内部控制与风险管理:理论、实践与案例
上QQ阅读APP看书,第一时间看更新

第七节 内部控制的固有局限性

内部控制不是万能的,不能认为有了内部控制体系就有了一切,就可以高枕无忧了。无论内部控制的设计和实施多么好,也只能合理保证企业目标的实现,而非绝对保证。内部控制无法杜绝错误的判断和决策,也无法完全防止可能导致组织无法实现其目标的外部事件。也就是说,即使是一个有效的内部控制体系也有可能出现失败,这是因为内部控制存在固有局限性。

一、目标设定不当可能导致内部控制失效

目标引领行动,内部控制主要是对影响目标实现的风险进行评估和管控,设立目标是管理过程重要的一部分。尽管目标并非内部控制要素,但它是内部控制得以实施的先决条件,也是促成内部控制的要件。如前文所述,内部控制有合规目标、报告目标、资产目标、运营目标和战略目标五个方面,这五大目标必须被细分和具体化到战略、运营和操作等各个层次,明确到企业整体层面、业务活动层面,以及对子公司和分支机构的管控等各个领域。目标设定及其细分的科学性和适当性直接关系到内部控制的有效性。例如,发展战略为内部控制设定了最高目标,是企业执行层的行动指南。如果企业为了追求“超常规”“跨越式”的发展,制定了激进的发展目标,则可能造成企业盲目做大,不惜成本地“铺摊子”,试图在短期内就打造成为巨型企业。但是,这种所谓的“跨越式”发展,在内部管理能力难以跟上、风险管理水平不匹配的情形下,一旦遇到外部环境“风吹草动”,企业就很可能迅速走向衰败。

二、判断失误可能导致内部控制失效

现实工作中,很多事项都需要判断,很多工作都需要职业判断,如医生对病情的诊断,法官对案件的审判,气象工程师对天气的预测等。一个有效的内部控制体系不仅要求严格地遵守政策和程序,还必须运用判断。例如,董事会和管理层运用判断确定所需控制的程度;管理层与其他人员在日常的生产经营和管理中每天都会运用判断进行选择、开展和实施控制;管理层与内部审计人员则运用判断监督和评估内部控制体系的有效性。一方面,治理层和管理层可以运用判断消除无效、冗余及低效率的控制;另一方面,人们在进行选择和判断时可能出现错误、偏差或人为失误,从而导致内部控制失效。

三、员工串通可能导致内部控制失效

内部控制起源于内部分工、相互牵制和权力制衡,不相容职务分离是内部控制的基本设计;但如果执行控制的相关人员通过串通或合谋而发生舞弊,则很容易规避控制,使相关控制措施失效。执行控制的相关人员包括企业管理层、员工和第三方等。内部控制至今尚未能有效地解决企业内部的合谋或串通舞弊问题。合谋是指两个或两个以上的员工或管理者或第三方串通起来欺诈企业,使得内部控制系统失效。如果管理层企图共同进行欺诈,就有可能形成内部人控制,即管理层事实上或依法掌握了企业的控制权,管理层利益在公司战略决策中会得到充分的体现。

四、管理层凌驾可能导致内部控制失效

现代企业的所有权与经营权一般是分离的,出资者并不直接经营和管理企业,管理层接受股东(大)会和董事会的委托,主持企业的生产经营和管理工作并获得相应报酬。通过公司治理结构,股东(大)会、董事会、监事会、管理层形成权力的监督和制衡机制,各自在职能范围内独立地行使权力并承担相应的责任,同时享有相应的权益。在制衡机制的作用下,各方独立运作、相互制约,共同实现企业目标。在内部控制建设中,管理层理应以身作则、带头垂范,保持恰当的高层基调。然而,在信息不对称和公司治理结构不完善的情境下,很容易出现管理层权力过大和滥用权力等问题,从而越过内部控制谋取私利。管理层不遵守既定的内部控制政策或程序,是威胁内部控制有效运行的重大障碍。另外,管理者自身素质、行事作风、决策能力、经营风格和管理哲学等会对内部环境产生重大影响,进而直接或间接地影响内部控制的有效性。

五、人员素质参差不齐可能导致内部控制失效

企业活动的核心是人的活动,内部控制是由人设计的,也是由人执行的,内部控制的许多局限归根结底是人性的局限。用正确的人做正确的事是保证组织成功运行的根本,人员素质是影响内部环境的关键因素。员工素质的高低与内部控制制度的多寡及控制措施的严松是反向变动的关系。若员工素质良好、诚实守信、有正义感,即使某些控制缺失,企业也能保持良好的发展;反之,若员工油滑、无原则、无诚信、无正义感,即使有完美的控制制度,企业也可能蒙受损失或信誉扫地。内部控制执行人员玩忽职守,不按制度要求执行或操作疏忽,都将大大降低内部控制的应用效果。人格修养、职业道德和专业胜任能力应是企业选拔与聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质,从而提高内部控制的有效性。

六、权衡成本效益可能导致内部控制失效

权衡成本效益是企业从事一切经济活动的出发点,设计和实施内部控制也不例外。如果设计和实施某项控制的成本超过实施该项控制的预期效益,该项控制就会因成本太高而失去现实意义。例如,当货币资金收支频繁、业务量很大时,企业可以设置收入和支出两个出纳岗位,实行收支两条线,这样能更好地起到内部控制效能;但当货币资金业务不多时,设置两个出纳岗位就可能不符合成本效益原则。随着内外环境的变化,很多企业的控制系统变得越来越复杂,相应的控制成本也就越来越高,甚至影响企业生产经营和日常管理的效率。风险管控的目标并不是消除风险,因为在多数情形下风险是无法消除的。企业应在权衡成本效益的前提下,采取适当措施降低风险,将风险控制在可接受水平之内;而不是不计成本地杜绝差错或舞弊。对于在风险可接受水平之内的风险,企业不必采取额外的控制措施。企业应在综合考虑成本效益的基础上,建立能够为达成组织目标提供合理保证的内部控制体系。

七、环境变化可能导致内部控制失效

内部控制可能因经营环境、业务性质的改变而弱化或失效。内部控制一般是为日常发生的经常性业务而设计的,一旦发生异常、变化或未预计到的业务,内部控制就可能失效或原有的控制不再适用。设计并实施一个有效的内部控制体系具有很大的挑战性,要使这一控制体系每天保持有序且高效的运行也是非常艰难的。新兴和急剧变革的商业模式,对信息技术应用和依赖程度的不断提高,日益增加的监管要求和细致审查,不断深化的全球化趋势及其他挑战,都要求内部控制体系能更灵活地应对业务、运营和监管环境的变化。

八、外部突发事件可能导致内部控制失效

任何企业的生产经营和管理活动都处在特定的环境中,并与环境进行着物质、能量或信息交换,并在与外界不断交换的过程中得到发展和壮大。企业应高度重视包括经济、技术、社会、政治和伦理等方面的外部环境因素及其变化。对企业而言,外部环境分析是非常重要的,特别是要重点关注超出企业控制能力的外部事件及其发展趋势,分析和评价企业面临的机会与威胁,从而采取进一步的应对措施。内部控制的最高目标是促进企业战略的实现,企业目标及其战略规划的提出离不开具体的内外部环境,而企业的内外部环境处于不断地变化之中,当这种变化累积到一定程度时,特别是发生超出企业控制能力的外部事件时,内部控制系统可能会滞后或偏离既定的目标,从而降低其有效性。

本章小结

内部控制是对影响目标实现的风险进行评估和管控,从而帮助实现企业目标的过程。内部控制不是单纯的流程和制度安排,而是由目标层面、要素层面和结构层面构成的三维度整合框架。目标层面包括战略目标、运营目标、资产目标、合规目标和报告目标;要素层面包括内部环境、控制活动、风险评估、信息与沟通和内部监督;结构层面包括四个层次,即企业整体层面的控制、业务活动层面的控制、对分支机构的控制和对子公司的控制。

内部控制是一项全面的风险管理活动,涉及全员、全过程和全方面。内部控制的主体是全体员工,而不仅仅是经理层,更不等同于会计控制,上至董事会、经理层,下至普通员工,各部门、各岗位都是实施控制活动的主体。董事会对内部控制的建立健全和有效性负责。内部控制与风险管理过程涉及事前、事中和事后,覆盖决策、执行和监督等全过程;内部控制领域既涉及企业整体层面的控制,也涉及业务活动层面的控制,还包括对分公司、子公司的控制,可以说是全方位、无死角的。

目标引领行动,任何活动都要有明确的目标。内部控制建设的基本逻辑是“目标—风险—控制”。内部控制目标的设定是建立和实施内部控制的前提,目标设定的适当性是评价内部控制是否有效的先决条件。企业建立与实施内部控制应遵循全面性、重要性、制衡性、适应性和成本效益五项基本原则。内部控制只能为目标实现提供一种合理保证,目标设定不当、员工串通、管理层凌驾、判断失误、人员素质参差不齐、成本效益低、环境突变等都可能使内部控制失效。

案例讨论

资料:某公司按国家财政部、中国证监会、国家审计署、中国银监会和中国保监会等五部委发布的《企业内部控制基本规范》的要求,建立并实施本公司的内部控制体系。公司为此召开了董事会全体会议,就内部控制相关重大问题形成了决议,摘要如下:

1.控制目标。会议首先确定了公司内部控制的目标是:切实做到经营管理合法合规、资产安全,严格按法律法规及相关监管要求开展经营活动,确保公司经营管理过程不存在任何风险。

2.内部环境。内部环境是建立和实施内部控制的基础。会议一致通过了优化内部环境的决议,内容包括:严格规范公司治理结构,各类业务事项均应提交董事会或股东大会审核批准;调整机构设置和权责分配,做到所有不相容岗位或职务严格分离、相互制约、相互监督;完善人力资源政策,建立优胜劣汰机制,同时注重就业和员工权益保护;认真履行社会责任,加强企业文化建设,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神。

3.风险评估。会议决定成立专门的风险评估机构,围绕内部控制目标,定期或不定期地全面评估内部环境、业务流程等,准确识别公司面临的内部和外部风险,根据风险发生的可能性和影响程度进行排序,并采取相应的风险应对策略。

4.控制活动。会议明确了公司应从以下三个方面强化控制措施:一是实施全面预算管理,将各类业务事项均纳入预算控制范围;二是将控制措施“嵌入”信息系统中,通过现代化手段实现自动控制;三是完善合同管理制度,所有对外发生的经济行为均应签订书面合同。

5.信息与沟通。会议要求公司完善信息与沟通制度,具体包括:及时收集、整理与内部控制相关的内部和外部信息,促进信息在企业内部各层级之间、企业与外部有关方面之间的有效沟通及反馈;建立反舞弊机制,实施举报投诉制度和举报人保护制度,并及时传达至所有中层以上员工,确保举报、投诉成为公司有效掌握信息的重要途径。

6.内部监督。会议强调,内部监督是防止内部控制流于形式的重要保证。为此,公司应强化内部监督制度,由审计委员会和内部审计机构全权负责内部控制的监督与检查,合理保证内部控制目标的实现;审计委员会和内部审计机构在内部监督中发现重大问题,有权直接向董事会和监事会报告。

要求:分析、判断该公司董事会会议形成的上述决议有无不当之处,并简要说明理由。

思考题

1.如何恰当地理解内部控制的内涵和特征?

2.内部控制的目标有哪些?

3.如何理解和分解内部控制的报告目标?

4.内部控制的产生与发展经历了哪几个阶段?

5.内部控制的构成要素有哪些?如何理解它们之间的关系?

6.内部控制建设应遵循哪些基本原则?

7.在内部控制建设的过程中,如何理解和践行成本效益原则?

8.内部控制与风险管理是什么关系?

9.内部控制有哪些固有的局限性?

10.我国的内部控制规范体系是怎样构成的?