企业内控体系的构建方法

企业内控体系的构建方法

何信文

（中国船舶集团第七一〇研究所，湖北 宜昌 443003）

摘 要：内控作为企业生产经营活动的自我调节和自我制约的内在机制，处于企业中枢神经系统的重要位置。企业内控体系建设是将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。企业建立了内控体系，就应真正把内控作为强化企业管理的抓手，紧密结合企业实际，总结管理经验，优化控制环境，不断推陈出新，提升管理水平。

关键词：内控体系；搭建框架；建立规则

企业在发展过程中，必定会面临各种各样的风险，如决策管理风险、政策法规风险、制度缺陷风险、市场风险、运营风险、信用风险等。在风险面前，企业并不是无能无力的，可以建立内控体系来防范和化解风险。内控是由企业决策层、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。在社会化大生产中，内控作为企业生产经营活动的自我调节和自我制约的内在机制，处于企业中枢神经系统的重要位置。因此，企业规模越大，其重要性越显著,可以说企业内控体系的健全、实施与否，是经营成败的关键，是企业的生命线。那么，企业如何构建内控体系呢？

一、搭建框架

企业应依据四层分法来搭建内控体系框架。四层分法也可称为两横两纵法。

第一层分法（横向）：企业按行业类别可以分为化工类、金融投资类、房地产类、物流类、服务类、移动互联类等。不同行业的企业，内控体系的差别较大。

第二层分法（横向）：企业按所处阶段可以分为培育期企业、成长期企业、成熟期企业、衰退期企业。不同阶段的企业应采取不同的内控体系。

第三层分法（纵向）：企业组织按类型可以分为多元化集团、专业化集团、单体企业、分支机构等。不同类型的企业组织有不同的运行体系，因此也应采取与其相符的内控体系。

第四层分法（纵向）：企业控制按专业程度可以分为公司层面的控制、业务层面的控制、信息层面的控制。其中，公司层面的控制涉及组织架构、人力资源、发展战略、社会责任、企业文化等因素；业务层面的控制涉及资金管理、资本运营、生产管理、财务管理、合同管理等；信息层面的控制涉及内部信息传递和信息系统设计等。

如果企业没有依据四层分法来搭建适合自己的内控体系框架，就会走入内控搭建误区，要么徒有形式，要么不切实际，就好比给自己穿了一件不合适的外套，内控反而变成了企业的负担。比如，某集团企业处于快速发展阶段，分子公司众多。站在集团的角度，如何实现对分子公司的控制，应授予分子公司哪些权限，内控体系与集团管控如何融合……集团企业面对如此复杂的全面内控体系建设，可先从财务内控着手，开展财务管理体系的梳理和设计，其原因有三。

首先，财务管理体系是整个集团运营的核心，解决了财务管理体系的主要矛盾，整个集团内控体系的问题就至少解决了一半。

其次，企业出不出问题在财务，财务管理部门对生产经营的各个环节有全面的认识和深度的掌握，梳理财务管理体系会对梳理各项业务活动的内控体系起到事半功倍的效果。

最后，从财务管理向企业价值链的前端延伸，可以一直伸向销售、研发、生产、采购、物流、信息系统架构等各个环节，甚至可以将管控要求最终延伸到企业的组织架构、公司治理等内控环境层面。

二、多种组合

内控可分为不同的类别形态，有多种组合方式。

1.预防性控制与察觉性控制

预防性控制是指为制止或减少错误或舞弊发生而预先采取有关措施，目的是使有关部门或人员遵循既定程序和制度，尽量减少错弊发生的机会。通常采用的预防性措施包括基础控制措施、实物控制措施、职务分工措施等，具体包括合理授权、职责分工、制定和实施业务记录与业务处理程序、制定和执行规章制度等，如出纳员不得兼管财务稽核和会计档案保管，不能从事收入、费用、债权债务账目的登记工作。在内控体系中，预防性控制能在一定程度上防止错弊的发生，减少或避免错弊发生后再进行纠正的成本，从而促使内控目标和组织目标的实现。

察觉性控制是指为了查明并纠正已发生的错弊而实施的控制。尽管察觉性控制比预防性控制的代价高，但同样必不可少。一是能衡量预防性控制的有效性。二是预防系统并不能有效控制所有错弊，有时候某些错误只有在其发生后才能被检查出来。察觉性控制主要用于不良后果发生后的检测，其措施包括内部稽核、内部监督等，如现金的清点、银行金额的询证、向供应商函证应付账款、对仓库物资实行定期或不定期盘点等。

2.反馈控制与前馈控制

反馈控制是指管理层利用经济业务或管理活动的以往情况来指导现在的经营管理活动和筹划未来的经营管理活动。在实际工作中，管理人员必须在分析偏差产生的原因后，及时设计出更合理的方法、程序或措施，以确保预期目标的实现。但是，反馈控制的最大缺陷是其存在时滞问题，即从发现错弊到采取纠偏措施需要一段时间，因此在进行更正时，实际情况有可能已经发生变化。例如，在质量控制活动中，找出质量偏差的原因需要花费一定时间，确定并采取更正措施甚至需要更长时间；在大型制造企业中，其库存控制涉及诸多库存物资，包括原材料的种类和数量、备件和配件的种类和数量、在产品和产成品的种类和数量等，找出其中存在的问题并进行更正也需要时间，这些都直接影响内控的有效性。为此，企业管理层还须采取前馈控制。

前馈控制又叫指导将来控制，是指为确保业务活动与期望结果尽可能吻合，管理层不断利用最新信息进行分析与预测趋势，并将期望结果同预测结果进行比较而采取的控制程序与措施。其着眼点是通过预测控制对象的状态进行控制，这在一定程度上解决了时滞问题。例如，企业预测到下个月的产品销量将会较期望销量大大降低，此时企业便可采取新的营销措施或方案。

3.事前控制、事中控制与事后控制

事前控制是指管理层在经济业务活动发生之前所做的管理上的努力或实施的各种控制措施，例如企业制定的各种方针、政策、计划、预算，以及业务处理的规定、程序、方法等。事前控制主要是限制资源的投入和确定最终的产出，属预防性控制，即事先分析预测出可能出现的错弊及其发生概率，并设计出预防措施。其重点是防止企业所使用的资源在质和量上产生偏差。因此，事前控制的基本目的是保证各项业务活动均有明确的绩效目标，保证各种资源要素的合理投放。

事中控制又称现场控制或过程控制，是企业内部人员在业务进行过程中所实施的控制，如生产进度控制等。事中控制一般在现场进行，以指导和监督既定方针、政策、计划、程序、方法等的实施情况，事中控制的效果还与控制人员的素质密切相关。例如，企业质量检验人员的专业技能较高、经验较丰富，则控制效果就可能好些，反之则会差些。

事后控制是指在实际业务活动发生以后才进行的控制，其主要特征是根据预先确定的控制标准，对实际工作绩效进行比较、分析和评价。例如，传统的质量控制就是通过检查产成品，把残次品挑选出来，以保证出厂产品都符合质量标准。事后控制的最终目的是根据对实际工作绩效的评价，查处错弊，并采取纠正措施。但因其是在错弊发生以后才进行检查或采取措施的，故其所造成的损失已无法弥补，只能为以后完善控制工作打下基础。

4.内部会计控制与内部管理控制

内部会计控制是指管理层根据国家财务会计法律法规和本企业生产特点、经营业务性质及管理的实际需要，为确保财务活动的合法性、会计信息的真实性和可靠性、财产物资的安全性和完整性而实施的控制，其范围直接涉及会计事项方面的业务。内部会计控制主要采用会计处理程序及其他会计手段，对那些能用货币反映的经济业务活动进行控制，它由组织计划以及为保护财产物资和确保相关信息的准确性、可靠性而采取的记录、方法、程序和控制措施等构成，具体包括以下几方面。

一是基础控制。通过基本的会计程序与方法，完整准确地记录所有有效经济业务，是确保会计控制目标实现的基本条件，也是其他会计控制的基础，主要包括以下几个方面。

其一，完整性控制。这是为保证业务记录完整性而设置的，如设置业务备忘录，对记账凭证按顺序连续编号，制定原始凭证与记账凭证的内容及金额的核对制度等。

其二，准确性控制。这是为实现财务会计数据准确性而设置的，如对原始凭证与记账凭证上记录的经济业务数据、计量单位、填制日期和金额进行审核，对会计凭证合计金额和会计账目发生额进行核对，对明细账与总账发生额和余额进行核对等。

其三，有效性控制。这是为实现经济业务记录及相关处理手续的有效性而设置的，如财会部门对原始凭证进行审核等。

二是实物控制。实物控制是为维护财产物资及会计信息资料的安全完整与可靠而实施的控制，主要包括以下几个方面。

其一，防盗控制。这是为防止实物被偷盗、挪用，以及会计记录遗失或被篡改而设置的实物保护或控制措施，如将现金和有价证券存放在保险柜里，库存物资应分门别类存放在专设仓库并设专职保管人员，为保证账实相符而实行定期或不定期实物盘存制度，设置防盗报警器等。

其二，防损控制。这是为防止财产物资及会计资料遭受毁损而设置的控制措施，包括对财产物资的物理保护措施，如设置灭火器、消防水龙头、防潮设施等，以及防止资产变质的化学保护措施。

三是纪律控制。纪律控制是为监视和调整基础控制措施的执行、保护实物控制措施功能作用的充分发挥而设置相互牵制、稽核和监督制度等。它具有监视、强制和约束会计工作的特征，能保证及时发现和查明错弊，主要包括以下几个方面。

其一，职务分工。这是为维护资产的安全性以及实现会计信息的准确性和可靠性目标而设置的控制措施，包括经济业务授权与执行职务的分离、财产保管与记录职务的分离、总账登记与明细账登记职务的分离等。实行职务分工，有利于不相容职务的制衡，降低错弊发生的概率。

其二，内部监控制度。这是为监视和调整基本控制、实物控制和职务分工而设置的控制措施，包括对原始凭证、记账凭证的稽核、账账核对的稽核、账表核对的稽核、账实核对的稽核等。监控制度是内控体系得以实施的必要条件，它通过调节外界影响引起的波动，保证基础控制、实物控制、职务分工的有效实施，因此，它有利于查明基础控制和实物控制程序中的错弊并及时予以纠正。

内部管理控制是为确保国家法律法规及企业经营方针、政策的贯彻执行，实现组织目标，提升经济业务活动的经济性、效率和效果而实施的方法、措施和制度的总称。内部管理控制主要通过制定和实施有关制度和政策来对企业内部不能用货币反映的业务活动或领域进行监督、调节和控制，是建立有效会计控制制度的基础。它包括企业内部除会计控制以外的所有控制，主要包括以下几个方面。

一是组织控制。组织控制是对企业职务分工与岗位职责、机构设置的合理性和有效性所进行的控制，包括组织架构设置、不相容职务分离等内容。组织机构设置是否科学合理、权责分配是否明确适当，直接关系企业能否合理地组织生产，及时发现和处理生产经营中出现的问题，确保企业经营业务活动的协调有序进行。

二是人事控制。人事控制是针对企业员工增减变动情况和员工岗位而采取和建立的既相互联系又相互制约的各种方法、程序和措施等，主要包括管理者任免、人员招聘与录用、人员配备与培训、业务分工、职务评价、工资管理、离退休及病休假制度等。

三是业务操作与质量控制。业务操作与质量控制是为保证企业操作规范和提高产品或服务质量而建立的控制制度，涉及工作检查、产品质量检测、质量标准与统计分析、产品验收等。产品或服务质量是企业竞争实力之所在，“以质取胜”既是企业的重要经营战略，也是企业获得成功的基本途径之一。对现代企业来说，质量控制既是重点，也是难点。

四是安全控制。安全控制包括人身安全、财产安全、资料安全等方面的控制。安全控制事关组织人心的稳定、财产物资的安全与完整，因此也是管理控制的一个重要方面。

内控是一个复杂的有机整体，其内部各环节、各方面虽有区别，但有些控制措施既可用于会计控制，也可用于管理控制，各种控制措施是相互联系、相互交叉的，共同促进整个内控体系有效性的充分发挥。

三、找准风险

市场风云千变万化，企业经营千姿百态。不同的所有制，不同的发展阶段，不同的体量规模，所面临的企业风险自然不同。集团企业更关心战略风险、管控风险、法律风险、投资风险、资金风险等，而单体企业则更关心市场风险、生产风险、质量风险、安全风险。企业的风险不一样，存在缺陷的表现形式不一样，应采用的控制方法也就存在很大的差异。

发现一个企业的内控缺陷，不只要看它有没有健全的制度，还要看制度是否得到执行。如果相关制度不健全或缺失，这是内控设计上的缺陷；如果有健全的制度，但企业风险仍然存在，这是内控执行上的缺陷。企业很多时候并非没有制度的设计，只是执行不到位，或者虽然没有明文规定，但执行上已形成不成文的规定。有经验与没有经验的人来调查内控缺陷，会得出有很大差异的结论。

当某个缺陷被认定时，内控体系设计者就会按照原定的逻辑来梳理流程，加强关键点、风险点的控制，并通过制度予以固化。当某个内控规定不能在企业的运营实践中被执行时，简单地提出加强控制是不能解决问题的，这时应分析控制事项不能有效执行是系统问题还是单项问题。如果是单项问题，解决的办法会比较容易；如果是系统问题，则需要提供系统解决的办法。

比如，某集团企业存在短贷长投的现象，企业知道这是风险，但长期以来都在采用这种做法，并没有出现什么问题，因此大家也就习以为常了。从内控要求来看，企业短贷长投、流动资金紧张，一定会被指出存在内控缺陷。企业制度也规定了不允许短贷长投，但如果企业的资金问题一时解决不了，就会出现新的风险。因此，企业在解决此类内控问题时，需要从根源上找问题，建立资金风险分析模型和预警模型，为企业提供更多的融资渠道指引，帮助设计内部资金平衡计划，平衡内部资金需求。

又如，企业虽然在应收款管理上有严格的规定，销售合同也按内控要求走了所有审批环节，但是应收账款额还是越来越大，逾期款项也越来越多。如果仅仅从制度上去要求加强应收款控制是不能解决问题的。制度上规定不允许赊销在行业现实中是很难行得通的。怎样才能解决这种问题呢？好的内控体系需要从如何建立客户信用评价体系、如何建立销售人员激励体系、如何将回款与责任人员的薪酬绩效挂钩等方面入手来解决问题。

四、建立规则

企业存在内部控制风险，就需要加强内控文化建设，完善制度和流程，形成全员共同遵守的规则。

内控规则最重要的成果是各项内控手册。常规的内控手册分为6大分册，包括总则、环境分册、风险评估分册、控制活动分册、信息沟通分册、内部监督分册。关于手册的内容构成，不同的专业人士提供的产品会有较大差异，其中最关键的差异就是关于适应性要求的。内控要解决的不仅仅是控制的问题，更多的是要解决企业发展与风险控制的平衡问题。

五、持续评价与提升

规范内控体系是一个企业内控应有的基本管理要求。在规范的基础上进行控制才是最有效率和效果的。改进内控体系是规范内控体系运行的机制保障。只有通过监督改进机制，一个规范的体系才能很好地运行和完善。

内控风险评价报告有时是为了满足上市公司信息披露要求的，而企业本身也需要定期提报一份内控风险评价报告，让决策层清楚地知道企业存在哪些风险，通过控制措施降低了哪些风险，还存在哪些风险。

定期评价，不断改进，企业才能处于稳步上升的发展态势。内控风险评价最大的优势在于：不仅能帮助企业找到风险，而且拥有评估风险的能力，可以设计应对风险的模型，通过风险评估工具清晰地指出控制的效果，并合理评估剩余风险。这里的剩余风险，是指那些未能为企业所控制的战略风险和流程风险。一般来说，剩余风险往往具有一定的法律后果，可能导致企业财务报表的重大错报，也可能导致企业管理层舞弊，严重者还可能导致企业破产。

总之，企业内控体系建设是将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。企业建立了内控体系，就应真正把内控作为强化企业管理的抓手，紧密结合企业实际，总结管理经验，优化控制环境，不断推陈出新，提升管理水平。

作者简介：何信文，男，湖北潜江人，1965年2月出生。1986年7月毕业于华中科技大学电气自动化专业。研究员，中国质量协会卓越绩效模式评审员，中国造船工程学会会员，中国数学会会员，中国海洋学会会员。长期在中国船舶集团第七一〇研究所从事海洋装备研究与开发，以及人力资源管理、法务管理、企业经营管理等工作。曾借调原国防科工委，挂职原中船重工集团总部。获国家科技进步二等奖等9项科研、管理成果奖，获专利授权近10项，发表科技、管理论文100余篇,出版管理专著1部。

通信地址：湖北省宜昌市胜利三路58号，邮编：443003。