内部控制，防患于未然

魏文王问名医扁鹊说：“你们家兄弟三人，都精于医术，到底哪一位最好呢？”扁鹊答：“长兄最好，中兄次之，我最差。”文王再问：“那么为什么你最出名呢？”扁鹊答：“长兄治病，是治病于病情发作之前。由于一般人不知道他事先能铲除病因，所以他的名气无法传出去；中兄治病，是治病于病情初起时。一般人以为他只能治轻微的小病，所以他的名气只及本乡里。而我是治病于病情严重之时。一般人都看到我在经脉上穿针放血、在皮肤上敷药等大手术，所以以为我的医术高明，名气因此响遍全国。

这是关于扁鹊的一段很有名的故事，说的是最高明的医术不在于穿针放血，而是能够在病情发作前，将疾患消失于无形。而对于企业而言，内部控制的精髓也在于此，对于公司治理的作用在于防微杜渐，最成功的内部控制莫过于将企业的问题消灭在萌芽状态。

早期的内部控制——人盯人战术

在40年代的美国，内部控制制度是以一种“内部牵制制度”的形式出现的。它的出发点很简单，就是将一项一个人做让人不放心的业务，同时交给两位或两位以上的人去实施，客观上造成实施人之间的一种相互牵制的关系，从而预防可能发生的差错。

最常见的牵制规则是管钱、管物、管账分工负责，相互制约。付款的人不能负责记账，采购的人不能负责收货，做销售的不可以自定信用额。到了ERP的信息时代，变成系统操作人员不可以修改系统，修改系统的人不可以操作，以及不同等级的人被授予不同的权限等等。这些方法是企业内部控制的硬方法。

1992年，美国五家会计协会（注会协会、会计协会、内部审计师协会、管理会计协会以及财务管理协会）组成了一个委员会叫COSO。COSO委员会把内部控制系统化，提出内部控制的三大目的：取得经营效果和效率，确保财务报告的可靠性，以及遵循适当的法律法规。按照COSO的解释，内部控制是一个过程，像西西弗斯推石头一样永远没有结束的那一天，有企业存在，就有内部控制。而且，内部控制不是一些人的事情，而是企业所有人的事情，企业的流程和制度制约每一个人。好的内部控制制度可以帮助企业达成它的目标，尽管内部控制不能保证企业成功。但是对于上市公司来说，内部控制保证了投资者对财务报告的信心。因此，财务审计的核心实际上也就是内部控制。

公司内部控制五要素

COSO提出了著名的COSO模型，认为内部控制主要由控制环境、风险评估、控制活动、信息交流、监督五项要素构成。

企业的内部控制环境包含了企业管理层的领导能力、组织结构、预算和内部报告体系、内部稽核、人事架构、健全的实务等。说到环境，中国人相信“水至清则无鱼，人至察则无徒”，好处是处处有弹性，不好的地方是弄不好就导致污染环境，长期结果是鱼虾皆亡。

企业的风险评估是财务人员的敏感区域，风险管理以预防为主，即通过增加、补充或规范各内部控制环节来规避可能面临的风险。如果风险实在避不开，就转嫁风险，如购买保险，利用对冲和远期合约等。

控制活动是确保管理阶层的指令得以实现的政策和程序。控制活动是针对关键控制点而制定的，因此，企业在制定控制活动时关键就是要寻找关键控制点。比如生产、经营性企业的采购作业的交易数量通常都较大，而且存货易于因废弃、变质和偷窃等发生损失，导致重大错误或舞弊的可能性也很高。因此，包括采购在内的物流体系是控制活动的关键。

现在越来越多的企业使用公开招标的方式控制采购。比如，软银的孙正义投资了一家日本公司，提供第三方网上竞价服务，使价格决定过程透明化，不受人为左右。在日本，企业有四个利润来源，在销售、生产、物流之外，还有采购。这家公司在日本获得了很大成功，正在试图将其模式移至中国。中国国有企业内部控制制度有两个最薄弱的环节，一是货币资金，二就是采购。采购业务中弄虚作假，吃“回扣”等现象也许会因采用第三方网上竞价而有所控制。

企业的内部监督是一种随着时间的推移而评估制度执行质量的过程。监督的背后是有效的考核制度和激励制度，这也是中国企业目前比较薄弱的地方。

另外，还有信息交流。这里信息不仅仅是指文书程序、会计记录，以及财务报告，还包括其他商业信息。这本是企业管理的基本要求，但是这几年却遇到前所未有的挑战，因此最终导致了SOX法案的出现。

公司内部控制的达摩克利斯之剑

COSO的内部控制模型在世界各地的企业界里盛行了10年，直到2002年7月25日，美国国会通过了《2002年萨班斯——奥克斯利法案》（也称《2002年公众公司会计改革和投资者保护法案》、SOX法案，以下简称《法案》）。2002年7月30日，该《法案》经美国总统布什签署后，正式成为法律并生效。该法案的出台是针对美国有史以来最大的能源交易商——安然公司造假事件，以及其后又接连发生的施乐、世通等大公司会计造假案而制定的。根据安然事件反映出来的严重问题以及经济发展水平和社会环境的巨大变化，《法案》不仅对《证券法》（1933）和《证券交易法》（1934）这两部证券监管的重要法律做了修改和补充，而且还对会计行业的监督、审计独立性、财务信息披露、公司责任、证券分析师行为、证券交易委员会的权利和责任等诸多方面做了新的规定。在这些新规定当中，要求管理层报告公司对财务报告的内部控制、并要求外部审计师证实管理层报告的准确性最为引人注目，从而使内部控制再次成为人们关注的焦点。

SOX法案的内容分为两部分，一是主要涉及对会计职业及公司行为的监管，包括建立一个独立的“公众公司会计监管委员会”，对上市公司审计进行监管；通过签字合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；对公司高管人员的行为进行限定以及改善公司治理结构等，以增进公司的报告责任；加强财务报告的披露；通过增加拨款和雇员等来提高证券交易委员会的执法能力。

二是提高对公司高管及白领犯罪的刑事责任。比如，规定销毁审计档案最高可判10年监禁、在联邦调查及破产事件中销毁档案最高可判20年监禁；为强化公司高管层对财务报告的责任，要求公司高管对财务报告的真实性宣誓，并就提供不实财务报告分别设定了10年或20年的刑事责任，这与持枪抢劫的最高刑罚一样。

SOX法案虽然只针对美国上市公司，但是其影响力几乎波及世界上所有大公司。因为它们也遇到类似的挑战。该法案的核心是内部控制，体现在它的第404章。

《法案》第404章要求证券交易委员会出台相关规定，所有除投资公司以外的企业在其年报中都必须包括：（1）管理层建立和维护适当内部控制结构和财务报告程序的责任报告；（2）管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案要求管理层的内部控制年报必须包括：（1）建立维护适当公司财务报告内部控制制度的管理层责任公告/声明；（2）管理层用以评价内部控制制度的框架的解释公告/声明；（3）管理层就内部控制制度有效性在该财政年度终了出具的评价；（4）说明公司审计师已就（3）中提到的管理层评价出具了证明报告。公司的CEO和CFO们不仅要签字担保所在公司财务报告的真实性，还要保证公司拥有完善的内部控制系统，能够及时发现并阻止公司欺诈及其他不当行为。若因不当行为而被要求重编会计报表，则公司CEO与CFO应偿还公司12个月内从公司收到的所有奖金、红利或其他奖金性或有权益性酬金以及通过买卖该公司证券而实现的收益。有更严重违规情节者，还将受严厉的刑事处罚。

内部控制的左膀右臂

2004年3月9日，美国上市公司会计监督委员会（PCAOB）发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于2004年6月18日经美国证券交易委员会（SEC）批准。该标准关注对财务报告的内部控制的审计工作，以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见：一份针对财务报告的内部控制，另一份针对财务报表。对内部控制的审计涉及以下内容：评价管理层用于开展其内部控制有效性评估的过程；评价内部控制设计和运转的效果；形成对财务报告的内部控制是否有效的意见。该标准的出台，将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。正如PCAOB主席WilliamJ•McDonoush 所称，“该标准是委员会采用的最为重要、意义最为深远的审计标准。过去，内部控制仅是管理者考虑的事情，而现在审计师们要对内部控制进行详细的测试和检查。这一过程将对投资者起到重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是最为有效地威慑舞弊的防范措施。”

PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的，它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责，并为会计师行业对内部控制的评估提供了一个基础。更为重要的是，该标准将力促公司建立有效的内部控制监督体系，这为有效的公司治理奠定了良好的基础。毕竟，内部控制监督过程需要审计委员会、高层管理者、外部审计师和内部审计师的共同参与。

PCAOB相信，为获取可靠的财务报表，机构必须保持内部控制的运转，以便了解各项记录的准确性，各项交易和资产的处理的公允反映情况，并对各项交易记录的充分性提供保证，且收支工作都经管理层和领导者授权。这样，就能根据一般公认会计原则（GAAP）编制财务报表。内部控制的运转还能确保上述步骤的运转，以防止或发现对财务报表产生重大影响的资产盗用、未经授权使用或处置情形。简言之，如果公司管理层能证明其对簿记工作实施了适当的内部控制，用于编制准确财务报表的账簿和记录是充分的，并遵守了公司资产的使用规则，投资者就会对公司财务报表的可靠性更为信任。

无论是COSO模型、SOX法案，还是前些年闹得沸沸扬扬的李金华的审计风暴，都是为了防患于未然，这也是内部控制的作用。正如孙子有一句名言“是故百战百胜，非善之善者也；不战而屈人之兵，善之善者也。”讲的是大凡用兵打仗，其指导原则应是：迫使敌人举国降服的为上策；通过交兵接仗而攻破敌国的次之；能使敌人举军降服的为上策，攻破敌军的次之；能使敌人整卒降服的为上策，攻破敌伍的次之。所以，百战百胜，还不是用兵的最高境界，不经交战就能使敌人屈服，才是高明中最高明的。内部控制对于公司治理的作用也大抵如此。

本文作者：徐海涛 西安天安制药股份有限公司 内控部经理

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友