完善企业内部控制制度与优化策略研究.docx

上海交通大学夜大学毕业论文 完善企业内部控制制度与优化策略研究完善企业内部控制制度与优化策略研究摘要随着我国社会主义市场经济体制的建立和快速发展，企业间竞争日益加剧，企业所面临的生存压力越来越大。正所谓攘外必先安内，企业内部控制制度的建立和完善是改善企业内部管理，提高企业竞争能力的重要内容。基于此，本文从企业内部控制的定义、目标、国际大环境入手，通过对我国企业内部控制的现状和存在问题进行研究，揭示了我国企业内控制度的薄弱点在于思想上的不重视，制度上的不完善，以及没有落到实处的执行力。得出了要真正建立健全我国企业内控制度必须是自上而下、由内至外、从体制到执行、由思想形成书面文件并要落实到工作实践中的结论。同时，结合我国企业内部控制基本规范以及美国COSO报告对整个内控体系进行深入分析，对企业内控系统的优化提出进一步建议。文中结合实际案例具体说明内部控制中发现的问题并提出改进意见。对于健全内部控制体系、实现企业内部经营管理目标具有现实意义。关键词：企业内部控制制度，内控制度弊端，内控制度的建立健全 目录第一章 企业内部控制概述11.1内部控制制度的背景11.2 内部控制制度的目标2第二章 企业内部控制制度的现状与问题32.1高层管理者对内部控制制度的不重视32.2 企业内部控制制度的不健全42.3 企业内部控制制度执行不力42.4 缺乏有效的监督机制4第三章 完善企业内部控制制度63.1 合规、合法性控制63.2 授权、分权控制63.3 不相容职务控制63.4 业务程序标准化控制73.5 复查核对控制73.6 人员素质控制7第四章 企业内部控制制度优化研究94.1 控制环境策略94.2 风险评估策略104.3 控制活动策略104.4 信息与沟通策略114.5 内部监督策略114.6 关于内部控制建设步骤和优化策略的总结11第五章 ABC公司销售与应收账款内部控制案例分析135.1 案例135.2 内部控制分析145.2.1 企业缺乏内控风险评估机制145.2.2 企业没有完善的标准化业务程序145.2.3企业没有明确授权、分权控制145.3 改进建议及相关措施145.3.1 建立规范的信用管理部门145.3.2 建立与完善应收账款内部控制制度155.3.3 加强对销售队伍的建设、业绩考评控制15第六章 结论16参考文献17谢辞18第一章 企业内部控制概述内部控制是由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。具体地说，内部控制系统是指一个单位的董事会、监事会、经理层，为了实现其发展战略，提高经营活动的效率，确保信息的正确可靠，保护财产的安全完整，遵循相关的法律法规，利用单位内部因分工而产生的相互制约、相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化、系统化，使之组成一个严密的、较为完整的体系。1.1内部控制制度的背景20世纪上半叶至今，内部控制在国际上有很大的发展，从早期的人们只用“内部牵制”这一概念到如今的内部控制扩大到企业内部的各个领域。进入20世纪90年代后，人们对内部控制的研究更是进入了一个全新的阶段。1996年美国注册会计师协会发布审计准则公告第78号将内部控制定义为：由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。2001年美国安然能源（Enron Corporation）财务舞弊案件被揭发。安然公司在2001年宣告破产之前，拥有大约21000名员工，是世界上最大的能源公司之一，2000年披露的营业额高达1010亿美元，公司连续6年被财富杂志评选为“美国最具创新精神公司”。然而正是这拥有众多荣誉光环的资产上千亿的公司在几周内轰然倒塌。安然事件是一起持续多年精心策划，甚至制度化、系统化的财务造假丑闻。（Loren Fox, 2003）其后，美国世通公司(WorldCom)亦因为公司采用虚假记账手段掩盖不断恶化的财务状况，虚构盈利增长以操纵股价而于2002年暴出财务舞弊丑闻导致公司倒闭。安然管理层的经营战略和管理思想是最大化的谋求利润，而不愿支付所必须的成本代价，使企业经营运转误入歧途，最终这些被管理层“藏起来的债务”成了倒闭导火索。（Harold Bierman, 2008）世通公司则更是少数人架空内部审计这个重要的监督部门，违反规定将正常的经营用费用转作资本性支处，虚增利润，最终因少数人的失控行为导致了一个庞大企业帝国的覆灭。(John P.Meyer, 2007)安然、世通事件发生以后，美国社会对企业制度作了反思，意识到企业内控环节中的公司治理问题是导致公司财务舞弊的根本原因，企业内部控制机制存在缺陷。美国注册舞弊审查师协会（ACFE: Association Of Certified Fraud Examiners）的报告(图1-1)显示，46%的欺诈案件源于内部控制的缺失，40%的欺诈案源于内部控制没有能够有效发挥作用，只有不到11%的欺诈案是标准的内部控制难以发现与阻止的。剖析安然和世通公司的财务教训，可以说完善、有效的内控制度是企业财务管理的基础条件。图1-1 企业财务舞弊原因分析图故此,在这样的背景下，美国于2002年公布实施了萨班斯-奥克斯利法案(Sarbanes-Oxley Act 2002) 其中第404条款要求在美国证券交易委员会（SEC: Securities and Exchange Commission）备案的上市公司必须提交年度内部控制自我评价报告，作为向SEC提交的财务报告的组成部分。这份内部控制自我评价报告，要求管理层评价公司内部控制的有效性，并要求负责财务报表审计的会计师事务所对财务报告内部控制加以审计。我国政府有关部门从20世纪90年代起开始重视并努力推动企业内部控制的建设。中国人民银行，中国证监会等先后发布过部门或系统的有关内部控制的行政规定。2008年中国财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范。1.2 内部控制制度的目标在早期，人们对内部控制的理解仅限于内部牵制，且多关注于资金和资产的保护，因此，内部控制的目标主要在于防止欺诈和舞弊的发生。1992年COSO（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）即美国全国虚假财务报告委员会下属的发起人委员会发布报告“内部控制整合框架”Internal Control-Integrated Framework(COSO, 1992) 在得到各界普遍认可的内部控制概念中提出的目标有三大类：一是营运目标，与企业资源使用的效率和效果有关，包括绩效和获利目标，以及保障资产的安全，使其免受损失。二是财务报告目标，与编制对外公布的财务报表的可靠性有关，包括防止对外公布财务报告的不实。三是遵循目标，与企业遵循相关法律法规有关，它们受外界因素，如环境保护法等影响。这些法令规定了企业的最低行为标准。2004年4月，美国COSO委员会在广泛吸收和研究了各种研究成果的基础上，颁布了企业风险管理框架。该框架在1992年COSO的内部控制整体框架报告的基础上建立企业风险管理框架，将企业管理的重心由内部控制转向风险管理。2008年我国财政部、证监会、审计署、银监会、保监会联合发布的企业内部控制基本规范，提出内部控制的目标（图2-2）主要包括：(1) 确保企业战略的实现。（2） 运营的效果和效率。（3） 财务报告的可靠性。（4） 资产的安全、完整。（5） 符合相关的法律和法规。图 2-2 企业内部控制目标图第二章 企业内部控制制度的现状与问题在我国,对1868家上市企业就其是否定期评估内控、专门委员会是否起到作用、是否披露具体内控措施进行调查，得到以下数据（图2-1）。不难从中看到, 约有一半的公司财务控制存在问题，30%存在严重问题。图2-1 中国上市公司财务治理指数报告2011我国改革开放30年，经济增长速度有目共睹。各类企业不计其数，根据国家统计局2008年第二次中国经济普查年鉴数据显示，目前全国法人单位数总计7,099,242个。但是在经济高速增长的背后，企业内部建设，“软件”建设远远落后于经济增长的速度。国内很多企业更多的着眼于经济目标，追求眼前的经济利益，导致内部控制严重缺失。通过一些案例，我们可以看到目前国内企业主要存在以下企业内部控制体系的问题。2.1高层管理者对内部控制制度的不重视在一个企业中，高层领导者的思想是主导企业运行的主线，领导者对企业内控制度的态度决定了整个企业的态度。因此一个企业内控制度是否能最终落实到每个员工的工作行为中，首先取决于公司领导者本身是否有内控制度的意识。企业领导者应该对企业内部控制制度是否完善，是否已经对企业的经营效率有影响有明确的认识。但是我国还处于社会主义建设的初级阶段，大部分企业在内部控制制度建设上非常薄弱，尤其是中小型企业，公司高层管理者对内部会计制度建设不够重视，还没有意识到内部控制的重要性。有的企业尚未建立企业的内部控制制度，有的企业未制定成文的内控制度，有的企业内部控制制度残缺不全，零零散散。有的民营企业依然是家庭式的管理方式，一切由董事长，总经理说了算。原来的济南XX公司董事长张XX，违反国家法规，身居董事长与总经理二职，决策与执行均由自己一人说了算。典型的现代公司实行家长制领导，天大的事情都有其一人决定，说投资哪个项目就投资哪个项目、资金的使用连财务总监都不通知，必须保证他的决策执行，导致企业流动资金周转不灵，工人三个月发不出工资。就因为其一个人说了算，没有人敢批评他的决策，最后该公司走到破产边缘并被其他企业兼并。这是典型的企业领导无视内部控制制度，一切由领导“一言堂”包办造成的严重后果，今天我们进行内部控制应该引以为鉴。2.2 企业内部控制制度的不健全随着改革开放的持续推进，受到国外先进经营理念的影响。我国许多企业也先后开始关注企业内部控制制度。但是我国有许多企业虽然建立了内部控制制度但仍缺乏科学性与合理性。如一些企业受利益驱动，重经营，轻管理；自我防范、自我约束、风险机制尚未建立起来，内部控制的组织网络不健全，控制制度的健全让位于业务发展，以至于既定的内部控制制度失控。还有些企业对外部环境和经济业务等变化缺乏预见性，导致其管理滞后，没有能够及时制定出相应的处理程序和制度。上市公司雷士照明，创始人吴长江因与投资人之间的矛盾，在一夜之间被迫辞职，此消息在公司员工和经销商团队掀起轩然大波，并引发股市停牌，全体员工罢工、生产停顿事件。分析指出，创投矛盾，折射出企业内控能力调整的必要性。可以说，在雷士事件中，作为一家上市公司，该公司内控机制在企业面临内外风险时完全没有发挥其应有的作用。企业内部应合理配置公司股东、董事会、经理人员等权益者之间的权利分配、责任要求，既要让公司经营者有充分的自主权也要保证股东的利益。要建立一个管理完善、相互制约、相互竞争的企业内部环境，重视对公司员工的培训，吸收和培养多方面人才，建立相应的激励约束机制，才能更好的贯彻和执行内部控制。2.3 企业内部控制制度执行不力对任何企业来说，再完美的制度，如果得不到严格执行，就是一种摆设。而我国现有内部控制只注重制度的文字编写环节，严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等方面。许多企业虽然组织了对内部控制的理论进行学习，努力建立健全内控制度，但是对内部控制制度的内涵还不十分清楚，没有建立起规范化的操作程序，在执行内部控制制度时工作透明度不高，一人办事，一人了结的情况相当普遍，使许多内部控制制度成为一纸空文或形同虚设。部分企业甚至上市公司对内部控制只具有某些基本的内部控制操作，但疏于内部控制制度建设；重视供产销环节的程序控制，但忽视内部控制结构的整体协调；重视对实物的控制，而忽视对行为者的控制；重视书面的财务报表，忽视财务报表数据来源可靠性等等情况不一而足，但却比比皆是。 以四川金顶为例。自从华伦集团入主四川金顶后，四川金顶的资金链条便颇为紧张。某供应商表示，四川金顶一般一两个月付一次款，其中三个最大的供应商每个都被拖欠1000多万元。另外，四川金顶很少用现金支付材料款，而是拿高估价的水泥来抵，然后再拿钱低价买回。在近期的担保纠纷中，四川金顶拖欠的债务中既有与华伦集团共同拖欠原金顶公司国企职工的安置费用（约1.25亿元），也有拖欠乐山万利达仪器化玻有限公司的货款。面对这些资金漏洞，四川金顶的内部控制制度显得苍白无力。虽然四川金顶在公司年报中称“公司设立了名为审计部的内部控制检查监督部门，公司内部控制检查监督部门定期向董事会提交内控检查监督工作报告”，但这些都无法摆脱一个不争的事实：四川金顶无效的内控导致了控股股东任意掏空上市公司。对控股股东任意侵占、挪用上市公司资金的行为，内部控制制度形同虚设。 2.4 缺乏有效的监督机制企业内部审计的主要工作是对内部控制的管理监督和对企业内部控制的运行进行评价。内部审计本身就是内部控制系统的重要组成部分，内部审计作为内部控制的再控制，应从第三者的立场上客观公正地对企业的内部控制进行再监督，但是由于我国企业管理体制和管理方式存在不少问题，企业内部控制的监督相当薄弱，管理控制的方法也比较落后，造成企业内部审计机构没有起到应有的作用。目前有很多企业监督评审主要依靠内审部门来实现，而有些企业的内审部门隶属于财务部门，与财务部同属一个领导，内部审计在形式上就缺乏应有的独立性。另外，在其职能上，很多企业的内部审计工作仅仅是审核会计账目，而在内部稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率等方面，却未能充分发挥应有的作用。第三章 完善企业内部控制制度根据上一章节的一些案例，我们可以看到目前国内无论是否上市公司，大、中型企业都存在各类内控制度上的缺陷，严重的甚至导致企业失控。那么我们如何应对这些内控制度建设上的问题呢？笔者认为，内部控制缺陷按照成因分为设计缺陷和运行缺陷。对于设计缺陷，应从企业内部的管理制度入手查找原因，需要更新、调整、废止的制度要及时进行处理，并同时改进内部控制体系的设计，弥补设计缺陷的漏洞。对于运行缺陷，则应分析出现的原因，查清责任人，并有针对性地进行整改。3.1 合规、合法性控制建立和健全企业内部控制系统必须符合国家财经政策、法令和财经制度的规定，每一项经济业务活动必须控制在合规、合法的范围内。这是一切内控制度制定的法律基础，亦是法律保障。3.2 授权、分权控制企业规模不断扩大，环节日益增多，业务纷繁复杂，企业管理层不可能事必躬亲，包揽一切事务。因此，必须将事、权进行合理划分，对下级授权、分权，规定各级人员处理某些事务的权力。在授权、分权范围内，授权者或分权者有权处理有关事务；未经批准和授权，不得处理有关业务。这样，把各项业务在其发生之际就加以控制，使各级人员都能在其位谋其政。权和责是相互联系的，建立内部控制系统时，必须将每个单位或个人按其所授权力或所分权力与应负的责任相联系，制定岗位责任制，明确岗位应予履行的任务及其应负的责任，并定期进行检查，做到事事有人管，人人有专责，办事有标准，工作有检查，从而对各项业务进行控制。3.3 不相容职务控制建立内部控制系统，必须对某些不相容职务进行分离，应分别由两人以上承担，以便相互核对、相互牵制、防止舞弊。企业对不相容职务，应该加以严格控制和分离。3.3.1 经济业务处理的分工一项经济业务的全过程不应由一个人或一个部门单独处理，应分割为若干环节，分属不同的岗位或人员管理。例如笔者对上海携程旅行网的采购流程进行了深入了解，先由A部门确认采购产品的型号、材质、功能等一系列规格参数；再由B部门根据A部门确认的型号规格进行询价，得到一系列供应商的报价；再由C部门对B部门得到的报价进行复核；最终确定供应商以及产品后由D部门下单采购；而日常与供应商的接洽、管理工作则由E部门负责。这样的采购流程，不但每个部门都有明确的分工与工作内容，更形成了各部门相互牵制、监督系统，规避了各类风险。3.3.2 资产记录与保管的分工实行资产记录与保管的分工的目的在于保护资产的安全完整。保管某项物资和记录该项物资的职务要分离；保管物资与核对该项物资账实是否相符的职务要分离；记录总账和记录明细的账务要分离；登记日记账和登记总账的职务要分离；贵重物品仓库的钥匙由两个人分别持有。3.3.3. 各职能部门具有相对独立性各职能部门之间是平级关系，而非上下级从属关系；各职能部门的工作有明确分工，不存在责任共担、成绩均享的关系。有些企业内控制度缺失，没有明确的奖惩制度，各个部门对于工作相互推诿，相互扯皮。这种现象严重阻碍企业发展，在内控制度中要坚决予以杜绝。3.4 业务程序标准化控制标准化操作是提高管理和运营效率的有利武器，是内控制度的框架内容。麦当劳、肯德基的标准化业务流程是标准化业务流程的典型成功案例，可供各行业作为参考借鉴。对于制造行业来说，标准化控制业务程序可将企业ISO标准纳入，制定相关的采购、生产、销售标准流程图（图3-1）。并在此基础上规定各个环节的执行步骤为：授权、主办、核准、执行、记录和复核。这种按照客观要求建立的标准化业务处理程序，不仅有利于实际业务活动按照事先规定的轨道进行，而且对实际业务活动做到了事前、事中和事后的控制。图3-1 企业标准化操作流程图3.5 复查核对控制为了保证会计信息的可靠性，规定各项经济业务必须经过复查核对，以免发生差错和务必。对业已完成的经济业务记录进行复查核对是控制记录使其正确可靠的重要方法。3.6 人员素质控制在内控体系在理论化的基础上建立了框架之后，就要考虑到具体执行内控系统的人员。内部控制系统实施是否有效，关键取决于实施内部控制系统人员的素质。要使内部控制系统的功能按预定的目标正常发挥，必须配备与承担的职务相适应的高素质人员。否则，即使内部控制系统本身十分完美，实施的效果也难以令人满意。在内控制度中对于人员素质比较多的一种提法是：胜任能力。胜任能力主要包括：品质、技能、知识（图3-2）。品质是人性中先天形成的一种本性，它渗透在日常的一切行为中，影响着人对事物的判断和自己的行为方式，缺乏良好的品质，谈不上胜任能力。知识是平时学习和工作的累积，对自己有要求的人一定会孜孜不倦的勤奋学习，以获得更多的知识；技能是知识在人体内活化，经过了分解、吸收转化为了本领，可用于日常的工作实践。 图3-2 胜任能力模型图企业在招聘用人时首先应该对人员的品质层次加以选择。跨国企业，众所周知，对应聘人员在诚信方面是非常注重的，因为品质是一切素质的基础，且难以后天养成。在选择了合适的人员之后，企业可以通过组织学习、职业培训来提高人员在专业技能方面的知识、能力，以控制内部控制系统执行人员的素质。亦可选择职务定期轮岗，以增加员工对公司各个岗位的深入了解，从而达到更好执行内控制度的目的。第四章 企业内部控制制度优化研究在之前的背景章节中，笔者已经介绍了美国于2002年公布实施了萨班斯-奥克斯利法案(Sarbanes-Oxley Act 2002)。其实关于内部控制制度的框架内容，美国早在1992年就有了COSO报告，只是当时还没有立法要求上市公司必须提交年度内部控制自我评价报告作为向SEC提交的财务报告的组成部分。1992年COSO（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）即全国虚假财务报告委员会下属的发起人委员会发布报告“内部控制整合框架”Internal Control-Integrated Framework(COSO, 1992)。COSO报告提出内部控制旨在促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。其组成内容主要包括：控制环境、风险评估、控制活动、信息的沟通与交流以及对环境的监控。我国政府有关部门从20世纪90年代起开始重视并努力推动企业内部控制的建设，尤其通过美国本世纪初的几件财务舞弊案件中借鉴经验，吸取教训。为了加强和规范企业内部控制，财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范，于2008年6月28日发布，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。其内容主要包括：内部环境、风险评估、控制活动、信息与沟通以及内部监督。笔者结合研究了美国的“COSO报告”以及我国的“内控规范”内容，以此为基础，对我国企业内部控制制度提出细节化、优化策略。4.1 控制环境策略并不是我们强调内部控制，狠抓内部控制，内部控制就能搞好，因为没有一个适应内部控制存在的环境，内部控制不能贯彻、更不能得到发展。控制环境是指对企业控制的建立和实施有重大影响的多种因素的统称。这些因素构成一种整体气氛，塑造企业文化，潜移默化到企业高层和员工的思想深处，影响着企业所有人员实施内部控制的自觉性。同时，内部控制的环境好，也为企业实现战略目标、营运目标、合规性目标提供了保证。4.1.1 治理结构所谓治理结构就是指公司治理，它是指为实现公司目标而制定的关于股东、管理人员以及其他相关利益者之间的法律关系和公司组织机构的制度安排。健全的治理结构，科学的内部机构设置和权责分配，是实施内部控制的前提，更是影响企业内部环境的重要因素。如果说控制环境是企业内部控制体系的核心，那么董事会就是这个核心的核心。对内部控制来说，一个积极、主动的董事会是相当重要的。具体体现在：董事会对公司重大事情决议，必须经全体董事的过半数通过；董事对公司决议承担责任，做出决议违反法律、行政法规或公司章程、股东大会决议，致使公司遭受严重损失的，参与决议的董事对公司负赔偿责任；公司设经理主持日常生产经营活动，经理由董事会聘任或解聘；公司设立监事会，成员不得少于三人，监事会依法检查公司财务，对董事、高级管理人员执行公司职务进行监督，对违法高级管理人员提出罢免的建议；上市公司应依法设立独立董事和董事会秘书。4.1.2 机构设置企业的管理机构是企业高效运转的基础，应该在保证实现企业目标、满足企业经营管理正常运转的前提条件下，力求精简进行设置。机构设置不合理，就会降低运营效率。而内部控制的目的之一就是提高运营效率。因此，机构和人员的设置要坚持权责明确、相互制衡的原则。从纵向来说至少要经过上下两级；从横向来说至少要经过无隶属关系的两个机构部门。 管理机构应由总经理根据企业具体情况设置，但有这么几条是不允许存在的：董事长不能兼任总经理；董事会与总经理班子人员不能重叠。4.1.3 企业文化环境造成一种文化氛围，员工都生存在这种文化氛围中，决定了他们如何认识风险，对生产经营活动中的风险是一种什么样的态度，对风险的容忍程度如何，也就是对内部控制是否有足够认识，能否自觉执行，能否主动接受监督。假设企业的文化气氛促使很多人抵触内部控制制度的施行，再好的控制制度也贯彻不下去。企业在培养自身的文化时，应避免只注重内部和短期的企业文化，保持一种健康的文化氛围，使其与公司战略目标趋于一致。企业中正式的政策文件等只能书面表明管理阶层想让什么发生，而企业文化则决定什么会发生。4.1.4 反舞弊机制反舞弊机制是指企业防范、发现和处理舞弊行为，优化内部控制环境的一系列制度安排。 企业应该也必须建立反舞弊机制，一般除了内部审计机构以外，还要设置监查、保卫专门机构，会同其他职能部门明确反舞弊的职责权限和协调机制，规范调查处理程序，建立情况通报制度。反舞弊就要严格授权、审批、监督，同时明确投诉、举报的受理程序、办理、结案要求和制度规定。对舞弊行为应该严肃处理，防止内部控制失效，确保企业目标实现。 4.2 风险评估策略在计划经济时代，国家计划规避了市场风险，而在市场经济时代，企业的生产经营活动面对极其复杂的外部环境和内部环境，风险随处可见，这些风险都必须加以评估。评估风险的先决条件是制定目标。风险评估就是分析和辨别实现所定目标可能发生的风险。 一个有风险意识的企业至少具备如下条件：第一，有防范风险的制度，建立了防范风险的专门管理机构；第二，企业决策时，应该考虑会有哪些风险存在；第三，不仅对一些业务部门或职能部门定期或不定期进行风险评估，还要经常从全企业的角度分析风险；第四，从企业文化方面保证内部控制环境建立，每干一项工作，职工都会考虑其风险存在哪些？从领导行为变成了群众行为；第五，监督机构起作用，保证风险管理的相关规定能有效的贯彻执行；第六，公司存在的重大风险以及风险管理系统的缺陷或失效行为有记录和报告。4.3 控制活动策略企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。企业控制活动策略是一个多角度，多层次的指标，控制措施基本涵盖了企业中全部的经营活动，包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制。这也正说明了风险在企业经营活动中无处不在。4.3.1会计系统控制企业必须严格执行国家统一的会计准则制度。会计部门的每一个工作人员必须有严密的组织分工，会计资料力求做到统一格式、统一编号、专人填制、专人保管，防止混乱、丢失。企业管理层、财务部必须编制可靠的财务报告。4.3.2财产保护控制资产的稀缺性客观上要求企业通过有效的内部控制系统确保其安全性和完整性。企业应定期对资产进行盘点，并与账面记录进行比较。如发现存在问题，应及时查明原因，并加以改进。4.3.3预算控制预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。4.3.4运营分析控制运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。4.3.5绩效考评控制企业在生产经营过程中采取各种措施，如价格政策的变化新产品开发、合资经营、融资行为以及生产技术的改良、生产成本的控制等，高层管理人员应对这些措施的效果进行评价，并与预算、预测、前期及竞争者的绩效相比较，以衡量目标达成的程度，同时对计划执行情况进行监督，还需要调查超出计划的结果或者不正常的趋势，辨认目标无法达成的原因。4.4 信息与沟通策略围绕在控制活动周围的是信息与沟通系统。每个企业都应当建立自己的信息与沟通系统，保证信息的收集、储存、加工、输出和使用等各个环节的正常运行，满足企业的信息需求，确保信息及时沟通，促进内部控制有效运行。具体包括以下几点：一，企业的信息系统应能保证信息提供的完整性。优良的信息系统既要包括财务信息系统也要包括管理信息系统。财务信息系统以会计系统为主，负责提供有关企业财务方面的信息；管理信息系统则负责提供与企业经营管理活动有关的非财务信息，如市场份额、法规要求、客户投诉等。二，企业的信息系统应能保证信息提供的及时性。企业应当运用计算机、网络等多种先进的手段来构建企业的信息系统，加快信息传递的速度。三，企业的信息系统应能保证信息提供的准确性，减少信息传递过程中有意或无意的错漏。有效的内控系统需要有效的沟通渠道，确保所有员工理解和坚持现行的企业政策和程序，并确保相关信息有效传达到应被传达的人员。4.5 内部监督策略一个健全的内部控制系统必须得到有效的监督。监督是由适当的人员，在适当的基础下，评估控制的设计和运作情况的过程，也是一种随着时间的推移而评估制度执行质量的过程。企业应当制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷情况并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或资料，确保内部控制建立和实施过程的可验证性。4.6 关于内部控制建设步骤和优化策略的总结在第三、第四章中，笔者论述了如何建立健全企业内部控制。那么面对零零种种各类要求，步骤，策略，一个企业究竟需要做到哪些才能成为一个内部控制基本合格的企业，做到哪些能成为内部控制优秀的企业呢？对此笔者进行了分析，归纳（表4-1）。表 4-1 企业内控达标等级图第五章 ABC公司销售与应收账款内控控制案例分析5.1 案例ABC公司是一家从事电子类产品制造、销售为一体的中外合资企业。资产负债表如图5-1。可以看到在一家资产总额近5,600万元的企业中，应收账款为1,600万元，占资产总额28.57%，占流动资产36.46%。图5-1 ABC公司资产负债表近年来该企业应收账款居高不下，已影响到资金链的正常运转，现金枯竭，举步维艰。造成上述状况的原因除了商业竞争的日益加剧，少数客户的恶意拖欠货款之外，企业自身内部控制制度不健全是主要原因。会计师事务所2012年5月对ABC公司2011年度的会计报表进行了审计，在审计过程中根据获得的不同审计证据对该公司的应收账款做了如下图分类：（图5-2：账龄分析表，图5-3：应收账款回收难原因分析表） 图5-2 账龄分析图 图5-3 应收账款回收难原因分析图从账龄分析表上，我们可以看到，超过1年的应收账款大约有近600万，我们认为这部分款项在回收上可能存在一定难度。同时，对回收货款存在困难的款项进行分析，从图5-3中，我们可以看到，货款回收困难的主要原因有以下几点：账龄长、回收时缺乏相关的销售凭证；由于人员离职时未妥善交接造成后续人员回收货款难；账龄过长，有些客户已经倒闭。据此，从内控控制角度来对此案例进行分析，并提出改善意见。5.2 内部控制分析5.2.1 企业缺乏内控风险评估机制ABC公司在公司创立早期对内部控制体系的建设不完善，未制定详尽的信用政策，并落实到各相关部门严格执行。在对客户的情况并不十分了解的情况下，也未对客户的信用进行调查，完全缺乏内控的风险评估机制，为了追求销售额，盲目放宽赊销范围，在源头上造成潜在的坏账可能。5.2.2 企业没有完善的标准化业务程序在公司档案保管这个环节上，ABC公司未建立标准化业务程序、公司档案保管比较随意，没有相应的管理办法，也没有明确职责部门。缺少必要的合同，发运凭证，送货单，对账单等原始凭证，从而使得在面对少数客户的恶意拖欠时而束手无策，没有办法拿起法律武器对长期难以回收的货款追究责任。5.2.3企业没有明确授权、分权控制公司财务每年年底把应收账款重新挂一遍在新的一年的账上，当销售人员离职后，由于公司制度没有明确规定交接细节，其经手的应收账款往往会出现无人问津或相互推诿的情况，即使公司指派专人跟进后续事宜，也经常会因为缺失重要的原始凭证，导致要账无功而返。这与内控制度中的授权、分权控制中要求的“事事有人管，人人有专责”恰恰是背道而驰的。此外，财务部门未定期与往来客户通过询证函等方式核对账目，无法及时发现出现异常情况的客户。5.3 改进建议及相关措施5.3.1 建立规范的信用管理部门所谓风险评估，并不是一句口号。建立规范的信用管理部门，制定合理的信用政策亦是风险评估的体现，在实际情况中具体地确定信用标准、信用条件和收账政策。首先，对客户建立资信档案，设基本资料和往来资料两部分。往来资料包括客户的交易时间、金额、付款情况等，同时采用动态更新管理制，及时录入新的信息资料，实行对客户信用的动态管理。其次，对客户资信进行风险评估。客户的资信度取决于以下五个方面：信用品质、偿付能力、资本实力、抵押品的变现能力、经济状况，即常说的“5C”评定法。在公司内部成立专门信用管理部门，通过对客户所有相关财务及非财务信息和交易记录进行整理、分析、评定信用等级；最后，根据风险评估的结果制定科学合理的信用政策。对信用良好的客户，可以进行适当赊销，对信用风险较大的客户，不应采取赊销的销售手段，而不仅是盲目追求销售额。5.3.2 建立与完善应收账款内部控制制度应收账款内部控制制度是企业内部控制制度的一个重要组成部分。ABC公司应该加强对各个环节的标准化业务程序的建设，对每个程序须设立授权、主办、核准、执行、记录和复核步骤。销售业务人员根据相关部门确认的订货信息打印出订货清单明细表并送交信用管理部门审核；信用管理部门接到订货清单后，对客户进行信用评估，对于有欠款的，需得到销售部主管领导书面同意后方可订货。批准销售部门的赊销申请后，信用管理部门应派专人会同销售人员与客户签订销售合同。合同中详细注明销售价格、信用政策、还款方式及期限等。ABC公司应完善分权、授权控制，明确档案管理责任人。包括合同、发货凭证、客户收货签收回单、对账单等原始凭证应由专人保管原件，销售人员和财务部门可持