企业内部控制制度在保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略方面具有一定的作用。但内部控制仅仅为以上目标的实现提供合理保证，而不是绝对保证，原因就在于内部控制本身具有一定的局限性。正是内部控制固有的局限性，所以设计再完美的内部控制也不能完全保证企业不出任何问题。一般而言，企业内部控制的局限性可以概括为五个方面。

（一）越权操作

企业内部控制制度的重要实施手段之一是授权批准控制，授权批准控制使处于不同组织层级的人员和部门拥有大小不等的业务处理和决定权限，但是当内部人控制的威力超过内部控制制度本身的力量时，越权操作就成为了可能。一旦发生越权操作，内部控制分工制衡的基本思想将不能再发挥作用，内部控制制度也就形同虚设了。

越权操作的危害极大，不仅打乱了正常的工作秩序和工作流程，还会为徇私舞弊、违法违规创造一定的条件。如果越权操作行为发生在基层，往往会引发资产流失、挪用公款等案件；如果发生在高层，则往往形成“内部人控制”，筹资权、投资权、人事权等重大事项的决策权都掌握在公司的经营者手中，股东很难对其行为进行有效的监督。由于权力过分集中，经理人发生逆向选择和道德风险的可能性就较高，这就导致了国有资产流失问题严重、会计信息严重失真、短视行为泛滥等问题，不利于企业的长远发展。

（二）合谋串通

企业内部控制制度源于内部牵制的理念：因为相互有了制衡，在经办一项交易或事项时，两个或两个以上人员或部门无意识地犯同样错误的概率要大大小于一个人或部门；两个或两个以上人员或部门有意识地合伙舞弊的可能性大大低于一个人或部门。正是基于这样的思想，才有了不相容岗位分离制度、轮岗制度和强制休假制度等。而串通的结果则完全破坏了内部牵制的设想，削弱了制度的约束力，使企业内部控制制度无效。合谋串通的动机通常是为了侵吞公司财产，合谋串通的方式有两人串通和多人串通。多人串通的危害极大，往往会形成造假“一条龙”，不易识别，给公司、股东以及外界的利益相关者带来巨大的损失。

（三）成本限制

根据成本效益原则，企业内部控制的设计和运行是要花费代价的，企业应当充分权衡实施企业内部控制带来的潜在收益与成本，运用科学、合理的方法，有目的、有重点地选择控制点，实现有效控制。也就是说，企业内部控制的实施受制于成本与效益的权衡。

企业内部控制的根本目标在于服务于企业价值创造，如果设计和执行一项控制带来的收益不能弥补其所耗费的成本，就应该放弃该项控制。成本效益原则的存在使企业内部控制始终围绕着控制目标展开，但同时也导致企业内部控制制度难以达到尽善尽美，因此，企业实施内部控制应当量力而行，突出重点，兼顾一般，在符合成本效益的范围内开展并改进。

（四）管理层的凌驾

企业内部控制本是针对企业中所有层级、所有成员的一种控制措施和制度，内部控制不是由某个人或某个层级的人提出来，专门针对某一个或某一群特定层级的人的制度，它是为整个企业设计的系统，针对在该企业环境下的所有人，没有人能脱离该系统而自由运作。

COSO报告中，特别将管理层凌驾（Management Override）与管理层的干预（Management Intervention）区分开来，前者是指为了非法目的而破坏规定的政策和程序，后者表示管理当局为了合法的目的而偏离规定政策和程序的行为。管理人员总是会由于这样或那样的原因，而凌驾于内部控制制度之上。例如，管理层可能与客户签订背后协议，对标准的销售合同做出变动，从而导致收入确认发生错误。再如，软件中的编辑控制旨在发现和报告超过赊销信用额度的交易，但这一控制可能由于管理层的“关系客户”被逾越或规避，或片面追求效益而违反法律要求或无视内外部报告义务等。由于管理层的特殊权力和地位，使得其有凌驾于制度之上、超越制度之外的便利，由此企业内部控制制度出现“真空”地带。一个设计良好的企业内部控制系统，如果管理者把它搁置在一边或是凌驾于之上，便等于没有内部控制。

（五）环境系统的改变

企业内部控制本是一个动态的系统，但其设立和执行具有一定的稳定性。企业内部控制的运行环境包括外部环境和内部环境。外部环境如经济、政策、法律、技术、社会环境等，内部环境如企业的组织结构、管理哲学和企业文化、人力资源政策和实施、授予权利和责任的方式和信息系统等。

一个良好的企业内部控制系统的作用可能会因为其运行环境发生变化而削弱。管理者一定要一直密切注意环境的变化和组织运行方式的变化，及时改进企业内部控制系统。通常，外部环境的变化将会给组织带来发展的机会，同时也会带来威胁，企业内部控制系统一定要对此做出反应。在一个组织中，运行方式的变化或新技术的应用通常会对内部控制系统产生显著影响。

尽管内部控制的目标仍是相同的，但采用的企业内部控制的技术通常要随着这些变化而变化，特别是计算机系统对内部控制提出了挑战：

①缺乏确实的备份凭证：人工处理提供了原始凭证、分类账、日记账和报表这些书面的审计线索，而计算机处理没有用这种方式对业务的过程进行记录。事实上，不断增多的数据通过编码扫描器、销售终端机和击键式电话直接进入计算机系统。即使备份了原始凭证，数据一旦进入计算机系统，便存储于磁盘中，也是容易被修改和删除的。只有确实的备份凭证才能作为永久的记录。

②处理过程是无形的、复杂的和集中的：不像人工处理可以由任何人仔细检查其处理过程，在计算机系统内完成一项复杂的处理任务很难证实其结果的准确性。而且，人工系统可以进行职责分开，而计算机系统可能合并甚至省去一些处理步骤。尽管这样提高了处理效率，但因为没有关于处理的正确性或准确性的独立检查，在一定程度上职责分开便失去了意义。

③忽视人的判断：在人工处理过程中，参与这一过程的人员通常能够判断错误和不正常的情况。尽管计算机人员能通过编程进行限制性的编辑检查，但也只能是严格地按照程序操作而已，并没有对数据的完整性或处理本身提出问题。

总之，企业内部控制的局限性是客观存在的，而且完全消除这些局限性的努力是徒劳的。企业内部控制局限性的客观存在不能成为忽视企业内部控制的理由，只有认识到这些局限性，才能够更加全面地认识企业内部控制——无论企业内部控制的设计和实施多么好，也只能合理地保证实体目标的实现。