浅谈企业内部控制体系落地实施
作者：何江娴
来源：《活力》2013年第15期
[摘要]纵观国内外企业的经营运作，内部控制体系已经实施十余年，这一管理机制不仅成为经营管理的基础更是公司抵御风险提高管理水平的有效工具。

随着中国经济的繁荣，市场竞争的日趋激烈，企业内部控制管理如何为公司战略保驾护航，内部控制怎样找准控制范围并避免内控的片面性，如何编写有效的内控实施方案并保证持续的监控等问题已成为企业管理的焦点。

本文针对内部控制所遇到的难点，运用GRC管理理念，探寻具体问题的解决方法。

针对内控实施过程中产生的疑难点进行梳理、分析，希望对国内企业内部控制体系的有效实施有进一步的完善和帮助。

[关键]词]内部控制；GRC；企业运营；风险管理
一、引言
西方企业一直把企业风险和风险管理作为企业关注的头等大事，所以内部控制的重要性显得尤为突出。

国内企业内部控制体系相对于跨国企业明显薄弱。

随着全球内部控制的趋同，我国企业开始了内部控制体系建设的开拓历程。

逐渐经历了一个渐进式的发展道路，从原先用来规范金融机构的内部控制，继而扩展到上市公司的内部控制，最终转变为所有企业的内部控制。

数年来，国家有关部委颁布了众多内部控制的法律法规，用于规范各行各业的职责、指导企业的相关工作，正是由于法律法规的原则性、理论性太强，缺乏操作实用性，导致国内企业难以建立完善的内部控制制度。

在许多中小企业中，往往是一把手说了算，内部控制不能有效实施，即使实施起来也可能因为员工主观上反感或者流于形式而起不到积极作用，阻碍了企业的健康运转和稳定发展。

至此，亟待一种新兴的管理工具出现，运用科学合规的方法进行内控管理，保证企业可持续发展。

正是在这一大环境下，GRC管理理念孕育而生，旨在建立一种安全、高效的管理模式，不仅适应企业内外部环境，而且帮助企业进行合规控制，规避风险，应对评估，全面契合企业战略目标。

二、研究背景
20世纪90年代以来，全球频频发生财务舞弊案件，信息失真一方面使投资者陷于不安全的投资环境，另一方面也引起了资本市场的巨大震动，出现经济的恶性循环。

2002年美国国会通过会计及公司治理的改革法案《萨班斯—奥克斯利法案》（简称“萨班斯法案”）。

该法案的核心条款规定：公司对外披露的年度报告中必须包含一份“企业内部控制报告”。

随后，COSO发布的《企业风险管理—整合框架》界定了内部控制体系的范围并且将内部控制关注点转向风险管理。

SAP公司率先提出内部控制管理理念：公司治理、风险及合规管理（Governance，
Risk&Compliance，以下简称“GRC”），是指企业为满足内部和外部的法定要求和标准，而开展的建立公司治理结构、识别并设计受法规影响的流程、识别及评估风险、设计及实施内部控制系统、监督并改进内部控制系统的有效性等工作。

简言之，即是GRC管理理念更注重以企业管控、风险和法规遵从为对象，使其为决策层和管理层提供内部控制的综合信息和流程支持。

可以说，正是“萨班斯法案”的落地推进了GRC这一理念的迅速扩张，随着政府部门及监管机构逐渐把风险管理推广到企业内部控制建设中，国内很多企业对GRC的认识与过去有了很大不同，特别是很多大型国有企业对GRC的认知程度和接受程度越来越强。

早期的企业战略偏重于公司的业务层面，伴随着业务的扩张以及市场的壮大，很多企业面临着跨区域、跨领域甚至是走出去的战略调整，要想做到长久经营，就需要健全的内部控制体系去评估风险并且找到应对措施，而GRC所包含的三个重点，正如三把利剑，使企业在管理活动中遇到难题时迎刃而解。

三、我国企业内部控制工作的现状及问题
1.内部控制与公司战略相脱节，形同虚设
国有大中型企业或者中小型公司的内部控制体系大多是基于会计流程而构建的，管理思路是从会计工作出发，再到业务流程的监控，主要作用是在运营活动上实施控制，然而公司战略是所有活动的集合，在集合中将自身的资源合理配置后形成独特竞争力而构成的一个完整系统。

显而易见，通常意义的业务运营与公司战略是不对应的，因此这样的内部控制并没有上升到全局的高度，并且在纷繁复杂的业务活动中，很容易沦为一种形式，变得流程化，而失去了本身的意义。

2.企业内部控制实施的范围模糊，实施方案片面
目前财政部发布的《企业内部控制规范》（2010）（以下简称“基本规范”）是针对制造型企业的特征制定的，将其作为指导依据运用到各个行业时，容易忽略了行业的特点，造成内控实施的侧重点偏移，控制范围划分有误，控制点的职责划分不清。

同时，中小企业实施内部控制都是一把手主观上决策的，执行过程是否有漏洞，能否为管理决策提供参考意见等都有待考量。

但毋庸置疑的是，缺乏针对性的内部控制实施方案是片面的，会误导决策的方向或忽视企业运营可能存在的风险，甚至导致内控失败。

3.企业实施内部控制的效果不明显，监控力度不足
内部控制是一个全员参与的工作，缺乏这部分内容的企业文化容易导致员工不积极发挥主观能动性，参与到内控工作中也只是尽到分内职责，出现消极懈怠，缺少沟通使得内部控制的效果大打折扣。

更深入的剖析不难发现，由于公司组织结构的层层设计，使得信息透明度降低，处于控制点上的重要人员可能因为主观原因利用职能权限之便，弱化了控制力。

一旦内部
控制的实施没有真正落地，即使形式上走上正轨，实质上内部控制体系也不能充分发挥监督控制的作用，从而导致企业内控力度不足甚至失效。

四、如何运用GRC解决内部控制的难题
1.战略目标决定内部控制活动的航向
公司战略是企业根据发展的阶段性制定的目标，由于阶段性和发展程度的不同，企业应该在各阶段明确公司治理的重点G，针对工作重点应衡量、评估风险R，与实际情况相结合，因地制宜采用适合的内部控制流程C。

其实GRC包含的内容非常复杂，要想落到实处，必须从公司层、业务层、职能层的战略角度横向出发，并纵向延伸内部控制的关键控制点，在每一个风险节点或不确定环节都建立预警控制，使内控之舟真正沿着战略的航向平稳前行。

2.清晰定位，管控结合
一部基本规范难以覆盖全行业，随着行业个性化发展，各行业的内部控制操作指南正是我们翘首以盼的。

在没有具体指引的当下，各企业不应盲目效仿，而应该结合自身行业特质的业务模式，量体裁衣，找准位置，针对特殊业务模式建立业务流程，才能保证内控真正落地。

以中国海洋石油总公司（下称“中海油”）为例说明。

采油、炼油是重点工艺环节，具有强烈的行业特点，内部控制体系设计思路以日常采、炼油与风险管理有机融合为基础，横向覆盖公司运营的各个环节，纵向延伸至关键业务和关键控制点，这里所说的关键业务即是油品的终端零售环节，与基本规范所适用的行业及控制范围是有差异的。

同时，整个内部控制系统以GRC管理理念贯穿整个流程设计，建立风险库、内控矩阵、法规制度库、业务流程等多种体系管理工具，将风险、内控、制度和流程管理体系进行统一，为中海油风险管理体系的整合管理提供了有力的工具支撑。

3.倡导企业文化，明确层级职能
回顾国内外知名企业的成长历程，有一个共同点是他们都具有深厚的企业文化。

实施内部控制的企业应该在自身的企业文化中注入内部控制文化这一概念，倡导全员参与、全员认同的文化氛围，只有在思想上统一了，才能在行动上配合内控实施的有序开展。

内部控制落地的另一个关键是合规遵从C，即建立明确的管控层级，并明确岗位权限。

《企业内部控制应用指引第1号—组织架构》中指出，企业应当对各机构的职能进行科学合理的分解，确定具体岗位名称、职责和工作要求，明确各个岗位的权限和相互关系，从而才能避免片面、武断的决策行为。

4.监、控结合，公开透明
如今的内部控制已发展到IT化的管理模式，将GRC理念贯穿到软件化的系统中，更是近年来软件开发企业研发的热门领域。

主要利用的是数据搭建模型，形成主要框架，将内部控制系统体系化、分解，并形成更直观的控制方式推介下去。

通常的内部控制体系设计思路是构建内部控制系统的同时，再搭建一个辅助的内部控制管理系统。

内部控制系统针对公司全层面，内控管理系统则是对内控系统的监督，目的在于监控内部控制中的舞弊行为。

很明显，引进第三方的管控软件，可以保证信息沟通的效率及公开化，所有风险控制点都在整个内部控制体系内展现，某一环节出现的控制力弱化将直观的暴露在整个链条中，不再单单是一条制度或者一个报告就可以诠释的工作体系。

另外，外部的监管部门也正逐年加大对企业内部控制的评价范围、评价标准等监管力度，积极促进企业内部控制信息的披露，推动我国内部控制体系的实施和完善。

近年来，我国内部控制体系建设正从“财务报告的内部控制”逐步过度至“基于企业价值的内部控制”，为了使企业的内部控制与日常经营管理有机结合，确保其内部控制体系的建立能够合理保证企业战略、经营、报告、合规等目标的实现，我们企业应该清晰定位，因地制宜，评估风险，找到适用于本企业的内部控制方法。

GRC管理理念的提出，只是内部控制的方法论之一，这一新兴理念虽然已被大多数企业所接受，但由于思考和研究的范围局限，在实际运用中还需要认真的评估及设计，使其真正成为企业内部控制体系建设的“助推器”。

参考文献：
[1]阚相元.《企业治理、风险及合规管理（GRC）的挑战及关键成功因素》，中国冶金报，2011.
[2]《我国企业内部控制规范体系实施情况的调查报告--2012》财政部，2012.
[3]《中国上市公司2012年内部控制白皮书》迪博企业风险管理技术有限公司，2012.□（编辑/穆杨）。