內部控制與風險管理的十大認知誤區(qū)

【摘要】正確認知其概念和特征是建立健全并有效實施內部控制的前提。 然而， 實踐中人們對內部控制與風險管理存在著這樣或那樣的認知誤區(qū)， 影響著內部控制與風險管理建設的效率效果， 從而阻礙內部控制目標的實現(xiàn)。 內部控制不是一項職能管理， 不等于制度建設和會計控制， 不是針對基層崗位和普通員工的控制， 而是一項全面風險管理活動。 內部控制的目標不是相互牽制以糾錯防弊， 也不是為了消除風險， 內部控制并非越嚴格越好、規(guī)章制度越多越好。

【關鍵詞】內部控制;風險管理;會計控制;認知誤區(qū)

【中圖分類號】F275 ? ? ?【文獻標識碼】A ? ? ?【文章編號】1004-0994（2020）24-0098-4

當今世界是一個不斷變化的世界， 特別是突發(fā)公共衛(wèi)生事件的發(fā)生， 使得世界進入百年未有之大變局。 變化就意味著不確定， 意味著風險。 針對風險需要實施控制。 內部控制（Internal Control）是對各種可能影響組織目標實現(xiàn)的風險因素進行分析和應對， 從而幫助組織實現(xiàn)目標的過程。 內部控制是一個非常重要的管理術語， 是促進組織實現(xiàn)戰(zhàn)略和運營目標的關鍵， 是推進組織各項活動、管理有序高效運行的內在要求。 內部控制及其成效事關企業(yè)興衰成敗。 自安然、世通等系列財務丑聞爆發(fā)以來， 美國、歐盟等很多國家和地區(qū)組織， 相繼頒布法規(guī)， 從立法角度強化了企業(yè)的內部控制建設責任。 然而， 實踐中人們對內部控制與風險管理存在著這樣或那樣的認知誤區(qū)， 影響著內部控制與風險管理建設的效率效果， 從而阻礙了內部控制目標的實現(xiàn)。

認知誤區(qū)之一：內部控制就是一系列規(guī)章制度和表單

實務中， 有人將管理制度等同于內部控制， 認為企業(yè)為了防止差錯和舞弊或應對檢查而制定的各項規(guī)章制度就是內部控制， 具體散見于各種書面文件。 有人認為做好內控建設就是制定各項規(guī)章制度， 做好責任分工， 完善授權審批制度就是做好內控， 將內控與制度建設劃等號。 這都是人們對內部控制存在認知偏差的具體表現(xiàn)。

“控制”翻譯成英文， 即為Control。 在英語中，它除了有控制之意， 還有管理、檢驗、核實、支配、監(jiān)督、指導等涵義， 內部控制即企業(yè)應規(guī)范監(jiān)督企業(yè)生產經營活動， 提升效率效果， 以便達成組織既定目標。

內部控制的內涵遠不僅僅是作為規(guī)章制度存在， 而是對影響目標實現(xiàn)的風險進行識別、分析和應對， 幫助組織實現(xiàn)目標的過程。 內部控制建設涉及組織從設計、執(zhí)行與評價到改進等一系列動態(tài)持續(xù)的過程。 盡管內部控制設計的有形成果大多表現(xiàn)為政策、制度、流程和表單等靜態(tài)的規(guī)章制度， 但這并不是內部控制的全部。 內部控制建設除了制定規(guī)章制度， 應更注重各項規(guī)章制度的具體執(zhí)行過程及效率效果。 內部控制建設絕不等同于制度建設， 而是要建立健全有效的內部控制框架， 是基于一定內部控制框架下的全面風險管理活動[1] 。 制度建設是內部控制的基礎， 但不能一味強調制度建設而忽視了企業(yè)文化建設。 根植于道德和文化的內部控制活動對企業(yè)的影響才是持久而深遠的。 一個企業(yè)先進的管理哲學與經營風格、員工正直的品行與良好的道德價值觀等軟環(huán)境有時候比硬性的規(guī)章制度更為重要[1] 。 COSO委員于2017年9月發(fā)布的《企業(yè)風險管理框架——與戰(zhàn)略和績效的整合》在對風險管理定義時， 就直接將風險管理從“一個流程或過程”提升為“一種文化、能力和實踐”[2] 。

認知誤區(qū)之二：內部控制就是糾錯防弊， 相互牽制

內部控制采用了內部牽制的思想， 其基本原理可表述為：兩個或兩個以上的人或部門合伙舞弊或共同犯錯的可能性會遠遠低于單獨一人或者一個部門的可能。 內部牽制為阻止錯誤、預防舞弊及其他非法業(yè)務的發(fā)生， 運用不相容職務的分工、相互牽制與制衡、各種賬目相互核對等手段進行控制。

現(xiàn)代企業(yè)內部控制早已突破內部牽制的范疇， 相應地， 內部控制目標也不再局限于預防差錯和舞弊， 而應是以提高運營的效率效果為核心， 以最終實現(xiàn)公司發(fā)展戰(zhàn)略和可持續(xù)發(fā)展為最高目標的一個多目標管控體系[1] 。 “糾錯防弊”這一內部控制定位， 扭曲了內部控制的本質， 并人為縮小了其范圍和作用。 現(xiàn)代企業(yè)內部控制的內在理念已經由制約理念提升到可持續(xù)發(fā)展理念， 預防差錯和舞弊作為較低層面的控制目標已經融入其他幾類目標之中， 無須單獨提出。

認知誤區(qū)之三：內部控制的目標是消除風險， 杜絕差錯和舞弊

內部控制是對影響企業(yè)目標實現(xiàn)的各項風險進行有目的的識別、分析及應對， 風險則意味著不確定性。 風險不確定性帶來的影響可能是正向的， 也可能是負向的， 還可能正負效應兼而有之。 我們一般將具有負面效應的事項稱為風險， 將具有積極效應或可抵消風險負面效應的事項稱為機會。 風險應對應積極降低負面影響， 放大正面影響， 以實現(xiàn)風險應對的目標。 內部控制并不是要消除風險， 而是通過積極主動的風險管理， 在權衡風險與收益的基礎上， 將剩余風險降低到企業(yè)可接受水平[1] 。 風險的可接受水平是企業(yè)愿意接受的風險水平。 企業(yè)資源總是有限的， 風險應對的目標并不是要一味地降低或消除風險， 事實上絕大多數(shù)風險是無法消除的， 一味地強化控制， 追求風險的無限降低可能不符合成本效益原則， 只要使控制后的剩余風險降低到可接受水平即可。 企業(yè)要正確認識和把控風險與機會的平衡， 既要重視風險的應對， 又要善于抓住機會。 既不能忽視生產經營過程中面臨的高風險而片面追求高收益， 也不應由于恐懼風險而畏首畏尾， 與發(fā)展機遇失之交臂， 應防止和糾正由激進主義和保守主義誘發(fā)的行為。

另外， 即使內部控制各項工作均很完美， 也不可能完全杜絕差錯和舞弊。 現(xiàn)實中， 有可能由于員工串通合謀或管理層凌駕， 甚至是員工判斷失誤等內部控制固有局限而導致差錯或舞弊發(fā)生。

認知誤區(qū)之四：內部控制是針對基層崗位和普通員工的控制

內部控制對象是風險， 而非基層崗位和普通員工。 內部控制的責任主體不僅僅包括董事會、監(jiān)事會和經理層， 還包括全體普通員工。 普通員工應對與自身工作相關的崗位操作風險負責。 每個員工不僅要對自己的業(yè)務和績效負責， 還要承擔與自己工作和業(yè)務有關的風險防控責任， 要均衡風險和收益的關系。 所有員工都要一手抓工作和業(yè)務， 一手抓相關風險的防控。 企業(yè)要加強對業(yè)務部門、業(yè)務人員和普通員工進行風險管理相關知識的培訓和專業(yè)支持， 并持續(xù)督導以提升普通員工對操作風險的識別、分析和應對能力。 如果普通員工認為自己是被控制的對象， 就會限制其在內部控制建設中的積極性和主動性。

當然， 在內部控制建設中， 董事會和管理層發(fā)揮著領導和示范作用， 有責任建立并維持恰當?shù)母邔踊{， 制定并遵循行為準則。 從風險責任歸屬來看， 董事會應對企業(yè)戰(zhàn)略風險、“三重一大”決策（重大決策、重大事項、重要人事任免及大額資金使用）等承擔責任， 還應對設計、實施并維護有效的內部控制與風險管理機制負有總體責任; 監(jiān)事會以董事會、經理層及其他高級管理人員為主要監(jiān)督對象， 監(jiān)督其履職合規(guī)性和勝任能力等; 管理層和職能部門則主要對經營管理風險負責， 并協(xié)助完成業(yè)務活動層面風險控制; 企業(yè)各業(yè)務部門對業(yè)務層面風險管理負主要責任; 普通員工對自身操作風險負主要責任。

認知誤區(qū)之五：內部控制等于內部會計控制， 是會計部門的事

我國經歷了很長一段時間的發(fā)展才形成相對完整的內部控制規(guī)范體系， 之前有人錯誤地將內部控制等同于內部會計控制， 事實上， 內部會計控制只是企業(yè)內部控制的一個發(fā)展階段。 直到2008年5月的《企業(yè)內部控制基本規(guī)范》以及2010年4月的《企業(yè)內部控制配套指引》等一系列內部控制規(guī)范及指引出臺， 才表明我國企業(yè)內部控制規(guī)范體系基本形成， 并最終取代了原有內部會計控制規(guī)范體系[3] 。 現(xiàn)實中， 企業(yè)的內部控制建設工作一般由財務部門牽頭， 并由財務部門及其工作人員具體負責實施內部控制相關事宜。 很多人據(jù)此認為內部控制就是內部會計控制， 是會計部門的事， 與自己無關。 也有部分企業(yè)僅將自己的內部控制定位在會計領域。 企業(yè)應提升對內部控制的認識和定位， 內部控制作為一項系統(tǒng)性工程， 不是某一部門的事， 應調動全員參與內部控制。 內部控制是涉及全員、全方位和全過程的管理活動。

誠然， 內控建設中財務部門發(fā)揮了中流砥柱的作用。 內部控制目標中的報告目標、資產目標及合規(guī)目標等都與會計工作直接相關， 會計系統(tǒng)控制是重要的控制活動和控制手段。 會計工作既要管控好自身的報告風險、合規(guī)風險和資產風險， 又要為企業(yè)各項控制活動提供支撐。 在信息與溝通、內部監(jiān)督等方面， 會計部門和會計人員同樣發(fā)揮著重要作用。 可以說在內部控制建設中， 會計部門是最重要的職能部門之一， 但不能就此認為內部控制就等于內部會計控制， 只是會計部門的事。

認知誤區(qū)之六：內部控制建設可以一勞永逸， 開始費點勁以后就輕松了

內部控制建設是一個動態(tài)的持續(xù)改進過程。 當今世界是一個多變的世界， 利率、匯率、物價、客戶信用、市場競爭、工藝技術等時刻都在變化， 這些變化對內部控制與風險管理提出了更多的挑戰(zhàn)， 企業(yè)應根據(jù)內外環(huán)境變化、企業(yè)管理要求及業(yè)務職能變化等， 適時調整和完善自己的內部控制體系。

管理的基本邏輯是：明確目標→分析現(xiàn)狀→確認差異→改進提升。 實踐中， 企業(yè)可以按照這個邏輯開展內部控制建設工作。 內部控制與風險管理應精益求精， 對于已經搭建起內部控制體系的企業(yè)而言， 應著重跟進有效執(zhí)行和持續(xù)改進， 健全內部控制體系， 提升內部控制有效性。 企業(yè)需要通過持續(xù)監(jiān)督、單獨評估或兩者并用進行持續(xù)改進和提升。 企業(yè)可借鑒PDCA循環(huán)進行內部控制體系建設。 其中， PDCA是英語單詞Plan（計劃）、Do（執(zhí)行）、Check（檢查）和Action（處理）的首字母， PDCA循環(huán)是按計劃—執(zhí)行—檢查—處理的順序進行內部控制的檢查評估和持續(xù)改進。 P可以理解為內部控制的設計， D表示內部控制的實施和執(zhí)行， C表示對內部控制體系的監(jiān)督檢查和缺陷評估， A表示對內部控制缺陷的修復和薄弱環(huán)節(jié)的改進。

企業(yè)在改進和提升內部控制效率效果的過程中， 應結合實際， 以提高企業(yè)生產經營和管理活動的效率效果為核心， 以風險管理為導向， 以流程構建為基礎， 將重點放在關鍵控制點識別上， 確保全員參與、全業(yè)務覆蓋、全過程監(jiān)控。

認知誤區(qū)之七：內部控制越嚴格越好， 規(guī)章制度越多越好

實務中， 部分企業(yè)認為內部控制越嚴格越好， 規(guī)章制度越多越好， 還有的企業(yè)將內部控制執(zhí)行的有效性體現(xiàn)在懲罰力度上， 以罰代控。 事實上， 控制環(huán)節(jié)越多、控制措施越嚴格、規(guī)章制度越多， 控制成本也越高。

內部控制的核心是人， 一個人的品性是較難把握和控制的， 也是內部控制不可忽視的方面。 企業(yè)員工素質的高低與控制制度的多寡及控制措施的嚴松是反向變動的。 人力資源質量越低， 所需要的控制就越多; 反之， 人力資源質量越高， 所需控制則越少。 內部控制并不是控制越嚴格越好， “無為而治”才是內部控制的最高境界。 換言之， 實施內部控制之后， 員工專業(yè)素質過硬、思想道德修養(yǎng)水平高、具有集體主義精神、能自覺遵守規(guī)章制度， 企業(yè)運行高效， 這樣的內部控制才是成功的。 在內部控制建設中， 規(guī)章制度是基礎， 正直、誠信和道德操守則是內部控制的靈魂， 能夠提升員工主動性， 化被動為主動， 進而達到“無為而治”的最高境界。 只有將制度的“硬約束”有機融入“軟約束”中， 才能最終實現(xiàn)企業(yè)內部控制目標。 因此， 企業(yè)應重視軟環(huán)境培育和建設， 堅持以人為本， 才能最終形成企業(yè)內部控制的強大合力。

認知誤區(qū)之八：內部控制是企業(yè)內部的事， 用不著外人來管

股份制的快速發(fā)展導致企業(yè)所有權與經營權分離， 投資人往往并不直接參與企業(yè)生產經營與管理， 這就需要內部控制來保護其投資的安全， 保證其資產的保值增值。 作為企業(yè)資金的重要來源， 銀行等債權人也希望企業(yè)能夠建立并保持良好的內部控制， 穩(wěn)健經營， 以便及時還本付息。 證券監(jiān)管、工商稅務等政府部門也希望企業(yè)能有良好的內部控制， 以促進企業(yè)合法經營、利潤穩(wěn)定增長。 同樣， 其他利益相關方， 如供應商、客戶、消費者、當?shù)厣鐓^(qū)等也都希望企業(yè)有良好的內部控制， 能夠長期合作， 以維護自身利益。

若內部控制不到位， 則可能造成企業(yè)自身經營和管理的混亂， 以至于無法實現(xiàn)自己的目標， 同時也會影響包括投資者、債權人和政府等利益相關者。 因此， 建立并實施內部控制， 不僅僅是企業(yè)自己的事情， 其外部性要求政府加強對企業(yè)內部控制的監(jiān)管， 注冊會計師也要相應提高內部控制審計的質量。

認知誤區(qū)之九：有了內部控制就可以萬事大吉， 高枕無憂

人們對事物的認識是一個不斷深化的過程， 其不可能設計出無任何缺陷的內部控制體系; 出于成本效益的考量， 企業(yè)在建立內部控制體系時， 不能事無巨細， 面面俱到; 由于企業(yè)環(huán)境不斷變遷， 內部控制還具有時效性[4] 。 面對新業(yè)務， 原有舊的內部控制體系可能顯得無所適從。 企業(yè)戰(zhàn)略和運營目標的實現(xiàn)取決于許多因素， 內部控制雖然非常重要， 但只是其中一個方面， 是企業(yè)戰(zhàn)略和運營目標實現(xiàn)的必要而不是充分條件。 有些企業(yè)的內部控制非常健全有效， 執(zhí)行的效果也很好， 但一旦遭遇突發(fā)事件或外部災害就可能使得運營目標和企業(yè)戰(zhàn)略無法實現(xiàn)。 因此， 內部控制只能合理保證企業(yè)控制目標的實現(xiàn)， 且合理保證不同于有限保證， 也不是絕對保證。 有限保證是很低程度的保證， 是不作為情況下的一種消極保證。 合理保證是一種積極保證， 是一種很高程度的保證， 做了大量的工作仍然無法絕對保證組織目標的實現(xiàn)。

認知誤區(qū)之十：內部控制與風險管理是相互獨立的兩套體系

風險即未來影響組織目標可實現(xiàn)性的各種不確定性因素， 這些因素可能導致實際與預期目標之間的差異。 風險管理則是對企業(yè)面臨的各項風險進行有效識別、衡量、分析并適時應對的過程。 內部控制是為實現(xiàn)企業(yè)目標而對相關風險實施控制的過程。

有關內部控制與風險管理二者關系的認識也在不斷深入。 我國《企業(yè)內部控制基本規(guī)范》和COSO《內部控制——整合框架》均強調將風險的識別、分析和應對歸為風險評估， 認為風險評估是企業(yè)內部控制的要素， 內部控制的范疇應該更大。 但COSO委員會2017年版的風險管理整合框架卻認為風險管理涵蓋范圍更廣， 風險管理包含了內部控制。 雖然二者有區(qū)別， 但我們認為應將兩者整合發(fā)展， 即融為一個有機整體， 淡化對兩者的區(qū)分和關系研究。 在實際工作中從工作內容、目標、要求以及具體工作執(zhí)行的方法、程序等方面， 將兩者結合起來， 避免出現(xiàn)“兩張皮”或職能交叉現(xiàn)象， 以免造成企業(yè)資源浪費。 只有將二者有機融合， 才能充分將內控要求、發(fā)展戰(zhàn)略和企業(yè)管理理念與企業(yè)各業(yè)務流程、制度規(guī)范等有機融合， 推動企業(yè)管理向體系化管理、過程監(jiān)督和全流程管理轉變， 促進管理水平提升和企業(yè)可持續(xù)發(fā)展。

為直觀認知內部控制與風險管理， 可用下圖來描述內部控制的概念及特征。

內部控制與風險管理是促進組織目標實現(xiàn)的關鍵所在， 是企業(yè)各項經濟管理活動實現(xiàn)高效、有序運行的內在要求。 由于種種原因， 實踐中人們對內部控制與風險管理的認識存在著這樣或那樣的誤區(qū)， 直接影響內部控制與風險管理制度建立和實施的效率效果， 從而阻礙了內部控制目標的實現(xiàn)。 正確認知內部控制與風險管理的概念和特征， 避免陷入各種認知誤區(qū)， 對提高內部控制與風險管理的有效性具有重要意義。

現(xiàn)代企業(yè)內部控制已由單純規(guī)避損失的傳統(tǒng)風險管理轉向能夠創(chuàng)造價值的全面風險管理。 良好的內部控制體系能夠將企業(yè)發(fā)展戰(zhàn)略、管理理念、控制要求有機融入公司治理、企業(yè)文化、崗位授權、制度規(guī)范和業(yè)務流程中， 通過風險評估、信息與溝通、監(jiān)控與評價、缺陷改進等活動， 推動企業(yè)風險管理水平的全面提升。

【 主 要 參 考 文 獻 】

[1] 王清剛，呂敏康，吳志秀.內部控制與風險管理：理論、實務與案例[M].北京：高等教育出版社，2019：1 ～ 396.

[2] COSO. Executive Summary：Enterprise Risk Management Inte-grating with Strategy and Performance[EB/OL].https：//www.coso.org/Pages/erm.aspx，2017-09-06.

[3] 中華人民共和國財政部，中華人民共和國審計署，中國保險監(jiān)督管理委員會.企業(yè)內部控制基本規(guī)范[M].北京：中國財政經濟出版社，2010：1 ～ 205.

[4] 趙保卿.內部控制有效性應是一個動態(tài)概念[ J].財會月刊，2019（23）：92 ～ 94.