[内容摘要]全球性会计丑闻，中国新会计法的实施及内部控制一系列规范的出台，引起了人们对内部控制问题的广泛关注。本文从企业内部控制体系的层次残缺、要素残缺、风险观念残缺入手，借鉴新的COSO报告，结合有关的典型案例分析了我国企业内部控制制度不能发挥预期作用的原因，提出将公司内部治理结构纳入内部控制体系之中，修补其层次残缺；健全内部控制体系要素，修补其要素残缺；建设企业风险文化，修补其风险观念残缺。
[关键词]内部控制体系；层次残缺；要素残缺；风险观念残缺
一、问题的提出
2004年12月，内蒙古自治区检察院对内蒙古伊利实业股份有限公司董事长郑俊怀等5名高管人员的经济问题正式进行立案调查，其主要原因是郑俊怀等人在2000年和2001年间未经董事会同意，先后挪用1591万元和1400万元，分别给了呼和浩特华世商贸有限公司和启元有限公司用于经营，事后得知：华世商贸公司是伊利公司的第五大股东，是由郑俊怀等人以亲属名义注册的私人企业；而启元公司企业法人就是董事长郑俊怀。几乎与此同时，中国航油集团唯一的海外公司—中国航油（新加坡）股份有限公司因石油衍生产品交易，总计亏损5.54亿美元，净资产不过1.45亿美元的中航油（新加坡）因之严重资不抵债不得不向新加坡最高法院申请破产保护。还有家电巨头四川长虹在其合作伙伴美国APEX家电进口公司拖欠国内多家公司的巨额欠款情况下，还与其签订了巨额赊销合同，结果因其拖欠4.6亿美元巨款而遭受巨大坏账损失。[1]这些重大事件给我们以强烈震撼：从董事会到经理层、业务层，各个层次都不同程度地出现了重大问题，给企业造成重大损失，甚至导致了企业的崩溃。我们不禁要问：我们的企业到底出了什么问题？对此问题，不同的人有不同的解答：有人认为这主要与公司治理机制不完善有关，也有人认为这主要与企业的内部控制制度未得到有效执行有关。随着新的COSO报告的公布和我国新《公司法》的实施，我们对此问题在前人的基础上有了一些新的见解。我们认为这些重大事件的发生与企业内部控制体系残缺或不完善密切相关，为避免此类事件的再度发生，修补企业内部控制残缺已经成为当务之急。
二、新COSO报告和我国内部控制体系的残缺
内部控制对企业目标的实现具有重大影响，正日益受到各国政府的重视。在世界范围内有关企业内部控制的规范已经陆续颁布和实施。
在国外，1992年COSO委员会公布了COSO报告，并在1994年进行了修改。2004年年底，该委员会针对国际企业界频繁发生的高层管理人员舞弊现象，结合美国2002年颁布的《萨班斯—奥克斯利法案》的相关要求废除了沿用很久的传统企业内部控制报告，颁布了一个概念全新的报告，即《企业风险管理—总体框架》（Enterprise Risk Management，ERM）。该报告明确提出了企业的终极目标是增加利益相关者价值，并在内部控制的内涵、目标、要素等方面有了显著的变化。该报告在对内部控制的定义中明确了以下内容：（1）是一个过程；（2）被人影响；（3）应用于战略制定；（4）贯穿整个企业的所有层级和单位；（5）旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；（6）合理保证；（7）为了实现各类目标。内部控制要实现的目标主要有四类：战略目标，经营目标，报告目标和遵循性目标，其中报告目标不再仅局限于对外公布的财务报告，而扩展为企业的所有对内和对外的报告（包括财务报告和非财务报告）。另外新报告还新增了目标制定、事项识别、风险反应三个要素，修改了控制环境要素，将内部控制要素由5个发展为8个即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控。[2]由此我们可以看出，新的COSO报告以风险为导向，以增加利益相关者价值为终极目标，以战略目标为重点发展了内部控制理论，是内控发展史上的一次飞跃，在许多方面值得我国借鉴。
在国内，证监会于2000年11月发布了《公开发行证券公司信息披露编报规则》，要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度，其招股说明书正文应专设一部分说明内部控制制度的完整性、合理性和有效性；财政部从2001年6月开始陆续颁布实施内部会计控制规范，以指导企业制定适合自身业务特点和管理要求的内部控制制度。但是，实际控制效果到底如何呢？我们认为并不乐观。频繁发生的财务丑闻事件证明目前的内部控制制度连最基本的目标即会计信息真实性都没有实现；我国最早统一实行内部控制制度的银行成为携款外逃的重灾区；一些上市公司虽然规模较大，内部控制制度相对健全，但是同样也存在着制造虚假会计信息，侵吞企业资产，损害中小股东利益等行为。上述这些现象的存在和频繁发生，与内部控制的目标显然是背道相弛的。[3]我们不得不反思我们现有的内部控制制度出了什么问题，为什么其基本的目标都不能实现？在对新COSO报告基本精神探究的基础上，我们认为内部控制体系的残缺或不完善是其症结所在。如果企业内部控制体系残缺或不完善，管理者的权力受不到有力的约束，他们将有可能以法律和契约预想不到的方式不正当地行使法律和契约以正当目的赋予给他们的权力，使公司成为违背公平和正义的工具，那么前文所述种种情况的出现，也就在所难免。
2006年1月1日，新修订的《公司法》开始实施。新《公司法》着眼于协调好公司、股东、董事、监事、经理等利益主体以及职工、供应商、债权人、消费者、社区等诸多利益相关者之间的关系，在许多方面取得了突破，受到了各界的广泛赞誉，开启了我国公司自治的时代。首先，新《公司法》强调公司应兼顾股东权利和社会责任。公司不能仅以实现股东权益最大化为唯一目标，还应适度考虑股东利益之外的其他各种社会利益（具体包括职工利益，供应商利益，债权人利益，消费者利益，社区利益等），承担社会责任。尽管股东权益的提高与社会责任的承担是否存在关联性还有待于进一步研究，但从各国的情况看，“股东至上”理论已经逐步被抛弃，各国已经逐步认同“利益相关者”理论，开始趋向于强调企业的社会责任，以实现利益相关者价值最大化，我国当然也不例外。在这一点上，新《公司法》与新COSO报告达成了共识。其次，新《公司法》减少了国家对公司组织和活动的干预，赋予公司更多的“契约自由”，顺应了市场经济的发展趋势。再次，新《公司法》还对公司治理结构进行了完善，强化了内部制约机制，强化了股东（尤其是中小股东）权利的保障机制，确立了滥用股东权利责任追究与法人人格否定机制，强化了监事制度，提出了上市公司设立独立董事的要求。[4]新《公司法》与新COSO报告制定理念上的一致性以及公司自治性的增强，使得公司可以借助新COSO报告提供的《企业风险管理框架—总体框架》在法律法规许可的范围内合理、有效地行使自治权利，实现相关利益者价值最大化的目标。并且新《公司法》规定的内部治理结构也可以统一在这个框架之内，成为企业内部控制体系的有机组成部分。但是如果内部控制体系不完善或者出现残缺，则会影响企业预期目标的实现，甚至给企业造成重大损失，因为这时企业可能由于出现资金、人员失控现象，早已不能把风险控制在可以承受的范围之内，已经丧失了对风险事件的预防和反应能力，甚至早已异化为管理层谋取个人私利的工具。
这里有个问题必须明确即公司治理与内部控制体系究竟是什么关系？虽然人们对该问题有着诸多不同的看法，但都不约同地认为两者存在密切联系，相辅相成，不可分割。我们对此有不同的看法，我们认为：公司的内部治理包含于内部控制体系之中，而公司的外部治理构成了内部控制体系的环境。首先，公司内部治理主体依靠契约结合在一起组成了各方的利益共同体—企业，随着所有权和经营权的分离，为了求得企业的生存和发展，公司内部各治理主体产生了建立有效的内部治理结构的需求，而这实际上是公司内部治理主体对权利进行合理配置，实现企业价值最大化的需求。而内部控制体系正是通过适当的权利配置，形成权利主体间的互相监督和约束，为实现企业价值最大化的目标服务。我们所定义的内部控制体系所作用的权利主体更加广泛，不再局限于公司的内部治理主体，而是扩展到了公司的利益相关者。因此，公司内部治理结构自然统一在企业的内部控制体系之中。其次，公司的外部治理主要由资本市场、经理人市场、产品和服务市场等组成，这些市场独立于企业之外，是企业运作的环境基础，当然就独立于企业内部控制体系之外，成为其发挥作用的环境因素。
简言之，上述重大事件的发生与企业内部控制体系残缺密切相关。这些企业将本应是多层次的内部控制体系简化为仅仅服务于经营目标的内部控制制度，将建立“法治企业”的目标，降低为建立“法制企业”的目标，淡化了对管理者权力的监督和约束，使得内部控制体系出现了一系列的残缺点，为风险事项的发生埋下了隐患。对照新的COSO报告，我国目前的企业内部控制体系主要存在着层次残缺，要素残缺，风险观念残缺等三个方面的残缺。首先，公司内部治理结构未被纳入内部控制体系之中，存在着层次残缺。伊利股份有限公司高级管理人员的问题凸显了企业内部控制体系的这一方面的残缺，集中表现为企业内部治理结构不完善和不合理。董事会、独立董事、监事会成为摆设，连“查错防弊”的功能都没有发挥，更不要说“兴利”、“增值”和实现利益相关者价值最大化了。其次，内部控制体系要素不健全，存在着要素残缺。中航油巨亏事件中，集团公司对经理层监督不力，对经理层偏离战略目标的行为丝毫没有察觉，结果播下了中航油巨亏的种子。该事件集中体现了企业内部控制体系的要素残缺，新COSO报告规定的信息与沟通和监控两大要素踪迹难觅，集团公司与经理层之间形成严重的信息不对称，监控控活动根本无从谈起。再次，忽视企业风险文化建设，存在着风险观念残缺。长虹巨亏事件从对经营风险防范不力的角度暴露出我国企业内部控制体系的先天不足：不以风险为导向，对重大经营风险事项控制失效，存在着风险观念残缺。
更一般地说，企业内部控制体系的残缺影响了内部控制体系的有效性，妨碍了内部控制体系功能的发挥，对企业目标的实现产生了重大的不利影响。对内部控制体系的残缺进行修补已经成为当务之急。这不仅是实现利益相关者价值最大化的内在要求，也是《公司法》等相关法律法规的基本要求，更是社会现实的迫切要求。
三、内部控制体系残缺的修补
（一）将公司内部治理结构纳入内部控制体系之中，修补其层次残缺
内部控制体系是一个多层次的控制体系，任何一个层次的残缺都会影响其整体功能的发挥。公司内部治理结构在内部控制体系中处于较高层次，制约着较低层次内部控制制度的建设，是不可或缺的。公司的内部治理结构主要解决股东大会、董事会、监事会和经理层的控制、监督和激励问题，即所有权、监督权和控制权三权分离与制衡问题，其目标是保证公司决策权行使的合理性和有效性，因此我们应从源头抓起，在内部控制体系的视野中完善公司内部治理结构，建立以公司治理和管理为导向的内部控制体系。如前文所述，我国新《公司法》已经从法律层面对这一较高层次的内部控制制度进行了完善，但如何把这一要求落到实处，切实发挥它应有的作用，避免出现股东大会、董事会、监事会空壳化，大股东操纵，总经理独裁等不合理现象，需要企业根据自己的实际情况来逐步解决。鉴于这一层次内部控制的重要性，企业对这一层次内部控制的有关规定应按照新《公司法》的要求，并结合自身实际情况明确而详细地写入公司的章程之中，通过公司这一“根本大法”的权威，有意识地去维护，避免其遭到自然侵犯的威胁。在这方面新的COSO报无疑为我们提供了一个可资借鉴的框架。我们可以通过落实其定义的8个要素，树立风险观念，着眼于战略目标的实现来增强该层次内部控制的可操作性和动态有效性，并为较低层次内部控制制度发挥作用奠定基础。
（二）健全内部控制体系要素，修补其要素残缺
目前，很多企业都有比较“漂亮”的内部控制制度，但是这些制度仅仅停留在纸面上，由于其信息与沟通和监控要素的欠缺，往往是“好看不好用”，根本形不成一个在现实中发挥作用、自我持续调整改善的内部控制体系，中航油公司就是一个典型。因此，我们应从这两个要素入手，修补内部控制体系的要素残缺。
第一，加强信息流动与沟通。信息流动与沟通要素是内部控制体系的基础设施，对内部控制体系功能的发挥至关重要。有效信息是实现权利优化配置的基础，一个良好的内部控制体系必须解决好信息保障问题。计算机网络的普及，大大提高了人们的信息沟通能力，企业为了更好的应对内部及外部情况的变化，纷纷建立起基于信息技术的管理信息系统。尽管这些管理信息系统还有待于进一步完善，但是却为企业有关部门的决策提供了必不可少的信息保障，提高了决策的科学性。内部控制体系信息与沟通要素的引入，应学习这方面的先进经验，着眼于建立具有“实时反映”和“信息集成共享”功能的内部控制体系信息系统。这一信息系统与企业原先的管理信息系统并不是水火不容的关系，而是你中有我、我中有你的关系。除了各自的专用信息之外，两大信息系统可以并且应当共享信息，以避免企业信息成本的无效增长。内部控制体系信息系统应具备良好的信息收集、信息加工和处理、信息存储能力，为企业内部控制主体权利的互相监督与约束及其合理配置提供有效信息，最大限度地缓解信息不对称问题。
第二，加强全方位的监控。信息与沟通要素的引入，促使企业建立完善的内部控制体系信息系统，为实现全方位的监控提供了信息保障，除此之外还应建立相应的监控组织，提供实现全方位监控的组织保障。目前审计署、内部审计协会正在积极推进我国内部审计事业的发展，其中内部审计机构建设是其重要内容。内部控制体系的监控组织建设因此没有必要另起炉灶，完全可以通过将监控职能赋予内部审计机构的办法，将其纳入内部控制体系之中，变为内部控制体系的监控组织。另外，内部审计的性质及其功能也为其组织机构融入内部控制体系，发挥监控职能提供了可能。内部审计机构实施有关的审计活动，对公司治理结构的合理性和有效性，风险管理的合理性和有效性，经济政策、措施的执行及其效果，经济合同、计划的合理性及可靠性，企业经营、投资、筹资、财务等方面重要风险存在的可能性及其后果，企业采购、生产、销售等各个经营环节的合理性、有效性以及人事政策实施效果等各个方面进行内部控制审计，并对企业的内部控制体系进行自我评价，为进一步完善内部控制体系提供指引。由于公司治理结构这一较高层次的内部控制对整个内部控制体系的有效运行起关键性作用，企业通过内审机构自我评价，其独立性会受到质疑和影响，因此可以考虑将这一任务外包，交给处于超然独立地位的会计师事务所来完成。总之，企业要通过自我评价和外部评价相结合的方式来实现对内部控制体系的全方位监控。
（三）建设企业的风险文化，修补其风险观念残缺
企业的文化就如同一个人的灵魂，是企业各项工作的基础，更是企业内部控制体系建设的“土壤”。企业文化可以使集体成员形成共识，促使大家朝共同方向努力，从而增强企业防御风险的能力。企业文化的建设已经日益受到各方的重视。新的COSO报告也将控制环境要素改为内部环境要素，确立了企业的风险文化。其确定的内部环境要素主要包括：风险管理哲学和风险偏好；员工诚实性和道德观以及企业的经营环境。但是，一个良好的企业风险文化并不是自发形成的，它的形成需要管理者的引导和全体成员广泛参与。企业的风险文化应得到全体成员的广泛认同，并深入到各个管理层次。上到董事会、监事会、总经理，下至车间、班组、普通员工都应受到企业风险文化的熏陶，在风险文化的指导下进行自律管理，自觉地按风险文化所确立的基本原则做好自己的本职工作。通过这种多层次、全方位的渗透，使企业的风险文化不仅仅是停留在纸面上，而是真正内化为企业的自觉行动，增强企业抵御风险的能力。
（四）推动内部控制体系的持续改进或优化
企业的外部环境处在不断变化之中，顾客需求会不断变化，新的竞争威胁与机会会不断出现，资本市场也是瞬息万变。企业自身只有随着外部环境的变化随时做出调整，才能立于不败之地，如果一味僵化、墨守成规，只能被市场所淘汰。同样，内部控制体系作为企业的“免疫系统”[5]，也应针对出现的新情况、新问题，及时做出相应调整，在动态中实现持续改进或优化，服务于相关利益者价值最大化的目标。为此，我们需要引入竞争机制，通过资本市场、经理人市场、产品和服务市场、人才市场等各种市场对各个层次内部控制主体形成一种外部压力和内部压力，促使其摈弃僵化的思维方式，习惯于变革和创新，使企业的内部控制体系实现持续改进或优化，经受得住不断变化的内外部环境的考验。当然，良好的信息交流与沟通和有效的监控，也会保障这一目标的实现。
综上所述，我国目前的企业内部控制体系存在一系列的残缺点，影响了其正常功能地发挥。为此，我们应对这些残缺点进行修补。另外，本文主要从“防弊”的角度对内部控制体系残缺及其修补进行了探讨，限于篇幅和精力，未从“兴利”和“增值”的角度对其进行探讨，我们下一步在强调内部控制体系“防弊”功能的基础上更应重视其“兴利”和“增值”功能，并加强这一方面内部控制体系建设的研究。
主要参考文献：
[1]金彧昉，李若山，徐明磊．COSO报告下的内部控制新发展[J]．会计研究，2005（2）．
[2]陈秧秧．COSO－企业风险管理综合框架简介[J]．财会通讯（综合），2005（2）．
[3]李连华．公司治理与内部控制的链接与互动[J]．会计研究，2005（2）．
[4]李金泽，刘楠．《公司法》修改的十大亮点[J]．中国金融，2006（4）．
[5]杨雄胜，夏俊．打造企业免疫系统[J]．新理财，2003（8）．
The Thinking about the Incompleteness and Repairing
of the Enterprise Internal Control System
Abstract: The accounting scandals inundation all over the world，the implementation of Chinese new accounting law，and the ordination of sequential internal control criterion have aroused broad concern on internal control．This article starts with the gradation incompleteness，element incompleteness and risk concept incompleteness，using new COSO report，connecting typical cases concerned，analyses the causes that the enterprise internal control of our country cannot succeed．At last，we put forward some proposals perfecting the enterprise internal control system of our country．We should bring internal administering structure of companies into the enterprise internal control system in order to repair its gradation incompleteness，perfect its element to repair its element incompleteness，and construct the risk culture of the enterprise to repair its risk concept incompleteness.
Key words: the Internal Control System；Gradation Incompleteness；Element Incompleteness；Risk Concept Incompleteness

作者：王冲 文章来源：西北农林科技大学经济管理学院