内部控制流于形式剖析及对策

作者：马军生

本文发表于《新理财》（公司理财））杂志2025年第5期 P38-43

内部控制执行落实是个老生常谈的话题，《企业内部控制基本规范》发布已有近二十年时间，很多企业从制度设计层面已建立相对完整的内控制度，但内部控制流于形式始终是个顽疾。所谓知易行难，就拿减肥来说，最有效的措施无非是管住嘴、迈开腿，但真要做到这两点，对很多人并非易事，懂得许多道理却依旧过不好这一生，在内控领域也是如此。

内部控制流于形式

内部控制流于形式是指企业形式上已建立健全的内控制度体系，但并未有效执行，未能实现预期的内控目标。内控流于形式有以下几种表现：

一、有书面制度，实际不执行。以2004年中航油（新加坡）公司巨亏40多亿为例，尽管该公司聘请安永会计师事务所制定了完整的风险管理制度，规定每名交易员亏损20万美元时，要向风险管理委员会报告，亏损达37.5万美元时向首席执行官汇报，亏损50万美元时，必须斩仓。但实际操作时，公司诸多制度并未得到有效执行，最终给公司造成了超过5亿美元的灾难性损失。还有某钢铁公司曾发生爆燃事故，造成13人死亡、17人受伤，事发之前公司修订安全生产标准化制度216个，编制安全生产标准化作业指导书9万多份。然而，据内部人士讲，这种管理浮于纸面，停留于形式。各种指导、标准的文件层层发来，反而起不到什么作用。这种有制度、不执行的现象，有些是因为制度设计的原因，比如制度未及时修订，导致制度过时跟不上企业发展，已无法执行；有些是执行层面的问题，比如员工恶意舞弊，绕过相关控制；或者因为制度宣贯不足，员工不了解相关制度也就不按制度执行了。

二.有书面制度，形式执行，实质放行。在制度设计层面考虑了层层控制，但在实际执行时，相关人员在操作环节只负责签字，并没有履行控制职责。比较典型的就是审批控制，有的人基本不看内容，直接审核通过。这背后有多种原因，有的是责任心不够或偷懒；有的是缺乏相关专业能力或知识，无法有效审核；有的是缺少信息或数据支撑，就草草签字了事；有的是怕得罪人，对制度执行“睁一只眼闭一只眼”；还有的则是从众心理，觉得其他环节都审核过了，应该没什么问题，又没什么反对的理由，就审核通过了。在信息化的背景下，审批变得更加方便，流程各节点的审批可以在电脑或手机上轻点一下就完成了，甚至有些企业还贴心地设计了“一键批量审批”功能，使得审批成为象征性的控制节点，不能真正发挥控制作用。

三、有书面制度，实际未执行，编造执行记录。有些企业在制度里明确了相关控制措施，实际并未按照要求操作，但为了应对检查或审计，编造执行记录。某银行发生过5000多万元的金库重大盗窃案，事后调查发现，按照管理制度要求，分管主任要定期进行盘点，确保账实一致，但实际上分管领导并未去现场实地盘点，只是编造了盘点记录，相关人员在盘点记录上签个字，导致金库被盗未能及时发现，金库窟窿越来越大，最终东窗事发才发现所谓盘库制度根本没有落到实处。有些企业，花大量精力用在补台账、补凭证、补签字，但这些事后补记录的做法形式意义大于实质作用，浪费了人力物力。

四、有书面制度，但制度本身过于宽泛，缺少落地措施。有些企业的制度各种喊口号、表决心，但几乎看不到任何具体的操作流程、工作标准或者岗位职责。这种企业看起来似乎各项制度也有，但从制度设计层面就流于表面，执行时往往缺少有效控制，出现内控失效在所难免。

内控流于形式的原因分析

对于内控流于形式的问题，很多管理人员会找出很多理由或借口进行辩解，常见的理由包括“情况特殊”“时间太紧”“变化太快”“资源不够”“人员不行”“制度本身不合理”等等，这些理由有具有合理性，有的则是推卸责任的借口而已。

那么，造成内部控制流于形式背后的真正原因有哪些，笔者认为主要有以下几个方面的原因：

一、人的原因。人是内部控制执行主体，再好的制度，也要靠人去执行，能否有效执行，和人的能力、态度及动机有很大关系。具体说来，人的原因涉及理念、胜任能力、习惯和利益等因素。

理念是对内控的认识，没有正确的认识，执行时就会出现偏差，但理念的改变不是一天两天的事，尤其有些企业高层管理人员对内部控制不够重视，甚至认为内控是管下不管上，带头破坏规章制度，将个人权威凌驾于内控制度之上，或者认为业务优先，当内控要求与业务发展存在冲突时，就选择无视内控要求，违规操作。

人员能力不足无法有效履行岗位职责。在有些地区，人才招聘非常困难，笔者曾碰到过某公司仓库管理人员连基本的电脑操作不会，又不愿学习新的技能，简单的台账和库房盘点始终不能按要求操作，这些都影响了内控制度有效实施，导致公司存货长期账实不一致，直到公司更换了一批库房人员，才解决了这个问题。

人的固有习惯会延续，企业在推行新的内控制度过程中，很多人会不自觉地按照之前的习惯操作，就和锻炼身体一样，制定了早起跑步计划，但很多人已习惯了晚睡晚起，坚持不了几天，就给自己找借口，今天天气不好、今天还有很多重要事情……，于是又回到以前的舒适区，一切变回老样子，计划沦为空谈。

除了上述几个因素，还有一个最重要因素——利益因素。人性是管理绕不开的话题，人与机器的区别在于，人都是有利益诉求的，包括金钱和非金钱方面利益。给电脑下达一个指令，机器会严格遵循，但面对同样的指令要求，对不同的人或同一个人在不同时刻，得到的执行结果往往不同。在推行改革的过程中，“触动利益往往比触及灵魂还难”，当改革涉及到利益时，往往会有巨大的阻力和障碍，在执行内控制度过程中，同样如此。复旦大学管理学院教授、知名内控专家李若山认为，很多企业内控制度实施不下去，是因为利益格局难以调整，企业做内控就要打破原有的利益格局。比如采购流程不规范时，相关人员可能趁机捞回扣，而严格按照规定操作，徇私舞弊的空间就会被压缩。在这种情况下，有些人员会不愿执行内控制度。为了获取利益，人会舞弊甚至串通舞弊，这就很容易导致内控失效。另外，有些人基于自身利益考虑，在履行岗位职责时，选择当“老好人”走过场，也使内控制度流于形式。

二、内控目标有冲突。内控目标一般包括提高运营效率效益、合规和财务报告真实可靠，但在某些情况下，这些目标之间有冲突。常见的情形是保证合规性却对效率及效益产生影响，比如公司要求开展某项业务必须经过充分的尽职调查且履行审批流程，但如果按照规定走完全部流程可能耗时过长，导致失去机会，这时相关人员可能为了促成业务，选择绕过现有流程进行违规操作。还有些业务本来就是违法的，按照内控要求是不能开展的，但这种业务会增加公司业绩。在企业经营管理中大量存在类似冲突，是优先选择合规，还是优先考虑效率效益，会产生不同的结果，企业书面制度上通常会要求不得违规，但具体执行时却做不到，甚至普遍违规，制度成为空谈。

三、制度设计的原因。有效的内部控制通常包括设计有效和执行有效。内部控制缺陷按性质可分为设计缺陷和执行缺陷。有制度但未执行通常被认为是执行缺陷。从现实来看，在内部控制评价和审计时，企业大量内控缺陷通常被认定执行缺陷，设计缺陷占比很少，对应的内控整改措施就是加强执行力度，抓宣贯抓落实，但效果往往不如人意，同样问题屡抓屡犯，制度执行成为老大难问题。

笔者认为，绝大多数所谓内控执行缺陷并不仅仅是执行问题，而是制度设计本身存在问题，一个问题偶尔发生，可以解释为执行的偏差，但如果同样问题经常发生，那通常是制度设计本身就存在缺陷。举个例子，某工厂生产风机设备，按照生产工艺，要求在设备叶片上面刷五遍油漆，但实际执行时，出现有少数产品操作工人只刷了三遍或四遍，表面上看起来也刷漆了，但设备在交付客户运行一段时间后，就会出现质量问题，引发客户投诉，最后查下来，是刷漆环节没有按照规定操作。那么，这属于制度执行缺陷还是设计缺陷？表面看是工人责任心不够，执行没到位。但为什么会出现这种质量问题而且发给客户之前没有被发现，可能是多个环节的制度设计出了问题；可能是公司招聘和培训制度存在缺失，招的工人与岗位要求不匹配或缺少必要的岗前培训；也可能是流水线工艺不合理，流水线速度过快，最熟练的工人才能完成，对于一般熟练程度的工人，则很容易为了跟上流水线速度而减少粉刷油漆次数；也可能是因为质量检测环节缺失，在设备出厂前，没有相应的质量检测。

所以，制度执行失效时，需要思考制度设计的原因，内控制度设计不足有以下常见原因：

1.制度照搬照抄、不切实际或未能及时修订。每个企业面临的情况千差万别，有些企业制度制定时直接套用模板，或照搬照抄，比如有些企业为了符合IPO上市要求，在制度设计时追求“形式合规”做出一套完整的内控制度，但制度与实际情况是“两张皮”，在这种情况下制度很难落实。而且内部控制是个动态过程，有些企业制度没有及时修订，也会导致制度与实际执行脱节。

2.制度缺少可操作性。制度里存在大量空洞的说教，如果没有配套的工具、表单或措施，在执行时更多依赖操作人员的经验和习惯，就会导致制度执行比较随意或失效。

3.制度设定标准过高、要求过严。从制度设计者的意图来说，是希望提升企业管理水平，也有的是制度设计者不想承担责任把制度定得非常严格，但在实际执行时，由于种种现实条件限制，达不到制度标准的，出现违规现象。

4.制度执行中缺少监督检查措施，或没有配套的奖惩机制。在没有监督，或虽然有监督但没有奖惩的情形下，对当事人来说，干与不干、干好干坏并没有什么太大差异，于是制度执行就可能走样，制度执行偏差也得不到纠正。

5.不同体系制度未能有效融合。企业管理涉及多方面，为满足相关体系建设标准要求及管理需要，企业可能会构建内部控制、风险管理、质量、环境、职业安全、健康、党建、合规等多个管理体系。各管理体系按专业分别建设，在实际工作中会出现交叉重复、表述不一、要求不一等问题，导致执行人员无所适从，无法按规定操作，从而影响制度执行效果。

四、信息沟通的原因。内控流于形式，表现为看似流程节点都执行了，但并未达到预期效果。例如选择供应商，按照规定流程进行询价比选或招标，并经过各部门层层审核，但最后发现选出来的供应商存在很多问题。这里除了人的原因以外，还有可能是信息不充分，例如在各环节审批时，只提供了供应商的名称、资质等简单情况，但供应商是否有失信行为或负面消息、供应商过往合作情况、同行业其他供应商对比等信息都没有提供，缺少足够的信息支撑，符合审批流程，审批人员也只是签个字，并不能真正发挥控制作用。再比如董事会审议重大投资决策，即使会议的议事规则完善，董事专业能力很强也勤勉尽责，但会议准备的材料不完善，也很难保证做出有效的决策。

五、内控本身的局限性。内控虽好，但不是万能的，比如对一些恶意串通舞弊，一般的内控措施可能难以发现；实施内控有成本，需要遵守成本效益原则；管理层逾越内部控制，这些因素也会在影响内控执行的有效性。认识到内控局限性，可以帮助我们在设计和执行内部控制时，有针对性地采取措施，减少这些局限性带来的影响，同时不盲目高估内控作用，不追求绝对完美。

对策

一、完善制度设计流程。解决上文提到的内控流于形式的问题，包括人、目标冲突、制度、信息等因素，要回到制度设计这个根本上来，比如解决人的问题，需要完善人力资源相关制度，包括招聘、培养、培训、激励、处罚等相关制度，信息方面需要在制度设计时完善信息搜集、传递、沟通等相关制度。因此，企业合理的制度设计机制非常重要。

首先是需要构建基于PDCA理念的制度设计流程，保障制度设计与时俱进，适应企业发展需要。PDCA是英语单词Plan（计划）、Do（执行）、Check（检查）和Act（处理改善）的第一个字母，PDCA循环就是按照这样的顺序进行管理，并且循环地进行下去的科学程序。PDCA最早是用于质量管理，但也适用于企业管理。制度设计不是一劳永逸的，而是个永无止境不断完善的过程，很多企业的内控评价和改善环节是缺失的或不够有效，比如没有配备内控评价人员、内控制度缺少定期评价和修订、内控评价流于形式等，导致制度层面问题持续存在不能进行修正，企业看起来有制度体系，但实际执行并不理想。

其次是对不同管理体系的制度要进行融合，梳理各体系共同要求和彼此差异，确定管理体系融合的范围和内容，构建体系融合思路，保证企业各体系文件相互不冲突和有效运行，具体如何融合，则需企业结合自身情况来进行。

二、优化制度内容，提升制度可操作性。对出现的内控执行失效，不应简单地将其视作执行层面问题，而是要深入分析背后原因，并从制度设计层面去反思，看看是否可以通过优化制度设计来防止类似问题发生，比如加强人员培训、采用防呆防错设计、优化操作流程、提供操作表单、加强检查监督、引进人工智能等措施。以七个人分粥为例，如果选举一个品格正直的人来分粥，再设立监督委员会对分粥公平性进行检查，费时费力且执行时效果未必好，但换个做法，抓阄随机选一人分粥，但规定分粥者最后拿，其他六人按照随机顺序先拿，简单地改变了分粥程序，就可以实现公平高效地分粥。很多时候解决制度执行问题，要从制度设计方面思考并加以改进。

三、制度设计时要考虑人的因素，进行预防性设计和动态化调整。大家常说，“制度是死的、人是活的”，还有一句话是，“上有政策，下有对策”。企业出台一个制度之前，不能过于理想化，要考虑到各个相关方对这个制度的可能“对策”或博弈手段，在执行过程中，也要根据人的“对策”和遇到的问题及时加以修正调整。人都有追求自身利益的一面，这点对企业来说不是坏事，可以用这点来激励人员，制度设计时要做的是因势利导，协调好个人、部门和组织的利益，而不是一味地反对个人追求利益；人性中有恶的方面，比如懒惰、贪婪等，使得某些人会想方设法钻内控漏洞、恶意舞弊、串谋，制度设计时需要加以防范；人性中有善的方面，比如上进心、奋斗精神、荣誉感等，所以管理大师德鲁克说管理要激发人的善意和潜能，在制度时不应只是一味低约束和惩罚，而应当奖惩结合，给予员工适当的激励，调动员工积极性。总之，人是制度执行主体，制度设计时要考虑人的多样性、多面性和动态性，从而让内控能真正有效落地。

四、借助新兴的技术工具和手段。近些年，信息化、数字化、大数据、人工智能等领域快速发展，通过信息系统可以将流程标准化和固化，减少人为差错；利用大数据和人工智能等新兴技术，可以一定程度上解决信息不充分、信息不对称等问题，赋能内部控制。

五、适当借助外部机构和专业人士力量。“不识庐山真面目，只缘身在此山中”、“外来的和尚好念经”，对企业来说，由于自身专业能力不够、人员力量不够或内部利益格局错综复杂，有时依靠自身去解决内控执行中问题是非常困难的，这时不妨聘请外部机构和专业人士来协助企业进行内控问题诊断、改善及辅导落地。

总之，解决内部控制流于形式问题，本质是内部控制体系的不断优化提升，需要企业分析问题原因，企业结合自身实际情况，多管齐下，让内部控制制度不是挂在墙上的摆设，落到实处、发挥实效，唯有如此，才能真正凸显内部控制的价值。

致谢：

本文的写作，参考了李若山老师的“企业做内控就是要打破原有的利益格局”及授课时相关思想观点；冯萌博士的《内控体系“流于形式”：表现与应对》，特说明致谢。

感谢《新理财》滕娟女士的文字审阅和修订。

文中错漏或不当之处，作者文责自负。

（马军生）

（马军生 李若山）

（丁家丰 马军生）

（冯萌）