首都經(jīng)濟(jì)貿(mào)易大學(xué) 王海林

企業(yè)內(nèi)部控制是通過(guò)一定的技術(shù)與方法實(shí)現(xiàn)的，這些方法構(gòu)成了企業(yè)內(nèi)部控制的方法體系。在I T條件下企業(yè)內(nèi)部控制的實(shí)施方法既有組織機(jī)構(gòu)設(shè)置、職責(zé)劃分和授權(quán)控制，內(nèi)部牽制等手段，也可以利用預(yù)算控制，成本控制等財(cái)務(wù)控制方法，還可以利用規(guī)范業(yè)務(wù)流程、操作規(guī)程及業(yè)務(wù)記錄，實(shí)施內(nèi)控審計(jì)，建設(shè)企業(yè)文化，建立獎(jiǎng)懲制度及激勵(lì)機(jī)制、實(shí)施績(jī)效評(píng)價(jià)等管理方法達(dá)到控制的目的。綜合考慮可以將這些方法歸為七類(lèi)。在I T環(huán)境下企業(yè)落實(shí)內(nèi)部控制方法，建立內(nèi)部控制體系可以遵循一定的路徑，做好以下幾方面工作。

一、梳理與設(shè)計(jì)業(yè)務(wù)流程

流程控制是把業(yè)務(wù)流程作為控制對(duì)象和手段實(shí)施的控制。通過(guò)業(yè)務(wù)流程優(yōu)化、并將必要的控制流程嵌入到業(yè)務(wù)流程中，成為業(yè)務(wù)流程的一部分，達(dá)到控制的目的，因此企業(yè)設(shè)計(jì)的業(yè)務(wù)流程必須既滿(mǎn)足業(yè)務(wù)處理的需要，也要滿(mǎn)足控制的需求?；诖?，企業(yè)應(yīng)該首先對(duì)現(xiàn)有流程進(jìn)行梳理、分析，本著面向服務(wù)、能夠快速響應(yīng)、處理高效的原則優(yōu)化現(xiàn)有流程、構(gòu)建新流程。此過(guò)程大致經(jīng)過(guò)前期規(guī)劃、診斷、設(shè)計(jì)和評(píng)價(jià)四個(gè)環(huán)節(jié)。

前期規(guī)劃。分析企業(yè)的各項(xiàng)業(yè)務(wù)流程，確定流程控制目標(biāo)，并分析和確定各流程存在的風(fēng)險(xiǎn)。

診斷。尋找各個(gè)流程目前存在的控制弱點(diǎn)，確定下一步進(jìn)行流程控制的關(guān)鍵點(diǎn)。

設(shè)計(jì)。按照前期規(guī)劃中設(shè)定的流程控制目標(biāo)，根據(jù)診斷環(huán)節(jié)確定的流程控制關(guān)鍵點(diǎn)，設(shè)計(jì)出流程控制方案，方案應(yīng)該包括業(yè)務(wù)控制的標(biāo)準(zhǔn)、控制過(guò)程、采用的控制手段與方法、控制的措施和內(nèi)容等。

評(píng)價(jià)。首先確定評(píng)價(jià)方案，對(duì)設(shè)計(jì)環(huán)節(jié)確定的控制方案進(jìn)行評(píng)價(jià)，并將評(píng)價(jià)結(jié)果反饋給流程設(shè)計(jì)部門(mén)和人員，最后形成實(shí)際要執(zhí)行的流程方案；然后根據(jù)流程執(zhí)行中反饋的業(yè)務(wù)處理結(jié)果，進(jìn)行控制效果評(píng)價(jià)和分析，并將評(píng)價(jià)信息反饋給管理層。管理層可以據(jù)此改進(jìn)相關(guān)工作。

二、設(shè)置組織結(jié)構(gòu)與流程

組織控制是將組織作為控制的對(duì)象和手段，使各級(jí)組織及組織中的成員在完成各項(xiàng)任務(wù)的同時(shí)實(shí)現(xiàn)企業(yè)的戰(zhàn)略目標(biāo)。

構(gòu)建具有控制能力的組織結(jié)構(gòu)。本著能夠快速響應(yīng)、兼顧整體目標(biāo)與分工協(xié)作相結(jié)合、處理好“集權(quán)”和“分權(quán)”關(guān)系、確保各級(jí)組織及其各個(gè)職能部門(mén)之間信息通道暢通幾項(xiàng)原則，建立起具有控制能力的組織結(jié)構(gòu)。包括：一是建立和完善企業(yè)法人治理結(jié)構(gòu)。建立和完善企業(yè)法人治理結(jié)構(gòu)是現(xiàn)代企業(yè)制度的基本要求，也是企業(yè)規(guī)范化運(yùn)做的基本要求。作為企業(yè)組織機(jī)構(gòu)的組成部分，董事會(huì)、監(jiān)事會(huì)、經(jīng)理層應(yīng)該職責(zé)劃分明確，形成較有效的企業(yè)治理、監(jiān)督和制約機(jī)制。二是設(shè)置控制機(jī)構(gòu)。根據(jù)需要和企業(yè)情況設(shè)置專(zhuān)門(mén)的控制機(jī)構(gòu)。如審計(jì)委員會(huì)、內(nèi)部審計(jì)機(jī)構(gòu)等，對(duì)企業(yè)各級(jí)部門(mén)和組織實(shí)施監(jiān)督和控制。三是各級(jí)部門(mén)和組織自身要有控制能力。各級(jí)部門(mén)和組織劃分工作崗位、確定崗位職責(zé)時(shí)除了滿(mǎn)足完成任務(wù)目標(biāo)外，還應(yīng)該考慮控制的需要。四是設(shè)置組織的控制層次。應(yīng)該建立一種與組織結(jié)構(gòu)相適應(yīng)的控制層次和控制機(jī)制，通過(guò)設(shè)置不同崗位（或角色）的控制層次和不同層次間的授權(quán)落實(shí)控制，保證既具有效率優(yōu)勢(shì)，又具有一定的靈活性。

設(shè)置滿(mǎn)足控制要求的組織流程。組織流程是實(shí)現(xiàn)組織目標(biāo)而采取行動(dòng)的過(guò)程，其本身也是一種控制手段。組織中每一項(xiàng)核心工作都應(yīng)該有明確規(guī)定的流程，而且流程設(shè)計(jì)時(shí)要把明確的業(yè)務(wù)記錄、崗位之間的牽制、上下級(jí)之間的簽核等方式作為流程的一部分，達(dá)到控制的目的。

三、建立風(fēng)險(xiǎn)評(píng)估機(jī)制

風(fēng)險(xiǎn)是控制的“因”。每個(gè)企業(yè)都隨時(shí)面臨著來(lái)自?xún)?nèi)外部的風(fēng)險(xiǎn)，管理者無(wú)論做出什么決策，風(fēng)險(xiǎn)都存在。因此，企業(yè)必須建立風(fēng)險(xiǎn)評(píng)估機(jī)制，管理風(fēng)險(xiǎn)。管理風(fēng)險(xiǎn)是一個(gè)在明確企業(yè)風(fēng)險(xiǎn)容忍程度基礎(chǔ)上，利用一定的管理工具對(duì)各種風(fēng)險(xiǎn)采取不同策略和措施，從而消除或降低風(fēng)險(xiǎn)損失，確保企業(yè)經(jīng)營(yíng)目標(biāo)實(shí)現(xiàn)的過(guò)程。它包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)監(jiān)督幾個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都有具體任務(wù)和完成措施。

風(fēng)險(xiǎn)管理的各個(gè)環(huán)節(jié)中，都要考慮成本和效益原則。每一項(xiàng)風(fēng)險(xiǎn)都會(huì)有多種控制措施和方式可供選擇，各種控制措施的效果和成本存在差異。通常，企業(yè)不可能也不必要控制所有的風(fēng)險(xiǎn)，因此風(fēng)險(xiǎn)控制中可以忽略一些影響小、發(fā)生概率低的風(fēng)險(xiǎn)，而是將控制重點(diǎn)放在影響大、發(fā)生概率高的風(fēng)險(xiǎn)上，即遵循重要性原則。

四、利用信息技術(shù)、控制信息系統(tǒng)

在I T環(huán)境下，信息技術(shù)不僅是控制的手段和工具，利用信息技術(shù)構(gòu)建的信息系統(tǒng)也是控制的重要對(duì)象。

業(yè)務(wù)處理和管理中利用信息技術(shù)進(jìn)行控制。對(duì)于采用信息技術(shù)的企業(yè)，在業(yè)務(wù)流程梳理的基礎(chǔ)上，應(yīng)該重新審視自身的信息系統(tǒng)，盡可能將業(yè)務(wù)的控制措施嵌入到信息系統(tǒng)中，變過(guò)去人的控制為機(jī)器的自動(dòng)控制，提高業(yè)務(wù)控制的剛性程度和標(biāo)準(zhǔn)化、規(guī)范化水平。

對(duì)信息系統(tǒng)實(shí)施控制。管理中，由信息技術(shù)基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、數(shù)據(jù)和人員等所有信息技術(shù)資源構(gòu)成的系統(tǒng)統(tǒng)稱(chēng)為信息技術(shù)系統(tǒng)，簡(jiǎn)稱(chēng)信息系統(tǒng)。企業(yè)應(yīng)該充分利用手工的或信息技術(shù)的方法、技術(shù)和程序?qū)π畔⑾到y(tǒng)實(shí)施控制。一是實(shí)施信息系統(tǒng)控制的第一步是進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)分析。即明確信息系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行、維護(hù)直到壽命期結(jié)束報(bào)廢的全過(guò)程中由于人為的或非人為的因素導(dǎo)致系統(tǒng)運(yùn)行正確性、可靠性、安全性以及運(yùn)行效率等方面面臨的風(fēng)險(xiǎn)。二是了解必須遵守和可供借鑒的信息系統(tǒng)控制規(guī)范。除了《會(huì)計(jì)核算軟件管理的幾項(xiàng)規(guī)定》、《企業(yè)內(nèi)部控制基本規(guī)范》有關(guān)信息系統(tǒng)部分的條款和《信息系統(tǒng)控制應(yīng)用指引》等我國(guó)企業(yè)信息系統(tǒng)控制需要遵守的規(guī)范外，目前國(guó)際上還有COSO《內(nèi)部控制整合框架》與ERM框架、國(guó)際信息系統(tǒng)審計(jì)與控制基金會(huì)的COBIT、國(guó)際標(biāo)準(zhǔn)化組織的ISO 17799/27002、英國(guó)計(jì)算機(jī)和電信中心CCTA提出的ITIL等較為成熟并被較多使用的控制規(guī)范。它們中有的是直接對(duì)企業(yè)信息系統(tǒng)、信息技術(shù)服務(wù)與管理提出的標(biāo)準(zhǔn)與規(guī)范，有的是作為內(nèi)部控制框架中信息技術(shù)部分的規(guī)范。這些框架或規(guī)范為企業(yè)構(gòu)建自身的信息系統(tǒng)控制體系提供了借鑒和參考標(biāo)準(zhǔn)。三是建立信息系統(tǒng)控制體系。從內(nèi)容上，企業(yè)信息系統(tǒng)控制體系即包括法律法規(guī)體系、制度建設(shè)、安全機(jī)制的構(gòu)建、信息系統(tǒng)相關(guān)機(jī)構(gòu)和職責(zé)設(shè)置，也包括信息系統(tǒng)風(fēng)險(xiǎn)分析與評(píng)價(jià)、安全保障技術(shù)、安全控制措施，還包括經(jīng)過(guò)認(rèn)證的安全產(chǎn)品的選擇等?；趯?duì)I T全面治理考慮，企業(yè)信息系統(tǒng)控制體系應(yīng)該從技術(shù)、管理、組織等幾方面構(gòu)建。技術(shù)體系是信息系統(tǒng)安全的技術(shù)保障系統(tǒng)，由安全保障技術(shù)選擇和使用、技術(shù)安全控制措施等構(gòu)成；管理體系是由與信息系統(tǒng)規(guī)劃、開(kāi)發(fā)、實(shí)施、運(yùn)行維護(hù)、報(bào)廢整個(gè)生命期相關(guān)的管理活動(dòng)構(gòu)成的系統(tǒng)；組織體系是保證信息系統(tǒng)正常運(yùn)轉(zhuǎn)的組織保障系統(tǒng)，由組織機(jī)構(gòu)和崗位設(shè)置和人員管理等幾部分構(gòu)成。

五、建立規(guī)章制度

規(guī)章制度等規(guī)范體系是重要的內(nèi)部控制形式和手段，通過(guò)規(guī)章制度的制定和落實(shí)可以使被控制者有章可循，使控制者有據(jù)可依。企業(yè)建立規(guī)章制度時(shí)，應(yīng)該首先明確企業(yè)必須遵守的國(guó)家的相關(guān)法律法規(guī)、行業(yè)規(guī)章，將其融入企業(yè)制定的規(guī)章制度中，同時(shí)根據(jù)企業(yè)的控制目標(biāo)、業(yè)務(wù)流程、組織設(shè)置、崗位和權(quán)限劃分等要求，明確哪些控制需要用規(guī)章的形式實(shí)施，建立起具有良好操作性和可執(zhí)行性的相應(yīng)的制度規(guī)范。

六、完善預(yù)算管理和內(nèi)控審計(jì)機(jī)制

預(yù)算管理。預(yù)算管理是一種全方位、全過(guò)程、全員的管理。它涉及企業(yè)生產(chǎn)經(jīng)營(yíng)的產(chǎn)、供、銷(xiāo)全過(guò)程和人、財(cái)、物各方面。在I T環(huán)境下，通過(guò)預(yù)算數(shù)據(jù)可以實(shí)現(xiàn)對(duì)組織、人員、作業(yè)環(huán)節(jié)等的實(shí)時(shí)控制，因此預(yù)算控制是I T環(huán)境下企業(yè)內(nèi)部控制的重要手段和方法。

內(nèi)控審計(jì)。內(nèi)控審計(jì)是對(duì)企業(yè)內(nèi)部控制實(shí)施過(guò)程和實(shí)施效果的再控制，是企業(yè)內(nèi)部控制體系中不可缺少的一環(huán)。內(nèi)控審計(jì)既包括委托專(zhuān)職機(jī)構(gòu)和人員，依照企業(yè)事先確定的經(jīng)營(yíng)管理活動(dòng)應(yīng)該遵循的控制標(biāo)準(zhǔn)對(duì)企業(yè)在經(jīng)營(yíng)管理活動(dòng)中執(zhí)行控制標(biāo)準(zhǔn)的情況進(jìn)行的審查、評(píng)價(jià)、鑒證，也包括企業(yè)內(nèi)部稽核或?qū)徲?jì)人員進(jìn)行的核查、自我評(píng)價(jià)。前者可以檢查和確認(rèn)企業(yè)內(nèi)部控制的真實(shí)性、合規(guī)性、有效性、充分性及適當(dāng)性，確認(rèn)和評(píng)價(jià)企業(yè)控制設(shè)計(jì)和控制運(yùn)行缺陷和缺陷等級(jí)，分析缺陷形成原因，提出改進(jìn)內(nèi)部控制建議；后者可以幫助企業(yè)及時(shí)掌握自身執(zhí)行控制的情況，發(fā)現(xiàn)執(zhí)行中存在的問(wèn)題等，從而達(dá)到自我監(jiān)督、及時(shí)管理的目的。

七、重視企業(yè)文化建設(shè)

企業(yè)內(nèi)部控制從本質(zhì)上看是對(duì)人的控制，而人又是千差萬(wàn)別的，這就要求控制一定要以人為本，不僅要有制度約束、流程規(guī)范，也要有價(jià)值引導(dǎo)、文化培養(yǎng)、風(fēng)俗熏陶和思想教育，即“導(dǎo)之以德，齊之以禮，有恥且格?！痹诳刂浦懈嗟刂匾暫瓦\(yùn)用企業(yè)文化的力量是重視人，以人為本的體現(xiàn)。

企業(yè)文化是一個(gè)企業(yè)的靈魂。它不僅極大地決定著員工的價(jià)值取向、工作動(dòng)力和行為方式，也是企業(yè)行為規(guī)范的內(nèi)在約束。從企業(yè)整體利益的需要出發(fā)，制定一套行為準(zhǔn)則來(lái)統(tǒng)一企業(yè)全體人員的信念、規(guī)范他們的行為、協(xié)調(diào)企業(yè)成員之間的關(guān)系，使之共同自覺(jué)地維護(hù)企業(yè)利益，是實(shí)現(xiàn)企業(yè)控制目標(biāo)的重要保證。在越來(lái)越重視“軟實(shí)力”、“軟管理”、“軟控制”的今天，企業(yè)文化應(yīng)該受到越來(lái)越多的關(guān)注和重視。

［1］［美］S c ott G reen著，張翼、林小馳譯：《薩班斯法案內(nèi)控指南》，經(jīng)濟(jì)科學(xué)出版社2007年版.