企业内部控制的目标与效率问题的探讨.doc

企业内部控制的目标与效率问题的探讨企业的内部控制是企业管理现代化的必然产物，加强内部控制体系建设是建立现代企业制度的内在要求。为了更好地适应新的社会经济环境，为企业创造经济效益，最大限度地发挥内部控制的作用，要求企业内部必须构建一个科学的，符合企业实际发展的行之有效的内部控制体系。研究我国企业的内部控制体系建设，对于企业防范风险，实现可持续发展，具有非常重要的意义。什么是内部控制内部控制，是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。 内部控制的基本要素 1、内部环境。内部环境，是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。 2、风险评估。风险评估，是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施，是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通，是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查，是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。 内部控制的基本特征英文control，不仅意指控制，还有管理、核实、检验、调节等含意。而汉语中所指的控制，有检讨或检对之意，即检验事物的实际发展，是否符合预期的状况。据此，我们所指的内部控制，并非是有成文规定的具体制度，而是在单位组织规划、管理办法、以及各种作业程序中，应用内部控制原则、技术、方法，以贯彻实施既定政策。因此，它一般应具有以下特征： 1、全面性。即内部控制是对企业组织一切业务活动的全面控制，而不是局部性控制。它不仅要控制考核财务、会计、资产、人事等政策计划执行情况，还要进行各种工作分析和作业研究，并及时提出改善措施。 2、经常性。即内部控制不是阶段性和突击性工作，它涉及各种业务的日常作业与各种管理职能的经常性检查考核。 3、潜在性。即内部控制行为与日常业务与管理活动并不是明显的割裂开来，而是隐藏与融汇在其中。不论采取何种管理方式，执行何种业务，均有潜在的控制意识与控制行为。 4、关联性。即企业的任何内部控制，彼此之间都是相互管联的，一种控制行为成功与否均会影响到另一种控制行为。一种控制行为的建立，均可能会导致另一种控制的加强、减弱或取消。 内部控制的主要作用 内部控制的作用指内部控制的固有功能在实际工作中对企业的生产经营活动及外部社会经济活动所产生的影响和效果。在社会化大生产中，内部控制作为企业生产经营活动的自我调节和自我制约的内在机制，处于企业中枢神经系统的重要位置。企业规模越大、其重要性越显著。可以说，内部控制的健全、实施与否，是单位经营成败的关键。因此，正确的认识内部控制的作用，对于加强企业经营管理，维护财产安全，提高经济效益，具有十分重要的现实意义。具体讲，企业内部控制主要有以下几方面的作用： 1、保证国家的方针、政策和法规在企业内部的贯彻实施。贯彻执行国家的方针、政策和法规，是企业进行合法经营的先决条件。健全完善的内部控制，可以对企业内部的任何部门、任何流转环节进行有效的监督和控制，对所发生的各类问题，都能及时反映，及时纠正，从而有利于保证国家方针政策和法规得到有效的执行。 2、保证会计信息的真实性和准确性。健全的内部控制，可以保证会计信息的采集、归类、记录和汇总过程，从而真实的反映企业的生产经营活动的实际情况，并及时发现和纠正各种错弊，从而保证会计信息的真实性和准确性。 3、有效的防范企业经营风险。在企业的生产经营活动中，企业要达到生存发展的目标，就必须对各类风险进行有效的预防和控制，内部控制作为企业管理的中枢环节，是防范企业风险最为行之有效的一种手段。它通过对企业风险的有效评估，不断的加强对企业经营风险薄弱环节的控制，把企业的各种风险消灭在萌芽之中，是企业风险防范的一种最佳方法。 4、维护财产和资源的安全完整。健全完善的内部控制能够科学有效的监督和制约财产物资的采购、计量、验收等各个环节，从而确保财产物资的安全完整，并能有效的纠正各种损失浪费现象的发生。 5、促进企业的有效经营。健全有效的内部控制，可以利用会计、统计、业务等各部门的制度规划及有关报告，把企业的生产、营销、财务等各部门及其工作结合在一起，从而是各部门密切配合，充分发挥整体的作用，以顺利达到企业的经营目标。同时，由于严密的监督与考核，能真实的反映工作实绩，再配合合理的奖惩制度，便能激发员工的工作热情及潜能，通过工作效率，从而促进整个企业经营效率的提高。 综上所述，在当前我国企业普遍转换经营机制、建立现代企业制度的新形势下，加强和完善企业内部控制，充分发挥企业内部控制的作用，对增强企业对市场经济的适应能力和生存能力就特别重要。 内部控制的一般方法 内部控制的一般方法通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 1、职责分工控制，要求根据企业目标和职能任务，按照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。 企业在确定职责分工过程中，应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括：授权批准、业务经办、会计记录、财产保管、稽核检查等。 2、授权控制，要求企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。 3、审核批准控制，要求企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查，通过签署意见并签字或者盖章，作出批准、不予批准或者其他处理的决定。 4、预算控制，要求企业加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。 5、财产保护控制，要求企业限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。 6、会计系统控制，要求企业根据中华人民共和国会计法、企业会计准则和国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务会计报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务会计报告真实、准确、完整。 7、内部报告控制，要求企业建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务活动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。 内部报告方式通常包括：例行报告、实时报告、专题报告、综合报告等。 8、经济活动分析控制，要求企业综合运用生产、购销、投资、财务等方面的信息，利用因素分析、对比分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。 9、绩效考评控制，要求企业科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束。 10、信息技术控制，要求企业结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运行。 企业内部控制的经营目标企业的核心工作就是就会进行生产经营活动，一切生产经营活动都是为了获得最大的经营收益，为企业为社会创造价值。事实上，如果企业的经营活动效益不佳，经营活动产生的现金流为负数，企业就无法生存，更谈不上发展了。因此，保证企业生产经营活动健康有效运行，促进提高经营的效率和效益，实现企业经营目标，是企业内部控制具体目标之一。经营活动健康运行应是指各项业务活动内容合理合法、符合企业整体业务目标要求和效益大于成本原则，业务风险在可预见的控制范围之内，开办业务活动的手段与方法科学正当、无违法违纪行为，业务活动效果具有可持续发展的效益性和前瞻性，业务活动运行程序明确顺畅、快捷、高效率，业务经办部门及人员责任心强、积极性高等的运行状态，可见，业务活动健康运行这一内控目标涵盖了好多具体的控制目标。这是预防和控制经营管理环节中效率降低的风险和损失。现代企业是一个由多部门、多种管理层次和多个经营环节所组成的经济组织。在这样的经济组织内部，相互之间的沟通和协调变得非常重要。企业内部控制通过对资产使用部门的职能、效率进行控制、评价，促使企业充分发挥各项资产的使用效能，提高资产的使用效率，有效控制成本费用开支，创造尽可能大的经济效益。企业内部控制的管理目标从管理要效益，是企业发展单靠技术拉动向技术和管理共同拉动的必然结果。不可否认，我国企业法人治理结构不健全，决策不科学，组织机构设置不完善，权责利分配不明确，管理水平不高的问题依然存在。因此，促进企业改善管理，提高管理水平，是企业内部控制具体目标之一。企业内部控制应通过健全法人治理结构，不断完善科学决策机制和组织机构，明确权责利分配标准，提示企业整体管理水平。通过内部控制提升管理水平，是内部控制由会计控制向管理控制拓展的必要结果。如果现代意义上的内部控制没有为管理目标，那还时传统意义上基于会计审计目的的内部控制。 建立健全企业内部控制制度是实施企业内部控制的首要的基本内控目标，包括约束制度和激励制度两个基本部分。企业应按照公司法等法律法规的要求，建立健全企业内部控制的规章制度，包括股东会、董事会、监事会、经理及其以下各基层管理和业务经管部门及人员的内控权限、职责义务范围、履行方法及其奖惩内容、办法等各项内容都应以科学合理的制度形式固定下来，尤其是各部门及经办人员的内控目标及具体内容应具体详尽、科学合理适当。 管理制度健全完善是指除内部控制制度之外的其它各项企业管理制度应健全完善，实施企业内部控制除督促企业建立健全企业内部控制制度以外，还应督促企业建立健全与内控制度协调一致的企业内部的各项管理规章制度，并确保这些规章制度贯彻执行。 管理效率真实高效这一目标一方面要求内部控制制度应保证真实反映企业管理效率情况，另一方面要求内部控制制度不能过于繁琐，不讲效率，同时又要保持适度的控制与被控制者之间的博弈空间，以便不断完善内部控制制度。企业内部控制的道德目标企业职业道德完善升华是指在实施企业内部控制的过程中，通过“它控”和“自控”，促使职业人进一步树立并增强正确的职业良心和职业责任感，进而达到职业道德不断完善与升华的一种状态。从某种意义上而言，内部控制的过程，也是职业道德的自律过程。因而，就职业人而言，能够促使其职业道德的不断完善与升华，是实施企业内部控制的最高尚之目标和精神境界。 上述内部控制的具体目标实际上是针对风险发生的环节而对于目标的一种详细分类。在内部控制目标体系中，有必要增加岗位目标这个层次。在企业管理中，这些目标仍然需要分解到各个部门和岗位之后才能够得到落实与实现。而岗位目标就是按照工作岗位设立的目标。这些目标是上述具体目标的进一步细化和具体化。比如，保证资产安全这个目标，需要按照资产在企业内部的流转环节，进一步落实到采购、生产、保管、领用、处置等各个岗位上。 企业内部控制目标上述目标是有层次的，也不是独立的，很多情况下还是相互依赖的，也是相互制衡的。企业内部控制的出发点和归宿主要是控制风险，提高效率、效益是必然的结果。的确，效率和效益目标是企业内部控制的目标之一，但绝对不是核心目标和高层次目标。在现实中，企业把提高效率作为内部控制的根本目标是很难做到的，事实上内部控制与效率大多是矛盾的。我国国有企业运行效率不高是一个突出问题，需要综合治理。基于管理需要的内部控制和基于审计需要的内部控制目标肯定不一致，即使在现阶段，企业基于会计审计需要的内部控制的主要目标还是“查错防弊”。许多国家仍然基于会计信息的可靠性考虑，要求企业必须建立健全的内部控制制度。如1977年美国反国外行贿法就规定，每个企业都应当建立内部控制制度，以保证财务报告的可靠性。PACOB界定与财务报告有关的内部控制审计，其核心目标强调内部控制在财务报告方面的有效性，涉及到财务报表、附注及财务报告的补充材料。现阶段，我国企业信息失真和经营违规仍是突出的风险点，内部控制应该在这些方面发挥更多的作用。现实考虑，内部控制还不宜在为企业战略服务方面下很多功夫，更不应赶时髦，这也不算是落后。我国企业编制的内部控制手册中，大多依据COSO内部控制报告和风险管理框架，把内部控制目标分为企业层面目标和业务层面目标两个方面，再具体分解为实现企业的战略、经营、报告和合规四种类型的目标。简单地把不同企业内部控制目标都确定为战略、经营、报告、合规四个目标是机械地照抄照搬，是没有针对性的。无论怎么说，查错防弊，保证企业会计信息的及时与真实和资产安全完整是内部控制基本目标。也不管，内部控制已经拓展到什么地步，会计控制仍然是基础、是核心，财务信息的可靠性是内部控制的重点目标。当然，查错防弊及时准确是企业内部各管理阶层、各管理部门的控制目标，但是各管理阶层及管理部门的具体查错防弊的具体目标、具体方法及措施却是不尽相同的，如对货币资金收支和保管业务过程中的查错防弊，应有财会部门协助企业管理当局制定相应的授权批准程序、办理货币资金业务的不相容岗位必需分离、相关机构及人员应当相互制约、加强款项收付的稽核等相关的规章制度，各资金使用部门应严格遵守授权与批准程序及权限范围的规定，会计部门及人员应严格履行审查监督职责。 企业内部控制的实践是具体而丰富多彩的，因此，内部控制应具有针对性、可实现的具体目标。在实际工作中，企业内部控制的目标不能固定，因主体、需要的不同而不同。企业的规模、性质和发展阶段等不同，内部控制目标就不同，就是一个企业具体控制活动目标也是不同的，应该是各有侧重的。 企业内部控制在不断地发展变化，其目标肯定也在变化。不变是相对的，变才是绝对的。传统以会计审计为背景的内部控制基本上是以“查错防弊”为主要目的，以保证会计信息可靠。随着社会经济发展，内部控制已应超越传统为会计审计目标设定的内部控制目标。的确，长期以来我国企业内部控制目标的定位，主要在于保证业务活动的有效进行，防错纠弊，会计资料的真实、合法与资产的安全和完整方面。事实上，非会计审计的内部控制目标越来越引起人们的重视。美国COSO发布内部控制报告确定的内部控制目标为：运营目标（经营的效率和效益）、报告目标（财务报告的可靠性）、合规目标（符合适用的法律和法规）。美国的COSO发布的“企业风险管理框架”增加了战略目标。加拿大的COCO报告规定的内控目标是使企业能够可靠地实现其发展目标，美国国家标准及技术协会(NIST)支持的马尔科姆鲍德里奇国家质量奖(MBNQA)评价标准的重点目标强调客户的满意度。企业内部控制的资产目标企业财产物资是企业赖以生存和发展的基础。我国大多数企业财产物资管理不善、利用效率低下的问题一直比较突出。因此，保证企业财产物资的安全、完整、有效，确保企业资产价值和功能不受损失、权属不受侵害，是企业内部控制具体目标之一。这是预防和控制资产管理环节中的风险和损失。企业内部控制应通过制定一套财产物资管理控制程序，通过对涉及财产物资流动的采购、使用、保管等各环节的有效控制，通过制定物资利用奖惩指标和标准，来保证各项财产物资的安全完整，防止各项财产物资发生损失或被侵吞损害，提高财务物资的有效利用，减少不不要的损失和浪费。企业内部控制不仅要关注资产安全、完整，更要关注资产的有效利用。 保证财产安全完整，既是企业财产经管和使用部门及人员的内控目标，又是财会部门的内控职责，还是企业出资者及管理当局的内部控制目标。因为，从会计基本原理来看，企业资产的安全完整包含着资本的安全完整，资产是资本赖以存在的自然形态，资产还是对企业未来经济效益有用的经济资源，实现资本保值增值也有赖于资产的安全完整，它要求企业会计在稳健等会计原则基础上遵循会计职业道德，在尽可能防范和抵御未来资产风险的基础上，从事会计核算及监督工作，在制定各项投资及其它经营决策时要充分考虑投资及其它决策的风险因素。可见，财产安全完整既是自然物质和权力形态的安全完整，更是财产价值形态的安全完整，因此，财产安全完整是企业各部门的共同内控目标和职责。 这里需要说明的是企业还可将资产增值目标单独列出来。企业资产不仅要保值，还应增值，这是投资人和主管机构对企业的基本要求，也是衡量企业运营是否有效的基本指标。在我国，国有资产流失严重，企业保值增值的任务仍然很艰巨。因此，我国企业，尤其是国有企业应该把促进企业资产保值增值作为内部控制的一个独立目标。企业内部控制应通过制定一系列的通过制定企业资产保值增值管理制度、指标、标准、管理控制程序，通过资产检查、评估、评价等环节的进行有效控制，来促进企业确实加强资产管理，确保企业资产不仅保值，而且还应增值。企业内部控制的信息目标信息，尤其是会计信息很重要，这一点不可质疑。信息不及时、不真实、不可靠，一直也是我国企业存在的具有普遍性的问题。因此，保证企业会计信息及其它信息的的及时、真实、可靠，确保内部报告和外部报告的真实可靠，尤其是对外财务报告，是企业内部控制具体目标之一。这是预防和控制信息披露环节的风险及由此而带来的损失。由于在经济业务过程中采取了程序控制、手续控制和凭证编号、复核、核对等措施，内部控制可以使经济业务和会计处理得以相互联系、相互制约，做到内部相互监督，从而防止错误的发生。企业内部控制应通过对生产经营活动中每一具体环节的业务手续和凭证流转等业务处理程序进行设计，保证业务记录的可靠性；通过对会计确认、计量、记录和报告等一系列会计处理程方法的规范，保证会计记录和财务报告这些财务会计信息的真实可靠。企业内部控制在重点关注的会计信息的及时、真实、可靠的基础上，也应开始关注企业其它信息的及时、真实、可靠。企业报告很多，重点是对外财务报告、管理层报告、内部管理报告、业务统计信息等。企业内部控制的遵循目标遵守国家法律、法规，执行各项规章制度是企业健康持续发展的关键，而违法、违章经营，执行不力，是我国企业不能防御各种风险的关键因素。因此，保障企业经营活动合规、合法，保证法律法规和规章制度的遵照执行，是企业内部控制具体目标之一。这是预防和控制违法违规的风险和损失。企业的经济活动涉及各个方面的经济利益，经济交易实质上就是利益的交换。因此，为了维护正常的交易秩序，防止交易关系人出于自我利益的考虑而不适当地损害其他人的利益，同时也为了降低整个社会的经济运行成本，国家有关部门都制定了相应的法规、制度、条例等，以便对有关经济行为加以管理与规范。内部控制实际上就是保证有关法规制度得到实行的一个制度安排。企业内部控制应通过各种形式的法制宣传教育，通过加大对法规制度遵循情况的检查力度等，来增强企业全体员工的法制观念，提高执行力。企业内部控制在关注遵循国家法律法规的同时，应开始关注遵循企业内部各种规章制度的情况。对我国大多数企业来，企业内部控制应该由重点制定各项规章制度向重点监督检查各项规章制度的执行转变，确实提高执行力。这是现阶段，我国企业内部控制方向，也是内部控制能否确实发挥作用的关键。企业内部控制的内涵、作用及基本方式（一）企业内部控制的内涵内部控制是一个动态的概念，其内涵是在不断发展变化的，目前最普遍的提法是指企业及员工实施的权责明确、制衡有力的动态管理过程，是指企业为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的一系列政策、措施及程序。广义的内部控制就是指一个企业的内部管理控制系统，包括为保证企业正常经营所采取的一系列必要的管理措施。它的主要作用是确保资产的安全完整和会计信息的真实准确，以及确保国家有关法律、法规和企业内部各项规章制度的贯彻执行。（二）企业内部控制的作用企业实施内部控制的主要作用有：建立现代企业制度，强化内部管理，提高经济效益；解决会计信息失真；防范财务风险。内部控制是现代企业管理的重要组成部分，对确保企业各项工作的正常进行、促进企业经营管理效率的提高及建立现代企业制度有着非常重要的作用。现代企业的经营成功，离不开内部各个部门的通力合作，内部控制正是基于这一点，利用会计、统计、业务、审计等部门的制度规划及有关报告等作为基本工具，以实现企业统合与控制的双重功效。企业实施内部控制，应当建立规范的对外投资决策和程序，通过重大投资决策集体审议联签责任制度，加强投资项目立项、评估、实施及投资处理等环节的会计控制，以防范投资风险。（三）企业内部控制的基本方式企业内部控制的基本方式主要有：组织规划控制、授权批准控制、预算控制、实物控制、成本控制、风险控制和审计控制。组织规划控制是指企业根据经济活动的需要而分设不同的部门和机构，其组织机构的设置和职责分工应体现相互控制的要求。授权批准控制是指对单位内部部门或职员处理经济业务的权限控制。授权批准控制可以保证单位既定方针的执行和限制滥用职权。预算控制是内部控制的一个重要方面，包括筹资、融资、采购、生产、销售、投资、管理等经营活动的全过程。对企业各项经济业务编制详细的预算和计划，并通过授权，由有关部门对预算或计划的执行情况进行控制。实物资产控制是对单位实物资产安全采取的控制措施。包括对企业现金、银行存款、有价证券和存货等定期进行实物资产清查，还包括对实物资产的采购、保管、发货及销售全过程进行控制。风险控制就是尽可能地防止和避免出现不利的结果，包括一般可分为经营风险控制和财务风险控制，这是企业内部控制的重要环节。审计控制主要是指内部审计，内部审计是对会计的控制和再监督，内部审计的内容十分广泛，一般包括内部财务审计和内部经营管理审计。内部审计对会计资料的监督、审查，不仅是内部控制的有效手段，也是保证会计资料真实、完整的重要措施。企业内部控制存在的问题我国企业由于受到思维模式、基础条件和文化观念的限制，企业的内部控制仍然存在着企业部门分割，内控体系整体性差；片面强调内部控制却忽视内部控制的经营性目标；企业内部控制的执行力较差等问题和缺陷。（一）企业部门分割，内部控制整体性差我国企业目前内控主要由审计部门、财务部门主导，部分企业还设有风险管理部门，带有部门色彩的内部控制的制定、主体内容和方式造成内部控制缺乏整体性，各部门从部门立场出发制定职责，缺少整体性，对内部控制的现实性、可操作性造成不利影响。主要表现在以下方面：审计部门把对业务和风险的核查监督作为职责，使审计部门主导的内部控制是一种事后评价和核查，不可避免背离了全面内部控制的初衷，暴露出缺乏事前和事中控制的缺陷。财务部门的职责使内部控制偏重于运营效率风险和财务效果的反映，而较少地关注业务过程本身的业务属性，造成内控体系对业务的影响和冲突，有时还会导致与营运效果相背离。（二）内部控制目标忽略运营的效率企业内部控制的最终目标是为了更好地实现最大化的企业利益，企业利益不仅包括企业的会计系统控制，还需要保证管理的合法合规性、经营的效率和效果。这就需要涉及详细分析企业经营过程，应在内部控制中增加非财务目标控制。主要的控制手段是进行风险评估，采用风险评估手段识别和分析企业内部的控制环节可以事前将经营管理风险(含财务管理风险)控制在最小程度，即哪个环节控制风险最大哪个环节就是要加强的关键控制点，不论其是否会对企业的会计系统产生影响。我国上市公司普遍缺乏有效的风险管理机制，对市场缺少充分分析和缺少风险意识，忽视经营风险而片面追求财务杠杆的运用，风险控制失效，致使公司经营战略的及时调整受到严重影响。（三）内部审计的职能未能有效发挥内部控制不仅是一种过程和实践，而且也是一种内部控制制度，必须具备激励机制、约束机制和协调机制。用以协调所有者、管理者、广大雇员的既定利益和制衡公司内部各种权利，使他们有效地履行他们应承担的职责。所以，必须对整个内部控制的过程施以恰当的监督，在必要时还要通过监督活动对其加以修正。我国企业目前内部审计存在一定的行政命令色彩，其工作范围大大受到限制，内部审计制度不健全，业务不规范，组建起来的内部审计组织未能充分发挥作用。第一，有的外部监督，如会计师事务所的执业环境不规范、业务竞争不正当以及对注册会计师本身监督不力，使得其没有发挥出来应有的监督作用。第二，有的监督行为不按照既定的目标实行，对内部控制问题更是不报告、不追究，有些甚至以增收创效和平衡预算为目的，监督弱化问题较为严重，内部审计结果并不能客观地反映真实情况，内控系统形同虚设。第三，各部门监督的监督效果功能有较多交叉部分、标准也不统一，管理较分散、有效的沟通也较缺乏，监督合力难以形成。在没有有效控制、考核的内部控制情况下，内部控制很难发挥出应有的作用。企业内部控制体系建设企业内部控制体系的构建是一项复杂的系统工程。企业只有建立了严格规范的内部控制体系，对重大决策和重要经济事项的职责形成相互制约、相互监督和相互分离的机制，才能做到科学管理，防范风险、提高经济效益。（一）企业内部控制体系建设框架我国企业内部控制体系框架的基本内容应包括目标、责任主体、建设主线、基本原则和保障措施。内部控制的目标主要包括运营效率和效果、资产安全、经营合法、报告可靠等。内部控制建设需要董事会、监事会、管理层和全体员工多个主体的参与，其中股东和管理层是其中最主要的责任主体，原因是主要管理层作为受托代理人对企业的掌控高于除董事会的其他主体，有义务和责任建立和维护内部控制体系。内部控制的建设主线包括治理结构、财务控制、业务控制。治理结构是内部控制建设的基础，是内部控制的重要组成部分。治理结构分为硬结构和软结构两个层面。硬结构包括董事会、监事会的构成和运行机制、组织结构设置、议事规则等。软结构指企业文化、人力资源政策、员工道德水平等。财务控制通过对财务管理权力的分配体系、资金管理、资产管理等手段实现。在财务控制建设过程中，财务分析是重要工作之一。业务控制是财务控制的延伸，应从财务的角度界定业务的控制点和控制方法，并以流程、政策的方式将关键控制点加入到业务活动中。控制和效率是一对矛盾体。程序简洁可以使流程缩短使决策过程简便，这可以使效率提高，但是可能就会有疏漏。如果授权高，决策点分散，决策的可控程度就低。为解决这一矛盾，就要使效率和控制通过一系列的支撑体系和监督体系的设置达到统一，为此企业内部控制应遵循基本原则，即强支撑、短流程、高授权、大监督，保障内部控制的效率与效果目标。3（二）企业内部控制体系建设基本原则我国企业内部控制体系的基本内容应包括合法性原则、可操作性原则、全员性原则、全面性原则和适应性原则。合法性原则是建立内部控制中最根本的原则和基本前提。企业建立的内部控制体系应当是在国家宏观控制和指导下进行，并且与宏观控制制度协调一致。应当符合国家有关法律、法规的要求，满足政府监管部门的监管要求，应当符合企业集团和本企业制定的管理制度要求。可操作性原则是指根据企业的实际情况不同，内部控制的重点也不同，只有符合自身特点的内部控制体系和按照企业实际情况实施的内部控制才具有充分的可操作性，才能真正实现其目标。可操作性原则要求内部控制体系的构建除了要符合法律法规要求外，应当还要结合企业业务和管理实际情况，因地制宜地进行风险管理体系建设。全员性原则是指内部控制涉及企业内部的全体人员，对全体人员有广泛的约束力。企业任何人都必须无条件遵循和贯彻执行这一制度，任何人无权游离于内部控制之外或凌驾于其上。企业内部每名员工既是内部控制的主体，也是内部控制的客体。企业每名员工既对所负责的业务实施控制，也受到其他人员或制度的监督与制约。充分调动每个部门，每名员工的主动性和积极性是做好内部控制的关键。全面性原则是指企业构建内部控制体系时要综合考虑实际情况，制定出包括企业经济活动各个环节全面的内部控制制度，找出各经济业务处理过程中的关键控制点，将内部控制制度落实到企业的决策、执行、监督和反馈等各环节，保证经济活动的顺利开展。它不仅包括企业最高管理层用来进行授权和指挥，从事经济活动的各种方法，还包括为企业经济活动进行经济决策分析、计划、控制和评价而制定或设置的各种规章制度。适应性是指要使内部控制体系的构建真正发挥积极作用，企业内部控制体系的建设必须随着外部环境的变化而不断发展变化，根据企业业务职能的调整和管理要求的提高不断修订和完善。企业要想获得生存和发展，必须适应外部环境的变化。内部控制的构建和修订应该具有前瞻性，必须随着国家法律法规、政策、制度等外部环境的改变以及企业业务职能的调整、管理要求的提高、经营方针等内部环境的变化不断地及时地进行修订和完善。4（三）企业内部控制体系设计我国企业内部控制体系的设计应包括构建风险管理机制、设定良性的控制活动、建立广泛的信息与交流等方面内容。构建风险管理机制，企业必须对内分析自身的优势与劣势、长处与短处，对外分析外界的机会和威胁，考虑自己的生存和机遇。风险分析不仅要贯彻在公司战略目标的制定过程中，而且也贯穿在公司日常的内部控制过程中。构筑灵敏的信息系统与监控系统，对不利事件及主要风险因素进行识别、分类、评估和控制，当内部因素及外部因素发生变化时，能及时调整和应变。管理层应向董事会保证采用风险评估程序，执行必要的风险评估，董事会要通过审计委员会等对管理层的报告进行审核，公司的风险管理必须贯穿并渗透于公司控制的全过程。控制活动是确保管理层的指令得以实现的政策和程序。控制活动出现在整个企业内的各个阶层与各种职能部门，涉及的控制对象包括人、财、物等各个方面及供、产、销等各个环节，而控制措施是针对各关键控制点而制定的，因此，企业在制定控制活动时关键就是要抓住关键控制点。信息与交流，就是向企业内各级主管部门（人员）、其他相关人员，以及企业外的有关部门（人员）及时提供信息，通过信息交流，使企业内部的员工能够清楚地了解企业的内部控制制度，知道其所承担的责任，并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。在信息方面，要注意内部信息和外部信息的搜集和整理；在交流方面也要注意内部和外部信息的交流渠道和方式；在信息技术的发展中注意控制信息系统。5企业内部控制现状在我国，银行系统是最早统一实行内部控制制度的部门，但现实情况却是银行也是携款外逃、挪用公款或将巨额资金调到国外进行赌博和挥霍最集中的行业；一些企业包括上市公司虽然规模较大、内部控制制度相对健全，但是同样也存在着利用改制、改组、拍卖、租赁、担保等手段侵吞企业资产、中饱私囊等现象，以及制造虚假会计信息、到国外办理“投资移民”、损害中小股东利益等行为。上市公司被认为是公众型公司，也被认为是质量最好的公司群体，而近年来，我国上市公司内部控制的问题可以说是层出不穷，银广夏、海鑫钢铁、亿安科技、春都、“德隆航母”等造假黑幕案件及伊利股份、创维数码、四川长虹、中航油等内部控制失败案件，还有众多的“高管失踪”事件，使得上市公司被称为“圈钱运动者”，会计师和注册会计师则被称为“造假师”。此外，仅2003年，证监会就查处了近10家证券公司。上述种种现象的存在和频繁发生，与内部控制的目标及要求显然是背道而驰的。这不得不使我们对内部控制制度的效果产生疑问和反思：现有的内部控制制度能否实现其预定的控制目标呢？我国企业内部控制失效的原因（一）公司治理结构不完善在我国现阶段，公司法人治理结构不完善，甚至有形无实。具体表现为：产权不明晰。由于国有控股上市公司由国有企业改制而成，原国有企业的高级管理人员由上级主管部门的委派成为公司的董事或经理人员，并且上市公司董事长与总经理两职合一的现象也屡见不鲜。大量国有企业的国有产权所有者不明确，出现国有企业所有者缺位现象，这种现象客观上造成企业所有者无法落到实处，所有者权利没有人享有，责任和义务也无人来承担，加强内部控制的受益主体不明确。这种责权不分的公司治理结构，导致所有者对经营者不能实施控制，作为代表公司股东控制主体的董事会也就形同虚设，没有人以所有者的身份对企业经营者进行监督。股权结构失衡。由于我国上市公司大多数由国家或国有企业法人控股，股权过于集中，“一股独大”，以国有投资主体为代表的内部人（大股东和经理层）控制现象严重。据有关调查表明，上市公司的董事会成员中，100%为内部董事的公司占有效样本数的22.1%，50%以上为内部董事的公司占有效样本数的78.2%，董事长和总经理一人兼任的公司占总样本的47.7%，许多公司的内部人集所有权、决策权、执行权、监督权于一身。股东监控企业要权衡监控的成本与收益，由于大股东和小股东付出的监控成本基本一致，而前者获得的收益远远大于后者，小股东的理性选择就是放弃监控权而采取“搭便车”的行为。股权集中度与内部控制效果成正比，股权过于集中则会导致治理结构失衡，缺乏对大股东的制约，相应的内部控制也就流于形式。如我国有的上市公司的控股股东将子公司视为“提款机”，子公司貌似详细的内部控制根本无法得到执行。（二）内部控制制度与公司治理结构脱节不可否认，内部控制有其不可替代的作用，而且在未来也仍然将是企业生产经营管理中需要建立的最基本的管理制度之一。但是应该看到其也存在着局限性，仅仅依靠它很难达到预定的管理目标。因为按照COSO报告所提供的内部控制概念的解释及其制度标准，内部控制的控制点主要集中在会计核算系统（财务部门）和企业的业务执行系统（供、产、销部门），对企业的决策系统（董事会和总经理）的影响力很有限。虽然该报告把董事会和内部控制联系起来，但是这种联系仅仅局限于某些事情需要董事长的授权，至于主要的控制程序还是限定在CEO之下（张安明，2002），这说明内部控制的控制域存在着盲控区或弱控区，不能完全覆盖所有的虚假信息和经济舞弊行为，尤其是无法从源头上杜绝这些行为的发生。（三）内部控制的缺陷以局部目标代替内部控制的根本目标。1992年，COSO报告对内部控制的定义是：“内部控制是一个受董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效率与效果、财务报告的可靠性、法律法规的遵循性。”也就是说在内部控制整体框架中，内部控制有三个目标：经营的效率与效果、财务报告的可靠性、法律法规的遵循性。在我国，财政部发布的内部会计控制规范基本规范基本上奠定了我国的内部控制体系的基本框架。该规范的基本目标包括：规范单位会计行为，保证会计数据真实、完整；堵塞漏洞，消除隐患，防止并及时发现、纠正错误及舞弊行为，保护单位资产的安全、完整；确保国家法律法规和单位内部规章制度的贯彻执行。不难发现，基本规范并没有将经营的效率与效果包含在内，而只是会计系统的目标。基本规范的目标表明：它所设的内部控制是为国家或主要是为社会服务的，而不是以企业健康的可持续发展为定位出发点，它忽视了企业的真正需要提高经营的效率与效果，而代之以政策的要求。为什么外国的内部控制报告可以改进内部控制，而我国的内部控制报告却流于形式，出发点的不同恐怕是最根本的原因。作为组织内的一部分，内部控制体系必须为公司增加价值，否则就没有存在的必要，因为它漠视了企业追求利润的根本目标。重视内部控制的建立而轻视其执行。目前对内部控制的评价主要是通过审计来进行的。然而，无论是传统审计、制度基础审计还是风险导向审计都是一种事后评价，其目的是了解、测试和评价内部控制设计的合理性和运行的有效性。也就是说，审计导向下的内部控制可能和企业的业务活动发生分离，分离的后果将导致评价的对象是企业的程序文件、资料和作业结果，而不是具体的业务活动。所以，评价其实是一种“倒推法”，它会导致企业为应付评价而重流程、轻执行。如中航油公司聘请国际四大会计师事务所之一的安永会计师事务所为其制定了一套完美的内部控制制度风险管理手册，在该手册中规定：损失超过50万美元，必须报告董事会，并立即采取止损措施等。然而在陈久霖处理期货头寸的过程中，这些规定的流程成为形式，设定的风险管理体系并没有发挥任何作用。内部控制缺乏执行主体。企业从本质上讲是一个特殊的“人类社区”，但我国现行的内部控制体系却忽视了这个重要的因素。COSO报告明确指出了内部控制的实施主体是“董事会、经理层和其他员工”，而我国的基本规范没有指出具体的实施主体，只是在“第五条”提到“单位负责人对本单位内部会计控制的建立健全及有效实施负责”，似乎会计人员是内部控制的当然人员，这很容易给员工造成“只有会计人员才需要懂内部控制”或“只有老总才负责”的错觉，最终导致内部控制制度缺乏执行主体，责任模糊，流于形式。（四）惩罚机制弱化制度是靠人去执行的，而人又都是经济人，搭便车和机会主义行为是经济人行为的两大特征，个人为了私利而行动是人类行为的基本前提。人类创造了制度来限制经济人搭便车和机会主义行为，激发人类做出利于主体的行为。内部控制制度和其他一切制度一样，依赖于严格的惩罚机制才能得以有效的贯彻执行，否则内部控制制度就可能流于形式。我国许多上市公司虽然内部控制的各种制度和措施非常齐全，却仍然大量的存在会计信息严重失真、管理者贪污腐化的现象；订立的内部控制制度仅仅是一种摆设，有其形无其实，失去了应有的刚性和严肃性。注册会计师在对企业内部控制制度进行测试，认为健全、有效后，根据独立审计准则进行审计仍然面临很大的风险。如在中航油事件中，中航油（新加坡）股份有限公司总裁陈久霖在给公司造成5.54亿美元的损失后，仍然可领取年薪和奖金，这已经能说明一些问题。提高企业内部控制效率与效果的措施（一）进行产权改革并优化股权结构产权改革，就是要界定产权，明确产权，改变国有企业投资主体缺位的现象；健全和完善法人治理结构，按现代企业制度的要求，使董事会、监事会、总经理各司其职，尽量杜绝董事长和总经理由一人担任的情况发生，建立两者之间的权利制衡关系；实行独立董事制度，对现有董事会结构进行调整，增加外部董事的数量，特别是专业知识扎实、工作经验丰富且有独立判断能力的独立董事，充分发挥其监督、制衡和决策的作用。优化股权结构，就是要降低国有股的比重，提高法人股和流通股的比重。目前正在进行的股权分置改革，就是为了改变“一股独大”的状况。由于个人投资者一般不愿意进行直接监督，所以应培育机构投资者，并且国家应创造条件，给予政策、法律方面的支持以设法提高机构投资者持股比例。同时要进行制度创新，创造有效的激励与约束机制，促进机构投资者加强自身的治理并积极参与对投资公司的经营监督。还可以考虑将银行作为机构投资者进入股东会，银行可以利用贷款和企业在银行开设的帐户及时了解企业的经营状况，拥有监督上的信息优势和便利条件。（二）建立内部控制制度与公司治理结构相关联的结构在公司制企业的管理上，公司治理结构的设计和内部控制的设计需要一并考虑。建立公司治理结构和内部控制制度相互关联的共时结构，既是提高内部控制效果的根本途径，也是提高公司治理效率的有效手段。否则，如果公司治理结构和内部控制制度内容上缺乏关联，或时间上相互滞后，都会使公司治理和内部控制的目标落空。内部控制制度与公司治理结构的关联结构有如下特点：实现公司治理结构与内部控制的有效链接，即把两者结合在一起进行控制；全空域、分层级控制，在公司中建立上能至顶、下能到底、左右到边的全空域控制与激励系统。在公司治理结构的框架内解决对董事会和总经理的控制、监督和激励；通过委托代理合约实现公司控制权的转移；通过工资合约、收入分配合约对受托者进行激励；通过股东大会、监事会实现对董事会和总经理的监督与控制。上述控制主要是围绕决策权进行的，目的是保证公司决策权行使的合理性和效率，抑制受托者在决策程序中的机会主义动机，避免出现决策失误，防范那些损害股东及企业相关者利益的方案出现。在内部控制的框架下解决对总经理以下的业务执行部门和岗位的控制和激励问题。通过公司内部的岗位设置、人员配备、工作程序和行为手册的制订，解决业务执行系统中存在的机会主义行为。这种控制是围绕着执行权展开的，其直接目的有两个：一是保证董事会的决策能得到彻底地贯彻执行；二是通过不相容岗位的分离：审批与执行、检查与记录、复核与盘点等方法防范业务执行过程中可能存在的损害企业资产安全、信息真实性和经济效益的行为发生。建立全覆盖式连贯一体的监督链，即建立股东大会、监事会（其他利益关系人相机参与）董事会总经理部门经理岗位负责人业务执行人自上而下、从外到里的监督链，实现对不良行为的全过程监管。（三）建立完善的内部控制体系建立以风险为导向的内部控制制度。2003年7月，COSO委员会发布了企业风险管理框架文稿，总结了COSO十年来的成果，将内部控制纳入风险管理，并视为企业管理过程的重要组成部分。与原COSO报告相比，它考虑了企业战略管理的重要性，为内部控制设定了四大目标：战略目标、经营目标、报告目标和遵循目标，并认为企业风险管理由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通和监控等八大要素组成。除了将控制环境进一步明确为内部环境外，新增的目标制定、事项识别和风险反应等三要素则更加突出地体现了内部控制在战略管理和风险管理等方面的趋势。风险导向的内部控制将迎合企业的最新需求，从而使企业乐于采纳。只有当企业有了真正的动力以后，内部控制制度的实施才能变得富有效率和效果，才能为企业的可持续发展从战略层面上贡献力量。把“以人为本”作为提高内部控制效率的核心。关注组织中人的行为，其实就是在了解企业的行为特征。内部控制自然不应忽视这一因素，因为人的能力、道德水平直接影响着企业内部控制的实施效率。尽管不同层次的员工的影响力不同，但我们并不能确定哪些影响力大，哪些影响力小，因为这些并不能明确区分。一个有能力且讲道德的人，可以大大节约企业内委托代理关系中的监督成本，而低的监督成本与高的内部控制效率是正相关的。所以，首先对董事会、管理人员和一般员工进行教育、培训，打造坚实的关于人的控制环境是获得内部控制高绩效的先决条件。（四）实行严格的问责制问责制就是在某项经济活动中针对相应的权力明确相应的责任。有权力就应有相对应的责任，并对相应的责任履行进行严格的科学考核，及时察觉失责行为，依据相应的失责度量对当事人的追究和惩罚，靠“问”的制度化来保证“权责对等”实现的一种机制。内部控制制度中建立严格科学的问责制，对失责进行惩罚，并严格执行，可以增加内部经济活动各方逃避义务的风险，增强各方互利合作的可能和绩效，促使内部控制制度的有效实施。问责制作为一种惩罚机制是保障内部控制制度有效实施的基石，应对内部控制中涉及的所有岗位和责任人（包括总经理、总裁等）都要明确责任和问责机制，这样必将提高公司领导对内部控制的重视程度，提高内部控制制度落实的深度、广度和效度。结束语企业内部控制是提高企业运营效率与效果，保障企业依法经营、会计信息真实可靠、资产安全完整的活动，是现代企业制度的根本要求。随着社会生产力的发展和科学技术的进步，全球经济一体化的进程加速，企业之间的竞争越来越激烈，所面临的风险也逐渐加大。企业为了减少经营风险，在激烈的竞争中立于不败之地，必须加强约束、规范企业管理行为，完善内部控制体系，从而有利于资产安全、完整，保证经营成果与财务状况真实、可靠，提高经营管理的效率和经济效益。