基于成本效益原則的企業內部控制問題研究

穆會軍

一、引言

目前,國內外一些企業監管機構都相繼出臺了關于企業內部控制的政策規范,強化企業內部控制已日益成為世界各國提高公司治理水平的重要手段（李萬福等,2011）。然而，調查發現,我國上市公司在內部控制規范體系實施過程中卻暴露出非常突出的問題，即有些企業雖然根據國家出臺的企業內部控制規范標準并結合企業自身的經營特點和管理要求設計了企業內部控制制度，但是，對于企業內部控制制度的執行卻流于形式，甚至有些企業內部控制制度在執行中形同虛設。趙立新，胡為民（2011）在對我國滬、深兩市1267 家上市公司執行企業內部控制情況進行調查后發現：有92%的上市公司對企業內部控制建設的重要性有認識；有80%的上市公司重視企業內部控制建設；但是，卻有59%的上市公司的企業內部控制沒有實現預期的執行效果。為什么制定企業內部控制制度容易，而有效實施卻變得很難呢？研究發現，企業內部控制的執行者缺乏足夠的執行動力是導致企業內部控制執行無效的根本原因。國家出臺的企業內部控制規范體系是適用于各種企業的通用標準，這種通用標準的制定缺乏對標準執行者（企業的管理者）以及他們行為的深入思索（林鐘高，鄭軍；2007）。作為“理性人”，人們對某項行為作為和不作為，總是基于對這項行為所能帶來的效益和這項行為所產生的成本之間的權衡，企業設計和執行內部控制時，對于管理者而言，同樣面臨著對執行成本和預期效益的權衡問題。本文從企業內部控制執行者的角度出發，對企業執行內部控制的遵循成本和其他間接成本進行歸納，對企業執行內部控制的預期效益進行分析，并根據成本效益原則解析企業執行內部控制的動態演進性，為企業科學、有效地執行內部控制規范提供借鑒和參考。

二、企業內部控制研究現狀述評

內部控制最初從拉丁語“contrarotulus”派生而來，意為“對比宗卷”。它起源于古羅馬時代對會計賬簿實施的“雙人記賬制”。在國外，有Ashton（1974），Mork 和Tumer(1981)，Niehols(1987)，Cashell(1996)等從企業外部審計角度對企業內部控制進行研究，他們重點關注企業的特定循環、過程和交易層面的企業內部控制；有Powe(1997),Eilifseneta(1999)等從經濟學視角研究企業內部控制，強調不同控制機制之間的均衡與效率；有Rotch(1993),Ouehi(1979),Flalnholtz(1983)等從組織理論角度研究企業內部控制，強調單位內部部門的管理控制。在我國，縱觀企業內部控制研究，經歷了從對國外理論成果的介紹逐步轉向對我國實際情況的闡述的過程。例如，閻達五，楊有紅（2001）提出采取雙管齊下和分兩步走的戰略建立內部控制框架；劉明輝，張宜霞（2002）利用系統論和新制度經濟學理論探討內部控制的內涵；朱榮恩，應唯，袁敏（2003）從美國SOX 法案404 條款出發，對財務報告內部控制有效性評價進行研究；楊雄勝(2005)從經濟學、管理學、審計學等相關理論入手研究企業內部控制；林鐘高和鄭軍（2007）引入契約經濟學，楊周南和吳鑫(2007)利用工程學，許新霞和王學軍(2007)從委托代理理論的角度分別對企業內部控制進行了研究。綜合分析國內外相關文獻，雖然關于企業內部控制的研究非常多，但是，研究的內容相對來看卻比較單一，主要集中在對內部控制的基本概念，基本框架，控制環境，控制要素以及效果評價和審計鑒定等問題的研究；研究目標更多的側重規范標準的制定，而不在于企業應該如何有效地實施。也就是說，人們關注的焦點一直以來主要在于企業內部控制規范體系的構建上，并且，目前我國已經形成了法定的執行標準體系。但是，我們又不得不面對一個現實，那就是再好的內控標準也必須要由人來執行。這里的“人”，雖然從理論上說包括企業董事會、監事會、經理層以及全體員工，但主要是企業的管理者。現有的企業內部控制研究對內部控制執行者及其行為的關注遠遠不夠，因此，無法從根本上解決企業內部控制的有效執行問題。

三、企業內部控制的執行成本

企業執行內部控制就會不可避免的在首次執行期間和以后期間發生直接遵循成本以及其他成本，并且，執行企業內部控制發生的成本同樣遵循邊際成本遞減規律。直接遵循成本具體包括因企業原來沒有內部控制體系，或者雖然擁有卻未能妥善維護，因企業對國家出臺的內部控制規范體系做出的規定不夠了解，或企業內部控制建設工作計劃或設計不夠科學等原因造成的重復工作或浪費；因企業內部控制所需的財務和時間計劃不足，出現重新測試、改善和布點循環，缺乏內部控制文檔及儲存流程，外包以及時間緊迫所造成的審計和咨詢費用的提高，軟件和信息系統的一次性投入等原因導致的相關成本的發生。美國財務經理協會（FEI）2005年對217 家收入超過50 億美元的企業進行了調查，結果顯示，實施404 條款的每家公司平均首次遵循成本為365萬美元，其中134萬美元為內部成本，172萬美元為外部成本，13萬美元為審計費用，額外的審計費用超過財務報表費用的57%。除直接的遵循成本之外，企業執行內部控制還存在著間接成本，比如因轉移了管理者的注意力使得運轉效率下降，影響公司競爭力；扭曲了管理者的激勵和投資決策；減少了公司的風險承擔行為；增加了公司的訴訟風險；提高了通過證券市場募集資金的成本等(Ribstein &Butler，2006)。值得注意的是，企業在實施內部控制的首次執行年度會由于控制制度、維持文件的首次建立，培訓、測試、更改等額外支出的增加使得遵循成本增大；但是，在后續年度里，由于企業已經建立了有效的框架，不像首次執行那樣建立很多控制點、更改流程或業務活動，同時由于企業員工的熟悉程度得以不斷增強，減少了對時間或人員的需求；時間壓力得到釋放，咨詢費用也會得以降低等，都會使以后年度的內部控制遵循成本逐年下降。尤其是，隨著新的規范習慣的逐漸形成，原來因實施新的內部控制規范而產生的在員工之間、部門之間以及企業與客戶之間的不適應或抵觸情緒逐漸消失，由此而產生的摩擦成本也會逐步降低直至消失。

四、企業內部控制的預期效益

根據我國《企業內部控制基本規范》第三條的規定，內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。可見，蘊含在基本規范中的一個重要主題是內部控制可通過其一系列的制度安排來提高企業經營效率和效果，促進企業實現發展戰略。也就是說，可以合理的認為，只要企業執行了內部控制規范，合理的保證了企業安全、企業的資產安全、企業的信息安全，提高了企業的效率和效果，就能夠實現企業的發展戰略，能夠實現企業可持續發展。但是，企業因執行內部控制規范使經濟效益提高了多少，至今在理論界和實務界尚不能精確計量；實務中也很難區分企業的利潤總額中到底有多少是屬于因實施企業內部控制而帶來的。人們對于因實施企業內部控制而產生的預期收益的認知，往往是通過消極對比而得到的。通常，人們提到的一些成功公司的成功之道時，很少有人認為有“內部控制”的一份功勞；反而在各種公司失敗的案例中，卻大都會提到內部控制缺失或不力是一大原因，內部控制似乎是一個與成功無緣而只與失敗相伴的管理制度（楊雄勝，2006）。盡管如此，企業的所有者和管理者往往卻能從別的企業的教訓中認識到自己企業實施內部控制的必要性和價值。并且，雖然在企業管理者心目中，實施企業內部控制的預期價值能有多大不能量化，卻能夠感受，關鍵取決于對自己公司所面臨的控制風險的評價，評估的風險越高會認為企業實施內部控制的價值越大。總之，實施企業內部控制規范將會給企業帶來的預期效益并不像執行企業內部控制發生的成本那樣讓企業管理者感到很直接，企業執行內部控制帶來的預期效益更多的是管理者對因不執行內部控制導致錯弊發生或經營失敗案例的一種對比后的感覺。事實上，企業內部控制制度本身并不能產生經濟效益，它是通過對企業流程梳理而使企業經營效率提高，通過對資源重整而產生綜合的效率和效果的（陳宋生，2011）。

五、企業內部控制的成本效益分析

誠然，作為“理性人”的企業管理者，在執行企業內部控制時必然會權衡由此項活動而產生的成本和由此項活動而帶來的效益，當認為預期收益大于成本時，就會重視企業內部控制，反之，則會選擇輕視或放棄。因此，很容易理解“緣何企業的內部控制制度在設計和制定層面都沒有問題，而執行起來卻大打折扣”這一現象。原因就在于，國家以法律文件的形式發布統一的內控標準，并要求企業必須執行，不執行本身就是對有關法律法規的違背；而執行的最直接形式就是制定企業內部控制制度，并且單純從企業內部控制制度的制定來看，成本并不是很高，如果不制定的后果卻很嚴重，企業當然會選擇制定。然而，制定了企業內部控制制度并不等于企業就有效地執行了企業內部控制制度，真正要執行的話，會讓企業管理者馬上感受到由此而產生的遵循成本和其他間接成本，而執行企業內部控制制度究竟能給企業帶來多大的效益，卻要看企業管理者對企業內部控制風險的評估情況。目前，我國滬、深兩市86%的上市公司對自身的企業內部控制水平表示滿意，79%的上市公司認為“因內部控制失效導致的經營失敗不會發生在本公司”，但是，有95%的上市公司認為“因內部控制失效導致的經營失敗會發生在其他公司”。這種對自身內部控制水平的“高估”和對其他公司內部控制水平的“低估”充分體現了我國上市公司管理者對內部控制風險的認識存在嚴重的偏差（趙立新，胡為民；2011）。也正因此，就使得我國上市公司管理者在執行內部控制制度時總是缺乏動力，究其根本，在他們心目中成本大于效益。另外，由于企業內部控制的本質屬性是一種持續均衡利益關系的契約裝置（林鐘高，鄭軍；2007），這樣就致使企業內部控制的演化呈現出“點狀均衡”，也就是說，當企業管理者估計的預期收益（不執行內控的風險）小于執行成本時，將會怠于執行；當企業管理者估計的預期收益（不執行內控的風險）等于執行成本時，可執行可不執行；當企業管理者估計的預期收益（不執行內控的風險）大于執行成本時，會選擇有效執行。這也正是美國“安然事件”為何能催生《薩班斯法案》(SOX 法案)，2008年全球金融危機爆發后為何再次使強化企業內部控制建設成為國內外企業研究的熱點問題的重要原因。

六、結論

企業內部控制的有效實施包括有效設計和有效執行兩個環節。如何使企業內部控制的設計和執行做到科學、有效，關鍵在于作為“理性人”的企業內部控制執行者，即企業的管理者，能否對執行企業內部控制而產生的遵循成本和預期效益進行合理的衡量，重要的是對企業自身內部控制風險的評估。企業要發展總會有風險，有風險并不可怕，可怕的是對風險沒有知覺，不能正確認識和評價風險。因此，提高企業對風險的識別和評估水平，增強企業管理者的風險防范意識，是保證企業內部控制有效實施的重要手段。

[1]陳漢文,張宜霞.企業內部控制的有效性及其評價方法[J].審計研究,2008，（3）.

[2]楊有紅,汪薇.2006年滬市公司內部控制信息披露研究[J].會計研究,2008,(3).

[3]楊周南,吳鑫.內部控制工程學研究[J].會計研究,2007,(3).

[4]楊雄勝，內部控制研究新視野[J].會計研究，2005.（7）.