论内部控制中的“度”

摘要：文章简要回顾了内部控制在美国的发展过程，利用模型分析了内部控制制度的影响，及本次金融危机中暴露的企业内部控制的诸多问题，并结合我国实际，分别在制度层面和执行层面提出改进建议。

关键词：内部控制；财务战略；宏观经济政策

中国传统文化中历来重视对于事物“度”的把握“过犹不及”的思想早已深入人心。所谓“度”在汉语中是尺和法的意思。在哲学上讲的是质与量的关系，说的是在界限里，量的增减不会引起质的改变，但要是超过了界限的量的增减，就会引发质的变化。把握“度”，就是把握界限，使我们所被把握对象的结果，从经济学的角度来说，把握“度”，就是要努力找到边际成本等于边际收益的那一点来决定产量，继而以最合理的成本实现收益最大化。但无奈的是，大千世界纷繁芜杂，要想对“度”拿捏得准，做到有的放矢，举重若轻，并非易事。比如反腐败，有人主张对贪腐分子严刑峻法，以儆效尤。明朝万历时，如果发现官员腐败严重时会将其斩首剥皮，用草填充其中树在衙门口，警示官员，于是明朝有了海瑞那样万世敬仰的清官，他官至二品，死的时候仅仅留下白银20两，不够殓葬之资。但与此同时，这样严厉的惩罚措施也刺激了权贵的不满和仇恨，使得当时人人自危，正直者被免，溜须拍马者横行，即便是海瑞这样的人也只能清者自清，无法泽被后人。正如黄仁宇先生的评论：“法律的解释和执行离不开传统的伦理，组织上也没有对付复杂的因素和多元关系的能力。海瑞的一生经历，就是这种制度的产物。其结果是，个人道德之长，仍不能补救组织和技术之短。”（《万历十五年》）。可见对“度”把握，真正的精髓在于对事物本质正确把握之上所采取的合理方法。

从会计上来讲，腐败的滋生是内部控制缺陷的产物，自美国发生安然事件之后，美国政府痛定思痛，颁布了《萨班斯法案》，其404条款要求管理层自揭家丑，对内部控制进行评价，并由担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。同时如果明知包括财务报告的定期报告没有满足法案要求却蓄意签署证明的，应该被处以最多5百万美元的罚款，最多20年的监禁，或并罚。可以说当时美国政府对公司内部控制的治理决心之坚定，手腕之强硬都是前所未有的。然而时隔6年，发端于美国次级贷款（sub-prime mortgage loan）违约的，百年一遇的金融危机，开始在全球范围蔓延，之后五大投行灰飞烟灭，通用这样的百年老店也宣告破产，不可否认，美国宏观经济政策不力，金融衍生品滥用都是造成这场危机的原因，但是公司内部控制这一一度被认为是微观层次防范风险的利器却如麦克马洪线般没有发挥应有的作用。本文试图沿着内部控制理论与实践的发展脉络，从内部控制的特点、经济背景和经济后果，探求美国政府在公司内部控制政策上的得与失，结合我国企业的特点和实际，更好地把握内部控制的“度”，并提出一些改进的建议。

一、内部控制制度在美国的发展

首先简单回顾一下内部控制在美国的发展过程，可以说内部控制的思想发端于企业财务报表审计R.H.蒙哥马利在1912年出版的《审计――理论与实践》一书中提出内部牵制理论――指一个人不能完全支配账户，另一个人也不能独立的加以控制的制度。之后1938年发生的麦克森・罗宾斯案件。这一案件促成了注册会计师业界对内部控制的关注，审计人员为了规避自身职业风险，界定审计责任，开始对企业内部控制进行评价。之后1949年美国会计师协会（AICPA）在《内部控制：系统协调的要素及其对管理部门和独立会计师的重要性》的特别报告中，第一次正式提出了内部控制的概念。之后内部控制开始渐渐得到理论界和实物界的重视。1985年由AICPA、AAA、FEI、IIA及管理会计师协会（IMA）共同成立了全国反对虚假财务报告委员会（National commission on fraudulent financial reporting），即TREADWAY委员会专门研究财务报告舞弊，基于该委员会建议，其赞助机构又组成了一个专门研究内部控制问题的COSO（committee of sponsoring organization of the treadway commission）委员会；1992年9月，COSO委员会提出了报告《内部控制――整体框架》（1994年进行了增补）；2004年，COSO委员会颁布了企业风险管理框架（ERM）其实质是对1992年内部控制整体框架的进一步扩展，该委员会的工作成果得到SEC和PCAOB的认可；SEC于2003年6月发布《最终规则：管理层对财务报告内部控制的报告和证券交易法定期报告信息披露的认证》，规定上市公司出具内部控制报告的时间要求；之后于2006年发布《管理层内部控制评价概念公告》及相应的解释性指南对内部控制自我评估的方法和缺陷类型做出规定；2009年1月发布了《监督内部控制系统指南》强化了监督在内控中的重要地位，9月1日又发布了《有效的企业风险监控：董事会的角色》提出了有助于改进董事会监督的四个方面：遵从企业风险偏好、知道经理层在哪些范围建立了有效的风险管理制度、权衡风险比率和风险偏好、把握突出风险和管理层是否针对该风险做出恰当的应对。

二、美国内部控制制度的影响分析

可以说，内部控制制度是在相关利益群体与舞弊斗争的过程中完善与发展起来，管理层一方面需要内部控制制度来提高管理水平实现个人和组织目标，但同时也受到内部控制制度的制约，这里存在内部控制权的分配问题，我们用以下模型进行说明：假设一个企业成功的概率为p，此时产生的收益为R，如果管理层足够尽职，则企业成功的概率p=pH，如果管理层存在舞弊，则p=pL，此时管理层的私人收益为B，如果企业经营失败则收益为0，同时，在管理层做出是否选择舞弊的行为之前，他们还有是否提高内部控制水平的选择，如果采取行动是提高内部控制水平，则企业成功的概率增加k（k＞0），即变为pH+k或pL+k，此事给管理层带来私人收益l，由于提高内控水平和道德风险正交，所以采取提高内控水平的激励相容约束变为：

（（pH+k）-（pl+k））Rb≥B

其中，Rb为企业成功时管理层回报，由于k最后被抵消，所以在舞弊之前还是之后采取提高内部控制水平的行动不会影响分析结论。

如果提高内部控制水平减少了总福利，即有次优情形：

kR＜l

假设内控制度由外部人制定，因为他们享有内控水平提高的收益而无须承担成本，所以他们会选择提高内部控制水平，相应的收益为：

如果该企业的初始投资为I，则股东净收益应当还包括企业成功的概率增加k，以及私人成本l，即：

净收益=（pH+k）R-I-l

另外，如果管理层保留内部控制制度的制定权，因为Rb≤R，kRb＜l，所以管理层不会选择提高内部控制水平，管理层承担全部成本却只获得部分收益，其收益为：

企业净收益为：

pHR-I＞（pH+k）R-I-l

结论是：将内部控制的制定权赋予外部人会减少企业的净收益（减少部分为l-kR＞0），但会增加外部人收益（增加部分为k（R-）），这也就意味着将内部控制的制定权赋予外部人会相应的提高收益水平，但牺牲了部分管理层福利。如果考虑到管理层所持有的信息价值，显然把内部控制制度的制定权全部赋予外部人是不切合实际也不可行，这也是内部控制与会计准则的不同，管理层对会计准则只有执行权，而对内部控制既有设计权又有执行权，某些情况下还有监督权，这样内部控制的相关权利无法必然的配置给外部人。于是，在降低收益的同时也增加了管理层舞弊的风险。

三、金融危机中暴露的美国企业内部控制问题

（一）盲目从事衍生金融工具交易忽视对相关风险的评估和监督

以AIG保险公司为例，其做了全球最大的CDS交易，仅在2008年就造成280亿的损失。如果利率市场继续朝不利方向发展，仅现有的这些CDS产品，就可能造成AIG近2000亿的损失。如果不是巴塞尔协议II让大部分交易提前终止，AIG所承担的风险可能更高，引用AIG公司的首席执行官爱德华・利迪的话说：“对重大风险评估和监督不，AIG内部犯下了错误，而且严重程度很少有人能够想象到。”同时尽管AIG陷入如此巨大的危机，管理层不仅缺乏应对危机的相关内部控制制度，危机发生后，其高层依然领到了1.65亿美元的巨额奖金，内部控制对管理层的监督乏力到何种程度可想而知，与AIG相似，美国银行、破产前的雷曼兄弟等都有类似的问题。

（二）企业财务战略及相关的内部控制与宏观经济政策脱节

根据经典财务理论，宏观经济政策决定了企业所面临的系统风险，是非可控因素，所以很多企业在制定内部控制制度，进行风险管理时，往往对这一因素考虑不够，从2001年开始，美联储目标联邦基金利率不断下降，2001年的6%下降到2004年1%的历史最低点，将联邦基金目标利率，这样的低利率政策刺激企业不断进行债务融资，债务规模持续增大，尽管2004年以后联储采取上调目标利率的政策，但依然无法扭转长期利率下跌的趋势，债务融资依然大行其道。系统风险不断放大，企业的风险管理和内部控制却无法与时俱进，及时做出调整，终于当风险大到无法管理的地步，危机不可避免地发生了。

（三）内部控制纵容对会计政策的滥用，使得市场上非正常交易泛滥，价格与价值背离，危机在所难免

1992年，美国反对虚假财务报告委员会下属COSO委员会将内控定义为“由企业董事会、经理层以及其他员工影响并实施的，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循而提供合理保证的过程。”所以内控设置的应当有助于财务报告的可靠性，但遗憾的是尽管《萨班斯法案》实行后，美国企业内部控制成本不断上升，但内部控制水平和技术没有实质性提高。举例来说，内部控制没有要求将价值型投资和投机性投资分开管理，造成了对金融工具发行主体的核算、风险定价、价值判断等存在重大差异，这样的差异使得内部管理层滥用会计政策操纵利润变得容易，外部投资者单从财务报告很难了解企业持有交易的真实目的。

四、我国企业内控实际及改进建议

（一）制度层面

我国2008年发布了《企业内部控制基本规范》，相关的配套指引也将推出，这将有助于我国企业提高自身内部控制水平，更好地融入国际竞争，下一步应该结合我国企业的特点和实际建立多层次、有特色、操作性强的内部控制规范体系。内部控制和风险管理要与宏观的政策相配合，并且使得内部控制的成本与收益相匹配，这样的制度才会收到良好的执行效果。

（二）执行层面

可以看到，本次金融危机中很多企业走向破产，很大程度上是由于内部控制执行不力，对风险估计不足造成的，在我国众多中小企业内控水平较低，很多依然停留在内部牵制阶段，而一些国有大型企业由于企业治理结构不完善，对管理层缺乏必要的监督，对相关风险认识不够，内控失败导致巨额损失的案例时有发生。在执行层面，除了要严格按照内部控制制度进行机构设置，人员安排、责任分工之外，最重要的是建立激励机制和绩效考核机制，在当前我国企业由于缺乏具体的内部控制操作指导规范，所以很多企业对从事内部控制的人员奖惩机制不到位，严重扼杀了工作积极性，所以这一问题的解决还有赖于制度层面的配合。

参考文献：

1、Miles,R.,Snow,C..Organizational Strategy,Structure and Process[M].McGraw-Hill,New York,NY,1978.

2、Miller,D.,Friesen,P..Archetypes of strategy formulations[J].Management Science,1978(24).

3、Otley,D..Performance management:a framework for management control system research[J].Management Accounting Research,1999(10).

4、迈克尔・波特.竞争战略[M].华夏出版社,2005.

[作者单位：渣打银行（中国）有限公司北京分行]