长期以来，我国的内部控制研究主要侧重于会计和审计领域，研究成果主要服务于审计程序与方法的应用、审计成本的节约、审计效率的提高和审计风险的控制。受西方内部控制研究关注点转移以及近几年来公司丑闻的启发，进入新千年后，我国在内部控制理论研究方面，无论是内控研究的切入点、研究的视野，还是研究成果的运用，都取得了令人瞩目的成就。

多年来，杨有红教授专注于内部控制领域的研究，他提出的观点对社会各界都起到了指导意义。现如今，他提倡将内部控制的研究应该从服务于审计的研究转变成以公司治理与公司管理为切入点的研究。为此，本报特邀杨有红教授畅谈公司治理中的内部控制系统。

杨教授认为，内部控制是由企业董事会、经理阶层和全体员工共同实施的一系列程序和政策。从古埃及金库管理的内部牵制发展到今天由控制环境、风险评估、控制措施、监督与纠偏、信息沟通与反馈五大要素交织而成的内部控制整体框架经历了漫长的历史，但内部控制思想的核心仍然是不相容职务的分离。内部控制从过去的查错纠弊理念转为防错纠弊以后，势必要以风险评估和防范为导向，也就是说，在风险评估的基础上设置控制关键点并建立控制程序；为了使内部控制既能起到防错纠弊的作用又有助于企业运行效率的提高，必须由管理哲学与理念、企业文化、组织机构为其提供环境基础，并以信息沟通与反馈为其提供保障；为保证建立在不相容职务分离基础上的控制程序与措施得到切实的贯彻实施，必须有科学的监督机制。

一、环境评估

环境是一个企业文化特征、组织结构特征、行为方式的综合。它包括高层领导的管理哲学与经营理念、员工的诚实和职业道德、员工的胜任能力、人力资源的政策与实务、董事会及监事会的参与、企业的组织结构、权责分派体系等。

很多时候，人们将内部控制理解为是人和人之间缺乏信任不得已而为之的措施，实际上内部控制的一个很重要的思想就是对事不对人，对岗位不对人。要想使内部控制制度更有效地实施，员工的心态是至关重要的。

企业组织机构的完善也很重要，如何通过组织机构的设立保证做到不相容职务相分离、分级授权和监督是值得研究的。

内部控制表面上看是限制人的权利，实际上是保护人的措施，使人远离犯罪。内部控制制度真正实施的阻力相当大。任何一个企业，如果人心理不顺，再好的制度也达不到有力的效果。

公司治理结构的好坏应包括在这一要素当中。公司治理是促使内部控制有效运行的基石，是内部控制实施的制度环境，而内部控制在公司治理中担当的就是内部管理监控的角色，是为公司治理服务的。

二、目标的确立

每个企业都有明确的目标。在这里为企业总结四个目标：

一是战略目标，企业的战略制定要科学。
二是保证财务报告的真实可靠。
三是保证企业的管理制度、政策法规不折不扣地贯彻实施。
最后则是公司营运的效率和效果。

“如果企业实现了这些目标，相信企业已经达到了最高境界。但是中国的企业很难达到这四个目标，对于这方面的研究，还有很长的路要走。”杨有红说。

企业在建立系统初期，到底以哪几个目标为指导，需要企业做出自身判断，哪一阶段适合哪种目标，完全可以做选择。

公司内部控制的目标实现需要以完善的公司治理结构为基础、为前提。同样，公司治理结构效能的发挥又取决于公司内部控制的好坏，需要以内部控制为手段。

三、风险确认与风险分析

通常说建立内部控制的目的是为了查错纠弊，但是查错纠弊又从某种程度上降低了内部控制的价值。查错，有错才会查；纠弊，有弊才会纠。

内部控制只能为避免错误和舞弊提供“合理”的保证，而不能提供“有效”的保证，不仅仅因为非故意原因导致错误陈述或遗漏，还由于错误和舞弊不仅仅是内控原因造成的，还可能是由于公司治理的问题产生的。

所以，为了避免犯错误而不是发生错误之后再去查，内部控制就应该做到事前控制。按照这个思想建立内部控制，就应该引入风险管理导向，事前评估管理流程，企业哪些地方容易出问题，找出风险关键点，把每个风险关键点作为主要控制点，然后设计出内部控制的流程。只有这样做，这项制度才能事前有效地规避风险，而不是说等风险变成了现实再去查。

四、建立控制措施

真正的内部控制，要做到和公司治理相对接，就不仅是一套执行系统，而是要延伸到战略，因为公司治理就是从战略开始的。

对于企业而言，战略制定过程中也需要有监控措施。就是说必须要有事前的调研机制，方案设计、方案评估、问卷机制，通过这套机制保证战略制定是科学的。从风险整合观看待整个企业设计一套控制制度，这样才是做到了和公司治理的完美结合。

对所确认的风险采取必要措施，以保证单位目标实现的政策和程序。它包括业绩评价、信息处理控制、实物控制、职务分离等。

内部控制系统局限性的克服不仅依靠系统本身的完善，还信赖于公司治理与内部控制两者间的无缝对接。公司治理与内部控制都产生于委托代理问题，但两者委托代理的层次是不同的。两者思想上同源性与产生背景的差异性是对接的基础，公司治理规范的创新是实施对接的途径。公司治理规范的创新主要包括以下内容：公司治理规范必须对内部控制机制的构建提出基本要求；从公司治理机制构建的角度为董事会在内控中的核心地位提供保证；将监事会做实，为内部控制制度的实施保驾护航；建立反向制衡机制。

五、信息沟通与反溃

内部控制制度要求做到不相容职务相分离，要求分级授权控制，而对于保证公司营运的效率与效果、财务报告的真实可靠、相关法令和规章的贯彻实行这三大目标而言，内部控制只能提供“合理的保证”而非“有效的保证”，如果企业内部控制制度设计不够完善，就很容易出现“扯皮”的现象，因此要保证信息沟通。

在COSO报告的信息与沟通部分和监督部分，要求各内控执行主体在经营中要相互监督，有权拒绝明显违法的事项并通过信息沟通反映经营管理中的不适当行为。在解决了董事会成员和经理层得高度重合、董事长与总经理交叉任职的基础上，在治理机制设计上启用反向制衡程序对杜绝大股东侵占中小股东合法利益、实际控制人通过牺牲公司利益来实现个人利益显得十分必要。

六、监督

无论是风险导向的控制还是内部控制，监督都是必不可少的，只是二者的监督方式不同。如果从风险导向的角度，那么就从风险规划去监督。如果内部控制很难实施，那么监督体系也起不到监督的作用。

中国的公司有监事会、董事会、审计委员会、审计部，看起来很全，一级监督一级，天衣无缝，实际上却是“纸老虎”。

监事会是代表股东大会监督董事会，审计委员会代表董事会监督总经理，审计部是站在总经理的角度监督员工。实际上中国的监督机制效率很差，监事会既没有监督的权利又没有监督的能力，审计委员会有监督的能力和权利没有时间，审计部有能力有时间但没有权利、权威。

理顺监督体系，还有很多问题值得研究。

按照COSO委员会的报告，内部控制框架由控制环境、风险评估、控制活动、信息沟通、监督五部分构成。上述框架是内部控制的理想框架。就我国目前企业管理的现状看，建立和完善内部控制中一步到位地完全达到这一框架的要求是不太可能的。因此，我们应该抓住关健因素，有步骤、分重点地构建内部控制体系。

最后，杨教授谈到，之所以研究站在公司治理和公司管理的角度去看待内部控制，是受到了美国的影响。美国COSO《内部控制———总体框架》向《企业风险管理———整体框架》演进体现了将原来的执行风险控制转化为战略制定风险控制和执行风险控制的相结合，但是它始终没有脱离为会计、审计服务的烙印，将内部控制作为一个相对独立的闭环系统的框框。

“当然，美国COSO风险管理框架的某些思想是值得我们学习和借鉴的。在那里就提到，做任何事情首先要定目标，目标定下来以后，才知道怎么去做。目标是你的期望，期望不同，你的管理方法可能就不一样。在管理学上，风险就是目标执行过程中的不确定因素。这是对我的第一点启发。”杨教授如是说。

第二点启发就是它提到风险组合观。风险组合观在企业当中的作用是很重要的。如果将内部控制推广到公司治理和公司管理中，它要是能被广泛使用，必须要有一种观念，那就是风险组合观。尽管每个人考虑专业风险的角度不同，但是每个人都要在公司目标的角度去看待风险，将这些风险综合起来，有的风险可以相互抵消，有的风险可以叠加，最终确定这种风险到底是什么样的风险。风险组合观对于建立风险导向的内部控制很有借鉴意义。

“假如说风险导向控制是科学的，是不是这套制度一经实施，所有的企业都会成功呢？”杨教授提出了疑问。