關于中國企業內部控制框架的思考

摘要：中國企業在制定內部控制制度的時候，缺少清晰的內部控制框架。美國COSO委員會2004年結合薩班斯法案提出了ERM框架，在內部控制的戰略目標和風險管理等方面有較大突破。中國企業的內控模式可以在ERM框架的基礎上結合COSO框架進行構建。中國企業在構建內控體系時，要重點關注戰略目標、法人治理結構、商業倫理和風險管理四個方面。在此基礎上，中國企業的內控框架應分為內控目標和控制要素兩個維度：目標維度包括戰略目標、經營目標、報告目標和合規目標，要素維度包括控制環境、風險管理、控制活動、信息和交流、監控。這四個目標和五個要素有機結合構成了內部控制框架。

關鍵詞：中國企業;內部控制;內控框架

中圖分類號:F270 文獻標識碼:A

文章編號：1001-148X（2007）06-0033-04

一、引言

近年來，無論是以管理水平先進著稱的西方企業，如安然、世界通信、施樂、默克，還是處于管理成長期的中國公司，如四川長虹和中航油，都相繼出現了一系列的管理危機。這些世界旗艦型的大型公司和昔日的明星國企瞬間崩盤所產生的爆炸性影響引發了世界范圍內探討控制企業管理危機的風潮，究竟什么是導致管理危機的根源成了專家學者研究的熱點，從股權結構到公司治理，從內部控制制度到道德倫理，紛紛被列為根治管理危機的良方。溯本清源，目前最被認同的應該是建立并執行有效的內部控制制度。

鑒于內部控制制度建設、執行與監督等方面的薄弱，世界各國紛紛通過立法，加強公眾公司會計監督和內部控制，如美國的《薩班斯－奧克斯利法案》、澳大利亞的《公司法經濟改革法案》、中國證監會發布的《關于做好證券公司內部控制評審工作的通知》、中國人民銀行的《商業銀行內部控制指引》、財政部頒布的《內部會計控制規范—基本規范》和6項具體內部控制規范。

面對眾多的規定和理論，中國企業（下文主要指大型國有企業）也在紛紛制定自己的內部控制制度，但是企業在制定時會遇到一個問題：中國的內部控制整體框架還不夠明晰。這種現狀導致已經建立的內部控制制度形式五花八門，一方面不能保證內控是否切實有效，另一方面不利于內控的監督評價。

針對上述問題，筆者擬以COSO框架和ERM框架為切入點，進一步溶入本土元素后提出中國企業的內控模式，希望能夠為中國企業建立內控起到一些借鑒作用。

二、COSO框架和ERM框架

在西方，內部控制經歷了四個理論階段（儲稀梁，金融會計，2004第6期）：內部牽制階段、內部控制階段、內部控制結構階段和一體化控制階段。其中一體化控制階段先后出臺了COSO框架和ERM框架：20世紀80年代以來，虛假財務報表時有發生，為此，美國成立了“反虛假財務報告委員會”，下設專門致力于內部控制研究的“發起組織委員會\"”（Committee of Sponsoring Organizations of the Treadway Commission， 簡稱COSO）。COSO于1992年提出了《內部控制——整體框架》(COSO框架)，并于1994年修訂。2004年10月份，COSO委員會在《內部控制——整體框架》的基礎上結合《薩班斯－奧克斯法案》的相關要求進行擴展研究，發布了《企業風險管理——整體框架》（Enterprise Risk Management，ERM框架）。兩個框架在內部控制的內涵、控制目標、控制要素等方面均有一定的差異。具體如表1所示：

定義[]內部控制是一個過程，受企業董事會、管理當局和其他員工影響，旨在保證財務報告的可靠性、經營的效果和效率，以及現行法規的遵循[]風險管理是由企業董事會、管理當局和其他員工共同實施的，應用于企業戰略制定及各個層次的活動，旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險，為實現企業各類目標提供合理保證的過程。

目標[]經營的效率和效果財務報告的可靠性法律法規的遵循性[]戰略目標經營的效率和效果財務報告的可靠性法律法規的遵循性

要素[]控制環境風險評估控制活動信息的溝通監督[]內部環境目標設定事例識別風險評估風險反應控制活動信息和溝通監督

另外，ERM框架在內控管理人員職責上也有變化，主要體現在：董事會對內部控制負總體責任，對風險管理要更加警惕；CEO必需識別目標和戰略方案，并且使其分類為戰略目標、經營目標、報告目標和遵循性目標；增設風險主管或風險經理，建立職責范圍內風險管理，同時還要幫助其他經理人報告企業風險信息；內部審計人員在監督和評價成果方面承擔重要任務，不僅要對CFO、內審委員會負責，還要對風險主管負責。

通過上述對比，ERM框架在戰略目標和風險管理等方面較COSO框架有較大的突破。下文就將以ERM框架為基礎結合COSO框架構建我國企業的內控模式。

三、中國企業的內控模式

（一）內控建設重點關注的幾個方面

從理論上說，企業的內部控制是企業制度的組成部分，是在企業經營權與所有權分離的條件下對投資者利益的保護機制。目前在中國企業中國家獨資或直接控股的所有權雖然由國資委代管，但由于國資委建立時間較短及所掌管的企業較多等原因，除了已經采取了績效考核措施外，關于如何規范企業的管理還存在一定的“缺失”；而國家間接控股的企業往往是集團公司下設股份公司，股份公司作為上市部分在資本市場中打拼，但集團和股份的管理層存在重疊。 前者是所有權和經營權分離，但所有權弱于經營權，管理者設立內控的外趨力不足；后者是所有權和經營權分離程度不夠，即便按照資本市場的要求建立內控，仍然會存在“內部人”控制的現象。鑒于此，一方面要求內控制度法制化，另一方面要求完備的法人治理結構，這兩點是中國企業內控制度構建的前提。

從企業自身的管理水平和人員素質來講，中國企業或多或少地存在追求短期目標、風險管理意識薄弱、商業倫理掩蓋于經濟利益之下等現狀。

針對上述問題，筆者認為中國企業在構建內控體系時，要重點關注戰略目標、法人治理結構、商業倫理和風險管理四個方面。

1．戰略目標

目標決定一切，內部控制能否有效， 往往是在一開始確立公司目標時就已經鑄定了。

原COSO 報告中內部控制包含三個目標：經營目標、財務報告目標、合法性目標。內部控制框架建立后，財務危機仍層出不窮，COSO委員會進而在新的ERM 框架中提出了一個新的目標——戰略目標，與企業的任務和預期相聯系并支持企業的任務和預期。該目標的層次比其他三個目標更高。

戰略目標的提出既是實踐檢驗的結果，也是順應企業經營過程的必然。企業經營的源頭即戰略的制定，管理者首先要制定企業的戰略目標，其他三個目標的制定是以企業戰略目標確定的任務或預期為前提的，應與企業的戰略相聯系，四個目標通過有機的聯動并在企業內層層分解和落實最終實現企業整體經營過程的管控。離開戰略目標談內部控制恰似無源之水。

戰略目標確定后，在內部控制的所有要素中均應該有所體現以保障戰略目標的實現，尤其是在控制活動和監督環節，所有經營活動都應該符合戰略的要求，與戰略目標不適應的經營活動在流程中無法執行和運轉。這樣可以有效避免企業經營風險以達到最佳的效率和效果。在此再來看看中航油事件：中航油集團在海外設立上市公司的戰略目標是為了取得一個價格相對平穩的國際油價。但是， 這一目標卻在執行中被改變為通過投機性場外交易來博取利差并導致了中航油最終受到毀滅性的打擊。很多分析認為中航油具備良好的內控制度，但執行上未遵守制度，使其出了問題。其實，內控制度是一個閉環系統，因為有流程有監督，才構成了良好的制度，所以筆者認為，中航油事件首先應該說其內控制度不完善，一方面存在有流程不執行的問題，另一方面還存在其戰略目標未在內部控制各要素中體現導致流程本身缺失的原因。

2．法人治理結構

控制活動作為內控的核心，是在法人治理解決了股東、董事會、監事會、經理之間的權責利劃分之后，董事會和經理為了保證受托責任的順利履行，而做出的主要面向次級管理人員和員工的控制。由此可見法人治理結構是內部控制的環境和前提，是整個內部控制系統的基石，支撐和決定著其他要素。完善的法人治理結構有利于內部控制制度的建立和執行，如果治理結構不健全則很難保證建立一套有效的監督機制，內部控制失敗的風險也就非常大。

法人治理結構的架構應該是：所有者通過法定形式進入企業行使職能，通過在企業內的權力機構、決策機構、監督機構和執行機構，保障所有者對企業的最終控制權，形成所有者、經營者和勞動者之間的激勵和制衡機制，并通過建立科學的領導體制、決策程序和責任制度，使相互的權利得到保障、行為受到約束。而優化公司治理結構就是建立一套多層委托代理、權責分明、相互制衡、相互協調的制度，治理的作用不涉及公司業務經營問題，其主要功能是權力的配置，即所有權的約束。

中國企業最大的特色就是“一股獨大”，股東大會、董事會、監事會人員重疊，并沒有真正形成科學的法人治理機制。公司的一切重大事項，如公司章程的變更，董事的任免，重大投資計劃，年度財務預決算、利潤分配等必須經由股東大會作出決議的基本上都由大股東或者說是董事會決定。這種權力層次中職位重疊、董事會成員缺乏獨立性的法人治理結構影響了公司決策執行質量和市場經營風險分散原則，容易導致企業決策失誤、經營管理低效率。

對我國企業內部控制基礎薄弱的現狀，建立產權清晰、權責明確、政企分開、管理科學的現代企業制度，消除內部人控制現象，是完善內部控制環境，使內部控制有效運行的保證。

3．風險管理

ERM框架中豐富了風險管理的內容，在原COSO框架的五要素基礎上又增加了目標設定、事件識別、風險對策三要素，并引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”（將產生正面影響的事件視為機會），因此，該框架可以涵蓋信用風險、市場風險、操作風險、戰略風險、聲譽風險及業務風險等各種風險。該框架在風險度量的基礎上，將風險管理從企業戰略制定一直貫穿到企業的各項活動中，有利于企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，從而幫助董事會和高級管理層實現內控管理的目標。

結合ERM框架和中國企業目前所面臨的環境和管理者素質，中國企業有必要從風險識別、風險評估和風險對策三個方面強化風險管理，并按以下步驟結合風險偏好和風險容忍度等概念管理企業所有重要的控制活動：

第一步： 識別各種可能導致企業價值減少（損失）的重大風險。

第二步： 衡量潛在損失可能發生的頻率和程度。

第三步： 開發并選擇適當的風險管理方法，其目的是增加股東的價值。

第四步： 實施所選定的風險管理方法。

第五步： 持續地對公司風險管理方法和風險管理戰略實施情況和適用性進行監督。

4．商業倫理

道德和法制是控制經濟運行良性的兩大法寶。道德賦予經濟內涵后即可稱之為商業倫理，商業倫理的核心在于誠信，其表現應為“其言必信，其行必果，已諾必成，不愛其驅”。內控的核心是控制活動的執行，而商業倫理和監督是支撐活動被執行的雙保險。正所謂長城太長防不勝防，任何制度都不會天衣無縫，制度的落實需要內力和外力的互相配合，倫理和監督共同保障制度的有效。

面對商業丑聞，首先要判斷是商業倫理缺失偏重還是制度立法存在空白，然后去實施補救措施。不同的國家根據本國的實際會面對不同的情況會有不同的處理方法：美國在提倡商業倫理的同時偏重法制的設立和監督，通過立法力爭實現對商業欺詐的打壓，原因在于美國多年來已經形成了一個基于信仰本身的商業倫理氛圍?！翱偸茄鐾烫眉忭數娜藗?，較易遵守財富操守和準則，因為清教徒追求財富是為了榮耀上帝，并使自己死后可以進入天堂，這樣的財富倫理使得清教徒相信取才必須有道。”（趙曉2005有教堂的市場經濟與無教堂的市場經濟），盡管人們不相信信仰真的能絕對凈化人的倫理，但是也不能否認信仰所形成的倫理觀是市場法律背后的一個強大支柱。那么中國呢？筆者認為應在完善制度的同時重視商業倫理。一方面我國的制度本身還不夠完善，目前尚沒有COSO這樣完整的框架，另一方面我國的商業倫理也正接受市場經濟的洗禮，商業活動中的誠信和欺詐正處在反復博弈的初期，所以建立制度的同時一定要強調商業倫理。

中國企業應結合企業文化創建商業倫理，核心是強調誠信建設和社會責任。企業應以樹立誠信意識并使企業基于利益目的誠信意識升華為一種自發的主動商業倫理精神為目標進行誠信建設；同時中國企業要樹立社會責任意識，一方面原于中國企業的國有身份，另一方面也是企業取自社會回報社會的必然。意識的培養配合相應行為的表彰和獎懲定會為企業營造一個講求商業倫理的氛圍。

（二）內控框架

結合上述COSO、ERM框架和中國企業重點關注的內容，筆者認為中國企業的內控框架應為：

第一維度：內控的四個目標，即戰略目標、經營目標、報告目標和合規目標。

第二維度：控制的五要素：控制環境、風險管理、控制活動、信息和交流、監控。

控制環境：包括員工的商業倫理和勝任能力；法人治理結構；管理層的管理哲學和經營方式；組織結構與信息流通；授予權力和責任的形式；職權和職責的分配；人力資源政策和實施等內容。

在此未采用ERM框架中的內部環境在于法人治理結構中部分內容如股東大會嚴格意義上屬于外部范疇，控制環境則能涵蓋上面所有的內容。

風險管理：是指管理層對完成目標所采取的相應行動所面對的相關風險進行識別、評估，并如何應對風險的過程。包括風險識別、風險評估和風險對策。

在此用風險管理替代COSO中風險評估原因在于風險管理的內容豐富于風險評估，能夠作為一種管理手段更好地支撐控制活動；未采取ERM擴展后的幾要素原因在于幾個要素單獨出來過于零散，因為風險管理一詞既能包含其擴展的所有要素，又能夠和控制環境等其他四大要素處于同一個級次。

控制活動：包括政策和流程；審批（高層審閱）；保護實物資產；異常報告制度；關鍵績效指標分析；信息系統控制；職責分工。

信息和交流：通過信息系統識別、采集、加工和匯報信息，使相關利益人能夠獲取準確實效的信息。

監控：通過內外部審計及員工的監督、檢查和評價，發現內控缺陷并持續改善。 

五個要素中控制活動是主體內容，控制環境是基礎和前提，風險管理、信息和交流監控作為三個手段共同保障控制活動有效進行。五個要素共同服務于內控的四個目標。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。