王墨 北京銀行股份有限公司

縱觀企業(yè)內(nèi)部控制的發(fā)展歷程，企業(yè)內(nèi)部控制起源于會(huì)計(jì)問(wèn)題，從內(nèi)部牽制開(kāi)始，目標(biāo)是資金、賬目、物資核對(duì)一致并保證資產(chǎn)安全，是對(duì)財(cái)務(wù)風(fēng)險(xiǎn)的高度關(guān)注。經(jīng)過(guò)幾十年的發(fā)展，內(nèi)部控制發(fā)展到今天，財(cái)政部發(fā)布的《企業(yè)內(nèi)部控制應(yīng)用指引》，基本涵蓋了企業(yè)的常見(jiàn)業(yè)務(wù)和經(jīng)營(yíng)活動(dòng)，企業(yè)內(nèi)部控制已經(jīng)演變成了企業(yè)管理問(wèn)題。原來(lái)的企業(yè)管理層普遍認(rèn)為，內(nèi)部控制主要是控制財(cái)務(wù)風(fēng)險(xiǎn)，企業(yè)內(nèi)部控制建設(shè)與自評(píng)價(jià)的牽頭部門通常都是財(cái)務(wù)或內(nèi)審部門。財(cái)務(wù)和審計(jì)部門則認(rèn)為，內(nèi)部控制涵蓋了對(duì)企業(yè)所有業(yè)務(wù)的合規(guī)管控，應(yīng)該由企業(yè)的管理層或者業(yè)務(wù)部門來(lái)實(shí)施。經(jīng)過(guò)幾十年的探索，內(nèi)部控制的建設(shè)與自評(píng)需要所有部門的參與和實(shí)施。當(dāng)今的企業(yè)內(nèi)部控制已經(jīng)從財(cái)務(wù)視角逐漸發(fā)展轉(zhuǎn)變?yōu)楣芾硪暯?，重點(diǎn)關(guān)注管理模式與管理效率，以及達(dá)成企業(yè)戰(zhàn)略目標(biāo)的風(fēng)險(xiǎn)，包括內(nèi)部控制的建設(shè)、實(shí)施、自評(píng)、檢查，以提升管理水平和經(jīng)營(yíng)能力。

一、企業(yè)內(nèi)部控制的發(fā)展沿革

從企業(yè)內(nèi)部控制的發(fā)展視角看，從20世紀(jì)中期企業(yè)內(nèi)部控制產(chǎn)生到2008年我國(guó)財(cái)政部發(fā)布內(nèi)部控制指引，企業(yè)內(nèi)部控制經(jīng)歷了以下五個(gè)發(fā)展階段。

（一）內(nèi)部牽制階段

1947年以前，企業(yè)內(nèi)部控制主要是指內(nèi)部牽制和內(nèi)部會(huì)計(jì)控制。內(nèi)部牽制以防范舞弊為目的，主要強(qiáng)調(diào)不相容分離控制及賬務(wù)的核對(duì)相符，控制對(duì)象為實(shí)物牽制和簿記牽制。以關(guān)注交易為主的內(nèi)部會(huì)計(jì)控制，依據(jù)管理授權(quán)，依據(jù)美國(guó)通用會(huì)計(jì)準(zhǔn)則（GAAP）或其他標(biāo)準(zhǔn)，主要目的在于確保財(cái)務(wù)報(bào)表的真實(shí)性，以及資產(chǎn)的價(jià)值管理與實(shí)物管理的分離管理，以達(dá)到保護(hù)現(xiàn)金和資產(chǎn)安全及賬簿記錄的準(zhǔn)確性。

（二）建立內(nèi)部控制階段

20世紀(jì)40-70年代是建立內(nèi)部控制階段，目標(biāo)是數(shù)據(jù)準(zhǔn)確一致，這一階段強(qiáng)調(diào)內(nèi)控的可靠性。1947年，美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）首次正式提出了內(nèi)部控制，把會(huì)計(jì)以外的經(jīng)營(yíng)效率和管理問(wèn)題納入內(nèi)部控制的范疇。

（三）完善內(nèi)部控制結(jié)構(gòu)階段

1949年的審計(jì)專題報(bào)告對(duì)內(nèi)部控制的定義內(nèi)容比較寬泛，后來(lái)基于承擔(dān)對(duì)內(nèi)部控制進(jìn)行檢查的責(zé)任，審計(jì)程序委員會(huì)提出了新的解決方案，把內(nèi)部控制劃分為了內(nèi)部會(huì)計(jì)控制與內(nèi)部管理控制兩大類。內(nèi)部會(huì)計(jì)控制基于內(nèi)部牽制階段提出的以關(guān)注交易為主，主要在于依據(jù)GAAP或其他標(biāo)準(zhǔn)，確保編制財(cái)務(wù)報(bào)告真實(shí)可靠，以及保護(hù)資產(chǎn)安全。內(nèi)部管理控制包括內(nèi)部會(huì)計(jì)控制，更偏重于管理部門基于企業(yè)戰(zhàn)略目標(biāo)對(duì)經(jīng)濟(jì)業(yè)務(wù)的管控措施。

（四）COSO內(nèi)部控制整合框架

1985年，美國(guó)股市的重大丑聞，使相關(guān)企業(yè)的會(huì)計(jì)師和會(huì)計(jì)師事務(wù)所受到了輿論和投資者的極大壓力。美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）等五家協(xié)會(huì)聯(lián)合創(chuàng)建COSO（Committee of Sponsoring Organization）委員會(huì)，通過(guò)研究發(fā)現(xiàn)，企業(yè)的財(cái)務(wù)風(fēng)險(xiǎn)和經(jīng)營(yíng)過(guò)程密不可分。COSO委員會(huì)于1992年9月發(fā)布了《內(nèi)部控制——整合框架》（COSO-IC），包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通及內(nèi)部監(jiān)督五個(gè)要素。

（五）COSO風(fēng)險(xiǎn)管理整合框架

COSO的《內(nèi)部控制——整合框架》發(fā)表10年后，美國(guó)安然、世通財(cái)務(wù)舞弊事件使人們更深層次思考內(nèi)控的有效性問(wèn)題。2002年，美國(guó)國(guó)會(huì)頒布《薩班斯——奧克利法案》，首次提出對(duì)內(nèi)部控制的有效性進(jìn)行審計(jì)，使美國(guó)上市公司在接受財(cái)報(bào)審計(jì)時(shí)還要接受內(nèi)控審計(jì)。當(dāng)時(shí)中石油、中國(guó)移動(dòng)、華能股份等在美國(guó)的上市公司都因薩班斯法案的出臺(tái)建立整套企業(yè)內(nèi)控體系，以通過(guò)美國(guó)的內(nèi)部控制審計(jì)。至此，內(nèi)部控制從一個(gè)會(huì)計(jì)問(wèn)題延伸到了管理經(jīng)營(yíng)，各國(guó)的監(jiān)管機(jī)構(gòu)不斷推動(dòng)，到今天各個(gè)企業(yè)都在建立內(nèi)控體系。從原來(lái)的注重經(jīng)營(yíng)結(jié)果也就是財(cái)報(bào)的真?zhèn)?，到現(xiàn)在注重整個(gè)經(jīng)營(yíng)過(guò)程的規(guī)范。

在此基礎(chǔ)上，內(nèi)控有效性及公司面臨的運(yùn)營(yíng)風(fēng)險(xiǎn)成為焦點(diǎn)。COSO委員會(huì)于2004年9月又發(fā)布了《企業(yè)風(fēng)險(xiǎn)管理——整合框架》（COSO-ERM），使內(nèi)控延伸到了全面風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理框架在內(nèi)控框架的基礎(chǔ)上增加了目標(biāo)設(shè)定、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)應(yīng)對(duì)，共八要素。內(nèi)部控制是風(fēng)險(xiǎn)管理的有機(jī)組成部分，而風(fēng)險(xiǎn)管理是企業(yè)管理體系的重要組成部分。COSO的兩個(gè)文件是企業(yè)內(nèi)控管理和風(fēng)險(xiǎn)管理的里程碑。

二、我國(guó)內(nèi)部控制發(fā)展現(xiàn)狀

（一）財(cái)政部發(fā)布內(nèi)部控制指引

2008年6月，財(cái)政部等五部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，形式上借鑒采用了COSO-IC的五要素內(nèi)控框架，在內(nèi)容上體現(xiàn)了COSO-ERM的八要素實(shí)質(zhì)。基本規(guī)范和后來(lái)發(fā)布的配套指引共同構(gòu)成了我國(guó)內(nèi)部控制整體框架。其中，應(yīng)用指引包括18號(hào)具體指引，分為內(nèi)部環(huán)境類（1-5號(hào)）、控制活動(dòng)類（6-14號(hào)）及控制手段類（15-18號(hào)）。內(nèi)控體系分為公司層面控制、業(yè)務(wù)流程層面控制及評(píng)價(jià)機(jī)制建設(shè)。國(guó)務(wù)院國(guó)資委要求所有中央企業(yè)2012年開(kāi)始實(shí)施內(nèi)控管理，且每年4月30日提交內(nèi)控評(píng)價(jià)報(bào)告，至此我國(guó)與國(guó)際上的內(nèi)控管理正式接軌。財(cái)政部會(huì)計(jì)司其后又發(fā)布了內(nèi)控管理解讀，對(duì)內(nèi)控和風(fēng)險(xiǎn)管理具有很強(qiáng)的指導(dǎo)意義。財(cái)政部?jī)?nèi)部控制指引首先明確了以風(fēng)險(xiǎn)為導(dǎo)向，其次突出流程管理，再次將內(nèi)部控制從財(cái)務(wù)向管理轉(zhuǎn)化。

（二）基于我國(guó)內(nèi)部控制建設(shè)的思考

內(nèi)部控制是對(duì)企業(yè)經(jīng)營(yíng)過(guò)程的控制。內(nèi)部控制是風(fēng)險(xiǎn)管理的手段之一，防范的是內(nèi)部的程序性風(fēng)險(xiǎn)?？梢钥闯?，規(guī)范的企業(yè)經(jīng)營(yíng)清晰界定了業(yè)務(wù)流程，把流程環(huán)節(jié)和崗位責(zé)任加以明確，增加了操作環(huán)節(jié)的文檔要求和實(shí)施證據(jù)。這使造假賬的難度和成本增加了，減小了舞弊和造假風(fēng)險(xiǎn)。

內(nèi)部控制應(yīng)緊密貼合企業(yè)經(jīng)營(yíng)管理業(yè)務(wù)實(shí)際。以流程框架梳理為起點(diǎn)的內(nèi)部控制建設(shè)，是為了避免內(nèi)控體系建設(shè)和后續(xù)的風(fēng)險(xiǎn)評(píng)估偏離企業(yè)的整體管理和業(yè)務(wù)管理。內(nèi)部控制建設(shè)應(yīng)從企業(yè)經(jīng)營(yíng)業(yè)務(wù)實(shí)際出發(fā)，核心業(yè)務(wù)、重大風(fēng)險(xiǎn)管控流程要做細(xì)，體現(xiàn)業(yè)務(wù)特征、管理特征和風(fēng)險(xiǎn)特征。業(yè)務(wù)流程梳理的主責(zé)部門應(yīng)該是業(yè)務(wù)部門，牽頭部門僅發(fā)揮組織指導(dǎo)的作用。將財(cái)務(wù)和業(yè)務(wù)勾稽關(guān)聯(lián)起來(lái)，找到造成財(cái)務(wù)風(fēng)險(xiǎn)的業(yè)務(wù)流程缺陷，完成整改并強(qiáng)化執(zhí)行，管控企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)。

通過(guò)制定風(fēng)險(xiǎn)控制矩陣識(shí)別企業(yè)風(fēng)險(xiǎn)。制定風(fēng)險(xiǎn)控制矩陣，梳理企業(yè)各流程環(huán)節(jié)，發(fā)現(xiàn)流程環(huán)節(jié)中的重大風(fēng)險(xiǎn)點(diǎn)，并對(duì)重大風(fēng)險(xiǎn)提出控制措施和解決方案，并將這些控制措施納入企業(yè)制度中加以規(guī)范。制度應(yīng)該與流程環(huán)節(jié)相對(duì)應(yīng)，實(shí)現(xiàn)管理制度化、制度流程化。

流程梳理包括業(yè)務(wù)職責(zé)梳理、業(yè)務(wù)制度梳理及流程環(huán)節(jié)梳理。通過(guò)業(yè)務(wù)職責(zé)梳理的內(nèi)控缺陷如缺少歸口管理部門；部分業(yè)務(wù)職責(zé)存在缺失、模糊；部分業(yè)務(wù)職責(zé)存在交叉、不相容等。通過(guò)業(yè)務(wù)制度梳理的內(nèi)控缺陷如缺少業(yè)務(wù)管理制度；業(yè)務(wù)管理制度不適用；業(yè)務(wù)管理制度未執(zhí)行等。通過(guò)流程環(huán)節(jié)梳理的內(nèi)控缺陷包括缺少流程環(huán)節(jié)；審批權(quán)限不明確；缺少控制表單；缺少風(fēng)險(xiǎn)控制措施等。

三、內(nèi)部控制流程舉例

以大宗物資采購(gòu)為例，供貨商按照供貨要求供貨，財(cái)務(wù)付款需要發(fā)票履行付款程序，實(shí)施證據(jù)僅為發(fā)票和銀行付款憑證，僅有訂單及財(cái)務(wù)交易憑證是遠(yuǎn)遠(yuǎn)不夠的，這樣的證據(jù)不排除企業(yè)制造虛假交易取得。內(nèi)部控制要求，采購(gòu)首先需要履行招投標(biāo)流程，包括編制招標(biāo)書、供應(yīng)商資質(zhì)審查、評(píng)標(biāo)過(guò)程記錄、評(píng)標(biāo)結(jié)果上報(bào)審批。二是履行合同管理流程，包括合同談判、合同起草、合同審批、合同歸檔保存。三是履行驗(yàn)貨流程，包括貨物驗(yàn)收、貨物入庫(kù)。具備以上流程后才能進(jìn)入付款流程，取得發(fā)票和銀行付款憑證。

（一）采購(gòu)環(huán)節(jié)內(nèi)部控制流程

采購(gòu)業(yè)務(wù)流程防范舞弊的三個(gè)關(guān)鍵控制點(diǎn)包括供應(yīng)商選擇的方式、采購(gòu)價(jià)格的確定、貨款支付時(shí)間和方式。三個(gè)關(guān)鍵控制點(diǎn)對(duì)應(yīng)三種核心采購(gòu)權(quán)力崗位，分別為供應(yīng)商選擇權(quán)、價(jià)格確定權(quán)、貨款支付權(quán)，均為不相容崗位。企業(yè)的資源通常分部在各個(gè)不同的部門，這類資源必須是有價(jià)值且是稀有和專有的。采購(gòu)部門能夠通過(guò)管理供應(yīng)商來(lái)增加企業(yè)的資源，協(xié)助企業(yè)達(dá)成戰(zhàn)略目標(biāo)。采購(gòu)管理是從訂單管理到供應(yīng)商關(guān)系管理，再到戰(zhàn)略采購(gòu)的提升過(guò)程。訂單管理包括談判、合同簽署跟蹤訂單的質(zhì)量、進(jìn)度、完成采購(gòu)目標(biāo)；供應(yīng)商關(guān)系管理包括供應(yīng)商分類培訓(xùn)、供應(yīng)商管理的指導(dǎo)、供應(yīng)商關(guān)系協(xié)調(diào)、供應(yīng)商考評(píng)、供應(yīng)商獎(jiǎng)懲；戰(zhàn)略采購(gòu)包括戰(zhàn)略制定、戰(zhàn)略尋源、確定戰(zhàn)略供應(yīng)商、共同進(jìn)行開(kāi)發(fā)產(chǎn)品和計(jì)劃、實(shí)行一致性和標(biāo)準(zhǔn)化的業(yè)務(wù)流程，是從培訓(xùn)到固化、從源頭到完成的全鏈條管理。①采購(gòu)管理的提升路徑應(yīng)該是從成本驅(qū)動(dòng)向綜合管理轉(zhuǎn)變的過(guò)程。

（二）合同環(huán)節(jié)內(nèi)部控制流程

合同管理可按照合同的業(yè)務(wù)活動(dòng)具體環(huán)節(jié)來(lái)梳理風(fēng)險(xiǎn)點(diǎn)，通過(guò)制定風(fēng)險(xiǎn)控制矩陣，梳理流程環(huán)節(jié)，發(fā)現(xiàn)重大風(fēng)險(xiǎn)點(diǎn)，制定控制措施，并將其融入相關(guān)制度中。流程梳理過(guò)程中的內(nèi)控缺陷，包括業(yè)務(wù)職責(zé)梳理、業(yè)務(wù)制度梳理及流程環(huán)節(jié)梳理。通過(guò)業(yè)務(wù)職責(zé)梳理的內(nèi)控缺陷包括缺少歸口管理部門；部分業(yè)務(wù)職責(zé)存在缺失、模糊；部分業(yè)務(wù)職責(zé)存在交叉、不相容。通過(guò)業(yè)務(wù)制度梳理的內(nèi)控缺陷包括缺少業(yè)務(wù)管理制度；業(yè)務(wù)管理制度不適用；業(yè)務(wù)管理制度未執(zhí)行。通過(guò)流程環(huán)節(jié)梳理的內(nèi)控缺陷包括缺少流程環(huán)節(jié)；審批權(quán)限不明確；缺少控制表單；缺少風(fēng)險(xiǎn)控制措施。

四、內(nèi)部控制促進(jìn)企業(yè)管理提升

企業(yè)在內(nèi)部控制的實(shí)施過(guò)程中，往往只涵蓋了財(cái)務(wù)的“規(guī)”和標(biāo)準(zhǔn)，而業(yè)務(wù)的“規(guī)”和標(biāo)準(zhǔn)缺失很多。在向管理型內(nèi)控延伸時(shí)，這些標(biāo)準(zhǔn)有很大的提升空間。企業(yè)管理發(fā)展階段與內(nèi)部控制內(nèi)容分為以下五個(gè)漸進(jìn)的階段。

一是合規(guī)階段。梳理制定流程與制度，避免設(shè)計(jì)與執(zhí)行中的重大缺陷，減少人為的管控風(fēng)險(xiǎn)。二是優(yōu)化階段。對(duì)流程執(zhí)行中具體標(biāo)準(zhǔn)、表單、模板進(jìn)行細(xì)化和優(yōu)化完善。三是提升階段。分析標(biāo)準(zhǔn)化流程形成的大量樣本、數(shù)據(jù)、表單進(jìn)行有效風(fēng)險(xiǎn)度量、量化管理。四是戰(zhàn)略整合階段。建立公司戰(zhàn)略目標(biāo)達(dá)成與風(fēng)險(xiǎn)影響指標(biāo)的關(guān)聯(lián)；進(jìn)行關(guān)鍵指標(biāo)監(jiān)控預(yù)警和IT建設(shè)。五是有機(jī)協(xié)同階段。風(fēng)險(xiǎn)管理作為各部門及各分子公司有機(jī)協(xié)同的競(jìng)爭(zhēng)優(yōu)勢(shì)，持續(xù)管理能力提升，已達(dá)到世界一流的水平。

五、結(jié)論與建議

企業(yè)內(nèi)部控制應(yīng)明確董事會(huì)、監(jiān)事會(huì)、經(jīng)理層及全體員工的內(nèi)部控制職責(zé)，建立自上而下、全員參與的內(nèi)部控制體系。在日常業(yè)務(wù)流程中，企業(yè)應(yīng)注重風(fēng)險(xiǎn)的識(shí)別和評(píng)估，并制定風(fēng)險(xiǎn)應(yīng)對(duì)策略，特別是重點(diǎn)領(lǐng)域和關(guān)鍵環(huán)節(jié)的控制措施，確保內(nèi)部控制融入決策、執(zhí)行和監(jiān)督全過(guò)程。企業(yè)應(yīng)當(dāng)將內(nèi)部控制與全面風(fēng)險(xiǎn)管理、合規(guī)管理等管理體系融為一體，以制度為抓手將各管理體系融入業(yè)務(wù)流程中，避免各管理體系分散管理造成的疊床架屋。注重內(nèi)部控制的管理協(xié)調(diào)，內(nèi)部控制牽頭部門應(yīng)協(xié)調(diào)各職能部門統(tǒng)籌內(nèi)部控制措施，保證業(yè)務(wù)流程控制的有效性。企業(yè)應(yīng)根據(jù)企業(yè)規(guī)模、內(nèi)外部環(huán)境變化、經(jīng)營(yíng)戰(zhàn)略隨時(shí)調(diào)整內(nèi)部控制，制定適合本企業(yè)的、切實(shí)有效的內(nèi)部控制體系，促進(jìn)內(nèi)部控制的有效執(zhí)行，推動(dòng)企業(yè)的可持續(xù)發(fā)展。

注釋

① 張依林：《企業(yè)內(nèi)部控制體系建設(shè)》，2016年12月。