如何建立有效的內(nèi)控體系以更好地促進(jìn)內(nèi)部審計工作

引言IBM領(lǐng)導(dǎo)層早就意識到，要實施有效的內(nèi)控絕對不是一件容易的事情，在設(shè)計和執(zhí)行內(nèi)控過程中需要付出高昂的成本。如果可以選擇，IBM可能不會花費(fèi)那么多資金和高級管理層的精力去關(guān)注控制。按照IBM顧問個人的理解，內(nèi)控就像企業(yè)的“紅綠燈”，沒有人希望受到它的限制，但沒有“紅綠燈”整個企業(yè)將可能陷入一片混亂。內(nèi)控執(zhí)行難其實是一個普遍而客觀的存在。企業(yè)內(nèi)控通常會遇到以下十大問題：領(lǐng)導(dǎo)凌駕在制度之上；內(nèi)控設(shè)計目標(biāo)定位不準(zhǔn)確；忽視流程環(huán)節(jié)關(guān)鍵控制點(diǎn)；缺乏內(nèi)控成本與效益的權(quán)衡；盲目照搬，不能因地制宜；內(nèi)控設(shè)計不能隨企業(yè)發(fā)展與時俱進(jìn)；控制程序與業(yè)務(wù)執(zhí)行脫節(jié)；習(xí)慣代替制度，信任逾越監(jiān)督；內(nèi)控設(shè)計不能匹配控制環(huán)境；過度依賴信息管理系統(tǒng)。企業(yè)應(yīng)該針對內(nèi)部控制問題建立系統(tǒng)性的內(nèi)部控制制度，并營造內(nèi)部控制文化提高員工的職工素養(yǎng)和職業(yè)道德，讓員工懂得在企業(yè)內(nèi)部個人沒有絕對的自由，企業(yè)中的各項決策必須受到制衡。內(nèi)控內(nèi)審人員也要認(rèn)識到內(nèi)控是企業(yè)運(yùn)營的剎車、是對效率的牽制，這是客觀事實，內(nèi)控不是越嚴(yán)越好，完全追求效率的極端和完全強(qiáng)化內(nèi)控的極端都是不對的，我們需要找到內(nèi)控和效率的平衡點(diǎn)。企業(yè)有效實施和順利推進(jìn)內(nèi)控的基礎(chǔ)，事先疏通企業(yè)的內(nèi)部利益結(jié)構(gòu)。梳理清楚有哪些人會因為推行內(nèi)控制度而利益上有損害，通過換崗等方式將其妥善安置好后再推行。否則現(xiàn)在推行內(nèi)控把其原來的利益拿掉了，會讓其產(chǎn)生很強(qiáng)的失去感，就會明里暗里地抵制內(nèi)控，導(dǎo)致內(nèi)控很難推行下去。一、內(nèi)部控制體系的基本框架概念（一）內(nèi)部控制的涵義與目標(biāo)COSO（全美反舞弊性財務(wù)報告委員會的簡稱）定義了內(nèi)部控制（簡稱“內(nèi)控”）是受企業(yè)董事會、管理層和其他職員共同作用，為實現(xiàn)經(jīng)營效果性和效率性、財務(wù)報告的可靠性以及對適用法律、法規(guī)的遵循性等目標(biāo)提供合理保證的一種過程。從內(nèi)控的定義可以看出，內(nèi)控是動態(tài)的過程，并不等同于一系列的規(guī)章制度，制度是要求、操作流程，內(nèi)控是制度設(shè)計、工具、保證制度能落地的方法；制度是載體，內(nèi)控是在規(guī)章制度中的嵌入。比如說將不相容職務(wù)的相互分離、表單管控、歸口管控、授權(quán)管控、安全控制、會計控制、信息化控制、預(yù)算控制、政府采購控制、招投標(biāo)控制等內(nèi)控方法植入到相應(yīng)的制度流程中。內(nèi)控的目的包括以下五個方面：保障整個企業(yè)的經(jīng)營合法合規(guī)，這是企業(yè)內(nèi)控的底線；保護(hù)股東投資和公司財產(chǎn)的安全；確保內(nèi)部和外部報告的真實、完整和可靠；確保公司能朝著既定的戰(zhàn)略目標(biāo)前進(jìn)，提升經(jīng)營效率和經(jīng)營的效果；管理和控制風(fēng)險（不是消除風(fēng)險）。內(nèi)控的具體目標(biāo)和要求絕非只有嚴(yán)格一個導(dǎo)向，它是一個動態(tài)權(quán)衡的結(jié)果，需要根據(jù)企業(yè)的特征、發(fā)展階段來權(quán)衡，而不是絕對化，具體目標(biāo)和措施的制定要務(wù)實。（二）內(nèi)部控制與內(nèi)部審計的關(guān)系我們在談內(nèi)控的時候，后面都會談有沒有監(jiān)督，這個監(jiān)督就是內(nèi)部審計機(jī)構(gòu)的職能范圍。內(nèi)審職責(zé)不僅限于會計報表的審計，還要看各項業(yè)務(wù)活動是不是符合企業(yè)管理的規(guī)章制度、是不是符合企業(yè)內(nèi)部控制的要求、是不是符合風(fēng)險控制的要求、是不是符合業(yè)務(wù)流程的相應(yīng)規(guī)定。所以內(nèi)審工作，一方面是對企業(yè)內(nèi)部經(jīng)營活動的監(jiān)督、檢查和評價，另一方面內(nèi)審不僅限于評價，還應(yīng)拓展到對企業(yè)內(nèi)部經(jīng)營活動和內(nèi)控工作的優(yōu)化、改進(jìn)和完善。綜合來講，內(nèi)審在企業(yè)內(nèi)部通過不斷地發(fā)現(xiàn)問題并解決問題，承擔(dān)了監(jiān)察和咨詢的功能。因此，內(nèi)控與內(nèi)審是相互促進(jìn)的關(guān)系，設(shè)計有效并能執(zhí)行到位的內(nèi)控體系能大大提高內(nèi)審的工作效率與工作價值，而內(nèi)審的工作能促進(jìn)內(nèi)控的優(yōu)化和完善。二、評估內(nèi)部控制管理成效的基本內(nèi)容（一）控制環(huán)境控制環(huán)境是土壤，包括風(fēng)險管理的理念和風(fēng)險偏好、誠信和道德價值觀，以及它們的運(yùn)營環(huán)境。董事會的態(tài)度和經(jīng)營方式，是決定控制環(huán)境優(yōu)勢的關(guān)鍵因素。從治理結(jié)構(gòu)上來說，獨(dú)立董事在董事會中的比例為判斷董事會的獨(dú)立性和公司治理結(jié)構(gòu)合理性的一個重要標(biāo)志?？刂骗h(huán)境是整個內(nèi)控系統(tǒng)的底層基礎(chǔ)，就像高樓大廈的根基、種植橘子樹的土壤。（二）風(fēng)險評估風(fēng)險評估就是要識別和分析公司面臨的所有的潛在風(fēng)險，包括商業(yè)風(fēng)險、財務(wù)風(fēng)險、合規(guī)風(fēng)險、運(yùn)營風(fēng)險，然后確定應(yīng)該如何減輕和管理這些風(fēng)險。企業(yè)運(yùn)營始終是涉及風(fēng)險的，需要在完全消除風(fēng)險和對風(fēng)險關(guān)注不足之間做恰當(dāng)?shù)钠胶?，在確定整個公司的環(huán)境和業(yè)務(wù)活動的風(fēng)險以后，需要對風(fēng)險進(jìn)行評估和分析。一旦評估了風(fēng)險的重要性和可能性，那么管理層就需要考慮如何去管理風(fēng)險以及選擇對應(yīng)的策略。（三）控制活動控制活動就是包括各種政策和程序，企業(yè)不同層面的人員共同實施的控制活動，可以歸納為以下幾種：一是合理授權(quán)，比如對外支付的審批、簽字制度；二是活動管理，由負(fù)責(zé)的管理人員對績效報告進(jìn)行審查，比如定期將實際數(shù)據(jù)、預(yù)算數(shù)據(jù)進(jìn)行比較，分析差異；三是信息處理，執(zhí)行各種控制與檢查交易的準(zhǔn)確性、完整性和授權(quán)，比如異常報告；四是實物控制，確保設(shè)備、庫存、證券和其他資產(chǎn)得到保護(hù)，并且定期的檢查，如倉庫的收發(fā)存系統(tǒng)、各種實物資產(chǎn)定期的盤點(diǎn)制度。五是職責(zé)分離，在不同的人和崗位之間劃分和分離職責(zé)加強(qiáng)檢查，并最大限度地減少錯誤的風(fēng)險。（四）信息和溝通信息和溝通是指能夠使人們識別信息、獲取信息和匯報信息的有效流程。信息系統(tǒng)提供運(yùn)營、財務(wù)、合規(guī)的相關(guān)信息，促進(jìn)業(yè)務(wù)的運(yùn)行和控制，是執(zhí)行決策和外部報告的必要條件，信息質(zhì)量會影響管理層做出適當(dāng)?shù)臎Q策的能力。信息的內(nèi)容需要真實完整的，具有時效性、準(zhǔn)確性、可靠性和可訪問性。有效的溝通必須貫穿整個組織的各個方向，員工必須了解自己在內(nèi)部控制系統(tǒng)中的角色及個人活動和他人工作的關(guān)系，什么行為是預(yù)期的、什么是可接受的、什么不是預(yù)期的，或者不是被公司接受的。管理層與董事會和董事會的委員會之間的溝通至關(guān)重要。管理層必須使董事會了解績效發(fā)展和重大風(fēng)險、重大舉措等相關(guān)一些問題。反過來呢，董事會也應(yīng)該向管理層傳達(dá)所需要的信息，并提供指導(dǎo)和反饋。除了公司內(nèi)部，董事會和管理層還需要與股東、客戶、供應(yīng)商、監(jiān)管機(jī)構(gòu)等各個外部等人士進(jìn)行有效的溝通。（五）監(jiān)控內(nèi)部控制系統(tǒng)最后一環(huán)節(jié)是需要一個評估內(nèi)部控制系統(tǒng)的過程。所發(fā)現(xiàn)的內(nèi)部控制的缺陷應(yīng)該報告給公司高層，如高級管理層、審計委員會或者董事會，監(jiān)控的目的是確保內(nèi)部控制持續(xù)有效運(yùn)營，監(jiān)控涉及由內(nèi)控審計人員評估內(nèi)控的設(shè)計和實施，以采取適當(dāng)?shù)暮罄m(xù)行動。三、內(nèi)部控制措施執(zhí)行難的原因內(nèi)部控制的靈魂在執(zhí)行。作為內(nèi)審人員，都很希望制定了內(nèi)控制度就能夠執(zhí)行，執(zhí)行就能有效。然而在實務(wù)中，審計人員深有體會：構(gòu)建內(nèi)控體系、完善規(guī)章制度、設(shè)計內(nèi)控流程、推廣和培訓(xùn)內(nèi)控制度都不難，但內(nèi)控體系構(gòu)建好之后，實際執(zhí)行卻常常不到位，總是遇到明里暗里的抵制，或者流于形式與理想狀態(tài)相差甚遠(yuǎn)。其實內(nèi)控執(zhí)行難有著深層次的原因，主要有兩大根源：（一）內(nèi)控限制了個體的自由因為內(nèi)控為了防范由于個人自由造成企業(yè)的一些潛在風(fēng)險，就必須限制個人自由。內(nèi)控的控制活動包括審批、復(fù)核、監(jiān)督、輪崗等，都是對個人自由的限制，但恰恰追求自由又是個體的天性，因此個體從潛意識里就會抵觸內(nèi)控。內(nèi)控牽制了工作的效率。我們要認(rèn)識一點(diǎn)，內(nèi)控在防范風(fēng)險的同時，確實會不得不牽制和影響工作效率。而業(yè)務(wù)部門是希望效率越高越好的，縮短流程、減少審批就會提高效率，所以業(yè)務(wù)部門出于對效率的追求，也會自然而然地抵制內(nèi)部控制，這個矛盾的存在也是客觀的。（二）內(nèi)控影響了個人的利益企業(yè)中永遠(yuǎn)會存在著個人利益和企業(yè)利益發(fā)生矛盾沖突的地方。其實企業(yè)中很多風(fēng)險的存在，是由于個人利益和企業(yè)利益之間發(fā)生矛盾。內(nèi)部控制傾向于保護(hù)企業(yè)的利益，因此就會限制某些個人的利益，影響到某些個人的不當(dāng)?shù)美?，比如供?yīng)商選擇、費(fèi)用報銷等環(huán)節(jié)的內(nèi)部控制程序等，觸動別人利益而導(dǎo)致內(nèi)控被抵觸。綜上，內(nèi)控執(zhí)行絕非一帆風(fēng)順，因為它客觀上限制了人的自由，影響了效率和利益，所以如果想要順利推行內(nèi)控制度，必須先提高員工的思想認(rèn)識，讓其認(rèn)識到自由和企業(yè)的制衡是必然的，效率和內(nèi)控的平衡點(diǎn)要找到，還得梳理好內(nèi)控利益結(jié)構(gòu)，才有可能順利有效地推行內(nèi)控制度。四、企業(yè)搭建有效的內(nèi)控體系的策略建議（一）健全規(guī)范化的內(nèi)部控制制度建設(shè)內(nèi)控有一套系統(tǒng)化的方法體系，可以用幾個“化”來概括：管理制度化、制度流程化、流程崗位化、崗位職責(zé)化、職責(zé)表單化、表單信息化、信息數(shù)字化、數(shù)字智能化。內(nèi)控不僅是建設(shè)內(nèi)控制度，比制度更大的問題是執(zhí)行。因此必須將制度流程化。從制度、崗位、流程三個層面上，去評價現(xiàn)有的工作步驟，采取相應(yīng)的措施規(guī)范操作流程，避免內(nèi)控的重大風(fēng)險。同時，還不能因為建設(shè)內(nèi)控而過度影響工作效率，需要將流程崗位化，只有崗位還不行，還需明確崗位對應(yīng)的職責(zé)，將崗位職責(zé)化，職責(zé)是通過表單的形式體現(xiàn)出來的，因此就有了職責(zé)表單化。制度、流程、崗位職責(zé)、表單這些構(gòu)成了整個內(nèi)控一個系統(tǒng)的方法，在規(guī)范統(tǒng)一流程的同時，植入內(nèi)控的方法體系。在流程執(zhí)行過程中可能出現(xiàn)的問題叫風(fēng)險。把風(fēng)險標(biāo)注出來，單獨(dú)列示相應(yīng)的風(fēng)險清單，同時標(biāo)示風(fēng)險的屬性、風(fēng)險的等級、風(fēng)險應(yīng)對的控制措施、風(fēng)險歸屬的責(zé)任部門，把所有的風(fēng)險在流程中列出來，就是風(fēng)險矩陣。針對每個風(fēng)險點(diǎn)去建立相應(yīng)的內(nèi)部控制時，要用到風(fēng)險評估的方法。風(fēng)險評估要從風(fēng)險發(fā)生的可能性和風(fēng)險影響的程度，對流程中所涉及的每個控制點(diǎn)進(jìn)行綜合分析，從成本效益的角度來綜合考慮針對各個風(fēng)險點(diǎn)的內(nèi)控措施。（二）完善內(nèi)部控制工具的使用內(nèi)容以及流程系統(tǒng)化的方法體系基礎(chǔ)上，企業(yè)還可以結(jié)合使用以下內(nèi)部控制工具和手段進(jìn)行內(nèi)控建設(shè)。一是不相容職務(wù)的分離控制。在整個內(nèi)控里面是最基本的，也是最重要的一個控制。授權(quán)批準(zhǔn)、業(yè)務(wù)經(jīng)辦、會計核算、財產(chǎn)保管和稽核檢查，理論上這5個環(huán)節(jié)的人和崗位都要分開，這樣在工作流程的內(nèi)控設(shè)計上就有了一個基本的底線。二是授權(quán)審批的控制要求。明確股東會、董事會和經(jīng)營層三個層面的決策規(guī)則和機(jī)制。誰有權(quán)利動錢、誰有權(quán)力決定人事、誰有權(quán)利碰機(jī)要文件和印章，這三個是最重要的授權(quán)審批控制，需要明確審批控制的要求。三是財產(chǎn)的保護(hù)控制。廣義的財產(chǎn)，包括貨幣資金、存貨、應(yīng)收賬款、固定資產(chǎn)、土地房產(chǎn)等。財產(chǎn)保護(hù)在內(nèi)控執(zhí)行的時候，一定要遵循職務(wù)分離的基本原則，在整個管理的過程中，采購人、保管人、記賬人、監(jiān)督人這4個職務(wù)要確保分離。要注意的四個要點(diǎn)包括：資產(chǎn)日常管理，入賬管理確保都有明確的人員負(fù)責(zé)，包括入庫、領(lǐng)用、損毀、核查等環(huán)節(jié)都有專人登記；資金管理，要有統(tǒng)一管理的資金池，公司的資金池盡可能在規(guī)范的賬戶當(dāng)中，不要和個人賬戶夾雜在一起；資金與賬目的審批一定要及時匹配；定期清查防范內(nèi)部舞弊。四是預(yù)算的控制。對于預(yù)算的控制要注意三點(diǎn)：預(yù)算一定要有一個專門的機(jī)構(gòu)負(fù)責(zé)，管理層推動，財務(wù)部門或預(yù)算管理委員會牽頭，自下而上再自上而下進(jìn)行溝通和推動，得到絕大多數(shù)人的認(rèn)可，預(yù)算才能推下去；預(yù)算不要求很準(zhǔn)，在整個實施過程當(dāng)中，要建立一個動態(tài)調(diào)整的機(jī)制；預(yù)算一定要同績效考核銜接，同財務(wù)審批銜接，才能夠通過預(yù)算實現(xiàn)內(nèi)部控制的目標(biāo)，保證所有人朝著既定的目標(biāo)，在既定的軌道內(nèi)前進(jìn)。（三）搭建信息化的業(yè)財控制體系一方面利用信息化手段建設(shè)流程，另一方面在今天數(shù)字化的時代，要把流程看成一個采集數(shù)據(jù)的過程。從業(yè)務(wù)端的發(fā)生到財務(wù)端的收付款，語言是不一致的。業(yè)務(wù)以目標(biāo)為導(dǎo)向，財務(wù)以流程為統(tǒng)領(lǐng)，業(yè)財?shù)牟蝗诤媳澈笫悄繕?biāo)管理和流程管理的不融合，它們兩者融合在一起的時候，就會產(chǎn)生矛盾，會發(fā)現(xiàn)業(yè)財?shù)臄?shù)據(jù)沒有貫通。所以內(nèi)控的建設(shè)背后還有一個業(yè)財流程融合的過程。而業(yè)財流程融合的過程，其實是業(yè)財數(shù)據(jù)打通的過程，這個過程中所增加的工作量，必須運(yùn)用智能化的手段，讓大量的人工在重復(fù)性發(fā)生的環(huán)節(jié)中解脫，必須以大量的數(shù)據(jù)實現(xiàn)智能化的應(yīng)用，讓業(yè)務(wù)與財務(wù)的語言能夠相互共享。所以流程再造的過程，是一個數(shù)據(jù)標(biāo)準(zhǔn)統(tǒng)一的過程，又可以看成是一個數(shù)字化的過程。此外，為了提高業(yè)務(wù)部門填寫各種表單的效率，企業(yè)需要將表單信息化。這里要注意的是，在信息化落地之前，從制度走向表單，需要大量的流程梳理和再造工作，否則就會把線下問題搬到線上。（四）開展全過程的會計監(jiān)督管理內(nèi)部控制建設(shè)一定不能忽視會計控制的基礎(chǔ)性作用。管理的核心是財務(wù)管理，財務(wù)管理的核心是資金管理，我們抓住資金管理這條線，再逐步地延伸到業(yè)務(wù)。財務(wù)管理就是一套流程化管理的體系，將其延伸至業(yè)務(wù)，就能夠規(guī)范業(yè)務(wù)中的流程管理，業(yè)財融合就是業(yè)務(wù)和財務(wù)流程的整合。企業(yè)應(yīng)該確保會計系統(tǒng)的真實和完整，讓管理層以及稅務(wù)機(jī)關(guān)客觀真實地看到企業(yè)的經(jīng)營狀況，并讓投資人能夠認(rèn)可企業(yè)管理的客觀性、真實性、透明度，從而愿意與企業(yè)一起發(fā)展。因此，在內(nèi)控管理中，第一，要保證財務(wù)體系和賬務(wù)體系的真實性，堅決杜絕兩套賬；第二，要確保財務(wù)做賬證據(jù)鏈的完整，包括比如生產(chǎn)計劃、物流、出庫入庫、合同、票據(jù)等支撐材料，只有證據(jù)鏈?zhǔn)钦鎸嵧暾?，才能夠檢驗賬是否為完整的；第三，建立符合企業(yè)業(yè)務(wù)特點(diǎn)的、統(tǒng)一的核算標(biāo)準(zhǔn)（企業(yè)會計準(zhǔn)則），消除理解偏差，擺脫對做賬人的主觀依賴性；第四，確保財務(wù)報告制度的實施。財務(wù)報告制度包括外部報告和內(nèi)部報告，外部報告是以三表為核心的，內(nèi)部報告需要在三表的基礎(chǔ)上加上一些特殊的財務(wù)分析、一些特殊的業(yè)務(wù)數(shù)據(jù)的比對等。在公司內(nèi)部形成一套財務(wù)報告機(jī)制，是確保財務(wù)會計系統(tǒng)真實性、完整性的一個重要手段；第五，監(jiān)督包括內(nèi)部監(jiān)督和外部監(jiān)督。內(nèi)部審計的審核、外部第三方專業(yè)審計機(jī)構(gòu)的審查，是確保會計系統(tǒng)合規(guī)、會計系統(tǒng)能夠處于控制合理范圍內(nèi)的重要工具。（五）基于頂層設(shè)計內(nèi)部控制架構(gòu)第一，內(nèi)控要注意與宏觀戰(zhàn)略相結(jié)合，要有高度、有目標(biāo)。內(nèi)部控制只有與戰(zhàn)略相結(jié)合，才能得到管理者的認(rèn)同，才能得到全體業(yè)務(wù)部門的認(rèn)同，否則，就會被認(rèn)為只是對外的合規(guī)，為了符合監(jiān)管的要求，是某一個具體部門的事情，是具體業(yè)務(wù)層面上的內(nèi)部控制，而忽略了在內(nèi)部控制中應(yīng)該關(guān)注的控制環(huán)境的建設(shè)。而控制環(huán)境又是內(nèi)部控制所生存和發(fā)展的土壤，土壤不好，種什么苗都會出問題。所以應(yīng)該把內(nèi)部控制放在戰(zhàn)略高度下去觀察，戰(zhàn)略不確定性與風(fēng)險相互聯(lián)系，那么內(nèi)部控制才會以風(fēng)險為導(dǎo)向去建設(shè)。第二，內(nèi)部控制建設(shè)，要與企業(yè)內(nèi)部現(xiàn)有的標(biāo)準(zhǔn)體系相互整合，實現(xiàn)有效的融合。一個單位里有各種標(biāo)準(zhǔn)，包括內(nèi)部控制也是一套標(biāo)準(zhǔn)。而一個單位不可能去實現(xiàn)各種各樣的標(biāo)準(zhǔn)，而是要在這些標(biāo)準(zhǔn)中去整合，梳理可能會出現(xiàn)的沖突，可能出現(xiàn)的具體的問題，將標(biāo)準(zhǔn)之間進(jìn)行一個有效的融合。第三，內(nèi)部控制一定要注意上升到集團(tuán)的高度，集團(tuán)管控問題是集權(quán)和分權(quán)的劃分問題，直接影響到一個單位的組織架構(gòu)、崗位職責(zé)的劃分、部門職責(zé)的劃分，這也是內(nèi)控的問題。集權(quán)和分權(quán)的劃分有一個思路，叫做集中的更集中、分散的更分散。重復(fù)性發(fā)生、低附加值、容易有重大風(fēng)險的，要把它集中；有利于調(diào)動積極性、發(fā)揮主動性的