随着国内外企业风险事件的不断发生，内部控制问题开始受到普遍的重视。内部控制是风险管理的基础，只有建立起良好的内部控制体系，确保内部控制设计的健全性、合理性以及运行的有效性，才能不断增强企业的风险控制能力。内部控制在企业运营过程中形成了自身的运行机制，随着内、外部环境的变化，企业不断优化这种运行机制，从而达到防范风险事件发生的目的，确保企业目标实现。内部控制“过程”的特征体现了内部控制自始至终都在为企业目标的实现服务，具有一贯性和连续性；内部控制“合理保证”的特征要求在企业内部与外部环境变化的同时，内部控制要做出适当调整从而确保企业目标的实现。但内部控制运行机制通过怎样的环节运行，运行过程中应注意什么问题，以往的研究表述不多，本文做些初步的探讨。
    一、建立内部控制运行机制
    内部控制应当是企业为保证各项活动按计划进行并纠正各种重大偏差的一种内部监督行为，加强内部控制的原动力应当来源于企业自身。在企业运营的同时内部控制也有自身的运行机制，企业运营不停止，内部控制运行也不会停止。内部控制运行机制就是指内部控制从起始环节到结束环节的整个过程，它由明确目标、确定标准、强化执行、监督检查、完善提高五个环节组成，缺一不可。内部控制的运行是一个持续、上升的过程，内部控制运行机制正是通过纳入企业的运营过程中得以实现，最终为企业目标的实现提供合理保证。
    （一）明确目标
    明确目标是内部控制得以运行的首要环节。内部控制运行同企业生产运营一样，只有明确应该达到的目标，才有开展的必要性。在COSO内部控制报告中提到了三个目标：营运的效率和效果、财务报告的可靠性、相关法律法规的遵循性，其中第一个是为了企业本身服务，后两个是为了投资者和政府服务。从企业本身而言，第一个目标的重要性远大于后两个目标，企业设立的根本目的是实现企业价值最大化，而营运效率和效果的提高更可以促进企业实现价值最大化。
    随着市场经济体制的建立以及内部控制理论不断成熟完善，内部控制的目标已经由查错防弊，确保会计信息的准确、真实、完整和资产的有效保护转变发展到经济业务的正常运作、管理方针的顺利实现、提高企业的经营效率和经济效益，进而实现企业价值最大化。因此，企业内部控制运行机制目标的设计应与企业整体目标相联系，内部控制是企业运营系统中的控制要素，只有从企业的整体利益出发，建立起直接与企业整体目标相关的内部控制目标，才能使内部控制具备不断加强与改善的动力。
    （二）确定标准
    内部控制标准是内部控制运行所要遵循的各类规定和制度。在确定了内部控制所要达到的目标后，就应该根据目标确立一系列与企业实际相适应的、科学的控制流程、控制制度和控制措施，其具体表现为企业的业务制度、规范、程序和计划指标或技术定额等，作为衡量实际控制效果的标准和尺度。
    目前，政府部门及其监管部门都发布了相关的内部控制标准。对于企业而言，内部控制标准就是在法律法规的框架内结合自身的实际情况，设计出本企业适用的、以内部控制指引为基础的制度、流程和措施。企业的控制标准设计应关注两点：其一，要保证控制标准的合理性和科学性。由于控制标准是进行内部控制评估的基础，直接关系到内部控制评估的具体结果，而且在内部控制评估与绩效考核相挂钩的情况下，更关系到对相关责任人的奖罚；其二，要保证控制标准与时俱进、不断创新。由于外部环境及企业自身条件都在不断的变化中，因此企业的控制标准也不是一成不变的，而是要不断创新，更好地适应企业的内外部环境的变化，以达到为企业目标更好服务的目的。
    中国人寿保险集团公司根据集团公司各部门的工作制度、工作流程以及措施制定出《中国人寿保险（集团）公司内部控制指引》，该指引实现了风险控制目标、风险控制点、控制制度、控制流程和控制措施的统一，并计划对其定期进行修改完善，不断改进。
    （三）强化执行
    强化执行是内部控制运行的第三个环节。在根据企业目标制定了内部控制标准之后，最为关键的是采取相应措施将内部控制标准融入到企业的运营过程中，使内部控制标准得到严格遵循以得出真实的内部控制效果，保证企业目标的实现。相应措施主要体现在以下几个方面：
    1、要提高认识。董事会和管理层应坚持把内部控制置于战略高度，并努力提高普通员工对内部控制重要性、迫切性的认识。通过内部控制标准确定一系列制度、程序和方法，把内部控制落实到每一个部门、每一位员工，并渗透到决策、执行、监督、反馈等各个环节。保证内部控制的全员参与、全过程控制以及全方位管理，达到对风险的事前防范、事中控制、事后监督。
    2、要全员参与。COSO的内部控制概念中强调内部控制是由企业董事会、经理层和其他员工共同实施的，可见企业内的任何一名员工都应参与到内部控制管理中，也应被纳入到内部控制运行过程中，实现内部控制运行过程中的全员参与。明确个人在事前、事中、事后不同的风险控制责任，明确各部门、各岗位的具体职责。只有从上至下的全员重视，并严格按照内部控制指引的规定进行操作，才有可能避免风险事件的发生。
    3、与绩效考核相挂钩。根据行为科学理论，为了最大限度地发挥人的主观能动性，只有根据行为效果进行奖罚才能实现人的行为效果的最大化，因此必须要把激励和约束机制引入到内部控制运行机制中来，完善管理层上下级之间的委托代理关系。把内部控制的相关工作明确责任，落实到人，按照管理层次进行层层分解落实，并且和公司的经营目标、岗位责任联系起来，进行必要的奖罚和考核。通过内部控制运行绩效挂钩，达到进一步强化内部控制执行的目的。
    （四）监督检查
    监督检查是作用于内部控制运行机制的控制手段，是保证内部控制有效运行的根本措施。内部控制运行机制通过融入企业运营过程中的大量制度及活动予以实现，要确定既定政策和程序是否切实执行且效果良好，建立的标准是否遵循资源的优化配置、是否合理有效，以及组织目标是否达到，就必须持续不断、定期地对内部控制运行进行检查和评估。同时，由于企业的经营环境和内部管理的变化，或者员工疏忽大意、舞弊等情况的出现，可能会导致某些内部控制环节的失效，也只有不断监督检查内部控制的运行情况，才能及时发现问题和加以解决。因此，只有通过在一个组织内部对内部控制进行独立监督检查，才能不断提高内部控制运行的有效性和可靠性。
    监督检查是指由特定主体对内部控制设计的健全性与合理性，以及实施的有效性进行的检查、测试与评价。其基本职能是通过定期的监督、检查和评估，促使企业内部控制运行机制持续而有效地运转。内部控制监督检查的作业方式有当事人自查自评和接受他人监督检查与评估两种方式。监督检查与评估的依据应是企业章程和各类内部管理与控制规定，即控制标准。作业对象可以是整个企业，也可以根据情况选定某些部门、某些业务或某些流程。
    对于企业而言，对内部控制进行监督检查的目的不仅仅在于独立评价，它应在帮助管理层实现企业最终目标的过程中发挥更大的作用。通过对内部控制的监督检查，针对内部控制的缺陷、管理的漏洞，提出切实可行的、富有建设性的建议和措施，促进管理层进一步改善经营管理，提高企业综合能力。因此，在开展内部控制监督检查的过程中，企业需要不断探索适合自身的内部控制监督检查的方式。
    中国人寿保险集团公司已经开始试点内部控制检查，在各部门自查的基础上，再由集团公司审计部牵头组成联合检查小组，对内部控制运行情况进行评价。内部控制试点检查工作依据《中国人寿保险（集团）公司内部控制指引》进行，并根据《中国人寿保险（集团）公司内部控制评级办法》进行评价，在对评价结果进行量化的基础上，确保评价的客观、公正。
    （五）完善提高
    内部控制的根本目的是保证单位既定目标的实现，而内部控制在运行过程中由于各种因素的影响常会出现偏差。如果这种偏差是由于执行不力造成的，要消除偏差就必须对内部控制执行措施进行完善提高；如果这种偏差是由于内部控制标准本身制定不严谨、不完善造成的，就必须对内部控制标准进行完善提高。
    根据控制论的原理，内部控制运行采取的是平衡偏差调节的闭环控制方式。闭环控制方式表明内部控制运行机制是通过明确目标、确定标准、强化执行、监督检查、完善提高五个环节的循环往复得以实现。如果没有完善提高环节，内部控制运行就是简单的周而复始、循环往复，正是由于完善提高环节的存在，才确保了内部控制运行是一个持续前进、不断上升的过程。
    完善提高是内部控制运行机制的最终环节。通过监督检查得出的结论为内部控制的完善提高提供了实践依据，对已有内部控制所存在的缺陷做出修正与调整，对新的经济业务活动根据其特点和经营管理目标设计相应的内部控制制度，使得内部控制的局限性控制在可接受范围之内，内部控制运行得到整体优化与规范，通过内部控制运行的完整、合理与有效来确保企业目标的实现。
    二、完善内部控制运行机制的措施
    在内部控制运行过程中，为了促进内部控制运行机制发挥更大的作用，企业需要在组织文化、治理结构、人力资源、信息技术方面采取一定的措施，进一步完善内部控制运行机制，提高内部控制运行的效率和效果。
    （一）组织文化方面
    在内部控制机制有效运行的同时，企业必须促进积极的、良好的内部控制文化的形成和建立，并转化为员工的职业道德和工作习惯，从而进一步促使良好的控制环境的形成，加强企业的凝聚力。
    从内部控制运行来看，企业需要建立能促使企业最终目标实现的文化氛围，员工在这种文化氛围中会以积极的态度、较强的责任感明确自身的职责及应完成的工作。通过促进员工的积极性、主动性、创造性，将内部控制理念渗透到每个岗位和每个操作环节，促使员工熟悉工作流程，严格按照控制标准进行操作，强化控制措施，确保内部控制机制有效运行，最终使之为组织目标的实现提供合理保证。
    （二）公司治理方面
    公司治理是最根本的内部控制，内部控制系统割舍掉公司治理结构如同摩天大楼没有了地基。完善公司治理有利于从源头上防范风险，从而有效加强内控制，促进公司健康发展。
    从内部控制机制运行来看，正是这种机制实现了沟通、激励、协调和监督公司上下级之间的委托代理关系，降低了代理风险和成本，提高了代理效益。对于大型集团公司而言，治理结构更为重要。其一需要建立董事会下的内部控制委员会来对内部控制机制运行进行专门管理；其二需要健全各所属公司的内部控制部门，分别对各自公司的内部控制机制运行情况进行管理和监督，以达到整个集团公司在内部控制与风险管理上的一致性和可协调性，确保集团公司目标的实现。
    （三）人力资源方面
    一个企业的人力资源政策不仅影响着企业的业绩，也关系到企业内部控制的强弱。人力资源政策决定员工的风险意识，风险意识的强弱直接影响到企业的行为和各项业务处理的质量，进而影响到企业内部控制的效率和效果。
    内部控制运行机制中提到要将激励和约束机制引入到内部控制机制运行中来，就是指要在内部控制监督检查后，根据检查结果对相关责任人进行奖罚。因此，人力资源政策中与内部控制相关的奖罚政策极为重要。如果奖罚政策制定得过高，可能导致罚多奖少，影响员工积极性；如果奖罚政策制定得过低，可能会致使员工忽略内部控制建设，进一步导致风险控制能力减弱。对于企业而言，不仅要制定出科学合理的奖罚政策，而且随着内部控制的不断改进，奖罚政策的标准也要不断改进，以达到激励和约束的目的，完善内部控制机制的运行。
    （四）信息技术方面
    良好的信息系统可以使企业及时掌握营运状况和组织中发生的各种情况，可以及时为企业员工提供履行职责所需的各种信息，财务管理、业务管理等通过信息系统完善工作流程。信息系统在内部控制运行中是不可或缺的。
    在内部控制机制运行过程中，需要建立健全财务、业务等各方面的信息系统。信息系统的建立健全不仅可以实现数据处理时间和数量上的超越，而且可以有效防止部分人为风险，促使内部控制运行更加健全有效，确保各类信息得到及时传递和处理，确保企业目标的实现。