内部控制不是万能的!——COSO新版内部控制框架解读(十)
今天,我们和大家分享COSO新版内控框架系列解读的第十篇,也为这个系列做一个小结。
在过去这几年中,我们类似的系列文章一共写过几个部分,一个是2017年的COSO新版风险管理框架的解读,一共十五篇左右的文章;还有一个是2018年ISO最新的风险管理标准解读,一共七篇左右;另外还有一个关于风险定义和本质的专家大讨论,一共十篇左右。
本次的新内控框架系列,也计划是十篇,这样的四个系列的解读,内容包含了国际最新理论前沿,并融入了对中国相应的风险管理与内部控制文件的解读,应该说把风险管理和内部控制这个领域的经典理论和框架做了一个比较全面和系统的解读和介绍,可以给正在从业的或计划进入这个领域的从业者一个比较全面的知识普及,后续我们会把几个系列再打包一下整理给大家。
本篇第十篇,我们和大家聊一下内部控制的局限性,和任何管理体系一样,没有任何一个体系是万能的,或可以提供100%的把握可以达到目标。因为受制于内外部环境、发展阶段、资源限制、认识能力等方面因素的不同,任何一个体系都有其局限性。
谈内部控制的局限性,首先需要明确内部控制的目标,按照COSO对内部控制的定义,内部控制是对企业的运营、报告、合规目标的实现提供合理保证的过程。所谓的局限性就是对实现这些目标的局限性,所以只能是“合理保证”而不是“保证”或“绝对保证”。
内部控制,顾名思义,是企业内部的、基于控制的,所以局限性首先要从这个大的方面来谈。为了便于大家理解宏观,我画了一个图供大家参考。
内部控制能够发挥作用的地方是组织内部,所以我们看到内部控制五要素的第一个要素是内部环境(也称为控制环境),那么对于组织的外部,甚至是组织和外部交互的灰色区域,内部控制能够发挥的作用都非常局限,原因是什么?
是因为组织内部可掌控,是对确定性的追求,而组织外部不可控,特征是不确定性,内部控制是增强企业确定性的手段,对于不确定性来说,内部控制无法“控制”。
所以我们希望借助内部控制体系帮助企业建立完善的管理基础,是我们在面临外部不确定性时“确定”能够做的,有时也是唯一能够做的。今天,如果中国企业的管理基础不牢,内部管理确定性丧失,连内部管理都呈现不确定的混乱局面,那么在应对今天外部挑战的时候,很容易就会陷入空对空的情况,波动性及易变性极强。
组织外部是否都不可确定?这里面有一个例外,如果企业的一些产品和服务进行了外包,这些外包商需要必须接受并实施本组织的控制要求,这属于本组织确定性控制的外延到主体之外,也属于内部控制的范畴。
那么,在组织内部,是不是实施了内部控制一定能实现控制效果?不是。
刚才我们说的是内外矛盾,转向内部时,照样存在内部矛盾,由于这些内部矛盾的存在导致内部控制的美好预期很有可能达不到。
内部控制的局限性就是基于上述这些大的背景提出来的,我们一起来看一下。
1、判断(Judgement)
判断与决策并不是单纯由控制和程序的输出结果,而是混合了决策者综合外部情况的变化和内部环境做出的整体考量和决定,这里面,含金量最高的就是人的意识介入,就是上图中的灰色交互区域,内部控制无法对这个区域的工作进行控制和指导。
当然,AI的发展是否会剥夺人类在此独有的话语权,以及暗默知识是否能完全转化成AI的代码和程序,是有不确定性的。但是,后期的决策模式过渡阶段肯定是智能决策系统和人脑的结合,这确是确定的。
2、外部事件(External Events)
就像我们上面那个图画的一样,当外部事件发生导致组织的目标无法实现,如911恐怖袭击、新冠疫情等突发事件,内部控制对此是无能为力的,这也是内部控制的局限。因为这些是外部的不确定性引发的,需要用企业风险管理的手段,比如之前和大家介绍的业务持续性管理(BCM)就是属于这类手段。
3、失效(Breakdowns)
设计再完善的内部控制,如果没有执行也是白搭,由于执行控制职能或岗位人员的工作态度、工作能力不能有效执行控制的时候,内控就会出现失效。
还有一种情况就是执行控制的人员临时离开,新人接替会出现控制不连续,之前给大家举过疫情期间美国公布特朗普总统继任计划的例子,就是这个原因。
4、管理层凌驾(Management Override)
管理层凌驾是很多中国企业都面临的问题,特别是上市公司,管理层为了达到某种目的,游离于控制体系之外,逾越控制程序和制度,包括:
虚增收入,掩盖市场份额的下滑或预期不达;
虚增利润保持增长假象;
为了绩效奖金兑现,粉饰财务数字;
掩盖债务或违约事实;
隐瞒违法违规行为;
前一段时间的瑞幸咖啡造假事件,非常生动的诠释了这个局限性,如果管理层有意而为之,就必须打破企业内部控制的限制,更何况在内部控制还不完善的情况下。
内部控制可举程序正义,人心的正义控不住。
5、串谋(Collusion)
内部控制的一大手段就是不相容岗位的分离,达到内部互相牵制的作用,但是不相容岗位的人员合伙同谋,让原本没有缺陷的控制失效,这超出了内部控制的范畴,也是其局限性之一。
我们看到很多舞弊案件都是内部知情人举报,这也是合伙串谋的风险,所以找“合伙人”风险也很大。
6、成本限制 (Cost Limitation)
控制需要成本,要想实现绝对的控制,需要投入大量的成本,而且控制和成本的关系是边际效应递增关系。所以,没有企业会不计成本的追求完美控制,而只会追求合理控制,如果一味追求控制,投入了大量成本,同时丧失了企业的效率,是得不偿失的。
上述问题都决定了内部控制的固有局限性,内部控制不是万能的,但是一个企业没有内部控制却是万万不能的。
系列解读就到这里,后续我们会看情况开展一些专题介绍。
相关扩展
精华汇总
【收藏】最全的COSO新版企业风险管理框架解读大集合
【收藏】最全的ISO31000新版风险管理国际标准解读大集合
【收藏】风险管理学习资料汇总目录,从入门到高级都有了
【收藏】大风控114篇原创分享汇总大全
【收藏】中国风控领域政策文件汇编大全(102份)—2020.3