伴隨著“自我行為的合理化”。

3. 管理層凌駕于內(nèi)控之上。公司內(nèi)控系統(tǒng)的好壞很大程度上取決于管理層的態(tài)度。如果管理層認為部分內(nèi)控不合適或者不便于實施，進而不使用它們或者主張“人治”粗暴地踐越內(nèi)控。那么即使有完備健全的內(nèi)控體系，也難以發(fā)揮其效用。

4. 發(fā)生無法預(yù)知的事件。在制定具體內(nèi)控條例的過程中，管理層通常會先明確企業(yè)將會面臨哪些風(fēng)險，然后針對這些風(fēng)險逐一制定流程去管理。因此先有已知的風(fēng)險點，才能制定具體的管理條例。一旦無法預(yù)知的事件發(fā)生，內(nèi)控就會面臨失靈的風(fēng)險。

5. 決策失誤。決策失誤可能直接導(dǎo)致內(nèi)部控制的失敗。引起決策失誤的主要原因有兩點。一是供管理層決策的信息不足或不準確；二是做決策的人缺乏經(jīng)驗，能力不夠。因此決策失誤也是內(nèi)控的固有局限性之一。

五、內(nèi)控過程中信息技術(shù)的應(yīng)用

在當(dāng)今這個信息化社會中，內(nèi)控的制定和實施避免不了信息技術(shù)的支撐。信息技術(shù)控制主要分為兩大類：一是總的控制；二是應(yīng)用性控制。

（一）總的控制

總的控制是與許多應(yīng)用相關(guān)的政策和程序，并通過確保信息系統(tǒng)的持續(xù)正常運行來支持應(yīng)用程序控制的有效性。其對象是整個系統(tǒng)程序，而不是具體的某一個數(shù)據(jù)。

1. 信息系統(tǒng)的開發(fā)

在信息系統(tǒng)的開發(fā)階段，系統(tǒng)的設(shè)計、編程和文檔的記錄要有統(tǒng)一的標準。管理層要合理劃分職責(zé)，確保權(quán)責(zé)分離。負責(zé)設(shè)計信息系統(tǒng)的人不能負責(zé)測試，以便開發(fā)出更加穩(wěn)定的系統(tǒng)。另外，為了信息系統(tǒng)能夠更好的應(yīng)用，相關(guān)負責(zé)人要積極安排員工的培訓(xùn)工作，使員工能夠快速地適應(yīng)新的程序。

2. 防止未經(jīng)授權(quán)更改程序

為了防止重要的信息程序被篡改，要限制對中央服務(wù)器的訪問，修改程序需要獲得授權(quán)和批準。通過設(shè)置密碼保護程序，使訪問權(quán)限僅限于相應(yīng)的計算機操作人員。除此以外，還可以使用只讀存儲器對某些實用性程序進行更加嚴格的控制，使程序訪問人員只有閱讀的權(quán)限而沒有修改的權(quán)限。另一方面，針對信息程序被篡改后難以恢復(fù)原狀的現(xiàn)象，需要設(shè)計程序來完整地記錄更改的過程。也可以將核心程序拷貝多份，儲存在其他地方。工作人員緊急離開時，手頭的工作也要及時備份，并使電腦屏幕處于屏保狀態(tài)，再次進入時需要輸入密碼。另外，要安裝防毒軟件防止病毒入侵。

3. 確保電腦持續(xù)運行

為了應(yīng)對突發(fā)事件，確保電腦能夠持續(xù)穩(wěn)定的運行，要設(shè)立好完善的保護體系，避免電腦設(shè)備受到火災(zāi)或其他災(zāi)害的影響。面對突然斷電的情況，要事先準備好備用電源。同時做好災(zāi)難恢復(fù)程序，與相關(guān)企業(yè)簽訂信息系統(tǒng)的維護協(xié)議并及時購買保險，將災(zāi)難發(fā)生后的經(jīng)濟、信息損失降到最低。

（二）應(yīng)用性控制

應(yīng)用性控制：應(yīng)用性控制確保所有交易被授權(quán)和記錄，并被完全、準確和及時地處理。

1. 控制數(shù)據(jù)輸入的完整性

在輸入數(shù)據(jù)的過程中，需要經(jīng)歷“逐一檢查、文件計數(shù)、總計控制”這三個步驟。首先，將輸入到系統(tǒng)中的數(shù)據(jù)與源文檔進行逐一地對比；其次，將需要輸入到系統(tǒng)中的文件數(shù)量與實際輸入的數(shù)量做對比；最后，將系統(tǒng)加總的數(shù)據(jù)總額與手動計算的數(shù)據(jù)總額做對比，確保輸入的完整性和準確性。

2. 控制數(shù)據(jù)輸入的精準性

測試系統(tǒng)中數(shù)據(jù)精準性的方法大體分為三種，分別是合理性實驗、存在性檢查和允許范圍測試。

合理性試驗是指根據(jù)正常的思維邏輯對數(shù)據(jù)的正確性進行評估。比如：在整個行業(yè)發(fā)展狀況不景氣的情況下，公司財報上記錄的銷售額與去年相比有大幅度的提升，這表明今年銷售額的記錄可能出現(xiàn)了錯誤。

公司在與客戶交易的過程中，通常會為客戶建立一個數(shù)據(jù)庫且每一位客戶都會有一個單獨的編號。將商品賣給客戶時需要輸入編號，檢查系統(tǒng)中是否真的存在這個編號，如果沒有此編號銷售則無法進行。購買原材料時亦是如此，收到發(fā)票時需要在系統(tǒng)中查找對應(yīng)的供應(yīng)商名稱，如果沒有發(fā)現(xiàn)相應(yīng)的供應(yīng)商名稱則拒絕發(fā)票。因此，存在性檢查有助于確保輸入的準確性。

允許范圍測試是指預(yù)先在系統(tǒng)中設(shè)置一個可接受的數(shù)據(jù)范圍，超過這個范圍則不被接納。例如：預(yù)先在系統(tǒng)中確定一個最大的采購成本1000萬元，如果錯誤地輸入了超過1000萬元的金額系統(tǒng)將拒絕采購，進一步確保了輸入的準確性。

六、結(jié)語

綜上所述，面對著越來越激烈的市場競爭，各個企業(yè)想要長期平穩(wěn)地發(fā)展，就必須要加強企業(yè)內(nèi)部的管理工作，提高對內(nèi)控管理制度的認識和重視，特別是要與現(xiàn)代信息技術(shù)相結(jié)合，為企業(yè)的長遠發(fā)展打下堅實的基礎(chǔ)。

（作者單位：安徽大學(xué)）