【摘要】正确认知其概念和特征是建立健全并有效实施内部控制的前提。 然而， 实践中人们对内部控制与风险管理存在着这样或那样的认知误区， 影响着内部控制与风险管理建设的效率效果， 从而阻碍内部控制目标的实现。 内部控制不是一项职能管理， 不等于制度建设和会计控制， 不是针对基层岗位和普通员工的控制， 而是一项全面风险管理活动。 内部控制的目标不是相互牵制以纠错防弊， 也不是为了消除风险， 内部控制并非越严格越好、规章制度越多越好。

【关键词】内部控制;风险管理;会计控制;认知误区

【中图分类号】F275      【文献标识码】A      【文章编号】1004-0994（2020）24-0098-4

当今世界是一个不断变化的世界， 特别是突发公共卫生事件的发生， 使得世界进入百年未有之大变局。 变化就意味着不确定， 意味着风险。 针对风险需要实施控制。 内部控制（Internal Control）是对各种可能影响组织目标实现的风险因素进行分析和应对， 从而帮助组织实现目标的过程。 内部控制是一个非常重要的管理术语， 是促进组织实现战略和运营目标的关键， 是推进组织各项活动、管理有序高效运行的内在要求。 内部控制及其成效事关企业兴衰成败。 自安然、世通等系列财务丑闻爆发以来， 美国、欧盟等很多国家和地区组织， 相继颁布法规， 从立法角度强化了企业的内部控制建设责任。 然而， 实践中人们对内部控制与风险管理存在着这样或那样的认知误区， 影响着内部控制与风险管理建设的效率效果， 从而阻碍了内部控制目标的实现。

认知误区之一：内部控制就是一系列规章制度和表单

实务中， 有人将管理制度等同于内部控制， 认为企业为了防止差错和舞弊或应对检查而制定的各项规章制度就是内部控制， 具体散见于各种书面文件。 有人认为做好内控建设就是制定各项规章制度， 做好责任分工， 完善授权审批制度就是做好内控， 将内控与制度建设划等号。 这都是人们对内部控制存在认知偏差的具体表现。

“控制”翻译成英文， 即为Control。 在英语中，它除了有控制之意， 还有管理、检验、核实、支配、监督、指导等涵义， 内部控制即企业应规范监督企业生产经营活动， 提升效率效果， 以便达成组织既定目标。

内部控制的内涵远不仅仅是作为规章制度存在， 而是对影响目标实现的风险进行识别、分析和应对， 帮助组织实现目标的过程。 内部控制建设涉及组织从设计、执行与评价到改进等一系列动态持续的过程。 尽管内部控制设计的有形成果大多表现为政策、制度、流程和表单等静态的规章制度， 但这并不是内部控制的全部。 内部控制建设除了制定规章制度， 应更注重各项规章制度的具体执行过程及效率效果。 内部控制建设绝不等同于制度建设， 而是要建立健全有效的内部控制框架， 是基于一定内部控制框架下的全面风险管理活动[1] 。 制度建设是内部控制的基础， 但不能一味强调制度建设而忽视了企业文化建设。 根植于道德和文化的内部控制活动对企业的影响才是持久而深远的。 一个企业先进的管理哲学与经营风格、员工正直的品行与良好的道德价值观等软环境有时候比硬性的规章制度更为重要[1] 。 COSO委员于2017年9月发布的《企业风险管理框架——与战略和绩效的整合》在对风险管理定义时， 就直接将风险管理从“一个流程或过程”提升为“一种文化、能力和实践”[2] 。

认知误区之二：内部控制就是纠错防弊， 相互牵制

内部控制采用了内部牵制的思想， 其基本原理可表述为：两个或两个以上的人或部门合伙舞弊或共同犯错的可能性会远远低于单独一人或者一个部门的可能。 内部牵制为阻止错误、预防舞弊及其他非法业务的发生， 运用不相容职务的分工、相互牵制与制衡、各种账目相互核对等手段进行控制。

现代企业内部控制早已突破内部牵制的范畴， 相应地， 内部控制目标也不再局限于预防差错和舞弊， 而应是以提高运营的效率效果为核心， 以最终实现公司发展战略和可持续发展为最高目标的一个多目标管控体系[1] 。 “纠错防弊”这一内部控制定位， 扭曲了内部控制的本质， 并人為缩小了其范围和作用。 现代企业内部控制的内在理念已经由制约理念提升到可持续发展理念， 预防差错和舞弊作为较低层面的控制目标已经融入其他几类目标之中， 无须单独提出。

认知误区之三：内部控制的目标是消除风险， 杜绝差错和舞弊

内部控制是对影响企业目标实现的各项风险进行有目的的识别、分析及应对， 风险则意味着不确定性。 风险不确定性带来的影响可能是正向的， 也可能是负向的， 还可能正负效应兼而有之。 我们一般将具有负面效应的事项称为风险， 将具有积极效应或可抵消风险负面效应的事项称为机会。 风险应对应积极降低负面影响， 放大正面影响， 以实现风险应对的目标。 内部控制并不是要消除风险， 而是通过积极主动的风险管理， 在权衡风险与收益的基础上， 将剩余风险降低到企业可接受水平[1] 。 风险的可接受水平是企业愿意接受的风险水平。 企业资源总是有限的， 风险应对的目标并不是要一味地降低或消除风险， 事实上绝大多数风险是无法消除的， 一味地强化控制， 追求风险的无限降低可能不符合成本效益原则， 只要使控制后的剩余风险降低到可接受水平即可。 企业要正确认识和把控风险与机会的平衡， 既要重视风险的应对， 又要善于抓住机会。 既不能忽视生产经营过程中面临的高风险而片面追求高收益， 也不应由于恐惧风险而畏首畏尾， 与发展机遇失之交臂， 应防止和纠正由激进主义和保守主义诱发的行为。

另外， 即使内部控制各项工作均很完美， 也不可能完全杜绝差错和舞弊。 现实中， 有可能由于员工串通合谋或管理层凌驾， 甚至是员工判断失误等内部控制固有局限而导致差错或舞弊发生。

认知误区之四：内部控制是针对基层岗位和普通员工的控制

内部控制对象是风险， 而非基层岗位和普通员工。 内部控制的责任主体不仅仅包括董事会、监事会和经理层， 还包括全体普通员工。 普通员工应对与自身工作相关的岗位操作风险负责。 每个员工不仅要对自己的业务和绩效负责， 还要承担与自己工作和业务有关的风险防控责任， 要均衡风险和收益的关系。 所有员工都要一手抓工作和业务， 一手抓相关风险的防控。 企业要加强对业务部门、业务人员和普通员工进行风险管理相关知识的培训和专业支持， 并持续督导以提升普通员工对操作风险的识别、分析和应对能力。 如果普通员工认为自己是被控制的对象， 就会限制其在内部控制建设中的积极性和主动性。

当然， 在内部控制建设中， 董事会和管理层发挥着领导和示范作用， 有责任建立并维持恰当的高层基调， 制定并遵循行为准则。 从风险责任归属来看， 董事会应对企业战略风险、“三重一大”决策（重大决策、重大事项、重要人事任免及大额资金使用）等承担责任， 还应对设计、实施并维护有效的内部控制与风险管理机制负有总体责任; 监事会以董事会、经理层及其他高级管理人员为主要监督对象， 监督其履职合规性和胜任能力等; 管理层和职能部门则主要对经营管理风险负责， 并协助完成业务活动层面风险控制; 企业各业务部门对业务层面风险管理负主要责任; 普通员工对自身操作风险负主要责任。

认知误区之五：内部控制等于内部会计控制， 是会计部门的事

我国经历了很长一段时间的发展才形成相对完整的内部控制规范体系， 之前有人错误地将内部控制等同于内部会计控制， 事实上， 内部会计控制只是企业内部控制的一个发展阶段。 直到2008年5月的《企业内部控制基本规范》以及2010年4月的《企业内部控制配套指引》等一系列内部控制规范及指引出台， 才表明我国企业内部控制规范体系基本形成， 并最终取代了原有内部会计控制规范体系[3] 。 现实中， 企业的内部控制建设工作一般由财务部门牵头， 并由财务部门及其工作人员具体负责实施内部控制相关事宜。 很多人据此认为内部控制就是内部会计控制， 是会计部门的事， 与自己无关。 也有部分企业仅将自己的内部控制定位在会计领域。 企业应提升对内部控制的认识和定位， 内部控制作为一项系统性工程， 不是某一部门的事， 应调动全员参与内部控制。 内部控制是涉及全员、全方位和全过程的管理活动。

诚然， 内控建设中财务部门发挥了中流砥柱的作用。 内部控制目标中的报告目标、资产目标及合规目标等都与会计工作直接相关， 会计系统控制是重要的控制活动和控制手段。 会计工作既要管控好自身的报告风险、合规风险和资产风险， 又要为企业各项控制活动提供支撑。 在信息与沟通、内部监督等方面， 会计部门和会计人员同样发挥着重要作用。 可以说在内部控制建设中， 会计部门是最重要的职能部门之一， 但不能就此认为内部控制就等于内部会计控制， 只是会计部门的事。

认知误区之六：内部控制建设可以一劳永逸， 开始费点劲以后就轻松了

内部控制建设是一个动态的持续改进过程。 当今世界是一个多变的世界， 利率、汇率、物价、客户信用、市场竞争、工艺技术等时刻都在变化， 这些变化对内部控制与风险管理提出了更多的挑战， 企业应根据内外环境变化、企业管理要求及业务职能变化等， 适时调整和完善自己的内部控制体系。

管理的基本逻辑是：明确目标→分析现状→确认差异→改进提升。 实践中， 企业可以按照这个逻辑开展内部控制建设工作。 内部控制与风险管理应精益求精， 对于已经搭建起内部控制体系的企业而言， 应着重跟进有效执行和持续改进， 健全内部控制体系， 提升内部控制有效性。 企业需要通过持续监督、单独评估或两者并用进行持续改进和提升。 企业可借鉴PDCA循环进行内部控制体系建设。 其中， PDCA是英语单词Plan（计划）、Do（执行）、Check（检查）和Action（处理）的首字母， PDCA循环是按计划—执行—检查—处理的顺序进行内部控制的检查评估和持续改进。 P可以理解为内部控制的设计， D表示内部控制的实施和执行， C表示对内部控制体系的监督检查和缺陷评估， A表示对内部控制缺陷的修复和薄弱环节的改进。

企业在改进和提升内部控制效率效果的过程中， 应结合实际， 以提高企业生产经营和管理活动的效率效果为核心， 以风险管理为导向， 以流程构建为基础， 将重点放在关键控制点识别上， 确保全员参与、全业务覆盖、全过程监控。

认知误区之七：内部控制越严格越好， 规章制度越多越好

实务中， 部分企业认为内部控制越严格越好， 规章制度越多越好， 还有的企业将内部控制执行的有效性体现在惩罚力度上， 以罚代控。 事实上， 控制环节越多、控制措施越严格、规章制度越多， 控制成本也越高。

内部控制的核心是人， 一个人的品性是较难把握和控制的， 也是内部控制不可忽视的方面。 企业员工素质的高低与控制制度的多寡及控制措施的严松是反向变动的。 人力资源质量越低， 所需要的控制就越多; 反之， 人力资源质量越高， 所需控制则越少。 内部控制并不是控制越严格越好， “無为而治”才是内部控制的最高境界。 换言之， 实施内部控制之后， 员工专业素质过硬、思想道德修养水平高、具有集体主义精神、能自觉遵守规章制度， 企业运行高效， 这样的内部控制才是成功的。 在内部控制建设中， 规章制度是基础， 正直、诚信和道德操守则是内部控制的灵魂， 能够提升员工主动性， 化被动为主动， 进而达到“无为而治”的最高境界。 只有将制度的“硬约束”有机融入“软约束”中， 才能最终实现企业内部控制目标。 因此， 企业应重视软环境培育和建设， 坚持以人为本， 才能最终形成企业内部控制的强大合力。

认知误区之八：内部控制是企业内部的事， 用不着外人来管

股份制的快速发展导致企业所有权与经营权分离， 投资人往往并不直接参与企业生产经营与管理， 这就需要内部控制来保护其投资的安全， 保证其资产的保值增值。 作为企业资金的重要来源， 银行等债权人也希望企业能够建立并保持良好的内部控制， 稳健经营， 以便及时还本付息。 证券监管、工商税务等政府部门也希望企业能有良好的内部控制， 以促进企业合法经营、利润稳定增长。 同样， 其他利益相关方， 如供应商、客户、消费者、当地社区等也都希望企业有良好的内部控制， 能够长期合作， 以维护自身利益。

若内部控制不到位， 则可能造成企业自身经营和管理的混乱， 以至于无法实现自己的目标， 同时也会影响包括投资者、债权人和政府等利益相关者。 因此， 建立并实施内部控制， 不仅仅是企业自己的事情， 其外部性要求政府加强对企业内部控制的监管， 注册会计师也要相应提高内部控制审计的质量。

认知误区之九：有了内部控制就可以万事大吉， 高枕无忧

人们对事物的认识是一个不断深化的过程， 其不可能设计出无任何缺陷的内部控制体系; 出于成本效益的考量， 企业在建立内部控制体系时， 不能事无巨细， 面面俱到; 由于企业环境不断变迁， 内部控制还具有时效性[4] 。 面对新业务， 原有旧的内部控制体系可能显得无所适从。 企业战略和运营目标的实现取决于许多因素， 内部控制虽然非常重要， 但只是其中一个方面， 是企业战略和运营目标实现的必要而不是充分条件。 有些企业的内部控制非常健全有效， 执行的效果也很好， 但一旦遭遇突发事件或外部灾害就可能使得运营目标和企业战略无法实现。 因此， 内部控制只能合理保证企业控制目标的实现， 且合理保证不同于有限保证， 也不是绝对保证。 有限保证是很低程度的保证， 是不作为情况下的一种消极保证。 合理保证是一种积极保证， 是一种很高程度的保证， 做了大量的工作仍然无法绝对保证组织目标的实现。

认知误区之十：内部控制与风险管理是相互独立的两套体系

风险即未来影响组织目标可实现性的各种不确定性因素， 这些因素可能导致实际与预期目标之间的差异。 风险管理则是对企业面临的各项风险进行有效识别、衡量、分析并适时应对的过程。 内部控制是为实现企业目标而对相关风险实施控制的过程。

有关内部控制与风险管理二者关系的认识也在不断深入。 我国《企业内部控制基本规范》和COSO《内部控制——整合框架》均强调将风险的识别、分析和应对归为风险评估， 认为风险评估是企业内部控制的要素， 内部控制的范畴应该更大。 但COSO委员会2017年版的风险管理整合框架却认为风险管理涵盖范围更广， 风险管理包含了内部控制。 虽然二者有区别， 但我们认为应将两者整合发展， 即融为一个有机整体， 淡化对两者的区分和关系研究。 在实际工作中从工作内容、目标、要求以及具体工作执行的方法、程序等方面， 将两者结合起来， 避免出现“两张皮”或职能交叉现象， 以免造成企业资源浪费。 只有将二者有机融合， 才能充分将内控要求、发展战略和企业管理理念与企业各业务流程、制度规范等有机融合， 推动企业管理向体系化管理、过程监督和全流程管理转变， 促进管理水平提升和企业可持续发展。

为直观认知内部控制与风险管理， 可用下图来描述内部控制的概念及特征。

内部控制与风险管理是促进组织目标实现的关键所在， 是企业各项经济管理活动实现高效、有序运行的内在要求。 由于种种原因， 实践中人们对内部控制与风险管理的认识存在着这样或那样的误区， 直接影响内部控制与风险管理制度建立和实施的效率效果， 从而阻碍了内部控制目标的实现。 正确认知内部控制与风险管理的概念和特征， 避免陷入各种认知误区， 对提高内部控制与风险管理的有效性具有重要意义。

现代企业内部控制已由单纯规避损失的传统风险管理转向能够创造价值的全面风险管理。 良好的内部控制体系能够将企业发展战略、管理理念、控制要求有机融入公司治理、企业文化、岗位授权、制度规范和业务流程中， 通过风险评估、信息与沟通、监控与评价、缺陷改进等活动， 推动企业风险管理水平的全面提升。

【 主 要 参 考 文 献 】

[1] 王清刚，吕敏康，吴志秀.内部控制与风险管理：理论、实务与案例[M].北京：高等教育出版社，2019：1 ～ 396.

[2] COSO. Executive Summary：Enterprise Risk Management Inte-grating with Strategy and Performance[EB/OL].https：//www.coso.org/Pages/erm.aspx，2017-09-06.

[3] 中華人民共和国财政部，中华人民共和国审计署，中国保险监督管理委员会.企业内部控制基本规范[M].北京：中国财政经济出版社，2010：1 ～ 205.

[4] 赵保卿.内部控制有效性应是一个动态概念[ J].财会月刊，2019（23）：92 ～ 94.