内部控制自我评价

第六章　内部监督

【引言】内部监督作为企业内部控制的重要组成部分，是企业的利益相关者为对企业代理人的经营行为、过程或决策等经营活动实施客观、及时的监控，所涉及的一系列监督制度的总称，它是内部控制发挥有效作用的保证。内部监督是保证内部控制体系有效运行和逐步完善的重要措施，是一个完善的内部控制体系必不可少的环节。

第一节　概　述

企业在设计内部控制制度时，由于当时认识的局限或者考虑不周等原因，设计出的内部控制不可能完美无缺。在内部控制实际运行过程中，由于实际情况发生变化、或由于员工对内部控制制度理解上的差异，也可能使内部控制不能很好地发挥其应有的作用，导致内部控制实际运行中或多或少地存在着这样或那样的问题。为此需要对内部控制运行情况实施必要的监督检查，发现其不足和问题乃至于缺陷，从而完善内部控制，提高内部控制的有效性。因此，内部监督是保证内部控制体系有效运行和逐步完善的重要措施。

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。内部监督作为企业内部控制的重要组成部分，是企业的利益相关者为对企业代理人的经营行为、过程或决策等经营活动实施客观、及时的监控，所涉及的一系列监督制度的总称。它是内部控制发挥有效作用的保证。对于一个完善的内部控制体系来说是必不可少的环节。

我国《企业内部控制基本规范》第四十四条规定：“企业应当根据本规范及其配套方法，指定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。”这条规定其一是要企业在健全内部控制时首先健全内部监督机构，一般是指建立企业内部审计机构，如内部审计委员会，也可以是内部审计委员会委托的有关部门或外部审计机构。其二是指内部监督机构职责权限有一个更高的层次，如高于管理层（执行层），直属于治理层（决策层）。其三是指要规范内部监督的流程，制定相应的监督程序、方法以及标准等，防止监督体制表面形式化，未得到真正的执行。

审计委员会是董事会设立的专门工作机构，主要负责公司内、外部审计的沟通、监督和核查工作。

审计委员会的主要职责包括：①审核及监督外部审计机构是否独立客观及审计程序是否有效；②就外部审计机构提供非审计服务制定政策并执行；③审核公司的财务信息及其披露；④监督公司的内部审计制度及其实施；⑤负责内部审计与外部审计之间的沟通；⑥审查公司内部控制制度对重大关联交易进行审计。

审计委员会的主要目标是督促提供有效的财务报告，并控制、识别与管理许多因素对公司财务状况带来的风险。公司面临的风险涉及竞争、环境、财务、法律、运营、监管、战略与技术等方面。审计委员会本身无法监管所有这些风险，应该由各方（包括董事会其他委员会）共同合作。

审计委员会作为董事会的一个机构，主要使董事会、高层管理者与内、外部审计员关注有效的财务报告与风险管理（关键风险的识别和控制）的重要性。

第二节　内部监督的类型

我国《企业内部控制基本规范》第四十四条将“内部监督分为日常监督和专项监督，日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。”

美国COSO报告中，认为监督是由实时评价内部控制执行质量的程序组成，这一程序包括持续监督、独立评价，或是两者的综合实现对内部控制运行进行监控。通过持续监控和个别评价的结合，能够保证内部控制体系在一定时期内保持其有效性。

独立评价的范围和频率取决于所评估的风险程度，监督能够确保内部控制的有效运行。

一、日常监督

《企业内部控制基本规范》中的日常监督相当于COSO报告中的持续性监督。COSO报告中的持续性监督活动主要涉及以下七个方面：

（1）在日常活动中获得内控执行的证据。在执行日常管理活动时，负责运营的管理层获取内部控制持续发挥功能的证据，这是很重要的一点。在营业报告并入财务报告系统或与该系统核对并持续用于管理企业运营时，很可能会迅速发现重要的不正确的数字或预期结果的例外情况。

（2）外部反映对内部信息的印证程度。即与外界各方的沟通能够印证内部生成的信息或揭示问题。

（3）定期核对财务系统数据与实物资产。也就是说，将信息系统所记录的数据与实物资产相比较。

（4）对内外部审计师关于加强内控的措施做出响应。内部及外部审计师会定期为进一步加强内部控制的方法提供建议。在许多企业，审计人员关注的焦点主要集中在评估内部控制的设计以及测试其有效性；识别潜在的缺陷并向管理层建议采取替代方案；同时提供做出成本效益决策有用的信息。在监督企业内部控制活动中，内部审计人员或实施类似审核职能的人员能够发挥尤为有效的作用。

（5）培训、会议等对内控有效性的反馈。培训研讨会、计划会议等可以向管理层提供有关内部控制是否有效的重要反馈。这些会议不但可以指出控制中存在的某些问题，还能够增强参与者的内部控制意识。

（6）定期询问员工是否理解并执行了公司的道德准则，员工是否执行了内控活动，定期要求企业员工明确说明他们是否理解并遵守企业的员工行为守则。同样，也可以要求经营及财务人员说明某些内部控制程序是否正常地实施。管理层或内部审计人员可以对这些说明进行核实。

（7）内审活动的有效性。适当的组织结构和监督活动可监督内部控制职能的执行并识别内部控制的缺陷。

二、专项监督

《企业内部控制基本规范》中的专项监督相当于美国COSO报告中的独立评价。美国COSO报告认为：尽管持续性监督一般可以提供关于其他控制要素有效性的重要反馈，但从一个新的角度，把焦点集中在对系统的有效性直接进行评价也是十分有益的。这也提供了一个机会来考虑持续性监督程序的连续有效性。独立评价工作是内部审计、监察等部门从独立性角度出发，对内控系统进行审核的过程，主要关注的是系统的设计和运行的有效性。

（一）评价范围和频率

独立评价的范围和频率，应该视被控制对象的风险大小及控制的重要性而定。一般来说，处理风险顺位排列在前的那些控制，应经常进行评估；在相同顺位中，最不可缺失的那些控制，更要经常进行评估。对整体控制评估的次数，通常要少于对特定控制评估的次数，如有重大策略改变、管理阶层变动、重大的收购或处分、重大的营运方法改变或财务资讯处理方式改变等，就需要对整体内部控制制度进行评估。当管理阶层决定要对单位整体控制制度进行评估时，必须注意内部控制的每个组成要素及其所有重大活动的关系，同时还要考虑评估的范围还受内部控制的影响。

（二）评价主体

通常的评估，系以自我评估的形式进行，也即由特定单位或职能的负责人决定评估。例如，某一部门的最高主管可能命令相关员工评估该部门的内部控制制度，他自己可能负责评估控制环境的因素是否有效，而要求负责该部门各营运活动的员工评估其他组成要素是否有效。最后，单位的管理阶层再考核各个部门的评估结果。

内部审计机构是单位进行控制评估的主要力量，一是因其职责分工之故；二是因董事会、高层主管、子公司或部门主管的特别要求。管理阶层在考核内部控制是否有效时，还可以借用外部审计的力量。

（三）评价过程

评价内部控制制度，本身就是一个过程。尽管在评估中使用不同的方法或技术，但必须遵循一些基本的原则和要求。

评价者必须了解涉及的每一个作业及每一个内部控制制度组成要素。首先要注意到每一项制度设计的要求是什么，它应该发挥什么控制功能，以及如何发挥其功能。评价者应与员工讨论，并复核现有的文件，以了解设计思想。

评价者应了解制度的实际运行情况，与原设计有何不同，各种变更是否必须和适当。评价者与执行控制的人员及控制影响的人员进行讨论、检查执行控制情况的记录，了解上述应知道的情况。

评价者应比较设计与执行之间的差异，并确定控制制度对已定目标的达成是否能提供合理的保证。

（四）评价方法

评价内部控制的方法和工具有很多种，如检查清单、阅读及绘制流程图技术、量化技术等。此外，还可以列示一张所有控制目标的清单，用以辨认内部控制的基本目标。

某些单位还采用标杆比较方法，将自己单位和内部控制制度与其他单位的制度进行比较，以判断优劣。某些行业有同业复核功能，单位还可通过与同业的比较，来帮助单位评估自己的控制制度。值得提出的是，在比较不同单位的内部控制制度时，应注意目标、事实和环境的差异以及内部控制五个组成要素及内部控制的限制。

（五）书面记录

一个单位把内部控制制度作为书面文件的程度，因单位规模的大小、复杂程度的高低及其他因素影响而异。规模大的单位通常有书面的政策手册、正式的组织构图、书面的工作说明、操作指令及资讯系统流程图等；而规模小的单位则其书面文件通常较少。

许多控制虽非正式，也无书面文件，但仍有规律地执行，并且有效，因而也可视同有书面文件一样进行测试。某项内部控制虽未作成书面文件，并非意谓其无效，或无法进行评估。不过，内部控制以适当的书面文件反映，不仅有助于提高评估效率，而且可以帮助员工了解控制制度如何运行，以及员工自己所扮演的角色，同时也方便对内部控制制度的修订。

评价者应该将自己的评估过程作成书面记录，即记录评估过程中所进行的测试、分析及测试结果，必要时还可以进行有关系统文件的补充。还有的评估者在原有的书面文件上进行批注，但仅仅依靠这种批注不是一种好的方法。

当内部控制制度的声明或评估结果要给较多的单位使用时，书面记录的内容将会要求更加具体。书面记录应该有利于证实内部控制有效性声明的所有内容，以防止日后有人对声明的可靠性怀疑。

（六）行动计划

单位首先评价内部控制制度时，负责评价工作的高层管理人员，应制定必要的行动计划。

（1）根据目标的类别、内部控制的组成要素，以及欲讨论的活动来界定评估的范围。

（2）根据持续监督活动中发现的应予评估的事项。

（3）分析内部审计人员所执行的评估和考察外部检查人员的发现，决定有关评估的内容。

（4）对必须注意的高风险区域，应按单位类别、组成要素类别或其他类别排列先后顺序。

（5）根据上述分析结果，制定评估计划，并作评估时间长短安排。

（6）集中将参与评估的人员，一起研究评估的范围、时程、使用的方法和工具、内部审计人员及主管机关所提供的资讯、预期报导、评估发现及作为书面记录的方法等。

（7）监督评价的进度，复核评价的发现。

（8）必要时，修改评价计划的后续部分。

上述工作，可由评价负责人授权他人进行，如果由其本人独自管理全过程，将会更加有效。

持续监督与独立评价两者关系是，内部控制系统通常是组织完善的系统，在某种程度上持续地监督其自身的活动，内部控制系统持续性监督的有效性程度越高，对单独评价的需要程度就越低。管理层为了合理地确认内部控制系统的有效性所必须进行的单独评估的频率，取决于管理层的判断。在做出该决定时管理层应考虑以下因素：变化发生的性质和程度以及与变化相关的风险；实施内部控制人员的能力和经验以及持续性监督的结果。通常，持续性监督和独立评价某种程度上的合并使用，将会保证内部控制系统随着时间的变化而保持其有效性。

应该认识到，持续性监督程序根植于企业日常重复发生的活动中，与独立评价所实施的程序相比，由于持续性监督程序在实时基础上实施，动态地应对环境的变化并在企业中根深蒂固而显得更加有效。由于独立评估发生在事实出现之后，因此通过持续性监督的日常程序通常可以更快地发现问题。尽管如此，一些持续性监督活动完善的企业仍然每隔几年要对其整个内部控制体系或其中一些部分进行一次独立评价。那些察觉到需要经常进行独立评价的企业应重点关注增强其持续性监督活动的途径，从而强调将持续性监督活动“根植于”而不是“添加在”内部控制活动中。例如美国历史上迄今为止最大的破产案就是由日常监督发现的，世通公司的一个内部审计员叫辛西亚库伯的女士，在一次例行审计中发现公司财务中有故意造假行为，她向当时的首席财务官沙利文报告，而首席财务官其实就是参与欺诈的人之一，他让库伯停止审计，但库伯又向审计委员会的主席报告。在美国公司审计委员会包含有独立董事，他们不受雇于公司，所以库伯女士越过高管层将内幕报告给审计委员会，于是调查扩大了，发现了超过30亿美元的假账。丑闻曝光以后，世通公司不得不裁员17000人。7月21日，公司被迫申请破产保护，美国历史上迄今为止最大的破产案由此产生。7月30日，世通公司被纳斯达克摘牌。随后，美国司法当局以欺诈罪逮捕了首席财务官沙利文和总审计师迈尔斯。8月8日，公司在内部审计中再次发现，追溯到1999年，公司还有一笔33亿美元的错账，这样，世界通信公司的财务丑闻涉及金额增加到70多亿美元；目前公司的股票价格已由1999年的64美元跌至9美分，跌幅达99．8%，资产总额也由1153亿美元跌至现在的1亿美元左右，跌幅达99．1%。

第三节　内部控制缺陷认定与整改

我国《企业内部控制基本规范》第四十五条规定：企业应当指定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。

一、制定内部控制缺陷认定标准并对内部控制缺陷进行认定和报告

企业在对内部控制进行内部监督发现内部控制缺陷时，需要对内部控制的缺陷进行认定和报告。为此，企业应当根据自身的实际情况，制定本企业内部控制缺陷认定标准。另外，在对内部控制进行内部监督的过程中，根据确定的标准对内部监督所发现的内部控制缺陷进行认定，分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。企业还应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

二、内部控制缺陷的概念

内部控制缺陷是指当内部控制的设计或运行不被管理层或雇员实施他们的职能来及时防止错误的发生，从而发生了内部控制缺陷。内部控制缺陷包括设计缺陷和运行缺陷。

（1）设计缺陷：是指缺少为实现控制目标所必需的控制，或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷，即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。

（2）运行缺陷：是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而产生的内部控制缺陷，即内部控制不能按照建立阶段的意图运行，或运行中错误很多，或实施内部控制的人员不能正确理解内部控制的内容和目标等而产生的内部控制缺陷。

某一企业的内部控制体系虽然设计得很完善，但由于实施过程中的偏差，导致内部控制运行缺陷。内部控制的缺陷可以是单项的缺陷，也可以是多项组合的缺陷。

三、内部控制缺陷的程度

按照内部控制缺陷影响整体控制目标实现的严重程度，内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。

（1）重大缺陷是指一个或多个一般缺陷的组合，可能严重影响内部控制整体的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。

（2）重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。

（3）除重要缺陷和重大缺陷以外的其他缺陷，则为一般缺陷。

四、缺陷整改

日常监督应当与企业日常的经营活动相结合，整合于企业的经营活动过程之中，与日常经营活动结合起来进行；对于发现的内部控制缺陷，应当及时向有关方面报告并提出解决问题的方案，对存在的问题予以纠正。

对于专项监督中发现内部控制存在的问题，要及时向有关方面报告，提出完善内部控制的意见和建议，并监督对内部控制进行完善。

第四节　内部控制自我评价

我国《企业内部控制基本规范》第四十六条规定：“企业应结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。”

内部控制自我评价CSA（Control Self Appraisal，简称CSA）是近年来产生的一种新的内部控制评价方法，体现了内部控制评价的新观念，不仅可以用于审计领域，也可以用于企业经营管理领域。从20世纪80年代末开始，一种由企业高层管理当局发动，全员参与的内部控制评价方法——“内部控制自我评价”应运而生。这种方法最初由加拿大海湾公司于1987年提出，并很快得到了理论界和实务界的广泛认同。

一、内部控制自我评价（CSA）的特征及主要方法

（一）内部控制自我评价（CSA）的含义及特征

内部控制自我评价（CSA）是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评价的方法。国际内部审计师协会在1996年的研究报告中总结了CSA的三个基本特征：由管理和职员共同进行；关注业务的过程和控制的成效；用结构化的方法开展自我评估。具体来讲，CSA将维持和运行内部控制的主要责任赋予公司管理层，管理层、员工和内部审计人员合作评价控制程序的有效性，使管理层和员工与内部审计人员一同承担对内部控制评估的责任；CSA以岗位职责和业务操作规程为中心来自我调节和自我完善，涉及所有员工对控制制度本身及其效果和效率进行的评价以及对参与控制人员的资格、工作程序和工作表现的评价。这使以往由内部审计人员对控制的适当性及有效性进行独立验证发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对内部控制和公司治理负责。

（二）内部控制自我评价（CSA）的方法

西方国家在实践中已经发展了多至20余种的CSA方法，但从其基本形式来看，主要有三种，即引导会议法、问卷调查法和管理结果分析法。

引导会议法是指由内部审计人员与被评价单位管理人员组成评价工作小组，管理人员在内部审计人员的帮助下，对企业或本部门内部控制的恰当性和有效性进行评价，然后根据评价和集体讨论来提出改进建议出具评价报告，并由管理者实施。引导会议法集中体现了CSA全员参与内部控制的理念，改变了把内部控制评价看作是审计人员责任的思想，有效地提升了企业的内部控制环境。

问卷调查法利用问卷工具使得受访者只要做出简单的“是/否”或“有/无”的反应，控制程序的执行者则利用调查结果来评价他们的内部控制系统。

管理结果分析法是指除上述两种方法之外的任何CSA方法。通过这种方法，管理当局布置工作人员学习经营过程。CSA引导者（可以是一个内审人员）把员工的学习结果与他们从其他方面如其他经理和关键人员收集到的信息加以综合。通过综合分析这些材料，CSA引导者提出一种分析方法，使得控制程序执行者能在他们为CSA做出努力时利用这种分析方法。

以上三种方法企业可根据实际情况进行选择。目前西方用得比较多的是引导会议法。在这种方法下，由内部审计人员或高层管理者充当引导者，主持召开一系列的研讨会来进行。通常包括计划、预备工作、单独的研讨会与系列的联席会议、报告和提供方案的实施等一系列过程。

1．计划

CSA要求参与的组织成员理解内部控制的重要性，掌握一定的内部控制知识，明确自己在活动中的角色，这些必要的知识可由企业的内部审计部门提供，为CSA的开展奠定了坚实的基础。

2．预备工作

预备工作的主要目的是使参与者熟知企业目标及内部控制目标，以及企业的规章制度和管理层预定的发展方向与战略，在此基础上，参与者按照制度要求、发展方向与战略，对企业的内部控制实际情况进行调查并形成个人意见。

3．研讨会与系列的联席会议

参与者形成个人意见后，通过会议的形式，发表自己的意见，对企业的内部控制系统进行评价。在实际操作中，研讨会通常采用匿名的形式进行，这样可以鼓励参与者尽量发表自己的真实意见，发现问题并解决问题。

4．报告和提供方案

经过多次研讨会后，作为主要的负责机构，内部审计部门要对研讨会的内容进行综述，描述被评价部门的情况。而参与研讨会的管理者要负责对发现的弱点起草解决方案。

二、内部控制自我评价（CSA）的优势

内部控制自我评价（CSA）在实施时，与传统的内部审计相比存在许多不同之处，内部控制自我评价（CSA）有其独到的优势，表现在以下方面：

第一，有效进行“软控制”评价，这是CSA优越于传统内部审计的重要之处。在新的内部控制模式下，迫切需要评价包括公司治理、职业道德、诚实品质、胜任能力、风险评估等“软控制”，而这恰恰是CSA可以提供的。以企业核心人员的品质为例，目前上市公司核心人员的个别属性，很难获取可信的资料，只能姑且假定他们都是诚信正直、有正确道德价值观的人。而事实上，很多上市公司舞弊、财务报表信息失真、做假等都是由公司核心人员联合舞弊导致的。实施CSA，企业可以把管理人员和其他员工召集起来讨论并对此进行评估，提出相应的建议进行改善，避免舞弊的发生。

第二，提升了控制环境。内部控制自我评价使得企业内部控制评价从有限的职员参与变为广泛的职员参与，从“内部审计人员对控制负责”变为“所有的职员都对控制负责”。企业的员工广泛参与到内部控制的设计与评价中来，了解自己在企业内部控制中所处的位置，意识到内部控制是全体成员共同的责任，从而积极地参与到内部控制评价和改进中来，组织的内部控制整体意识得到加强，内部控制环境得以提升。

第三，CSA使企业内部审计更有效率与效果。通过CSA，内部审计人员和经营人员合作对经营活动进行评价，减少了收集信息的时间和验证程序，对经营过程了解得也更为彻底。这种合作提高了进行内部控制自我评价可获得信息的数量和质量，把审计人员从对立者、监督者转换为企业发展的参与者、推动者，提升内部审计的效率与效果。

第五节　案例分析

广东核电：程序至上、内审先行显神威

据《人民日报》记者再永平、韩建清2001年12月27日报道：总资产规模达557亿元人民币的中国广东核电集团再次引起人们关注，不是因为神秘的令人生畏的“核”，而是它的一套行之有效的内部控制体系。靠这套制度，中广核不仅实现了良好的经济效益，而且每年近250亿元人民币的现金流中，没有发生过任何大的失误，更没有为此倒下一个干部。中广核集团公司总经理刘锡才说：“在这里，别说我们没有犯错误的想法，就是有，也没有办法把钱装到自己口袋。”

（一）内控制度的基础：独特的“核安全文化”

在中广核工程建设管理三大控制和安全生产控制体系中，最重要的是“程序”，做任何事都要讲程序。在这里，“权威”不是总经理，而是程序，是规章制度。

有人做过统计，中广核的具体规章、程序多达9000多个，几乎对公司管理的所有工作流程和细节都做了具体规定，任何人都必须“循规蹈矩”。为什么中广核这样看重规矩？中广核集团公司董事长昝云龙告诉我们，是“核安全文化”起了作用。

核电由于沾了“核”，因此很特殊。为了保障核安全，没有什么比“严格按程序办事”更重要。在中广核，凡事有章可循、凡事有据可查、凡事有人负责、凡事有人监督。中广核的管理者告诉我们，这样做是因为核电是一个复杂的系统工程，光阀门就有上万个，如果没有规章、程序，谁想动就动一下，那结果是非常可怕的。因此，中广核在保障安全生产的各个关键领域中，形成了一切事情必须按程序办，任何事情有记录、有监督的风格。风格进一步升华就是文化，企业文化又影响到企业生产以外的所有领域，包括财务系统、内部控制系统。

总经理刘锡才这样诠释中广核内部控制系统的精髓——“程序”。比如，董事会授权总经理有500万美元招标合同的签字权。但和别的企业不同，这并不意味着我可以动用500万美元。在签这500万美元前，有一系列程序要走。

程序规定，在招投标过程中，总经理不能推荐客户。也就是我不能用我手里500万美元的权力把项目给和我有关系的客户，否则不管你自己得没得好处，都违反了程序，在中广核就行不通。总经理签字的先决条件是必须有各有关部门签字，并承担相应的责任，最后总经理审查、签字，合同生效。如果这些部门不签字，无论哪位领导签字，财务也不会支付款项。在中广核，你想通过攻总经理的“关”拿到项目是“缘木求鱼”。

在中广核，看起来权力比较大的是合同部，小到卫生纸，大到核燃料，一年数十亿元的采购都要通过合同部门。但是，你认为买通了这个部门就能拿到项目又错了。

这个部门的负责人说，我的权限看上去很大，所有合同我不签字就生不了效，但实际上我也只是程序中的一个环节。按照程序，前面的程序没有走下来，我不能签字，就是领导打了招呼也不行。到我这里前，要经过财务、商务、技术等部门的会签和审计等部门的审查。

和客户见面，直接参与谈判的倒是具体的工作人员。那么具体办事人员是否成了关键人物？中广核控制系统的严格程序同样让这些人员也无法胡来。在中广核，所有承包工程或设备采购都要经过预算、立项、合同、支付等四个步骤，每一个合同从谈判到签约都要有这些相关部门的人员共同参加，任何一方都有否决权。就算这个招标小组意见一致了，合同部的负责人也有可能否决。同样，合同部过了，总经理也可能否决。总经理刘锡才说，这样严密而又相互制约的程序就是为了安全。你可以买通一个、两个人，但你不能买通整个系统。

问题来了，这样多的环节，漏洞堵住了，效率怎么办？对此，中广核有他们辩证的看法：环节多，一开始的确效率容易低。但是，一旦大家习惯了，一切按程序做，就会一路绿灯，虽然环节多，流程也不慢。相反，如果你有私心，想搞歪门邪道，程序就起作用，就会一路红灯。

中广核的领导都说，企业要算大账，企业最经不起重大不良业务的冲击，多好的企业都会被击垮。程序多是麻烦一点，但企业的健康有保障。

事实说明，没有必要担心中广核因程序复杂而效率低下。中广核的大亚湾核电站创造了安全运行超过1000天的纪录，在与法国电力公司同类机组的安全挑战赛中连续两次获得第一。核电站的安全运行已使中广核持续高负荷发电，年上网电量超过140亿千瓦时，达到国际先进水平。中广核由一个国家没有直接拨款投资的企业，到目前净资产已经超过百亿，而且又滚动发展出一个新的核电站——岭澳核电站。目前该电站一号机组已完成装核燃料，明年7月将正式投入商业运行。

董事长昝云龙说：建立内部控制制度的目的说到底是为了发展，如果企业没有经济效益，甚至亏损，内部控制再严、干部再廉洁也没有意义。

（二）内控制度的保障：全过程监督、独立的审计

中广核内部控制的另一个关键点是独特的审计制度。在人们的印象中，审计就是查账，是事后监督、“秋后算账”。这样，就算查出问题，企业利益也早已受到损害。而中广核的审计最大特点是控制全过程，具体地说，就是监督任何一个部门甚至总经理是否按照程序办事。

中广核审计部门的同志介绍说，审计部把主要力量放在事前和过程审计上，公司超过一定标的的合同谈判，审计部门必须参加，以做到及时防止、纠正违反程序的行为。这样既避免可能给公司带来的损失，同时也能保护干部。比如，有一次，审计部在对某个采购项目进行审计时，发现个别员工违反公司规定，将公司机密泄露给供应商，审计部门及时向董事会提交特别审计报告，提出调整谈判人员并断绝同该供应商的关系，董事会当时采纳。

一般的审计往往审下不审上，因为审计不独立，不得不听命最高行政领导，比如总经理。而中广核的审计的一个显著特点是独立性，它直接对董事会负责。因此，中广核的总经理也是审计部门审计的对象。

刘锡才总经理介绍说，他也几次被审计部门发出纠正通知（在公司内部通称为“卡”）。比如前一段，公司审计部门向总经理发了一张“卡”，质疑总经理，为什么国际市场上另有价格较低的核燃料，而公司却采购了价格高的。这张“卡”被直接提交董事会，总经理接到“卡”必须正面回答这个问题。因为按照程序，所有的“卡”必须要解释或整改，并通过审计部门认可才算完，他们叫做“关闭”。如果一定时间内不“关闭”，审计部门可以发出第二张“卡”。审计部门的最大权力可以让你停职。

核燃料采购是大事，审计当然要管，而且要管到总经理头上。对几十元的小采购，这个每年现金流达数百亿元的企业，审计也不放过。当然，从效率考虑，对小采购不会全过程参与，但事后审计一旦查出问题，处理非常严厉。

在中广核，很多人讲起“笔记本的故事”：公司过节时给职工买笔记本。按正常程序应该“货比三家”，可采购部门的一位副处长没有经这个程序就订了合同。每个笔记本是42元，总金额不到2万元。事后审计部门接到举报，街面上同样的笔记本卖36元。审计部门认为此事不正常，立项审计。虽然没有查出办事人员拿回扣，但查出此事的经办过程违反了程序，因此，这个副处长被撤职。

一共就2万元的采购，就是拿回扣也就是几百、几千，对一个资产几百亿元的企业可以说是鸡毛蒜皮的小事，但审计部门不这样看。他们认为，这个副处长的错误不仅仅在于买了贵的笔记本，而在于破坏了程序。破坏了程序，2万元和200万元的性质是一样的。

（三）中广核引发的深层次思考：现代企业制度的魅力

细想想，中广核的内部控制制度并没有特别高明之处，无非一个是重“程序”，一个是重监督。而中广核的内部控制制度能见效，成功的关键在于它没有像有的企业一样，制度定完了，使命也就完了，而是一丝不苟地按规矩办。监督同样也没有流于形式。

中广核能这样做，究其根源，固然与中广核的行业特点有关，同时，现代企业制度也起了关键作用。

大亚湾核电站是中广核集团公司与香港中华电力公司合资的企业，合资的好处不仅仅是港方从一开始就带来了先进的管理和内部控制制度，而且使中广核从一开始就按照现代企业制度的要求经营和管理企业。

道理很简单，虽然港方的股份只占25%，但是，香港投资者关注他的投资效益。中广核的管理如果不到位，跑冒滴漏，成本升高，投资人的投资效益就下降。因此，由香港投资者参与的董事会对中广核经营层特别是总经理的监督和管理目标就不是虚的，而是实实在在的。总经理有了压力，自然会把压力和监督分解到各个部门，加上审计部门帮助监督，整套制度就容易起作用了。

相反，许多企业之所以董事会起不到董事会的作用，就是在于产权上不明晰，说白了就是没有人真正为资产负责，为投资负责。至少不是那么上心地负责。

因此，任何一项好的制度都不是孤立存在的，建立完善的现代企业制度才是根本。

在中广核采访也有人提出异议，新建的岭澳核电站可是国有独资企业，为什么这套制度也能很好嫁接成功？其实，制度和文化相辅相成。一旦制度成为行为习惯，最终上升为文化，会使制度更好地延续和不走样。实际上中广核的成功就是通过合资，规范行为，进而把它上升为企业文化，从而使制度不再游离于企业之外，而是像血液一样，真正融入了企业的肌体里。

内部控制缺陷及其改进——来自UT斯达康的内部控制案例

内部控制是“一个受董事会、管理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性以及法律法规的遵循性”。由于存在判断错误、决策失误、勾结串通或管理层越权以及成本限制等固有局限性，内部控制并不总是能有效地发挥作用。当内部控制的设计或执行未能及时防止或发现错误或舞弊时，就构成了内部控制缺陷（包括设计缺陷和执行缺陷）。本书以UT斯达康国际通信有限公司为例，通过剖析其内部控制缺陷的影响因素，为我国公司建立和完善内部控制体系提供若干借鉴。

（一）案例介绍与分析

UT斯达康国际通信有限公司（简称UT斯达康）成立于1995年，是一家专门从事现代通信领域前沿技术及产品研发、生产及销售的国际化高科技通信公司。2000年3月在美国纳斯达克成功上市，2003年第三季度因上市以来连续15个季度实现并超过华尔街预期荣获“最具发展潜力奖”，被多家杂志评为“中国管理最佳的十大企业”之一、“全球IT企业100强”、“全球成长最快企业”之一，并赢得“亚洲最佳雇主”、“中国通信业十大外资企业”等多项荣誉；2004年3月入选《财富》11000强企业。然而，2004年第三季度公司利润锐减500万美元，第四季度开始出现亏损。从此，营业收入一路下滑，财务状况日趋恶化，随之而来的是裁员、易帅、摘牌警告、行贿事件、投资者诉讼、战略转型受挫、核心团队瓦解……UT斯达康也从华尔街的明星公司坠落为资本市场的反面典型。这背后的原因究竟是什么？笔者认为，这与UT斯达康在飞速发展与战略转型中的内部控制缺陷有着直接的关系。

1．内部控制缺陷在飞速崛起中萌生

UT斯达康1997年的年营业额仅0．76亿美元。当第一部PAS无线市话（俗称小灵通）在杭州余杭成功试用后，UT斯达康抓住电信改革后中国电信和中国网通进军移动通信市场的需求和机遇，大力发展小灵通业务，从此进入了“无竞争”的细分市场，其销售额也在7年之内增长过百倍。UT斯达康的财务报告显示，公司在1998年年销售总额首次突破亿美元大关；1999年形成规模销售；2001年进军国际市场初见成效，销售总额达6．7亿美元，资产总额近亿美元；2003年一度在终端销售市场上占有70%以上的份额，销售总额高达19．8亿美元，增长率达100%；2004年达到巅峰，完成销售业绩27亿美元，资产总额达33．16亿美元。随着业绩的爆发性增长，UT斯达康的员工数量也在急剧膨胀。从1997年的500人增长到1999年的11100人、2004年的81200人。

UT斯达康的高层团队多为技术人员出身，“制度管理公司”的概念相对薄弱。当UT斯达康近乎100%的年增长速度很快超出了现有内部控制的作用范围时，一系列内部控制缺陷就随之产生了。一方面，业务的飞速增长使公司来不及建立新的政策和程序，导致聘任的员工不具备充分的胜任能力。据UT斯达康2004年内部控制审计报告披露，该公司聘任的财务人员缺乏运用公认会计准则（GAAP）的会计知识，未受过充分的专业训练，这一控制缺陷导致公司在收入确认、成本计量、存货流动、应计费用、期权计算、职责分工以及合并财务报表复核等方面出现一系列问题。另一方面，业绩的快速增长进一步导致管理层对业绩的过分追求，越权问题频频发生。如某地分支机构在未事先上报总部的情况下，与客户签订了本不应签订的附属协议，而该客户是有义务免费为公司提供这一服务的。又如，财务人员在未将交易合同中相关信息及时上报管理层的情况下，把与印度公司合同上的21200万美元收入和近100万美元相关毛利提前确认入账，导致2003～2005年间（11个季度）公司营业收入累计虚增41960万美元，净利润累计虚增11180万美元。

2．内部控制缺陷在战略转型中凸显

单一的小灵通业务在使UT斯达康保持了长达5年之久的高速增长之后，2004年开始下滑：小灵通的市场份额和毛利率分别由2003年的70%和31．7%下降为2004年的53%和22．2%。公司高层预见到，“市场单一、产品单一和客户单一”的经营战略已经不能给公司带来持续的竞争优势，必须迅速向多元化战略转型（包括业务领域多元化和区域市场多元化）。从此，UT斯达康开始了一系列的多元化扩张。一方面，2003～2004年UT斯达康先后收购了韩国现代旗下的CDMA设备供应商Hyundai Syscomm公司、3COM的Comm Works子公司、加拿大CDMA无线网络设备制造商TELOS公司和美国Audiovox通信公司（ACC）的CDMA手机终端业务，以期快速进入手机业务和CDMA2000领域，尤其是3G和IPTV（网络电视）业务。为配合战略转型，UT斯达康相继以21400万美元的价格将芯片设计部门出售给迈威尔科技信团，以51690万美元的价格把持有SBCH公司10%的股份出售给日本软银，并将50亿元人民币现金以及银行提供的80亿元融资额度全部投入“陌生”的IPTV业务。另一方面，UT斯达康积极向全球扩张，先后在美国、中国、印度、韩国等国建立了10多个研发中心，在美洲、欧洲、日本等地区建立了广泛的分支机构。截至2006年3月，UT斯达康的产品和服务已遍布全世界30多个国家和地区。

急速的扩张不可避免地使UT斯达康出现了“巨人症”——公司在治理、整合和控制能力等各个方面难以随市场的高速发展而跃升，内部控制面临巨大挑战。具体表现在：①2004年，由于公司未能按照美国公司的管理体制，对海外营业收入确认进行集中的检查、分析与控制，导致一笔190万美元的交易出现问题。②缺乏对所有重大关联方及其交易及时确认的有效控制，以至于没有按照美国公认会计原则（GAAP）的要求在合并财务报表中进行适当反映。③没有形成充分的、正式的和一贯的财务会计政策和程序，不能及时发现违反现有政策和程序的事件。④没有对各地分支机构及客户处的存货余额进行详细调查与核对，导致2005年合并报表中销售成本、相关存货及递延成本账户的报告错误。⑤缺乏对市场环境的充分认识以及对自身资源和能力的客观估计，大量处置投资和盲目下注恰恰反映了其战略控制的短板。

3．内部控制缺陷在财务呈报中曝光

随着小灵通业务的急剧萎缩与战略转型的受挫，UT斯达康的销售业绩与财务状况不断恶化。雪上加霜的是，因屡屡延期提交财务报告而面临纳斯达克一个又一个的摘牌警告：2004年7月28日，因晚一天发布财务报告引起投资者恐慌，当天股价下跌29．31%；2005年4月5日，也因推迟发布财务报告面临被摘牌的可能，并从4月7日起，其股票交易代码从原来的四个字母“UTSI”增至五个字母“UTSIE”，以提醒投资者注意；2006年3月20日，UT斯达康再一次收到纳斯达克的摘牌警告；2007年3月13日、5月16日和8月13日，UT斯达康又连续三次接到摘牌警告。

财务状况不佳与财务报告屡屡延期，充分暴露了UT斯达康的财务混乱与控制不力。普华永道在为公司2005年年度报告出具的审计报告中，一针见血地指出了UT斯达康在控制环境、所属单位监控、关联交易、财务人员胜任能力等多个方面存在内部控制缺陷。

（二）几点启示

1．重视内部控制的环境适应性

UT斯达康以近100%的年增长速度连续四五年成为华尔街的宠儿，之后却沦为资本圈市场的反面典型，重要原因之一是内部控制没有随着公司的发展变化而及时调整。Kinney and McDaniel（1989）的研究表明，公司成长过快可能会超出其内部控制作用的范围，因此公司需要花时间来建立新的政策和程序，并需要配备相应素质的人力资源在管理和技术等方面与之相匹配。根据权变理论，环境（包括内部环境与外部环境）的变化会给现有的内部控制带来困难，从而使以前各种有效的内部控制的适用范围十分有限，例外情况越来越多。因此，公司要重视内部控制的环境适应性，根据成长速度、经营复杂程度等因素及时调整和完善内部控制制度。

2．重视内部控制的战略目标

UT斯达康曾一度被称为“擅长战略定位和战略调整”，为什么暴露出来的诸多问题恰恰又集中呈现在其战略定位和战略选择上呢？问题主要是在内部控制的战略短板上。《企业风险管理——整体框架》明确指出：战略目标是内部控制的最高层次目标；内部控制在应用于实现财务报告的可靠性、法律法规的遵循性以及经营的效率和效果三个目标的过程中，也应用于公司的战略制定，并从总体层面上实现对风险的识别与控制。因此，公司要重视内部控制的战略目标，从总体层面上实现对风险的识别与控制。

3．重视内部控制的“人格化”问题

与其他公司一样，UT斯达康也建有一整套内部控制制度，但为什么没有起到有效的作用呢？一个重要的原因就是没有很好地解决内部控制制度的“人格化”问题。内部控制制度的“人格化”问题是指内部控制制度要明确各责任人的责权利关系，使他们积极主动地执行内部控制制度。只有实行内部控制制度的“人格化”，才能实现对“人”的有效控制，进而达到对“物”的有效控制。

本章小结

本章阐述了内部监督的概念和类别：持续性监督活动是日常的监督活动主要涉及日常活动中获得内控执行的证据等，包括七个方面；专项监督是指独立评价，是内部审计、监察等部门从独立性角度出发，对内控系统进行审核的过程，主要关注的是系统的设计和运行的有效性。独立评价内容包括评价范围和频率、评价主体、评价过程、评价方法、书面记录、行动计划。

持续监督与独立评价两者关系是，内部控制系统通常是组织完善的系统，在某种程度上持续地监督其自身的活动，内部控制系统持续性监督的有效性程度越高，对单独评价的需要程度就越低，管理层为了合理地确认内部控制系统的有效性所必须进行的单独评估的频率，取决于管理层的判断。

对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。按影响内控的程度分为重大缺陷、重要缺陷和一般缺陷。

内部控制自我评价是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评价的方法；结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。自我评价的方法有引导会议法、问卷调查法和管理结果分析法。内部控制自我评价的优势使企业内部审计更有效率与效果。

本章的重点与难点：独立评价内容，内部控制自我评价的方法，以及二者的区别。

复习思考题

1．什么是内控监督？有哪些种类？

2．什么是日常监督和专项监督？包括哪些内容？二者有什么联系？

3．什么是内部控制缺陷？如何整改？

4．什么是内部控制自我评价？包括哪些内容？主要方法是什么？

5．内部控制自我评价与独立评价的区别在哪里？