当今世界是一个不断变化的世界,特别是突发公共卫生事件的发生,使得世界进入百年未有之大变局。变化就意味着不确定,意味着风险。针对风险需要实施控制。内部控制(Internal Control)是对各种可能影响组织目标实现的风险因素进行分析和应对,从而帮助组织实现目标的过程。内部控制是一个非常重要的管理术语,是促进组织实现战略和运营目标的关键,是推进组织各项活动、管理有序高效运行的内在要求。内部控制及其成效事关企业兴衰成败。自安然、世通等系列财务丑闻爆发以来,美国、欧盟等很多国家和地区组织,相继颁布法规,从立法角度强化了企业的内部控制建设责任。然而,实践中人们对内部控制与风险管理存在着这样或那样的认知误区,影响着内部控制与风险管理建设的效率效果,从而阻碍了内部控制目标的实现。 认知误区之一:内部控制就是一系列规章制度和表单 实务中,有人将管理制度等同于内部控制,认为企业为了防止差错和舞弊或应对检查而制定的各项规章制度就是内部控制,具体散见于各种书面文件。有人认为做好内控建设就是制定各项规章制度,做好责任分工,完善授权审批制度就是做好内控,将内控与制度建设划等号。这都是人们对内部控制存在认知偏差的具体表现。 “控制”翻译成英文,即为Control。在英语中,它除了有控制之意,还有管理、检验、核实、支配、监督、指导等含义,内部控制即企业应规范监督企业生产经营活动,提升效率效果,以便达成组织既定目标。 内部控制的内涵远不仅仅是作为规章制度存在,而是对影响目标实现的风险进行识别、分析和应对,帮助组织实现目标的过程。内部控制建设涉及组织从设计、执行与评价到改进等一系列动态持续的过程。尽管内部控制设计的有形成果大多表现为政策、制度、流程和表单等静态的规章制度,但这并不是内部控制的全部。内部控制建设除了制定规章制度,应更注重各项规章制度的具体执行过程及效率效果。内部控制建设绝不等同于制度建设,而是要建立健全有效的内部控制框架,是基于一定内部控制框架下的全面风险管理活动。制度建设是内部控制的基础,但不能一味强调制度建设而忽视了企业文化建设。根植于道德和文化的内部控制活动对企业的影响才是持久而深远的。一个企业先进的管理哲学与经营风格、员工正直的品行与良好的道德价值观等软环境有时候比硬性的规章制度更为重要。COSO委员于2017年9月发布的《企业风险管理框架——与战略和绩效的整合》在对风险管理定义时,就直接将风险管理从“一个流程或过程”提升为“一种文化、能力和实践”。 认知误区之二:内部控制就是纠错防弊,相互牵制 内部控制采用了内部牵制的思想,其基本原理可表述为:两个或两个以上的人或部门合伙舞弊或共同犯错的可能性会远远低于单独一人或者一个部门的可能。内部牵制为阻止错误、预防舞弊及其他非法业务的发生,运用不相容职务的分工、相互牵制与制衡、各种账目相互核对等手段进行控制。 现代企业内部控制早已突破内部牵制的范畴,相应地,内部控制目标也不再局限于预防差错和舞弊,而应是以提高运营的效率效果为核心,以最终实现公司发展战略和可持续发展为最高目标的一个多目标管控体系。“纠错防弊”这一内部控制定位,扭曲了内部控制的本质,并人为缩小了其范围和作用。现代企业内部控制的内在理念已经由制约理念提升到可持续发展理念,预防差错和舞弊作为较低层面的控制目标已经融入其他几类目标之中,无须单独提出。 认知误区之三:内部控制的目标是消除风险,杜绝差错和舞弊 内部控制是对影响企业目标实现的各项风险进行有目的的识别、分析及应对,风险则意味着不确定性。风险不确定性带来的影响可能是正向的,也可能是负向的,还可能正负效应兼而有之。我们一般将具有负面效应的事项称为风险,将具有积极效应或可抵消风险负面效应的事项称为机会。风险应对应积极降低负面影响,放大正面影响,以实现风险应对的目标。内部控制并不是要消除风险,而是通过积极主动的风险管理,在权衡风险与收益的基础上,将剩余风险降低到企业可接受水平。风险的可接受水平是企业愿意接受的风险水平。企业资源总是有限的,风险应对的目标并不是要一味地降低或消除风险,事实上绝大多数风险是无法消除的,一味地强化控制,追求风险的无限降低可能不符合成本效益原则,只要使控制后的剩余风险降低到可接受水平即可。企业要正确认识和把控风险与机会的平衡,既要重视风险的应对,又要善于抓住机会。既不能忽视生产经营过程中面临的高风险而片面追求高收益,也不应由于恐惧风险而畏首畏尾,与发展机遇失之交臂,应防止和纠正由激进主义和保守主义诱发的行为。 另外,即使内部控制各项工作均很完美,也不可能完全杜绝差错和舞弊。现实中,有可能由于员工串通合谋或管理层凌驾,甚至是员工判断失误等内部控制固有局限而导致差错或舞弊发生。 认知误区之四:内部控制是针对基层岗位和普通员工的控制 内部控制对象是风险,而非基层岗位和普通员工。内部控制的责任主体不仅仅包括董事会、监事会和经理层,还包括全体普通员工。普通员工应对与自身工作相关的岗位操作风险负责。每个员工不仅要对自己的业务和绩效负责,还要承担与自己工作和业务有关的风险防控责任,要均衡风险和收益的关系。所有员工都要一手抓工作和业务,一手抓相关风险的防控。企业要加强对业务部门、业务人员和普通员工进行风险管理相关知识的培训和专业支持,并持续督导以提升普通员工对操作风险的识别、分析和应对能力。如果普通员工认为自己是被控制的对象,就会限制其在内部控制建设中的积极性和主动性。