黃陽陽

（安徽皖通高速公路股份有限公司，安徽 合肥 230088）

一、集團企業(yè)實施內部控制體系的現(xiàn)狀

自我國《企業(yè)內部控制基本規(guī)范》及其配套指引發(fā)布實施以來，我國上市公司已陸續(xù)構建和實施了健全有效的內部控制體系，但除此以外，目前我國很多集團企業(yè)的內部控制體系建設與實施仍存在一些問題，具體如下：

（一）對內部控制的認識仍停留在傳統(tǒng)階段

國內許多集團企業(yè)對于內部控制的認識仍停留在感性階段，不能用系統(tǒng)的眼光來看待內部控制，片面地將內部控制理解為對人、財、物的控制。有的則認為企業(yè)內部控制就是內部牽制或內部監(jiān)督，甚至看成是某些文件或制度，認為制定出了有關部門或主管單位所要求具備的制度規(guī)定，就已經(jīng)建立了企業(yè)內部控制。在實踐中，對于內部控制的認識大多還停留在內部牽制制度、內部控制制度階段，而且由于集團企業(yè)治理機構的內外機制欠缺，企業(yè)經(jīng)營和管理風險相對較低，管理層對內部控制認識不充分、不確切、不完整，導致許多集團企業(yè)沒有實施內部控制的動力。

（二）缺乏有效的內部控制監(jiān)督和評價機制

基于現(xiàn)有的集團企業(yè)管理體制和管理方式，多數(shù)集團企業(yè)對于內部控制的監(jiān)督很薄弱，難以起到應有的作用，對于內部稽查中內部控制有效性的評價方式過于簡單。傳統(tǒng)的內部控制評價方法是以定性分析為主的，分析過程較復雜，且很大程度上依賴于評審人員的主觀判斷，主觀性較強，缺乏客觀具體的可操作性標準，內部控制效果評價的可靠性難以滿足。這也導致內部控制評價缺乏科學性、規(guī)范性和可操作性，進而增加了評價工作的實施難度、資源投入的主觀隨意性、結論不可靠性。

（三）內部控制缺陷類型認定界限不清晰

集團企業(yè)應當根據(jù)內部控制缺陷影響整體控制目標實現(xiàn)的嚴重程度，將內部控制缺陷分為一般缺陷、重要缺陷和重大缺陷。但多數(shù)集團企業(yè)對內部控制缺陷的認定缺乏科學的流程和判斷標準，導致對內部控制缺陷的類型認定不合理，沒能有效識別哪些缺陷屬于一般缺陷，哪些缺陷屬于重大缺陷，認定界限分離。從而導致企業(yè)不能合理設置內部控制的關鍵控制點，使其對內部控制缺陷的整改沒有針對性，大大降低了效率，同時也會造成大量的資源浪費。

（四）風險管理意識淡薄、風險管理沒有形成制度化

集團企業(yè)時時面臨著來自組織內外的各種風險，必須要對風險及時識別、評估和控制，以有效保證企業(yè)經(jīng)營的效率，推動戰(zhàn)略實現(xiàn)。我國集團企業(yè)所面臨的風險主要是政策風險、投資決策風險、融資風險、營運安全風險、法律風險等。從目前我國集團企業(yè)的現(xiàn)狀來看，風險意識并沒有提到應有的高度，仍然缺乏有效的風險管理機制。另一方面，目前大多企業(yè)的管理人員風險意識不強，對風險管理方法認識不足，缺乏對風險控制的動力，不能采用恰當?shù)目刂瞥绦蚝涂刂品椒ǎ瑢χ卮箦e誤或舞弊現(xiàn)象就容易忽略。

此外，我國集團企業(yè)還存在著內部控制機構不健全、組織架構設置不合理、內部控制沒有與信息系統(tǒng)相結合、缺乏人才和知識積累等問題。

二、集團企業(yè)內部控制建設的方法框架

集團企業(yè)不同于單體企業(yè)，它具有母子企業(yè)一體化和業(yè)務多元化的特點，一般面臨著更多的風險。內部控制體系是集團企業(yè)加強經(jīng)營管理最重要的方面，本文構建了適用于集團企業(yè)的內部控制建設框架體系，如下表所示。

（一）機構設立和計劃階段——內部控制建設的關鍵

1.主要步驟

（1）委任內部控制建設項目領導小組及項目小組。集團企業(yè)治理層根據(jù)機構設置和人員配備指定專門人員負責組織協(xié)調內部控制的建立實施及日常工作，一般由董事會負責組織開展內部控制的建立和實施，經(jīng)理層負責組織領導企業(yè)內部控制的日常運行。

（2）成立專門職能部門和檢查監(jiān)督部門，并定義監(jiān)督檢查部門職責分工。集團企業(yè)應確定專門職能部門負責內部控制的日常工作，并根據(jù)企業(yè)的實際情況在各單位配備專門的內部控制專員。監(jiān)事會對董事會建立與實施內部控制進行監(jiān)督。并在董事會下設立審計委員會，負責審查企業(yè)內部控制，監(jiān)督內部控制的有效實施和內部控制自我評估情況，協(xié)調內部控制審計及其他相關事宜等。審計委員會負責人應當具備相應的獨立性、良好的職業(yè)操守和專業(yè)勝任能力。

（3）確定項目計劃以建立或完善企業(yè)的內部控制。集團企業(yè)內部控制領導小組應當結合企業(yè)所處的環(huán)境和內部治理情況，制定內部控制建設項目計劃和預算，合理安排內部控制建設或完善進度。

（4）進行培訓。為了各級管理層形成對內部控制的共同語言，增強對項目的認識，集團企業(yè)應當對相關管理層項目組成員和試點流程負責人分批進行內部控制知識和內控項目管理進行培訓。

（5）將內部控制項目計劃提交董事會審批。內部控制建設項目組制定完成內部控制建設計劃，經(jīng)經(jīng)營層審議后，提交董事會審批。

2.關鍵事項

董事會負責委任內控領導小組及項目小組；高層重視并直接參與非常重要；制定和實施分批、分對象、因材施教的培訓計劃。

（二）建立健全內部控制制度階段——內部控制建設的核心

1.主要步驟

（1）開展風險評估，確定內部控制工作的范圍和流程。項目組成員和部門對集團企業(yè)全面開展風險調查，進行風險識別與評估，分析評估潛在風險，從而確定內部控制建設的具體范圍和工作流程。

（2）設計內部控制模板，辨識與記錄工作范圍內的企業(yè)層面和流程層面的內部控制活動。集團企業(yè)應當根據(jù)內部控制目標和風險評估結果，通過手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結合的方法，設計內部控制模板，從而運用相應的控制措施，將風險控制在可承受范圍之內。集團企業(yè)在建立內部控制體系時，應根據(jù)企業(yè)內部控制基本規(guī)范和應用指引的要求，在符合集團企業(yè)總體戰(zhàn)略目標的基礎上，考慮成本效益原則，根據(jù)風險評估結果，分別針對各下屬企業(yè)行業(yè)類別和業(yè)務特點，建立相應的控制措施，形成內部控制文檔模板，選擇一個有代表性的子企業(yè)進行試點實施，并在實施過程中及時總結試點經(jīng)驗，逐步推廣，最終實現(xiàn)全面實施。

（3）記錄各業(yè)務流程中發(fā)現(xiàn)的內部控制設計缺陷，匯總并提出整改方案。針對風險評估過程中發(fā)現(xiàn)的業(yè)務流程中的內部控制設計缺陷，內部控制建設項目組應當作出記錄與匯總，并分析和研究所發(fā)現(xiàn)的設計缺陷，有針對性地提出整改方案。

（4）根據(jù)整改方案糾正內部控制設計缺陷，完善內部控制體系。根據(jù)步驟（3）提出的整改方案，內部控制建設項目組不斷糾正風險評估過程中發(fā)現(xiàn)的內部控制設計缺陷，從而不斷完善內部控制體系，為內部控制的高效運行打下堅實的基礎。

2.關鍵事項

以風險評估為基礎選擇下屬部門、子企業(yè)和業(yè)務環(huán)節(jié)試點；以內部控制模板為起點，逐步調整完善內控體系；綜合運用問卷調查、訪談、穿行測試、風險模型等風險評估和內控測試方法；強調全員參與，覆蓋業(yè)務全范圍和全過程；控制缺陷的提出和整改是內部控制持續(xù)優(yōu)化的基礎。

（三）內部控制自我檢查監(jiān)督階段——內部控制建設的保障

1.主要步驟

（1）制定內部控制監(jiān)督檢查辦法和內部控制自我評估計劃。集團企業(yè)應制定內部控制監(jiān)督制度，明確內部審計機構（或經(jīng)授權的其他監(jiān)督機構）和其他內部機構在內部監(jiān)督中的職責權限，規(guī)范內部監(jiān)督的程序、方法和要求。內部監(jiān)督部門應當制定內部控制自我評估計劃，合理安排自我評估和監(jiān)督檢查過程中所需的人力、物質資源和時間進度，為內部控制自我評估的開展提供支持。

（2）開展內部控制自我評估，出具內部控制自我評估報告。根據(jù)內部控制評估工作計劃，由審核委員會組織內部審計部門或內部控制小組在集團企業(yè)范圍內開展自我評估。內部控制自我評估的方式、范圍、程序、頻率和缺陷認定標準，由集團企業(yè)根據(jù)經(jīng)營環(huán)境、業(yè)務范圍、財務指標、風險承受度、實際風險水平等自行確定。內部審計部門通過對關鍵控制點開展抽樣測試，合理確定內部控制的設計和運行缺陷，并結合自我評估過程中發(fā)現(xiàn)的問題，出具內部控制自我評估報告。

（3）匯總內部控制運行缺陷、制定整改方案，跟蹤內部控制缺陷的整改情況。根據(jù)內部控制自我評估過程中所發(fā)現(xiàn)的內部控制運行缺陷，管理層應提出并制定相應的整改方案，并在內部監(jiān)督部門的跟蹤下，執(zhí)行整改方案，保障集團企業(yè)內部控制的有效運行。

2.關鍵事項

側重于風險評估識別到的高風險領域，制定監(jiān)督檢查和內控評估工作計劃；核實確認評估結果是否準確，并及時報告評估結果；跟蹤監(jiān)控內部控制運行整改方案的實施情況，檢查監(jiān)督部門的工作資料。

（四）董事會報告階段——內部控制體系推進的必然要求

1.主要步驟

（1）董事會或其審計委員會審核《內部控制檢查監(jiān)督工作報告》，并以此為基礎編制《內部控制自我評估報告》。集團企業(yè)應當定期對內部控制整體有效性進行評估、出具評估報告，并向董事會、監(jiān)事會和管理層報告內部控制設計與運行環(huán)節(jié)存在的主要問題以及將要采取的整改措施。董事會應根據(jù)內部控制檢查監(jiān)督工作報告及相關信息，評價內部控制的建立和實施情況，形成內部控制自我評估報告。董事會應審議內部控制自我評估報告并形成決議。

（2）會計師事務所出具外部審計報告。由會計師事務所參照內控審計指引和主管部門有關規(guī)定對集團企業(yè)內部控制的設計和運行有效性進行外部審計，并出具審計報告。

2.關鍵事項

董事會是集團企業(yè)內部控制之完整合理、實施有效之責任主體；董事會應當根據(jù)監(jiān)管機構的要求，采取適當?shù)牟襟E取得并保存充分的資料，來支持其對內部控制有效性評估的決議。

綜上所述，內部控制的建設與完善是一個動態(tài)互動的復雜過程，各個階段環(huán)環(huán)相扣，在此過程中需要集團企業(yè)各部門及其人員的密切配合，團結協(xié)作，才能將內部控制滲透到集團企業(yè)的每個層面。同時，集團企業(yè)應及時總結內部控制建設過程中的經(jīng)驗，及時匯總相關材料并存檔，對內部控制建設項目進行驗收總結，共同努力構建起內部控制和風險管理長效機制。

三、集團企業(yè)內部控制體系優(yōu)化建議

集團企業(yè)內部控制建成運行后，為了進一步保證內部控制的持續(xù)優(yōu)化，本文提出如下對策建議：

（一）進一步完善管理制度

集團企業(yè)的制度體系不僅需要達到主管部門的要求，還需要與內部控制文檔匹配和互補，且需要具有可操作性。同時，集團企業(yè)應適時修訂與完善各所屬子企業(yè)的管理制度體系，以滿足集團企業(yè)內協(xié)同發(fā)展的需要。

（二）實現(xiàn)內部控制與風險管理的整合

集團企業(yè)可在董事會下設一個獨立委員會——風險管理委員會，專門負責對集團內各層面存在的風險進行分析和評價，并提出風險應對策略，實現(xiàn)內部控制與風險管理的有效整合，構建一套行之有效的風險管理體制。

（三）加強內部控制監(jiān)督與考核

集團企業(yè)應進一步明確內部控制責任，把各部門、各分子企業(yè)的內部控制建立健全情況納入業(yè)績考核評價機制，增強內部控制建設人員與執(zhí)行人員對內部控制運行的責任感和重視程度，從而保證內部控制的有效性。

（四）以人為本，加強對“人”的控制。

1.加強對員工的內部控制培訓

企業(yè)內部控制設計和運行的有效性很大程度上取決于全體員工對內部控制的理解，作為集團企業(yè)，對員工開展對應側重點的培訓對內部控制的建設和運行非常必要。通過培訓將內部控制管理觀念、行為規(guī)范由管理層貫徹落實到基層，使全體員工從觀念和意識上認識到建立內部控制體系對集團企業(yè)發(fā)展的重要作用。

2.必須重視對管理人員的選用

內部控制體系設計得再完善，若沒有稱職的管理人員來執(zhí)行，也不能發(fā)揮作用。集團企業(yè)的用人政策直接影響著能否吸收有較高能力的人員執(zhí)行內部控制體系，因此必須重視對管理人員的選用，提高管理人員的素質并定期進行考評，獎優(yōu)罰劣。

（五）建立完善的信息交流系統(tǒng)

集團企業(yè)應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合，提高信息的可用性。集團企業(yè)可以通過財務會計資料、經(jīng)營管理資料、問卷調查、訪談、調研報告、專項信息、內部刊物、辦公網(wǎng)絡等渠道，獲取內部信息。外部信息可以通過行業(yè)協(xié)會組織、社會中介機構、業(yè)務往來單位、市場調查、來信來訪、網(wǎng)絡媒體以及有關監(jiān)管部門等渠道獲取。集團企業(yè)的所有員工應當充分理解和執(zhí)行現(xiàn)行制度和程序，確保相關信息傳達到應被傳達到的人員，并保證信息的及時處理。同時，集團企業(yè)要把信息系統(tǒng)進行有效整合，構建一個一體化的信息系統(tǒng)，實現(xiàn)信息實時共享，達到內部控制與信息化的有效整合，實現(xiàn)風險實時預警與系統(tǒng)自動控制。