企业内部控制体系建设探究

正略钧策管理咨询  合伙人  崔自力、顾问  王丹青

2008年，我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基础规范》（简称《规范》），首先要求上市公司在2009年7月1日前，必须建立企业内部控制体系；而且要求内部控制体系在国有企业及其它类型企业中逐步推进。《规范》中强调：“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”

对于中国企业来说，内部控制并不是新鲜事物，例如在美国、香港等地上市的中国企业，早已依照当地的相关法案实施着相应的内控体系建设要求。但是《规范》的发布，是国内的监管部门首次强制性的要求以上市公司为代表的部分国内企业严格实施系统、规范的内部控制体系。

实际上，随着外部市场环境的愈发复杂，中国企业的经营风险越来越多地暴露出来，企业内部控制已经越来越受到中国企业家的重视，而企业内控的核心就是通过科学完备的体系控制企业经营中的风险。因而，笔者相信：内控体系建设将会成为更多企业和企业家的选择。完备的风险控制体系，也将成为企业在复杂的市场环境中赢得生存、取得领先的核心竞争力之一。

在此基础上，笔者认为有三类企业更应该借着推进内部控制体系建设的东风，真正关注企业的风险管理，完成企业的核心竞争力建设。

首先，是面临战略转型和产业转型的企业，这些企业的运营风险客观上会相应增大，对企业风险管理也会提出新的要求。这些处于重大转型期的企业，战略风险尤其需要关注，千万不能走错，所以内部控制和风险管理便是帮助企业度过难关的诺亚方舟。

其次，是自身业务结构存在重大缺陷或者资源与能力存在重大劣势的企业。这些企业，如果不能在内部控制上进行重点建设，这些缺陷和劣势在外部环境出现重大变化的时候，便会成为企业的致命毒药。

最后，是深受经济周期影响的企业，应该在大调整中勤修内功，磨刀不误砍柴工。这场危机对世界经济的影响是深远的，对一些行业的影响也会在未来持续较长一段时间。因此，这些行业内的企业必须打消侥幸心理，在大调整中首先是活下来，然后才是更好地发展。

内部控制体系建设是一项涉及企业日常经营各个方面、需要各部门员工深入参与的系统工程，所以在实施内控体系建设之前，有必要在企业内部形成相应的文化氛围，既保证内控建设的正常实施，又保证内控体系的全面落实。我国内控体系重要的落脚点是权力的制衡，因而需要高级管理人员、相关的业务部门达成共同认知。而且，内控体系的建设也需要通过企业全员参与的内控培训，进一步统一全体员工的思想和认识。

在具备相应文化氛围的基础上，内控体系的建设也需要相应的组织机构加以运作和保障。就笔者的经验，为保证内控建设的顺利实施，有必要成立由企业最高负责人参与的内控项目建设委员会负责总体的计划统筹，同时成立内控建设项目组。内控项目组是由企业的内控管理部门、业务部门和外部咨询公司三方面的人员共同组成的，一般会包括若干个子项目组，例如资产组、资金组、经营业务组等等，涉及企业日常运作的各方面。另外，在重要的分子公司也要成立相应的项目组来配合。最终形成由建设委员会、项目组、分子公司项目组成的三个层面的内部控制建设的组织保障体系。

根据长期以来对于企业内部控制的关注和理解以及在大量项目实施中的积累和认识，笔者认为企业内部控制体系建设可以分为7个步骤，具体为：

（1）内控的组织和文化建设：即通过公司内部文化氛围的培育和内控建设组织结构的搭建，为内控体系建设奠定坚实的基础，是内控体系建设的前提保障。

（2）内控的规划和计划：围绕内部控制框架的控制环境建设、风险识别、控制活动、信息与沟通、监督等五个方面的具体要求，结合企业自身的实际情况与建设需要，制定内控建设的整体规划和实施计划。

（3）内控的战略梳理和风险评估：对通过企业战略的梳理与识别，包括集团管控、业务特点以及业务环境等的识别，明确企业的发展方向与业务特点，以此为基础可以进一步明确企业战略对于内控建设的要求。根据企业的战略，了解企业内部控制的特点，风险集中体现的区域，进行有针对性的规划，确定内部控制体系建设的重心。通过对风险的识别，以及对公司内部控制管理的测试，全面发现相关的问题，进行彻底的风险评估。

（4）（5）（6）公司级、流程级和IT级的内控建设：这三个模块是内控建设的核心三模块，既是重点又是难点。把通过战略梳理确定的关键风险区域归结成流程地图，对现有的流程进行描述，并找到这些流程中的风险点、现有的控制措施以及控制的缺失，从而制定内部控制措施、风险控制目标等。其中公司级内控是指：内控组织、内控环境、内控文化以及控制环境、风险监控、监督、信息与沟通等环节的公司级内容建设；流程级和IT级的内控建设是指：核心管理流程的控制，包括财务管理、人力资源管理、投融资管理等各个方面。通过这三个模块的工作，形成企业的风险控制矩阵，系统性地发现风险并制订相应的控制措施。

（7）内控的运行测试和系统增量：通过对已经设计完成的公司级内控、流程级内控以及IT级内控进行跟踪测试。以这样的方式，发现运行中存在的缺陷与问题，并提出相应的整改意见与建议，弥补内控体系的运行缺陷，进一步优化企业的内控体系。在此基础上，进行组织结构与岗位职责的进一步调整，并设计企业内控体系不断持续提升的路径。

本文作者系正略钧策管理咨询顾问，该文章已发表于《中国劳动保障报》2009年8月14日刊，如需转载，请联系正略钧策市场部，010-59082982。