企業(yè)內(nèi)部控制規(guī)范實施解析

　　【摘要】 2008年6月，財政部等五部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，并要求從2009年7月1日起首先在我國境內(nèi)的大中型企業(yè)范圍內(nèi)實施。面對這一新規(guī)定，許多企業(yè)感到無所適從，不知從何做起。針對這一情況，財政部等五部委又抓緊制定了內(nèi)部控制配套指引，規(guī)定從2011年開始逐步執(zhí)行。即便如此，由于缺乏按照新的規(guī)范體系進行整合、梳理內(nèi)部控制的經(jīng)驗，具體操作中仍然可能存在各種問題。文章就企業(yè)內(nèi)部控制實施過程中的一些問題進行闡述。
　　【關鍵詞】 內(nèi)部控制；控制環(huán)境；內(nèi)部審計
　　
　　一、提高對內(nèi)部控制規(guī)范的認識
　　實施內(nèi)部控制規(guī)范體系，最重要的是提高對內(nèi)部控制規(guī)范體系的認識，把內(nèi)部控制建設工作作為新時期的一件大事來抓。
　　第一，要充分認識到目前的不足，令人滿意的經(jīng)營成果下面有哪些令人不滿意的地方。長期以來，許多企業(yè)對內(nèi)部控制持漠視態(tài)度，特別是近些年我國宏觀環(huán)境形勢大好、國民經(jīng)濟突飛猛進，社會需求的持續(xù)增長和企業(yè)的高速發(fā)展掩蓋了許多風險和缺陷，許多基本的牽制或檢查制度流于形式，良好的客觀形勢加重了主觀上對企業(yè)內(nèi)部控制的冷淡，所以首先要從思想上正視內(nèi)部控制規(guī)范。
　　第二，對企業(yè)內(nèi)部控制進行規(guī)范利在企業(yè)，利在社會。內(nèi)部控制基本規(guī)范的出臺，使許多企業(yè)領導又開始頭疼，埋怨政府又在念“緊箍咒”了，覺得政府在給企業(yè)找麻煩，增加企業(yè)的成本。這種觀念是非常錯誤的，內(nèi)部控制基本規(guī)范的目的是為了提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經(jīng)濟秩序和社會公共利益。實施內(nèi)部控制規(guī)范，首先得利的是企業(yè)自身。建立健全有效的內(nèi)部控制體系，可以使企業(yè)高層人員能有更多的精力放在企業(yè)戰(zhàn)略層面，管理人員的目光更多地放在例外事項的處置，使得管理層有機會從一個應接不暇的“救火員”變?yōu)橐粋€富有遠見的“思想者”。
　　第三，內(nèi)部控制不是新生事物，不是推倒重來。內(nèi)部控制不是新近的發(fā)明創(chuàng)造，而是每個企業(yè)在日常經(jīng)營管理中都切實存在的，比如現(xiàn)金和存貨的保管制度，待付款項的審核與批準制度，考勤的記錄與審核等，每個企業(yè)在實踐中都有自己的特色。從現(xiàn)在的觀點來看，這些都是內(nèi)部控制體系的一部分，但僅僅這些制度本身并不是內(nèi)部控制的全部。構建新的內(nèi)部控制規(guī)范體系，不是推翻原有的制度、原有的做法，重新開始，而是從一個整體的觀點、系統(tǒng)的角度對原有的制度進行梳理、分析、糾正、補充和整合。比如原有的制度可能針對的是某些部門、某些事件，現(xiàn)在還要強調(diào)企業(yè)文化、權責劃分、治理結構和正直的品質(zhì)等；原有的工資發(fā)放可能牽涉到的制度有考勤制度、薪級制度、資金支付制度等，分別面向業(yè)務部門、人事部門和財會部門割裂開來，現(xiàn)在要強調(diào)從整個薪酬計算、發(fā)放等流程的角度進行分析和規(guī)范。
　　
　　二、建立有效的內(nèi)部控制體系是董事會的職責
　　擺正態(tài)度之后，接下來要搞清楚內(nèi)部控制是誰的職責，誰應該對此負責。在現(xiàn)代市場經(jīng)濟中，公眾持股的上市公司構成了市場的主體，公眾股東選舉產(chǎn)生董事會，然后由董事會招聘職業(yè)經(jīng)理人進行經(jīng)營管理，所以作為管理的一項基本內(nèi)容和職責，建立健全、有效的控制體系是以總經(jīng)理為代表的管理層的基本職責之一，總經(jīng)理應該對此負最終責任。然而，由于我國的上市公司大都是由國有企業(yè)改制而來，復雜的歷史淵源造成現(xiàn)實中總經(jīng)理大部分是董事會的成員，還有一些企業(yè)設有CEO、總裁等，根據(jù)我國的實際情況，從權威性出發(fā)，規(guī)定由董事會對企業(yè)的內(nèi)部控制負最終責任。
　　內(nèi)部控制決不是財務部一個部門的事情。許多企業(yè)領導會習慣性地把任務交給財務總監(jiān)去辦，相關的內(nèi)部控制文件交由財務部門制定，然后以公司董事會的名義簽發(fā)，還有許多單位的內(nèi)部控制文件僅僅停留在財務部門，相關業(yè)務部門根本沒有看過。許多公司所舉辦的內(nèi)部控制培訓僅僅是財務部門的“專場”，整個活動由財務部門策劃、財務部門的人員參加，公司的領導和其他業(yè)務部門并沒有介入。這說明許多公司包括財務人員在內(nèi)都理所當然地把內(nèi)部控制視為了一項財務制度，理所應當?shù)刂皇秦攧詹块T的事情，跟領導機關、業(yè)務部門沒有什么關系。其實對內(nèi)部控制應該負責的是領導，企業(yè)的總經(jīng)理、部門的經(jīng)理、基層的業(yè)務經(jīng)理等，每一級別的經(jīng)理都有責任對自己所負責范圍內(nèi)的相關業(yè)務建立有效的風險識別、評估和控制機制，并進行監(jiān)督。當然制定控制文件就是由相關經(jīng)理來負責，只有他們更清楚自己所負責的流程或業(yè)務內(nèi)容的風險，才能更符合實際，單純財務部門制定的必將是束之高閣。財務部門該做的是建立健全本部門相關業(yè)務控制系統(tǒng)。
　　內(nèi)審人員在內(nèi)部控制中的角色只是監(jiān)督和評價。許多公司開始重視內(nèi)部審計工作，然而往往把內(nèi)部審計看成了業(yè)務控制的“最后一道防線”，使內(nèi)審部門承擔起了超過其職責范圍的“保險栓”的功能，所有的業(yè)務事項都要求由內(nèi)審“過濾”，風險由內(nèi)審承擔。一些內(nèi)審人員滿腹委屈地說，現(xiàn)在領導重視我們內(nèi)審了，要求我們內(nèi)審搞好內(nèi)部控制，我們內(nèi)審經(jīng)常被邀請出席各種場合，比如驗收固定資產(chǎn)和物品時，要求我們?nèi)?；和購貨方的定價會要求我們?nèi)?；合同的會簽要求我們?nèi)?，有時候得趕場子不停地參與各種經(jīng)營活動。業(yè)務部門也說了，要讓內(nèi)審部門參與，否則將來出問題省得他們老找后賬，萬一出問題了，內(nèi)審也在上面簽了字的！總經(jīng)理也說“我們要搞事前控制”。內(nèi)審本來就沒有多少人，搞得疲憊不堪不說，還總是心驚膽戰(zhàn)。我們擔的責任越來越大了，但我們許多專業(yè)問題是不懂的，比如某些專業(yè)合同內(nèi)容等，我們?nèi)チ艘簿褪亲咦哌^場，沒什么作用。對業(yè)務風險控制的主體應該是業(yè)務部門，內(nèi)審人員可以按照公司領導的安排對內(nèi)部控制系統(tǒng)進行評價或監(jiān)督，即內(nèi)審人員關注的應該是針對這項經(jīng)營活動，業(yè)務部門是否建立了風險識別和評估、風險應對和控制的措施，這些措施是否有效，目前的控制流程可能存在哪些風險等，而不應把重點放在業(yè)務內(nèi)容本身。否則控制看起來很完善，也都簽字了，內(nèi)審、法律、紀檢都來了，其實只能淪為一場又一場疲憊的簽字游戲。
　　
　　三、內(nèi)部控制是什么
　　內(nèi)部控制是什么？經(jīng)常可以看到許多企業(yè)在諸多規(guī)章制度中有一個制度很奇怪，名字就叫“內(nèi)部控制制度”，和資金管理制度、預算管理制度、費用報銷制度等并列在一起，打開看一下，發(fā)現(xiàn)其中規(guī)定了內(nèi)部控制的定義、主體等，有的在其中又提到了資金管理、費用管理等不一而足。也有一些審計人員在給被審計單位的管理建議中會提到，貴公司在資金管理方面不盡完善，在長期股權投資方面較為混亂，在內(nèi)部控制方面如何如何等，將內(nèi)部控制與具體的業(yè)務管理并列在一起進行分析和討論。這里就談到一個問題，什么是內(nèi)部控制？以上列舉的這些做法表明這些制度的制定者或評價者把內(nèi)部控制視為了一個獨立的機體，脫離于具體業(yè)務過程的一個規(guī)章制度，有了預算，有了資金管理，有了銷售控制，還得有一個叫做“內(nèi)部控制”的制度，這樣才更加完善，更加符合國家規(guī)定和潮流需要。其實，內(nèi)部控制是一個過程，包括風險識別、評價、控制和監(jiān)督反饋的過程。也就是說內(nèi)部控制是一個總稱，泛指企業(yè)內(nèi)部所有的業(yè)務控制以及確保這些控制有效執(zhí)行的機制。所以可以這樣理解，企業(yè)所制定的資金管理制度、預算管理制度、費用報銷制度等等都是企業(yè)內(nèi)部控制的一個方面，在評價被審計單位資金控制時其實就已經(jīng)是在評價其內(nèi)部控制的某個方面了。內(nèi)部控制是一個全集，而資金控制、業(yè)務控制、授權體系等都是內(nèi)部控制的子集。
　　另外一些人認為，制定的制度就是內(nèi)部控制，文件柜里擺放的、印刷成冊的匯編就是內(nèi)部控制。有些經(jīng)理人員自豪地說，我們公司的制度非常完善，覆蓋了所有的業(yè)務環(huán)節(jié)，所有的人都有章可依，可以說，我們的內(nèi)控是非常健全和有效的。也有些經(jīng)理人員意識到管理中應該更多地靠制度來約束而不是靠人來指揮，因此經(jīng)常督促參謀人員制定、完善各項制度，甚至于年終總結中都將制定了多少項制度作為“豐功偉績”匯報。然而，僅僅制度本身不是內(nèi)部控制，內(nèi)部控制還包括對制度的執(zhí)行并留下有效執(zhí)行的證據(jù)或軌跡，經(jīng)常地和不經(jīng)常地對這些證據(jù)和軌跡進行檢查，以評價制度執(zhí)行的有效性。同樣，制度要靠人來執(zhí)行，執(zhí)行的人如何看待這些制度關系到執(zhí)行的效果，內(nèi)部環(huán)境中的一些重要因素如企業(yè)文化、正直的品格、人事政策的合理性和高層人員的行為和表率等都會對執(zhí)行人員的主觀意愿產(chǎn)生重要影響，并隨之影響到制度執(zhí)行的有效性。此外，所制定的制度也應該經(jīng)常審視是否已經(jīng)過時，是否還適合目前的實際情況，是否已經(jīng)成為導致效率降低或誘發(fā)新的風險的“壞制度”。制度不是永遠合理的，一項非常有效的、有利的適合企業(yè)需要的制度如果一成不變，遲早會變成產(chǎn)生新的風險的根源。
　　
　　所以，內(nèi)部控制是一項機制。這項機制里有書面文件，放在柜子里的那些匯編，還有不成文的規(guī)定和習慣，保證所有的人員按照這些文件和習慣處理所有的業(yè)務并留下證據(jù)以便能夠?qū)?zhí)行的有效性進行檢查。檢查分為定期和不定期的，所有未按規(guī)定處理的例外業(yè)務能夠在分析后得到處理和報告，同時，對這些制度進行定期的梳理和隨時的反饋匯報、順暢的舉報通道也是這個機制的一部分，以便這個機制及時更新。高層人員應樹立良好的風氣，使所有人員能夠正確地對待這些文件，也是這一機制的重要組成部分。
　　
　　四、內(nèi)部控制體系如何建立
　　內(nèi)部控制是一項機制，一項自我維護的動態(tài)機制，所以內(nèi)部控制是建立起來的，而不是抄來的。一些企業(yè)開始重視制度建設，總經(jīng)理一聲令下，加快制度建設，學會照章辦事，要求辦公室?guī)兹罩畠?nèi)拿出成果來。于是只好把同行的制度抄過來，甚至從網(wǎng)上一搜，稍微改動一下，頒布實施。仔細一看，制度中的名稱有些都沒來得及改過來，還是其他公司的名字，結果自不必說。有些分公司說沒有收到，有些子公司在郵箱里都沒有打開過，有些部門打印出來，往文件柜里一放，總算有制度了。這里面有兩個問題，一是總經(jīng)理已然認識到了制度的重要性，但思想認識卻有些依稀，覺得終究不如“攻市場、談合作”重要，更應當放在“上市”這件大事的后面，也不如諸多人員的安排調(diào)配與關系處理重要，實際上只是一個號召和想法，因為畢竟不是那么迫在眉睫的事情。二是搞不清楚是誰的事，也不清楚應該怎么干，也沒去認真分析應該如何做，無端地認為這都是“你們的事”，都是你們這些“高學歷、擺筆桿子、坐辦公室”的人的事情，我提個號召和想法即可。任何事情必須得到領導的充分重視，才可能做好，只有領導重視，其他員工才會重視，才可能認真去做，所以本文開篇提到必須端正思想，高度重視才行。那么，在領導重視的前提下究竟應該如何去建呢？
　　任何一個存在的、處于運營狀態(tài)的企業(yè)，無論其規(guī)模大小，有無制度，都有其業(yè)務處理的做法和習慣，小規(guī)模企業(yè)的業(yè)務處理流程可能通過創(chuàng)始人的口授、傳幫帶甚至是自我摸索的方式形成、流傳，歷史較長或規(guī)模較大的企業(yè)可能或多或少都會有些制度及規(guī)定。這些做法、習慣和規(guī)定有的比較合理，比較統(tǒng)一，可做起來卻各種各樣；也有些雖然沒有出過什么事情，但卻暗藏著風險，因為以前沒有出過問題不代表沒有出問題的可能性。
　　因此首先要對這些業(yè)務流程進行梳理，識別業(yè)務過程中的風險有哪些，目前是怎么做的，應該怎么做更有效、風險更小。進行業(yè)務流程的梳理不是財務部的事情，也不是辦公室的事情，而是所有業(yè)務部門的事情。每個業(yè)務部門的經(jīng)理都要對本部門所有業(yè)務的風險識別和風險控制負責，充分發(fā)動本部門的員工，采取多種行之有效的方式如討論、舉報、書面的反饋等形式識別本部門所有業(yè)務流程風險，分配不同層次的業(yè)務處理權限，并建立控制措施應對可能出現(xiàn)的風險，經(jīng)常地審視這些風險，經(jīng)常地審視業(yè)務流程是業(yè)務部門責無旁貸的事情。財務部門要對財務業(yè)務相關風險進行識別和控制，如資金的管控、財務信息產(chǎn)生流程的質(zhì)量控制、財務信息系統(tǒng)的控制、財務與銷售、生產(chǎn)等基礎數(shù)據(jù)部門的協(xié)調(diào)等。要設計一些表單，或者通過信息系統(tǒng)將控制執(zhí)行的記錄留存下來，常見的有驗收報告、應收賬款的催收記錄、經(jīng)理人員的審批意見等。各個業(yè)務部門要有檢查制度，定期地對控制執(zhí)行情況記錄進行檢查、核實，并留下檢查記錄。業(yè)務部門經(jīng)理還要建立所屬業(yè)務范圍內(nèi)舉報和揭發(fā)的通道。
　　控制執(zhí)行得效果怎么樣，員工以怎樣的態(tài)度去對待，這是內(nèi)控體系建設的另一個重要方面，也就是內(nèi)部環(huán)境的建設。內(nèi)部環(huán)境建設相對來說不是那么具體化，有些公司印有一些小冊子，所有的員工人手一冊，上面記載了應該干什么，不應該干什么，遇到各種問題應該怎么辦。這是文化建設的一個方面，其中會體現(xiàn)公司高層的意愿。但文化的形式多種多樣，各層領導在各種場合的講話和行為表現(xiàn)起到了更為直觀和顯著的影響作用，公司的標語、警示等也會有一定的提醒作用，哪些人得到了提拔、哪些人被棄之不用都會形成強烈的示范和引導。公司的文化和宣傳部門在這方面可以做很多事情。有些企業(yè)在本公司內(nèi)部定期收集一些案例，哪些事做得對，有什么經(jīng)驗；哪些做得不對，為什么，記載的全部是公司內(nèi)各部門的人和事。因為大家都認識，都是身邊的人，會很感興趣，認真讀一下，被褒揚的自然得到莫大的鼓勵，被批評的也會銘記在心，這種喜聞樂見的形式會給公司控制的執(zhí)行起到很大的積極作用。
　　最后，任何一項制度針對的都是某種情況下的特定風險，然而導致這種特定風險的外部環(huán)境是不斷變化的。比如公司的組織結構，公司的發(fā)展戰(zhàn)略，顧客的偏好，銷售渠道和方式，原材料的供應，科技的進步，自然環(huán)境的變化等。所以，沒有一種風險是永久的，也沒有一項制度是一勞永逸的，況且，任何制度時間久了難免在執(zhí)行過程中大打折扣。公司應該建立內(nèi)部控制的自我評價制度，評價曾經(jīng)有效的制度是否還一直有效，評價曾經(jīng)完整的制度是否已經(jīng)變得片面，評價現(xiàn)在的制度究竟還需不需要。這種評價不同于上面所講的日常的檢查與核實，這種全面的、深刻的評價應該至少每二至三年進行一次，或者在有重大的經(jīng)營環(huán)境變化（如重組、流程再造、重大組織結構變更、重大人事變更等）發(fā)生時進行。內(nèi)審部門可以作為一個主要的組織者，但不是唯一的負責者，可以根據(jù)公司的實際情況，采用問卷調(diào)查、研討會和管理導向分析等多種形式，對公司內(nèi)部控制體系的有效性進行評價。
　　
　　五、如何進行內(nèi)部控制的自我評價
　　一般來說，內(nèi)審部門可以作為內(nèi)部控制自我評價的組織者，也可以聘請外部機構作為智囊參謀和組織者之一，然而真正進行自我評價的主體還是各個業(yè)務部門——即各項風險識別、控制機制的制定者和執(zhí)行者。因為具體到各個業(yè)務而言，了解實際情況、熟悉專業(yè)知識的還是業(yè)務部門，內(nèi)審人員起到一個組織、監(jiān)督和評價的作用，內(nèi)審人員評價的內(nèi)容應該是業(yè)務部門的自我評價過程是否可以驗證、自我評價結論是否恰當，而不應該評價具體的業(yè)務內(nèi)容本身。
　　作為一個組織者和推動者，內(nèi)審部門首先要向各業(yè)務部門展開營銷，即向他們宣傳和動員，思考并強調(diào)進行該項評價能夠為該部門帶來什么好處，通過自我評價能夠提供哪些顯而易見的績效的改善，切實讓業(yè)務部門理解自我評價能夠給本部門提供增值服務，而不是一項“壓下來的硬任務”或者是內(nèi)審部門為了部門利益而跳出來“找亂子”。只有經(jīng)過有效的營銷并贏得業(yè)務部門的充分理解與配合之后，內(nèi)部控制的自我評價才有意義，才不會演變成為一項勞民傷財?shù)摹靶问街髁x”累贅。
　　營銷之后，應該制定詳細的評價計劃。根據(jù)西方國家的經(jīng)驗，計劃工作應該占整個內(nèi)部控制自我評價工作的60%以上。為了最大限度地減少對正常業(yè)務的干擾并找出真正的問題所在，必須進行充分的事前規(guī)劃。首先要確定評價的范圍，對哪些業(yè)務部門進行評價，評價這些業(yè)務部門的哪些內(nèi)部控制要素，牽涉到哪些具體業(yè)務、具體人員等等。其次要確定評價的方式，對不同的內(nèi)部控制要素和不同的部門范圍，可能需要不同的方法。如對企業(yè)文化、正直的品格、人員的作風進行評價以及較廣范圍內(nèi)的測試可能采用問卷調(diào)查更為恰當，而對治理結構、戰(zhàn)略等問題可能需要與高管人員進行深入的交談，而對驗收、賬務處理流程的控制測試可能需要更多的檢查、穿行測試等。一些經(jīng)驗豐富的內(nèi)審人員說，我不用去看、不用去查就知道下屬各單位的內(nèi)部控制怎么樣。在司機接我的路上，我就會認真地觀察司機來的是否整點，著裝是否莊重整齊；然后問些問題，如汽車晚上停在哪里，是在公司還是自己家，出車是否打卡記錄，修車如何結算記錄等，從而就可以了解出這個公司的內(nèi)部控制情況如何，根本不用查憑證。那么這種做法是否正確呢？非常正確，使用的方法叫做“詢問法”，可以管中窺豹，略見一斑。但是，如此了解的內(nèi)容只是被審計單位內(nèi)部環(huán)境的一部分，而不是全部，更不是內(nèi)部控制系統(tǒng)的全部。司機沒有打領帶并不一定能說明賬務處理是否正確，業(yè)務處理是否合法，經(jīng)營是否具有效率。他只能告訴我們這個公司的氛圍是什么。當然，同樣的氛圍下，行為有可能是一致的，也許公司的內(nèi)部控制系統(tǒng)真的很差，但不能僅憑跟司機的談話就作出細致的評價。再次要考慮需要哪些人參加自我評價。一般來說，問卷調(diào)查需要每個人的參與，而訪談和研討會一般是中層及以上的主管人員或涉及到的相關業(yè)務的關鍵人員參加。因為中層主管以上的人員較為熟悉本部門的全面流程和風險。有些特殊問題的調(diào)查和測試則需要相關人員的回避。最后需要確定的是各個評價環(huán)節(jié)的具體執(zhí)行時間，有些需要與相關參與人員事前協(xié)調(diào)，個別事項需要隨機和突擊的方式進行。
　　評價的實施過程有兩個關鍵點，一是要留有充分的記錄，包括問卷、訪談記錄、會議記錄和工作底稿等，以便事后整理得到恰當中肯的結論，而且也必須保存好以備核查。二是要有充分的互動，內(nèi)審人員作為組織者，要充分調(diào)動業(yè)務部門的積極性，引導他們進行自我剖析，引導不同人員進行交流。記住，業(yè)務部門是評價的主體，千萬不要喧賓奪主。
　　
　　【參考文獻】
　?。?］ 財政部等五部委.企業(yè)內(nèi)部控制規(guī)范［M］.北京：中國財政經(jīng)濟出版社，2010.