摘要：内部控制一直是当前理论界和实务界最为关注的话题之一，强化企业的内部控制已经成为发达国家公司治理的重要手段。文章分析了企业内部控制理论的演进过程和发展方向，论述了目前我国企业内部控制存在的问题和信息化环境下企业内部控制呈现的新特点，探讨了新时期内部控制系统设计的策略。
　　关键词：内部控制；信息技术；控制评估
　　中图分类号：Ｆ272文献标识码：Ａ文章编号：1003－854Ｘ（2007）03－0042－02
　　
　　长期以来，内部控制一直是当前理论界和实务界最为关注的话题之一，加强内部控制制度建设已成为建立现代企业制度的内在要求。毫不夸张地说，没有系统具体而有效的内部控制，企业治理将成为一纸空文。内部控制，作为一个专用名词和完整概念，直到 20 世纪 90 年代才被人们提出、认识和接受。目前一些企业特别是有些国有企业对内部控制的认识存在两种倾向值得注意：一是一部分人认为只要能够规范化操作就行了，不必考虑是否先进。二是片面强调改革组织结构的重要性，忽视了控制方式的跟进和强化，这就使公司的改革同微观治理机制相脱离。随着科学与技术突飞猛进，经济全球化、虚拟化、信息化进程的加快，企业面临的机遇与风险剧增，对企业内部控制提出了新要求，如何应对新的挑战，完善企业内部控制制度建设，已经成为企业不容回避的问题。
　　一是不断探索内部控制理论上的创新。现代内部控制不能局限于会计口径，更不能仅满足于审计视野，要使全社会关心组织内部控制制度建设并督促实施，使内部控制真正成为公司的一种基础性制度。内部控制理论必须首先打破局限于会计与审计领域的传统认识，把内部控制在理论与方法上从审计范畴中解放出来，从整个社会与组织运行高度来重新审视内部控制原理，通过理论创新来推动内部控制的不断完善与发展。
　　二是完善企业的控制环境。控制环境中的要素很多，有价值观、组织结构、控制目标、员工能力、激励与诱导机制、管理哲学与经营风格、规章制度和人事政策等等。这些要素对于企业来说，不是短时间内就能改变或形成的。要改善企业内部控制环境，要做好如下工作：（1）加快现代企业产权制度改革。真正实现产权明晰、权责清楚、管理科学、政企分开的现代企业制度，从产权制度上保证内部控制制度有效建立。（2）要有明确的内部控制主体和控制目标。控制主体解决了由谁进行内部控制的问题，而控制目标则解决了为什么要进行控制的问题。科学的企业组织结构在企业内部应包含四个层次的经济主体，相应地，企业内部也有四种控制主体，即股东、经营者、管理者和普通员工，有各自的控制目标：股东的目标是财富最大化；经营者的目标是不断增加经营效益；管理者的目标是完成责任目标、获得业务运行的真实报告；普通员工的目标是遵从企业的内部规章制度，不断提高企业的生产经营效率。（3）注重企业文化的培养与优化。由于文化本身所具有的特性（无形性、软约束性、相对稳定性和连续性），使企业文化始终以一种不可抗拒的方式影响着企业，不可避免地影响着企业的内部控制。我国企业在培养自身的文化时，应避免一种只注重内部和短期的企业文化，而应基于企业实际建立一套员工普遍接受的企业文化，使员工真正从内心深处“心系企业”，产生一种凝聚力，这样才能建立牢固的内控体系根基。（4）增强组织的灵活与精干。要尽量减少管理层次，控制管理幅度，提倡一岗多编，一专多能，使组织机构变扁、变瘦，以利于提高组织效率，降低费用开支。要增强组织对市场、环境变化的灵敏度，提高组织的可塑性。团队式组织结构和单项环型组织结构以及虚拟公司的出现和有效运作，都可以作为借鉴。（5）加强人力资源管理。人是设计和实施内部控制的主体，现代企业应该以人为本，加强对人力资源的管理。在信息化环境下，不仅对有关人员的知识、技能有了新的要求，而且在道德标准、工作态度上有了更高的要求。建立定期评价、岗位轮换、在职培训制度，定期对工作人员的表现、成绩和问题进行考核，以提高工作人员的技能水平，作业岗位权责分派应最大限度地发挥每个员工的主观能动性和潜能。
　　三是进行全面的风险评估，建立危机管理机制。按成本效益原则，重点需要对那些风险水平较高的可控因素实施控制。以工作目标为风险评估的起点，找出控制环境诸要素中可能导致工作目标不能如期实现的关键控制点，通过对其风险程度的评估，并采取科学控制风险的措施，积极有效地加以控制，从而保证其工作目标的实现。风险管理是企业的管理层和所有员工的基本责任，因此，企业各个阶层都要树立风险防范意识，要加强对相关工作人员进行风险防范知识培训，通过相关知识的培训与具体实例相结合，促进员工牢固树立风险防范意识。同时，应建立危机管理系统提高企业应对突发事件的能力，为风险控制系统提供强有力的支持。
　　四是确保有效的控制活动。（1）针对人员的控制。在会计信息化环境下，企业组织的权责范围遵循以流程为核心的原则，各部门之间实行职责相分离。信息系统的建立导致了一些新的职能工作，这些工作的分工安排，同样应遵循内部控制中的内部牵制原则。实行票据保管、收款与会计记录人员的岗位分离；数据、文件的保管工作应独立设置，这样可以防止越权存取、使用数据或文件。各部门通过定期举行绩效考评会议，作为对其工作目标完成情况的事后控制，不仅可以总结一定时期的工作成果，同时也是发现问题、改进工作的过程。通过绩效考评，配合一些必要的奖惩措施，将部门的工作目标与个人工作目标紧密地联系在一起。（2）针对信息系统的控制活动。企业信息化系统使用过程应进行操作权限与操作规程控制、信息安全与数据处理流程控制，作业岗位的人员只能按照所授予的权限接触和操作系统，并通过对每个用户进行系统功能的授权来落实其责任和权限，把计算机用户对信息的读入或修改控制在一定的级别范围之内，进行身份认证，设置系统管理员和其他用户的权限，禁止非法操作人员进行操作。对系统软件必须先进行严格的检查与测试，查看该软件是否具有容错和纠错的能力，确定该软件的合格性和合规性，纠正隐含在软件内的程序处理逻辑错误与计算错误；数据输入过程中进行岗位分工，输入后进行数据核对。 　　五是建立良好的信息系统，加强信息流动与沟通。管理要纳入信息系统的规范运作，先进的管理思想应该不断融入信息系统中。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项及环境等有关的信息。要建立一个广泛而有效的信息与交流系统，应该遵循以下原则：（1）一个有效的内控系统需要充分的和全面的内部财务、经营等方面的数据，以及关于外部市场中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获，并能以前后一致的形式规范地提供使用。（2）有效的内控需要建立可靠的信息系统，涵盖公司的全部重要活动。（3）有效的内控系统需要有效的交流渠道，确保所有员工充分理解和坚持现行的政策和程序，影响他们的职责，并确保其他的相关信息传达到应被传达到的人员。
　　六是加强内部控制的监督与评估。（1）建立相应的问责制。我国企业普遍存在的问题是内控制度制定时看起来十分完备，但出现问题时，就不知道找谁负责。所以，必须使责任清晰地落实到个人，各个环节有什么样的风险，不同级别人员有多大的权限，都非常清晰，一旦出现问题，就可以很清晰地判断是哪个环节出了问题，并通过对相关责任人执行考核，形成内部控制实施效果的评价反馈，从而保障内部控制制度的正常运行。（2）增强内部审计的独立性和权威性。建议企业都成立隶属于最高领导的综合管理部门，以保证内部审计的独立性和权威性。同时还应配备高素质的管理人才。随着内部审计由财务领域向经营、管理领域的拓展，监管机构在人员的构成上也应是多元化的，不仅要有懂财务的审计人才，而且还应配备精通企业各相关业务的专门人才，选择有丰富业务经验的人员加入内部监管部门，使内部审计在企业内部控制制度中发挥更大的作用。（3）内部审计应从事后审计向事前和事中审计转变。（4）强化外部监管的作用。企业要接受政府的监管，同时也必须聘请社会中介机构来对企业内部控制的建立健全以及实施情况进行评价。社会对企业的监管主要来自于注册会计师的独立审计。社会监管以其特有的中介性和公正性而得到法律的认可，具有很强的公正性和权威性。但外部的检查监督不能取代内审的职能，两者只有有机地结合在一起，才能使对内部控制的监管做到真正有效。（5）实行控制自我评估。“控制自我评估（ＣＳＡ，ＣｏｎｔｒｏｌＳｅｌｆ Ａｐｐｒａｉｓａｌ）”是一种新兴的审计技术和方法，意指每个企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果。ＣＳＡ 把传统的只有内部审计人员从事的内控评价转由公司各部门参与作业的人员亲自评估，帮助他们认识到内部控制不止是内部审计工作的责任，也不仅仅是高级管理层应关心的问题，相反，应该把它看作是组织所有成员的事。设计 ＣＳＡ 的目的是使人们了解哪里存有缺陷以及可能引至的后果，然后让他们自己采取行动改进这种状况，而不是坐等内部审计人员站出来。为此，我国企业可试行定期或不定期地进行 ＣＳＡ，以便经常发现和解决内部控制过程中出现的问题。
　　总之，内部控制的加强不是短期内就能完成的，也不是单靠企业自身的努力就可以达到的。不同的企业，其规模、文化背景存在差异，而同一企业在不同发展阶段，内部控制的内容也有所区别，所以，在设计内部控制制度时，重要的是应从企业自身的经营特点出发，为企业量身订做，这样才能使企业的内部控制做到真正意义上的科学、有效。