內部控制怎樣實現對管理基礎結構的改變

內部控制怎樣實現對管理基礎結構的改變

王靜 段駱

管理主體的基礎結構是指假設在不存在完整的內部控制框架的情況下，企業所進行的經營活動過程及其管理結構。內部控制的實現方式不是建立在獨立于管理基礎結構、并與其并列運行的一種管理模式。實際上，內部控制只有通過與這種基礎結構進行有效的整合并融為一體才可能發揮作用。因此，改造、改善管理基礎結，使之有益于增加內部控制的有效性成為本文關注的問題。

一、管理基礎結構的構成

管理基礎結構是為經營活動服務的，其要素包括：戰略制定、組織結構、職能管理、制度規范和企業文化等。不同企業之間基礎結構的形成過程、表現形式和發揮作用的狀態差異明顯，其作用于經營活動的效果也各不相同。從有利于內部控制發揮作用的角度考察，管理基礎結構應當具有以下特征：

1．戰略設計有利于企業經營優勢的發揮，企業的經營活動處于可以持續的狀態。在一家處于破產邊緣的企業推行內部控制，可能是不現實的。

2．組織結構設計符合企業戰略規劃和管控模式的要求，三者之間不存在明顯的不相適應的狀態。企業設置了履行監督職能的部門，其職責范圍安排不存在令人不快的限制，專業能力也不會導致產生履行職責的限制。

3．職能管理的能力能夠保證對經營活動關鍵事項的管理處于基本合理的狀態——這種能力的具備依賴于關鍵管理人員的專業素質和管理經驗，據此可以判斷企業的管理骨干在正常情況下能夠勝任自己的工作。

4．制度規范體系完整并運行效果良好。企業在制度規范的體系設計和控制設計兩個方面都具備了較好的能力，并通過有效的制度評審等措施促進了制度改善和制度創新。

5.在企業文化的相關要素中，員工的職業道德、制度意識和經營理念等不存在重大瑕疵，能夠有機地融入經營活動中，并與得到廣泛認同的一般商業文化保持一致性。

對內部控制的建立和實施而言，對以上管理基礎結構的描述是一種較為理想的狀態。即便如此，它與內部控制的實施要求也不會完全適應。而對那些管理基礎結構相對較弱的企業來講，改造管理基礎結構的任務則更為迫切。

從筆者的內部控制咨詢的經驗來看，企業（多指國有企業）中這種不相適應的狀態主要表現在以下四個方面：

第一，對企業高級管理層的約束過于弱化。對他們的監管約束主要來自于外部的諸如廉潔自律等方面的紀律性規定，此類規定的實施過度依賴于舉報系統發揮作用的效果，而且對違紀行為的監察和處理實質上是在一個十分封閉的系統內進行的，其公平性、客觀性具有明顯的不確定性。而在企業內部設立的監管機構，由于從屬關系、獨立性的局限，其發揮作用可能性則進一步降低。

第二，職能管理沒有建立共同的價值取向。在企業內部，職能管理的效率即與組織結構、管理能力相關，也與部門的價值取向相關。從實際情況看，追求部門價值最大化的傾向較為普遍，其結果是實現部門目標的重要性優先于實現企業目標的重要性，進而造成部門之間的協調障礙、管理低效率和資源浪費。

第三，制度管理尚不具備體系的特征。一般企業的制度管理多停留在制度規范的編制階段，對制度管理的體系建設缺乏思考。尤其是制度管理的執行體系、評審體系、監督與責任追究體系沒有建立起來，其制度管理的效果可想而知。

第四，與企業文化相關的員工誠信、職業道德和制度意識被詬病較多。員工誠信和道德方面的瑕疵是一部分風險產生的根源，這會導致增加控制成本的考慮。員工的制度意識薄弱，則會導致監督成本的增加。

二、內部控制框架是一個整合管理基礎結構的工具

COSO的內部控制整合框架的整合對象是與內部控制相關的基礎理論，其目的是為相關的教育機構、審計師和企業內部的管理人員及其他相關者提供一套關于內部控制的關鍵原則和概念、共同語言、明晰的方向和指南，以利于人們相互之間的交流。同時，該框架對內部控制的關鍵要素的概括，則為相關人員建立和評價內部控制提供了標準。

然而，從實踐的角度考察，內部控制框架的研究存在一個重要不足：它雖然指出了內部控制不是疊加在管理基礎結構上的一個新的系統，只有和管理基礎結構整合在一起才能發揮作用，但卻沒有具體敘述整合的基本方法，也沒有提及對管理基礎結構的改善要求，導致意圖引進內部控制框架的企業既缺少方法論的指引，又缺少實戰的指南。這也是內部控制框架在我國運用不順利的原因之一。

根據筆者的觀察和思考，COSO的內部控制框架不僅是一個整合內部控制理論的結果，還是一個整合管理基礎結構的有效工具。這是由以下因素決定的：

1.從企業內部的管理需求看，內部控制的價值已經得到企業的廣泛認同，企業希望自己的管理過程是置于有效的內部控制監督之下的。

2.從管理基礎結構的現狀看，企業的管理基礎結構本身存在許多薄弱環節，多數管理者對這種缺陷不是不能發現，而是對改善的目標和路徑不清晰、不熟悉。

3.從內部控制的理論價值看，一是通過對內部控制目標的概括，為企業的經營活動和職能管理提供了共同價值觀，這不僅有利于為職能管理提供行動指南，還有助于克服或減輕部門壁壘的影響。二是在內部控制設計和實施過程中，大量運用了成熟的管理工具，如：戰略管理、目標管理、授權控制、流程再造、預算管理、抽樣技術等。這會促使企業在不同的職能領域尋求運用新的管理工具，促進管理水平的提升。三是通過對內部控制關鍵要素的概括，為企業改善管理基礎結構建立了標準。

通過以上對企業意愿、管理現狀和內部控制理論價值的分析，可以大致了解內部控制作為一種整合工具所能發揮作用的范圍和途徑。

三、內部控制整合的程序和方法

按照系統論的觀點，系統的功能是由系統的結構決定的。一些企業的管理基礎結構存在一個明顯的結構性缺陷是：企業的經營系統與專業管理子系統之間、以及各專業管理子系統之間，沒有建立明確的“共同價值觀”，致使各業務單元的目標取向和控制方式的確立多具個性化，缺少一致性。在內部控制框架建立起來之后，新舊系統的相容性并不會自動解決，如果不對管理基礎結構進行必要的整合，必然影響整個管理系統（包括內部控制框架和管理基礎結構）的運行。那種以為只要內部控制一枝獨秀，就能實現內部控制的主要目標的想法，是不切實際的。

內部控制整合是指從企業內部控制實施的實際需要出發，以內部控制框架為標準對管理基礎結構進行再設計，通過在管理基礎結構中全面植入內部控制的關鍵要素和控制標準，完成對原有管理系統的改造，為內部控制的有效運行建立制度保障。

（一）內部控制整合的一般程序

企業的內部控制整合不是各個部門、崗位的自發性安排，它應該是經過專業部門設計、并經過恰當層級批準的管理大綱和實施方案。整合的一般程序包括：

1.成立整合項目組。

2.編制、批準整合方案和計劃。

3.描述整合的總體目標和階段性目標。

4.描述整合的一般性要求。

5.描述整合的專業性要求，包括：（1）組織結構設計、崗位設計，部門及崗位職責設計；（2）管理規范編制的結構和要點；（3）風險評估與風險應對流程設計；（4）有利于內部控制監督的信息系統設計；（5）公司所有檢查監督活動的統一規劃。

6.項目組成員培訓。

7.針對部門的整合業務指導。

8.整合成果評估。

（二）內部控制整合的主要方法

內部控制整合的過程和方法不可能是一成不變的，它會因為管理基礎結構的不同和演變而具有不同特色。因此，本文敘述的整合方法僅適合某些特定的企業。

1．控制環境整合要點

企業的控制環境（此處不包括經營環境的內容）是一種持續的客觀存在。對控制環境的評價角度和標準是各項子元素的完整性和符合性，找出遺漏和欠缺。在控制環境要素中，企業應當對以下三個方面的問題給予充分的關注：

第一，在企業的治理結構不足以預防高層舞弊時，通常會意味著企業的內部控制不會取得成功。此時的解決之道不是另辟它徑，而只能是尋求治理結構的完善。

第二，員工的誠信和道德水準與控制成本呈負相關關系。內部控制無法解決員工誠信和道德問題，它可以發揮的作用在于把對特定崗位的道德需求書面化、公開化，并對違反道德的行為給予必要的懲罰，以起到警示和震懾作用。對企業來說，對道德的要求和約束是長期存在的，此時需要做的就只是完善它，并固化其中行之有效的方法。

第三，員工的制度意識在部分企業普遍缺失，這會導致喪失內部控制的效率和效力，并造成監督成本的增加。如果對內部控制的政策和程序沒有敬畏之心，任意違反的現象就會十分普遍。沒有敬畏之心，是因為不會付出代價。所以，恰當的、必然會實施的處罰是必要的。對鋌而走險者，只能繩之以法。

2.風險評估整合要點

一般而言，企業并不是沒有風險意識，而只是不了解或不習慣對風險進行系統評估的方法。企業實際需要掌握的知識和技術主要是：

第一，進行系統的風險評估的基礎條件是流程梳理，風險存在于流程中的控制點。所以，流程梳理的質量決定了風險評估的系統性。

第二，風險是一種不確定性，每一種不確定性都會有一個或一個以上的結果。所有的結果都是依據經驗假設的，假設是否完整、正確則取決于個人或集體的判斷。結果可能發生，也可能不發生。

第三，所謂風險評估就是分析不確定性發生的可能性和影響程度。在絕大多數情況下，對風險發生的可能性進行定性分析就足夠了。大部分所謂定量分析，其實都是建立在定性分析的基礎之上的。即使計算了概率，對企業決策的幫助也十分有限。

按照系統論的觀點，系統的功能是由系統的結構決定的。一些企業的管理基礎結構存在一個明顯的結構性缺陷是：企業的經營系統與專業管理子系統之間、以及各專業管理子系統之間，沒有建立明確的“共同價值觀”，致使各業務單元的目標取向和控制方式的確立多具個性化，缺少一致性。在內部控制框架建立起來之后，新舊系統的相容性并不會自動解決，如果不對管理基礎結構進行必要的整合，必然影響整個管理系統（包括內部控制框架和管理基礎結構）的運行。

第四，風險應對是針對不確定性做出的控制方式設計和其它預防性安排。根據筆者的觀察，在大型企業中，控制不足的情形雖然也時有發生，但過度控制的狀況更加普遍。在中小企業中，控制不足的情形更加突出。

3.控制活動整合要點

企業開展控制活動的基礎是建立政策和程序。確定應該做什么的是政策，敘述政策實現路徑的是程序。

第一，任何改善都是以缺陷分析為基礎的，管理基礎結構的改善也離不開控制缺陷的分析。缺陷分析的作用在于調整或重新規劃控制方式。

第二，為進行有效控制而制定政策和程序是一項重要的活動。企業的內部控制政策和程序通常都會以《內部控制手冊》作為載體。一般情況下，企業原有的制度和其它管理規范與內部控制的要求可能相差甚遠。主要是兩者的覆蓋范圍不同、控制目標與控制措施的相關性不同、控制方式與控制標準不同、控制要素的安排和概念運用不同。

第三，內部控制的政策和程序不僅是一個執行標準，同時還是一個評價標準。這兩者都要求相關文件的敘述應當足夠清晰，不存在任何理解上的歧義，在必要時使用定量描述。

第四，權限設計應當從整體上考慮，覆蓋企業層面和業務層面。權限設計既是一種權力安排，也是一種職責安排，其基本要求是達到權力和職責的合理分割與協調。

4.信息溝通整合要點

內部控制對信息溝通的要求并不是建立一個獨立的信息系統，而是要求在企業信息系統中能夠有效獲取相關的信息。

第一，一個完整的計算機信息系統并不是有效的內部控制的必要條件。是否建立這樣一個系統，應當考慮企業的規模、運營的特征和成本效益原則。

第二，為提高信息處理的效率，應當對信息進行分類。筆者認為，應按照管理的層級進行分類，即：治理結構需要的信息、決策層需要的信息、管理層需要的信息和執行層需要的信息。

第三，信息處理涉及到職責分配和管理權限，應把它作為管理過程的一部分，而不是企業內部控制機構的專有職責。

5.檢查評價整合要點

檢查評價是內部控制的最后一個要素，但不是最不重要的一個要素。

第一，由于內部控制檢查評價范圍較廣泛，必然會造成企業內部的部分檢查業務重復或重合。企業應當安排一個部門對所有檢查事項進行統一計劃，以減少資源浪費。

第二，在對內部控制的檢查評價方面，內部審計部門具有長期的經驗和規范的程序，其它管理部門也在自身的管理實踐中形成了自己的特色。內部控制的檢查評價作為一項新業務，應當集眾家之長，結合自身表達和報告的需要建立新的規范，并在企業統一推行。

第三，檢查評價的必要性顯得十分突出時，可能意味著內部控制的實施存在結構性缺陷。這時不能僅僅考慮加大檢查力度，還應當分析具體原因。

四、內部控制整合之后的擴增價值

因為內部控制整合而形成的管理基礎結構的改善，稱之為內部控制的擴增價值，主要體現在以下幾個方面：

1.內部控制為企業制度植入了新的元素

企業制度的缺陷包括設計缺陷和執行缺陷。在制度的設計方面，一般僅對立法宗旨做概況的描述，對制度應當實現的控制目標考慮不充分，導致制度安排的控制措施與控制目標的相關性不足，即使制度得到完全執行，也可能無法實現控制目標。此外，在業務程序、管理職責與權限等方面安排也缺少一致性的考慮。在制度的執行方面，對執行情況的檢查評價、違規問題的責任追究也多流于形式，導致制度的整體執行狀況不佳。企業在按照內部控制框架的要求對制度結構進行改造后，制度設計和執行的質量均有改觀。

2.內部控制促進了流程化管理思想在企業的形成和運用

內部控制手冊的主要描述工具和控制方法是流程，這使流程管理的思想及其工具在企業得到了一次廣泛的普及和運用。

3.內部控制使企業的授權體系趨于完善

國內的許多企業，特別是中小企業，對權限設置的考慮一般比較粗放，而內部控制的建立要求權限設置與具體的管理業務相對應，這為企業系統地梳理管理權限提供了難得的機會和成熟的方法。

4.內部控制使一些管理工具和方法得到普及

在某種意義上，內部控制可以理解為管理工具和管理方法的集合。它對其它管理工具和方法進行了廣泛的借鑒和應用，包括：目標管理、戰略管理、流程優化、審計技術、抽樣技術、信息技術等，這使企業在運用和固化這些管理工具、方法時受益匪淺。

5.內部控制使企業得到一個知識管理的載體

許多企業對知識管理重要性的認識并不深刻，對知識管理的途徑和方法也知之甚少，其后果是企業千辛萬苦形成和積累的各種有益的管理知識沒有得到價值確認和傳承。這些知識可能因員工流失、崗位變動等原因而喪失。而內部控制的建立使企業在公司層面、業務層面的最佳實踐以制度、流程的形式固化下來，成為知識管理和普及的有效載體。

6.內部控制規劃了企業三基工作的基本框架

企業三基工作是實施專業管理的基礎，但多數企業在這方面的表現可以概括為“難提升、易滑坡”，企業也一直沒有成熟的解決措施。內部控制基于控制點管理的需要，系統描述了三基工作建立的標準、執行的標準、檢查的標準和評價的標準，這為企業按照新的思路改善基礎工作提供了有效的方法。

通過對內部控制擴增價值及其現實路徑的分析，為我們準確理解內部控制與管理基礎結構的關系提供了一個新的視角。從實戰的角度看，沒有價值發現，就不會有價值認同；沒有價值認同，就不會有實踐指南。

內部控制在設計和執行過程中實現的擴增價值，和內部控制的初始價值一樣，最終也會成為管理基礎結構的一部分，并賦予管理基礎結構更加完善的功能，這將有利于促進融合了內部控制關鍵要素的新型管理模式的形成。

作者單位：湖北中信會計師事務所