您正在看的企业管理论文是:论内部控制。 论其规模如何，都具有有效的内控系统，而且其内控系统符合他们的表内外活动的性质、复杂性和内在的风险；内控制度应当随银行所处环境和条件的改变而得到调整。凡监管者确定某银行的内控系统不能充分或有效地针对银行的具体风险内容（例如，不能涵盖巴塞尔委员会内控文件所载的全部原则），监管者应当采取适当的行动。
　　以上五大组成部分与前述三大目标有机地相结合，构成了内控的完整体系。COSO是为各行各业提出这一思路的。尽管巴塞尔委员会的内控原则主要是针对银行业的，国内外的金融和非金融机构在体制结构上也有所区别，我国的企业工作者仍然很有必要适应形势，转变观念，从内控的三大目标出发，去考察本单位上述五大组成部分的各个方面，看是否建立了健全的内控制度，而且，这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。

三、关于内部控制与管理的关系

　　不了解内控与管理的关系，就不可能充分加强内控工作。内审或审计人员在检查监督的过程中，时常发现被查单位的管理层对内控认识比较肤浅，也不甚了解内控与管理、内控与内审是什么关系。有人认为管理就是内控，抓了管理，内控自然就到位了，因而也没有必要特别强调内控。也有人认为内控是内审（稽核）部门的工作，抓内控应该由内审部门牵头。有些内部或外部的审计人员在进行内控检查的时候，也因认识模糊而无从下手。因此，很有必要搞清内控与管理的关系。

　　１．管理的内涵及其与内控的同异
　　从广义上讲，管理是管理者确立目标和战略，并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要执行聘用合同，为公司或银行的所有者的利益确定明确的管理目标，包括全局整体性目标和各项业务活动水平上的目标，然后制定各种战略和实施计划。管理者要以一定的组织形式为依托，以一定的规章制度为依据，采取种种方法去实现既定的目标。管理者有责任控制局面，并解决和纠正在监督检查各项经营管理活动中所发现的问题和错误，包括对有问题责任人的追究和处罚。由于所定的目标和战略计划会对管理单位（如企业）的行为产生影响，管理科学运用科学的原则和分析性方法，研究企业的行为。在发达国家，不论学术界还是实业界都日益重视公司治理结构的研究，以求实现投资者应得的回报。先进正确的管理方法加上计算机的广泛运用，大大促进了管理的合理化和效率。
　　广义上的管理涵盖比内控更为广泛的内容，并不是所有的管理活动都是内控活动，也并不是说非内控性的管理活动就都不重要了。比如，设定目标的决策就是一种很重要的管理责任，为内控提供了前提条件。在国外，公司的所有者代表（董事会）也要参与甚至领导这种决策。但是，重大目标的最初设定并不是在内控的工作范围之内。同样，许多管理方面的具体决策和一般性活动并不都代表内控。
　　然而，问题的关键并不在这里，而在于内控是管理中至关重要的部分（critical components）。管理的学问就在于抓住管理活动中的那些对实现目标至关重要的部分，也就是毛泽东所说的“研究任何过程……要用全力找出它的主要矛盾”。比如，COSO等理论所描述的内控内容中都列举了许多控制要素和风险，这些都是管理者必须关注的地方。又如，尽管COSO认为错误的纠正行动不应属于内控活动，但是巴塞尔委员会却将其列为内控的范围。原因很显然，纠正错误已成为管理的一项重要内容，直接影响到目标的实现。同理，战略计划和风险管理这些本来被COSO视为非内控性活动，却被巴塞尔委员会分析为内控范围之内的活动了。尽管目标的最初设定是内控的前提条件，但是内控并没有完全放弃对这方面的关注，内控的重要职能之一又是监督目标的设定和实现过程。至于业务活动水平上的目标的设立，虽然也被COSO视为非内控性的活动，但在COSO提出的内控操作方法中（例如在其《参考手册》和《内部控制与风险评估工作表》中），这些目标都是内控所关注的重要内容。下表仅从一个侧面说明了这个问题：


　　资料来源：同上。 
　　2．风险管理与内部控制的关系
　　风险是针对目标而言的。风险实际上就是可能妨碍目标实现的种种问题和困难。这样看来，风险的概念就扩大了。比如，一个武士在张弓搭箭，射向猎物的时候，他的目标是射中猎物，而他的风险就存在于他射击猎物的全过程。首先，他本人的素质，他的精、气、神，他的体力和视力。其次，他的弓箭的质量。再次，猎物的大小、距离和移动速度。此外，狩猎时的环境、气候条件（风速）等外部干扰因素，也构成对击中目标的风险。对一家公司而言，风险既预示着机遇，又会影响其竞争能力，并影响其维持融资的能力以及保持和提高其产品与服务质量的能力。
　　风险是如此之广泛，以至于有人认为风险管理就是内部控制，甚至风险管理包括了内控。把两者混淆的问题在于没有看到内控是管理的更本质性的内容（essential part）。
　　诚然，风险管理是整个管理活动系列的重要组成部分。一般可指风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等等。风险管理的一系列具体活动并不都是内控要做的。特别是内控并不负责风险管理目标的具体设立，这是管理过程起始阶段的活动。风险评估是对可能发生的不利条件或事件进行评价，并做出完整的专业性鉴定的一种系统过程。当然，风险评估首先要注意目标问题，因为，没有明确的目标，也谈不上目标实现的风险。但是在目标方面，内部控制并不是目标的制定活动，而是对目标制定的评价工作，特别是对目标和战略计划制定当中风险的评估，风险管理目标的设立为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动，比如，对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。
　　内部控制强调评估经营管理活动中突出的风险点（当然，这些风险点不是固定不变的），建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险，又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为，内控的过程涵盖了公司所面对的，并在公司内由各级人员所经营的所有的内部和外部的风险。
　　然而现实中的风险管理却很实在，巴塞尔委员会指出，风险管理不同于内控之处在于，典型的风险管理比较关注特定业务的战略的评审，旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。在我国一些银行里，风险管理往往被狭义地理解为授信或部分业务（如信贷）的授权管理；广义的风险不仅有信贷风险，还包括国家与转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和信誉风险等等。而广义的风险管理又似乎难以真正落实到银行的某一具体业务或管理部门，成为它的责任。其结果，我国的银行实业界尚不存在广义的风险管理的概念。不少银行不能对各种风险进行总体研究和控制，甚至连统一授信都难以在一些银行里真正实现。
　　不过，现实情况中的风险管理一方面有其特有的内涵和现实的范畴，另一方面也在某些内容上与内控相交叉。在上节中，COSO认为风险管理不属于内控的范围，而是非内控性的管理活动，这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中，与内控相交叉，属于内控强化过程中的管理活动。
　　然而，内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中，管理层的监督并不是没有，而是远远没有强调到某种“控制文化”的程度。“信息与交流”和“监督评审与缺陷的纠正”这两大内容的内控也没有达到现代内控原理的要求。特别应该指出，风险管理的全部活动都在内控的监督评审之下，不外乎一些国内外专家认为，内控涵盖了风险管理。内控的确处在比风险管理更高的层次上，尽管内控并没有超出广义管理的大范围。下图从现实考察的角度勾略了内控同广义的管理和现实的风险管理的关系。


图2 内部控制同广义的管理和现实的风险管理的关系


四、正确处理内控与内审的关系

　　各商业银行和非银行金融机构在开展整章建制的工作中曾经出现过一些问题，有些问题反映在处理内控与稽核的关系上。例如，认为内控主要是稽核部门的事，应该由稽核部门牵头此项工作。有的银行干脆在稽核部门内设立了“整章建制处”，负责领导全行的整章建制工作。有些认识往往来自高级管理层。稽核人员也存在一些模糊认识。生产性企业也同样会遇到此类问题。澄清认识，转变观念，正确处理内控与内审的关系，对于加强企业内控实属必要。


　　１．内控首先是经营管理部门的工作
　　内部控制是公司（包括金融机构和非金融企业）合理保证其各项目标实现的动态过程。内控程序涉及工作目标的确立，风险的识别和分析，针对风险研定控制措施，并对所采取的控制活动进行监督评审等等。这些控制业务显然首先是各级经营管理部门的基本职责。本文所指的经营管理部门有别于内审监察部门。后者尽管也是内控组织体系的重要环节，但是独立于前者之外。


　　在实际工作中，内控工作往往被领导委派给内审（稽核）部门去计划和安排，原因是多方面的。首先，金融系统的内控文件是由人民银行原来的稽核监督部门下达的。一些单位在接到文件后，没有注意区别商业机构和央行在职能上的本职区别，也没有理解内控工作的内涵，而简单地把内控任务交办给本单位的稽核系统。其次，具体业务部门有重业务经营，轻管理控制的传统倾向。有些业务和管理部门习惯于执行各种业务的“硬指标”，而把内控（例如整章建制工作）作为“软任务”推给“综合部门”去应付。第三，尽管各经济实体中都存在内控制度和控制机制，但是其控制系统有不同程度的缺陷。例如，在控制的组织结构上，的确缺少一个专司内控的综合管理部门；而也确有文件把稽核部门称为“内控综合管理部门”。第四，在专业银行体制下，稽核部门曾经是缺乏权威性的比较薄弱的部门，银行在商业化的过程中虽然提高了该部门的地位，但在许多单位里仍显现不出稽核部门足够的重要性。在一些综合部门相互踢皮球的情况下，任务也难免被分派到稽核部门。这些问题在生产企业里也存在。 
　　经营管理部门首先要重视内控，只有把内控视为本身的基本职责，才能把这项工作当作硬任务去安排。因此，在整章建制中，人民银行曾明确指示各金融机构，组成专门的领导班子（如内部控制委员会）去领导和组织这项系统工程。而内审部门应当独立于这项领导工作之外，才能真正起到对工作的监督作用。 


　　２．内控主要是经营管理部门的工作
　　内控作为一项系统工程，已经在发达国家形成了一套完整的有机结合的理论体系和严谨的操作方法，很值得我国在国营企业（特别是国有金融机构）改制和再造其内部治理结构时予以借鉴。
　　内控的大部分工作都是经营管理部门的重要职责。首先，合乎标准的内控需要公司营造良好的“控制环境”，使员工树立正确的价值观，遵守正常的职业道德，而公司的管理层又能够以恰当的管理风格和正确的激励机制，引导员工创造一种良好的企业文化，特别是控制文化。同时，设计适应业务发展的组织结构，配备合格的经营管理人员，制定合理和严格的规章制度，确立正确的目标和战略决策系统等等，也都是加强内控的必要环境条件。
　　第二，“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析，而满足于执行指令。这种方式给国营企业和金融机构在转轨过程中带来了巨大的损失。金融系统近年来存在秩序混乱，案件频频，经营亏损的现象，其重要原因之一就是风险管理落后。风险的防范有大量工作要做，包括对内部和外部的风险进行判别和预测，分析风险发生的可能性和概率；并在此基础上研究化解风险的种种控制措施。
　　第三，当风险已被发现之后，经营管理者还需要调动机构和人员，切实执行所制定的“控制活动”，以便防范和化解风险，合理保证经营管理目标的实现。这方面的工作是十分细致的，包括高层检查，直接管理，信息加工，实物控制，确定指标，职责分离等等。
　　第四，在信息科技突飞猛进地发展的时代，“信息与交流”是经营管理中的另一不容忽视的职能。在把有关的内部和外部控制信息搜集整理出来以后，经营管理者要利用可靠信息为实现目标服务，并向适当的部门和负责人进行交流。
　　如果把如此丰富的内控工作统统推给审计或稽核部门去做，一个直接的恶果就是削弱了经营管理部门的风险意识和控制觉悟，使他们满足于计划经济体制下的行政指令的执行方式，而无意面对复杂多变的竞争形势。另外的一个后果是使审计人员不务内审业务，而去参与经营管理活动，自然分散了审计人员的注意力，也削弱了审计的独立性。因此，控制活动是公司日常经营管理工作的不可分割的一部分。 


　　３．对内控的检查评价主要是经营管理部门的工作
　　“监督评审”是内控体系的第五大重要组成部分，其主要内容是对上述内控活动，包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。重要的是认识到这种检查评价不仅首先不是，而且主要不是内审（稽核）部门的工作。
　　对内控情况进行监督评审犹如设立一道道防线，而第一道检查监督的防线就应由经营管理部门的各级负责人监守，包括设置和执行岗位内部和岗位之间的相互牵制，进行前后台和部门之间的平衡制约等等，并应不断在日常工作中监督评审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究，把大量主要的风险问题在第一道防线予以切实解决。这里，他们不仅要深刻地自我评价所开展的控制活动，还要提出改进控制和进一步化解风险的措施，并交上级主管验证。这种自我评价要规范化和制度化，必要时应实行离岗检查和交叉检查的制度。在实际中，这种工作往往被以工作忙、人手少或成本高而忽略掉了。例如把对离任负责人的评审统统推给内审（稽核）部门进行“离任稽核”，不仅加重了内审负担，而且常使该项工作流于形式。恰恰是疏于自我检查和评价，造成部分管理人员有章不循，一些基层单位问题成堆。
　　财会部门应当形成化解风险的第二道防线，财会人员负责行使后台监督的重要职能。业务的每一项收付和债权债务的发生都会在帐面上反映出来，这本身就是一种监督；会计人员在会计核算中保证这种反映的真实、准确和完整，并有责任以会计资料为依据，控制企业经济活动按预定计划目标进行，并报告所发现的违法违规的财务事件；财务主管在会计科目设置、帐务汇总和财务报表分析后也可以发现经营管理活动中的种种问题，促使企业遵守国家法律和政策，加强经济核算，改善经营管理，完善现代企业制度，提高经济效益。财会部门不仅要把第一道防线上遗漏掉的大量问题尽力查找出来，而且要从管理会计的角度，在更深层次和更大范围内（例如在跨部门乃至全单位范围）发现问题，研究对策，预测风险，并提供信息。目前，财会部门在金融系统中的权威性是有的，不过，一些财会部门忙于一般性会计核算，加上种种原因造成责任心不强，尚未充分发挥会计监督的职能和管理会计的职能。
　　如果认为对内控的检查评价只是内审（稽核）部门的工作，上述两道化解风险的重要防线就会被忽略甚至取消。这一方面会大大削弱各单位防范风险的意识和能力，而且另一方面会因为大大加重内审部门的工作负担，而必然降低内审工作的质量，提高内审方面的监督成本。 


　　４．内审监察部门对内控的再监督负有极其重要的责任
　　如果我们把内控的“监督评审”职能视为内控“宝塔”上的最高级的部分，那么内审（稽核）监察工作就应该处于内控宝塔的尖顶部位。所谓“再监督”就是在前述两道防线之后的第三道防线，每一个公司都应当设立这一战线。对于风险较高的金融机构来说，这第三道防线更是必不可少的。其重要性不仅仅在于内审（稽核）已经变成了最后一道防线。尽管从监督职能的角度来看，内审监察部门的工作量应大大少于经营管理部门的自我监督检查和财会部门的管理监督，但是，内审监察部门的独立性和应有的权威性，加上其组织系统的垂直性，赋予了该部门行使对内控进行再监督和再评价的特殊重要的职能。这种重要性主要表现在稽核监察人员在严密的计划和组织之下，能够独立地按照法人要求，有选择地对内控的各方面行使其检查职能，并能够将检查评价结果直接地反映到高级管理层乃至最高级领导人，然后有权督促内审监察建议的落实。为了强化内审监察部门的监督职能，许多西方的金融机构都成立了独立于经营管理活动之外的内部审计（稽核）委员会。 
　　改革开放之后，企业面临种种风险。在经济生活日益货币化和证卷化的过程中，国有专业银行也正在商业化，同时，各种金融机构象雨后春笋般地涌现出来。新的形势要求金融机构和生产企业的内审工作从传统的以对帐目和会计凭证进行核查为主，转向以对内控制度及其执行情况进行检查为主的审计方式上来。审计人员应认识到这一带根本性的变革，具有对现代内控理论和方法的超前认知，并把对内控水平不高的单位和内控意识不强的人员（特别是管理层）进行咨询服务作为内审工作职责和应尽的义务，帮助这些单位和人员转变观念，加强内部控制。
　　有人认为内审（稽核）部门在经营管理部门的内控制度尚不健全的情况下去进行内控检查评价是“皇帝不急，急死太监”。这种认识忽视了审计部门有促进被检查单位完善其内控制度的重要作用。其实，大多数单位都有内控制度，只是其完善程度不同和执行情况不同。虽然内控水平的提高要靠经营管理部门进行大量实实在在的工作，但是，审计人员不能等待被检查单位的内控制度完善之后再去审计，而检查评价本身就是在促进被审计单位完善其内控制度，提高内控水平。现在，越来越多的经营管理者认识到加强内控的重要性，审计人员的任务就是要多在这方面提供咨询服务，以先进有效的内控检评方法，有计划和有重点地对各级经营管理部门（包括人事部门和行政部门）的内控制度及其执行情况进行再监督检查。这里，检查的方法要规范，力求采用先进技术手段，并将检查评价结果独立地和及时地报告有关负责人和部门。同时，审计人员应向被审计单位提出改进内控的建设性意见，督促这些单位改进内控状况。 
　　当然，在组织结构上内审监察部门并非独立于内控的整体框架之外，内审监察部门也属于控制环境的一部分，其本身也需要对自身的各种内部和外部的风险进行评估，并相应采取认真的自我控制措施，在进行信息与交流的同时加强自我检查和评价。在稽核人员和内审部门比较薄弱的单位尤其要注意这方面的工作。 
　　总之，内控不仅首先不是，而且主要不是内审监察部门和人员的责任；内控的检查评价也主要不是他们的责任；但同时，对内控的再监督又是内审监察部门义不容辞的重要职责。今后，中央银行在向金融机构（特别是商业银行）布置内控任务的时候，应该区别它们的经营管理部门和内审监察部门的不同职能；而金融机构本身在接受央行指示或任务时，也应理解两者之间的区别, 并在执行中注意保持内审工作的独立性。 正确认识内控与内审的关系会推动各单位（特别是金融