我在咨询机构从事内控咨询也有几年了，在平时的工作对内控也有一些思考，应版主要求就内控谈一些自己的粗浅看法，欢迎各位指正。我也不知道能写多少，今天先写一部分，写的可能会偏理论化一些。

（一）内控是什么？

可能是我这个人比较喜欢抠概念，或许是以前读研究生时写论文落下的毛病吧。大家在谈内部控制时可能由于所处角度的关系，对内部控制会有各种各样的看法。

A老板说：小李，你找几个人，搞一套内控手册，应付下证监会检查。

B老板想：管采购的老王有点不对劲啊，趁这次搞内控，我得敲打敲打他。

C员工抱怨：搞啥内控啊，平白无故多了这么多工作量，我也没看到有啥用。

D员工拍手称快：就应该搞搞内控，要不然虚报费用、吃回扣，公司的钱都让那些人揣自己兜里了。

E外审愁眉紧锁：这公司内控太差劲了，我这个审计风险和成本咋控制啊。

……

好像内控是个筐，啥都往里装。

     追根溯源，一般认为内控在早期是以内部牵制思想的形式存在的，在古罗马时代，对会计账簿实施的“双人记账制”某笔经济业务发生后，由两名记账人员同时在各自的账簿上加以登记，定期核对。现在财务和出纳的岗位设计也是此种思想的体现。

之后，“相互牵制”逐步细化为“以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象”。

而到了1934年，美国《证券交易法》首先提出了“内部会计控制” 概念，强调建立内部会计控制系统，对交易授权、资产安全等进行控制。

一直到90年代内控理论的里程碑——coso的内部控制整合框架诞生。

我觉得，内控其实一直都是一种管理思想，职责分离、授权、记录等只是具体实现手段。如何理解内部控制思想，个人认为有两个关键点——风险导向、利益相关者角度。这两点其实也是存在内在关联的。

1、风险导向

进入二十世纪coso发布了内控整合框架的升级版——全面风险管理框架（ERM），尽管coso并不认为ERM是对内控整合框架的替代。风险导向的内部控制越来越受到重视，也被大家广泛提及。

关于这一点也是有现实背景的。我们都知道，安然、世通的破产丑闻导致sox付诸实施。但sox实施遭到了众多上市公司和行业协会的反对，为什么？——成本太高。为什么成本高？——因为采取的是自下而上、逐项检查的方式，人工成本当然高。

这时SEC出来安抚上市公司：我也不想让你们花这么多钱啊，你们要搞自上而下、风险导向的内部控制，识别重大风险进行控制。PCAOB也应景的向外部审计师们推出了第5号审计准则——风险导向的内控审计准则。当然这些没有根本解决问题，后面有机会再和大家聊聊。

说到底风险导向的内部控制是为了实现统一企业内外部需求、平衡企业成本收益的目的而出现的。这也是内部控制发展的趋向。

2、利益相关者角度

风险导向的内部控制的发展趋势，也可看做企业利益相关者之间博弈的体现。对于企业管理层来说，盈利、业绩增长是最重要的，要控制成本；对于外部投资者或监管机构，由于信息不对称，需要企业建立内部控制保证财务信息的真实准确（当然会计准则本身也可以看做博弈的结果）。

站在利益相关者角度思考，可以回到开篇看看ABCDE各方的想法，就会有更深层的理解了。机制设计理论中经常会提到的一个名词叫激励相容，这是一种制度安排，即让行为人追求个人利益的行为，正好与企业实现集体价值最大化的目标相吻合。

因此，内部控制离不开控制目标。充分考虑利益相关方设置控制目标，才能做到有的放矢，做到风险导向，激励相容才有可行性。

 待续，后面会多聊聊一些和内控实际操作相关的东西。----中国会计视野  pipilu007网友

（二）内控可以做什么？

昨天讲到了我对内控概念的一些感想。版友流风回雪提到了“做什么”的问题。内控现在能做什么？未来能做什么？对于这个问题，我理解为对于企业来讲，内控要去实现什么功能。

   想起一个有意思的事情，有一次去客户企业调研之前，客户预先提供了他们企业的管理制度。一堆管理制度中间有一个制度很是扎眼，名叫“内部控制管理制度”。打开之后发现，这个制度叫coso内控框架的扩展版更合适，估计也是客户临时弄出来的。这反映了一个问题：客户将内部控制当成了像预算管理一样的具体业务活动了。

   正如我在上个帖子里说的，内控是一种管理思想，贯穿整个业务流程。他从风险控制的角度给企业提供了管理改进的思路。相对于西方发达国家的企业而言，我觉得这对中国企业的现实意义更大。发达国家在现代企业管理实践方面走过了上百年的路程，亨利福特、法约尔、斯隆等等，通过他们的理论和实践，发达国家企业管理的整体水平是比中国高很多的。中国企业则可以通过实施内控有效的解决很多现实的管理问题。在这方面中国的监管部门还是下了一些功夫的。

   和其他很多领域一样，中国的监管机构习惯于插手具体的事务性东西，所以才有了五部委的《内部控制应用指引》及金融行业的各类指引。对于应用指引本身各方看法不一，但我认为这个内控应用指引可以看做最佳实践（best practice）。对于企业来讲，提供了以下一些值得关注改进的方面：

1、业务流程梳理

很多企业专注于市场开拓，有时忽略企业内在的业务流程的梳理。管理制度一个接一个的发布，却发现问题还是层出不穷，然后继续发布管理制度。在这种情况下，借助于内控实施，对企业的所有业务活动进行梳理划分、评估，是一个很好的方式。会为未来管理提升打造一个基本的框架，通俗的说树立了一个靶子。

2、明确权责

权力在企业中是一个敏感的话题，权力也对应着责任。但在很多企业权利与责任并不对等。我之前服务过的一个房地产公司客户，一个专业分包采购，职能部门负责人、分管副总七八个人一路审批下来都没啥问题，最后到老板处审批，发现报价比市场上的高了几百万。老板很愤怒也很无奈，这么明显的问题他们咋都没看出来呢。不过这事也不能全怪他们，本身老板就喜欢事无巨细的拍板各项事务。很多人也喜欢越级直接找老板审批，这样中高层管理者也乐得不管，反正最后都是老板批的，出了问题也不能拿我怎么样。所以说授权不是说说的，首先，授的是什么权；其次，得有紧箍咒，必须明确责任。我们在帮助客户梳理审批流程时，非常关注审批的实质意义，是不是需要这么多的审批环节？每个环节承担的责任在哪？这是非常重要的。

3、重视财务

财务部门的职责首先是记账，但在很多企业也就仅限于此。指引非常强调财务部门的经营控制职能，在很多跨国企业CEO也是CFO出身的。资产保全、成本控制、投资决策等等都离不开财务人员，当然首要的就是要提升财务部门的地位。很多企业成本控制做不好，那首先问问财务部门是否掌握了第一手的成本费用信息？

4、塑造企业文化

提到企业文化，大多都觉得挺虚的。Coso五要素中首要的是内控环境，企业文化是构成内控环境的重要因素。最近这一段时间来，我越来越觉得内控环境对于内控有效性会产生非常重要的影响。就像空气质量一样，面对污染严重的空气，运动越多反而对身体越有害。企业文化跟企业的战略发展相适应，但一些基本要素是要得到重视的。比如要重视员工道德价值观的培养，企业的管理层也要注意自己的日常行为，要尊重规则等等。

   由于写的比较匆忙，还有一些内容各位版友可以补充。

关于内控能做什么，上面我基本没谈到风险。在目前来讲，内控对于中国企业完善企业基础管理工作是有积极意义的，在此基础上才有能力再谈其他。

    待续，后面会写一些内控相关的有争议的主题，欢迎关注交流。

第一个我们不得不面对的问题是，我们如何评价内控？评价内控的标准又在哪里呢？这个问题总结起来就是——内控的标准之惑。

A企业经过几个月热火朝天的奋战，整理出来了几大本装订精美的内控手册，监管机构的领导们阅毕大加赞赏，然后手册束之高阁，这个是好的内控吗？

事务所对B企业出具了无保留意见的内控审计报告，这个是好的内控吗？

C企业出纳是老板的小姨子，领对账单，做余额调节表，从不与会计对账，工作多年没出过差错，这个企业的内控好吗？

来个有名的，BP石油为墨西哥湾漏油事件付出了几十亿美元的代价，BP的内控不好吗？

1、什么是好的内控？

以实际发生的损失来评价吗？这个标准好像不错，那BP损失了几十亿美元，他的内控真的是烂到家了。而C企业内控很不错呢。真的是这样吗？

记得之前和一家外资石油公司的风险管理人员交流过BP的问题，在他们看来BP作为全球最大的石油公司，其风控能力是毋庸置疑的。但无论怎么控制，剩余风险总是存在的。BP选择接受这个极低概率的剩余风险，但不幸的是碰上了千年一遇事故，只得选择接受。风险的发生是存在概率的，内部控制无法完全消除风险（除非选择不做这项业务）。因此，从逻辑上来讲，风险损失产生并不必然表示内控体系不好。

那B企业应该不错吧，审计报告摆着呢。销售收入确认、应收账款的计量都挺合规。但是因为选择客户时没什么把关程序，导致产生了不少坏账。那这还是好的内控吗？

A企业我就不说了。。。

如果去判断上面四个企业的内控，会发现头有点晕。评价标准在哪呢？

赫伯特西蒙认为，有限理性的人类无法预知未来，我们只能做出“合理”的决策。着眼于“合理”的决策是我们应该做的。好的内控需要我们好好思考是否在以下几个维度是否花了足够的功夫：

明确企业发展战略

• 清楚的知道存在哪些重要利益相关方（或者说内外部环境分析）
• 合理及可操作的控制目标
• 识别重要风险
• 制定并评估控制措施
• 清楚的知道自己的风险容忍程度（杜绝被动的盲目乐观情绪）
  还是之前的那句话，法无定法，不可能存在一个适用于所有企业的完美的内控体系。但做到以上的内容或许有助于我们接近理想的彼岸。

2、内控缺陷谁说的算？

上面简要讨论了好的内控需要努力的方向，在达到理想彼岸的过程中，持续评价企业的内控缺陷，并进行改进是必然要做的。但对于企业内部管理者和外部审计师而言，这却是个剪不断理还乱的难题。

翻遍了各项规范，我们发现关于控制缺陷的描述以及识别程序好像只有中注协的《内控审计工作底稿编制指南》说的比较详细，没办法外部审计师要靠着它干活呢。

那国外呢？不幸的是，此类问题依然存在。而且更不幸的是，美国人没有《内部控制应用指引》。SOX一出，各方震动，监管机构手握大棒心里挺美。Sox怎么实施呢？监管机构说：用COSO的框架啊。而且PCAOB早在第2号审计准则中就认可COSO整合框架为其制定基础。问题解决了吗？No！企业管理层想：我被置于何地呢？让我直接使用coso框架吗？

不幸的是，coso框架的制定者并不这样认为，coso整合框架制定团队的成员schwartz说：coso整合框架回答了两个问题——内控是什么和怎样实现内控。换言之，coso整合框架只是致力于统一内控的定义。Steven Root的研究认为：coso整合框架并非高级经理评价其内控充分性的最佳标准。IMA的研究也表明，大部分企业管理人员不得不使用外部审计师的准则来评价其内控缺陷。

这又让我不得不想到开头提到的B企业。

这时我又不得不佩服中国的监管者们，《内控应用指引》还是可以考虑拿来作为内控缺陷的参考评价标准的。当然了，生搬硬套肯定不行，还是要从企业实际出发的。这可以看做内控缺陷评价的初级阶段。

把内控应用指引拿来直接用，有点偷懒但不会出什么大问题。但对于一个在管理上追求卓越的企业来讲，这是远远不够的。对于风险导向的内部控制来说，评价内控缺陷的终极标准永远都是——风险的控制效果（尽管无法预知未来的我们或许只能用概率或损失的期望值来衡量）。在确定内控缺陷评价标准时，企业不妨问自己以下问题：

• 我们有明确的战略目标吗？或者近三五年有明确的经营规划吗？
• 针对各项业务我们有具体的控制目标吗？
• 我们是否意识到了企业内外部存在的重要风险？
• 对这些风险我们是否冷静的进行了评估？
• 面对风险我们是否愿意勇敢且谨慎的面对？（如果不愿意可以选择不做这项业务）
  如果以上的问题得到足够的重视和处理，那么内控缺陷评价就有了坚实基础和指向。

待续。

对于内控由谁来做，有人会说，内控的概念不是提到了吗？董事会、管理层、员工都要参与的啊。这确实不假，但对于一个准备构建完善内控体系的企业来讲，怎样推动这项工作展开呢？即企业内控体系构建的“第一推动力”从何而来。

需要说明的是，这里讨论的是哪个主体来具体组织、推动内控体系建设工作，而非指的是所有参与内控建设的主体。

正如之前的文章所谈到的，内控会反映企业不同利益相关者的利益诉求，这意味着选择内控组织实施工作的主体时，就必须要面对各方的利益诉求。

我们从外部投资者和监管机构最关心的财务报告内部控制说起。目前国内上市公司内控建设正搞的如火如荼，以下情况或多或少都会碰见：

?br/>A企业，老板心想内控不是与财务最相关吗？而且年报审计时也是他们与外审对接，由他们干正合适。

?br/>B企业，董秘又接到证监局的文件了，要求加紧推进内控建设，还要提交内控工作年度计划。董秘硬着头皮组织人员开干。

?br/>C企业，内审部由于人员专业性强，义不容辞的承担起了内控建设的组织任务。

?br/>D企业，老板寻思各个业务部门都有很多事情在忙，那只好由办公室来组织搞内控了。

?br/>E企业，老板想大家都挺忙的，而且好像对内控也都不了解，那找个咨询公司吧，全交给他们做好了。

.?.....

现实中，企业组织搞内控的主体是五花八门。

五部委的内控基本规范有这样的规定：“内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。”这么说就应该内审部门来做喽。但是，我们在这里需要先明确一个问题：基本规范中提到的内审机构对内控体系的监督职能，是指在企业已经建立起了系统的内控体系之后，内审部门所要发挥的职能。而关于这点是没什么争议的。但系统的内控体系不是天上掉下来的，需要企业去构建。而这就是我们开篇所讲到的“第一推动力”的问题。

究竟由谁来牵头实施内控建设，我认为主要有三个影响要素：公司治理、专业性、成本。而这三个要素在某些情况下也是存在矛盾的。

（1）公司治理

内部控制若要发挥作用，良好的公司治理环境是必不可少的，同时内部控制也是实现良好公司治理的有效途径。这也是sox实施的重要目的所在。Sox规定：建立健全财务报告方面的内部控制和程序是公司管理层的责任，公司的首席执行官和财务总监须对季度或年度的内部控制包括财务报告控制等方面程序的有效性作出声明。而在内部审计师协会（IIA）看来，内部审计师需要保持独立性和客观性，谨防向管理职能部门演变。内部审计被看作是和董事会、外部审计师并列的公司治理的三大支柱（IMA，2005）。因此，在SOX的背景下，由内审部门组织实施内控就存在了独立性方面的问题。内审来组织推动内控可能被看作越俎代庖，从公司治理的角度，管理层可能被看作是在推卸实施内控的责任。

视线再转回到国内，内控基本规范中的规定是：“董事会需对内部控制报告做出真实性的声明”。两者的规定显然是不同的，或许这可以从中美两国资本市场环境的不同找到原因。相对来说美国公众公司所有者和经营者分离的比较明显，存在更多的是内部人控制的问题，需要董事会对管理层的监督（sox规定审计委员会必须全部由独立董事组成）。而在中国一般都是大股东控制公司经营，让人比较担心的是大股东侵占小股东权益的问题，大股东控制的董事会显然起不到啥实质性的监督作用。因此，到中国就变成了董事会需要对内控有效性负责了。这样一来问题可能也就简单了，从合规的角度来讲，内审部门组织推动内控实施应该就不存在什么障碍了。但对于想建立完善公司治理结构的企业来讲，以上问题还是值得关注的。不管怎么样，在实际操作中，为了保证内审部门顺利开展监督工作，内审部门还是应该避免过深的介入具体业务流程的内控建设工作。

（2）专业性

从专业性角度考虑，企业在构建内控体系时最先想到的当然是由内审部门组织实施。而如果企业的财务部门承担了很多的经营控制职能，他有可能被选为组织实施部门。当然，外部咨询机构因其专业经验丰富也是一个选择。

（3）成本

成本是企业实施内控建设时必须要考虑的问题。这里的成本不仅指的是单纯的人工成本，还涉及到组织内部的沟通交流成本，以及对企业经营效率的影响（机会成本）。在sox的背景下，企业需要在公司治理和成本之间进行权衡，管理层或业务部门的专业技能不足，由内审部门组织实施的话效率更高，但会影响内审部门的独立性。而在国内企业，对独立性的实际影响仍然还是存在的。而其他可能存在的成本包括：如果由业务部门组织实施，必然会影响到日常的经营效率；如果由内审部门来做，则需要一定的沟通成本（从某种程度上来讲，内审部门和业务部门之间的监督与被监督的关系可能会带来额外的沟通成本）。

从以上三个影响因素出发，如何选择内控的组织实施主体，以下实施策略可供参考：

（1）如果企业缺少专门的内部审计部门，或者有少量的内审人员，但未开展系统的内审工作（这种情况在国内企业比较多见）。这种情况下，从实施效率、效果和长远考虑，聘请专业咨询机构是必要的。这时咨询机构充当的就是主要参与者角色，与咨询机构合作时有以下两点需关注：

?br/>与咨询机构合作，并不意味着把所有工作交给他做，企业还需要从咨询机构有效转移专业技能和知识；

?br/>在内控体系建设主体工作完成后，咨询机构还可进行内控审计的辅导工作，同时也是在帮助企业建立自己的内审力量，一旦咨询机构离开，企业内控体系可以得到持续的监督和改进。

（2）如果企业内审部门比较健全，可以由内审部门组织实施。从实施效率、合规效果、专业知识获取的角度考虑，这时也可聘请咨询机构。聘请咨询机构还有一个作用就是尽量保证内审部门的独立性，为以后的内控审计工作打下基础。

（3）如果企业有非常健全的内部审计部门，在人员力量充足的情况下，可以从中抽调一部分人与业务部门的人员组成专门的内控实施团队（类似于项目部）。这在一定程度上可以保证内审部门的独立性，不会对以后的内部审计工作产生什么影响。而且如果企业有管理需要的话，组建的内控实施团队在未来可以独立成为内控部，完全实现内控实施和内审的分离，而目前国内企业也有这样操作的。这种情况下，如果去聘请外部咨询机构，咨询机构主要是在专业培训、技术工具方面提供支持，但不会在内控实施中充当主要角色。

当然以上的策略也可以放在不同的实施阶段使用。根据国内企业的情况，以上的实施策略，基于两点考虑：

?br/>充分利用内审的专业性，有助于内控建设的效率、效果，可以控制成本；

?br/>有效利用外部咨询机构培育自身的内部监督力量。

当然了，有了内控体系建设组织实施?主体，还有以下两点不能忽视：

?br/>最高管理层的强有力支持；

?br/>业务部门的积极深入参与。

本系列暂完结。欢迎大家交流拍砖