導語：企業控制文化與內部控制論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：經過三十年的改革實踐，企業家逾來逾感到強化管理的重要，也在積極探索如何才能加強管理。內部控制的理念逐漸被企業界所關注。這一工作雖已取得成效，但是在企業不斷革新、不斷迎接市場挑戰的形勢下，內控工作尚處于起步階段。而發達國家已經研究和總結出了一套比較完整的理論和方法---三大目標和五大組成部分：“從“控制環境、風險評估、控制活動、信息與交流和監督評審”五方面開展工作，為實現各項“操作性目標、信息性目標和遵從性目標”而自覺奮斗”。本文要說明的就是，學習和運用其先進的內控理論和方法，強化內部控制，提高管理水平，形成切合企業特點的內控文化和機制。

關鍵字：內控內部控制文化

一、轉變觀念

內控常被誤解為僅僅是審計部門的事，其實，所有制及其組織結構并不是現代企業最本質的東西，最本質的是企業內部的控制文化和控制機制。企業管理的實踐啟示我們：要正確理解內控與管理的關系、內控與風險管理的關系和內控與內部審計的關系。我們要呼喚企業的控制意識，理直氣壯地強化企業的內部控制。

1、轉變經營管理觀念

內部控制在不同的經濟體制下有不同的內涵，盡管其中的某些內容會有一致性。一部分人習慣于甚至滿足于傳統的經營管理方式，認為只要能夠規范化操作就行了，不必考慮是否先進。多數人片面強調改革組織結構的重要性，忽視了控制方式的跟進和強化。這就使企業的改革同微觀治理機制相脫離。不論是維持傳統的經營管理方式，還是片面以改革取代控制的觀念，都已經被實踐證明是有害的。

2、轉變對內控目的的認識

早期學者認為，內控是為了保護企業的財產，會計記錄的準確可靠和及時提供可靠的財務信息，稱之為“三目的論”。后期學者補充，內控除了保全資產和檢查財務資料的準確可靠性以外，更重要的是執行管理政策，提高經營效益和效率，稱之為“四目的論”。

3、跟上國際內控研究的步伐

同計劃經濟相比，市場經濟的發展更加仰仗于微觀機制的作用。發達的市場經濟國家非常重視對公司治理的研究，大大促進了公司治理結構趨向合理化。公司治理理論研究的是資金的供給者如何采取措施，確保其投資取得回報。強化內控已經成為發達國家治理公司的重要手段。

二、充分理解內部控制的內涵

內部控制有其科學的定義和豐富的內容。只有深刻理解內控的內涵才能明確如何強化內控。

1．準確理解內部控制的定義

不同部門的人從不同的角度對內控會有不同的看法。美國審計權威機構COSO的定義是：內控是一個受某單位不同層次的人影響的過程，而設計這一過程是為了實現下述三大目標提供合理的保證：

⑴、操作性目標：各種經營活動的效果和效率

⑵、信息性目標：財務和管理目標的可靠性、完整性和及時性

⑶、遵從性目標：遵從現行法律和規章制度

這三大目標既滿足不同的需要，又相互交叉。顯然，內控是保證各項業務發展的，而不是妨礙其發展的。在操作性目標中，經營的“效果”是根據實際產出與預期計劃的產出比較而言的；經營的“效率”是根據實際產出與實際投入比較而言的。此外，公司不能為實現經營性目而不遵從法規，也不能為實現遵從性目標或操作性目標而違反財務和管理信息的可靠性、完整性和及時性。

這是一種“全部控制論”的概念。良好的內控系統應能夠確保上述三大目標的實現。上述內控定義說明：①內控是一種程序，它意味著向某一終點努力，但不是終點本身；②內控是用來取得一種或多種互相區分而又緊密聯系的目標；③內控受人的影響，而不只是政策、守則或表格；④只能期待內控為公司管理層提供合理的保證，而不是絕對的保證。

由此可見，審計部門以往所提的“合規性審計”、“效益性審計”和帳務檢查等等都屬于專項審計，也都有一定的片面性。審計工作的重心應當轉向對內部控制的審計再監督，而對內控的檢查評價有別于傳統的審計思路，其目的要明確和全面，檢評要完整和深入。

2．從總體上把握內部控制系統的框架：重要的是，現代內控理論賦予了內控廣范的職能，把內控置于很高的層面上，從而強化了內控的作用。COSO認為內部控制涵蓋了五大組成部分的豐富內容：控制環境、風險評估、控制活動、信息與交流和監督評審。

三大目標和五大組成部分構造了內控系統的整體框架，現代內控理論對內控日臻完善的描述幫助人們更全面和更深刻地理解內控及其控制對象，使人們能夠以內控為有力武器，為實現三大目標自覺奮斗。

3．全面理解內控五大組成部分的內容：

⑴、控制環境

控制環境是推動控制工作的發動機，是所有其他內控組成部分的基礎。它奠定組織的風紀和結構，并且涉及到所有活動的核心—人，特別是人的控制覺悟。

控制環境中的要素有價值觀、激勵與誘導機制、精神指導、員工能力、管理哲學與經營風格、組織結構、規章制度和人事政策等等。公司要有積極的控制環境，使整個組織中的員工具有控制覺悟和自覺的控制態度，特別是高級管理層要積極地進行控制；員工的能力與其責任要相匹配。

管理監督和控制文化方面的原則包括：

①董事會應當負責批準并定期審查整個經營戰略和重大政策；理解經營的主要風險，確定這些風險的可接受水平，保證高級管理層采取必要步驟，識別，衡量，評審和控制風險；批準組織的結構；并確保高級管理層不斷評審內控系統的有效性。在確保建立和維護充分和有效的內控系統方面，董事會負有最終的責任。

②高級管理層負責執行由董事會批準的戰略和政策，維護一種組織結構，能夠明確責任、授權和報告關系；確保所委派的責任能有效地執行；確定適當的內控政策；并監督評審內控系統的充分性和有效性。

③董事會和高級管理層負責按照高標準促進員工的職業道德和完整性，在機構中建立一種控制文化，在各級人員中強調和說明內控的重要性。公司機構中的所有人員都需要理解和發揮他們在內控程序中的作用。

⑵、風險評估

風險評估是識別和分析那些妨礙實現經營管理目標的困難因素的活動，對風險的分析評估構成風險管理決策的基礎。

風險評估中的要素包括關注對整體目標和業務活動目標的制定和銜接、對內部和外部風險的識別與分析、對影響目標實現的變化的認識和各項政策與工作程序的調整。

有關風險的識別與評估的原則強調有效的內控系統需要識別和不斷地評估有可能阻礙實現目標的種種物質風險。這種評估應包括公司和公司集團所面對的全部風險。需要不時調整內控，以便恰當地處理任何新的或過去不加控制的風險。

⑶、控制活動：

控制活動是為了合理地保證經營管理目標的實現，指導員工實施管理指令，管理和化解風險而采取的政策和程序，包括高層檢查、直接管理、信息加工、實物控制、確定指標、職責分離等。

在控制活動中主要關注控制與風險評估過程的聯系、控制活動的適當形式及其實施、對執行政策和管理指令的保證、控制活動的針對性（尤其是對信息系統的控制）等等。有關控制活動和職責分離的原則包括：

①控制活動應當是公司日常工作的不可分割的一部分。這些活動應當包括高層審查；對不同部門或處室的活動的適當控制；物理控制；檢查對敞口限額的遵從情況；對違規經營的跟進情況;批準和授權制度；查證核實與對帳制度。

②有效的內控系統需要適當分離職責。人員的安排不能發生責任沖突。要識別和盡力縮小有潛在利益沖突的地方，并遵從謹慎的和獨立的監督評審。

⑷、信息與交流

信息與交流存在于所有經營管理活動中，使員工得以搜集和交換經營、管理和控制等活動所需要的信息，包括管理者對員工的工作業績的經常性評價。在信息技術的發展中注意控制信息系統。有關的原則包括：

①一個有效的內控系統需要充分的和全面的內部財務、經營和遵從性方面的數據，以及關于外部市場中與決策相關的事件和條件的信息。這些信息應當可靠、及時、可獲，并能以前后一致的形式規范地提供使用。

②有效的內控需要建立可靠的信息系統，涵蓋公司的全部重要活動。

③有效的內控系統需要有效的交流渠道，確保所有員工充分理解和堅持現行的政策和程序，影響他們的職責，并確保其他的相關信息傳達到應被傳達到的人員。

⑸、監督評審

監督評審是經營管理部門對內控的管理監督和內審監察部門對內控的再監督與再評價活動的總稱。

監督評審可以是持續性的或分別單獨的，也可以是兩者結合起來進行的。主要應關注監督評審程序的合理性、對內控缺陷的報告和對政策程序的調整等等。在監督評審活動和缺陷的糾正方面應當遵循下述原則：

①應當不斷地在日常工作中監督評審內控的總體效果。對主要風險的監督評審應當是公司日常活動的一部分，并且各級經營層和內部審計人員應當定期予以評價。

②對內控系統應當進行有效和全面的內部審計。內審要獨立進行，應得到適合的培訓，并配備稱職和得力的人員。內審作為內控系統監督評審的一部分，應當向董事會或其審計委員會直接報告工作，并向高級管理層直接報告。

③不論是經營層或是其他控制人員發現了內控的缺陷，都應當及時地向適當的管理層報告，并使其得到果斷處理。應當把有關物質的內控缺陷報告給高級管理層和董事會。

以上五大組成部分與前述三大目標有機地相結合，構成了內控的完整體系。我國的企業工作者很有必要適應形勢，轉變觀念，從內控的三大目標出發，去考察本單位上述五大組成部分的各個方面，看是否建立了健全的內控制度，而且，這些制度是否得以認真貫徹實施。審計檢查的方法和評價的標準也應當沿著這條思路，按照這個有機結合的整體去設計。

三、關于內部控制與管理的關系

多數中層管理者對內控認識比較膚淺，也不了解內控與管理、內控與內審的關系。有人認為管理就是內控，抓了管理，內控自然就到位了。也有人認為內控是內審部門的工作，抓內控應該由內審部門牽頭。因此，必須搞清內控與管理的關系。1．管理的內涵及其與內控的區別

管理是管理者確立目標和戰略，并通過一定的組織形式、規章制度和操作方法去實現目標的全過程。管理者要以一定的組織形式為依托，以一定的規章制度為依據，采取種種方法去實現既定的目標。管理者有責任控制局面，并解決和糾正各項經營管理活動中所發生的偏差和錯誤。

管理的含義比內控更為廣泛，并不是所有的管理活動都是內控活動。而內控則是管理中至關重要的部分，就是要抓住管理活動中的那些對管理目標實現至關重要的部分，也就是它的主要矛盾，具體體現就是：控制要素和控制風險，這是管理者必須關注的地方。

2．風險管理與內部控制的關系

風險評估是對可能發生的不利條件或事件進行評價，并做出完整的專業性鑒定的一種系統過程。

風險是和環境、目標共存的。相對于外部環境而言，同類企業有同類風險，誰能戰勝風險，風險就轉化為機遇，同時也會提高其競爭能力，并直接影響其提高其產品質量與服務質量的能力。

風險是如此之重要，以至于有人認為風險管理就是內部控制，甚至風險管理包括了內控。

實質上，內控涵蓋了風險管理，內控處在比風險管理更高的層次上，內控才是管理的更本質性的內容。內控所負責的是風險管理過程中間及其以后的重要活動，內部控制強調評估經營管理活動中突出的風險點，建議經營管理人員針對這些風險點實施必要的控制活動。風險管理為內控中的風險評估提供了前提條件。風險管理的全部活動都在內控的監督評審之下。

四、正確處理內控與內審的關系

有些人認為內控主要是內審部門的事，在實際工作中，內控工作往往被領導委派給內審部門去計劃和安排。這種認識不僅來自高級管理層，就是內部審計人員也存在一些模糊認識。因此有必要澄清認識，轉變觀念，正確處理內控與內審的關系。

1．內控首先是經營管理部門的工作

內控程序涉及：工作目標的確立，風險的識別和分析，針對風險研定控制措施，對所采取的控制活動進行監督評審等等。這些控制業務顯然都是各級經營管理部門的基本職責。因此，首先是經營管理部門要重視內控，只有把內控視為本職工作，才能保證各項工作任務順利實現。其次才是內審部門獨立于經營管理工作之外，才能真正起到對工作的監督和彌補作用。

2．內控主要是經營管理部門的工作

內控的大部分工作都是經營管理部門的重要職責。

首先，合乎標準的內控需要公司營造良好的“控制環境”，使員工樹立正確的價值觀，遵守正常的職業道德，而公司的管理層又能夠以恰當的管理風格和正確的激勵機制，引導員工創造一種良好的企業文化，特別是控制文化。同時，設計適應業務發展的組織結構，配備合格的經營管理人員，制定合理和嚴格的規章制度，確立正確的目標和戰略決策系統等等，也都是加強內控的必要環境條件。

第二，“風險評估”也主要是各經營管理部門的重要職責。傳統的經營管理方式忽視對風險的識別和分析，而滿足于執行指令。這種方式給國有企業在轉軌過程中帶來了巨大的損失。風險的防范有大量工作要做，包括對內部和外部的風險進行判別和預測，分析風險發生的可能性和概率；并在此基礎上研究化解風險的種種控制措施。

第三，當風險已被發現之后，經營管理者還需要調動機構和人員，切實執行所制定的“控制活動”，以便防范和化解風險，合理保證經營管理目標的實現。這方面的工作是十分細致的，包括高層檢查，直接管理，信息加工，實物控制，確定指標，職責分離等等。

第四，在信息科技突飛猛進地發展的時代，“信息與交流”是經營管理中的另一不容忽視的職能。在把有關的內部和外部控制信息搜集整理出來以后，經營管理者要利用可靠信息為實現目標服務，并向適當的部門和負責人進行交流。

如果把如此豐富的內控工作統統推給審計部門去做，一個直接的惡果就是削弱了經營管理部門的風險意識和控制覺悟，使他們滿足于行政指令的執行方式，而無意面對復雜多變的競爭形勢。另外的一個后果是使審計人員不務內審業務，而去參與經營管理活動，自然分散了審計人員的注意力，也削弱了審計的獨立性。因此，控制活動是公司日常經營管理工作的不可分割的一部分。

3．對內控的檢查評價主要是經營管理部門的工作

“監督評審”是內控體系的第五大重要組成部分，其主要內容是對上述內控活動，包括“控制環境”、“風險評估”、“控制活動”和“信息與交流”等內容進行嚴格的檢查監督和客觀公正的評價。這包括從整體水平上和從業務活動水平上對內控進行持續性的或分別單獨的評審。重要的是認識到這種檢查評價不僅首先不是，而且主要不是內審部門的工作。

對內控情況進行監督評審猶如設立一道道防線，而第一道檢查監督的防線就應由經營管理部門的各級負責人監守，包括設置和執行崗位內部和崗位之間的相互牽制，進行前后臺和部門之間的平衡制約等等，并應不斷在日常工作中監督評審內控的整體效果。他們要對內控的情況和問題及時進行分析和研究，把大量主要的風險問題在第一道防線予以切實解決。這里，他們不僅要深刻地自我評價所開展的控制活動，還要提出改進控制和進一步化解風險的措施，并交上級主管驗證。這種自我評價要規范化和制度化，必要時應實行離崗檢查和交叉檢查的制度。在實際中，這種工作往往被以工作忙、人手少或成本高而忽略掉了。例如把對離任負責人的評審統統推給內審部門進行“離任審計”，不僅加重了內審負擔，而且常使該項工作流于形式。恰恰是疏于自我檢查和評價，造成部分管理人員有章不循，一些基層單位問題成堆。

財會部門應當形成化解風險的第二道防線，財會人員負責行使后臺監督的重要職能。業務的每一項收付和債權債務的發生都會在帳面上反映出來，這本身就是一種監督；會計人員在會計核算中保證這種反映的真實、準確和完整，并有責任以會計資料為依據，控制企業經濟活動按預定計劃目標進行，并報告所發現的違法違規的財務事件；財務主管在會計科目設置、帳務匯總和財務報表分析后也可以發現經營管理活動中的種種問題，促使企業遵守國家法律和政策，加強經濟核算，改善經營管理，完善現代企業制度，提高經濟效益。財會部門不僅要把第一道防線上遺漏掉的大量問題盡力查找出來，而且要從管理會計的角度，在更深層次和更大范圍內（例如在跨部門乃至全單位范圍）發現問題，研究對策，預測風險，并提供信息。

如果認為對內控的檢查評價只是內審部門的工作，上述兩道化解風險的重要防線就會被忽略甚至取消。這一方面會大大削弱各單位防范風險的意識和能力，而且另一方面會因為大大加重內審部門的工作負擔，而必然降低內審工作的質量，提高內審方面的監督成本。

4．內審監察部門對內控的再監督負有極其重要的責任

如果我們把內控的“監督評審”職能視為內控“寶塔”上的最高級的部分，那么內審監察工作就應該處于內控寶塔的尖頂部位。所謂“再監督”就是在前述兩道防線之后的第三道防線，每一個公司都應當設立這一戰線。對于風險較高的金融機構來說，這第三道防線更是必不可少的。其重要性不僅僅在于內審已經變成了最后一道防線。盡管從監督職能的角度來看，內審監察部門的工作量應大大少于經營管理部門的自我監督檢查和財會部門的管理監督，但是，內審監察部門的獨立性和應有的權威性，加上其組織系統的垂直性，賦予了該部門行使對內控進行再監督和再評價的特殊重要的職能。這種重要性主要表現在稽核監察人員在嚴密的計劃和組織之下，能夠獨立地按照法人要求，有選擇地對內控的各方面行使其檢查職能，并能夠將檢查評價結果直接地反映到高級管理層乃至最高級領導人，然后有權督促內審監察建議的落實。

總之，內控不僅首先不是，而且主要不是內審監察部門和人員的責任；內控的檢查評價也主要不是他們的責任；但同時，對內控的再監督又是內審監察部門義不容辭的重要職責。

五、內部控制的國際發展趨勢及其啟示

1．強調高級領導層的控制責任。

首先，董事會充分理解公司的主要風險，正確設定風險的可接受水平；并定期督導高級管理層識別，估量，監督和控制這些風險；確保內控系統的有效性；建立獨立的審計委員會幫助董事會行使這方面的職責。其次，高級管理層負責制定識別，估量，監督和控制風險的程序，通過維護某種組織結構去明確職責、權限和報告關系；確保職責的有效執行；制定有效的內控政策；并監督評審內控的充分性和有效性。

2．大力提倡和營造一種“控制文化”。

一方面董事會和高級管理層負責促進在道德和完整性方面的高標準，并在機構中建立一種文化，向各級人員強調和說明內控的重要性。另一方面企業中的所有員工都需要理解他們在內控程序中的作用，并在程序中充分發揮他們的作用。有效的內控系統的一項實質性內容就是建立強有力的控制文化。

3．企業要充分關注對全部風險的評估。

特別要明確銀行是承擔風險的機構，生產企業也需要不時調整內控，以便恰當地處理任何新的或過去不加控制的風險，并對企業不能夠控制的風險采取正確的防范措施。

4．控制活動已被當作企業日常工作的不可分割的一部分，而不是對經營管理的額外補充。

有效的內控系統能夠迅速采取應變措施，避免不必要的成本；建立適當的控制結構，明確定義各經營級別的控制活動。特別強調適當分離職責；識別和盡力縮小有潛在利益沖突的地方；并遵從謹慎的和獨立的監督評審。

5．高度重視企業的信息與交流。

首先是保證信息的完整性、可靠性和可獲性，并且信息應能夠前后連貫一致。其次是信息系統應受到安全保護和獨立的監督評審，防止突發事件；特別注意有效地控制電子信息系統和信息技術的使用。另外，建立有效的交流渠道，確保相關信息的正確傳達。

6．企業應當注意加強監督評審活動，并強調缺陷的糾正。

企業經營管理人員應經常在日常工作中監督評審企業內控的總體效果和主要風險；對內控制度定期進行獨立、有效和全面的內部審計，并將結果向高級領導層直接報告；及時報告并果斷處理所發現的內控缺陷。

7．對內控制度的評價要成為企業內審監督部門的日常監管工作和現場檢查監督工作。

內審監督部門和外部審計機構應要求企業具有有效的內控制度，充分和有效地化解企業的風險；監督部門應檢查高級領導層的內控態度、內部審計部門的有關工作和外部審計的檢查結果等等，對不合要求的企業采取措施。

六、內部控制的局限性

內部控制雖然重要，但不是萬能的，也有其局限性。企業的內控能合理地確保基本經營目標的實現，但不能把一個本質上很壞的經營者變好。內控能確保財務報告的可靠和合法合規，但不能絕對保證做到這一點，而只能合理保證。此外，內控制度的設計還受到人、財、物等資源的約束。