企业内部控制：为了自己还是为了监管

企业内部控制：为了自己还是为了监管

                                                           百年方略 吴镝博士

序

十多年前，美国发生了安然公司破产、世界通信会计丑闻等事件，投资者对资本市场的信心急剧下滑。为此，美国颁布了《萨班斯—奥克斯利法案》，明确规定了内部控制责任，指出有违反内部控制建设和信息披露，会受到经济和法律处罚。

同样在中国出现的三鹿奶粉、双汇发展等企业发展失控的问题、。我国各监管部门缺少针对上市公司内部控制体系建设和实施情况处罚的规定，但是内部控制不能实现“对标”的后果是相当严重的，轻则股价下跌，重则破产重组，任何企业如果对内部控制“对标”掉以轻心。

经济学的假设是理性人，企业的市场行为只为追求高额利润，在市场经济中，公司丑闻事件不止会在国际发生，国内也经常发生。近几年中国颁布了多项法规，08年6月和10年4月，五委会联合发布了《企业内部控制基本规范》和《企业内部控制配套指引》，12年5月，国资委、财政部发评价〔2012〕68号文件，关于加快构建中央企业内部控制体系有关事项的通知。就在这个月，财政部又发布了主板上市公司实施内部控制规范体系通知。这就意味着我国开始了对上市公司内部控制的监管，不仅体现的是公司财务账目的问题，更注重了公司管理中存在的问题。

现在企业建设内部控制体系已为大势所趋，但同时企业的CEO也困惑了。设计内部控制制度的出发点到底是什么呢？究竟只是为了应付外部监管和满足形式上的要求，还是为了企业自身经营管理和发展需求呢？

毋庸置疑，这已成为企业迫切需要考虑的问题。

内部控制的含义

行事之前要先明其意，了解内部控制的概念是首要的。这里，我们将其分为狭义和广义。

狭义的内部控制是指为满足国家监管以及企业内部控制管理的要求，以财务为核心，通过梳理企业内部风险，对风险进行控制的过程。

广义的概念相对来说，更符合企业管理提升的要求。立足于国情和企业现状，围绕企业发展战略、业务流程、风险点和控制点、信息化要求等多方面，以防范风险、有效监管为目的，基于管理提升，全方面、全方位和多体系的对企业经营各环节实行全面风险管理的过程。

狭义企业内部控制的建设

回过头看看概念，不难看出，建设狭义内控的主要目的是为了满足外部监管和形式上的要求。

既然如此，企业就应当根据国家有关法律法规和企业章程，设定控制目标（战略目标、经营目标、报告目标、合规目标等），建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制，制定有利于企业可持续发展的人力资源政策，对企业进行关联交易管理、往来账管理、财务报告管理、对分子公司管理和信息系统安全管理，实现风险分析和评估、控制、信息与沟通和内部监督等功能，从而满足财政部等部委对上市公司提出的内部控制合规要求，合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，约束企业市场行为，规避企业徇私舞弊、财务、市场等风险，提高经营效率和效果。

此时，企业内部控制体系的主要特点是合规性。一是一致性，表现在与国家内部控制法规一致，即公司的内部控制政策和措施未与国家法律法规相抵触；二是有效性，即设计完整、合理的内部控制。有效性是内部控制的精髓，如果一种内部控制体系不能实现“有效控制”，则实质上内部控制体系就是不存在的。内部控制的有效性以其合理性为基础，内部控制的合理性则以其有效性为目的。若不具有合理性，则内部控制的有效性无从谈起。没有了有效性，则内部控制的合理性也就丧失了基本的意义。

广义企业内部控制的建设

现代企业的战略管理要求建立以价值管理为主线，以风险为导向，以提高公司治理水平、战略发展、降本增效和降低风险等为目标的内部控制体系，实现内控工作与公司快速发展的同步提升。

显而易见，广义内部控制的目标是企业管理提升。在满足国家监管的同时，为了实现管理提升，就需要建立科学、合理、规范和高效的内部控制体系。

企业建设内控体系，首先老板和员工要明确企业方向和控制目标，层层分解战略目标，让每位员工都了解公司的发展目标。要围绕企业战略，全面梳理流程，设置合理的组织结构、职责权限和人力资源体系，划分责权，实现相互合作和相互监督，优化管理流程，保证企业各项资源的高效配置，避免寻租行为，降低机会成本，实现企业长期发展和外部经济。

企业的一个重要目标是提升企业价值。企业要做好内控，要围绕企业价值提升，从整个产业发展的角度出发，量身定制涵盖企业整个业务循环流程的战略经营性管控模式。要根据企业所处的内部和外部环境，以自身业务为基础，通过梳理整个业务流程，建立风险库、风险地图，对业务流程的各个方面、各个环节的风险点进行过程控制，规避、降低和分担企业经营、筹资和投资等各业务的非系统风险，不断优化管理流程，提高企业营运质量和经营管理效率。

信息数字化已遍布企业经营管理环节，信息化建设是为企业内控管理提供落地的手段。企业信息数据量大等，就需建立IT信息化平台。一方面，实现了内控系统与运营信息化系统、决策支持系统和考核系统等管理系统的接口，提高管理效率、降低人工成本和时间；另一方面，在全员参与的大条件下，能确保信息沟通的有效性，并能及时提供适合既定目的、准确和完整的信息，加强管理层的决策和对营运活动及业绩的监控。

内控系统的主要目的是风险控制。内部控制系统一定要以风险导向，实现全面风险管理。全面风险管理和企业内部控制是统一的。国际风险管理委员会认为，“风险管理系统与内部控制系统并没有原则性的区别，风险管理与内部控制趋同”。全面风险管理需要内部控制作为实施手段，内部控制以风险控制为目的，二者相辅相成。

内控体系的建设不仅强调了以上几个方面，还需要注重制度建设和优化。企业员工行为和思想要落实，要有一系列制度来规范和保障。企业要制定内控制度，强化监督和管理，但制定时要考虑可行性。

结语

企业只有明确建设内部控制体系的出发点，才能更好地利用它来提高企业价值。如果因国家的相关内部控制法规，盲目地去做风险管理，那不过是走形式、走过场而已。

短期来看，很多企业加强公司治理是降低效率的，但是从长远来看，是确保公司朝着一个更加健康的机制发展的保证，这方面的制度优势并逐渐地显露出来。在满足外部监管需求的同时，企业更要认识到组织的发展和战略目标实现需要一个良好的内部控制体系，不应将内部控制建设视为一项被动遵从的事项，而应围绕企业战略和价值管理，根据企业管理现状和发展阶段、现实需求和管理提升需求，进行适合自身的内部控制体系建设，确保内部控制体系建设落到实处、取得实效。