国浩视点 | 浅析企业内控管理的现状与发展

根据财政部、证监会、审计署、银监会、保监会关于印发的《企业内部控制基本规范》（财会[2008]7 号）中第三条“内部控制”的定义为 “由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。” 从这个定义中，可以看出内部控制的主体是董事会、监事会、经理层和全体员工；内部控制的本质是实现控制目标的企业管理过程。

另有一个权威的内部控制定义来源，即COSO（美国反虚假财务报告委员会）于2013年5月发布的《内部控制——整合框架》中定义：内部控制是一个组织的董事会、管理层和其他员工共同作用的过程，被设计并用来为组织提供合理保证，使其实现运营，报告和合规等目标。

COSO与我国《企业内部控制基本规范》的定义基本类似，细微差别在于双方对目标的描述。《企业内部控制基本规范》对内部控制的目标为五个层面，一是合理保证企业经营管理合法合规；二是资产安全；三是财务报告及相关信息真实完整；四是提高经营效率和效果；五是促进企业实现发展战略。COSO《内部控制——整合框架》的目标是三个层面：运营、报告和合规。但COSO《内部控制——整合框架》中运营目标是指财务绩效目标，资产安全不受损失；报告目标是指内、外部的财务和非财务真实、完整；合规目标是指对组织适用的法律法规。由此，可以看到两份文件在控制目标的设计本质上也是类似的。即内部控制的定义与目标在国内、国际上是基本一致的。

内控管理不是通过内控手册、制度汇编和表格填写来体现的，而是在企业组织规划、审批授权、以及各类作业程序中，应用技术、方法、工具去贯彻实施既定政策的过程。这个过程一般应具有以下特征：

全面性。 即内部控制是一个全面的系统工程，全面控制企业的一切活动，控制的不是业务或某个管理条线。是要控制考核、财务、会计、资产、人事的计划与执行情况，还要进行各种工作分析和运行研究，并及时提出改善措施，形成一个全面的内控体系。

动态性。 内控管理需要随着企业内外部环境的变化而不断调整和完善，以保持其有效性。内控管理不是阶段性和突击性工作，它涉及公司每个角落的各种管理职能和日常操作，是各种管理职能的动态性、常态性工作。

合理性。 内控管理需要在成本和效益之间取得平衡，确保控制措施的合理性和可操作性。通过管理方式与行业风险意识的提升、通过优化流程与提高操作效率的结合、通过内部监督与外聘检查一体化的共同努力，在可行性和可控性中寻求到平衡点，有效将内控管理落地并实践，不因内控过度影响业务发展，不因追求发展忽略内控合规。

关联性。 即内控管理行为与日常业务行为是无法割裂开来的，而是相互融汇其中。不论采取何种管理方式，执行何种业务模式，一种行为成功与否均会影响到另一种行为。内控管理的加强或衰弱必然会导致相对应业务管理的加强或衰弱。

责任性。 内控管理需要具有高度的责任心和责任性，特别是在监督和审计环节，一是确保客观和公正，二是要保持工作独立性。对自己的工作有责任感，对各级管理人员和员工的工作负责，确保每个人都正确履行自己的职责，自己不受外界干扰、蛊惑。

合规管理与内部控制相互嵌入、相互协同，合规就像身体的肌肉负责支撑身体并对外发力阻止身体受到伤害。内控就像神经，负责管身体各部位的链接、执行和操作。但二者又同属企业这一个身体，都是企业运营发展重要组成部分，相互支持且相互作用。合规更强调的是遵守、是结果，而内控更强调的是过程、是执行。

首先 是二者针对目标不同。内部控制针对的是内部操作过程、执行不力等情况。例如，业务尽调动作变形，内外串通，以及工作效率低下、作风散漫等。合规管理针对的是企业或业务违反法律法规、行业标准和突破风险底线等情况。例如：偷税漏税、围标串标、签订阴阳合同等。 其次 是使用范围不同。内控是为控制企业正常运转，依章办事使用。合规是企业共同遵守，确保企业行为和员工行为依法合规。 最后 是造成后果不同。内控管理失控后，会造成企业财务、人力、资产、流程失去有效监管，可能会引发内部管理混乱，例如挪用资金、人员流失、审批越权等。故内控造成的后果，一般出现在企业内部，处在企业内部可修正范围之内。合规管理失控后，意味着企业可能突破了行业底线、法律法规的要求，企业会因违规经营、或者业务操作与法规冲突，遭到诉讼纠纷、行政处罚、项目关停、甚至刑事处罚等较为严重的后果。因此，合规管理失控后果较内控管理失控更为严重，甚至可能导致企业无法正常经营。

现阶段，企业内控合规管理以及其他各管理体系往往是通过大合规体系“一体化”来协调处理。主要包括法务、合规、内控、风险“四位一体”或法务、合规、内控、审计、风险“五位一体”；还有包括纪检、巡视巡察等在内的“N位一体”。其中，法务、合规、内控、风险“四位一体”协调处理比较主流，其他多位一体的做法，多是因为合规主管部门还有其他相关职能，诸如监察、巡视等。但事实上，承担第三道防线职能的纪检监察、巡视等部门，不应该纳入“一体化”合规，应是运营体系外独立监督追责功能，更类似于“裁判员”的角色，参与一体化运作将会出现职责不相容的利冲情况。这也是国务院在国资委在《中央企业合规管理办法》（国务院国有资产监督管理委员会令第42号）明确 “...应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制，加强统筹协调，避免交叉重复，提高管理效能” 的要求。

(一) 内控环境不合理

决定企业内部控制发展质量最重要因素就是内控环境。内控环境主要包括公司治理结构和议事规则、审计要求、人力资源、企业文化、价值观和社会责任感等。内控环境不合理会导致内控合规管理体系建设能力不足、企业形式主义内耗严重、人员疲于纸面合规、执行僵化等问题。

内控环境良好的公司 治理结构和议事规则 通常是以企业发展为导向，以解决问题、实现内控目标去设置治理架构、框定议事规则，而不是为了尽职免责将任何决定都交集体决策、任何要求都要留痕部署，任何工作只求无过不求发展。更不是一些领导利用自己在决策中的核心地位，无视内控合规要求专断的“一言堂”。同时，也会有一些部门为了附和领导、追求个人利益，与上级串通舞弊让内控形同虚设，最终导致企业内控管理整体失效。良好的 内部审计 是以改善管理、挖掘潜力、提高效益为工作目的，而不是按照简单刻板的“无规定即禁止”去要求，审计不能只看风险而忽视发展机会，不能只看书面不看现实。良好的 人力资源 是指为企业生产经营活动建立匹配的激励约束、用工机制，不是要一味压低人员成本、追求效率优先、执行末位淘汰，是通过人员匹配、考核定责等方式激活组织和个体。良好的 企业文化 是企业整体团队共同认可并自愿遵守的价值观、经营理念和企业精神，而不是核心领导的个人意志和喜好，更不应该是公司的口号。良好的 价值观和社会责任感 是指企业在发展过程中注重生产的安全、产品的质量、员工的权益、社会的效益等。不会为了提高效率、控制成本降低安全生产标准、侵害消费者利益和漠视员工权益等。

(二) 风险认知不客观

风险认知是结合企业的战略发展、风险偏好、市场变化、经营目标等实际情况学习或应用风险知识的过程，企业风险主要包括：战略风险、市场风险、运营风险、法律风险、财务风险，风险的结果可以分为纯粹风险（只造成损失，无收益的可能）和机会风险（既可能带来损失，也可能获得收益的风险）。

现实中，部分企业对风险认知不足主要体现为：一是盲目自信，对风险控制和自身能力没有正确看待。一味地大干快上，只看到机会，却忽视了可能会出现的的巨大损失。二是盲目的排斥风险，闻险色变，无论风险大小，不是想办法解决、控制、转移或覆盖，而是粗暴且懒惰的禁止、拒绝和否定。三是对风险评估不科学。风险并非集体讨论后出个报告、提个意见，不同种类的风险会超出领导和员工各自的专业认知。完成风险评估也不仅是让风险部门及合规部门去现场看一下、和客户聊一下、出具评估报告及审查意见，更多的是在专业细节当中。其实，客观的风险认知是系统的分析经营活动中与内部控制中的种种风险问题，获得合理的认知结果，并采取正确的风险应对策略，是专业的、系统的、不断变化改进的一个过程。

(三) 控制活动落实不足

控制活动是确保企业的战略计划、执行策略、管理指令得以执行、落地、产生效益的政策及程序，如职责分工、复核、授权、检查、考核绩效、安全巡查等，在企业各个层级内都有体现。控制活动通常与企业的目标相联系，企业的主营业务市场、股东背景、合规文化都会对企业的控制活动产生影响。

现实中，无数企业在轰轰烈烈地开展内部合规管理体系建设工作后，留下了一叠叠的表格、流程图、内控手册。但随着业务的发展、人员的流动、企业目标的变化，工作流程图、内控手册、等被遗忘在企业的角落，失去了对内控应有作用。内控活动需要对公司整体情况动态把握，内控的执行要比其他专业部门更加系统和全面，但是正是由于全面性，也有致命的局限：随着市场、人员、目标不断变化，内控合规不断加流程、加审批。有些风险点可能已经不存在了，但相关控制、操作、流程一个没少，什么都做就相当于什么都不做，什么都管就相当于什么都不管，什么都控就相当于什么都不控。最终内控合规脱离业务实际，被逐步虚化是当前面临的主要困境。

(四) 内外部信息失真

企业内外部信息指的是能反映业务市场供需、发展政策、法律法规等各类有效信息的资源。外部信息在企业运营过程中，贯穿于整个管理决策与控制过程的始终，企业管理层、职能部门都需要进行信息收集、分析、使用和传递，用于制定企业发展战略、风险防控措施，对保证企业生产经营有序运行具有重要作用。

现实中，企业运营时无论是内部决策、业务进度、还是外部信息的流转存在着很大的问题。同级部门之间信息不能有效共享，导致各部门之间可能重复地做同样工作；上下级之间信息不能有效传递，为公司决策带来了风险；前后台之间未能将市场、政策变化及时反馈，导致决策不科学、风险判断不准确。内控如何通过框架设计、流程管理、岗位职责设定等操作工具整合信息渠道，获取来自企业全方位、各业务环节的信息资源，通过综合有效的分析，最终得到准确、全面的信息，为企业运营管理、发展决策提供必要支撑，这是未来企业内控管理面临的重大挑战。

(五) 监督机制不完善

内控监督的是企业内部业务、人员、资产、信息等工作的合规运营、操作高效和真实有效，是保证内控合规体系有效运行和逐步完善的重要措施。企业在发展过程中，或多或少都会出现问题，需要在监督中不断发现问题，改正错误与弥补缺陷。内控监督又分为日常监督和专项监督，日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指企业在发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。

现实中，日常监督往往因为人员不足、独立性难以保证或信息收集不及时、不全面等问题造成真实情况被掩盖、监督结果被人为干预的情况。专项监督又因为时效性不足、监督主动性滞后等问题造成缺陷不能及时发现、损害结果无法逆转，监督无法达到预防的目的，变成了处罚依据的情况。

内部控制管理是企业内控合规体系正常运行的基础，是提高企业经营效率与完善公司治理的有效手段。但部分企业在发展的同时，内部控制方面暴露出越来越多的问题，导致风险不断，且无从下手，找到符合自身特点、且行之有效的内控管理工作方法是企业未来发展不可忽视的重要工作。

(一) 区别化内控资源配置、推动企业战略目标的实现

随着企业内外部环境不断变化，企业应根据自身属性、业务发展方向、外部政策、市场变化等情况调整设置符合企业特色化道路的战略目标。并根据企业自身的战略目标，区别化配置内控所能使用的资金、人员、权限等，确保企业内控管理能有效执行。

缺乏明确的内控执行力，会导致企业发展掣肘，难以形成竞争优势，战略目标无法实现或导致发展战略执行激进，脱离企业实际，形成企业过度扩张，甚至经营失败。未来企业不仅要面对战略制定的问题，还有战略执行的问题。发展战略本身就要求全面了解企业，所以做好内控资源配置，确保内控执行力度，是企业战略目标落地的重要手段。

(二) 区别化内控管理设计、优化流程和提升效率

内部控制的执行需要企业各部门之间的分工与协作，各部门的有效运转是提升运营效率和提高工作效果的前提。但各部门之间职责不同、任务不同，自各部门设立之日，部门之间就存在合作与沟通壁垒，就会有“屁股决定脑袋”的现实情况。虽然通过企业合规文化或协调机制可以弥补、降低这些壁垒，但是由于业务流程涉及不同专业、目标，需要被分开执行，便需要从整体的角度来对内控管理进行流程优化和整合，帮助企业管理层完成有效落地战略目标的运行机制。

设计内控管理需要根据政策、市场、公司内部情况等不断组织讨论、分析，建立一种可持续的、常态化的、跨部门的优化流程和解决问题的工作机制。通过合理的内控管理流程和操作方式，对制度与要求不能有效落地、合作与流程存在脱节的情况进行纠正，促使企业更为高效地运行。

(三) 区别化内控考核、推动企业变革和创新激情

符合企业实际情况的内控考核是企业内控管理行之有效的前提，考核如何让管理有效达到风险防控目的，达到提升经营效率和效果，一方面是通过对企业目标实现的契合性进行考核，即内部控制制度的建立与内部控制目标相一致；另一方面是通过内部控制实现的效率来考核。

内控的契合性考核包括制度建设、风险管理、监管合规、员工素质、业务流程等，内控实现的效率包括制度设计效率、执行效率、评价效率、风控效率、信息传递效率等。但无论对内控如何考核，绝不应该是操作零失误、流程零违规、损失零出现，应是内部控制管理能保障企业的健康发展、风险控制在经营利润覆盖内、管理层和员工能勤勉尽责。企业发展过程中出现失误、有风险是正常的，不出风险才是不正常，光吃肉、不挨打是不科学的，重点是内控考核要准许尽职免责、准许利润覆盖损失。企业要想发展，必须要建立市场化的符合自我发展的机制，才能激活组织和个体，主动承担自己的能够承受的风险，拥抱变化，企业才能有更好的发展。经营其实就是收入、成本、损失比，只要收益大于成本和损失，就值得干。如果挣钱了，赔点钱，无所谓，只要没有个人利益输送，没有违反法律和道德，也勤勉尽职，就可以了，这样才能激发更多人创造更大的价值。

(四) 建立内外部一体化内控体系，弥补自身人才缺陷

在现阶段，在企业内控合规管理以法务、合规、内控、风险“四位一体”整体运营的趋势下，做好内控管理最需要的是懂业务、懂管理、懂法律、懂财税的各类专业人才。

目前，规模小、利润低不具备聘请各专业人才的小企业，或部分完成内控合规管理体系架构的中大型企业，都存在对法律、财税等知识一知半解，无法达到内控合规管理体系应有人员素质要求的问题。因此聘请外部专家担任内控合规顾问是一种在当前最可行的做法，通过“出资购买服务”的方式，在企业负责人重视内控合规的前提下，引入外部合规顾问的经验和智慧，协助企业建立和完善企业内控管理。即便在企业建立起内控合规团队的情况下，外部合规顾问也可以协助企业在建立内控合规体系后，继续保障、监督、修订这一体系的流程和运行，切实发挥内外部一体化评估、监督、检查的作用。

【 特别声明：本篇文章所阐述和说明的观点仅代表作者本人意见，仅供参考和交流，不代表本所或其律师出具的任何形式之法律意见或建议。】