内部控制与企业发展

文/周菊香

国际上，有关内部控制含义有多种论述，目前被认为最权威的内部控制的概念是由全美反舞弊性财务报告委员会的发起组织——COSO委员会1992年在《内部控制-整体框架》专门报告中提出的，认为“内部控制是受董事会、管理当局和其他职员的影响，旨在取得经营效果和效率、财务报告的可靠性、遵循适当的法律等目标而提供合理保证的一种过程”，“内部控制框架由控制环境、风险评估、控制活动、资讯与沟通、监督五项基本要素构成”。这一观点得到了各国会计界、企业界及学术界的认可和应用，其表述的内容及相关标准对任何企业均可适用。

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》，标志着中国企业内部控制规范体系基本建成。《基本规范》指出，“内部控制，是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程”。《基本规范》于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。《基本规范》指出，“企业建立与实施有效的内部控制应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素”，而我国企业内部控制在上述五个方面都存在一些问题。

——内部控制环境不良。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。目前企业内部控制环境普遍存在着以下问题：法人治理结构不完善，一些企业只是设置了形式上的公司治理结构，未能真正发挥现代企业制度中董事会、监事会的职能；组织机构设置和权责分配不严谨，职责不清晰，不相容职务没有做到很好的分离；多数企业人力资源政策不健全且往往没有长远的人力资源规划；企业高层领导对内控存在认知误区，认为内部控制就是整章建制，忽视了内部控制是一种业务运行过程中环环相扣、监督制约的动态机制；不重视内部审计，内部审计错位、缺位问题比较突出，内审职能难以发挥。

——风险评估能力不足。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，进而合理确定风险应对策略。然而，多数企业长期来对内部控制制度重视程度不够，至今仍未建立成熟的风险评估和预测体系，缺乏对各类业务可能面临的风险进行识别和评估能力。由于缺乏专业人员，风险评估仅仅停留在定性的总体分析层面，定量的分析很少，主观判断多，数据说话少。个别企业甚至在对重大决策、重要人事任免、重大项目安排和大额度资金运作进行决策时仍然只凭管理者的感觉盲目，造成内部失控，给企业带来重大损失。

——控制活动不规范。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。然而，由于经营理念的落后、风险意识差、法人制度不完善等因素，多数企业现有的内部控制活动存在着或多或少的问题。如缺乏系统规范的内部控制制度和程序，即使制定了一些基本控制制度，但对责任的划分和量化不够明确，因而无法有效地发挥其控制功能。又如，业务流程控制漏洞较多，各控制环节松散、不连贯，只停留在以补救为主的事后控制层面，无法真正做到事前的预算控制和实时控制。

——信息沟通不顺畅。一个良好的信息系统应能确保组织中的每个人都清楚地知道其所承担的责任和义务，并能高效地利用信息系统获取其所需的资源。然而，在一些企业尤其是大型国有企业这一点做得并不是很好，经常会发生决策失误。如一些企业只是建立了多部门相互独立的业务管理系统，而不能做到整个企业内部信息的共享与沟通；而一些小企业在信息的沟通渠道上，仅设置企业内部上下级之间和对外的沟通渠道，缺乏平级之间等其他沟通渠道。在信息沟通内容方面，多数企业只是对现状的描述，缺乏规范统一的范式，随意性较大。

——内部控制监督不严。如果要确保内部控制被切实执行且执行效果良好、内部控制能随时适应新情况等，内部控制就必须被监督。然而，实际情况是，设有内部审计机构的企业很少，即使设有内审机构，也常常由于企业负责人对约束自己的内部控制制度反感、法律意识淡薄、重视程度不够等原因而弱化了内审的职能，从而使内审的监督职能更多地是流于形式，很难真正发挥其作用。

应当看到，内部控制建设是企业现代化管理的重要组成部分，内部控制制度的完善和有效执行是企业在市场经济下必然而且必需的选择，是企业实现战略目标和长远发展的重要保证。企业上下必须高度重视，从内部环境、风险评估、控制活动、信息与沟通、内部监督五方面着手，尽快完善和加强内部控制建设，企业才能有持续的发展！