[从心所欲不逾矩]从心所欲不逾矩的理解

　　2002年美国《萨班斯－奥克斯利法案》颁布后，各国相继出台关于内部控制的法律法规与规范文件。近年来，中国日益重视企业的内部控制体系建设与风险管理能力的提升，各监管机构纷纷出台相应的规范文件督促上市公司、中央企业、银行、保险机构等建立健全内部控制体系；其中，财政部、证监会、审计署、银监会和保监会五部委联合颁发的《企业内部控制基本规范》和《企业内部控制配套指引》是中国内部控制体系建设的里程碑。
　　虽然很多企业都表示，建立内部控制体系的外在动因是为了满足外部监管要求，内在动因是为了提升企业自身的整体管理水平和风险管理能力。然而在实务操作的过程中，有些企业抱着“侥幸”和“应试”的心理，对内部控制体系存在种种误解。企业梳理内部控制体系的目的究竟是什么，是否仅为“应试”、满足监管机构的合规要求，还是真正应当更加关注自身能力的提升和管理水平的整体提升？企业的高级管理层应该如何定位内部控制体系，如何定位、规划、开展关键工作，避免内控体系的“两张皮”现象？
　　如何判断内控体系有效性——
　　重大缺陷“零容忍”
　　中国的上市公司在《企业内部控制基本规范》颁布之前，已有部分公司依据上交所与深交所的内部控制指引公开披露内部控制评价报告，但那时并未明确要求上市公司对自身内部控制体系的有效性下结论，多数上市公司的有效性结论是模棱两可的，例如有些企业披露内部控制有效性结论为“制度健全，执行基本有效”。然而，在2010年“企业内部控制指引”颁布之日起，要求上市公司在披露内部控制评价报告时，必须对自身内部控制体系出具有效还是无效的明确结论，不再存在模糊的所谓“基本有效”的灰色地带。
　　那么，内部控制体系有效性的判断标准是什么呢？从正向的维度而言，是企业内部控制体系的建立合理保证了企业目标的实现；而从负向的维度而言，是企业是否存在内部控制重大缺陷。这说明上市公司只要存在一个内部控制重大缺陷，就表示该公司的内部控制体系是失效的。也就是说，内部控制体系的有效性对重大缺陷是“零容忍”的，例如企业仅存在1个重大缺陷，与企业存在100个重大缺陷，其内部控制体系的有效性结论都是无效的。而这一个重大缺陷可能出现在企业的集团本部、子公司、子公司的某个部门、甚至某个部门的某个岗位上，这种“零容忍”的判断标准对公司的管理提出了巨大的挑战。公司需要确保所有的业务活动、流程等控制都是有效的，不存在重大缺陷，才能在内部控制评价报告中出具有效的结论。
　　2011年，在沪深交易所2340家上市公司中，1844家上市公司披露了内部控制评价报告，占比78.80%，496家上市公司未披露内部控制评价报告，占比21.20%。在1844家披露了内部控制评价报告的上市公司中，1841家认为自身的内部控制体系是有效的，不存在重大缺陷，占总样本量的99.84%；1家上市公司未出具结论，占样本量的0.05%；仅2家上市公司认为自身的内部控制体系未得到有效实施，占样本量的0.11%。从整体统计的结果来看，中国上市公司的整体管理水平似乎是极高的。
　　鉴于内部控制有效性是个时间点的概念，也就是说上市公司披露的内部控制有效性结论是针对2011年12月31日那一天的，而非某个时间段的概念，因此为了在年末“达标”，企业往往尽早开展内控梳理工作，尽早开展整改工作。在整个年度的内控建设和梳理过程中，企业往往会发现许多内部控制缺陷，甚至重大缺陷。这在衡量上市公司内部控制水平的“迪博?中国上市公司内部控制指数”上得到印证，该指数发现，上市公司的内部控制水平是呈正态分布的（见图1），这表明中国上市公司内部控制“极好”和“极差”的企业都是较少的，绝大部分企业处于中间地带。而处于中间地带的这些企业，其内部控制水平和整体管理水平并没有达到非常优秀，并不排除某些业务活动或流程中存在内部控制重大缺陷的可能性。
　　那么，企业究竟在哪些环节经常会出现内部控制的重大缺陷呢？
　　归纳总结美国上市公司披露的财务报告内控实质性漏洞、中国上市公司披露的内部控制评价报告和内部控制审计报告，整合迪博多年在内部控制与风险管理领域的经验，我们发现，首当其冲的是人员的胜任能力问题。与“人”相关的问题，似乎一直困扰着中国的企业，上到公司董事会及其下属委员会成员、公司高级管理层的胜任能力，下到管理中层、关键管理岗位的人才缺乏，公司整体的人力资源机制优化问题，保留人才问题，合理的组织架构和岗位设计问题，人员能力与岗位需求匹配度的问题等等。由于企业各个管理岗位的能力需求模型是不同的，例如某些岗位需要很强的某项专业知识，某些岗位需要很强的沟通能力，某些岗位需要人很仔细，应当有不同能力特点的人才与之匹配，这就是所谓的人员胜任能力。不过企业往往抱怨，“培训不足，人员数量或能力有待完善和提升”等等。
　　第二大问题集中在会计处理事项、财务报告及审计调整和内部控制程序相关的领域中。由于财务部门是企业信息流的终点，往往是问题集中爆发的部门。然而，很多在财务部爆发的管理问题，以及由外部审计师发现的管理缺陷和审计调整，究其原因，并不是由财务部门本身的管理不足造成的，很多情况下是由于整个信息流、实物流和资金流，在流经其他管理部门和管理领域的过程中发生或逐步积累，最终导致问题在财务部集中爆发。
　　此外，内部监督机制和IT信息系统也是缺陷高发的领域，例如内部审计的独立性问题，针对内部控制有效性的内部审计缺失问题，信息系统一般控制失效问题，信息系统应用控制缺陷问题等。
　　除了上述内控缺陷高发的管理领域之外，如何判断内部控制体系的有效或无效呢？
　　有人认为，内控就是一套强有力的政策和程序。不少企业会很骄傲地向外界宣称，他们有很厚的一套制度，装订精美，内容翔实，而且参照了行业的最佳实践。然而实际上，这些制度往往缺少时效性的规定，缺少罚则的界定，将规则性的条款与程序性的条款混为一谈，某些具体控制活动的描述含糊不清等。深究之下又会发现，制度与制度之间的衔接关系很难厘清，各业务部门往往站在自己的立场来制定制度，至于本部门制度与别的部门制度之间的关系是否存在重叠，是否存在管理空白，不得而知。在有些企业中，制度并不是用以指导日常经营活动的开展，各个岗位在日常工作过程中并不会去仔细阅读制度参照执行，完成“领导交办”的任务往往总是最优先的，在这种“人治”的文化影响下，制度的真正作用会非常有限。甚至有企业觉得“等出了问题再去查制度”，制度变成了推脱责任的利器。