李模军 大信会计师事务所(特殊普通合伙)

进入21 世纪以来，全球信息技术突飞猛进，网络经济、大数据、云计算、人工智能被广泛运用，世界经济格局和商业环境发生了翻天覆地的变化。在此背景下，所有企业的发展都面临着前所未有的不确定性。企业能否驾驭好这种“不确定性”将成为能否在竞争中胜出的关键。而风险的本质正是“不确定性”。因此企业管理“不确定性”就是管理风险。内部控制作为风险管理的重要部分也就势必变得更加举足轻重。

一、企业内部控制实践中存在的主要问题

(一)内部控制认知有误区

1.认知误区一：内部控制是为“坏人”而设

内部控制是为了防范“坏人”作恶，这是一种普遍存在的认识误区。这种认识是基于人性“恶”的推论，从而将企业所有风险事件的成因皆归于“主观恶意”。因此，错误认为设计内部控制的目的就是为了防止“坏人”作恶。

这一认识的片面之处在于只看到了“主观恶意”而忽视了“无心之失”。所谓“橘生淮北则为枳”，好制度让人性升腾的可能性无上限，坏制度让人性堕落的可能性无下限。因此，内部控制不仅仅是防范“坏人”作恶，也要避免“好心办坏事”。一旦将内部控制与“坏人”建立唯一的对应关系，则任何内部控制制度的出台都将被视作互相“不信任”的表现，会导致执行者在心里产生天然的反感甚至抵触，且制度设计越严密这种反感和抵触就越强烈。

2.认知误区二：制度都有，就是执行不力

放眼望去，无论是国有企业还是民营企业，但凡经营了几年以上的，都可以拿出几十或上百个甚至更多的制度文件。但是，企业的风险防控能力及管理水平并没有因为这些制度的发布而变得更有起色。遗憾的是，当我们对各层级人员进行业务访谈时，听到的最多的一句话就是“制度都有，就是执行不力”。

诚然，未严格执行制度是导致内部控制失效的重要原因。但是，如果把内部控制失效全部归咎于制度执行，会是一个严重的错误。错误的关键在于未分辨制度本身的优劣，直接强调执行，构成了事实上的本末倒置。

从笔者的经验来看，制度之所以得不到有效执行，其最大的原因在于制度设计本身不科学、不合理，甚至“不通人性”。企业制定制度的目的是希望所有员工遵守，以维护“企业整体利益”。但是，实际上很多制度只强调“集体利益”，忽视“个人利益”，甚至一味强调奉献、付出，而不考虑权、责、利的匹配。这样的制度势必没有生命力，难以得到长久、一贯的执行，慢慢也就被束之高阁了。

3.认知误区三：内部控制是财务部门的事情

当前，我国企业内部控制规范性文件是由财政部牵头制定，许多企业特别是国有企业在收到上级有关内部控制工作布置文件时，一看文件是由财政部门下发的，领导随即批示“请财务部落实”或“请财务部牵头落实”。这样一来，内部控制被视作是财务部门的事情似乎也就顺理成章了。

然而，只要深入研究一下内部控制的基本原理，就不难看出内部控制是一项覆盖组织内部各层级、全业务流程、各职能条线的系统性工程。如果没有高层领导重视、上下协同、业财融合，仅靠财务部门是不可能解决企业的内部控制问题的。

事实上，业务端才是风险产生的源头。因此，只有在业务端嵌入内部控制才能实现我们一贯倡导的“事前控制”，这比财务端的控制更加靠前、更加重要。

4.认知误区四：内部控制会降低效率

这种观点明显站不住脚，但现实中持这种看法的人不在少数。这种观点或者说偏见，就在于将内部控制看成是无休无止地增加流程环节与操作步骤，同时将办事速度与“效率”划等号。组织内部如果普遍有了这种看法，内部控制呈现出的只能是一副“讨厌鬼”模样。

产生这种错误看法的根本原因是对内部控制理论缺乏基本的理解。我国发布的《企业内部控制基本规范》明确了内部控制的五大目标和五项原则。其中内部控制目标就包括“提高经营效率和效果”，内部控制原则包括“成本效益原则”。

从以上目标和原则不难看出，内部控制并非越复杂越好。高明的咨询顾问或管理者一定是在权衡风险与效益的基础上去设计内部控制，确保控制的强度、复杂程度与其风险高度匹配。用最小的成本实现最严密的控制才是内部控制的真正追求。

(二)内部控制设计不理想

1.重执行，轻决策

任何一个事项都可以分为决策、执行、监督三个环节。其中决策要解决的问题是力争“做正确的事情”，执行要解决的问题是“把事情做正确”。因此，决策是纲，执行是目，纲举才能目张。只有做出了正确的决策，执行才有意义。如果决策错误，执行再高效也枉然，甚至执行越有力损失越惨重。所以，企业必须将内部控制嵌入决策、执行、监督的每一个环节。

实践中，许多企业各类规章制度、管理办法、操作手册、实施细则比较齐全，即执行层面内部控制相对完备。然而决策层面的内部控制却比较空泛。一些企业虽制定了“三重一大”管理办法，以及董事会、监事会、总经理办公会等议事规则，但部分内容模糊，可操作性不强。如“三重一大”管理办法，虽然罗列了许多“三重一大”事项，但仍有不少事项标准不具体，如“大额资金支付”缺乏量化标准，“重要人事任免”缺乏职级和岗位界定等。此外，多数企业未建立专家论证机制和专项风险评估机制。

不难理解，企业可以承受十个百个操作层面的失误，但有时候只需要一个决策上的失误就已遭受灭顶之灾。因此，这种重执行、轻决策的内部控制体系，可谓是舍本逐末，抓了芝麻、丢了西瓜。

2.不以风险为导向，为控而控

设计内部控制的初衷是为了防范风险，离开风险搞内部控制是不可想象的。正如前文所述，风险的高低、成因决定了内部控制的强度和复杂程度。通常来说，一个事项的风险越高、成因越复杂，企业所采取的应对策略就更慎重，制定的内部控制措施也势必更严密，流程链条可能更长。相反，如果某事项所涉及的风险极低、成因简单，企业无须建立复杂的控制机制。

但现实情况是，许多企业将内部控制与风险管控割裂。在设计内部控制时，未将风险识别、评估、分析作为前置条件，随意为之。导致出现两个危险的极端，一是高风险弱控制，二是低风险强控制。这两个极端都将带来严重的不利后果。高风险弱控制导致风险暴露，出现风险事故是早晚的事情。低风险强控制导致无谓的内耗，芝麻绿豆大点事安排八个人复核、审批，搞得热火朝天、煞有介事，既浪费时间和资源，更伤害员工工作热情。

3.要求不明确，操作性差

在内部控制体系建设过程中，很多企业都纷纷编制了《内部控制手册》，在手册中列示了识别的各项风险，按照流程环节编制了流程图，并将内部控制措施嵌入流程，形成了风险与内部控制矩阵。这种做法对于明确内部控制责任、细化内部控制要求起到了重要的作用。但实践中操作性不强的问题仍然存在。一是仍有相当一部分企业并未制定《内部控制手册》，未系统识别和评估各业务环节的风险，并建立有针对性的控制措施。二是即便是制定了《内部控制手册》的单位，仍然存在不少盲点、漏点，如有相当一部分内部控制措施责任主体不清，完成时间、执行标准不明，操作方法不具体，或未提供表单及其他工具模版。

4.信息化水平低，控制手段落后

“管理制度化、制度流程化、流程信息化”，这早已是管理共识。内部控制要想具有生命力，同样需要借助信息系统，减少手工操作比例，不断提高自动控制水平。

近年来，企业信息化水平越来越高，完全依赖手工操作的企业越来越少，部分企业已经走在了“无纸化”的路上。但是，并不代表我国企业已经全面实现了内部控制的自动化。恰恰相反，企业内部控制信息化水平整体还有巨大的上升空间。一是很多企业的信息化程度还不高，受限于企业规模和成本投入，业务办理仍以线下操作为主，自然也就谈不上将内部控制搬入线上。二是那些信息化管理覆盖面较高的企业，距离自动控制仍有不小的距离。其主要原因在于现有的业务系统侧重于业务执行，未嵌入足够的内部控制，难以完全满足自动控制的需要。风险控制仍依赖于线下的手工操作。

(三)内部控制执行不到位

1.控制责任未下沉

在咨询工作中，笔者发现不少企业内部控制责任没有合理的落实。突出表现在基层员工未承担应有的内部控制责任，事无巨细都交由上级裁决、审批。这一做法也许并非发端于基层员工偷奸耍滑，也不一定是因为上级对下级不信任。但久而久之，其所造成的结果是基层员工日益丧失责任感和主动性，凡事找领导签字、等领导拍板，领导说行就办。不管对错，自己只是奉命行事，权力和责任都是领导的。如此一来，原本基层员工应当且能够独立承担的控制责任上移，各司其职的责任体系遭受破坏。上级掌握事情来由的主要依据是下级的书面或口头汇报，因此上级不可避免地在未全面、深入了解情况的前提下做出不恰当的决策和判断。这不仅影响了工作效率，形成了上下级之间的“苦乐不均”，也影响了内控执行的有效性。

2.不执行制度，走捷径成为习惯

“制度是死的，人是活的。”这种观念残存在不少人的心里。造成的结果是在执行内部控制时发生走样、变形。慢慢地不按制度规定执行，走捷径也就成为了习惯。比如按内控制度规定两个仓管员在换班时应当进行工作交接，但实际并未严格执行，导致出了问题后再相互推诿、扯皮；又比如内部控制制度规定，法人名章、财务专用章应当分开保管，但现实中却经常为图省事，由一人保管。

3.评价监督不力，缺乏问责机制

自我国内部控制规范实施以来，上市公司及许多企业均定期不定期开展内部控制自评价或聘请中介机构进行内部控制审计，对于发现企业存在的内部控制缺陷，并及时制定有针对性的改进措施，持续改进和提升内部控制水平发挥了重要作用。但有一个不容忽视的现实是，至今仍有不少企业未开展内部控制自评价和审计工作，还有一些企业虽然开展了自评价和审计工作，成效却未能达到预期。一是评价与审计流于形式，发现的问题深度不够，浮于表面。二是对于发现的问题，未深入分析产生的原因，并制定有针对性的整改措施，同时也未分清责任，开展追责问责。

内部控制监督评价流于形式，或评价结果未能得到充分运用，无法形成事后“冷威慑”。存在的内部控制缺陷要么不能被发现，要么得不到整改，内部控制逐渐也就被束之高阁。

二、进一步提高内部控制应用水平的建议

(一)加大培训宣贯力度，提高认识水平

我国《企业内部控制基本规范》及配套指引分别于2008 年、2010 年制定发布。众所周知，我国内部控制规范体系的理论框架源自美国COSO 1992 年、2004 年相继发布的内部控制整合框架和企业风险管理整合框架。2013 年、2017 年COSO 分别发布了修订版的内部控制框架和风险管理框架(以下简称新框架)。新框架诠释了全新的内部控制与风险管理理念。这些新理念在我国尚未得到广泛的宣贯与普及。

因此，有必要在全国范围内及各企业内部有组织地开展新一轮的内部控制与风险管理培训，覆盖各层级、各职能条线，总结近年来内部控制与风险管理实践经验和不足，澄清认识误区，传播新的理论研究成果，进一步提高全员的认知水平。

(二)完善内部控制体系设计

一是更加重视决策层面的内部控制设计，明确“三重一大”事项认定标准，完善议事决策机制，健全专项风险评估机制与专家论证制度。二是坚持以风险为导向的内部控制设计理念，权衡风险效益，确保内部控制既能有效防控风险，又能提高经营效率。三是按照“5W1H”模型设计内部控制，提高内部控制措施的标准化与规范性水平，确保内部控制措施具体、可操作。四是建立与企业战略、现有规模和发展阶段相适应的信息系统，持续提高内部控制的自动化水平。

(三)全面提高内部控制执行有效性

一是建立健全职责分工体系，明确各层级、各职能条线、各岗位的内部控制职责界面，形成各司其职的良性分工机制。二是加大内部控制自评价与审计工作力度，完善内部控制自评价与审计工作标准，优化内部控制评价与审计人员结构，提高内部控制自评价与审计工作质量。三是充分运用内部控制自评价与审计工作成果，针对存在的内部控制缺陷，建立有效的整改措施，促进内部控制体系的持续完善。四是建立健全责任追究机制，对于存在的内部控制缺陷，厘清责任，找出问题形成的原因、并对造成的后果进行追责，形成事后“冷威慑”。