对企业内部控制实施的要点分析

徐力言 南京化学工业园公用事业有限责任公司

引言

企业内部控制属于企业发展运营中的一种动态管理过程，一方面指导并推动企业按照既定的经营目标发展；另一方面规范企业各项经济活动，提升企业的盈利能力。然而，企业的内部控制并非简单的内部独立或者特定事件，而是指贯穿于企业日常工作中的有效运行，企业应认真分析内部控制管理的相关要点，有针对性地完善内部控制设计与执行，构建良好的企业内部控制环境，推动企业员工树立正确的内部控制观念，积极主动地参与到内部控制，进而提升企业内部控制质量和成效，帮助企业提高经营效果，实现长久的盈利和发展。

一、企业内部控制的必要性

内部控制是企业提升管理水平，识别和防范风险，从而稳健经营，在市场中占据优势，获得更大市场份额的关键手段之一，其必要性主要体现在以下方面。

其一，良好的企业内部控制能够为企业进行决策时提供正确的指导。随着经济全球化发展的不断推进，国内市场经济的相关法律法规制也得到了极大的健全，对企业内部控制管理行为的约束力也愈发显著，尤其是当企业发展运营中出现与法律规定相悖的情况时，内部控制就能辅助企业管理层做出更为正确有利的决策，为企业的发展规避风险，为企业在市场竞争中争取更多的生存发展机会。

其二，良好的企业内部控制能够为企业资产安全提供有效的保障。企业通过内部控制可以规范财务管理工作，提升企业的风险管理水平，降低资产的无效流失，让企业的资产得到更优配置。同时内部控制贯穿于企业生产经营的各个环节，能够促进成本管理工作的推进，提高成本管理效果，提升资产的有效利用率。

其三，良好的企业内部控制能够提升企业的经营管理效率。企业需要随着自身的不断发展和实际运营情况的变化，对内部控制制度进行对应的完善和优化，健全的内部控制制度又能够对企业各部门、各岗位员工的工作流程予以约束并进行规范，为企业未来发展制定更为合理的发展目标和发展方向，如此循环往复，规范内部控制管理的同时，推动企业的良性发展，提升企业的整体竞争力和盈利能力，为企业战略目标的实现提供强有力保障。

其四，良好的企业内部控制能够提升企业风险防范能力。企业内部控制制度能否得到有效实施，与企业风险管理和防范能力存在正比关系，企业管理层只有对风险进行有效的规避和防范，才能让企业在市场运营中安全稳定的发展经营。此外，良好的内部控制还能够促进企业各部门及上下层级之间信息的有效传递，规范企业的真实管理和经营情况，在公众面前树立起企业的诚实守信形象，提升企业的核心竞争力。

二、企业内部控制实施要点分析

企业内部控制的实施是一项综合型的工作，企业业务规模和财务运行决定了企业内部控制工作具有复杂性。想做好企业内部控制工作，不能一蹴而就，必须要循序渐进，构建好运作环境、运作制度，搭建好运作体系，培养好相关的专业人才，本着科学性、合理性的原则，稳步推进，才能最大程度上做好企业内部控制的实施工作，保障企业长远发展。企业内部控制工作的实施要点有以下几方面：

（一）健全的内部控制环境

内部控制环境属于直接影响企业内部控制的重要元素之一，对内部控制制度和各项内部控制措施的执行有着直接性的影响，所以健全的内部控制环境是企业内部控制实施的第一要点。内部控制环境主要包括治理结构、人力资源、内部审计和企业文化四个主要方面，当前国内大多数企业内部控制环境建设还不够完善，具体如下，其一，企业治理结构缺乏合理性，根据国内现行的《公司法》规定，完整的企业治理结构应该包含董事会、股东（大）会、监事会和经理四大模块，四者之间通过合理的权责分配，相互制衡、相互激励约束，对企业进行高效的运营管理。然而现实中大多数企业的股权结构比较单一，董事会、股东（大）会和监事会的职能都无法得到有效发挥，在权力、责任、利益的划分上十分混乱，总经理成为公司治理的主要模块，在进行企业决策、责任划分和利益分配时都无法得到有效的制约。其二，人力资源管理不科学，具体如在用人方面，企业现有的用人机制无法有效降低人才流失，报酬和奖励机制无法跟上各方面专业人才的实际需求，考核和监督管理制度不科学，人力资源管理极度不理想以至于人才不能得到应有的待遇，人才的晋升、培养、淘汰制度缺失，组织活力大大下降，人才流失率明显提高，某些关键人才的流失甚至会影响到企业业务的运转。其三，内部审计缺乏主动独立性，大多数企业的内部审计机构都是为了应付相关政府部门的强制性要求而设立的，在实际审计工作中缺乏独立性，往往不能主动搜集相应信息，不能脱离财务部门的影响，很难得到准确且具有较强指导性的审计结果为企业决策提供数据支撑，难以为企业发展提供助力。其四，企业文化建设缺乏系统性，当前诸多企业在文化建设方面并没有统一、指导性的理论支撑，而是随便将中国传统文化和西方外来文化糅合在一起，而且，大部分企业的企业文化的建设带有很强的个人色彩，受限于企业领导的喜好和性格特征，并不能和企业实际发展需求与所在经济市场有效结合，以至于企业文化无法在内部控制中发挥出应有的积极作用。

（二）合理的风险评估体系

所有企业在运营发展过程中都会遭遇各种各样的风险，尤其是随着经济市场竞争愈演愈烈，建设合理的风险评估体系已经成为企业内部控制实施和管理的关键所在。企业风险评估体系的设计，主要建立在精准的信息和大量数据之上，企业在整个运营过程中会根据既定或者预期的控制目标，对信息和数据进行长期系统性的收集，通过对信息和数据的汇总分析，结合企业实际运营情况对风险进行针对性评估。企业在经营管理中所面临的风险，可依据其常见类型分为内部风险和外部风险两大类，内部风险主要体现在人力资源管理、内部管理、自主创新、财务管理等方面；外部风险主要受到经济环境、法律法规变动、社会发展和科技创新进步等因素的影响。在实际的风险评估进程中，首先需要对企业能够承受风险的能力进行正确评测，围绕企业内部控制的目标对内外部风险予以分析并确定，其次根据风险的不同等级和影响能力大小制定对应的风险处理方案。然而企业的运营发展由于受到多方面影响会不断发生变化，其所面临的风险也会随之改变，就需要结合企业内部控制对风险进行持续性动态化的分析评估。

（三）全面落实的内部控制管理

企业内部控制活动的全面落实结果是否能达成预期是内部控制是否获得成效的最直接体现，企业的内部控制活动需要具有系统性和科学性，其所包含的内容比较广泛，具体如对企业不同性质职务的分离管控、对会计系统的管控、对企业运营的分析管控和绩效考评管控等。然而当前企业在内部控制管理实践中，却存在诸多问题。譬如其一，在不同性质职务的分离管控方面，企业需要对所有业务流程中出现的不相容职务进行分析，明确各职务所承担的职责和权利，构建相互协助、相互制约的工作机制，但实际上企业内部各部门各岗位的职责和权利有很多地方都出现了多重管控或是权责不明的情况，尤其是出现问题时，各个相关部门会第一时间推诿责任，无法查清具体的权责情况，很难实现针对性问责。其二，会计工作是所有企业发展运营中必不可缺的环节，一般而言，企业的会计工作大多是在内部控制背景下严格遵守会计准则对工作行为及流程予以完善规范，保证会计信息的准确性和真实性；然而在实践中，企业会计工作范畴局限性比较大，其岗位的独立性也有待加强，很容易受到管理层的干扰，如果所提供的财务数据客观性和准确性不够，就难以真实反映企业的财务管理状况。其三，企业运营分析的管控工作一般都是在企业运营结束后进行，然而鉴于企业内部控制的特殊性，所以就需要将运营分析管控渗透在日常运营的各个阶段，结合绩效考评正确设立内部控制目标并进一步优化后续内部控制工作执行，发挥出内部控制的实效性和灵活性，推动企业运营和战略发展规划齐头并进。

（四）行之有效的内部监督体系

行之有效的内部监督体系能够为企业内部控制顺利落地提供强有力的外部保障，按理论规定而言，企业内部监督制度的设定主要是以企业内部控制的基本规范准则和实际运营情况为基础，并针对工作职能的不同，明确内部审计机构和内部控制机构的监督责任和权利以及管控范围，在监督方式方面，针对不同职能部门采用多样化监督，譬如对企业战略计划、业务流程等采用专项监督，对内部控制采用常规加持续性监督。然而在实践中企业的内部监督体系并不完善，尤其是在监督过程中针对企业运营中存在的漏洞，并没有设置专门的漏洞认定控制标准，以至于发现问题后很难及时将其反馈给管理层；又如企业在监督工作流程中，很容易忽略对企业内部控制的有效性进行客观评价，以至于无法完全发挥监督工作的能效。

（五）全面信息化的技术支持

全面信息化的技术有助于提高企业内部控制工作的效率和效果。现阶段，企业内不论是业务运行还是财务管理都是烦琐而复杂的。在运行和管理的过程中势必会产生大量的信息，而这些信息在无纸化办公的现今社会都会以数据的方式汇总归纳。全面信息化的技术支持可以充分利用科技的进步，将内部控制实施人员从烦琐的数据工作中解放出来，使之能够专注于信息质量的提高，做好归纳整理，以便及时发现问题和不足之处，从而进行整改。全面信息化的技术可以兼顾实时性和准确性，极大地提升了内部控制实施人员的工作效率，最大程度上避免失误。

三、企业内部控制实施建议

前文归纳了实施企业内部控制的五个要点，想要实施好企业内部控制，必须思路清晰，条理明确，分清重点难点，从根源入手，依次解决企业在具体实践中遇到的问题，将之制度化、规范化，才能最大限度地保证企业内部控制的实施效果，保障企业内部控制工作的执行水平。

（一）合理规划内部控制环境

企业内部控制活动的实施对内部控制环境的依赖性极大，所以合理规划内部控制环境极为重要，可以从以下方面实现，其一，完善并优化企业现有的治理结构，对董事会、股东大会、监事会和经理层的职权进行合理有效的划分，平衡各职能部门的权责和功能，充分发挥各部门在企业治理中应有的作用，构建职责分明、相互协作、相互制衡的管理机制。其二，合理规划企业组织结构，作为企业内部资源和相关权利的主要载体，组织结构能借助有效的信息传递促进内部环境建设的完善，打破传统按人设岗、人浮于事的俗成惯例，仔细研究企业的业务活动特点，抓住控制要点和内部管理实际需求，调动全体企业成员的工作热情，充分使用企业的人力资源，对企业各部门和岗位进行有效规划，遵循制衡、权责对等、工作量平衡等原则，构建合理的企业组织机构。其三，提升人力资源管理质量，借鉴国内优秀企业的人力资源管理经验，调整并完善现有的人才招聘制度和绩效考评薪酬制度，坚持“以人为本”，将竞争机制引入人力资源管理体系，借助合理有效的激励手段，提升员工在内部控制管理中的积极性。其四，强化内部审计建设，保持内部审计的独立性，充分放权给审计部门，让其职责能够得到切实履行，转化并调整内部审计的职能，结合内部控制评价、企业治理评价和风险评价，及时发现内部控制工作中的不足，提升审计人员的专业素养和操作水平，为构建良好的内部控制环境打下坚实基础。

（二）科学设计风险评估体系

随着市场竞争的日益激烈，企业所面临的风险也随之增多，科学设计风险评估体系，能够为企业内部控制提供正确指导。可以从以下方面实现，其一，确立全面风险管理目标，积极采纳企业管理层及基层员工对风险管理的意见和建议，结合企业长、短期发展战略分阶段设立风险管理目标，构建企业全覆盖风险信息反馈系统，针对出现在企业实际发展中的风险，及时调整，积极采取措施，将风险扼杀在摇篮里。其二，针对性收集风险管理初始信息，设立专门的风险管理信息收集小组，分别收取财务、市场和运营三类风险所需要的信息和数据，经过筛选，提炼出有效信息，对其分类组合，为风险评估提供充分的数据支撑。其三，制定合理的风险分析评价指标，根据风险影响因素作用的大小，选择对风险产生影响作用比较显著的指标，构建科学的风险预警评价模型，在风险评估工作中，一定要遵循事前、事中及事后全过程风险管控原则，对风险进行持续实时监测，在有效转移或解决旧风险的基础上，及时发现新的风险趋势，持续收集并不断完善企业风险识别信息，尽可能降低风险所带来的各种损失。其四，设立与风险控制相契合的激励制度，激发企业管理层和基层员工在风险管控中的主观能动性，培育员工树立正确的风险控制理念，全员参与，切实提升企业的整体风险防控能力。

（三）信息化提升内部控制管理

信息化提升内部控制管理，为企业内部控制各项活动的顺利展开和取得预估成效奠定基础，可以采取以下措施，其一，加强内部控制信息系统的建设，充分研究并应用信息化网络技术，将业务流程中容易出现风险的关键点融入企业的ERP系统之中，构建各部门各岗位内部控制信息及数据共享系统，并针对各部门各岗位职能特点，对其在系统中所拥有的查阅权限和操作权限进行针对性设置，譬如财务部门的管理者在系统中无法对会计数据进行随意更改，业务岗位的员工没有权利随便查阅管理者和财务审计信息等。其二，优化企业内部控制管理流程，首先对决策管理进行优化，具体如针对董事会、总经理和监事会等的不同作用，对其职能和权利进行系统性的设定，制定具有强制执行性的管理制度，贯彻职责到人、问责到底原则；其次优化业务管理，确保企业的一系列业务管理活动有标准制度的指导，开展合乎规定，科学合理；再次对财务和风险管理进行优化，将财务管理活动和风险管理活动有效结合，保证财务数据客观准确的同时，对存在于企业发展运营中的各种风险进项有效规避和转移；最后优化监督管理，这里的监督主要指的是内部审计和外部审计管理，借助严谨的审计手段改善内部控制体系，提升其实用性和有效性。其三，点面结合，将问题频发的业务管理环节作为内部控制重要节点，针对其设置专门的控制内容及目标，对内部控制方案进行逐步完善，进而推动企业内部管理经营模块的全方位无死角监测。

（四）持续完善内部监督体系建设

企业内部监督体系能否切实发挥有效的作用，直接影响着内部控制制度和措施的落实，建议从以下方面持续完善内部监督体系的建设，其一，确保内部监督部门的独立存在性，主动设置独立的内部监督部门，明确该部门岗位职责和工作人员所具有的权利，制定强有力的规章制度，为内部监督人员办实事、说真话提供安全的环境。其二，健全企业的内部监督机制，完善审计、会计、纪检等的工作职能，建立纵横交错的立体性监督管理机制，将绩效管理和执法监督力度紧密结合，调动企业全体人员在内部监督中的主人公意识。其三，确定企业内部监督中的主体责任人，在内部监督中，会计才是其责任主体，而企业的主要负责人依法应该积极配合主体的各项监督工作，禁止随便授意或强制会计机构及财务人员按照其意愿办事。实践中可以通过基础财政法规的培训和学习，帮助企业负责人树立正确的财务管理理念，让其明确自身在内部监督中的位置，进而提升内部监督质量。

（五）引入新技术支持内部控制管理

企业内部控制工作的效率高低和准确程度与进行内部控制操作的工具息息相关。随着科学技术的进步，企业内部的信息管理和信息交流机制有了很大的提升。譬如有一部分企业引入了EPR系统和OA系统等信息化工具，相较于传统的管理工具而言，这些信息化程度更高的工具极大地提升了管理效率，内部控制工作运行中因为人工操作而产生的误差也大大减少，由此可见，科技化工具的使用价值。不局限于此类工具，新的技术一直在发展，近年来日趋成熟的大数据技术和云计算技术在企业内部控制工作上的表现更加突出。基于云计算远程存储，大数据技术可以在投入成本相对可控的基础上，将企业运行中全链路的过程数据和财务数据精细化存储于企业云端，通过大数据系统实时分析、实时预判，综合考量企业运行中内部控制方面的漏洞和风险，做出预防措施，及时预警，及时整改。同时，此类技术可以有效执行制定好的内部控制制度，综合统筹企业整体的资源和部门，有效协调各部门之间的配合。而内部控制工作实质上是一项碎片化程度很高的工作，理想的企业内部控制工作要深入到企业生产经营的每一个环节中去，在这个过程中产生的内部控制数据是碎片化的，单独而言，价值很低。大数据技术恰好可以统合这些碎片化的信息，从全局视角进行分析，归纳出信息的价值，指导和辅助内部控制工作的推进。在内部控制独立性上，大数据技术也有其优势。由于此项技术统合的是全局信息，所有数据实时记录实时处理，最大程度上杜绝了人为影响，即使仍然有人为因素在其中，也只能影响个别数据，这些数据通过对比会被单独提报异常，对总体的控制基本上不产生影响。

结语

企业内部控制是一个持续性且系统性管理的过程，要想保证其控制活动能够顺利实施并彻底落实，不仅需要良好的内部控制环境和强有效的内部控制制度，还需要合理的风险评估体系和行之有效的内部监督体系的支撑。虽然当前国内企业内部控制实施仍存在诸多问题，但是在不断地执行落实和发现并处理问题中，成效日益显著，且在企业发展运营中所能发挥的积极作用也越来越大。