《赌场风云》（英文名Casino）是罗伯特德尼罗和莎朗斯通在1995主演的电影。这是一部精彩的以拉斯维加斯为背景的赌博电影。片中，罗伯特德尼罗扮演一个叫爱司的职业赌场经理人。电影开始的时候，爱司的画外音在介绍赌场的内部监控体系：“在拉斯维加斯，每一个人都在监视别人。发牌的人时刻监视着赌客，小领班坐在场中间监视发牌手，楼层领班站在身后监视小领班，大堂领班监视楼层领班，当值领班监视大堂领班，赌场经理监视当值领班，我监视赌场经理。空中的眼睛监视我们所有人。”镜头转向楼上的电视监视室。同时楼上还有一些人手持望远镜在观察。爱司的画外音继续：“还有更厉害的，我们雇了十几个人，这些家伙都是些老千前辈，对赌场中的所有骗术都了如指掌。”

　　公司治理的人盯人

　　企业的内部控制思想在原理上与赌场中古老的内控体系一样。在40年代的美国，内部控制制度出现的初期，它就是以一种“内部牵制制度”的形式出现的。它的出发点很简单，就是将一项由一个人做让人不放心的业务，同时交给两位或两位以上的人去实施，客观上造成实施人之间的一种相互牵制关系，从而预防可能发生的差错。

　　最常见的牵制规则是管钱、管物、管账分工负责，相互制约。付款的人不能负责记账，采购的人不能负责收货，做销售的不可以自定信用额。到了ERP的信息时代，变成系统操作人员不可以修改系统，修改系统的人不可以操作，以及不同等级的人被授予不同的权限等等。这些方法是企业内部控制的硬方法。

　　随着商业的发展，内部控制的软技巧也开始多起来，比如业绩评估奖惩，培训，流程和制度，以及员工的行为规范等等。内部控制开始从单纯的财务审计问题转化为企业内部管理问题，尽管在许多企业控制长（Controller）一职还是由财务担任。

　　1992年，美国五家会计协会（注会协会、会计协会、内部审计师协会、管理会计协会以及财务管理协会）组成了一个委员会叫COSO （Committee of Sponsoring Organizations）。

　　COSO委员会把内部控制系统化，提出内部控制的三大目的：即取得经营效果和效率，确保财务报告的可靠性和遵循适当的法律法规。按照COSO的解释，内部控制是一个过程，象西西弗斯推石头一样永远没有结束的那一天，有企业存在，就有内部控制。而且，内部控制不是一些人的事情，而是企业所有人的事情，企业的流程和制度制约每一个人， 无论是好人还是坏人。好的内部控制制度可以帮助企业达成它的目标，尽管内部控制不能保证企业成功。对于上市公司来说，内部控制保证了投资者对财务报告的信心。因此，财务审计的核心实际上也就是内部控制。

　　COSO提出了著名的COSO模型，认为内部控制主要由控制环境、风险评估、控制活动、信息交流、监督五项要素构成。

　　企业的内部控制环境包含了企业管理层的领导能力、组织结构、预算和内部报告体系、内部稽核、人事架构、健全的实务等。说到环境，中国人相信“水至清则无鱼，人至察则无徒”，好处是处处有弹性，不好处是弄不好就导致污染环境，长期结果是鱼虾皆亡。

　　企业的风险评估是财务人的敏感区域，风险管理以预防为主，即通过增加、补充或规范各内部控制环节来规避可能面临的风险。如果风险实在避不开时，就转嫁风险，如购买保险，利用对冲和远期合约等。

　　控制活动是确保管理阶层的指令得以实现的政策和程序。控制活动是针对关键控制点而制定的，因此，企业在制定控制活动时关键就是要寻找关键控制点。比如生产、经营性企业的采购作业的交易数量通常都较大，而且存货易于因废弃、变质和偷窃等而发生损失，导致重大错误或舞弊的可能性也提高。因此，包括采购在内的物流体系是控制活动的关键。

　　现在越来越多的企业使用公开招标的方式控制采购。软银（编者注：日本的一家投资银行）的孙正义投资了一家日本公司，提供第三方网上竞价服务，使价格决定过程透明化，不受人为左右。在日本，企业有四个利润来源，在销售，生产，物流之外，还有采购。这家公司在日本获得了很大成功，正在试图将其模式移至中国。中国国有企业内部控制制度有两个最薄弱的环节，一是货币资金，二就是采购。采购业务中弄虚作假，吃“回扣”等现象也许会因采用第三方网上竞价而有所控制。

　　企业的内部监督是一种随着时间的推移而评估制度执行质量的过程。监督的背后是有效的考核制度和激励制度，这也是中国企业目前比较薄弱的地方。

　　另外，还有信息交流。 这里信息不仅仅是指文书程序， 会计记录，以及财务报告，还包括其他商业信息。这本是企业管理的基本要求，但是这几年却遇到前所未有的挑战，最终导致了SOX法案的出现。

　　强化的内部控制

　　COSO的内部控制模型在世界各地的企业界里盛行了10年，直到2002年7月25日，美国《萨班斯-奥克斯莱法案》（《2002公众公司会计改革和投资者保护法案》，英文是Sarbanes－Oxley Act，简称SOX）的公布。

　　SOX法案的背景是2001年底的安然公司倒闭案以及2002年中的世界通信会计丑闻事件，投资人对上市公司财务报告出现空前的信任危机。 罗斯福总统签署了1933年的《证券法》和1934年的《证券交易法》。布什总统称他自己所签署的SOX法案是自《证券法》和《证券交易法》以来美国资本市场最大幅度的变革。

　　SOX法案的内容分为两部分，一是主要涉及对会计职业及公司行为的监管，包括：建立一个独立的“公众公司会计监管委员会”，对上市公司审计进行监管；通过签字合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；对公司高管人员的行为进行限定以及改善公司治理结构等，以增进公司的报告责任；加强财务报告的披露；通过增加拨款和雇员等来提高证券交易委员会的执法能力。二是提高对公司高管及白领犯罪的刑事责任，比如，规定销毁审计档案最高可判10年监禁、在联邦调查及破产事件中销毁档案最高可判20年监禁；为强化公司高管层对财务报告的责任，要求公司高管对财务报告的真实性宣誓，并就提供不实财务报告分别设定了10年或20年的刑事责任。这与持枪抢劫的最高刑罚一样了。

　　SOX法案虽然只针对美国上市公司，但是其影响力波及几乎世界上所有大公司。因为它们也遇到类似的挑战。SOX法案的核心是内部控制，体现在它的第404章。

　　SOX法案第404章要求证券交易委员会出台相关规定，所有除投资公司以外的企业在其年报中都必须包括：（1）管理层建立和维护适当内部控制结构和财务报告程序的责任报告；（2）管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案要求管理层的内部控制年报必须包括：（1）建立维护适当公司财务报告内部控制制度的管理层责任公告/声明；（2）管理层用以评价内部控制制度的框架的解释公告/声明；（3）管理层就内部控制制度有效性在该财政年度终了出具的评价；（4）说明公司审计师已就（3）中提到的管理层评价出具了证明报告。公司的CEO和CFO们不仅要签字担保所在公司财务报告的真实性，还要保证公司拥有完善的内部控制系统，能够及时发现并阻止公司欺诈及其他不当行为。若因不当行为而被要求重编会计报表，则公司CEO与CFO应偿还公司12个月内从公司收到的所有奖金、红利或其他奖金性或有权益性酬金以及通过买卖该公司证券而实现的收益。有更严重违规情节者，还将受严厉的刑事处罚。

　　今年年底，SOX法案第404章正式实施，美国许多公司正在支出数百万美元更新各自的内部控制措施、更新合规机制、编写职业道德规范、建立内部投诉热线、编写公司治理准则和董事会委员会章程。社会上的专业机构如审计师、律师以及相关财务软件公司的收入因此提高了不少。

　　内部控制之于公司治理的作用在于防微杜渐，最成功的内部控制是把疾患消失于无形。传说中扁鹊的故事就暗含了内部控制的精髓。

　　魏文王问名医扁鹊说：“你们家兄弟三人，都精于医术，到底哪一位最好呢？”扁鹊答：“长兄最好，中兄次之，我最差。”文王再问：“那么为什么你最出名呢？”扁鹊答：“长兄治病，是治病于病情发作之前。由于一般人不知道他事先能铲除病因，所以他的名气无法传出去；中兄治病，是治病于病情初起时。一般人以为他只能治轻微的小病，所以他的名气只及本乡里。而我是治病于病情严重之时。一般人都看到我在经脉上穿针管放血、在皮肤上敷药等大手术，所以以为我的医术高明，名气因此响遍全国。”无论是拉斯维加斯赌场的人盯人战术，COSO模型，SOX法案，还是前一段时间闹得沸沸扬扬的李金华的审计风暴，都是为了防患于未然，这也许是内部控制的真义。