企業內部控制實踐中存在的主要問題及建議

李模軍 大信會計師事務所(特殊普通合伙)

進入21 世紀以來，全球信息技術突飛猛進，網絡經濟、大數據、云計算、人工智能被廣泛運用，世界經濟格局和商業環境發生了翻天覆地的變化。在此背景下，所有企業的發展都面臨著前所未有的不確定性。企業能否駕馭好這種“不確定性”將成為能否在競爭中勝出的關鍵。而風險的本質正是“不確定性”。因此企業管理“不確定性”就是管理風險。內部控制作為風險管理的重要部分也就勢必變得更加舉足輕重。

一、企業內部控制實踐中存在的主要問題

(一)內部控制認知有誤區

1.認知誤區一：內部控制是為“壞人”而設

內部控制是為了防范“壞人”作惡，這是一種普遍存在的認識誤區。這種認識是基于人性“惡”的推論，從而將企業所有風險事件的成因皆歸于“主觀惡意”。因此，錯誤認為設計內部控制的目的就是為了防止“壞人”作惡。

這一認識的片面之處在于只看到了“主觀惡意”而忽視了“無心之失”。所謂“橘生淮北則為枳”，好制度讓人性升騰的可能性無上限，壞制度讓人性墮落的可能性無下限。因此，內部控制不僅僅是防范“壞人”作惡，也要避免“好心辦壞事”。一旦將內部控制與“壞人”建立唯一的對應關系，則任何內部控制制度的出臺都將被視作互相“不信任”的表現，會導致執行者在心里產生天然的反感甚至抵觸，且制度設計越嚴密這種反感和抵觸就越強烈。

2.認知誤區二：制度都有，就是執行不力

放眼望去，無論是國有企業還是民營企業，但凡經營了幾年以上的，都可以拿出幾十或上百個甚至更多的制度文件。但是，企業的風險防控能力及管理水平并沒有因為這些制度的發布而變得更有起色。遺憾的是，當我們對各層級人員進行業務訪談時，聽到的最多的一句話就是“制度都有，就是執行不力”。

誠然，未嚴格執行制度是導致內部控制失效的重要原因。但是，如果把內部控制失效全部歸咎于制度執行，會是一個嚴重的錯誤。錯誤的關鍵在于未分辨制度本身的優劣，直接強調執行，構成了事實上的本末倒置。

從筆者的經驗來看，制度之所以得不到有效執行，其最大的原因在于制度設計本身不科學、不合理，甚至“不通人性”。企業制定制度的目的是希望所有員工遵守，以維護“企業整體利益”。但是，實際上很多制度只強調“集體利益”，忽視“個人利益”，甚至一味強調奉獻、付出，而不考慮權、責、利的匹配。這樣的制度勢必沒有生命力，難以得到長久、一貫的執行，慢慢也就被束之高閣了。

3.認知誤區三：內部控制是財務部門的事情

當前，我國企業內部控制規范性文件是由財政部牽頭制定，許多企業特別是國有企業在收到上級有關內部控制工作布置文件時，一看文件是由財政部門下發的，領導隨即批示“請財務部落實”或“請財務部牽頭落實”。這樣一來，內部控制被視作是財務部門的事情似乎也就順理成章了。

然而，只要深入研究一下內部控制的基本原理，就不難看出內部控制是一項覆蓋組織內部各層級、全業務流程、各職能條線的系統性工程。如果沒有高層領導重視、上下協同、業財融合，僅靠財務部門是不可能解決企業的內部控制問題的。

事實上，業務端才是風險產生的源頭。因此，只有在業務端嵌入內部控制才能實現我們一貫倡導的“事前控制”，這比財務端的控制更加靠前、更加重要。

4.認知誤區四：內部控制會降低效率

這種觀點明顯站不住腳，但現實中持這種看法的人不在少數。這種觀點或者說偏見，就在于將內部控制看成是無休無止地增加流程環節與操作步驟，同時將辦事速度與“效率”劃等號。組織內部如果普遍有了這種看法，內部控制呈現出的只能是一副“討厭鬼”模樣。

產生這種錯誤看法的根本原因是對內部控制理論缺乏基本的理解。我國發布的《企業內部控制基本規范》明確了內部控制的五大目標和五項原則。其中內部控制目標就包括“提高經營效率和效果”，內部控制原則包括“成本效益原則”。

從以上目標和原則不難看出，內部控制并非越復雜越好。高明的咨詢顧問或管理者一定是在權衡風險與效益的基礎上去設計內部控制，確保控制的強度、復雜程度與其風險高度匹配。用最小的成本實現最嚴密的控制才是內部控制的真正追求。

(二)內部控制設計不理想

1.重執行，輕決策

任何一個事項都可以分為決策、執行、監督三個環節。其中決策要解決的問題是力爭“做正確的事情”，執行要解決的問題是“把事情做正確”。因此，決策是綱，執行是目，綱舉才能目張。只有做出了正確的決策，執行才有意義。如果決策錯誤，執行再高效也枉然，甚至執行越有力損失越慘重。所以，企業必須將內部控制嵌入決策、執行、監督的每一個環節。

實踐中，許多企業各類規章制度、管理辦法、操作手冊、實施細則比較齊全，即執行層面內部控制相對完備。然而決策層面的內部控制卻比較空泛。一些企業雖制定了“三重一大”管理辦法，以及董事會、監事會、總經理辦公會等議事規則，但部分內容模糊，可操作性不強。如“三重一大”管理辦法，雖然羅列了許多“三重一大”事項，但仍有不少事項標準不具體，如“大額資金支付”缺乏量化標準，“重要人事任免”缺乏職級和崗位界定等。此外，多數企業未建立專家論證機制和專項風險評估機制。

不難理解，企業可以承受十個百個操作層面的失誤，但有時候只需要一個決策上的失誤就已遭受滅頂之災。因此，這種重執行、輕決策的內部控制體系，可謂是舍本逐末，抓了芝麻、丟了西瓜。

2.不以風險為導向，為控而控

設計內部控制的初衷是為了防范風險，離開風險搞內部控制是不可想象的。正如前文所述，風險的高低、成因決定了內部控制的強度和復雜程度。通常來說，一個事項的風險越高、成因越復雜，企業所采取的應對策略就更慎重，制定的內部控制措施也勢必更嚴密，流程鏈條可能更長。相反，如果某事項所涉及的風險極低、成因簡單，企業無須建立復雜的控制機制。

但現實情況是，許多企業將內部控制與風險管控割裂。在設計內部控制時，未將風險識別、評估、分析作為前置條件，隨意為之。導致出現兩個危險的極端，一是高風險弱控制，二是低風險強控制。這兩個極端都將帶來嚴重的不利后果。高風險弱控制導致風險暴露，出現風險事故是早晚的事情。低風險強控制導致無謂的內耗，芝麻綠豆大點事安排八個人復核、審批，搞得熱火朝天、煞有介事，既浪費時間和資源，更傷害員工工作熱情。

3.要求不明確，操作性差

在內部控制體系建設過程中，很多企業都紛紛編制了《內部控制手冊》，在手冊中列示了識別的各項風險，按照流程環節編制了流程圖，并將內部控制措施嵌入流程，形成了風險與內部控制矩陣。這種做法對于明確內部控制責任、細化內部控制要求起到了重要的作用。但實踐中操作性不強的問題仍然存在。一是仍有相當一部分企業并未制定《內部控制手冊》，未系統識別和評估各業務環節的風險，并建立有針對性的控制措施。二是即便是制定了《內部控制手冊》的單位，仍然存在不少盲點、漏點，如有相當一部分內部控制措施責任主體不清，完成時間、執行標準不明，操作方法不具體，或未提供表單及其他工具模版。

4.信息化水平低，控制手段落后

“管理制度化、制度流程化、流程信息化”，這早已是管理共識。內部控制要想具有生命力，同樣需要借助信息系統，減少手工操作比例，不斷提高自動控制水平。

近年來，企業信息化水平越來越高，完全依賴手工操作的企業越來越少，部分企業已經走在了“無紙化”的路上。但是，并不代表我國企業已經全面實現了內部控制的自動化。恰恰相反，企業內部控制信息化水平整體還有巨大的上升空間。一是很多企業的信息化程度還不高，受限于企業規模和成本投入，業務辦理仍以線下操作為主，自然也就談不上將內部控制搬入線上。二是那些信息化管理覆蓋面較高的企業，距離自動控制仍有不小的距離。其主要原因在于現有的業務系統側重于業務執行，未嵌入足夠的內部控制，難以完全滿足自動控制的需要。風險控制仍依賴于線下的手工操作。

(三)內部控制執行不到位

1.控制責任未下沉

在咨詢工作中，筆者發現不少企業內部控制責任沒有合理的落實。突出表現在基層員工未承擔應有的內部控制責任，事無巨細都交由上級裁決、審批。這一做法也許并非發端于基層員工偷奸耍滑，也不一定是因為上級對下級不信任。但久而久之，其所造成的結果是基層員工日益喪失責任感和主動性，凡事找領導簽字、等領導拍板，領導說行就辦。不管對錯，自己只是奉命行事，權力和責任都是領導的。如此一來，原本基層員工應當且能夠獨立承擔的控制責任上移，各司其職的責任體系遭受破壞。上級掌握事情來由的主要依據是下級的書面或口頭匯報，因此上級不可避免地在未全面、深入了解情況的前提下做出不恰當的決策和判斷。這不僅影響了工作效率，形成了上下級之間的“苦樂不均”，也影響了內控執行的有效性。

2.不執行制度，走捷徑成為習慣

“制度是死的，人是活的?！边@種觀念殘存在不少人的心里。造成的結果是在執行內部控制時發生走樣、變形。慢慢地不按制度規定執行，走捷徑也就成為了習慣。比如按內控制度規定兩個倉管員在換班時應當進行工作交接，但實際并未嚴格執行，導致出了問題后再相互推諉、扯皮；又比如內部控制制度規定，法人名章、財務專用章應當分開保管，但現實中卻經常為圖省事，由一人保管。

3.評價監督不力，缺乏問責機制

自我國內部控制規范實施以來，上市公司及許多企業均定期不定期開展內部控制自評價或聘請中介機構進行內部控制審計，對于發現企業存在的內部控制缺陷，并及時制定有針對性的改進措施，持續改進和提升內部控制水平發揮了重要作用。但有一個不容忽視的現實是，至今仍有不少企業未開展內部控制自評價和審計工作，還有一些企業雖然開展了自評價和審計工作，成效卻未能達到預期。一是評價與審計流于形式，發現的問題深度不夠，浮于表面。二是對于發現的問題，未深入分析產生的原因，并制定有針對性的整改措施，同時也未分清責任，開展追責問責。

內部控制監督評價流于形式，或評價結果未能得到充分運用，無法形成事后“冷威懾”。存在的內部控制缺陷要么不能被發現，要么得不到整改，內部控制逐漸也就被束之高閣。

二、進一步提高內部控制應用水平的建議

(一)加大培訓宣貫力度，提高認識水平

我國《企業內部控制基本規范》及配套指引分別于2008 年、2010 年制定發布。眾所周知，我國內部控制規范體系的理論框架源自美國COSO 1992 年、2004 年相繼發布的內部控制整合框架和企業風險管理整合框架。2013 年、2017 年COSO 分別發布了修訂版的內部控制框架和風險管理框架(以下簡稱新框架)。新框架詮釋了全新的內部控制與風險管理理念。這些新理念在我國尚未得到廣泛的宣貫與普及。

因此，有必要在全國范圍內及各企業內部有組織地開展新一輪的內部控制與風險管理培訓，覆蓋各層級、各職能條線，總結近年來內部控制與風險管理實踐經驗和不足，澄清認識誤區，傳播新的理論研究成果，進一步提高全員的認知水平。

(二)完善內部控制體系設計

一是更加重視決策層面的內部控制設計，明確“三重一大”事項認定標準，完善議事決策機制，健全專項風險評估機制與專家論證制度。二是堅持以風險為導向的內部控制設計理念，權衡風險效益，確保內部控制既能有效防控風險，又能提高經營效率。三是按照“5W1H”模型設計內部控制，提高內部控制措施的標準化與規范性水平，確保內部控制措施具體、可操作。四是建立與企業戰略、現有規模和發展階段相適應的信息系統，持續提高內部控制的自動化水平。

(三)全面提高內部控制執行有效性

一是建立健全職責分工體系，明確各層級、各職能條線、各崗位的內部控制職責界面，形成各司其職的良性分工機制。二是加大內部控制自評價與審計工作力度，完善內部控制自評價與審計工作標準，優化內部控制評價與審計人員結構，提高內部控制自評價與審計工作質量。三是充分運用內部控制自評價與審計工作成果，針對存在的內部控制缺陷，建立有效的整改措施，促進內部控制體系的持續完善。四是建立健全責任追究機制，對于存在的內部控制缺陷，厘清責任，找出問題形成的原因、并對造成的后果進行追責，形成事后“冷威懾”。