如何建立有效的內(nèi)控體系以更好地促進內(nèi)部審計工作

姚莉莉 游族網(wǎng)絡(luò)信息技術(shù)有限公司

引言

IBM領(lǐng)導層早就意識到，要實施有效的內(nèi)控絕對不是一件容易的事情，在設(shè)計和執(zhí)行內(nèi)控過程中需要付出高昂的成本。如果可以選擇，IBM可能不會花費那么多資金和高級管理層的精力去關(guān)注控制。按照IBM顧問個人的理解，內(nèi)控就像企業(yè)的“紅綠燈”，沒有人希望受到它的限制，但沒有“紅綠燈”整個企業(yè)將可能陷入一片混亂。內(nèi)控執(zhí)行難其實是一個普遍而客觀的存在。企業(yè)內(nèi)控通常會遇到以下十大問題：領(lǐng)導凌駕在制度之上；內(nèi)控設(shè)計目標定位不準確；忽視流程環(huán)節(jié)關(guān)鍵控制點；缺乏內(nèi)控成本與效益的權(quán)衡；盲目照搬，不能因地制宜；內(nèi)控設(shè)計不能隨企業(yè)發(fā)展與時俱進；控制程序與業(yè)務(wù)執(zhí)行脫節(jié)；習慣代替制度，信任逾越監(jiān)督；內(nèi)控設(shè)計不能匹配控制環(huán)境；過度依賴信息管理系統(tǒng)。企業(yè)應(yīng)該針對內(nèi)部控制問題建立系統(tǒng)性的內(nèi)部控制制度，并營造內(nèi)部控制文化提高員工的職工素養(yǎng)和職業(yè)道德，讓員工懂得在企業(yè)內(nèi)部個人沒有絕對的自由，企業(yè)中的各項決策必須受到制衡。內(nèi)控內(nèi)審人員也要認識到內(nèi)控是企業(yè)運營的剎車、是對效率的牽制，這是客觀事實，內(nèi)控不是越嚴越好，完全追求效率的極端和完全強化內(nèi)控的極端都是不對的，我們需要找到內(nèi)控和效率的平衡點。企業(yè)有效實施和順利推進內(nèi)控的基礎(chǔ)，事先疏通企業(yè)的內(nèi)部利益結(jié)構(gòu)。梳理清楚有哪些人會因為推行內(nèi)控制度而利益上有損害，通過換崗等方式將其妥善安置好后再推行。否則現(xiàn)在推行內(nèi)控把其原來的利益拿掉了，會讓其產(chǎn)生很強的失去感，就會明里暗里地抵制內(nèi)控，導致內(nèi)控很難推行下去。

一、內(nèi)部控制體系的基本框架概念

（一）內(nèi)部控制的涵義與目標

COSO（全美反舞弊性財務(wù)報告委員會的簡稱）定義了內(nèi)部控制（簡稱“內(nèi)控”）是受企業(yè)董事會、管理層和其他職員共同作用，為實現(xiàn)經(jīng)營效果性和效率性、財務(wù)報告的可靠性以及對適用法律、法規(guī)的遵循性等目標提供合理保證的一種過程。從內(nèi)控的定義可以看出，內(nèi)控是動態(tài)的過程，并不等同于一系列的規(guī)章制度，制度是要求、操作流程，內(nèi)控是制度設(shè)計、工具、保證制度能落地的方法；制度是載體，內(nèi)控是在規(guī)章制度中的嵌入。比如說將不相容職務(wù)的相互分離、表單管控、歸口管控、授權(quán)管控、安全控制、會計控制、信息化控制、預算控制、政府采購控制、招投標控制等內(nèi)控方法植入到相應(yīng)的制度流程中。

內(nèi)控的目的包括以下五個方面：保障整個企業(yè)的經(jīng)營合法合規(guī)，這是企業(yè)內(nèi)控的底線；保護股東投資和公司財產(chǎn)的安全；確保內(nèi)部和外部報告的真實、完整和可靠；確保公司能朝著既定的戰(zhàn)略目標前進，提升經(jīng)營效率和經(jīng)營的效果；管理和控制風險（不是消除風險）。內(nèi)控的具體目標和要求絕非只有嚴格一個導向，它是一個動態(tài)權(quán)衡的結(jié)果，需要根據(jù)企業(yè)的特征、發(fā)展階段來權(quán)衡，而不是絕對化，具體目標和措施的制定要務(wù)實。

（二）內(nèi)部控制與內(nèi)部審計的關(guān)系

我們在談內(nèi)控的時候，后面都會談有沒有監(jiān)督，這個監(jiān)督就是內(nèi)部審計機構(gòu)的職能范圍。內(nèi)審職責不僅限于會計報表的審計，還要看各項業(yè)務(wù)活動是不是符合企業(yè)管理的規(guī)章制度、是不是符合企業(yè)內(nèi)部控制的要求、是不是符合風險控制的要求、是不是符合業(yè)務(wù)流程的相應(yīng)規(guī)定。所以內(nèi)審工作，一方面是對企業(yè)內(nèi)部經(jīng)營活動的監(jiān)督、檢查和評價，另一方面內(nèi)審不僅限于評價，還應(yīng)拓展到對企業(yè)內(nèi)部經(jīng)營活動和內(nèi)控工作的優(yōu)化、改進和完善。綜合來講，內(nèi)審在企業(yè)內(nèi)部通過不斷地發(fā)現(xiàn)問題并解決問題，承擔了監(jiān)察和咨詢的功能。

因此，內(nèi)控與內(nèi)審是相互促進的關(guān)系，設(shè)計有效并能執(zhí)行到位的內(nèi)控體系能大大提高內(nèi)審的工作效率與工作價值，而內(nèi)審的工作能促進內(nèi)控的優(yōu)化和完善。

二、評估內(nèi)部控制管理成效的基本內(nèi)容

（一）控制環(huán)境

控制環(huán)境是土壤，包括風險管理的理念和風險偏好、誠信和道德價值觀，以及它們的運營環(huán)境。董事會的態(tài)度和經(jīng)營方式，是決定控制環(huán)境優(yōu)勢的關(guān)鍵因素。從治理結(jié)構(gòu)上來說，獨立董事在董事會中的比例為判斷董事會的獨立性和公司治理結(jié)構(gòu)合理性的一個重要標志?？刂骗h(huán)境是整個內(nèi)控系統(tǒng)的底層基礎(chǔ)，就像高樓大廈的根基、種植橘子樹的土壤。

（二）風險評估

風險評估就是要識別和分析公司面臨的所有的潛在風險，包括商業(yè)風險、財務(wù)風險、合規(guī)風險、運營風險，然后確定應(yīng)該如何減輕和管理這些風險。企業(yè)運營始終是涉及風險的，需要在完全消除風險和對風險關(guān)注不足之間做恰當?shù)钠胶?，在確定整個公司的環(huán)境和業(yè)務(wù)活動的風險以后，需要對風險進行評估和分析。一旦評估了風險的重要性和可能性，那么管理層就需要考慮如何去管理風險以及選擇對應(yīng)的策略。

（三）控制活動

控制活動就是包括各種政策和程序，企業(yè)不同層面的人員共同實施的控制活動，可以歸納為以下幾種：一是合理授權(quán)，比如對外支付的審批、簽字制度；二是活動管理，由負責的管理人員對績效報告進行審查，比如定期將實際數(shù)據(jù)、預算數(shù)據(jù)進行比較，分析差異；三是信息處理，執(zhí)行各種控制與檢查交易的準確性、完整性和授權(quán)，比如異常報告；四是實物控制，確保設(shè)備、庫存、證券和其他資產(chǎn)得到保護，并且定期的檢查，如倉庫的收發(fā)存系統(tǒng)、各種實物資產(chǎn)定期的盤點制度。五是職責分離，在不同的人和崗位之間劃分和分離職責加強檢查，并最大限度地減少錯誤的風險。

（四）信息和溝通

信息和溝通是指能夠使人們識別信息、獲取信息和匯報信息的有效流程。信息系統(tǒng)提供運營、財務(wù)、合規(guī)的相關(guān)信息，促進業(yè)務(wù)的運行和控制，是執(zhí)行決策和外部報告的必要條件，信息質(zhì)量會影響管理層做出適當?shù)臎Q策的能力。信息的內(nèi)容需要真實完整的，具有時效性、準確性、可靠性和可訪問性。有效的溝通必須貫穿整個組織的各個方向，員工必須了解自己在內(nèi)部控制系統(tǒng)中的角色及個人活動和他人工作的關(guān)系，什么行為是預期的、什么是可接受的、什么不是預期的，或者不是被公司接受的。管理層與董事會和董事會的委員會之間的溝通至關(guān)重要。管理層必須使董事會了解績效發(fā)展和重大風險、重大舉措等相關(guān)一些問題。反過來呢，董事會也應(yīng)該向管理層傳達所需要的信息，并提供指導和反饋。除了公司內(nèi)部，董事會和管理層還需要與股東、客戶、供應(yīng)商、監(jiān)管機構(gòu)等各個外部等人士進行有效的溝通。

（五）監(jiān)控

內(nèi)部控制系統(tǒng)最后一環(huán)節(jié)是需要一個評估內(nèi)部控制系統(tǒng)的過程。所發(fā)現(xiàn)的內(nèi)部控制的缺陷應(yīng)該報告給公司高層，如高級管理層、審計委員會或者董事會，監(jiān)控的目的是確保內(nèi)部控制持續(xù)有效運營，監(jiān)控涉及由內(nèi)控審計人員評估內(nèi)控的設(shè)計和實施，以采取適當?shù)暮罄m(xù)行動。

三、內(nèi)部控制措施執(zhí)行難的原因

內(nèi)部控制的靈魂在執(zhí)行。作為內(nèi)審人員，都很希望制定了內(nèi)控制度就能夠執(zhí)行，執(zhí)行就能有效。然而在實務(wù)中，審計人員深有體會：構(gòu)建內(nèi)控體系、完善規(guī)章制度、設(shè)計內(nèi)控流程、推廣和培訓內(nèi)控制度都不難，但內(nèi)控體系構(gòu)建好之后，實際執(zhí)行卻常常不到位，總是遇到明里暗里的抵制，或者流于形式與理想狀態(tài)相差甚遠。其實內(nèi)控執(zhí)行難有著深層次的原因，主要有兩大根源：

（一）內(nèi)控限制了個體的自由

因為內(nèi)控為了防范由于個人自由造成企業(yè)的一些潛在風險，就必須限制個人自由。內(nèi)控的控制活動包括審批、復核、監(jiān)督、輪崗等，都是對個人自由的限制，但恰恰追求自由又是個體的天性，因此個體從潛意識里就會抵觸內(nèi)控。內(nèi)控牽制了工作的效率。我們要認識一點，內(nèi)控在防范風險的同時，確實會不得不牽制和影響工作效率。而業(yè)務(wù)部門是希望效率越高越好的，縮短流程、減少審批就會提高效率，所以業(yè)務(wù)部門出于對效率的追求，也會自然而然地抵制內(nèi)部控制，這個矛盾的存在也是客觀的。

（二）內(nèi)控影響了個人的利益

企業(yè)中永遠會存在著個人利益和企業(yè)利益發(fā)生矛盾沖突的地方。其實企業(yè)中很多風險的存在，是由于個人利益和企業(yè)利益之間發(fā)生矛盾。內(nèi)部控制傾向于保護企業(yè)的利益，因此就會限制某些個人的利益，影響到某些個人的不當?shù)美热绻?yīng)商選擇、費用報銷等環(huán)節(jié)的內(nèi)部控制程序等，觸動別人利益而導致內(nèi)控被抵觸。綜上，內(nèi)控執(zhí)行絕非一帆風順，因為它客觀上限制了人的自由，影響了效率和利益，所以如果想要順利推行內(nèi)控制度，必須先提高員工的思想認識，讓其認識到自由和企業(yè)的制衡是必然的，效率和內(nèi)控的平衡點要找到，還得梳理好內(nèi)控利益結(jié)構(gòu)，才有可能順利有效地推行內(nèi)控制度。

四、企業(yè)搭建有效的內(nèi)控體系的策略建議

（一）健全規(guī)范化的內(nèi)部控制制度

建設(shè)內(nèi)控有一套系統(tǒng)化的方法體系，可以用幾個“化”來概括：管理制度化、制度流程化、流程崗位化、崗位職責化、職責表單化、表單信息化、信息數(shù)字化、數(shù)字智能化。內(nèi)控不僅是建設(shè)內(nèi)控制度，比制度更大的問題是執(zhí)行。因此必須將制度流程化。從制度、崗位、流程三個層面上，去評價現(xiàn)有的工作步驟，采取相應(yīng)的措施規(guī)范操作流程，避免內(nèi)控的重大風險。同時，還不能因為建設(shè)內(nèi)控而過度影響工作效率，需要將流程崗位化，只有崗位還不行，還需明確崗位對應(yīng)的職責，將崗位職責化，職責是通過表單的形式體現(xiàn)出來的，因此就有了職責表單化。制度、流程、崗位職責、表單這些構(gòu)成了整個內(nèi)控一個系統(tǒng)的方法，在規(guī)范統(tǒng)一流程的同時，植入內(nèi)控的方法體系。在流程執(zhí)行過程中可能出現(xiàn)的問題叫風險。把風險標注出來，單獨列示相應(yīng)的風險清單，同時標示風險的屬性、風險的等級、風險應(yīng)對的控制措施、風險歸屬的責任部門，把所有的風險在流程中列出來，就是風險矩陣。針對每個風險點去建立相應(yīng)的內(nèi)部控制時，要用到風險評估的方法。風險評估要從風險發(fā)生的可能性和風險影響的程度，對流程中所涉及的每個控制點進行綜合分析，從成本效益的角度來綜合考慮針對各個風險點的內(nèi)控措施。

（二）完善內(nèi)部控制工具的使用內(nèi)容以及流程

系統(tǒng)化的方法體系基礎(chǔ)上，企業(yè)還可以結(jié)合使用以下內(nèi)部控制工具和手段進行內(nèi)控建設(shè)。一是不相容職務(wù)的分離控制。在整個內(nèi)控里面是最基本的，也是最重要的一個控制。授權(quán)批準、業(yè)務(wù)經(jīng)辦、會計核算、財產(chǎn)保管和稽核檢查，理論上這5個環(huán)節(jié)的人和崗位都要分開，這樣在工作流程的內(nèi)控設(shè)計上就有了一個基本的底線。二是授權(quán)審批的控制要求。明確股東會、董事會和經(jīng)營層三個層面的決策規(guī)則和機制。誰有權(quán)利動錢、誰有權(quán)力決定人事、誰有權(quán)利碰機要文件和印章，這三個是最重要的授權(quán)審批控制，需要明確審批控制的要求。三是財產(chǎn)的保護控制。廣義的財產(chǎn)，包括貨幣資金、存貨、應(yīng)收賬款、固定資產(chǎn)、土地房產(chǎn)等。財產(chǎn)保護在內(nèi)控執(zhí)行的時候，一定要遵循職務(wù)分離的基本原則，在整個管理的過程中，采購人、保管人、記賬人、監(jiān)督人這4個職務(wù)要確保分離。要注意的四個要點包括：資產(chǎn)日常管理，入賬管理確保都有明確的人員負責，包括入庫、領(lǐng)用、損毀、核查等環(huán)節(jié)都有專人登記；資金管理，要有統(tǒng)一管理的資金池，公司的資金池盡可能在規(guī)范的賬戶當中，不要和個人賬戶夾雜在一起；資金與賬目的審批一定要及時匹配；定期清查防范內(nèi)部舞弊。四是預算的控制。對于預算的控制要注意三點：預算一定要有一個專門的機構(gòu)負責，管理層推動，財務(wù)部門或預算管理委員會牽頭，自下而上再自上而下進行溝通和推動，得到絕大多數(shù)人的認可，預算才能推下去；預算不要求很準，在整個實施過程當中，要建立一個動態(tài)調(diào)整的機制；預算一定要同績效考核銜接，同財務(wù)審批銜接，才能夠通過預算實現(xiàn)內(nèi)部控制的目標，保證所有人朝著既定的目標，在既定的軌道內(nèi)前進。

（三）搭建信息化的業(yè)財控制體系

一方面利用信息化手段建設(shè)流程，另一方面在今天數(shù)字化的時代，要把流程看成一個采集數(shù)據(jù)的過程。從業(yè)務(wù)端的發(fā)生到財務(wù)端的收付款，語言是不一致的。業(yè)務(wù)以目標為導向，財務(wù)以流程為統(tǒng)領(lǐng)，業(yè)財?shù)牟蝗诤媳澈笫悄繕斯芾砗土鞒坦芾淼牟蝗诤?，它們兩者融合在一起的時候，就會產(chǎn)生矛盾，會發(fā)現(xiàn)業(yè)財?shù)臄?shù)據(jù)沒有貫通。所以內(nèi)控的建設(shè)背后還有一個業(yè)財流程融合的過程。而業(yè)財流程融合的過程，其實是業(yè)財數(shù)據(jù)打通的過程，這個過程中所增加的工作量，必須運用智能化的手段，讓大量的人工在重復性發(fā)生的環(huán)節(jié)中解脫，必須以大量的數(shù)據(jù)實現(xiàn)智能化的應(yīng)用，讓業(yè)務(wù)與財務(wù)的語言能夠相互共享。所以流程再造的過程，是一個數(shù)據(jù)標準統(tǒng)一的過程，又可以看成是一個數(shù)字化的過程。此外，為了提高業(yè)務(wù)部門填寫各種表單的效率，企業(yè)需要將表單信息化。這里要注意的是，在信息化落地之前，從制度走向表單，需要大量的流程梳理和再造工作，否則就會把線下問題搬到線上。

（四）開展全過程的會計監(jiān)督管理

內(nèi)部控制建設(shè)一定不能忽視會計控制的基礎(chǔ)性作用。管理的核心是財務(wù)管理，財務(wù)管理的核心是資金管理，我們抓住資金管理這條線，再逐步地延伸到業(yè)務(wù)。財務(wù)管理就是一套流程化管理的體系，將其延伸至業(yè)務(wù)，就能夠規(guī)范業(yè)務(wù)中的流程管理，業(yè)財融合就是業(yè)務(wù)和財務(wù)流程的整合。企業(yè)應(yīng)該確保會計系統(tǒng)的真實和完整，讓管理層以及稅務(wù)機關(guān)客觀真實地看到企業(yè)的經(jīng)營狀況，并讓投資人能夠認可企業(yè)管理的客觀性、真實性、透明度，從而愿意與企業(yè)一起發(fā)展。因此，在內(nèi)控管理中，第一，要保證財務(wù)體系和賬務(wù)體系的真實性，堅決杜絕兩套賬；第二，要確保財務(wù)做賬證據(jù)鏈的完整，包括比如生產(chǎn)計劃、物流、出庫入庫、合同、票據(jù)等支撐材料，只有證據(jù)鏈是真實完整的，才能夠檢驗賬是否為完整的；第三，建立符合企業(yè)業(yè)務(wù)特點的、統(tǒng)一的核算標準（企業(yè)會計準則），消除理解偏差，擺脫對做賬人的主觀依賴性；第四，確保財務(wù)報告制度的實施。財務(wù)報告制度包括外部報告和內(nèi)部報告，外部報告是以三表為核心的，內(nèi)部報告需要在三表的基礎(chǔ)上加上一些特殊的財務(wù)分析、一些特殊的業(yè)務(wù)數(shù)據(jù)的比對等。在公司內(nèi)部形成一套財務(wù)報告機制，是確保財務(wù)會計系統(tǒng)真實性、完整性的一個重要手段；第五，監(jiān)督包括內(nèi)部監(jiān)督和外部監(jiān)督。內(nèi)部審計的審核、外部第三方專業(yè)審計機構(gòu)的審查，是確保會計系統(tǒng)合規(guī)、會計系統(tǒng)能夠處于控制合理范圍內(nèi)的重要工具。

（五）基于頂層設(shè)計內(nèi)部控制架構(gòu)

第一，內(nèi)控要注意與宏觀戰(zhàn)略相結(jié)合，要有高度、有目標。內(nèi)部控制只有與戰(zhàn)略相結(jié)合，才能得到管理者的認同，才能得到全體業(yè)務(wù)部門的認同，否則，就會被認為只是對外的合規(guī)，為了符合監(jiān)管的要求，是某一個具體部門的事情，是具體業(yè)務(wù)層面上的內(nèi)部控制，而忽略了在內(nèi)部控制中應(yīng)該關(guān)注的控制環(huán)境的建設(shè)。而控制環(huán)境又是內(nèi)部控制所生存和發(fā)展的土壤，土壤不好，種什么苗都會出問題。所以應(yīng)該把內(nèi)部控制放在戰(zhàn)略高度下去觀察，戰(zhàn)略不確定性與風險相互聯(lián)系，那么內(nèi)部控制才會以風險為導向去建設(shè)。

第二，內(nèi)部控制建設(shè)，要與企業(yè)內(nèi)部現(xiàn)有的標準體系相互整合，實現(xiàn)有效的融合。一個單位里有各種標準，包括內(nèi)部控制也是一套標準。而一個單位不可能去實現(xiàn)各種各樣的標準，而是要在這些標準中去整合，梳理可能會出現(xiàn)的沖突，可能出現(xiàn)的具體的問題，將標準之間進行一個有效的融合。

第三，內(nèi)部控制一定要注意上升到集團的高度，集團管控問題是集權(quán)和分權(quán)的劃分問題，直接影響到一個單位的組織架構(gòu)、崗位職責的劃分、部門職責的劃分，這也是內(nèi)控的問題。集權(quán)和分權(quán)的劃分有一個思路，叫做集中的更集中、分散的更分散。重復性發(fā)生、低附加值、容易有重大風險的，要把它集中；有利于調(diào)動積極性、發(fā)揮主動性的權(quán)力要注意分散。

第四，內(nèi)部控制要平衡風險和效率之間的關(guān)系。我們不可能把所有的內(nèi)部控制都建立起來，但是對關(guān)鍵風險關(guān)鍵控制必須要把握住。有些控制雖然成本會很高，但是它的風險一旦發(fā)生，造成的影響會非常大，那必須概化相應(yīng)的成本；有些風險可能很少去發(fā)生，形成的風險也不會有那么大，那就沒有必要去建立最嚴格的控制體系?？傊?，我們要平衡效率和成本之間的關(guān)系。

結(jié)語

《黃帝內(nèi)金》有云：“上工治未病，不治已病，此之謂也?！眱?nèi)控強調(diào)的是企業(yè)應(yīng)該構(gòu)建一個對于相關(guān)風險的防范體系。一個精心設(shè)計的且被實際執(zhí)行的內(nèi)部控制系統(tǒng)，可以有效地幫助高管或者投資者管理公司，同時也降低風險且增加業(yè)務(wù)的價值。正是由于企業(yè)有規(guī)范、執(zhí)行到位的內(nèi)部控制，有良好的控制環(huán)境、科學的風險評估、有效的控制活動和暢通的信息溝通，內(nèi)審的事后監(jiān)督工作才能更有效率更好地開展，從而促進內(nèi)控進一步完善，促成企業(yè)內(nèi)部管理的良性循環(huán)，降低成本和內(nèi)耗，提高市場競爭力協(xié)助企業(yè)做大做強。否則，若企業(yè)的內(nèi)控設(shè)計失效、執(zhí)行不到位，內(nèi)審只能事后做亡羊補牢、事倍功半的工作，不僅效率低下而且很難產(chǎn)生價值。所以一定要重視內(nèi)審工作之前的內(nèi)控建設(shè)和執(zhí)行的工作。內(nèi)部控制的建設(shè)只有起點沒有終點。內(nèi)部控制實際上形成了單位的一套標準，標準減現(xiàn)狀等于問題，企業(yè)需要不斷地進行內(nèi)部控制評價，讓內(nèi)部控制體系不斷趨于完善。企業(yè)要從制度、流程、崗位三個層面上來搭建內(nèi)部控制評價制度，同時要注意對缺陷的評價，這些缺陷的評價又是未來整改的方向，所以內(nèi)部控制的建設(shè)是一個系統(tǒng)的工程、是一個動態(tài)的過程，內(nèi)部控制的建設(shè)永遠在路上。