關于內部控制的思考——概念、功能及實施（一）內控是什么？談到內部控制時，由于各方所處角度不同，對內部控制的看法也是各式各樣。A老板說：小李，你找?guī)讉€人，搞一套內控手冊，應付下證監(jiān)會檢查。B老板想：管采購的老王有點不對勁啊，趁這次搞內控，我得敲打敲打他。C員工抱怨：搞啥內控啊，平白無故多了這么多工作量，我也沒看到有啥用。D員工拍手稱快：就應該搞搞內控，要不然虛報費用、吃回扣，公司的錢都讓那些人踹自己兜里了。E外審愁眉緊鎖：這公司內控太差勁了，我這個審計風險和成本咋控制啊?！孟駜瓤厥莻€筐，啥都往里裝。追根溯源，一般認為內控在早期是以內部牽制思想的形式存在的，在古羅馬時代，對會計賬簿實施的“雙人記賬制”某筆經濟業(yè)務發(fā)生后，由兩名記賬人員同時在各自的賬簿上加以登記，定期核對?，F在財務和出納的崗位設計也是此種思想的體現。之后，“相互牽制”逐步細化為“以職務分離和賬目核對為手法，以錢、賬、物等會計事項為主要控制對象”。而到了1934年，美國《證券交易法》首先提出了“內部會計控制”概念，強調建立內部會計控制系統(tǒng)，對交易授權、資產安全等進行控制。一直到90年代內控理論的里程碑——coso的內部控制整合框架誕生?？梢哉f，內控其實一直都是一種管理思想，職責分離、授權、記錄等只是具體實現手段。如何理解內部控制思想，有兩個關鍵點值得關注——風險導向、利益相關者角度。而這兩點也是存在內在關聯的。1、風險導向進入二十世紀，coso發(fā)布了內控整合框架的升級版——全面風險管理框架（ERM），盡管coso并不認為ERM是對內控整合框架的替代。但不可否認的是，風險導向的內部控制越來越受到重視，也被大家廣泛提及。關于這點也是有現實背景的。我們都知道，安然、世通的破產丑聞導致sox付諸實施。但sox實施卻遭到了眾多上市公司和行業(yè)協會的反對，為什么？——成本太高。為什么成本高？——因為采取的是自下而上、逐項檢查的方式，人工成本當然高。這時SEC出來安撫上市公司：我也不想讓你們花這么多錢啊，你們要搞自上而下、風險導向的內部控制，識別重大風險進行控制。PCAOB也適時的向外部審計師們推出了第5號審計準則——風險導向的內控審計準則。當然這些沒有根本解決問題，后文會具體闡釋。說到底風險導向的內部控制是為了實現統(tǒng)一企業(yè)內外部需求、平衡企業(yè)成本收益的目的而出現的，這也是內部控制發(fā)展的必然趨向。2、利益相關者角度風險導向的內部控制的發(fā)展趨勢，也可看作企業(yè)利益相關者之間博弈的體現。對于企業(yè)管理層來說，盈利、業(yè)績增長是最重要的，需要權衡成本收益；而對于外部投資者或監(jiān)管機構，由于信息不對稱，需要企業(yè)建立內部控制保證財務信息的真實準確（當然會計準則本身也可以看做博弈的結果）。站在利益相關者角度思考，可以回到開篇看看ABCDE各方的想法，就會有更深層的理解了。機制設計理論中經常會提到的一個名詞叫激勵相容，激勵相容是一種制度安排，即讓行為人追求個人利益的行為，正好與企業(yè)實現集體價值最大化的目標相吻合。因此，內部控制離不開控制目標。充分考慮利益相關方設置控制目標，才能做到有的放矢，做到風險導向，激勵相容才有可行性。（二）內控可以做什么？內控現在能做什么？未來能做什么？對于企業(yè)來講，這個問題意味著內控要去實現什么功能。先講一個有意思的事情，在去某企業(yè)調研前，該企業(yè)預先提供了他們企業(yè)的管理制度。一堆管理制度中間有一個制度很是扎眼，名叫《內部控制管理制度》。打開之后發(fā)現，這個制度叫coso內控框架的擴展版或許更合適，估計這也是該企業(yè)臨時弄出來的。這反映了一個問題：該企業(yè)將內部控制當成了像預算管理一樣的具體業(yè)務活動了。正如在第一部分中提到的，內控是一種管理思想，貫穿整個業(yè)務流程，它從風險控制的角度給企業(yè)提供了管理改進的思路。相對于西方發(fā)達國家的企業(yè)而言，這對中國企業(yè)的現實意義更大。發(fā)達國家在現代企業(yè)管理實踐方面走過了上百年的路程，亨利福特、法約爾、斯隆等等，通過他們的理論和實踐，發(fā)達國家企業(yè)管理的整體水平是比中國高的。而中國企業(yè)則可以通過實施內控有效的解決很多現實和基礎的管理問題，在這方面中國的監(jiān)管部門還是下了一些功夫的。和其他很多領域一樣，中國的監(jiān)管機構習慣于插手具體的事務性東西，所以才有了五部委的《內部控制應用指引》及金融行業(yè)的各類指引。對于應用指引本身各方看法不一，但五部委的內控應用指引某種程度上可以看作最佳實踐（bestpractice）。而對于企業(yè)來講，內控應用指引提供了以下一些值得關注改進的方面：1、業(yè)務流程梳理很多企業(yè)專注于市場開拓，有時忽略企業(yè)內在的業(yè)務流程的梳理。管理制度一個接一個的發(fā)布，卻發(fā)現問題還是層出不窮，然后繼續(xù)發(fā)布管理制度。在這種情況下，借助于內控實施，對企業(yè)的所有業(yè)務活動進行梳理劃分、評估，會為未來管理提升打造一個基本的框架，通俗的說樹立了一個靶子。2、明確權責權力在企業(yè)內是一個敏感的話題，權力也需對應著責任。但在很多企業(yè)權力與責任并不對等。例如一個房地產公司，一個專業(yè)分包采購，職能部門負責人、分管副總七八個人一路審批下來都沒啥問題，最后到老板處審批，發(fā)現報價比市場上的高了幾百萬。老板很憤怒也很無奈，這么明顯的問題他們咋都沒看出來呢。不過這事也不能全怪他們，本身老板就喜歡事無巨細的拍板各項事務。很多人也喜歡越級直接找老板審批，這樣中高層管理者也樂得不管，反正最后都是老板批的，出了問題也不能拿我怎么樣。所以說授權不是說說的，首先，授的是什么權；其次，得有緊箍咒，必須明確責任。我們在幫助客戶梳理審批流程時，非常關注審批的實質意義，是不是需要這么多的審批環(huán)節(jié)？每個環(huán)節(jié)承擔的責任在哪？這是非常重要的。3、財務角色的重塑財務部門的職責首先是記賬，但在很多企業(yè)也就僅限于此。指引非常強調財務部門的經營控制職能，在很多跨國企業(yè)CEO也是CFO出身的。資產保全、成本控制、投資決策等等都離不開財務人員，當然首要的就是要提升財務部門的地位。很多企業(yè)成本控制做不好，那首先問問財務部門是否掌握了第一手的成本費用信息？4、企業(yè)文化提到企業(yè)文化，很多人都覺得挺虛的。COSO五要素中首要的是內控環(huán)境，企業(yè)文化是構成內控環(huán)境的重要因素。最近這一段時間來，我越來越覺得內控環(huán)境對于內控有效性會產生非常重要的影響。就像空氣質量一樣，面對污染嚴重的空氣，運動越多反而對身體越有害。企業(yè)文化跟企業(yè)的戰(zhàn)略發(fā)展相適應，但一些基本要素是要得到重視的。比如要重視員工道德價值觀的培養(yǎng)，企業(yè)的管理層也要注意自己的日常行為，要尊重規(guī)則等等。關于內控能做什么，以上內容基本未涉及“風險”。在目前來講，內控對于中國企業(yè)完善企業(yè)基礎管理工作是有積極意義的，而在此基礎上才有能力再談其他。（三）內控如何評價？——標準之惑我們如何評價內控？評價內控的標準又在哪里呢？這個問題總結起來就是——內控的標準之惑。A企業(yè)經過幾個月熱火朝天的奮戰(zhàn)，整理出來了幾大本裝訂精美的內控手冊，監(jiān)管機構的領導們閱畢大加贊賞，然后手冊束之高閣，這個是好的內控嗎？事務所對B企業(yè)出具了無保留意見的內控審計報告，這個是好的內控嗎？C企業(yè)出納是老板的小姨子，領對賬單，做余額調節(jié)表，從不與會計對賬，工作多年沒出過差錯，這個企業(yè)的內控好嗎？BP石油為墨西哥灣漏油事件付出了幾十億美元的代價，BP的內控不好嗎？1、什么是好的內控？如何評價內控好與不好呢？以實際發(fā)生的損失來評價嗎？這個標準好像不錯，那BP損失了幾十億美元，他的內控真的是爛到家了。而C企業(yè)內控很不錯呢。真的是這樣嗎？記得之前和一家外資石油公司的風險管理人員交流過BP的問題，在他們看來BP作為全球最大的石油公司，其風控能力是毋庸置疑的。但無論怎么控制，剩余風險總是存在的。BP選擇接受這個極低概率的剩余風險，但不幸的是碰上了百年一遇的事故，只得選擇接受。風險的發(fā)生是存在概率的，內部控制無法完全消除風險（除非選擇不做這項業(yè)務）。因此，從邏輯上來講，風險損失產生并不必然表示內控體系不好。那B企業(yè)應該不錯吧，審計報告擺著呢。銷售收入確認、應收賬款的計量都挺合規(guī)。但是因為選擇客戶時沒什么把關程序，導致產生了不少壞賬。那這還是好的內控嗎？A企業(yè)我就不說了……如果評價上面四個企業(yè)的內控，我們會覺得很迷茫。評價標準究竟在哪呢？諾貝爾獎獲得者赫伯特西蒙認為，有限理性的人類無法預知未來，我們只能做出“合理”的決策，所以我們應著眼于“合理”的決策。好的內控需要我們好好思考是否在以下幾個維度花了足夠的功夫：明確企業(yè)發(fā)展戰(zhàn)略清楚的知道存在哪些重要利益相關方（或者說內外部環(huán)境分析）合理及可操作的控制目標識別重要風險制定并評估控制措施清楚的知道自己的風險容忍程度（杜絕被動的盲目樂觀情緒或鴕鳥心態(tài)）還是之前的那句話，法無定法，不可能存在一個適用于所有企業(yè)的完美的內控體系。但做到以上的內容或許有助于我們接近理想的彼岸。2、內控缺陷誰說的算？上面簡要討論了好的內控需要努力的方向，在達到理想彼岸的過程中，持續(xù)評價企業(yè)的內控缺陷，并進行改進是必然要做的。但對于企業(yè)內部管理者和外部審計師而言，這卻是個剪不斷理還亂的難題。翻遍了各項規(guī)范，我們發(fā)現關于控制缺陷的描述以及識別程序好像只有中注協的《內控審計工作底稿編制指南》說的比較詳細，沒辦法外部審計師要靠著它干活呢。那國外呢？不幸的是，此類問題依然存在。而且更不幸的是，美國人沒有《內部控制應用指引》。SOX法案一出，各方震動，監(jiān)管機構手握大棒心里挺美。SOX法案怎么實施呢？監(jiān)管機構說：用COSO的框架啊。而且PCAOB早在第2號審計準則中就認可COSO整合框架為其制定基礎。問題解決了嗎？No！企業(yè)管理層想：我被置于何地呢？讓我直接使用COSO框架嗎？不幸的是，COSO框架的制定者并不這樣認為，COSO整合框架制定團隊的成員Schwartz說：COSO整合框架回答了兩個問題——內控是什么和怎樣實現內控。換言之，COSO整合框架只是致力于統(tǒng)一內控的定義。StevenRoot的研究認為：COSO整合框架并非高級經理評價其內控充分性的最佳標準。IMA的研究也表明，大部分企業(yè)管理人員不得不使用外部審計師的準則來評價其內控缺陷。這又讓我不得不想到開頭提到的B企業(yè)。這時我又不得不佩服中國的監(jiān)管者們，《內控應用指引》還是可以考慮拿來作為內控缺陷的參考評價標準的。當然了，生搬硬套肯定不行，還是要從企業(yè)實際出發(fā)的。這可以看做內控缺陷評價的初級階段。把內控應用指引拿來直接用，有點偷懶但不會出什么大問題。但對于一個在管理上追求卓越的企業(yè)來講，這是遠遠不夠的。對于風險導向的內部控制來說，評價內控缺陷的終極標準永遠都是——風險的控制效果（盡管無法預知未來的我們或許只能用概率或損失的期望值來衡量）。在確定內控缺陷評價標準時，企業(yè)不妨問自己以下問題：我們有明確的戰(zhàn)略目標嗎？或者近三五年有明確的經營規(guī)劃嗎？針對各項業(yè)務我們有具體的控制目標嗎？我們是否意識到了企業(yè)內外部存在的重要風險？對這些風險我們是否冷靜的進行了評估？面對風險我們是否愿意勇敢且謹慎的面對？如果以上的問題得到足夠的重視和處理，那么內控缺陷評價就有了堅實基礎和指向。（四）內控由誰來做？前面三部分談到了內控是什么、可以做什么，以及如何評價的問題。還有一個關鍵的問題沒有提及，那就是內控由誰來做。對于內控由誰來做，有人會說，內控的概念不是提到了嗎？董事會、管理層、員工都要參與的啊。這確實不假，但對于一個準備構建完善內控體系的企業(yè)來講，怎樣推動這項工作展開呢？即企業(yè)內控體系構建的“第一推動力”從何而來。需要說明的是，這里討論的是哪個主體來具體組織、推動內控體系建設工作，而非指的是所有參與內控建設的主體。正如之前的文章所談到的，內控會反映企業(yè)不同利益相關者的利益訴求，這意味著選擇內控組織實施工作的主體時，就必須要面對各方的利益訴求。我們從外部投資者和監(jiān)管機構最關心的財務報告內部控制說起。目前國內上市公司內控建設正搞的如火如荼，以下情況或多或少都會碰見：A企業(yè)，老板心想內控不是與財務最相關嗎？而且年報審計時也是他們與外審對接，由他們干正合適。B企業(yè)，董秘又接到證監(jiān)局的文件了，要求加緊推進內控建設，還要提交內控工作年度計劃，董秘硬著頭皮組織人員開干。C企業(yè)，內審部由于人員專業(yè)性強，義不容辭的承擔起了內控建設的組織任務。D企業(yè)，老板尋思各個業(yè)務部門都有很多事情在忙，那只好由辦公室來組織搞內控了。E企業(yè)，老板想大家都挺忙的，而且好像對內控也都不了解，那找個咨詢公司吧，全交給他們做好了。.?.....現實中，企業(yè)組織搞內控的主體是五花八門。五部委的內控基本規(guī)范有這樣的規(guī)定：“內部審計機構應當結合內部審計監(jiān)督，對內部控制的有效性進行監(jiān)督檢查?！边@么說就應該內審部門來做嘍。但是，我們在這里需要先明確一個問題：基本規(guī)范中提到的內審機構對內控體系的監(jiān)督職能，是指在企業(yè)已經建立起了系統(tǒng)的內控體系之后，內審部門所要發(fā)揮的職能。而關于這點是沒什么爭議的。但系統(tǒng)的內控體系不是天上掉下來的，需要企業(yè)去花功夫建設。而這就涉及到我們開篇所講到的“第一推動力”的問題。究竟由誰來牽頭實施內控建設，應關注三個關鍵影響要素：公司治理、專業(yè)性、成本。而這三個要素在某些情況下也是存在矛盾的。1.公司治理內部控制若要發(fā)揮作用，良好的公司治理環(huán)境是必不可少的，同時內部控制也是實現良好公司治理的有效途徑。這也是SOX法案實施的重要目的所在。SOX法案規(guī)定：建立健全財務報告方面的內部控制和程序是公司管理層的責任，公司的首席執(zhí)行官和財務總監(jiān)須對季度或年度的內部控制包括財務報告控制等方面程序的有效性做出聲明。而在內部審計師協會（IIA）看來，內部審計師需要保持獨立性和客觀性，謹防向管理職能部門演變。內部審計被看作是和董事會、外部審計師并列的公司治理的三大支柱（IMA，2005）。因此，在SOX法案的框架下，由內審部門組織實施內控就存在了影響獨立性的問題。從公司治理的角度考慮，內審部門組織推動內控可能被視作越俎代庖，管理層會被認為在推卸實施內控的責任。視線再轉回到國內，內控基本規(guī)范中的規(guī)定是：“董事會需對內部控制報告做出真實性的聲明”。中美兩國的規(guī)定顯然是不同的，或許這可以從中美兩國資本市場環(huán)境的差異找到原因。相對而言，美國公眾公司所有者和經營者分離的比較明顯，存在更多的是內部人控制的問題，需要董事會對管理層的監(jiān)督（SOX法案規(guī)定審計委員會必須全部由獨立董事組成）。而在中國一般都是大股東控制公司經營，讓人比較擔心的是大股東侵占小股東權益的問題，大股東控制的董事會能否起到實質性的監(jiān)督作用讓人懷疑。因此，在中國就變成了董事會需要對內控有效性負責了。這樣一來問題可能也就簡單了，從合規(guī)的角度看，內審部門組織推動內控實施應該就不存在什么障礙了。但對于想建立完善公司治理結構的企業(yè)來講，以上問題還是值得關注的。不管怎么樣，在實際操作中，為了保證內審部門順利開展監(jiān)督工作，內審部門還是應該避免過深的介入具體業(yè)務流程的內控建設工作。2.專業(yè)性從專業(yè)性角度考慮，企業(yè)在構建內控體系時最先想到的當然是由內審部門組織實施。而如果企業(yè)的財務部門承擔了很多的經營控制職能，他有可能被選為組織實施部門。當然，外部咨詢機構因其專業(yè)經驗豐富也是一個選擇。3.成本成本是企業(yè)實施內控建設時必須要考慮的問題。這里的成本不僅指的是單純的人工成本，還涉及到組織內部的溝通交流成本，以及對企業(yè)經營效率的影響（機會成本）。在SOX法案的框架下，企業(yè)需要在公司治理和成本之間進行權衡，管理層或業(yè)務部門的專業(yè)技能不足，由內審部門組織實施的話效率更高，但會影響內審部門的獨立性。而在國內企業(yè)，對獨立性的實際影響仍然還是存在的。而其他可能存在的成本包括：如果由業(yè)務部門組織實施，必然會影響到日常的經營效率；如果由內審部門來做，則需要一定的溝通成本（從某種程度上來講，內審部門和業(yè)務部門之間的監(jiān)督與被監(jiān)督的關系可能會帶來額外的溝通成本）。從以上三個影響因素出發(fā)，如何選擇內控的組織實施主體，以下實施策略可供參考：（1）如果企業(yè)缺少專門的內部審