内部控制实施的理性与障碍

内部控制是为了达到经营活动的效率和效果、财务报告的可靠性、保护资产的安全和完整、确保有关法律、法规和规章制度的贯彻执行而制定和实施的一系列控制方法、措施和程序。在经济发达国家，内部控制被广泛采用并日趋完善，在公司治理和审计业务中发挥着积极的作用。目前，我国企业界和会计行业对推进内部控制建设不遗余力，对内部控制作用的认识提到很高的高度，对内部控制的实施存在过于乐观的态度。对此，笔者认为应有清醒的认识。

一、内部控制是把双刃剑

内部控制在本世纪引起人们的重视，源于美国《萨班斯一奥克斯利法案》。自2001年美国安然公司和世界通信等公司粉饰财务报表的事件被曝光并相继倒闭以来，美国上市公司的公信力岌岌可危，资本市场风雨飘摇。美国参众两院在2002年迅速出台并通过了《公众公司会计改革与投资者保护法案》，即《萨班斯一奥克斯利法案》。404条款是《萨班斯一奥克斯利法案》中最难操作、最复杂的一个条款。条款规定：在美上市企业要建立内部控制体系，包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。内部控制活动的记录不仅要细化到产品付款时间之类的细节，而且对重大缺陷都要予以披露。内部控制涵盖企业运营的各个领域，一旦投入实施，必将引起整个企业控管流程的改变。

从2006年7月15日起，年销售收入在5亿美元以上的在美国上市的外国公司，都必须开始执行《萨班斯一奥克斯利法案》。问题的关键在于，企业即使花费了巨大的投入但最终未必能够拿到“合格证”。调查资料表明，在《萨班斯一奥克斯利法案》正式实施两年多的时间里，尽管美国本土上市公司大多竭尽全力甚至不惜工本地遵循该法案的各项要求，但仍有500多家上市公司被认定为不达标，占美国上市企业比例的14％。对于这些未能通过《萨班斯一奥克斯利法案》考验的公司，其所受到的处罚，轻则股价下跌，重则会受到监管机构的处分，甚至以“提供虚假信息”和“隐瞒重大事实”而被提起集体诉讼，直至上市公司被摘牌等。

《萨班斯一奥克斯利法案》可能产生的后果不仅仅是上市公司内部控制的无所适从和疲惫不堪，还会导致美国证券市场的痉挛和阵痛。对许多企业而言，《萨班斯――奥克斯利法案》要求建立严密内部控制的高昂成本已经超出了其所能承受的范围，因此，选择退出资本市场无疑成为最明智的选择。据不完全统计，2007年相继退出美国股市的外国公司包括德国化工巨头巴斯夫集团、德国阿尔塔纳化学公司、德国西格里碳素集团以及中国首家赴美上市的华晨汽车公司。

对于已经在美国上市的中国企业而言，必须直面实施《萨班斯一奥克斯利法案》所造成的内控成本上升和诉讼风险增大的影响。目前，几乎所有在美上市的中国企业都已经投入了大量的人力财力，进行公司内部控制系统和风险控制流程的重组，由于企业内部相关人才匮乏，中国企业基本上是借助外力来完成的：或者雇佣四大会计师事务所或投资银行对公司的内部控制体系进行诊断、发现相关薄弱环节、并加以改善；或者购买由专业公司量身定制的内控管理软件或综合财务管理软件系统。因此，这些企业还有两点需要注意：一是充分保持审计委员会的独立性、赋予审计委员会真正的权利，让审计委员会充分发挥在内控体系中的重要作用；二是招揽熟悉美国证券法律、特别是《萨班斯－奥克斯利法案》的专业人才，积累在美应诉的宝贵经验，为将来的潜在诉讼做好应对准备。

二、内部控制不能解决一切问题

内部控制作为公司一项内部基础性治理活动，是公司治理的关键组成部分和重要基石。在公司治理中，内部控制通过风险监控和控制确认确保公司的内部利益相关者有效履行其受托经济责任，并为组织的其他治理主体提供信息支持。当内部控制有效时，能显著提高公司治理成功的可能性。但当公司治理不规范时，公司也不可能有健全、有效的内部控制。

在企业生产经营规模不断发展壮大过程中，内部控制系统起着不可或缺的作用。当企业处在创业和发展的初期，不可能也没有必要建设健全的内部控制系统；当企业生产经营规模发展到较大时，应该建立并不断健全其内部控制系统，以确保企业健康、稳定发展；当企业生产经营规模发展到很大时，必须建立健全其内部控制系统，以促使企业长期、可持续发展。因此，可以说先进的内部控制造就先进的企业；先进的企业必须有先进的内部控制做保障；内部控制成为公司治理的重要组成部分和前提。

内部控制是一种先进的控制机制，不是说内部控制什么都好。内部控制决不是十全十美的，也存在许多内在的不足。设置内部控制系统要受成本与效益原则的制约。一般来说，内部控制的成本不能超过风险或错误可能造成的损失和浪费，否则，内部控制措施就不符合经济性。内部控制可能因为经营环境、业务性质的改变而削弱或失效。企业针对经常变化的环境势必要经常调整经营策略，这就会导致原有的控制程序对新增的业务内容失去控制作用，在变化过程中可能会发生差错或不合规行为。不同行业、不同领域、处在不同管理水平上的企业在内部控制系统的设计与实施上存在差异，对统一化、标准化生产适用的或者在较为健全的控制环境下适用的内部控制系统，可能会在另一些环境下、另一些领域和企业受到冲突。内部控制可能因为有关人员相互勾结、内外串通而失效。任何内部控制都不能防止那些负责监督控制的管理人员，都存在着管理人员避开、或批示其下属避开某些预定程序的可能性。在某些情况下，企业管理当局担任控制职能的人员可能权力过大，以至于凌驾于控制之上。因此，没有一种内部控制是完美无缺的。但在人类迄今发明和推行的所有企业管理制度中，内部控制是弊端最少的一种，相对而言，内部控制是人类迄今最好的企业管理制度。

内部控制是一种先进的控制机制，不是说内部控制能解决一切问题。内部控制是一种保障企业生产经营正常运转的管理制度，只是人类众多管理制度中的一种，主要规范企业的生产经营管理，而不能取代其他制度去规范企业的全部活动。内部控制有内在的局限性，不可能解决企业的所有问题。但内部控制能保障企业运营的效果和效率，能保证财务报告的可靠性，能确保企业遵守相关的法律法规，本身就是企业的基本管理制度。内部控制不仅是确保企业正常生产经营的手段，更是确保企业实现发展目标的重要措施。

三、内部控制不会一蹴而就

内部控制是一种先进的控制机制，并不是说内部控制在企业都能顺利实施，而是需要一定的环境和条件。内部控制的实施，在我国目前还存在内外部环境不完善等障碍和困难，主要表现为：

一是认识和理解上存在偏差，缺乏内部控制的文化建设。目前企业对内部控制的认识和理解上存在偏差，许多管理人员认为，内部控制就是关于生产经营活动的各项工作制度和业务规章汇总，有了关于生产经营活动的规章制度，企业就有了内部控制。把内部控制等同于规章制度，而没有理解内部控制的内在含义，即忽视了

内部控制是一种机制，是一种业务运作过程环环相扣、监督制约的动态控制。

内部控制需要董事会、高级管理层和各级工作人员共同努力才能实现，企业内部的每一个工作人员都必须参与。随着企业外部监管力度的加大和企业内部改革与发展的需要，企业员工的风险意识得到了增强，但企业的内部控制建设还没有上升到一种文化的建设上来，事实上现在企业各种产品和业务种类的管理上，内部控制的建设并没有作为文化建设的范畴来规范和梳理，内部控制的建设没有深入人心，没有形成有效防范道德风险的机制。员工不但对政策掌握不准、规程了解不深、责任心不强、审查环节把关不严，且单纯追求片面的业务指标。这些问题都容易使企业从业人员滋生道德风险，直接导致职务犯罪等腐败行为，引发经营风险，影响企业经营安全和发展。

二是相关法律法规不健全，实施内部控制无法可依。相对于生产经营业务快速发展的实际需要，有关法律法规相对滞后的问题较为突出。当前，我国经济体制仍处在深化改革过程中，经济法律体系有待进一步健全。《独资企业法》、《外资企业法》、《中外合作经营企业法》以及《民法通则》等有关生产经营业务的法律法规已施行多年，有些具体规定已经不适合当前生产经营业务市场的实际情况。尤其是对于一些新的生产经营业务类型、操作方法和风险控制手段，目前还缺乏及时有效的法律、法规予以规范。

随着生产经营业务的广泛开展，各种新的生产经营业务种类产品不断出现，导致现有的制度跟不上形式的发展需要，没能随着业务发展的客观环境的变化进行及时修改，形成了生产经营业务内部控制领域的“真空”；有些新业务已经开始，但相应制度尚未建立，致使运作上带有盲目性，有些制度过于概括和条理化，操作性不强，不能为业务提供实际的指导；有些制度偏重于纪律约束，缺乏必要的程序控制；有些制度缺乏必要的处罚措施，还有的是在实际工作中有制度，但缺乏严格的、经常性的检查，使一些基本制度如柜台交叉复核、双人双责和事后监督等难以落实，替岗、代岗等现象时有发生。这些不完善和不健全导致了内部控制上的漏洞和操作上的失误，增大了企业的经营风险。

三是组织结构不尽科学，部门之间分工不明确。企业内部组织结构不尽科学，部门之间分工不明确，权力制衡在业务运作中“失灵”。企业中存在结构缺乏严格的授权管理和集体决策程序，在对分支机构及部门的管理上授权不清、责任不明，甚至出现滥授权、滥用权的现象，有些分支机构权利过大，甚至兼顾数职，部门内部岗位之间责任不清，内部权责脱节，内部检查流于形式，减少和预防差错的能力被削弱。由于对授权、授信没有进行统一管理，权力得不到有效制约，加之一些监督部门不能有效履行监督职能，同时部门设置上交叉重叠，缺乏严格的文件传递程序、明确的岗位操作规范和有效的内部控制办法，致使遇事互相推诿，无人负责，造成工作上的低效率。

四是内控的技术含量过低，信息沟通渠道不畅。随着计算机技术的不断完善和发展，计算机日益作为业务处理的手段而被广泛应用。然而我国不少企业生产经营业务的一些内部控制环节采用的还是人脑控制，而非电脑控制；各部门之间信息沟通还主要靠传统的开会、发文件，信息沟通渠道不畅。即便是有电脑记录信息的企业也不能达到用技术手段来获取需要信息的功能，面对每天出现的大量信息，即使责任心再强的操作员也有可能会因为业务繁忙或所需要提取的信息太过庞杂而在执行中出现纰漏，这就必然导致内部控制失效、风险发生。目前，企业的操作或欺诈风险多辅之以高科技手段，必须利用IT控制，采用先进的信息技术来识别、评估、监控、管理这些不断变化的风险。

五是对人的控制手段薄弱，“软控制”技术手段落后。人的因素是内部控制中的最重要因素。人是组织生产经营的执行者，也是风险的控制者与制造者。所以，企业内部控制不仅是针对物和事、流程的控制，从根本上说，应是针对人的行为控制。由于内部控制是全体员工共同执行的，贯穿整个企业流程，所以员工的行为直接决定了内部控制的成效。而我国企业内部控制中对人的控制手段薄弱，“软控制”技术手段落后，存在的问题主要有：企业的发展战略与员工的人生价值追求相脱节，导致员工对企业的发展漠不关心；在控制人性弱点方面缺乏有效的措施和手段，员工的各种自利与败德行为时有发生；缺乏激励与引导机制，员工的主动性无法充分调动。

六是外部监管体系不完善，实施内部控制缺乏压力。广义的企业风险控制机制应由内部控制系统与外部的监管体系共同构成。外部监管体系在企业面临巨大系统风险时，应起首道“防御墙”作用。但我国市场经济和其监管体系正在建设中，尚未成熟。加强监管体系的建设，疏导系统风险，有效监督企业行为，为企业实施内部控制增加外部压力，政府与监管部门的作用必不可少。尽管2008年7月财政部、证监会、审计署、银监会及保监会联合了《企业内部控制基本规范》，用以规范企业信息披露，旨在提高公司财务报告的真实性和可靠性。具体而言，执行该规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对其内部控制的有效性进行审计。但由于国务院国有资产监督管理委员会等部门没有参加，致使该规范的适用对象仅为上市公司，我国大部分企业都不需执行该规范。