内部控制实施中的几个难点

内部控制规范实施中的几个难点

中国人民大学商学院 张玉周

新颁布的《企业内部控制基本规范》，可以说是由政府推动的一种制度创新，必将对我国的企业经营产生重大影响。企业内部控制规范在控制目标、控制范围和技术等诸多方面较以前有重大突破，在某些方面甚至颠覆了大家已有的内控观念，这些变化成为了实施中的难点，需要引起重视。

一、内部控制目标与风险、成本的关系

1992的COSO 报告将控制目标确立为三个方面：财务信息的可靠性、经营活动的效率和效果、相关法律法规的遵循性，1994年的COSO 报告《风险管理——整合框架》扩展了内部控制目标结构，具体构成如下：

新《企业内部控制基本规范》在借鉴COSO 报告的基础上，将内部控制的目标确立为5个方面：（1）合理保证企业经营管理合法合规；（2）资产安全；（3）财务报告及相关信息真实完整；（4）提高经营效率和效果；（5）促进企业实现发展战略。这一控制目标可以视为以下结构：

企业的根本目标是价值创造，而战略目标是依据价值创造确定的，其他目标则与战略实施直接或间接相关。但是，在内部控制建立和实施中总是存在损害价值创造的行为，例如，为满足内部控制的要求而占有大量人力物力，内部控制的程序过于繁琐，使企业因程序繁琐而丧失盈利机会，控制环节过多导致人浮于事。

为避免这些问题的发生，在内部控制设计和运行时应树立新观念。内部控制的设计可以

企业目标：价值创造

企业战略

经营管理等目标

内部

控制

目标

结构

与价值创造有关

与具体业务落联系

经营目标包括绩效、盈利、资源安全目标 信息报告目标（含财务与非财务信息） 遵循性目标

相关目标 战略目标 子目标

说有两种理念，一种理念是风险最小化，一种理念是风险可承受。风险最小化试图将所有的风险都降低到最低，必然导致内部控制的繁琐。风险可承受则遵循风险和报酬均衡的原理，关注企业对风险的承受能力。新《企业内部控制规范》中强调这一理念，这就要求企业应区分重大风险和一般风险，内部控制应围绕重大风险展开，这符合全面性原则和重要性原则。

二、内部控制层次上的协调

内部控制层次与企业治理结构有关。从理论上说有两种观点，一种是治理结构属于内部控制的构成要素，一种是内部治理结构属于内部控制有效运行的环境。无论哪种观点，从委托代理理论出发，治理结构都需要制衡。但现实中经常出现治理结构失效，如郑百文、中航油等事件。《企业内部控制基本规范》将将治理结构界定为控制环境。这似乎比较符合我国的情况，因为我国许多企业的兴旺发达与管理当局密不可分，“单位好不好，关键在领导”，只有领导重视的事情才能顺利进行，许多企业也确实如此。

从理论和实际看，内部控制和治理结构存在许多交叉。新《企业内部控制基本规范》将内部控制定义为“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”企业董事会、监事会既属于治理结构的范畴，又是内部控制的主体。从控制的层次看，董事会、监事会为高层，经理为中层，职能部门和员工为低层，这三个层次都应纳入内部控制的范围。但实施的难点在于高层控制不可能由企业内部的主体来完成，企业内部主要是对中低层的控制，对高层的控制应当由外部控制主体如股东、政府等来完成。但是，外部控制主体往往因信息不对称或其他原因，经常出现监控不力的问题。但是，没有对高层的内部控制，企业内部的控制又容易出现问题。

三、内部控制内容的协调

企业的全部活动可以分为价值创造活动和辅助活动。价值创造活动基本上可以分为财务活动和业务经营活动，现有的财务报表体现了这种分类，资产负债表和现金流量表反映了企业的财务活动和财务状况，利润表反映了企业的经营活动，现金流量表又分别反映了经营活动和投融资活动产生的现金流量。辅助活动主要指对财务和经营活动提供支持、进行管理的活动，包括预算、分析、考评、信息系统、人力资源政策。从这一角度看，企业的内部控制可以划分为财务活动控制、经营活动控制和管理活动控制三个方面，而信息系统则成为三个方面控制的平台。

问题在于这三个方面并不是截然分开的，相互之间存在交叉，尤其是经营活动与财务活动更是相互融合。在设计内部控制时有两种思路，一种按业务活动或财务活动的“过程”，对关键业务环节和关键点进行控制，一种是按部门所管辖的业务范围。无论哪种设计思路，都同时存在业务活动、财务活动和管理活动。因此，在设计内部控制时应注意避免重复。

四、内部控制技术和方法与传统控制方法的协调

《企业内部控制基本规范》提出的控制措施包括七个方面：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。但是，这些措施未必全面，而且，还存在与传统控制方法之间的协调问题。如存货采购中的集中采购，归口分级管理、存货中的ABC控制，资金的集中管理和授权管理，已成为实践中行之有效的控制措施。

内部控制中有人脑控制和电脑控制，尽管许多企业购置和使用了电脑、业务软件、信息系统，但在控制上并没有充分发挥电脑的优势，依然依赖于人脑控制，人脑控制容易出现遗漏、疏忽等，因此，为提高控制的效率和效果，企业应妥善处理人工控制和电脑控制的关系，应充分采用IT系统在控制中作用，将重复性活动的控制置于IT控制中。最为重要的是，在控制技术方面应充分发挥IT系统处理大量信息的优势来识别、评估和监控企业的风险。当然，控制的条件和范围需要人为事先设定，并且，应随企业内外环境的变化即使调整。

五、企业内部控制文化的建立

内部控制中最难的是对“人”的行为的控制和约束，“人”是风险的制造者和最终控制者，其行为贯穿于企业业务活动的始终，因而也决定了企业内部控制运行的有效与否。现实中我国企业最大的难点就是对“人”的行为控制，有一句话形容财务控制的尴尬，说财务人员“顶得住，站不住；站得住，顶不住”。严格执行财务制度的财务人员往往会受到排挤，而放松监管的往往受到欢迎。

内部控制是全员、全方位的，需要企业各个层级的员工来执行，但是，当员工的利益追求与企业的目标存在冲突时，员工往往选择自利行为。为防止这些问题的发生，企业应当建立内部控制文化，将内部控制的理念融入员工的价值观中，同时建立引导和激励机制，使员工的自利行为让位于企业的内部控制。