提升企業內部控制執行效果的探討

【摘要】 本文以巴林、興業銀行、中航油和三鹿事件為例，闡述內控制度的重要性，分析內部控制有效執行的制約因素，結合即將施行的《企業內部控制基本規范》，提出企業加強內控制度有效執行的措施。

【關鍵詞】 內部控制;有效性;問責制;風險預警

財政部、證監會、審計署、銀監會和保監會于2008年6月28日聯合發布了我國第一部《企業內部控制基本規范》(以下簡稱《基本規范》)，該基本規范于2009年7月1日起首先在上市公司范圍內實施，并鼓勵非上市的其他大中型企業執行。這是中國會計審計領域的又一重大改革舉措。此次《基本規范》的印發，標志著中國企業內部控制規范體系建設取得重大突破。這個以規范企業信息披露為主要目標的企業內部控制標準體系，旨在提高公司財務報表的真實性和可靠性。該規范的實施必將提高我國企業財務報告的有效性，保障公司資產安全，減少舞弊事件發生，有效提高風險防范能力，提高公司經營效益，實現公司價值最大化。由此，內部控制制度的有效執行問題擺在了實務界和理論界面前。

一、執行內部控制制度的重要性和必要性

1995年2月27日，在世界上有著4萬員工、4大集團，全球幾乎所有地區都有分支機構、233年的巴林銀行垮了。導致巴林銀行破產的根本原因就是:巴林銀行內控制度執行不力，缺乏風險防范機制。2008年初，成立于1864年的法國興業銀行集團也曝出違規操作丑聞。興業銀行是法國乃至世界上主要的銀行集團，總部設在巴黎，分別在巴黎、東京、紐約證券市場掛牌，它的總資產在1997年12月31日達到4 411億美元，在法國居第一位，在全世界則至第七位。按照規定，銀行的證券或期貨交易員進行交易時，都會受資金額度的嚴格限制。但操作員杰羅姆?凱維埃爾闖過了5道電腦關卡，獲得使用巨額資金的權限，違規操作近一年都沒有被發現，給銀行造成49億歐元的損失。從巴林、興業銀行的監管不力可以看到，再完善的內控制度如果執行不力都是無濟于事的。

再看國內企業，同樣看到內控執行不力的災難性后果。如曾獲新加坡上市公司“最具透明度”的企業——中航油(新加坡)。按照規定，公司的風險管理基本結構是從交易員，到風險管理委員會，到內審部，到首席執行官，再到董事會層層上報;每名交易員虧損20萬美元時，要向風險管理委員會報告，虧損達37.5萬美元時向首席執行官匯報;虧損50萬美元時，必須斬倉。盡管它有完整的風險管理制度，在風險管理委員會設置、風險控制流程等各方面都比較完備，但遺憾的是公司的這些制度并未得到有效執行，公司內部風險管理內控系統形同虛設，最終給公司造成了超過5.5億美元的災難性損失。

最新的三鹿事件也引發我們對內控執行的思考。自1993年起，三鹿奶粉產銷量連續15年實現全國第一。2007年，集團實現銷售收入100.16億元，同比增長15.3%。然而，在企業瘋狂擴張的背后，卻隱藏著內控失效的潛在風險。三鹿之敗在于內控的缺失。三鹿集團內控意識淡薄，風險識別、評估、控制能力低下，最終導致了“結石門”。風險點管控是企業內控的基本要求，一個企業的產業鏈越長，風險點就越多。對食品行業而言，質量監控無疑是風險控制的關節點。《基本規范》第37條規定:“企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理。”應急機制不健全，正是壓倒三鹿集團的最后一根稻草。

上述事件無一不在詮釋內部控制制度執行有效性的重要性和必要性。要使內部控制制度達到實現公司價值最大化的目標，關鍵在于有效執行。

二、內部控制有效執行的制約因素

內部控制的有效性有兩層涵義:一是指企業的內部控制政策和措施沒有與國家法律相抵觸的地方;二是指設計完整，合理的內部控制在企業的生產經營過程中，能夠得到貫徹執行并發揮作用，實現其為提高經濟效率、效果，提供可靠財務報告和遵循法律法規提供合理保證的目標。在評價內部控制的有效性時，只有滿足了第一層涵義，才能考慮其執行的效果;而第二層涵義對企業來說則是根本性的，也是企業的追求目標。內部控制有效執行的主要制約因素有:

(一)內部控制的執行動力先天不足

從經濟學的視角來審視內部控制的執行，內部控制制度的執行成本幾乎是由企業的總經理及以下的各執行層來承擔。而內部控制執行效果的受益者除經理層和內部員工外，還有企業的委托層(股東)和企業外部的審計人員、投資者和潛在投資者、外部監管者等相關各方。因此，如果沒有對代理人內部控制的再監督，企業收益提高了，但執行者卻得不到報酬，那么內部控制的執行水平必然低于企業最優水平。而單純的外部管制并不能解決這種外部效應導致的內控失靈，這一點通過透視中航油事件可以得到驗證。

(二)內部控制受管理成本因素的影響

不管實施何種管理，都需要付出管理成本，如果實施內部控制造成企業管理成本奇高，則有可能對內部控制進行適當的調整和修改，這樣就會削弱內部控制效能的充分發揮。控制環節越多，控制措施越復雜，相應的控制成本也就越高，同時也會影響企業生產經營活動的效率。

(三)高層管理人員的違規操作

內部控制是人們根據管理的需要而建立的一種方法，只有每個人都能按要求執行，才能發揮其真正的作用。但是如果高層管理人員違規操作，那么再嚴密的內部控制也不能產生應有的效果。內部控制作為企業管理的一個組成部分，它理所當然地要按照其管理人員的意圖運行，尤其是企業負責人的決策更是起決定作用。決策出了問題，貫徹決策人意圖的內部控制也就失去了應有的控制效能。

三、內控新規下加強內控有效執行的措施

(一)樹立正確的“內控觀”

內部控制體系并不是一個獨立于企業現有管理體系外的新東西，更不意味著對企業現有管理體系的否定。實際上，內部控制體系更應該扮演現有管理體系的“整合者”角色。內部控制體系應該融入到企業的文化中去，企業領導應該真正認識到內控的精神實質，才能積極推動企業內控的發展，并真正幫助企業實現價值的最大化。具體執行如下步驟:第一，評估現狀。參照規范的內容對企業自身進行一個自我檢查，充分理解企業現存的內部控制措施以及其中存在的內部控制缺陷，并對企業的業務流程進行全方位的梳理。 第二，建立初步規劃。由于基本規范不僅要求企業要像《薩奧法案》那樣財務報表合規，還包括對效率效果的合規、合法性、資產安全以及戰略方面等五個目標全部要合規。因此，企業目前可以配合自身管理的需要去建立一個初步的規劃，然后再逐步實現目標。 第三，建立有效的工作團隊。企業應按照基本規范的要求，明確董事會、監事會以及各級管理層在內部控制中的責任，規范審計委員會以及內部審計職能的獨立性。在此基礎上根據自身情況搭建內部控制體系，建立內控團隊，啟動一系列內部培訓，包括在企業內部對內控重要性的宣傳。對于某些企業而言，如果執行內部控制標準過高，可以考慮將其業務外包，由專業中介機構提供服務，盡可能提高效率、減少成本。 第四，必須關注內控指引的建設與更新。由于基本規范對部分關鍵的標準和程序只提出原則性的要求，而具體的指引都還處于征求意見的階段，因此企業一方面要關注現有政策的明確要求(如證券交易所內控指引中提出的關注領域)，另一方面需要時刻關注指引內容的變化與要求。在某種情況下，對政策要求的誤判，可能會直接造成企業成本的增加，甚至浪費。

(二)引入問責機制，建立內控制度有效執行的機制保障

所謂問責制，就是在某項活動中針對相應的權力明確相應的責任，并對相應責任履行進行嚴格科學考核，及時察覺失責，依據相應的失責對當事人追究和懲罰，靠“問”的“制度化”來保證“權責對等”實現的一種機制。內控制度中建立嚴格科學的問責制，并嚴格執行，可以增加內部經營活動各方逃避義務的風險，增強各方互利合作的可能，促使內部控制制度有效實施。

內部控制基本原理——三角制衡原理(見圖1)。在內部控制制度中解決由誰來問責這一問題，值得重視，單位所有經濟業務涉及到以下人員，他們是經辦人、審核人、審批人、支付人、檢查人、監督人等，他們的權力可以分為三類，一類是經辦權，另一類是審核、審批或支付權，還有一類是檢查、監督權。這三類人所分管的工作應該是相互獨立并形成相互制衡關系，如同三角形的三個邊。這也體現了內部控制的兩個基本原則——崗位分離原則和權力制約原則。

(三)全員參與，與績效考核相掛鉤

COSO的內部控制概念中強調內部控制是由企業董事會、經理層和其他員工共同實施的，《基本規范》第3條也明確了這一點。可見企業內的任何一名員工都應參與到內部控制管理中，也應被納入到內部控制運行過程中，實現內部控制運行過程中的全員參與，同時，明確個人在事前、事中、事后不同的風險控制責任，明確各部門、各崗位的具體職責。只有從上至下的全員重視，并嚴格按照內部控制指引的規定進行操作，才有可能避免風險事件的發生。

根據行為科學理論，為了最大限度地發揮人的主觀能動性，只有根據行為效果進行獎罰才能實現人的行為效果的最大化。因此必須要把激勵和約束機制引入到內部控制運行機制中來，完善管理層上下級之間的委托代理關系。把內部控制的相關工作明確責任，落實到人，按照管理層次進行層層分解落實，并且和公司的經營目標、崗位責任聯系起來，進行必要的獎罰和考核。通過內部控制運行與績效相掛鉤，達到進一步強化內部控制執行的目的。

(四)強化信息技術安全

近期一系列金融機構中所發生的金融欺詐案例都在提醒我們，強化IT系統安全對于防范欺詐風險的重要性。《基本規范》強調了企業要建立與其經營管理相適應的信息系統，使得內部控制流程能夠和信息系統實現有機結合，從而達到對相關流程的自動控制，以便進一步減少或消除人為操作因素所帶來的風險。同時，企業也應該采用先進、完善的信息技術手段，如加強人員權限和密碼管理、嚴格監控數據輸入、對所有操作進行詳細記錄和備份，以確保技術系統的安全運行。

(五)建立風險預警和突發事件應急機制

根據《基本規范》的相關要求，企業要全面系統地收集所有信息，及時進行風險評估，并采取適當的風險應對策略，比如購買保險、及時放棄或停止相關活動以減少或避免損失等，實現對風險的分散和有效控制。同時，嚴格執行風險管理制度。相對于制定嚴格的風險管理制度，將這些制度嚴格地落實到企業實踐中才是更為重要的。如果沒有良好的執行，再完善的制度也起不到任何作用。除了制定制度之外，企業管理層應該在制度的執行上進行更加嚴格的監督，才能真正實現風險控制的目的。●

【主要參考文獻】

[1] 財政部，證監會，審計署，銀監會，保監會.《企業內部控制基本規范》.

[2] 陳志斌，何忠蓮.內部控制執行機制分析框架構建[J].會計研究，2007，(10).

[3] 陳志斌.問責機制與內部控制制度的有效實施[J].《會計研究》，2004，(7).

[4] 萬志昂.建立健全企業內部控制制度的探討[J].商業會計，2009(3).

[5] 劉進.對內部控制運行機制的思考[J].中國內部審計， 2006，(7).

[6] 許學丹. 如何提高企業內部控制的有效性[J].財會月刊，2009，(2).

[7] 吳俊.企業內部控制的局限性及執行中應處理好的關系[J].會計之友，2008(12).

[8] 萬志昂.建立健全企業內部控制制度的探討[J].商業會計，2009(3).

[9] “執行”內控新規[J].首席財務官，2008(11).