基于成本效益原则的企业内部控制问题研究

穆会军

一、引言

目前,国内外一些企业监管机构都相继出台了关于企业内部控制的政策规范,强化企业内部控制已日益成为世界各国提高公司治理水平的重要手段（李万福等,2011）。然而，调查发现,我国上市公司在内部控制规范体系实施过程中却暴露出非常突出的问题，即有些企业虽然根据国家出台的企业内部控制规范标准并结合企业自身的经营特点和管理要求设计了企业内部控制制度，但是，对于企业内部控制制度的执行却流于形式，甚至有些企业内部控制制度在执行中形同虚设。赵立新，胡为民（2011）在对我国沪、深两市1267 家上市公司执行企业内部控制情况进行调查后发现：有92%的上市公司对企业内部控制建设的重要性有认识；有80%的上市公司重视企业内部控制建设；但是，却有59%的上市公司的企业内部控制没有实现预期的执行效果。为什么制定企业内部控制制度容易，而有效实施却变得很难呢？研究发现，企业内部控制的执行者缺乏足够的执行动力是导致企业内部控制执行无效的根本原因。国家出台的企业内部控制规范体系是适用于各种企业的通用标准，这种通用标准的制定缺乏对标准执行者（企业的管理者）以及他们行为的深入思索（林钟高，郑军；2007）。作为“理性人”，人们对某项行为作为和不作为，总是基于对这项行为所能带来的效益和这项行为所产生的成本之间的权衡，企业设计和执行内部控制时，对于管理者而言，同样面临着对执行成本和预期效益的权衡问题。本文从企业内部控制执行者的角度出发，对企业执行内部控制的遵循成本和其他间接成本进行归纳，对企业执行内部控制的预期效益进行分析，并根据成本效益原则解析企业执行内部控制的动态演进性，为企业科学、有效地执行内部控制规范提供借鉴和参考。

二、企业内部控制研究现状述评

内部控制最初从拉丁语“contrarotulus”派生而来，意为“对比宗卷”。它起源于古罗马时代对会计账簿实施的“双人记账制”。在国外，有Ashton（1974），Mork 和Tumer(1981)，Niehols(1987)，Cashell(1996)等从企业外部审计角度对企业内部控制进行研究，他们重点关注企业的特定循环、过程和交易层面的企业内部控制；有Powe(1997),Eilifseneta(1999)等从经济学视角研究企业内部控制，强调不同控制机制之间的均衡与效率；有Rotch(1993),Ouehi(1979),Flalnholtz(1983)等从组织理论角度研究企业内部控制，强调单位内部部门的管理控制。在我国，纵观企业内部控制研究，经历了从对国外理论成果的介绍逐步转向对我国实际情况的阐述的过程。例如，阎达五，杨有红（2001）提出采取双管齐下和分两步走的战略建立内部控制框架；刘明辉，张宜霞（2002）利用系统论和新制度经济学理论探讨内部控制的内涵；朱荣恩，应唯，袁敏（2003）从美国SOX 法案404 条款出发，对财务报告内部控制有效性评价进行研究；杨雄胜(2005)从经济学、管理学、审计学等相关理论入手研究企业内部控制；林钟高和郑军（2007）引入契约经济学，杨周南和吴鑫(2007)利用工程学，许新霞和王学军(2007)从委托代理理论的角度分别对企业内部控制进行了研究。综合分析国内外相关文献，虽然关于企业内部控制的研究非常多，但是，研究的内容相对来看却比较单一，主要集中在对内部控制的基本概念，基本框架，控制环境，控制要素以及效果评价和审计鉴定等问题的研究；研究目标更多的侧重规范标准的制定，而不在于企业应该如何有效地实施。也就是说，人们关注的焦点一直以来主要在于企业内部控制规范体系的构建上，并且，目前我国已经形成了法定的执行标准体系。但是，我们又不得不面对一个现实，那就是再好的内控标准也必须要由人来执行。这里的“人”，虽然从理论上说包括企业董事会、监事会、经理层以及全体员工，但主要是企业的管理者。现有的企业内部控制研究对内部控制执行者及其行为的关注远远不够，因此，无法从根本上解决企业内部控制的有效执行问题。

三、企业内部控制的执行成本

企业执行内部控制就会不可避免的在首次执行期间和以后期间发生直接遵循成本以及其他成本，并且，执行企业内部控制发生的成本同样遵循边际成本递减规律。直接遵循成本具体包括因企业原来没有内部控制体系，或者虽然拥有却未能妥善维护，因企业对国家出台的内部控制规范体系做出的规定不够了解，或企业内部控制建设工作计划或设计不够科学等原因造成的重复工作或浪费；因企业内部控制所需的财务和时间计划不足，出现重新测试、改善和布点循环，缺乏内部控制文档及储存流程，外包以及时间紧迫所造成的审计和咨询费用的提高，软件和信息系统的一次性投入等原因导致的相关成本的发生。美国财务经理协会（FEI）2005年对217 家收入超过50 亿美元的企业进行了调查，结果显示，实施404 条款的每家公司平均首次遵循成本为365万美元，其中134万美元为内部成本，172万美元为外部成本，13万美元为审计费用，额外的审计费用超过财务报表费用的57%。除直接的遵循成本之外，企业执行内部控制还存在着间接成本，比如因转移了管理者的注意力使得运转效率下降，影响公司竞争力；扭曲了管理者的激励和投资决策；减少了公司的风险承担行为；增加了公司的诉讼风险；提高了通过证券市场募集资金的成本等(Ribstein &Butler，2006)。值得注意的是，企业在实施内部控制的首次执行年度会由于控制制度、维持文件的首次建立，培训、测试、更改等额外支出的增加使得遵循成本增大；但是，在后续年度里，由于企业已经建立了有效的框架，不像首次执行那样建立很多控制点、更改流程或业务活动，同时由于企业员工的熟悉程度得以不断增强，减少了对时间或人员的需求；时间压力得到释放，咨询费用也会得以降低等，都会使以后年度的内部控制遵循成本逐年下降。尤其是，随着新的规范习惯的逐渐形成，原来因实施新的内部控制规范而产生的在员工之间、部门之间以及企业与客户之间的不适应或抵触情绪逐渐消失，由此而产生的摩擦成本也会逐步降低直至消失。

四、企业内部控制的预期效益

根据我国《企业内部控制基本规范》第三条的规定，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。可见，蕴含在基本规范中的一个重要主题是内部控制可通过其一系列的制度安排来提高企业经营效率和效果，促进企业实现发展战略。也就是说，可以合理的认为，只要企业执行了内部控制规范，合理的保证了企业安全、企业的资产安全、企业的信息安全，提高了企业的效率和效果，就能够实现企业的发展战略，能够实现企业可持续发展。但是，企业因执行内部控制规范使经济效益提高了多少，至今在理论界和实务界尚不能精确计量；实务中也很难区分企业的利润总额中到底有多少是属于因实施企业内部控制而带来的。人们对于因实施企业内部控制而产生的预期收益的认知，往往是通过消极对比而得到的。通常，人们提到的一些成功公司的成功之道时，很少有人认为有“内部控制”的一份功劳；反而在各种公司失败的案例中，却大都会提到内部控制缺失或不力是一大原因，内部控制似乎是一个与成功无缘而只与失败相伴的管理制度（杨雄胜，2006）。尽管如此，企业的所有者和管理者往往却能从别的企业的教训中认识到自己企业实施内部控制的必要性和价值。并且，虽然在企业管理者心目中，实施企业内部控制的预期价值能有多大不能量化，却能够感受，关键取决于对自己公司所面临的控制风险的评价，评估的风险越高会认为企业实施内部控制的价值越大。总之，实施企业内部控制规范将会给企业带来的预期效益并不像执行企业内部控制发生的成本那样让企业管理者感到很直接，企业执行内部控制带来的预期效益更多的是管理者对因不执行内部控制导致错弊发生或经营失败案例的一种对比后的感觉。事实上，企业内部控制制度本身并不能产生经济效益，它是通过对企业流程梳理而使企业经营效率提高，通过对资源重整而产生综合的效率和效果的（陈宋生，2011）。

五、企业内部控制的成本效益分析

诚然，作为“理性人”的企业管理者，在执行企业内部控制时必然会权衡由此项活动而产生的成本和由此项活动而带来的效益，当认为预期收益大于成本时，就会重视企业内部控制，反之，则会选择轻视或放弃。因此，很容易理解“缘何企业的内部控制制度在设计和制定层面都没有问题，而执行起来却大打折扣”这一现象。原因就在于，国家以法律文件的形式发布统一的内控标准，并要求企业必须执行，不执行本身就是对有关法律法规的违背；而执行的最直接形式就是制定企业内部控制制度，并且单纯从企业内部控制制度的制定来看，成本并不是很高，如果不制定的后果却很严重，企业当然会选择制定。然而，制定了企业内部控制制度并不等于企业就有效地执行了企业内部控制制度，真正要执行的话，会让企业管理者马上感受到由此而产生的遵循成本和其他间接成本，而执行企业内部控制制度究竟能给企业带来多大的效益，却要看企业管理者对企业内部控制风险的评估情况。目前，我国沪、深两市86%的上市公司对自身的企业内部控制水平表示满意，79%的上市公司认为“因内部控制失效导致的经营失败不会发生在本公司”，但是，有95%的上市公司认为“因内部控制失效导致的经营失败会发生在其他公司”。这种对自身内部控制水平的“高估”和对其他公司内部控制水平的“低估”充分体现了我国上市公司管理者对内部控制风险的认识存在严重的偏差（赵立新，胡为民；2011）。也正因此，就使得我国上市公司管理者在执行内部控制制度时总是缺乏动力，究其根本，在他们心目中成本大于效益。另外，由于企业内部控制的本质属性是一种持续均衡利益关系的契约装置（林钟高，郑军；2007），这样就致使企业内部控制的演化呈现出“点状均衡”，也就是说，当企业管理者估计的预期收益（不执行内控的风险）小于执行成本时，将会怠于执行；当企业管理者估计的预期收益（不执行内控的风险）等于执行成本时，可执行可不执行；当企业管理者估计的预期收益（不执行内控的风险）大于执行成本时，会选择有效执行。这也正是美国“安然事件”为何能催生《萨班斯法案》(SOX 法案)，2008年全球金融危机爆发后为何再次使强化企业内部控制建设成为国内外企业研究的热点问题的重要原因。

六、结论

企业内部控制的有效实施包括有效设计和有效执行两个环节。如何使企业内部控制的设计和执行做到科学、有效，关键在于作为“理性人”的企业内部控制执行者，即企业的管理者，能否对执行企业内部控制而产生的遵循成本和预期效益进行合理的衡量，重要的是对企业自身内部控制风险的评估。企业要发展总会有风险，有风险并不可怕，可怕的是对风险没有知觉，不能正确认识和评价风险。因此，提高企业对风险的识别和评估水平，增强企业管理者的风险防范意识，是保证企业内部控制有效实施的重要手段。

[1]陈汉文,张宜霞.企业内部控制的有效性及其评价方法[J].审计研究,2008，（3）.

[2]杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008,(3).

[3]杨周南,吴鑫.内部控制工程学研究[J].会计研究,2007,(3).

[4]杨雄胜，内部控制研究新视野[J].会计研究，2005.（7）.