陳茜

摘? 要企業(yè)快速發(fā)展過程中，由于內部控制不足、管理失效引發(fā)的企業(yè)經(jīng)營失敗的案例時有發(fā)生，企業(yè)經(jīng)營管理面臨著嚴峻的考驗。因此，加強內外部風險管理，持續(xù)完善和優(yōu)化內部控制管理體系，強化并確保企業(yè)內部控制的有效且持續(xù)運行尤為關鍵。本文主要對影響企業(yè)內部控制有效性的幾個方面進行分析和探討，提出內部控制有效性提升的對策，以期能為企業(yè)內部控制健康發(fā)展提供一些借鑒。

關鍵詞： 內部控制;有效性;風險管理

一、內部控制的目標與有效性概述

內部控制是企業(yè)持續(xù)經(jīng)營和穩(wěn)定發(fā)展不可或缺的組成部分，是一種科學的企業(yè)管理體系，是推動企業(yè)實現(xiàn)戰(zhàn)略目標、提升企業(yè)管理效率的規(guī)范化系統(tǒng)。

企業(yè)內部控制的目標是促進企業(yè)經(jīng)營合法合規(guī)，確保資產安全和信息準確，提升經(jīng)營效益和效果，實現(xiàn)企業(yè)發(fā)展戰(zhàn)略。企業(yè)應將內部控制五大要素——內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督充分融入對企業(yè)經(jīng)濟活動的“事前預測、事中控制、事后監(jiān)督”的全過程管理，以推動實現(xiàn)企業(yè)持續(xù)、穩(wěn)定發(fā)展的戰(zhàn)略目標。

內部控制的有效性是指對內部控制的質量及效果的評價。企業(yè)內部控制的有效性包含有效的內部控制設計、貫徹執(zhí)行以及內外部溝通和監(jiān)督，涵蓋企業(yè)經(jīng)營管理的全過程、涉及企業(yè)所有員工。企業(yè)管理層的決心和態(tài)度，以及企業(yè)員工對內部控制的理解和參與配合的程度是內部控制建設的“軟環(huán)境”;與之相對，內部控制設計和內部控制執(zhí)行的有效性則是內部控制建設的“硬環(huán)境”。

企業(yè)的風險管理和內部控制相輔相成、緊密相連。健全、完善的企業(yè)風險管理體系有助于企業(yè)內部控制建設的健康發(fā)展，可以推動內部控制的設計和執(zhí)行的有效性。

二、現(xiàn)階段影響企業(yè)內部控制有效性的因素分析

（一）企業(yè)內部控制標準體系建設不科學

企業(yè)內部管理者并沒有清楚、全面地認識到內部控制對企業(yè)的價值。企業(yè)及其管理層應負責建立本企業(yè)的內部控制體系，因此在制定基本內控制度時，不應本末倒置，過度依賴外部專業(yè)咨詢機構提供的標準化內容。大多數(shù)情況下，外部機構即不是行業(yè)專家，也不能全面了解企業(yè)的實際情況，盡管其提供的標準化內容確實有參考價值和意義，但企業(yè)不假思索地套用，就會在制度落地時水土不服。

（二）內部控制建設流于形式

大多數(shù)企業(yè)為順應監(jiān)管的要求，都已按《企業(yè)內部控制基本規(guī)范》建立了內部控制制度，可是有不少企業(yè)的內部控制建設工作流于形式，僅僅完成了在控制的目標、控制要素等基本的內控概念和內控框架體系的建設，實質上缺少行之有效的內控管理方法和工具支撐，并且對于內部控制有效性相關問題的關注和研究少之又少。

例如，有些企業(yè)的的確確在內控制度建設方面下了不少功夫，制定了一些控制手冊以及內部流程圖，但是當向員工傳達相關信息時，很多管理者并不重視信息的向下傳遞和溝通的有效性。

有些管理者甚至認為根本沒有溝通的必要，基層員工只需要依照手冊執(zhí)行。事實上，企業(yè)的內部控制制度需要不斷完善，內部控制的各環(huán)節(jié)環(huán)環(huán)相扣，所謂知其然，也要知其所以然，管理者們應該使員工清楚地理解其在整個內控系統(tǒng)中的位置，以及與其他員工工作的相關性。此外，管理者還應有意識地指導、培養(yǎng)和鍛煉基層員工識別問題，發(fā)現(xiàn)問題和解決問題的能力，激發(fā)員工主動積極地完善內部控制建設。

（三）缺乏科學的風險評估體系和完善的風險管理機制

企業(yè)的內部控制與風險管理體系息息相關。第一，企業(yè)對于宏觀環(huán)境、所在行業(yè)以及本企業(yè)所面臨風險認識不全面，不充分，在對風險的分類、評估、度量等方面都欠缺明確的、統(tǒng)一的認定標準;第二，缺乏行之有效的風險管理方案，或者風險管理方案并未從實際出發(fā)，僅反映管理層的主觀臆斷;第三，缺少對內部控制活動中的關鍵環(huán)節(jié)、關鍵控制點及控制措施的持續(xù)關注以及研究和改進。

（四）內部控制管理方法不合理

內部控制管理始于企業(yè)的風險管理，通常分為以下三個層次，第一，有效識別風險種類——企業(yè)對風險要有一定的認知;第二，進行有效的風險評估及分類——定性或量化風險發(fā)生的概率及影響程度，并對之加以分類;第三，提出有效的風險應對措施——優(yōu)化制度流程，實現(xiàn)控制活動及工具方法的一項或多項組合的運用。內控執(zhí)行有效性的關鍵點是要按照計劃實施，執(zhí)行則有效，反之未執(zhí)行或執(zhí)行不到位均視為無效。

在實務中，有很多小型、微型企業(yè)甚至連基本控制措施都做不到，例如長期由出納員保管本企業(yè)的空白票據(jù)、網(wǎng)銀的U盾、口令密碼器甚至同時兼管企業(yè)的財務章和法人章。相反，規(guī)模較大的企業(yè)內部控制管理往往又過于復雜煩瑣，例如明明某些合同的重要性、金額都不大，并且已實施預算管理也非例外事項，但流程上還是要批到董事長級別。

（五）內部控制自我評價流程不規(guī)范，執(zhí)行不到位

內部控制自我評價流程不規(guī)范，執(zhí)行不到位，導致評價結果不能準確反映企業(yè)內部控制管理質量。2019年7月?lián)彻俜矫襟w發(fā)布的一篇報道中述，超半數(shù)上市公司內控評價報告相似度超90%，這是令人匪夷所思的現(xiàn)象，不同行業(yè)具有不同的風險特征，企業(yè)風險偏好、風險承受度以及經(jīng)營目標、管理風格等因素都會影響企業(yè)內部控制管理，企業(yè)風險管理的重心和內部控制的管控要點不可能也更不應該是千篇一律、避重就輕的。

（六）內部控制操作缺乏指引

從風險管理的角度來說，企業(yè)的內部控制不應僅著眼于企業(yè)自身，企業(yè)缺乏對宏觀政策、中觀環(huán)境的戰(zhàn)略性、前瞻性的視角，不利于實現(xiàn)企業(yè)內部控制的目標，不利于推動和促進企業(yè)持續(xù)、穩(wěn)定的發(fā)展。此外，單個或特定企業(yè)不具有可比性，缺乏一個中間層級提供化零為整、充分反映某類行業(yè)特性的相關信息，因此在監(jiān)管層面上，無法為我國內部控制理論體系提供研究依據(jù)。

三、提升企業(yè)內部控制有效性的措施建議

（一）內部控制建設需要企業(yè)內部專家參與

企業(yè)內部控制建設應組建企業(yè)中熟悉所處行業(yè)特征、精通業(yè)務的內部專家和核心骨干為內部控制建設小組，以內控小組為主，外部咨詢機構為輔的方式推進內控建設相關工作，第一，內部專家比外部咨詢機構更了解企業(yè)情況，以其豐富的專業(yè)知識結合外部機構的輔助，以制訂針對性更強，操作性更強的內控措施;第二，在某些特殊業(yè)務領域（如研究與開發(fā)），避免外行人指導內行人的情況發(fā)生;第三，促進在企業(yè)內部形成良好的信息傳遞機制，在建設內部控制的過程中邀請員工參與，聽取員工意見和建議，在執(zhí)行內控時減少抵觸情緒、緩解內部摩擦，一定程度上可以有效推動內部控制落地。

（二）企業(yè)建設內部控制建設需要深入核心業(yè)務與流程

對于內部控制建設，需要從全局著眼，不可顧此失彼。內部控制措施的設計和執(zhí)行一定要能切實、有效地起到降低企業(yè)風險的作用，而非把風險轉移給別的部門或者其他環(huán)節(jié)，看似降低了風險，實際上風險還存在于企業(yè)內部。

應該將企業(yè)文化融入組織架構、人力資源、生產經(jīng)營、社會責任等企業(yè)管理的方方面面。企業(yè)的文化建設存在眾多難點，加強企業(yè)文化建設如果只是說一套做一套或者僅僅靠宣傳、普及些許概念以及管理者口頭倡導是很難調動員工的積極性和主動性的，更別提激發(fā)員工的創(chuàng)造力。企業(yè)經(jīng)營之風——誠信經(jīng)營，用人之道——任人唯賢，唯才是舉，企業(yè)成員尤其是管理者要以身作則，知行合一，才能激發(fā)企業(yè)活力，形成優(yōu)良的企業(yè)文化，這才是實現(xiàn)可持續(xù)發(fā)展的關鍵。

（三）建立和企業(yè)性質相匹配的風險管理體系

全面風險管理體系將風險管理嵌入企業(yè)的組織架構以及整個公司的業(yè)務流程之中，企業(yè)在建設風險管理體系時，應當明確風險管理的目標、企業(yè)自身的風險偏好、風險承受度及風險管理的流程。需要特別指明的是，有些企業(yè)自身的業(yè)務性質較為復雜，例如需要定期在外匯市場、期貨市場進行套期保值。還有些企業(yè)在主業(yè)經(jīng)營的過程中積累了大量的資金，對籌資的需求較小，有充足的閑置資金，因此涉足高風險的股票和金融衍生品交易，在面臨此類風險時，企業(yè)不應當高估自身的風險應對能力，而應衡量自身是否具備管理此類風險的能力，必要時應獲取外部專業(yè)機構的協(xié)助。

（四）找準切入點，探索適合企業(yè)自身的內部控制管理方法

多數(shù)企業(yè)在內部控制方面缺乏適合于本企業(yè)的內部控制管理方法，運用復雜的內部控制管理工具、引入煩瑣的內部控制管理方法，未必能提升企業(yè)內部控制管理的效率。

企業(yè)內部控制建設、執(zhí)行和評價流程企業(yè)應采用科學合理的方法，但是內部控制制度及相關手冊要通俗易懂。適合本企業(yè)的內部控制管理方法應該從基礎出發(fā)，要關注諸如預算管理控制、財務預警機制等在內部控制實踐過程中有沒有良好地執(zhí)行和運用，空談數(shù)據(jù)沒有任何意義，企業(yè)的基層，普通員工是否能夠理解這些數(shù)據(jù)背后的意義。財務人員收集和提供相應財務數(shù)據(jù)的同時應根據(jù)自身專業(yè)優(yōu)勢在企業(yè)內部控制管理方法和內部控制管理工具的探索中發(fā)揮積極的作用，而非僅僅是被動擔任提供數(shù)據(jù)和信息的配角。

（五）實施完善的內部監(jiān)督體系，避免內控自我評價避重就輕

企業(yè)通過實施內部控制評價程序來發(fā)現(xiàn)內部控制的缺陷，形成內部控制的評價報告。企業(yè)應當對內控設計、運行情況進行全面評價，包括財務報告內部控制和非財務報告內部控制，避免避重就輕的現(xiàn)象發(fā)生。例如，企業(yè)在經(jīng)營發(fā)展過程中應當履行社會責任，不可忽視與履行社會責任方面的相關風險。企業(yè)擁有良好、科學、完善的內部監(jiān)督體系，才能夠發(fā)現(xiàn)各種潛在的風險和問題，完善企業(yè)內部監(jiān)督系統(tǒng)。建立健全有效的公司治理機制，是推動現(xiàn)代企業(yè)運行，確保內部控制的有效性進行的重要環(huán)節(jié)。

（六）分行業(yè)制訂內部控制操作指引

首先，在某些方面，同一行業(yè)具有相關或類似的風險特征，關注行業(yè)風險，對具有類似風險的企業(yè)進行可比性研究，能更好地推動行業(yè)內部控制規(guī)范體系的建設、完善和實施;其次，分行業(yè)制訂內部控制操作指引，能為政府職能部門、企業(yè)自身和社會公眾提供更全面、詳盡、實用的信息，有助于監(jiān)管部門實施監(jiān)督，降低監(jiān)管成本，提升監(jiān)管效率;最后，制訂行業(yè)操作指引能起到承上啟下的作用，為我國對公司執(zhí)行內部控制理論體系的研究，相關制度的建設、規(guī)范和完善提供重要的依據(jù)。

（作者單位為日產<中國>投資有限公司）

參考文獻

[1] 樸春花.現(xiàn)代企業(yè)內部控制有效性探析[J].財會學習，2019（10）：7-9.

[2] 張國峰.如何實現(xiàn)內部控制有效性[J].財會學習，2019（29）：251+253.

[3] 張永林.關于如何加強企業(yè)內部控制有效性的思考[J].財經(jīng)界，2016（36）：161+165.

[4] 黎明梅，牙侯峰.企業(yè)內部控制有效性的探討[J].財會學習，2016（16）：236-237.