2.1　内部控制的内涵

2.1.1　内部控制的定义

我国对内部控制的定义几经变迁，经历了从无到有、范围逐渐扩大、科学严谨性不断提升的发展过程。2008年6月，我国财政部等五部委发布的《企业内部控制基本规范》指出，“内部控制是企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。由此可见，我国对于内部控制的定义主要借鉴了COSO报告的精神。

为了更好地理解这个定义，我们有必要对这一含义作进一步的说明。

1.全员控制

内部控制的主体是企业的内部人员，即内部控制来自企业的内部需求。如果控制者来自企业组织外部，那么由其对企业实施的控制就属于外部控制，如税务控制、政府审计控制等。在内部控制过程中，内部控制强调全员参与，其主体涵盖了企业内部各部门、各单位、各岗位。上至最高负责人，下至各部门负责人乃至各岗位员工，都应积极参与到企业的内部控制当中，充分体现“全员控制”的精神，落实“人人有责”的理念，以主人翁的姿态积极参与内部控制的建设与实施，并主动承担相应的责任，而不是被动地遵守内部控制的相关规定。

2.全面控制

内部控制是一种全面的控制。一方面，它包含企业的所有事务和全部层级、环节，体现着多重控制目标的要求。即确保企业遵循了国家有关法律法规的规定，没有进行违法经营；保护资产的完整、安全，并对资产继续有效使用；保证财务及管理信息的可靠性并能够及时提供；保障企业经营活动的有序进行、做到资源优化配置，使得企业达到更大的获利目标等。另一方面，内部控制不仅是一种防弊纠错的机制，而且是一种经营管理方法，是一种为多目标的实现而进行的全面控制。内部控制的全面控制是从横向角度为企业实现控制目标搭起了一道无形的网。

【案例2-1】

谁动了我的存单？

——齐鲁银行高额骗贷案10

齐鲁银行，原名济南市商业银行，总部设在山东省济南市，在济南市原16家城市信用社和1家城信社联社的基础上组建而成，是山东省成立的首家地方性股份制商业银行。

2010年12月6日，山东省某单位发现其在齐鲁银行账户中的3000万元被转走，查证过程中，齐鲁银行发现其持有的“存款证实书”系伪造，遂报警。齐鲁银行“12·06”特大伪造金融票据案由此拉开帷幕。

公安机关果断采取措施，将主要犯罪嫌疑人上海全福投资管理有限公司董事长、总经理刘济源及其他犯罪嫌疑人抓获归案。经公安机关初步调查，犯罪嫌疑人刘济源通过伪造金融票证多次骗取资金，涉及一些金融机构和多家企业。

起初，刘济源为齐鲁银行高息揽储，将国企资金揽至齐鲁银行作为定期存款，将该存单抵押贷款，即所谓的“第三方存单抵押贷款”，贷款获得的现金再去存款，循环往复。刘济源将贷来的款项拿去投资，涉案企业获得10%—15%的补偿金，企业领导则获得约1%的好处费，同时银行可以做大存贷款规模，三方获利。初始入库的存单可能真实，经出库再入库的存单就有很大水分，他与齐鲁银行业务经理傅人永勾结开具了假存单，以此帮助这位经理实现高业绩。

一开始刘济源的投资得心应手，从银行套取的贷款往往都能如期归还，并且数年没有被发现。但一旦其资金链陷入紧张，在定期存款到期、后续资金未跟上时，刘济源不得不四处协调，勉强维持，成为“拆东墙，补西墙”的资本游戏。最终，这个骗局败露。此案涉案金额超过100亿元。

从全员控制的角度分析，齐鲁银行会变成刘济源骗取巨额贷款的“提款机”的原因在于：齐鲁银行高层出现“内鬼”；齐鲁银行基层员工失职；齐鲁银行的员工面对自存单，缺乏较强的辨别能力；涉案企业内部人员贪图利益为刘济源“护航”。刘济源用来骗取贷款的假存款证实书上竟然存在企业真印鉴。2010年11月12日，刘济源联系正德人寿存入齐鲁银行5亿元。当晚，刘济源将来济南办理存款的正德人寿员工灌醉，窃取了其公司印章，加盖在他事先伪造的单位定期存款开户证实书和定期存款提前支取手续上。齐鲁银行案案发三天后，涉案的中国重汽集团总会计师突然辞职；另一边，涉案的原淄博矿业集团董事长马厚亮也被司法调查。刘济源和涉案企业合谋骗贷的可能性也初露端倪。

因此，内部控制不只是企业管理层的工作，更是企业全体工作人员的责任。即使是

一人的疏忽或蓄意盗取，如果缺乏有效的全员控制，那么再完善的内部控制系统都会失效，给企业带来巨大损失。

但是我们应该清楚地认识到，内部控制只能为上述目标的实现提供“合理保证”而非“绝对保证”。这是因为，首先企业目标的实现不仅取决于企业自身，而且深受外部环境的影响；其次内部控制固有的局限性也决定着它不可能成为“绝对保证”。所谓“合理保证”意味着内部控制制度的设计和执行并不代表可以“包治百病”，更不意味着有了内部控制的企业就可以“万事无忧”。但相对于缺乏内部控制制度或内部控制制度实施不利的企业而言，具有内部控制制度或内部控制制度执行良好的企业经营起来会更有效率。

3.全程控制

内部控制是一个动态的过程，它是企业依据环境的变化，制定相应的控制措施，再通过信息反馈进行纠错的过程。从整体控制看，包括制度设计、制度执行和制度评价（即对制度设计和执行情况的检查）等阶段，它们彼此间相互配合、层层递进，共同构成了一个闭合的良性循环系统；从业务控制看，一般应采取事前控制、事中控制和事后控制等措施，以确保控制的严谨性。

内部控制是一种全程控制，即它是一个完整的内部控制体系。内部控制的全程控制通常以流程为主要手段，包括流程的设计、执行和监督评价，但又不仅仅局限于流程。企业要有效地实现全程控制，必须优化与整合企业内部控制流程。内部控制的全程控制是从纵向角度为企业防范和管理风险竖起了一面牢固的墙。

【案例2-2】

中国石油抚顺石化三年亏187亿元新总经理炮轰内控黑洞11

有八十多年发展历史的中国石油抚顺石化公司，近几年来一直在与亏损做斗争。2011—2013年，抚顺石化累计亏损额达到187亿元，其中2012年亏损60亿元，成为中石油下属炼化企业中亏损最为严重的企业。

在目前国内炼化产能过剩的形势下，抚顺石化巨亏有外部市场因素，但是更多的原因则来自企业内部管控问题。在这个员工总数三万多人的炼化企业中，仅管理人员就占到员工总数的五分之一，而管理效率却没有体现出来，随处可见的是设备负荷低下、采购煤质不达标、加热炉热效率低、各种“跑冒滴漏”等现象。这引来了抚顺石化新任总经理李天书的追责。消息人士告诉记者，在今年5月召开的公司生产视频会上，李天书就煤

炭采购方面出现的问题直斥：“相关人员该当何罪？”资料显示，为抚顺石化供应电力、热力的抚顺石化公司热电厂的煤炭多年来一直存在煤质不达标的问题。

另外，2013年6月，国家审计署发布的中国石油2012年年度财务收支审计结果也显示，2010—2012年，中国石油所属抚顺石化分公司投资22.35亿元的热电厂扩建项目未经核准，且使用工艺不成熟，导致8751万元国有资产面临损失。

虽然中国石油抚顺石化设置了内部控制制度，但是却把它当作摆设，并没有在实际实施中进行动态调整，进行相关的监督评测，使得内部控制制度虚有其表，造成了如今巨额亏损的恶果。

2.1.2　内部控制的本质

企业内部控制的本质与企业组织关系有着密不可分的联系。简单地说，企业内部控制就是为了维护企业组织内部相关各方的利益关系而存在的，它要求相关各方按照预先设定的规则行事：一是规则本身就是控制；二是只有保证规则充分实现，规则的目标才能达成；三是由于规则归根结底是由人执行，为了促进执行者执行规则的主动性和积极性，需要建立激励机制。由于企业的组织关系存在契约关系与科层关系两种形式，因此内部控制的本质也从制衡、监督与激励三个侧面得以体现。12

1.内部控制的本质之一：制衡

内部控制的发展最先经历的是行为人层面控制的内部牵制阶段，内部牵制是指在处理每项经济业务时，规定由两个或两个以上的工作人员参与，相互制约，以防发生错误或舞弊的措施。企业组织在设立时会形成一种契约关系，此时所形成的企业内部控制的本质是制衡。内部控制应当使企业在治理结构、机制设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾营运效率。

企业在制定内部控制制度时要体现制衡的本质。对此，企业可以从以下几方面入手：

第一，完善企业治理结构是制约企业经营者行为的有效机制。一方面，要严格遵循不相容职务分离的原则，将董事会与经理层、董事长与总经理分开设置；同时要严格甄选监事会中的监事人员并充分发挥监事会的监督职责。另一方面，务必在企业中建立“三重一大”事项实行集体决策的机制，杜绝“一言堂”“一支笔”“大哥文化”等独断专行的现象。

第二，正确处理企业的机构设置和权责分配，从根本上杜绝舞弊行为的发生。企业应仔细斟酌并谨慎处理企业的机构设置和权责分配问题，从制度上明确不相容岗位，并在实践中务必坚决分开采购与验收、会计与出纳等不相容岗位，使岗位间在日常工作活动中发挥相互制约的作用。

第三，重视企业的业务流程划分。不相容职务的分离还体现在具体的业务流程的划分上，例如，在办理资金业务过程中，现金和银行存款管理的有关规定严禁将所有印章、票据集中由同一人保管，也不允许由一人办理货币资金全过程业务。因此，企业应当充分重视业务流程划分，注重实效，采取既定制度与灵活措施相结合的方法，加强业务流程监管，充分发挥制衡性作用。

【案例2-3】

阿里巴巴与“两千大盗”13

2011年2月21日，阿里巴巴的一则公告，同时引出“诈骗事件”与“高管引咎辞职”这两个爆炸性事件。

据了解，阿里巴巴B2B公司发现，从2009年开始到2010年，有关该公司在国际交易市场上欺诈的投诉时有发生。B2B公司董事会为此委托专门的调查小组进行调查，查实2009年与2010年两年间分别有1219家（占比1.1%）和1107家（占比0.8%）的“中国供应商”客户涉嫌欺诈。

在调查环节中，有迹象表明B2B公司直销团队的一些员工为追求高业绩、高收入，故意或疏忽而导致一些涉嫌欺诈的公司加入阿里巴巴平台。先后有近百名销售人员被认为负有直接责任，这些人员将按照公司制度接受包括开除在内的多项处理。

因为这一事件，阿里巴巴B2B公司CEO兼总裁卫哲和COO李旭晖引咎辞职，淘宝网CEO陆兆禧接替卫哲的职务，支付宝CEO彭蕾将兼任阿里巴巴集团CPO职务。

事后，公司拿出170万美元对2249名受害者进行赔偿。

公司董事局主席马云表示：“诚信是阿里巴巴最重要的价值观之一，这包括我们员工的诚信，以及我们为小企业客户提供一个诚信和安全的网上交易平台。任何违背我们文化和价值观的行为都不能接受。”

阿里巴巴内部控制管理失效的原因之一在于其违背了制衡性原则。相互制约是建立和实施内控的核心理念，更多地体现为不相容机构、岗位或人员的相互分离和制约。从结果来看，首先，阿里巴巴的内控危机始于董事会。董事会没有采取有效的针对性举措。董事会完全可以责成经营层加强对这类客户的信用审查，以不相容职务分离控制为原则，以预防性控制与发现性控制相结合的方法，指派专人进行抽查，进而防止这类欺诈的发生；同时借助审核委员会定期听取这类客户风险发展的趋势评估报告，并采取针对性举措来进行控制，而不是两年后在“3·15”晚会上展示公关秀。其次，阿里巴巴管理层存在失职。关键管理流程仅是一纸公告，销售人员互相串通，导致有效的认证体系失灵；重大风险没有进行分类管理；投诉问题异常未能引起管理层重视。综上所述，在管理层和企业运行过程中忽视制衡性，导致阿里巴巴本次危机的产生。

2.内部控制的本质之二：监督

内部控制的监督是指通过内部审计或内部控制评价来监督内部控制的建立是否合理并完善，执行是否有效。监督可以确保内部控制制度持续有效地运作。

《企业内部控制基本规范》第四十四条指出：“企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。”

在现代企业制度下，监督是有效治理由委托代理而产生的道德风险与逆向选择问题的有效方式，因此企业在内部控制过程中应积极开展日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查，它实际上就是持续监控活动。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一方面或者某些方面进行的有针对性的监督检查，与个别评价的概念相当。日常监督与专项监督的相互结合有助于企业正常运作时规避不必要的错误，防止失误积少成多，铸成大错；有助于企业某方面发生重大变化时避免暗箱操作，预防中饱私囊、趋利避害。同时，企业应当定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。

制衡和监督之间有着天然的关系，表现为没有制衡，监督就难以有效地发挥作用。这主要反映在两个方面：

（1）制衡是解决监督体系中最高权力者无法监督问题的唯一途径，而这一问题不被解决，监督体系有可能完全或部分失灵。监督的特征是必须依靠高层次的权力监督低层次的权力，而最高权力者则无人可能再监督。既然不能用再监督的方式，就只能选择制衡的方式，也就是在最高权力层次实行分权而治，形成分权主体之间的相互制约或相互牵制。只有通过分权而治使最高权力主体的运行合理有效，依科层体系而形成的监督体系才能合理、有效。

（2）监督的效率往往也受制于制衡的有效性。在公司制企业中，一方面，各投入要素的主体之间相互制衡，可以减少各要素主体侵蚀其他要素主体的行为，从而可以减少监督的必要；另一方面，不同要素投入主体内部的相互制衡，也会减少不同要素投入主体内部各成员侵蚀其他成员的行为，从而降低监督成本，提高监督效率。

【案例2-4】

邯郸农行金库被盗案回放14

2007年4月14日14时许，河北省邯郸市农业银行金库发现一起特大盗窃案，被盗现金人民币近5100万元。5100万元巨款，堆在一起是什么感觉？就算都是百元大钞，叠在一起也有50米高，总重量将近两吨，可是，这笔谁都没办法一下搬动的巨款，居然从

河北省邯郸市农业银行的金库里消失得无影无踪。这起银行盗窃大案，震惊全国，当中的种种细节波云诡谲、迷雾重重，如此离奇的案件究竟是怎么发生的？银行严密的保卫措施怎么会如此不堪一击呢？

根据公开信息，任晓峰和马向景两名犯罪嫌疑人，分别掌握着两把金库的钥匙，他们不断地打开金库的大门，偷走巨额现金，但让人疑惑的是，从2006年11月到2007年4月，在长达5个月的时间里，金库的现金被偷走了近5100万元，可农业银行邯郸分行竟然没有检查出来。

那么，按照规定，银行的金库应该多长时间检查一次呢？记者首先找到了《全国银行出纳基本制度》，这一制度虽然明确规定“各行必须建立查库制度”，但它没有标明具体的查库时间，那么农业银行的金库究竟应该多长时间检查一次呢？记者又找到了《中国农业银行出纳柜员制管理办法》，记者看到，这一办法明确规定“营业单位坐班主任每月至少不定期查库三次；主管行行长每半年至少进行一次全面查库”。根据这条规定，记者发现，在任晓峰不断偷盗的5个月里，本应进行的15次查库形同虚设，但是面对这样明显的金库监管漏洞，农业银行邯郸分行提都不愿意提。

在农业银行邯郸分行，不仅每10天进行一次的查库形同虚设，而且金库的监控系统更像是没用的摆设。邯郸农行工作人员说：“一个是监视库房的监控录像未录下来，再一个是我们内部的监控系统坏了。”

从案发前后的众多迹象不难发现，这家银行金库的防护简直形同虚设，金库几乎就变成了两个盗贼自家的保险柜。有专家认为，此次邯郸农行巨款失窃案的发生与过往的类似惊天大案一样，一个共同的原因就在于，银行内部的资金管理部门之间缺乏制约和监督，存在明显的盲区。

3.内部控制的本质之三：激励

激励是指组织通过设计适当的外部奖酬形式和工作环境，以一定的行为规范和惩罚性措施，借助信息沟通，来激发、引导、保持和规划组织成员的行为，以有效地实现组织及其成员个人目标的系统活动。

内部控制的产生源于要解决委托代理问题带来的弊端，其中要解决的核心问题就是信息不对称。除了通过监督的方式，我们还可以采取激励机制解决决策人与执行人之间的信息不对称问题，如对经营者实行股票期权或年薪制等，使执行人能够主动有效地执行决策。因此可以说，激励也是内部控制的本质之一。

企业可以运用物质激励、精神激励、荣誉激励和工作激励等方式进行员工激励，激发员工发挥主观能动性，积极防范和控制其身边所存在的风险。实际上，《企业内部控制基本规范》第八条也作出规定，企业应当建立对内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。同时，可以运用公司独有的企业文化，使员工对公司怀有强烈的成就感和归属感，激励他们为企业的风险管理作出更大的贡献。

【案例2-5】

沃尔玛独特的员工激励文化15

世界零售巨头沃尔玛公司创始人山姆·沃尔顿，早在创业之初就为公司制定了三条座右铭：“顾客是上帝”“尊重每一个员工”“每天追求卓越”。

山姆·沃尔顿总结了“事业成功的十大法则”，并常常与经理们和同仁共勉。这十大法则分别是：忠诚你的事业；与同仁建立合伙关系；激励你的同仁；凡事与同仁沟通；感激同仁对公司的贡献；成功要大力庆祝，失败亦保持乐观；倾听同仁的意见；超越顾客的期望；控制成本低于竞争对手；逆流而上，放弃传统观念。

上述十大法则中有七条是关于员工关系的，可见沃尔玛把员工关系放到何等重要的地位。沃尔玛较少有等级森严的气氛，从创始人山姆·沃尔顿起，他就乐意和员工在一起，谈论一些问题或发表演讲，把自己所倡导的价值观念传输给员工。到今天，沃尔玛的各级管理人员依然贯彻着企业传统文化，经理人员被认为是“公仆领导”。沃尔玛公司规定对下属一律称“同仁”而不称“雇员”，沃尔玛所做的一切也充分体现了对人的尊重。尊重个人，是沃尔玛的企业文化。在沃尔玛，“我们的员工与众不同”不仅是一句口号，更是沃尔玛成功的原因。它真正的含义是，每位员工都很重要，无论他在什么岗位都能表现出众。“我们的员工与众不同”这句话就印在沃尔玛每位员工的工牌上，每时都在提升员工的自豪感，激励员工做好自己的工作。

沃尔玛员工从进入公司的第一天起就受到“爱公司如家”的思想熏陶。沃尔玛制定了与员工分享经营成果、分担经营责任的政策，使员工产生责任感和参与感，通过利润分享、员工购股、低耗奖励等措施来调动员工的积极性。为激发员工的活力与激情，每周六举行一次别开生面的例会，在活泼、愉快的气氛中表扬先进、发现问题、讨论解决问题的方案。公司还经常邀请社会名人、当红演员、NBA球星等来参加晨会，激发与会者的兴趣。另外，沃尔玛还非常重视对员工的培养与教育，利用业余时间在总部和各级商店开设各类培训班，并专门设有沃尔顿学院，为沃尔玛培养高级管理人员。

沃尔玛在员工关系与员工激励方面的举措，应当是其最具远见的举措，也是沃尔玛成为世界第一零售巨头的关键。