CMA案例：如何做好内控管理

文章来源：CMA官方服务号

发布时间：2021-10-21 13:46

阅读：1016次

内部控制的概念最早由国外提出，目前世界许多国家都建立了内部控制方面的法律、法规和制度，其中最著名的是美国《萨班斯—奥克斯利法案》（简称SOX法案），很多国家的内部控制制度都以其为基础。我国国资委、财政部、证监会、审计署等部委以及上海证券交易所、深圳证券交易所，中国香港和中国台湾地区也出台了针对上市公司内部控制的相关指引。

根据国际内部审计师协会（IIA）的定义，内部控制是为了确保达到一个组织的运营效率和效果，财务报表的可信赖，和符合法律、法规及政策等目标的过程。对于一个组织来说，内部控制包含了与控制风险相关的所有事情。

在我国相关内部控制指引中，对内部控制的定义与此类似：

■为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排；

■遵守国家法律、法规、规章及其他相关规定；

■提高公司经营的效益及效率；

■保障公司资产的安全；

■确保公司信息披露的真实、准确、完整和公平。

控制企业风险【点击免费下载>>>更多CMA学习相关资料】

既然内部控制与风险密切相关，那么，什么是企业风险？企业风险是指企业在其生产经营活动的各个环节可能遭受到的损失威胁，由此可见，企业风险涉及的范围相当广泛，不管是在采购、生产、销售等不同的经营过程中，还是在计划、组织、决策等不同职能领域里，都存在风险（见图1）。就内部控制而言，其主要是企业控制自身内部的风险，比如减少设计缺陷、避免人为过失、防止管理层凌驾内部控制体系、预防员工串通或者舞弊等行为。

微信图片_20211021134258.jpg

这些风险若不能得到有效控制，很可能会导致严重后果（见图2）。从图2所展示的这些事例，我们可以得出如下结论：（1）墨菲定理告诉我们，如果事情有变坏的可能，那么不管这种可能性有多小，它总会发生；（2）没有人是主观想犯错误，但客观上造成了这样的现实；（3）如果不控制企业所面临的风险，企业就会面临损失，越不控制损失会越严重；（4）已知的风险我们可以预见到一些严重的损失，但不是所有的风险都能预见，所以需要尽可能地加强内部控制，把损失降到最低。

微信图片_20211021134305.jpg

内部控制相关的方式方法在企业中很常见，如通过信息系统、制度规范、流程管理以及企业文化等来规避或降低风险。企业比较容易忽视的是企业文化这部分内容，企业文化看起来似乎有点虚，但实际上是内部控制非常重要的组成部分，这部分风险如果没有管控好，会导致其他风险管控措施失效。

SOX法案与内控的关系

提到内部控制，不得不提SOX法案。SOX法案的出台有其历史背景，2000年前后，安然、世通等世界知名企业先后暴发财务丑闻，严重打击了整个资本市场的信心，投资者损失惨重。为重建投资者信心，当时美国众议院金融服务委员会主席萨班斯和参议院银行委员会主席奥克斯利作为主要发起者，提案了这一法案，并于2002年6月由时任总统布什签署并正式生效。

该法案认为，财务丑闻更多是因企业内部控制失效所导致，此前对于上市公司主要关注其财务报告方面，未来则要求企业建立好的内部控制制度。因此，其第404节要求公司年报中必须声明：管理层有责任建立和维护适当内部控制；管理层就公司内部控制和财务报告程序的有效性的评价；外部审计师对管理层的内部控制报告出具审计意见。第302节要求CEO和CFO在季度和年度报告上签字，声明相关内部控制程序是有效的。

同时，该法案指定成立美国公众公司会计监督委员会（PCAOB），所有的上市公司审计事务所都必须在PCAOB登记并接受其监督审核。PCAOB在审计准则第5号中明确提出可将美国反虚假财务报告委员会下属发起人委员会（COSO）框架作为上市公司建立内部控制体系的标准性参考。目前COSO内部控制框架中的三个目标、五大元素、十七项原则，可为内部控制体系搭建提供指导（图3）。

微信图片_20211021134311.jpg

SOX法案虽然重点关注内部控制，但只是企业内部控制的一部分。可以采购和销售环节为例进行说明，从采购环节来看，SOX法案关注是否有采购审批、采购金额是否与审批一致、采购是否按时入账、账实是否相符等内容；而内部控制除此之外，还要关注采购的必要性、采购预算的合理性、采购价格是否合理、采购品的质量如何等更多内容。从销售环节来看，SOX法案关注的是销售确认的依据、销售金额的准确性、销售数据的完整性、账实相符；内部控制则要关注价格调整的合理性、回款效率、折扣优惠审批、客户的背景调查等。可以说，SOX法案关注与控制措施与财务报表相关的内容，而对一家企业来说，内部控制除了关注财务报告，还要更多地关注运营层面和治理层面。

如何做好内控

企业不论大小，多多少少都有内控管理，只是有些企业没有将内控系统化、制度化、书面化。做好内部控制的目标是帮助企业提高运营效率，从而实现企业盈利，简言之，就是为企业健康成长保驾护航。

（一）内控的重要性

内控管理与企业的长足发展息息相关。做好内部控制可以满足财务报表的准确性与完整性以及合规要求，提升企业经营活动的效率和管理能力，对企业的持续增长和传承扩大具有积极意义。内部控制是实现企业从“人”治到“法”治过程中的重要工具。

做好内控对员工具有重要意义：可明确工作流程，提高工作效率；可划分职责权限，问责清晰；可加强沟通，实施监督；可提升自身素质，传递正能量。

需要注意内控管理中企业文化这部分内容，做好这部分工作会给治理层、管理层到员工都带来很多益处。其中，作为治理层，要提供好的内部环境，告知管理层和员工何为企业价值观、未来的发展战略以及发展路径，通过这种方式帮助管理层和员工实现个人目标，让每一个人与企业共同成长，从中获益，实现多赢。作为管理层，需要做的是通过制度去管理、去做标准化、控制已知风险及预判风险，最重要的是以身作则，建立文化——这被称为“上层的声音”，是向下传递企业价值观，希望企业员工按照其所期望的方式或者行为去执行，并承担相应的责任。作为员工，要确保完成工作的同时，以更好的流程提高效率，同时反馈并监督企业中的舞弊事件，提示管理层相关运营风险。

（二）如何做好内控

内控管理的第一步是立规矩，即学习相关理论、对标借鉴同行经验，并结合企业自身特点去立好自身的规矩。要让企业其他人员了解做好内部控制不是限制和负担，而是“为企业好”的直接体现。一般来说，执行内部控制制度时会遇到一些阻力，因为员工习惯了之前的操作流程，突然要求加入审批、相关凭证，或者采用不同方式汇报，会给他们增加工作量之感，也就容易被他们排斥。因此，管理层在出台相关制度和政策时，一定要与员工沟通清楚，让他们知道企业在治理层面和管理层面上的考量，争取他们的理解，而不是去挑战管理层的决策。

“立规矩”之后是“行规矩”，包括向上和向下两个过程。管理层利用制度、流程、信息系统等向下推行相关内控制度，同时，员工也有责任作为内控执行者向上反馈执行情况，这样管理层才会知道制度、流程是否需要调整。

最后是“管规矩”。业务人员、财务部门、管理层、审计部门、审计委员会作为层层防线，要确保内控管理落实到位。要设置好三道防线：第一道防线是业务人员，他们要按照制度执行；第二道防线是财务部门和内部控制人员，其中财务部门是汇集所有部门业务信息的重要部门，要查看制度的执行情况；第三道防线是管理层、审计部门和审计委员会，其中，审计部门要进行检查，看员工是否按照制度流程执行、是否存在问题。

（三）内控实践经验

很多内部控制指引针对的都是上市公司，包括COSO框架的制定者都有财务背景，这是因为在西方国家，财务信息普遍被认为是唯一能够客观体现企业运营状况的重要信息。但是这些财务信息的使用者很多是投资者，而内部控制实际上是企业自身的工作，这就可能会产生矛盾，即让外部人员看企业内部采取的一些控制措施做得好不好。另外，市场监管部门出台了统一的监管标准，企业在执行时往往会遇到很多问题，为了合规，企业有时可能会损失一部分效率，这又往往会让业务部门反感。

比如，一家上市公司在做内部控制审计时，审计师指出有些库房的管理审批手续不全，按照规定需添加多个审批签字环节。管理层为达到合规要求，进行了内部流程调整。此时出现的一个情况：销售人员急于将货物交给客户，以保证服务好客户，为企业获得销售收入、增加现金流，而要让产品出库需层层审批，时间上会来不及。销售人员直接向库管部申请先出货再补手续，但库管人员表示不能违反制度，不予通过。这就是内外需求的一个矛盾点。

内部控制是为了控制风险，但不可能把所有风险都消灭。企业要对自身进行风险评估，确定哪些风险需要防范、哪些风险可以承受，这就是企业的风险偏好。对于上述案例公司而言，在确立内控制度时，管理层不仅要考量对外合规要求，还要考量企业自身业务及风险特点，应先应判断这种情况发生的频率、现有审批方式是否合适、如果只是个别情况是否有应急机制等。

内控管理要有灵活度。从内控机制上看，可以将一些权力下放到相应部门和相关职能人员，让其有一定的机动性，例如，一般可以给业务部门领导设置一定金额内的审批权，以此来减少审批环节，但权力和风险偏好是对应的。同时，要规范相关管理人员的行为，确保其在审批时清楚底线和审批原则。审计部门也要定期核查相关管理人员是否按照制度执行。总体而言，内部控制要根据管理层的需求和自身特点灵活使用，不要单一为了迎合某方面的需求去做，否则可能会背离内部控制的另一个目标——提高企业的运营效率。对于企业来说，不要固有化流程和制度，一定要灵活运用；对于管理层来说，不单要“管”，更要“理”。

本文为“IMA管理会计大咖云讲堂”内容整理，经作者同意发表。

山亦萌，CMA，某国际体育集团财务部总监。

相关阅读：【CMA案例：山姆会员店的经营法则】

2022年CMA最新资料包领取

请大家认真填写以下信息，获取2025年CMA学习资料包，会以网盘链接的形式给到大家，点击免费领取后请尽快保存。

*姓名不能为空

*手机号错误

获取验证码

*验证码错误

上一条：CMA会员分享：突破职业瓶颈
下一条：CMA案例：人单合一的海尔财务模式

考试问答

1 CMA考试形式是怎么样的 2 CMA考试报名条件有哪些 3 注册管理会计师如何考试 4 CMA考试通过后要每年缴纳费用吗 5 CMA考试是全英文的吗 6 CMA几月份报名时间 7 CMA大致需要多少费用 8 CMA什么时候报名有优惠 9 没考中级能考CMA吗

Lisa

讲师认证：

CICPA会员，CMA会员，高级会计师，注册税务师，拥有丰富的财务管理经验，涉及国有企业、会计师事务所、上市公司；具备集团化财务管理能力，多年的财务培训工作经验，能深入浅出的讲解专业知识，善于运用实际工作举例，注重理论和实践的结合，让学员学以致用，将理论运用到实际中去，以“亲其师，信其道；恶其师，疏其道。师生是一种相互成就的关系”为教学理念，持续不断的提高教学水平。

免费下载老师推荐的学习资料