在內(nèi)控咨詢服務(wù)過程中，發(fā)現(xiàn)很多企業(yè)對“內(nèi)控五要素”概念不知所云，未搞清楚“內(nèi)控五要素”和內(nèi)部控制體系是什么關(guān)系，如何在內(nèi)控體系建設(shè)過程中清晰的體現(xiàn)“內(nèi)控五要素”內(nèi)容。看到很多企業(yè)內(nèi)控體系文件中，把“內(nèi)控五要素”作為一個管理章節(jié)寫入制度或手冊中，但是企業(yè)自身越來越發(fā)現(xiàn)“內(nèi)控五要素”很空，浮在空中，無法有效落地執(zhí)行，就認為“內(nèi)控五要素”作用不明顯。

出現(xiàn)這種情況歸根到底是企業(yè)沒有搞清楚“內(nèi)控五要素”的實質(zhì)、以及如何有效運用，接下來結(jié)合多年來咨詢實踐談?wù)剬Α皟?nèi)控五要素”的理解。

企業(yè)內(nèi)部控制體系建設(shè)及完善需要涵蓋遵循“內(nèi)控五要素”理念原則，“內(nèi)控五要素”貫穿于企業(yè)日常經(jīng)營管理活動流程始終，任何一項內(nèi)控活動、制度及流程無不體現(xiàn)著“內(nèi)控五要素”的原則。“內(nèi)控五要素”彼此構(gòu)成一個整體，相互關(guān)聯(lián)、相互影響，缺一不可。缺少其中一個要素，內(nèi)控整體有效性便會受到影響。

“內(nèi)控五要素”包括內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通和內(nèi)部監(jiān)督。其中，內(nèi)部環(huán)境是基礎(chǔ)，風險評估是依據(jù)，控制活動是手段，信息與溝通是載體，內(nèi)部監(jiān)督是保障。

一、內(nèi)部環(huán)境

內(nèi)部環(huán)境是企業(yè)高層管理者對內(nèi)部控制的態(tài)度、理念、觀點和管理哲學。企業(yè)的治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等共同構(gòu)成了企業(yè)內(nèi)部環(huán)境，是影響企業(yè)整體內(nèi)部控制體系的基礎(chǔ)性制度，是內(nèi)控制度及流程設(shè)計的基本土壤。如國有企業(yè)里面績效考核活動，會發(fā)現(xiàn)考核分數(shù)都在90分左右，而不會寫到相對較低的70分，這是因為國企的文化傾向于“不患寡患不均”。

1、內(nèi)部環(huán)境影響因素

• 來自企業(yè)高層的影響

企業(yè)高層對內(nèi)部控制的認知基本決定著企業(yè)內(nèi)部環(huán)境的基調(diào)。風險內(nèi)控態(tài)度上是風險偏好者、風險保守者抑或是追求風險平衡，經(jīng)營風格上是激進、穩(wěn)重、還是謹慎細微，管理風格上是抓大放小授權(quán)型還是事無巨細的指令式，是追求管理上的靈活性還是強調(diào)管理規(guī)則的剛性等。

企業(yè)內(nèi)部控制體系是“一把手”系統(tǒng)性工程，來自高層的重視很重要。若管理層對內(nèi)部控制的認知是狹隘的、不到位的、缺乏重視的，必然會影響到企業(yè)內(nèi)部控制體系建設(shè)及推進的有效性。另外，內(nèi)部控制體系建設(shè)及實施過程中需要融入企業(yè)管理層經(jīng)營哲學和管理風格，比如管理風格是抓大放小授權(quán)型，就要重點關(guān)注機構(gòu)設(shè)置、權(quán)責分配、授權(quán)體系等，探討哪些事項可以授權(quán)、授權(quán)的條件和規(guī)則是什么、授權(quán)后如何對其進行有效監(jiān)督等。

• 受企業(yè)發(fā)展階段影響

企業(yè)發(fā)展階段對內(nèi)部環(huán)境也有較大的客觀性影響，企業(yè)發(fā)展階段可分為創(chuàng)業(yè)期、發(fā)展期、成熟期及衰退期。

初創(chuàng)期企業(yè)具有規(guī)模小、尚未定型等特征，管理層自身缺乏經(jīng)驗積累，難以制定出明確的長期目標及標準，管理層偏好鼓勵采取靈活自主的開拓行為，管理行為相對比較靈活簡單，各項規(guī)章制度及規(guī)則都沒有成型，企業(yè)的整體內(nèi)控意識與環(huán)境氛圍不是很強。

成長期企業(yè)具備方向基本確定、較快發(fā)展、標準逐漸建立等，企業(yè)在步入加速發(fā)展期后，企業(yè)規(guī)模急速擴張，員工數(shù)量不斷增加，管理層管理經(jīng)驗積累相對比較豐富，會采取以指導型為主的管理風格，給予員工長期的工作目標及相應(yīng)標準，使之能快速適應(yīng)企業(yè)發(fā)展需要。此時，企業(yè)尤其是管理層的內(nèi)部控制意識會得到加強，要求建立滿足企業(yè)發(fā)展轉(zhuǎn)型需要的內(nèi)部控制，各種內(nèi)控規(guī)章制度、規(guī)則不斷相繼出臺，企業(yè)對于風險控制及規(guī)則的遵守也越來越好。

穩(wěn)定期企業(yè)具備規(guī)模穩(wěn)定、方向穩(wěn)定、發(fā)展穩(wěn)定等。組織進入了一個相對穩(wěn)定的時期，不穩(wěn)定的因素減少了，由多年經(jīng)驗積累而成的業(yè)務(wù)內(nèi)控規(guī)則與業(yè)務(wù)標準已經(jīng)完善成相應(yīng)的體系，同時企業(yè)規(guī)模經(jīng)過不斷成長，員工數(shù)量大大超出了企業(yè)管理者們能夠控制的范圍。此時，企業(yè)管理者會采取以權(quán)威型為主的管理風格，依據(jù)企業(yè)的發(fā)展方向，在企業(yè)中建立自上而下的管理標準體系，各領(lǐng)域各條線的管理、工作標準均有相應(yīng)的規(guī)定，企業(yè)的風險及內(nèi)部控制意識達到很高的程度，但也因為企業(yè)規(guī)模較大，組織結(jié)構(gòu)較為復雜，內(nèi)部控制容易偏向官僚主義，運行效率受到影響。

衰退期企業(yè)具備規(guī)模萎縮、業(yè)務(wù)衰退等特征，組織成長環(huán)境開始惡化，業(yè)務(wù)進入萎縮衰退狀況，企業(yè)急需經(jīng)營或管理變革。同時，企業(yè)員工由于已經(jīng)意識到危機的到來，企業(yè)組織的凝聚力會變差。企業(yè)管理者偏向采取以民主型為主的管理風格，讓員工參與企業(yè)的決策，激發(fā)員工的主人翁意識，鼓勵對以往陳舊規(guī)則進行改革破立。此時，企業(yè)需要一種能夠支持管理變革與創(chuàng)新的內(nèi)控機制與環(huán)境氛圍，在制度與創(chuàng)新尋找平衡。

2、內(nèi)部環(huán)境面臨的最大風險

內(nèi)部環(huán)境包括管理層哲學與經(jīng)營理念、治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等領(lǐng)域，其中尤以管理層管理哲學及經(jīng)營理念風格最為重要。著名管理大師彼得.德魯克說到：“如果一個企業(yè)只能在企業(yè)家的思維空間之內(nèi)成長，那么這個企業(yè)的成長必被其經(jīng)營者所能達到的思維空間所限制”。當我們提到蘋果手機時，我們第一時間想到喬布斯，提起阿里巴巴想到馬云，提起華為想到任正非，提到格力想到董明珠。說明這些企業(yè)家作為企業(yè)發(fā)展的領(lǐng)舵者，對企業(yè)的發(fā)展確實起到無可比擬的貢獻。當他們離開企業(yè)的那一天到來時，這些企業(yè)的后續(xù)發(fā)展將如何呢？答案是這些企業(yè)家是否將其畢生的管理智慧結(jié)晶是否有效沉淀在企業(yè)的基因文化里。企業(yè)高層管理者掌握著企業(yè)最多的資源、具有鮮明特色的管理經(jīng)驗，這些如果不能夠在企業(yè)內(nèi)部有效沉淀積累下來，可能會影響到企業(yè)未來的可持續(xù)穩(wěn)定發(fā)展。我們國家有很多家族企業(yè)，老子在位，企業(yè)發(fā)展穩(wěn)定，但當老子退去之后，下一代并不能夠很好地繼承發(fā)展下去。

二、風險評估

風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險，以合理確定風險應(yīng)對策略，進而制定合理的內(nèi)部控制活動及其措施。風險評估是控制活動及其措施的依據(jù)，不經(jīng)過風險評估就制定控制措施，比較容易犯教條主義、控制過度主義或官僚主義。風險評估包括風險識別、風險分析及風險評價。風險識別是分析業(yè)務(wù)活動及流程環(huán)節(jié)是否存在風險及有哪些風險，任何一個業(yè)務(wù)活動開展都會面臨潛在的風險，風險是伴隨業(yè)務(wù)發(fā)生而客觀存在的。風險分析是指分析導致風險發(fā)生的原因有哪些，以及風險觸發(fā)的條件，風險不會突然產(chǎn)生，是在達到一定的條件或狀態(tài)才會發(fā)生。風險評價是指企業(yè)結(jié)合管理經(jīng)驗、歷史數(shù)據(jù)及其他相關(guān)常識或認知，運用合理的方法預測風險發(fā)生的可能性和風險發(fā)生帶來的影響。

1、風險評估思路

• 控制目標設(shè)置

控制目標是企業(yè)管理者在一定期間內(nèi)根據(jù)經(jīng)營戰(zhàn)略，結(jié)合內(nèi)外部環(huán)境分析，自行設(shè)定的經(jīng)營或管理各項目標。從戰(zhàn)略管理角度來看，企業(yè)依據(jù)企業(yè)發(fā)展戰(zhàn)略愿景，制定企業(yè)戰(zhàn)略與經(jīng)營管理目標，從時間維度上分解到年度、季度及月度，從空間維度上分解至各區(qū)域、各層級、各職能機構(gòu)等，從業(yè)務(wù)維度上（以制造企業(yè)為例）分解至銷售、生產(chǎn)、庫存、采購等領(lǐng)域。上述目標從類型上均可分解至合規(guī)類、財務(wù)報告類、運營類、廉潔類、資產(chǎn)安全類等，任何一項控制活動目標都有可能是以上幾種目標的有機組合。

• 風險識別及分析

企業(yè)設(shè)置各項目標時是基于歷史經(jīng)驗或數(shù)據(jù)分析所作出的對未來一定期間內(nèi)的一種預測和假設(shè)判斷，未來的預測和假設(shè)具有不確定性。也就是說，企業(yè)所設(shè)既定目標實現(xiàn)過程中會面臨不可預知的內(nèi)外部因素影響，這些影響因素會改變原本企業(yè)所作出的預測和假設(shè)的條件，預測和假設(shè)條件變化了，企業(yè)就必然需要對這些變化因素進行評估，評估其影響程度，并決定是否需要調(diào)整經(jīng)營和管理行為，否則風險及損失可能發(fā)生。因此，企業(yè)需要系統(tǒng)持續(xù)地收集內(nèi)外部影響目標預測和假設(shè)條件的相關(guān)信息，對內(nèi)外部信息進行整理分析，為評價其對已設(shè)控制目標的影響提供依據(jù)。

• 風險評價

風險評價是基于分析收集的風險信息后，評價其對已設(shè)目標的影響程度，并以此調(diào)整改變其現(xiàn)有控制活動及措施，以將風險控制在企業(yè)承受范圍之內(nèi)。風險評價是風險評估過程中比較難操作的一個環(huán)節(jié)，因為風險發(fā)生可能性到底多高，以及風險發(fā)生的影響程度是多大，有時候難以量化。企業(yè)實務(wù)中開展風險評估，以定性判斷居多，運用量化方法的需要企業(yè)大量擁有一定量的歷史數(shù)據(jù)，通過對歷史數(shù)據(jù)的統(tǒng)計分析，結(jié)合現(xiàn)狀，進而做出未來的預測和判斷，具有信息化和數(shù)字化基因的企業(yè)，如互聯(lián)網(wǎng)平臺、電信、金融行業(yè)等，實施風險評估量化相對就要可行的多。

2、風險評估影響因素

企業(yè)要做好風險評估，需要考慮幾個方面因素：

• 定量和定性分析相結(jié)合

隨著現(xiàn)代企業(yè)經(jīng)營數(shù)字化轉(zhuǎn)型步伐的不斷加快，企業(yè)信息化水平會得到不斷提升，風險評估在定性分析基礎(chǔ)上，運用數(shù)學和統(tǒng)計模型進行定量分析已具備較為可行的條件和基礎(chǔ)，能夠量化更加便于風險的后續(xù)有效管控。

• 利用專業(yè)人員的力量

企業(yè)應(yīng)當充分吸收企業(yè)內(nèi)外部專業(yè)人員，組成風險分析團隊，按照嚴格規(guī)范的程序開展工作，以確保風險分析結(jié)果的準確性。對業(yè)務(wù)領(lǐng)域比較熟悉，會知道業(yè)務(wù)有哪些潛在風險，哪些風險容易出現(xiàn)，在什么條件下較為容易發(fā)生，綜合運用各個專業(yè)人員的知識開展風險分析，風險評估效果會比較好，更容易被認可。

• 考慮風險偏好和承受度

企業(yè)應(yīng)當合理分析、準確掌握董事、經(jīng)理及其他高級管理人員、關(guān)鍵崗位員工的風險偏好與風險承受度，風險偏好和風險承受度會影響到最終風險水平大小的評級和排序，風險偏好者和風險保守者對于同一個風險水平評價的結(jié)果不一樣，風險評估過程中要考慮這些因素，但是要避免因個人風險偏好極端給企業(yè)經(jīng)營可能帶來重大損失。

• 保持動態(tài)的風險評估

企業(yè)應(yīng)當結(jié)合不同發(fā)展階段和業(yè)務(wù)拓展情況，持續(xù)收集與風險變化相關(guān)的信息，進行風險識別和風險分析，及時調(diào)整風險的應(yīng)對策略。當今經(jīng)濟環(huán)境復雜、瞬息萬變、不確定性成為一種常態(tài)，風險評估不是一次性的，應(yīng)結(jié)合企業(yè)業(yè)務(wù)實際場景需要進行動態(tài)的風險評估，比如互聯(lián)網(wǎng)企業(yè)針對用戶流失風險評估，會保持一個非常高的評估頻率。

三、控制活動

控制活動是企業(yè)結(jié)合風險評估結(jié)果，通過手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結(jié)合的方法，運用相應(yīng)的控制措施，將風險控制在可承受度范圍之內(nèi)。控制活動的控制對象是企業(yè)已識別的各項風險，在實務(wù)中將控制活動及措施以流程、制度的形式進行規(guī)范，通過業(yè)務(wù)流轉(zhuǎn)表單、表格文檔和信息系統(tǒng)的形式實現(xiàn)控制活動及措施的運行，形成企業(yè)信息記錄及流程數(shù)據(jù)沉淀，借助分析工具評價控制措施有效性，進而不斷優(yōu)化調(diào)整企業(yè)控制活動及措施。

控制活動及其控制措施的有效設(shè)計需要考慮以下幾個因素：

• 控制活動類型選擇取決于風險評估結(jié)果

風險評估結(jié)果告訴我們企業(yè)有什么風險，風險成因是哪些，圍繞這些風險應(yīng)該采取什么類型的控制活動較為合適。控制活動類型有很多種，常見包括：不相容職務(wù)未分離、授權(quán)審批、會計記錄、財產(chǎn)保護、預算控制、績效考核、運營分析控制等，我們需要結(jié)合企業(yè)具體經(jīng)營活動選擇其中一種或幾種組合。比如財務(wù)印鑒被濫用的風險，就需要選擇不相容職務(wù)分離控制和授權(quán)審批控制活動類型，不相容職務(wù)分離是確保財務(wù)專用章和法人章分開保管，授權(quán)審批是確保用印應(yīng)經(jīng)過授權(quán)批準才可執(zhí)行。

• 考慮風險偏好及風險承受度

既定控制活動下的控制措施如何具體設(shè)計要考慮企業(yè)的風險偏好及風險承受度，同樣的風險，不同的企業(yè)、同一企業(yè)內(nèi)部不同的部門所采取的控制措施是存在差異的，但都將風險控制在企業(yè)可承受度范圍之內(nèi)為基本準則，風險控制成本與效益要保持平衡。

• 要做到事前、事中及事后控制相結(jié)合

任何企業(yè)經(jīng)營或運營管理活動行為，都會遵循事前計劃與決策、事中執(zhí)行與監(jiān)控、事后評價與總結(jié)的循環(huán)，管理學上稱為PDCA循環(huán)，或者管理閉環(huán)。在事前要有預防性控制設(shè)計，事中及事后要有發(fā)現(xiàn)性控制設(shè)計，如應(yīng)收賬款催收業(yè)務(wù)，事前要開展客戶信用評價，根據(jù)信用評價對客戶進行授信申請和批準，事中要對客戶發(fā)貨量進行控制，并對應(yīng)收賬款賬期核對進行確認，事后要與客戶定期對賬，并采取催收措施。

• 與經(jīng)營管理各項活動的流程相結(jié)合

流程是內(nèi)部控制措施設(shè)計及執(zhí)行的紐帶，控制措施及方法要無縫銜接嵌入到企業(yè)日常經(jīng)營業(yè)務(wù)流程中，在流程各個環(huán)節(jié)討論風險及控制措施的可行性。所以實施內(nèi)部控制管理體系，先要從企業(yè)業(yè)務(wù)流程梳理開始著手，細化流程，討論流程目標設(shè)定、潛在風險及其控制措施。

• 借助信息化技術(shù)手段

充分利用信息技術(shù)手段可以有助于內(nèi)部控制的有效落地，手工和自動控制相結(jié)合，自動控制具有一慣性，不會出錯，效率也高，是一種成本效益顯著的方法。目前企業(yè)各種流程軟件、內(nèi)部控制及風險管理相關(guān)的信息化技術(shù)產(chǎn)品經(jīng)過實踐已經(jīng)比較成熟。隨著信息化技術(shù)的逐漸成熟應(yīng)用，企業(yè)的數(shù)字化水平也越來越高，基于信息化和數(shù)字化基礎(chǔ)的風險預警智能管理工具也將成為現(xiàn)實。

四、信息與溝通

信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息， 確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通，以促進內(nèi)部控制的有效運行。信息與溝通本身比不構(gòu)成控制措施，但控制措施的有效運行離不開信息溝通，沒有充分的信息溝通，企業(yè)經(jīng)營活動的決策、執(zhí)行、監(jiān)督、報告及改進等都將無法有效落實，它是風險評估、控制活動、內(nèi)部監(jiān)督有效實施的基礎(chǔ)，一切都需要通過信息溝通來反饋和評估。

從信息來源來看，涉及企業(yè)內(nèi)部信息和外部信息。內(nèi)部信息是指企業(yè)財務(wù)會計資料、經(jīng)營管理資料、調(diào)研報告、經(jīng)營管理信息、內(nèi)部刊物等。外部信息是行業(yè)協(xié)會組織、社會中介機構(gòu)、業(yè)務(wù)往來單位、市場調(diào)查、來信來訪、網(wǎng)絡(luò)媒體以及有關(guān)監(jiān)管部門所獲取的信息。

從信息使用者來看，企業(yè)內(nèi)部各管理級次、責任單位間，以及企業(yè)與外部投資者、債權(quán)人、客戶、供應(yīng)商、中介機構(gòu)和監(jiān)管部門等有關(guān)方面之間進溝通和反饋。

從信息傳遞方式來看，包括手工表單方式、會議方式、郵件方式、口頭交流方式、即時通訊辦公工具方式（微信、釘釘等）、信息系統(tǒng)方式。

1、信息與溝通問題分類

• 信息不對稱

信息與溝通問題最常見就是信息不對稱！“我知道，你不知道”、“我知道的比你多”、“你我對同一信息理解不一樣”、“你所表達的與原有信息存在偏差”等都屬于信息不對稱的表現(xiàn)。信息不對稱會導致“道德風險”和“逆向選擇”，對企業(yè)經(jīng)營運行產(chǎn)生較大的影響，如企業(yè)舞弊行為、決策質(zhì)量低下或失誤、運營效率低下、財產(chǎn)損失、監(jiān)督不到位、管理評價或績效考核無法有效開展等。

• 信息傳遞壁壘

企業(yè)內(nèi)信息傳遞壁壘現(xiàn)象十分常見，表現(xiàn)為：組織間信息缺乏互通反饋，如庫存管理部門與采購部門間缺乏對庫存信息的溝通反饋，導致物資多采購；組織間信息傳遞反饋不及時，如銷售部門訂單出現(xiàn)變更時，未與生產(chǎn)計劃管理部門及時溝通，導致制造部門繼續(xù)生產(chǎn)出市場不需要的產(chǎn)品；經(jīng)營決策相關(guān)信息收集不充分，如企業(yè)要收購兼并一個項目，對于擬收購項目的基本信息、經(jīng)營狀況等盡調(diào)不充分，導致決策失誤等…..

2、信息溝通影響因素

• 組織架構(gòu)合理性欠缺

從組織內(nèi)部橫向來看，在職能組織模式下，強調(diào)職能專業(yè)分工，各部門本位主義意識較重，信息在同一個部門內(nèi)部溝通與傳遞一般較為順暢，但信息在不同部門與部門間傳遞溝通就容易出現(xiàn)不暢，部門墻壁壘現(xiàn)象嚴重，信息溝通存在困難，辦理完成一個涉及跨部門的業(yè)務(wù)經(jīng)常需要組織管理領(lǐng)導努力協(xié)調(diào)，效率較低。

從組織豎向來看，大型企業(yè)或集團型企業(yè)內(nèi)部組織層級較多，信息從最基層一級一級上傳至高層，信息經(jīng)手較多，且時間較長，信息容易被截留或傳遞過程中存在遺漏，造成信息傳遞質(zhì)量較差，上層無法獲悉下層真實的聲音，類似“倒型漏斗”。

• 信息傳遞不規(guī)范

企業(yè)日常經(jīng)營業(yè)務(wù)活動中未規(guī)范信息在不同部門、崗位及內(nèi)外部傳遞的方式、傳遞內(nèi)容要求等，如口頭方式傳遞，事后無法認賬，造成責任追究扯皮；表單方式傳遞，表單要素設(shè)計不全，表單信息不充分，必要信息遺漏；信息系統(tǒng)方式傳遞，系統(tǒng)中哪些信息可供組織部門共享使用、系統(tǒng)與系統(tǒng)間數(shù)據(jù)如何傳遞并保持口徑一致等。種種不規(guī)范的信息傳遞導致信息質(zhì)量較差，無法得到有效利用，信息資源被浪費。

• 信息專業(yè)壁壘

企業(yè)雖已經(jīng)建立有規(guī)范的信息傳遞溝通機制，信息也能夠在組織不同部門及崗位得到及時完整傳遞，但是由于信息傳遞方和信息接收方在專業(yè)知識背景上存在差異，造成對同一個信息理解存在偏差，結(jié)果是一方可以利用另一方專業(yè)上的無知或劣勢實施一些不利于專業(yè)劣勢一方利益的行為。

信息與溝通在內(nèi)部控制體系中的重要性不言而喻，企業(yè)需要在企業(yè)內(nèi)部打造重視、鼓勵組織內(nèi)部信息溝通的企業(yè)文化氛圍，努力消除各種信息溝通壁壘。

五、內(nèi)部監(jiān)督

內(nèi)部監(jiān)督是內(nèi)部控制五要素中最后一個要素，對內(nèi)部控制有效運行起保障作用。設(shè)計再完美的內(nèi)部控制若沒有內(nèi)部監(jiān)督配套機制，久而久之，體系要么不被執(zhí)行而束之高閣，要么執(zhí)行不到位而偏偏走樣，內(nèi)部控制制度及流程需要組織人員去執(zhí)行，是人就會有惰性，有惰性就需要監(jiān)督或督促，沒有監(jiān)督天使也會變成魔鬼。

1、內(nèi)部監(jiān)督類型

從體系整體管理來看，內(nèi)部控制體系需不斷經(jīng)過建立、運行、評價到完善的循環(huán)過程。評價就是一種內(nèi)部監(jiān)督機制，通過評價促進內(nèi)部控制體系的不斷完善，確保內(nèi)部控制體系得到有效執(zhí)行，內(nèi)部監(jiān)督充當體系中最后一道風險防線和關(guān)卡。從業(yè)務(wù)活動流程來看，會經(jīng)歷業(yè)務(wù)活動的發(fā)起、審核、審批、執(zhí)行操作、記錄、報告及后評估過程，流程環(huán)節(jié)當中的后評估也是一種監(jiān)督，后評估可能是業(yè)務(wù)或職能部門自行開展，屬于自我監(jiān)督方式，也可能是相對獨立部門來執(zhí)行。實務(wù)中很多企業(yè)要求內(nèi)部監(jiān)督機制要嵌入日常業(yè)務(wù)活動流程中，要求內(nèi)部監(jiān)督機制要被前置，要做到風險事前防范、事中監(jiān)控，而不只是亡羊補牢式事后監(jiān)督。

企業(yè)內(nèi)部監(jiān)督分為日常監(jiān)督和專項監(jiān)督，日常監(jiān)督是指企業(yè)對建立與實施內(nèi)部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查，包括管理層日常監(jiān)督、內(nèi)部控制機構(gòu)監(jiān)督、內(nèi)部審計監(jiān)督。董事會對管理層的經(jīng)營情況的監(jiān)督、管理層組織召開的業(yè)務(wù)及職能部門日常經(jīng)營監(jiān)督分析會議、安全管理部門對生產(chǎn)現(xiàn)場執(zhí)行的日常安全巡檢監(jiān)督，國有企業(yè)招標采購活動現(xiàn)場，安排紀檢或?qū)徲嫴块T進行現(xiàn)場監(jiān)督等，都屬于企業(yè)日常監(jiān)督類型。專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結(jié)構(gòu)、經(jīng)營活動、關(guān)鍵業(yè)務(wù)流程、關(guān)鍵崗位員工等發(fā)生較大調(diào)整或變化的情況下，對內(nèi)部控制的某一或者某些方面進行有針對性的監(jiān)督檢查，重點關(guān)注內(nèi)部控制設(shè)計是否仍然有效

2、內(nèi)部監(jiān)督的影響因素

• 與企業(yè)管理者重視程度相關(guān)

企業(yè)內(nèi)部監(jiān)督機構(gòu)配置及職能如何安排與企業(yè)管理者對該項職能的重視程度有很大關(guān)系，雖然很多企業(yè)尤其是上市企業(yè)、國有企業(yè)都會因監(jiān)管政策規(guī)定必須要設(shè)立內(nèi)部審計機構(gòu)，但其監(jiān)督工作開展很多都流于形式，不能充分發(fā)揮其本身的價值，要發(fā)揮內(nèi)部監(jiān)督機構(gòu)的職能效用還是取決于企業(yè)管理者對內(nèi)部監(jiān)督重視和經(jīng)營管理理念。企業(yè)管理者日常忙于各種重大經(jīng)營事項的決策，對企業(yè)日常經(jīng)營過程管理難以有效兼顧，尤其是在經(jīng)營管理授權(quán)情況下，企業(yè)管理層就更想掌握下屬單位或部門日常經(jīng)營管理狀況，有沒有出現(xiàn)什么經(jīng)營風險、存在什么風險隱患等。此時，內(nèi)部監(jiān)督機構(gòu)作為企業(yè)管理者“第三只眼睛”，便可以在管理者的需求下，通過開展對下屬單位或部門的監(jiān)督評價，發(fā)現(xiàn)其存在的經(jīng)營管理問題，并提出管理改善性建議，并向管理者報告。

• 與企業(yè)經(jīng)營發(fā)展規(guī)模相關(guān)

企業(yè)處于初創(chuàng)期時，經(jīng)營發(fā)展規(guī)模相對不大，可以說，企業(yè)日常經(jīng)營管理過程都在企業(yè)管理者所掌控之中，事必躬親，任何一項制度建立、制度執(zhí)行情況都比較清楚，一眼就能看到底。此時，企業(yè)管理者自身就能充當內(nèi)部監(jiān)督職能的角色，額外的內(nèi)部監(jiān)督職能可能并不會被設(shè)置，也沒有那個迫切性。但當企業(yè)經(jīng)營規(guī)模達到一定程度，企業(yè)內(nèi)部組織層級增多、組織機構(gòu)日趨復雜、人員規(guī)模越來越大、以及業(yè)務(wù)范圍越來越廣時，企業(yè)管理者已不能夠?qū)?nèi)部日常經(jīng)營活動進行全面知曉和管控時，企業(yè)內(nèi)部監(jiān)督職能組織的設(shè)立及運行就顯得較為需要和迫切，企業(yè)管理者就需要內(nèi)部監(jiān)督機構(gòu)及職能的發(fā)揮來保障企業(yè)的可持續(xù)經(jīng)營發(fā)展目標。

• 與企業(yè)業(yè)務(wù)性質(zhì)相關(guān)

內(nèi)部監(jiān)督機構(gòu)及職能不直接作用于企業(yè)日常業(yè)務(wù)經(jīng)營，并不能直接創(chuàng)造業(yè)務(wù)價值，加上內(nèi)部監(jiān)督資源也有限，那么如何有效發(fā)揮內(nèi)部監(jiān)督職能的價值呢。除了內(nèi)部監(jiān)督組織人員的能力保障外，內(nèi)部監(jiān)督職能需要聚焦于企業(yè)的經(jīng)營業(yè)務(wù)，以經(jīng)營業(yè)務(wù)風險為導向，要關(guān)注企業(yè)業(yè)務(wù)中哪些業(yè)務(wù)邏輯相對較復雜、相對具有較高風險屬性、具有較高戰(zhàn)略重要性地位的業(yè)務(wù)活動，如采購、工程活動業(yè)務(wù)，是企業(yè)舞弊較為高發(fā)的活動領(lǐng)域，成為內(nèi)部審計活動常見審計關(guān)注領(lǐng)域也就不足為奇，只有這樣才能充分發(fā)揮內(nèi)部監(jiān)督在價值保護、防范風險、促進內(nèi)控目標有效實現(xiàn)過程中的作用。

如有觀點不準確，歡迎指正批評和交流！