企業(yè)內(nèi)部控制規(guī)范_體系建設中的十大誤區(qū)及防范

1、企業(yè)內(nèi)部控制規(guī)范體系建設中的十大誤區(qū)及防范2010年4月，財政部等五部委聯(lián)合發(fā)布了企業(yè)內(nèi)部控制配套指引（以下簡 稱配套指引）。此次發(fā)布的配套指引山18項企業(yè)內(nèi)部控制應用指引、企業(yè)內(nèi) 部控制評價指引和企業(yè)內(nèi)部控制審計指引（以下分別簡稱應用指引、評價指引 和審計指引）組成，連同2008年5月發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范（以下簡稱 基本規(guī)范），標志著我國企業(yè)內(nèi)部控制規(guī)范體系基本建成。伴隨著配套指引的發(fā)布， 財政部等部委開展了一系列宣傳和培訓工作，企業(yè)也紛紛開始了解、學習并嘗試建立 內(nèi)部控制規(guī)范體系。筆者作為專業(yè)咨詢?nèi)藛T，曾參與了多家大型上市公司的內(nèi)部控制建設，也參加了 財政部舉辦的有關內(nèi)部控制培訓班，

2、但在與各類企業(yè)交流、協(xié)助企業(yè)建立內(nèi)部控制規(guī) 范體系的過程中發(fā)現(xiàn)：大多數(shù)企業(yè)對內(nèi)部控制規(guī)范體系存在不同程度的疑惑、抵觸其 至誤解，出現(xiàn)了 “走形式”、“繞彎路”和“瞎折騰”等現(xiàn)象，不但影響了企業(yè)提升 管理、防范風險的效果，還浪費了企業(yè)的精力和資源。筆者根據(jù)實際工作經(jīng)驗歸納總 結了企業(yè)內(nèi)部控制規(guī)范體系建設中的十大誤區(qū)，并提出了防范的措施，以期為企業(yè)建 立健全內(nèi)部控制規(guī)范體系提供一些思路。誤區(qū)一：有關規(guī)定要求的是財務報告內(nèi)部控制，因此內(nèi)部控制應由財務部門負責兒乎無一例外，各大上市公司在開始建立內(nèi)部控制規(guī)范體系時，總是先找財務部 門，他們認為：一方面，財務會計與內(nèi)部控制有密切聯(lián)系；另一方面，內(nèi)部控制要

3、求 外部審計要對基于財務報告的內(nèi)部控制的有效性發(fā)表審計意見，不找財務部門找誰 呢？那么，內(nèi)部控制僅是要求基于財務報告的內(nèi)部控制嗎？內(nèi)部控制的日常工作究竟 應該山哪個部門來具體操作？基本規(guī)范第四條指出，內(nèi)部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及 其所屬單位的各種業(yè)務和事項；審計指引第四條指出，注冊會計師應當對財務報告內(nèi) 部控制的有效性發(fā)表審計意見，并對內(nèi)部控制審計過程中注意到的非財務報告內(nèi)部控 制的重大缺陷，在內(nèi)部控制審計報告中增加“非財務報告內(nèi)部控制重大缺陷描述段” 予以披露。以上規(guī)定都清楚表明了企業(yè)要做的是全面防范各類風險的內(nèi)部控制，而不 僅是基于財務報告的內(nèi)部控制。關于內(nèi)部控制的日

4、常工作究竟應該山哪個部門來具體 操作的問題，答案也是清晰明確的，因為基本規(guī)范規(guī)定，董事會負責內(nèi)部控制的建立 健全和有效實施。也就是說，內(nèi)部控制是企業(yè)最高層、一把手的責任，董事會可以把 內(nèi)部控制的日常操作授權給任何一個管理部門，但最終還是要由董事會負責。因此，在內(nèi)部控制規(guī)范體系的具體實施過程中，筆者建議，可山企業(yè)管理部門或 戰(zhàn)略部門（部分企業(yè)可以選擇成立專職的內(nèi)部控制部或風險管理部）負責內(nèi)部控制規(guī) 范體系的建立工作，紀檢監(jiān)察或內(nèi)部審計部門負責對內(nèi)部控制的監(jiān)督。理山是：企業(yè) 管理部門或戰(zhàn)略部門一般統(tǒng)領企業(yè)經(jīng)營的各項事務，在建立健全內(nèi)部控制規(guī)范體系的 過程中，能從全局角度對企業(yè)經(jīng)營的流程以及流程中的

5、風險控制點進行梳理和完善， 而紀檢監(jiān)察和內(nèi)部審計部門具有一定的獨立性和審計監(jiān)督技巧，能夠相對公正且高效 地執(zhí)行內(nèi)部控制的監(jiān)督任務。誤區(qū)二：內(nèi)部控制是為了應對外部監(jiān)管，對企業(yè)來說則是降低效率增加了成本筆者在與企業(yè)交流的過程當中，經(jīng)常能遇到這樣的事情：企業(yè)老總聽說要推行內(nèi) 部控制規(guī)范體系的建設，于是對財務總監(jiān)說：“去安排人弄一下?！必攧湛偙O(jiān)很為難: “內(nèi)部控制的工作量好像很大。”老總安慰：“前兩年定的內(nèi)控制度還在嗎？拿來改 改能過關就行，千萬不能耽誤了正常的工作?！币陨险f法中，管理者把內(nèi)部控制與企業(yè)經(jīng)營看成了完全不相干的兩件事，其后果 是非常嚴重的。內(nèi)部控制是防范企業(yè)經(jīng)營風險、是企業(yè)經(jīng)營管理必不可

6、少的組成部分, 企業(yè)只要進行生產(chǎn)經(jīng)營活動，就必然同時進行內(nèi)部控制，比如采購詢價比價、加強應 收賬款的回收、盤點現(xiàn)金等都是企業(yè)釆取的比較普遍的內(nèi)部控制措施。從表面上看， 內(nèi)部控制是外在監(jiān)管的要求，但很多有遠見的企業(yè)早已開始積極借助內(nèi)部控制這個外 力推動自身的管理變革，加強對經(jīng)營風險的識別和控制，提升精細化、規(guī)范化管理的 水平，為企業(yè)做大做強打基礎。關于實施內(nèi)部控制規(guī)范體系增加企業(yè)管理成本的問題，基本規(guī)范早已指出，內(nèi)部 控制應當遵循重要性原則和成本效益原則，也就是說，在實施的過程中，應當抓大放 小，考慮風險損失與控制成本孰輕孰重的問題，不要件件小事都控制，不要為了控制 而控制。在有些企業(yè)里，員工領

7、用一張A4打印紙都要簽字審批，而對于上億元的投 資項LI卻未充分評估，草率上馬，這其實是走入了內(nèi)部控制的誤區(qū)。所以，內(nèi)部控制 應當也必然是企業(yè)的自發(fā)需求，內(nèi)部控制從防范風險的角度協(xié)助企業(yè)完善了管理，而 非降低效率增加了成本。誤區(qū)三：企業(yè)建立和完善內(nèi)部控制規(guī)范體系，就是編寫內(nèi)部控制制度9基本規(guī)范第六條指出，企業(yè)應當根據(jù)有關法律法規(guī)、本規(guī)范及其配套方法，制定 本企業(yè)的內(nèi)部控制制度并組織實施。對于本條款的理解，企業(yè)中就出現(xiàn)了以下兩種比 較典型的情形：第一種，組織業(yè)務骨干和筆桿子編寫一套名為內(nèi)部控制制度的文 件，少則三四頁，多則十兒頁，不少上市公司還將內(nèi)部控制制度通過證券交易所 向投資者披露。第二種，

8、組織一些涉及管理、財會、法律多個專業(yè)的名牌大學畢業(yè)生, 歷經(jīng)數(shù)月查閱名典巨著，增刪數(shù)十遍，編撰了一套山十兒萬字、上白項管理制度構成 的企業(yè)內(nèi)部控制制度匯編，并召開全體員工大會隆重發(fā)布。筆者認為，內(nèi)部控制制度是企業(yè)所有規(guī)章制度、管理辦法、實施細則的總和，而 制定內(nèi)部控制制度的過程，是企業(yè)從上到下分析業(yè)務、梳理流程、識別風險、加強管 控的過程。在精細化管理水平較高的企業(yè)，除了制定內(nèi)部控制制度文本外，還制定了 讓人一U了然的流程圖和便于操作的表單，員工將表單按照流程圖填寫并按規(guī)定的程 序進行流轉，與此同時各項管理的要求和控制措施也履行到位，這與一些企業(yè)編寫上 百項內(nèi)部控制制度卻忽視操作性的做法形成了

9、鮮明對比。誤區(qū)四：企業(yè)應根據(jù)18項應用指引梳理出18個內(nèi)部控制制度筆者在與企業(yè)交流的過程中，不止一次被問到：內(nèi)部信息傳遞制度究竟怎么 寫？筆者很疑惑：為什么要寫這個制度呢？原來，不少企業(yè)認為，應用指引共18項, “忠實地”根據(jù)18項指引編寫18個內(nèi)部控制制度，是貫徹內(nèi)部控制規(guī)范體系的最佳 做法，而應用指引中的第17號是“內(nèi)部信息傳遞”，所以就出現(xiàn)了編寫內(nèi)部信息 傳遞制度的問題。筆者認為，內(nèi)部信息傳遞是內(nèi)部控制的基本要素之一，貫穿于企業(yè)生產(chǎn)經(jīng)營的每 個流程當中：營銷有市場調(diào)研報告、生產(chǎn)有生產(chǎn)分析會、采購有供應商名錄等，所有 這些都是重要的信息傳遞形式和手段，早已深入到企業(yè)生產(chǎn)經(jīng)營的每一個流程中的

10、每 一個環(huán)節(jié)。如果企業(yè)的每一個制度都體現(xiàn)了信息的形成與使用，那么就無需勞心勞力 再專門編寫一個關于信息傳遞的制度了。而更深層次的問題是，在內(nèi)部控制規(guī)范體系的建立中，部分企業(yè)雖以文件（或企 業(yè)制度）的形式貫徹落實了有關方面的要求，卻忽略了對重要流程的識別和梳理。應 用指引有18項，而企業(yè)流程卻有數(shù)口項；應用指引契合了制造業(yè)的大部分需要，卻 還有建筑業(yè)、服務業(yè)等企業(yè)的業(yè)務流程不能完全覆蓋。因此，筆者認為，18項應用指 引只是指導和參考，企業(yè)要抓大放小，抓住關鍵控制點，判斷哪些經(jīng)營管理的核心流 程需要梳理，唯有如此，才能識別風險，加強對風險的防范和控制。誤區(qū)五：借助國際知名咨詢機構的力量，企業(yè)內(nèi)部控

11、制就能達到國際領先水平許多企業(yè)感到單靠自身力量搞內(nèi)部控制很吃力，就想到借助外部的力量。不少企 業(yè)首先想到的是聘請國際知名咨詢機構（或會計師事務所），他們認為知名機構的成 功案例和邏輯縝密的方案值得信賴，卻并未考慮這些機構所提供的解決方案是否契合 自身的需要。常見的結果是，兒個月的合作結束后，企業(yè)會發(fā)現(xiàn)：得到的是難懂的內(nèi) 部控制方案和兒十項拗口的內(nèi)部控制術語、難以實施的內(nèi)部控制措施及員工對方案的 抵觸。筆者認為，企業(yè)在聘請外部機構協(xié)助建立健全內(nèi)部控制時，至少要滿足以下三個 條件：一是咨詢機構有能力向管理層及各級員工提供全方位、多層次的內(nèi)部控制培訓， 培訓傳達的內(nèi)部控制建設思路要契合現(xiàn)階段國內(nèi)新興

12、市場經(jīng)濟的特點。二是咨詢服務 內(nèi)容不僅要包括方案的調(diào)研和設計過程，還要包括方案的輔導和實施。三是企業(yè)管理 層（尤其是高層）及員工要安排時間和精力與咨詢公司進行溝通，以保證提供的方案 是量身定做的。誤區(qū)六：內(nèi)部控制規(guī)范體系的建設任務緊迫，企業(yè)應當在最短時間內(nèi)建立實施一些企業(yè)的管理者在認識到了建立內(nèi)部控制規(guī)范體系建設的重要性及緊迫性后， 拍板決策：“3個月建立，3個月修改完善，半年時間全部建成”。這種雷厲風行的 做法值得稱道，但在如此短的時間內(nèi)就能建立健全內(nèi)部控制規(guī)范體系卻讓人生疑。一方面，從建立內(nèi)部控制規(guī)范體系的角度來說，內(nèi)部控制不能獨立于企業(yè)經(jīng)營管 理之外而存在，內(nèi)部控制規(guī)范體系與企業(yè)現(xiàn)有的組

13、織架構、人員配備、業(yè)務流程和授 權權限等多個方面都有緊密的聯(lián)系。在建立企業(yè)內(nèi)部控制規(guī)范體系時，需要全面探討 和思考以上事項，如果簡單跳過這一過程，在內(nèi)部控制規(guī)范體系的推進中就會削足適 履或自相矛盾。從實施內(nèi)部控制規(guī)范體系的角度來說，任何發(fā)展變革都需要有一個宣傳、發(fā)動、 探索、學習、試行和落實的過程。在這個過程中，全體員工要學習有關內(nèi)部控制的知 識，接受內(nèi)部控制的理念，更難的是要打破舊有的利益格局，改掉舊有的操作習慣， 這都需要大量的時間。筆者認為，大型企業(yè)建立和實施內(nèi)部控制規(guī)范體系一個可行的 思路是：首先對企業(yè)的生產(chǎn)經(jīng)營活動流程進行全面梳理，建立全面的內(nèi)部控制規(guī)范體 系，然后選擇其中兒個較為容

14、易改進的流程進行試點，進而逐步推廣到全部流程。這 種摸著石頭過河的做法配合了企業(yè)生產(chǎn)經(jīng)營的開展，可以減少企業(yè)改革的阻力。誤區(qū)七：內(nèi)部控制自我評價就是上市公司在年末出一份報告說明加強管理的情況2006年6月上交所發(fā)布的上市公司內(nèi)部控制指引規(guī)定，公司董事會應在年度報告 披露的同時，披露年度內(nèi)部控制自我評估報告，隨后深交所也提出了類似的要求。而 在實際披露過程中，有的上市公司認為，自我評佔報告就是在年末出一份報告說明加 強管理的情況，山于沒有硬性規(guī)定、各上市公司理解的不同，造成披露的效果參差不 齊。評價指引及指引解讀發(fā)布后，相關要求就更加明確了。首先，自我評價報告只是 一個結果，更重要的是企業(yè)需要完

15、善自我評價這個過程，具體來說就是評價的依據(jù)、 范圉、程序、方法及缺陷的認定。其次，企業(yè)可以完善和推廣內(nèi)部控制評價表，就是 對評價過程中形成的評價工作底稿進行全面整理和綜合匯總，整理出一個包括內(nèi)部控 制各要素的結論性評估表格，一般山評價內(nèi)容、業(yè)務描述、有效性/缺陷、評價記錄 等項U組成。通過完善和推廣使用內(nèi)部控制評價表，可以使不同企業(yè)的內(nèi)部控制評價 報告更具可比性，同時也有利于報告使用者的閱讀和理解。誤區(qū)八：國有企業(yè)需分別做好全面風險管理和內(nèi)部控制兩項工作國資委在2006年印發(fā)了中央企業(yè)全面風險管理指引，而內(nèi)部控制規(guī)范體系出 臺后，企業(yè)往往會指定不同部門或者不同負責人分別負責風險管理和內(nèi)部控制的

16、工 作，筆者認為，這其實是一種誤解。簡言之，全面風險管理與內(nèi)部控制的內(nèi)在本質(zhì)相 互融合。兩者都是從梳理和識別各個流程中的風險開始，對風險加以分析和評估，最 終進行管理和控制，并對控制活動的有效性進行持續(xù)監(jiān)督和評價。兩者的區(qū)別是在側 重點上，國資委作為國有資產(chǎn)出資人，從提升管理的角度，對國有企業(yè)風險識別及防 范做了全面要求；而內(nèi)部控制規(guī)范體系則從保護投資者的角度出發(fā)，在兼顧各類風險 的同時，對于其中的財務報告真實性風險做了更加硬性的規(guī)定。因此，無論是從有關部門的要求來看，還是結合國有企業(yè)的現(xiàn)有實踐過程的經(jīng)驗 教訓來分析，國有企業(yè)在實際操作層面都應當把風險管理與內(nèi)部控制合并為一項工作 來開展，這樣

17、才有利于形成合力，真正提升企業(yè)的風險防控水平。誤區(qū)九：企業(yè)已經(jīng)建立了質(zhì)量管理體系，再開展內(nèi)部控制規(guī)范體系的建設，是一 種重復質(zhì)量管理體系、健康與安全管理體系、環(huán)境管理體系、社會責任體系等都是企業(yè) 常規(guī)的認證體系，其基本思路是通過系統(tǒng)化的梳理來識別企業(yè)管理中的不足，借助滿 足認證標準的過程來提升管理。有的企業(yè)就認為：已經(jīng)針對經(jīng)營管理的各個流程采取 了一系列完善的描施，為什么還要再費時費力建立一套內(nèi)部控制規(guī)范體系呢？筆者認 為，這其實就是二者如何融合和互補的問題。首先，各類認證體系與內(nèi)部控制規(guī)范體系并不矛盾，只是內(nèi)部控制關注的重點是 風險防控，而每個認證體系都是各有其側重點的。其次，內(nèi)部控制規(guī)范體

18、系和現(xiàn)有認 證體系互相促進，如內(nèi)部控制強調(diào)不相容職務相互分離，如將質(zhì)量監(jiān)督責任同生產(chǎn)相 分離，則可進一步促進質(zhì)量管理工作的開展。再次，企業(yè)在實際操作過程中，可以將 兒個認證體系共同編制一套文件，將“梳理流程、厘定U標、識別風險、完善控制、 修訂制度、持續(xù)改進”的過程合而為一，使同一套制度能夠滿足多個認證的要求，這 樣做既節(jié)省了企業(yè)的人力、物力和財力，乂提升了企業(yè)管理的水平。誤區(qū)十：實施ERP等管理信息系統(tǒng)，就能提升內(nèi)部控制水平在一些內(nèi)部控制較為薄弱的企業(yè)，員工素質(zhì)不高，信息溝通不暢，授權權限混亂, 各個業(yè)務流程都存在不同程度的失控，專家和老總就提出：通過實施ERP來提升管理 及控制水平。實施ERP能真解決內(nèi)部控制方面的問題嗎？其實不然。首先，ERP以及 其他任何管理軟件都是基于計算機程序的管理信息系統(tǒng)，能夠減少人工操作和人為控 制，實現(xiàn)信息集成和自動控制。但ERP系統(tǒng)中的流程和控制措施不會自動產(chǎn)生，需要 企業(yè)對其進行設定，如果把錯誤的流程固化進系統(tǒng)，那