內部控制架構評述與構建

　　【摘 要】 本文針對COSO的內部控制整合架構存在外部邊界混亂和內部邏輯混亂這兩方面的問題，提出“融于管理體系中的內部控制架構”，該架構由控制目標、控制主體、控制客體和控制手段四要素組成，并具體分析了這個架構與管理體系的融合，旨在厘清內部控制與管理體系的關系，使內部控制系統具有內在邏輯性。
　　【關鍵詞】 內部控制；管理體系； COSO
　　
　　一、對COSO的內部控制整合框架評述
　　
　　1992年，美國“反對虛假財務報告委員會”所屬的內部控制專門委員會（COSO委員會）提出“內部控制——整合框架” 專題報告。經過兩年的修改，1994年COSO委員會提出對外報告的修改篇，擴大了內部控制的涵蓋范圍，增加了與保障資產安全有關的控制，得到了美國審計署（GAO）的認可。COSO報告提出了全新的內部控制整合框架，這個架構由控制環境、風險評估、控制活動、信息與溝通、監控五項要素構成。COSO所提出的內部控制整合架構得到了許多職業組織的認可，似乎已經成為內部控制架構的經典。然而，筆者認為，內部控制整合架構存在較為嚴重的混亂問題，歸納起來，主要表現在兩個方面，一是外部邊界混亂；二是內部邏輯混亂。下面，筆者來分析這兩方面的問題。
　　
　　（一）外部邊界混亂
　　外部邊界混亂主要是指根據內部控制整合架構，分不清楚內部控制與管理體系的界線。內部控制整合架構將內部控制的目標定義為三個方面：經營效率和效果；財務報告可靠性；遵守法律和法規。后來，在GAO等機構的影響下，于1994年的修改稿中增加了財產保護目標。所以，內部控制整合架構共有四項目標。內部控制整合架構反復強調，內部控制是管理體系的組成部分，應該融于管理體系中，那么，管理體系的目標應該是大于內部控制的目標，這是根據內部控制整合架構應該得出的結論。但是，在上述四項目標之外，還有什么目標可以增加進來，作為不屬于內部控制目標但是屬于管理體系目標的目標。有人可能會說，為股東創造價值，增加盈利性，保持企業的可持續發展，這些可以作為管理體系的目標，但是，它們不是內部控制目標。不對，根據內部控制整合架構的解釋，上述目標都可能作為經營效率和效果目標的組成內容，從而歸結為經營效率和效果目標。從總體上來說，內部控制整合架構是內部控制目標等同于管理體系目標了，這無疑是對內部控制目標不應有的擴大。也正是因為這一點，美國《2002年公眾公司會計改革和投資者保護法案》（薩班斯—奧克斯利法案）中提出了一個“財務報告相關內部控制”這個概念，將內部控制目標鎖定在財務報告可靠性上，這實質上是對內部控制整合架構所確定的內部控制目標太寬泛的一種否定。正是由于內部控制整合架構對內部控制目標的寬泛定位，內部控制要素也就非常龐大，由五大要素組成的內部控制幾乎涵蓋了管理體系的所有內容，凡是與內部控制沒有直接關聯的，都作為控制環境納入內部控制。根據內部控制整合架構，與內部控制唯一沒有關系的計劃功能，并且，在后續的風險控制整合架構中，以目標設定的方式將計劃功能也納入了風險管理體系中。事實上，關于內部控制整合架構的外部邊界混亂問題，在內部控制架構作為一個草案征求意見時，就有不少的企業界和管理界人士提出過這個問題，COSO委員會對這個意見沒有引起足夠的重視。
　　
　　（二）內部邏輯混亂
　　為了分析方便，這里列示一下內部控制整合架構各要素的內容。控制環境包括：誠實和道德，對能力的重視，董事會和審計委員會，管理哲學和經營模式，組織結構，權力和責任的分派，人力資源政策；風險評估包括：風險識別和風險分析；控制活動包括：對經營活動的審批、授權、確認、核對、審核，對資產的保護，職責分離；信息與溝通包括：信息系統和溝通兩部分，信息系統由經營信息、財務信息和合規性信息組成，溝通是指每個人都必須明白自己在內部控制系統中扮演的角色及自己的行為與他人的工作如何聯系；監控包括對內部控制系統支持的持續監控和單獨評價。
　　從邏輯上來說，cAk1cn6aIgVd5VcLBU36VQ==內部控制整合架構存在以下問題：一是系統殘缺不全；二是要素間重疊；三是手段與目標不匹配。下面，筆者具體分析這三個問題。首先，關于系統殘缺問題。內部控制作為一個系統，應該有施控主體和受控客體，前者表示誰進行控制，后者表示對什么進行控制。從內部控制整合架構來看，強調了所有人在內部控制中都有責任，這可以理解為從另外一個角度確定了內部控制主體，但是，這種隱含式的表述不如直截了當的方式好。同時，也存在局限性，在有些情況下，不是本組織的外部人（例如，顧客）在某些情形下也可能成為本組織的內部控制主體，內部控制整合架構將這些人排除在控制主體外。關于受控客體也就是控制客體，組織內部的財產、交易、信息及人是內部控制客體，這些客體在一定的場合組成交易循環。內部控制整合架構則基本沒有論及控制客體，這是內部控制整合架構的一個重要缺陷。其次，關于要素間重疊問題。內部控制整合架構中的要素間重疊主要有兩個方面，一是控制環境內部重疊。例如，審計委員會應該是董事會的下屬機構，不應該與董事會并列；組織結構本身就包括權力和責任的分派，而不應該將權力和責任的分配再單獨出來；對能力的重視本身就是人力資源政策的一部分，不應該再單獨列出來。二是控制環境與控制活動重疊。控制活動中的審批、授權、確認、核對、審核以及職責分離，與控制環境中的組織結構及權力和責任的分派重疊。最后，關于內部控制手段和內部目標之間的匹配問題。內部控制整合架構確定了四大目標，但是，由五大要素組成的內部控制手段并不支持其所確定的四大目標，從各要素的內容來看，主要針對的目標是財務報告可靠性、遵守法律和法規及財產保護目標這三大目標，經營效率和效果作為首要目標，在控制手段中并沒有得到重視。從本質上來說，內部控制整合架構還是審計視角的內部控制，不是企業家認可的內部控制，也不是現實生活中的內部控制。
　　
　　二、融于管理體系的內部控制框架：一個思路和兩個關系的界定
　　
　　（一）融于管理體系中的內部控制框架的基本思路
　　
　　將內部控制與管理體系割裂開來，就不可能得到與實踐相符的內部控制架構。如此這般，所能夠得到的將永遠是審計視角下的內部控制架構，而不是企業家認可的內部控制架構，更不是現實生活中的內部控制。內部控制是管理體系的組成部分，要與管理體系的其它內容有機地融為一體。所以，在最初設計整個管理體系時就必須考慮內部控制的要求，其基本思路如圖1所示。
　　
　　（二）內部控制與內部會計控制和財務報告控制的關系
　　2001年，我國財政部頒布實施的《內部會計控制規范》指出，內部會計控制“是指單位為了提高會計信息質量，保護資產的安全、完整，確保有關法律法規和規章制度的貫徹執行等而制定的一系列控制方法、措施和程序”。2002年，《薩班斯—奧克斯利法案》特別針對COSO報告內部控制目標中的“財務報告可靠性”，提出了“財務報告相關的內部控制”（國內有些學者直接將其稱為財務報告內部控制）的概念。SEC在隨后發布的33-8138提案中，首次對財務報告相關內部控制進行了詮釋。提案指出，財務報告相關內部控制的目的是確保公司設計的控制程序能為下列事項提供合理保證：公司的業務活動經過合理的授權；保護公司的財產避免未經授權或不恰當的使用；公司的業務活動被恰當地記錄并報告，從而保證上市公司的財務報表符合公認會計原則的編報要求。同時，該定義與美國1934年《證券交易法》第13（b）（2）（B）對內部會計控制的描述一致。
　　
　　由此可見，在美國現行法規中，內部會計控制的概念等同于財務報告內部控制；而在我國，內部會計控制作為一個較內部控制更為普遍使用的概念，其目標主要體現在會計信息可靠、揭錯防弊、資產保護和法規遵守幾個方面，它的內涵等于財務報告內部控制。
　　筆者認為，《內部會計控制規范》中所謂的“內部會計控制”就其本質而言是與實踐聯系最緊密也是最貼切的“內部控制”；當前美國倡導的“財務報告內部控制”實質上是“內部會計控制”，只不過“財務報告內部控制”這個概念更側重于從結果角度表述，而“內部會計控制”則是以行為過程的角度進行的表達；任何以COSO報告為藍本提出的“內部控制”的概念，由于將經營效率和效果甚至戰略作為內部控制的目標，使得從根本上就無法分清內部控制與管理體系的關系、控制目標與控制措施不匹配，從而都是值得置疑的。所以，內部控制就是會計控制，也就是財務報告內部控制。
　　接下來，系統分析融于管理體系的內部控制框架的構成要素及其之間的相互關系。
　　
　　三、融于管理體系的內部控制框架構成要素
　　
　　（一）內部控制的目標
　　內部控制目標是指內部控制在既定環境中所能夠達到的具有現實意義和可操作性的目的。具體說來，有三方面的內容：
　　1.安全性目標：堵塞漏洞、消除隱患，防止并及時發現、糾正錯誤及舞弊行為，防止非法交易，保護組織財產的安全、完整；
　　2.真實性目標：規范信息行為，保證信息的真實、完整；
　　3.符合性目標：確保國家有關法律法規、所有者意愿和內部制度的貫徹執行。
　　
　　（二）內部控制的主體
　　內部控制主體，即內部控制的施控者，是指誰來進行內部控制。控制主體既是區分內部控制與外部控制的標志，也是構建內部控制內容體系的基礎。主體身份與具有獨立法人資格的組織之間的隸屬關系是判斷“內部”與否的原則性標準。這一點與公司治理中的“內部人”是有區別的。公司治理中的“內部人”將未直接參與經營管理的股東排除在外，但在內部控制中“股東”作為組織資本要素的所有者被完整地納入到控制主體的范疇中。當然，職務上的隸屬關系既可能是緊密型的，也可能是松散型的。所謂“緊密”，是指與組織之間具有較為固定或長期的關系且個人利益與組織利益被組織內的契約捆綁在一起。“松散”則是指個人利益與組織利益沒有太多關聯，如公司中的獨立董事。松散型的職務隸屬關系往往是內部控制與外部監管或市場機制的結合部。在任何一個組織中，內部控制的主體具有顯著的層次性。
　　
　　（三）內部控制的客體
　　控制客體亦即控制對象，是指對什么進行控制。出于對控制客體剖析的詳細程度不同，一般將其分為具體對象和交易循環兩個層級。
　　1.內部控制的具體對象
　　（1）財產。作為內部控制客體的財產是指組織享有的、能夠帶來經濟利益的資源。其中不僅包括具有經濟價值和實物形態的物品，以及貨幣和有價證券，還包括智力成果——精神（或知識）財富。對財產予以控制的目的在于保護其安全與完整。組織對財產享有方式表現為：擁有所有權；擁有控制權和擁有使用權。
　　（2）交易。交易是當事人達成協議并付諸于實施的過程。作為內部控制客體的交易，其內部性集中體現在交易主體的內部性上，也就是說，無論交易的行為地在何處，只要交易當事人中至少有一方屬于“內部人”，則該交易為內部控制的對象。對交易實施控制的直接目的在于保證交易符合國家法律法規、股東意愿和企業制度，間接目的則是保護企業財產的安全完整。
　　（3）信息。泛指各種情報、資料、消息和數據。作為內部控制客體的信息具有來源上的“內部性”，即信息來源于組織內部信息系統（包括會計信息系統和統計信息系統）。信息勾勒了過去、現在和未來的輪廓，是內部控制主體了解組織狀況的基礎，是控制主體選擇實施內部控制手段的重要依據，更是對內部控制進行評價不可或缺的因素。對信息實施控制的直接目的在于確保信息的真實與完整，同時，為實現“安全性”目標和“符合性”目標打下信息真實的基礎。
　　
　　對控制主體而言，會計信息和統計信息都源自常規的信息系統，都是程式化了的常規信息。當系統出現人為干擾因素時，常規信息的質量將受到影響。此時，干擾因素的來源、影響的狀況及后果將形成有別于常規信息的“另類信息”。“另類信息”是無法通過常規信息系統被控制主體獲悉的。申訴、舉報等特殊溝通渠道將發揮重要作用，成為常規信息系統的有益補充。
　　2.交易循環
　　簡言之，交易循環是以基本業務流程為基礎的財產、交易和信息的有機組合。只有當財產、交易和信息有機地組合在一起，形成一個完整健康的交易循環體系時，管理的目標才能夠得以實現。應該指出的是，如何劃分業務循環，應該視企業的業務性質和規模而定。例如，對于銀行而言，沒有生產循環，但有貸款循環和活期存款業務循環。同時，在實踐中，可以按照專業判斷去劃分特定的業務循環，如可以將銷售與收款循環，按照處理銷貨的程序和處理現金的程序化分為兩個循環進行考查。
　　
　　（四）內部控制方法體系
　　幾乎所有的管理方法都能夠或多或少地發揮內部控制作用。但是，為了完成實現內部控制目標，除了依賴管理方法外，還要為一些專門的方法。也就是說，如果不考慮內部控制目標，這些方法在管理體系中是不會出現的，正是由于內部控制的特別要求，才出現了這些方法。管理方法與內部控制方法歸納起來如表1所示。
　　
　　四、結束語
　　
　　本文通過對COSO的內部控制整合架構的評述，提出了“融于管理體系的內部控制架構”，這個架構由控制目標、控制主體、控制客體和控制手段構成，這個架構的努力主要體現在兩個方面，一是厘清了內部控制與管理體系的關系；二是做到了內部控制系統具有內在邏輯性。客觀地說，并不是提出了一個嶄新的內部控制框架，只是系統整理了以往內部控制框架體系中沒有能夠得到厘清的一些事實，還內部控制以本來面目。當然，“融于管理體系的內部控制框架”是否與現實生活相符，有待實證研究來檢驗。●
　　
　　【參考文獻】
　　[1] 朱榮恩，應唯，袁敏.美國財務報告內部控制評價的發展及對我國的啟示.會計研究，2003，8：48～53.
　　[2] 財政部關于印發《企業內部控制規范—基本規范》和17項具體規范（征求意見稿）的通知.財會便，2007第7號.
　　[3] 鄭石橋.內部控制設計—融于管理體系中的內部控制.第1版.烏魯木齊：新疆科學技術出版社，2003.13.
　　[4] 鄭石橋等. 內部控制基本原理—融于管理體系中的內部控制. 第1版. 烏魯木齊：新疆科學技術出版社，2004.8。
　　[5] The Committee of Sponsoring Organizations of the Treadway Commission. 1994.Internal Control—Integrated Framework， 1992.
　　[6] The Committee of Sponsoring Organizations of the Treadway Commission. 1994. Internal Control—Integrated Framework， 1994 .
　　[7] Sarbanes-Oxley section 404： management assessment of internal control and the proposed auditing standards. 2003. KPMG， March.
　　[8] The Committee of Sponsoring Organizations of the Treadway Commission. 2004. Enterprise Risk Management Integrated Framework.