企業內部控制理論

　　1992年，美國“反對虛假財務報告委員會”下屬的由美國會計學會、注冊會計師協會、國際內部審計師協會、財務經理協會和管理會計學會等組織參與的“發起組織委員會”(Committee of Sponsoring Organizations of Treadway Commission)發布了控制 內部控制的最新準則《內部控制整體框架》(Internal control-integrated framework)，并于1994年進行了修訂，這就是著名的“COSO報告”。COSO報告首次把內部控制從原來的平面結構提升為立體結構，是內部控制理論研究的歷史性突破，被人們形象地稱作內部控制的“圣經”。COSO報告對世界內部控制理論研究與實踐發展產生了廣泛而深入的影響，無疑也對我國企業內部控制機制建設具有重要的指導價值。

　　現代企業理論和管理實踐表明，企業一切管理工作，都是從建立和健全內部控制開始的。因此，本文擬對COSO報告作一簡介，同時與“卓越績效管理模式”作一比較。

　　一、關于內部控制的內涵

　　COSO報告將內部

　　控制定義為：“由一個企業的董事長、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：經營的效果和效率;財務報告的可靠性;符合適用的法律和法規”。

　　在這個定義中，有四個關鍵詞值得注意：目標、人;過程、合理保證。

　　內部控制以過程為導向;受人的因素影響;受目標的驅動;存在局限性，即內部控制所提供的是合理的保證而非絕對的保證。

　　可見，COSO報告對內部控制的定義具有豐富的內涵，同時具有科學的限定，這是目前為止最權威、最通用的內部控制定義。

　　二、內部控制的構成要素

　　COSO報告提出了內部控制的五個構成要素：控制環境、風險評估、控制活動、信息與溝通、監控。

　　(1)控制環境

　　COSO報告把控制環境作為內部控制系統的首要因素，認為控制環境是一個企業進行內部控制的氛圍，是其它控制成份的基礎。具體包括以下內容：①員工的誠實性和道德觀，如有無描述可接受的商業行為、利益沖突、道德行為標準的行為準則。②員工的勝任能力，如雇員是否能勝任質量管理的要求。③董事會或審計委員會，如董事會是否獨立于管理層。④管理哲學和經營方式，如管理層對人為操縱的或錯誤的記錄的態度。⑤組織結構，如信息是否到達合適的管理階層。⑥授予權利和責任的方式，如關鍵部門的經理的職責是否有充分規定。⑦人力資源政策和實施，如是否有關于雇傭、培訓、提升和獎勵雇員的政策。

　　通過分析以上描述，控制環境可以歸納為兩大方面：

　　一是“軟環境”：包括企業的管理哲學、控制文化、風險意識、人的素質與品德等看不見、摸不著、卻在內部控制中起著決定性作用的無形因素構成的氛圍;

　　二是“硬環境”：包括企業的所有權結構、法人治理結構、組織體系、權力分配等結構性因素。企業只有建立包括董事會、管理層等在內的完善的治理結構，以及科學合理的組織體系，并合理配置各層次、各方面的權責，內部控制系統才有所依托并得以運轉。

　　可見，控制環境既是一個企業管理架構的組成部分，也是其內部控制系統的構成要素。控制環境確立了一個企業的基調，影響公司及人員的控制意識和導向。它是其他內部控制要素的基礎。

　　(2)風險評估

　　COSO報告認為，風險評估指管理層識別并采取相應行動來管理對經營、財務報告、合規性目標有影響的內部或外部風險，包括風險識別和風險分析。風險識別包括對外部因素(如技術發展、競爭、經濟變化)和內部因素(如員工素質、公司活動性質、信息系統處理的特點)進行檢查。風險分析涉及估計風險的重大程度、評價風險發生的可能性、考慮如何管理風險等。

　　(3)控制活動

　　COSO報告認為，控制活動指對所確認的風險采取必要的措施，以保證單位目標得以實現的政策和程序。實踐中，控制活動形式多樣，可將其歸結為以下幾類：

　　①業績評價，是指將實際業績與其他標準，如前期業績、預算和外部基準尺度進行比較;將不同系列的數據相聯系，如經營數據和財務數據，對功能或運行業績進行評價。這些評價活動對實現企業經營的效果和效率非常有用，但一般與財務報告的可靠性和公允性相關度不高。

　�、谛畔⑻幚恚�指保證業務在信息系統中正確、完全和經授權處理的活動。信息處理控制可分為兩類：一般控制和應用控制。一般控制與信息系統設計和管理有關，如保證軟件完整的程序、信息處理時間表、系統文件和數據維護等;應用控制與個別數據在信息系統中處理的方式有關;如保證業務正確性和已授權的程序。

　�、蹖嵨锟刂�，也稱為資產和記錄接近控制，這些控制活動包括實物安全控制、對計算機以及數據資料的接觸予以授權、定期盤點以及將控制數據予以對比。實物控制中防止資產被竊的程序與財務報告的可靠性有關，如在編制財務報告時，管理層僅僅依賴于永續存貨記錄，則存貨的接近控制與審計有關。

　　④職責分離，指將各種功能性職責分離，以防止單獨作業的雇員從事或隱藏不正常行為。一般來說，下面的職責應被分開：業務授權、業務執行、業務記錄、對業績的獨立檢查。

　　(4)信息與溝通

　　信息與溝通，指為了使職員能執行其職責，企業必須識別、捕捉、交流外部和內部信息。外部信息包括市場份額、法規要求和客戶投訴等信息。內部信息包括會計制度，即由管理當局建立的記錄和報告經濟業務和事項，維護資產、負債和業主權益的方法和記錄。有效的會計制度應是：①包括可以確認所有有效業務的方法和記錄;②序時詳細記錄業務以便于歸類，提供財務報告;③采用恰當的貨幣價值來計量業務;④確定業務發生時期以保證業務記錄于合理的會計期間，在財務報告中恰當披露業務。

　　溝通是使員工了解其職責，保持對財務報告的控制。它包括使員工了解在會計制度中他們的工作如何與他人相聯系，如何對上級報告例外情況。溝通的方式有政策手冊、財務報告手冊、備查簿，以及口頭交流或管理示例等。

　　(5)監控

　　COSO報告認為，監控指評價內部控制質量的過程，即對內部控制改革、運行及改進活動進行評價。包括內部審計和與單位外部人員、團體進行交流。

　　可見，監控實際上是企業對內部控制實施效果進行評價的過程，是企業站在更高的整體的層面對其他控制要素的整合及調適，是獨立的、進一步的控制活動，因而是企業完整的內部控制系統必不可少的后續要素。

　　(6)整體框架

　　上述五大要素之間具有緊密的關系：控制環境是其他控制成份的基礎，在規劃控制活動時，必須對企業可能面臨的風險有細致的了解和評估;而風險評估和控制活動必須借助企業內部信息有效的溝通;最后，實施有效的監控以保障內部控制的實施質量。五大要素實際上構成了內部控制的立體框架模式。

　　當然，COSO報告本身并不是完美無缺的。與“卓越績效管理模式”進行比較，不難發現“內部控制理論”的局限性是明顯的，見下表：

　　要 素

　　比 較 內部控制理論 卓越績效管理模式

　　關注

　　要素 控制環境、風險評估、控制活動、 領導、戰略、以人為本、過信息與溝通 、監控 程管理、信息和知識管理、結果

　　控制

　　環境 ①員工的誠實性和道德觀②員工的勝任能力 法制環境、市場環境、

　�、鄱�事會或審計委員會④管理哲學和經營方式 治理結構、企業文化、

　�、萁M織結構⑥授予權利和責任的方式 財務審計獨立性、“

　�、呷肆�資源政策和實施 五方受益”、持續競爭力

　　風險

　　評估 管理層識別并采取相應行動來管理對經營、 應急響應和控制

　　財務報告、合規性目標有影響的內部或外部風險

　　控制

　　活動 業績評價、信息處理、實物控制、職責分離 創造價值過程和支持過程的管理

　　信息與溝通 企業必須識別、捕捉、交流內外部信息 信息和知識管理

　　監控 對內部控制改革、運行及改進活動進行評價 戰略導向

　　信息和知識管理

　　財務審計獨立性

　　從表中不難看出，“內部控制理論”大量吸收了“卓越績效管理模式”的基本理念，但在戰略、市場研究和法人治理等個別地方有所疏漏。作者以為，盡管 “卓越績效管理模式”是針對企業或其他各類組織建設的，但其基本理念也同樣適用于財務會計管理的“內部控制理論”的結構設計。

　　隨著人們對內部控制的熟悉，積累的經驗越多，對內部控制的理解就會隨時間而改變，而這或多或少取決于影響和決定內部控制的諸多力量。并且，不同的利益群體對內部控制的觀點存在不同的認識。例如，會計行業與非會計行業在關注內部控制的問題上是有重大差別的，如何將會計界的內部控制語言轉換為管理界的內部控制語言，仍是一個需要長期溝通和探索的問題。