浅谈如何提高企业内控制度执行力

　　【摘要】内部控制制度对于提高企业管理水平和竞争力意义重大，企业的做大做强，与执行力建设有着直接的关系，而提高企业管理中的制度执行力建设又是其中的关键。目前，在企业内部，普遍存在内控制度执行不力现象，制度执行力建设，要在深入分析调研的基础上，制定科学规范的规章制度，并将强制性的制度升华到文化层面，加强信息沟通，提高员工的主动性和积极性，实现制度的有效执行。本文结合工作实际，对如何提高企业内部控制制度的执行力进行了一些探讨。

　　【关键词】企业内部控制执行

　　“内控”已经成为当今企业管理职业中的关键词之一，尤其是美国《萨班斯──奥克斯法案》（Sarbance-OxleyAct）的实施，更是把内控推到了一个崭新的阶段。内控制度概念的科学性、框架内容的完整性和关键控制条款的可操作性成为了学界、业界包括各国政府的关注重点。事实上包括控制环境、控制活动、风险评估、信息与沟通、监控等要素在内的COSO框架已经相对完善，在COSO内控框架中就大有文章可做，若过多地关注概念上的争辩、内容上的“创新”更像是一种文字游戏，从而偏离了建立健全内部控制的初衷，无益于企业管控目标的实现。

　　一、内控制度执行的前提是要建设系统性、针对性的制度体系

　　内控制度执行的前提是要做到“有法可依”，换言之，就是要先解决内控制度的缺失问题。近些年来，国务院的有关机构出台了许多关于内控的部门规章。如财政部先后颁布了《内部会计控制规范──基本规范（试行）》、《内部会计控制规范──货币资金（试行）》等一系列内部控制规范；国资委也陆续下发了《国有企业内部控制条例》、《国有企业内部审计条例》、《金融机构内部控制指导意见》等内部控制指导文件。作为部门规章颁布的这些内控制度适合于任何公司，制度条文的原则性和概括性相当强，显而易见，制度条文只能关注内控中普遍性的问题。特别需要强调：如果每个企业简单的“复制”政府部门颁布的制度条文是一种失效的制度“建设”路径。因为现实中，每个企业尽管需要依据内部控制制度的基本要求和原则为导向，但是更要根据自身的实际情况和特点，明确关键控制点和控制环节，制定适合自身需要、特定经营环境的内部控制制度。

　　在每个企业内控制度的具体建设中，首先必须实现内控制度与公司战略、公司治理与组织结构设计的融合。内部控制制度的整体结构不能仅仅局限在业务层面，而忽略了公司层面，尤其是应该包括公司治理层面。一般来说，在管理体制上，公司组织结构可划分为战略规划型、战略控制型和财务控制型三种模式，比如在战略规划型模式下，总部大量参与业务部门的战略开发、拓展和监督，集团总部积极参与下属业务部门的战略开发，但是总部只是在运营结果出现较大偏离时才正式做出反应，控制程序灵活。而财务控制型模式下，战略开发的责任和权利全部交给下属单位，总部原则上不检查战略计划，只是管理下属单位的主要财务指标（如投资回报率），实际上是实行资产投资管理。显然，公司管理模式的差异必然对内部控制制度的建设具有不同要求。

　　其次，目前内控制度主要关注的是单一法人企业，但是现实中的企业更多的是包含多层股权结构、多级法人治理的集团企业。对于集团企业的投资、融资、业务经营、现金集中、信息无纸化等方面的内控较之单一法人企业具有太多的复杂性，尤其是当集团内控与子孙公司治理发生摩擦、碰撞的时候，内控制度建设的挑战性更强。而且，内控制度面临组织扁平化、职能管理渗透化、流程简洁化、业务外包化等新的管理变革时，还要关注内部控制制度与这些变革的有序对接。比如不少企业内控制度仍然是完全按照职能部门制定的，这就不是企业流程的观念。

　　再次，从制度上讲内部控制的目标应该同时包括“为了合理的保证经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性”（COSO报告）。就业务层次的内控而言，我们发现不少企业设计的内控目标主要也囿于财务报告可靠性而忽略运营效果（效率）和合规性目标，这不仅使得内部控制制度仅仅限制在财务会计部门，成为一种纯粹的会计控制，使内控制度无法延伸到整个企业的各个流程内部，难以演变为一种管理文化，而且使内控制度单纯为控制而控制，强调“他律”的概念，并未考虑与“自律”的业绩管理的结合问题。

　　最后，必须关注内部控制日益向全面风险管理（ERM）发展的客观态势。根据COSO的ERM框架，“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响，并从企业战略制定开始一直贯穿于企业的各项活动中，用于识别那些可能影响企业的潜在事件，使之在企业的风险偏好之内，从而合理确保企业取得既定目标”。国资委制定并下发的《中央企业全面风险管理指引》，要求企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系（包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统），从而为实现风险管理的总体目标提供合理保证的过程和方法。我们十分欣赏这些ERM对公司治理、战略、运营的多维视角分析，融内部控制于风险控制之中，彻底体现了“全面”的真正含义。但是这些ERM框架毕竟还只是框架，离可操作的企业管控制度还有相当距离。每个企业在设计内控制度时，除了要遵循ERM框架结构外，还要符合SMART原则的要求，即内控制度必须是：明确可行的（Specific）、可以计量的（Measurable）、可以达成的（Attainable）、与责任相关的（Related）以及具有明确的时间限制（Time-bound），因此必须确保内控制度条款上内容的针对性和可操作性。