我国从古到今的启蒙教育经典—《三字经》中第一句，就是“人之初，性本善”，而古代大思想家荀子，却提出了与之相反“人性本恶”的观点。在企业内部控制中，对员工的信任度或许是许多企业管理者考虑过的问题，是相信“人性善”还是“人性恶”?似乎从来没有确定的答案。

　　一些内部欺诈的例子已经说明，对员工的完全信任可能会让企业“很受伤”，尤其对于高度信息化下的银行业而言，各种系统中储存的数字背后，都是数以万计的金钱，内外部欺诈造成的危害巨大。然而如果连自己的员工都无法信任，企业还将如何经营、发展?

　　相信“人性恶”，就是认为所有人(包括自己的员工)在内部控制出现漏洞的情况下都会违规(利用漏洞进行欺诈)。当然，这种观点太过绝对，因为违规面临被发现和追究的危险，因此存在“违规成本”，而只有当违规收益大于成本时，违规者才会铤而走险，选择利用漏洞。

　　那么，相信“人性善”的人可能就是被这样一个现象蒙蔽了：那些看起来都很善良的员工和外部相关人员之所以不违规，不全是因为他们“性本善”，而很可能只是因为违规成本大于收益，暂时选择循规蹈矩而已。换句话说，不是他们对漏洞视而不见，而是他们觉得利用漏洞所带来的好处不值得自己去冒险。只要漏洞继续存在，一旦违规成本下降或违规收益增加，他们是随时有可能利用这些漏洞的。

　　因此，提高违规成本可以降低潜在违规者的主观动机，可采取的措施包括对员工进行思想教育、陈明利害、制度约束、建立奖惩机制、在重要岗位安排责任感强的员工等。而改造业务流程、堵塞漏洞，才是从根本上杜绝违规可能性、实现有效内部控制的手段。所谓少数人违规是个人问题，多数人违规或有违规的冲动，就是制度和流程的问题。

　　James Reason教授在1990年提出的“瑞士奶酪模型”通常被用来进行事故原因分析，我们也可以用它来分析企业里每一起员工或外部欺诈事件发生的原因。瑞士奶酪上有很多孔，这些孔就像内控中潜在的漏洞，内控系统就像一摞瑞士奶酪，而不安全因素就像一个不间断的光源，当光源刚好能穿透所有层上的漏洞时，欺诈行为就成功了。我们进行企业内控的目的，就是试图在业务操作的各个环节上进行检查，以最大程度地减小本环节的控制漏洞(并不是“消除”，从根本上讲，企业的任何经营行为都是存在风险的，银行尤甚)，从而最大程度地降低各个环节上漏洞重合的可能性。例如在重要操作中引入复核机制，通过事后监督弥补控制漏洞等。信息安全中“必须知道”和“最小授权”的原则，也是基于尽可能减少员工对系统各个层面的接触，以及所拥有的权限过大可能增大其利用系统漏洞机会而提出的。

　　英语中“利用”漏洞使用的动词是explore，细品之下很值得玩味。explore译成中文有“探索”的意思，正表明违规者都是“伺机而动”，时刻进行试探，找到所有内控漏洞的重合点，从而完成对漏洞的利用。企业只有“不惮以最坏的恶意来揣测”业务流程各环节涉及的人，不断完善内部控制措施，并辅之以增加违规成本的各种手段，才能实现对违规行为的有效控制。一个explore，道出了英语文化中对于人性善恶的理解，或许可以为我们的内控和风险管理防线时刻敲响警钟。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。