企业内控制度执行失效的人力资本视角分析

摘要：企业内控制度执行失效近年来日益突出，八个方面都存在人力资本原因：在内部环境上风险管理意识分布失衡；在目标制定上缺乏风险控制意识；在事项识别上选择性认知强烈；在风险评估上主观估计多于客观估计；在风险反应上偏重事后反应；在控制活动方面缺乏反馈机制；在信息和沟通方面缺乏量化和交叉验证；在监控方面缺少持续监控。文章针对这八个方面的人力资本原因提出了解决思路和相应对策。

关键词：企业内控制度；执行失效；COSO；风险管理；人力资本

中图分类号：F406 文献标识码：A 文章编号：1009-2374（2014）29-0160-03

随着我国企业管理水平日益国际化，企业内控管理的地位与重要性日益提高。但是，近年来我国企业内控管理制度执行失效的案例此起彼伏，例如三九集团的财务危机、华源集团的信用危机、澳柯玛大股东资金占用、中航油的金融衍生工具投机、南方航空的委托理财、国储局的铜期货投机、三鹿奶粉的质量危机等。纵观这些惨痛的教训，主要问题并不是这些企业缺少内控管理制度，而是内控管理制度执行失效。本文拟从人力资本的视角切入，按照COSO风险管理框架的八个要素逐一论述企业内控制度执行失效的原因以及对策。

1 在内部环境上风险管理意识分布失衡

从人力资本的角度看，风险管理意识是企业内控内部环境的一个重要组成部分。然而，从众多内控失效的案例来看，风险管理意识普遍在企业内部的分布不均衡。这种不均衡的分布状态主要有三种：

1.1 风险管理意识随着管理级别越高越强烈

这种企业的绩效考核指标通常比较激进，强调业务增长速度或规模扩张速度，而忽视质量与稳定性。这种激励结构导致管理级别越低的员工越忽视业务风险，想方设法绕开内控管理的制度性措施，不惜一切代价。在这种情况下，如果高级别的管理者不能紧盯内控制度的执行过程，那么内控制度就会形同虚设。

1.2 风险管理意识随着管理级别越高越弱

这种企业的管理结构通常是高度集权的，同时高级管理者痴迷于企业高速发展。在这种情况下企业内控制度也无法发挥作用，因为级别低的管理者尽管风险管理意识强烈，但是无法制约高级管理者。这样企业内控制度一样无法落实，形同虚设。

1.3 风险管理意识在各部门之间分布不均衡

通常市场营销部门的风险管理意识最弱，而财务部门的风险管理意识最强烈。这种部门之间的不均衡分布导致工作进展中产生各种摩擦和冲突，处理这些摩擦和冲突应该遵循内控管理制度。但是在现实管理中，高层管理者往往迫于业绩压力而经常偏向市场营销部门，于是企业内控制度在实施中扭曲，甚至完全失灵。

面对各种风险意识分布不均衡，解决思路是将各部门和各层级的风险意识显性化。通过各种心理测量指标或行为测量指标将各部门和各层级的风险意识表现出来，从而各方力量能够有意识地协调各部门和各层级的风险意识，使风险意识在组织内部逐渐达到均匀分布。

2 在目标制定上缺乏风险控制意识

从战略目标到战术目标的制定上本应遵循一系列科学的分析与规划，并且详细评估多个备选目标的风险程度。但是在很多企业的管理中管理者偏好大目标、高目标、快目标，这三类目标都与高风险紧密挂钩。然而，在目标制定过程中管理者往往低估目标所连带的风险系数，高估目标的可获得性。

這种制定过高目标的管理风格容易导致当目标层层分解时，越是基层的员工越是没有充分的能力完成本级别的目标。在这种情况下，员工只有两种选择：一是投机取巧地完成工作，这通常意味着偷工减料、省略工序、放宽控制标准，而且容易与管理层串通一气，导致内控制度失效；二是加班加点工作，这会导致员工持续高度疲劳，一方面产品质量稳定性下降，另一方面省略控制程序，从而导致内控制度失效。

目标过高还会导致机器设备满负荷甚至超负荷运转，从而人为地压缩正常的检修频率与时间。在这种情况下，机器设备很容易发生意外故障导致生产中断，甚至重大安全事故。面对高目标的压力，执行层面往往忽视内控制度的存在，想方设法绕开或敷衍内控程序，从而牺牲了企业长期发展而满足眼前目标，使风险连续快速积累直到突然爆发。

面对目标风险度过高的惯性，解决思路是目标制定多元化和层次化。目标制定多元化指的是尽可能考虑目标的多元属性，针对每个属性制定具体的量化目标。通常目标的多元属性之间相互能够制约，例如运输车辆的速度与稳定性就是矛盾的，生产速度与产品精度是矛盾的，服务规模与服务质量是矛盾的。目标的多元性能够有效反映目标所产生的风险程度。目标层次化指的是针对每个目标属性所量化的目标应该设定不同程度的取值，然后计算每个取值对应的风险程度，这样有助于合理选择目标级别。

3 在事项识别上选择性认知强烈

事项识别的核心思想是判断经营管理的每个业务环节发生风险的可能性以及可能因素。尽管每个企业的管理者对于本行业的业务运作都是专家，但是他们未必是本行业风险管理的专家。很多企业管理者对于每个业务环节风险的判断都是基于本行业以往历史上在该业务环节所发生风险的惯性估计，这种选择性认知会导致对新的风险环节漠然无视，即使下级提出来也会以从未发生过抛诸脑后。

另一种对风险事项选择性认知强烈的表现是虽然能够认识到每个经营环节风险事项的种类，但是主观上过低地估计其发生的概率。对风险事项发生概率的过低估计会导致决策上过度乐观，防范措施松懈或准备不足。这样一旦风险爆发，便如洪水倾泄一发不可收拾。

面对这种主观上的风险事项选择性认知，需要引入第三方机构进行风险事项评估。第三方机构由于无需考虑被评估企业的绩效考核体系，所以能够比较公正客观地评价每个业务环节的风险事项可能性。此外，还可以用历史上被评估过企业实际发生风险事项的情况来评价第三方机构，这样可以激励第三方机构持续性地做出公正客观的风险事项评估。

4 在风险评估上主观估计多于客观估计

风险评估是一项专业工作，然而在很多企业这项工作并未得到重视。所以，尽管很多大型企业都建立了内控制度和管理流程，但是风险评估工作经常处于缺失状态，导致内控制度在实施中落空。

风险评估主要包括两方面的内容：风险发生的可能性和风险发生的影响。风险发生的可能性是很难主观估计出来的，需要以一系列客观信息为基础进行运算。但是很多企业管理者回避这种客观计算方法，喜欢主观定性估计，于是很多业务环节的风险概率被大大低估，导致风险无法控制。风险发生的影响相比风险发生的可能性要相对容易测算的多，但是很多管理者习惯于将注意力集中在业务末端结果上，而不是业务过程中的每一个环节上。这种习惯导致业务流程过程中的风险未得到有效预防和控制。

针对这样的现状，解决思路是引入专业机构评估每个业务环节的风险发生概率以及可能产生的影响，并且将评估结果周期性地以报告形式对管理层发布。

5 在风险反应上偏重事后反应

风险反应指的是假如风险爆发，如何应对风险事故。风险反应理论上可以分为事前反应、事中反应、事后反应。事前反应主要是从预防控制角度采取措施，主要目的是化解风险；事中反应主要是从控制风险规模的角度采取措施，主要目的是控制风险；事后反应主要是从控制风险影响角度采取措施，主要目的是弱化风险事故造成的负面结果。

从风险管理的有效性角度看，事前反应的效果比事中反应好，事中反应的效果比事后反应好。但是，在现实中很多企业管理者对事后反应的重视程度比事中反应高，对事中反应的重视程度比事前反应高。这就导致在内控管理制度运行过程中，源头控制不力，经常在风险爆发后才采取控制措施。这就使内控管理制度大打折扣，内控制度变成了事故爆发的善后制度。

针对这样的情况，应当强化事前反应的控制方案，防患于未然。建立风险预警指标体系，当风险出现苗头时就启动事前反应预案，努力化解风险。将风险指标管理纳入日常管理体系的一部分，与财务管理体系并行运转。所有的风险指标都可以和财务指标挂钩以反映经营环节的风险状态，这样就能够将内控制度落到实处。

6 在控制活动方面缺乏反馈机制

控制活动是企业内控制度运行的核心部分，然而在实际运转当中，很多企业的控制活动缺乏反馈机制。控制的基本原理是先制定目标和评估现状，通过对比目标与现状计算差距，依据差距制定行动方案，行动方案实施结果会改变现状，然后进入下一轮差距计算。这里面的反馈机制体现在实施行动方案时，应当将实施过程中的指标反馈给行动主体，行动主体依据这种实时的阶段性反馈指标调整接下来操作的参数。然而，在企业内控管理制度的运行中，这种反馈周期特别长，导致实际行动已经偏离目标较大时才采取控制行动。这样控制成本高，甚至会导致来不及控制就已经爆发安全事故。

面对这样的现状，企业内控制度建设时应当考虑每个经营环节的实时反馈指标应该包括哪些经营参数，这些指标参数如何通过IT技术得以实现，以及这些参数如何与行动者的绩效考核指标挂钩。从而使决策者和执行者都重视企业内控指标，将企业内控落到实处。

7 在信息和沟通方面缺乏量化和交叉验证

信息与沟通是企业内控管理制度运行的神经枢纽，信息与沟通如果质量低下，那么就会导致企业内控管理制度瘫痪。信息是传递企业运营状态的工具，如果信息表达不准确，那么就意味着企业运营状态不稳定，而不稳定就意味着风险提升了。由于企业内部是分工合作的组织形态，所以各部门之间或者上下游之间的协作非常重要，各部门之间相互的信息传递对于本部門的工作安排有着决定性的影响。这种情况下就需要信息的精确表达，而所谓的精确表达就是量化表达。但是，很多企业不习惯量化表达，而习惯形容词化的表达方式，这就给各部门工作衔接与协作埋下了风险隐患。

沟通作为信息运动的过程，是各部门协作的管道。如果沟通出现误解或冲突，那么部门之间的协作就很难实现。沟通过程中经常出现多部门并行协作情况，每个部门都容易以本部门为中心安排工作进展，容易忽视其他平行协作部门的工作进展，这就需要部门之间紧密的信息沟通以保证协同一致。单渠道的沟通容易产生信息误差乃至错位理解，因此部门之间传达的信息经常需要交叉验证才能保证真实性和准确性。然而大部分企业的内控制度都缺少信息交叉验证的机制，导致各部门执行任务时本位主义严重，内控失效。

随着IT技术的快速发展，信息沟通机制的效率水平日渐提高，而且成本快速下降。以ERP为代表的管理信息系统完全能够满足企业内控管理制度对信息沟通的要求，但是电子化的信息管理系统会提升企业决策和执行过程的透明度，换句话说会制约管理层的决策自由度，因此在许多企业推广困难。然而，从众多企业内控制度执行失效的案例来看，正是由于管理层追求过度的决策自由度，才导致了内控制度失效。

8 在监控方面缺少持续监控

监控类型分为两种：持续监控和个别监控。我国企业大多热衷于个别监控而非持续监控。大多数企业的内控制度也是强调个别监控而弱化持续监控。持续监控表面上成本高，效益不明显，制约业务经营的运作效率。但是实际上持续监控是企业持续规避经营风险的有效工具，能够避免各个业务经营环节的风险持续积累，乃至于最后失控。

持续监控可以分为内部持续监控和外部持续监控。在实践当中二者相辅相成，应该组合使用。内部持续监控主要从行业评价角度建立监控指标体系，主要从业务内容和同行对标方面测评企业运行各环节的风险状态；外部持续监控主要从国家法规和资本市场的评价角度建立监控指标体系，主要从合法合规与财务运行状态方面测评企业运行各环节的风险状态。外部持续监控体系比较适合外包给公信力较强的管理咨询公司或会计师事务所来建立并且测评。

9 结语

企业内控制度建立容易执行难，而执行主要是由企业各个层面的管理层以及基层员工执行。因此，本文从人力资本的角度入手，分析企业内控制度各方面执行失效的人力资本隐患，并且提出了对策，希望有助于强化企业内控制度的执行力度。

作者简介：宋思远（1980-），男，河南开封人，西北大学经济管理学院工商管理系讲师，美国纽约城市大学组织行为学博士进修生，西北大学管理学硕士，研究方向：组织管理、高校管理、战略管理。