企業內部控制評價標準思考

□文/秦劍華

（大連港股份有限公司 遼寧·大連）

企業內部控制評價的目標簡單地講，就是評價企業內部控制的有效性。而內部控制的有效性從根本上來講是要根據內部控制目標的實現來判定的。所謂內部控制：是指一個企業的各級管理層，為了保護其經濟資源的安全、完整，確保經濟和會計信息的正確可靠，協調經濟行為，控制經濟活動，利用企業內部分工而產生的相互制約、相互聯系的關系，形成一系列具有控制職能的方法、措施、程序，并予以規范化、系統化，使之成為一個嚴密的、較為完整的體系。

內部控制評價標準，是企業進行內部控制評價所遵循的依據，是對內控制度建立健全及執行情況的基本要求和判斷標準。從廣義上看，內部控制標準，不僅是指考核與評價的標準，同時還是內部控制設計和執行應遵循的準則或要求。從狹義上看，內部控制標準，是指考核和評價企業內部控制對于保證企業管理計劃實現和各項資源有效使用的標準。內部控制評價標準既可以從企業管理與控制目標方面去制定，也可以從企業控制要素方面去制定。在實際工作中，對內部控制進行評價，必須有一套客觀可行的基本參照標準，分為內部控制評價一般標準和具體標準。內部控制評價的一般標準，是指應用于企業內部控制評價各個方面的標準，即企業內部控制制度整體設計和運行應遵循和達到的目標，主要包括被評價內部控制的健全性、合理性及有效性。內部控制評價的具體標準是指應用于內部控制評價具體方面的標準，可分為要素標準和作業標準兩個層級。內部控制具體標準是一般標準的體現，一般標準是具體標準的基礎。只有從操作性較強的具體標準入手，對具體內部控制的設計與運行有了認識之后，才能通過總結、升華，從整體上對企業內部控制的有效性做出判斷。對于企業內部控制有效性的評價標準可從設計和執行的有效性兩方面考慮。

一、內部控制評價一般標準

建立完善內部控制標準應當以“完整性”、“合理性”、“有效性”原則為指導。首先要從本企業的組織結構開始，主要包括：確定企業的組織結構形式，明確相關的管理職能和報告關系，以及為每個組織單位內部劃分責任權限。

1、內部控制標準的完整性。內部控制評價標準既可以從企業管理與控制目標方面入手，也可以從內部控制要素入手，因此應當具有一定的前瞻性和多層次性。企業管理與控制目標一般包括三方面：完整性、合理性、有效性；具體由內部控制要素評價標準和作業操作層評價標準兩部分組成。內部控制要素評價標準可分為五個方面：控制環境、風險評估、控制活動、信息與溝通、監督；作業操作層級評價標準因其浩繁復雜，不能窮盡。以生產性企業為例亦分為五個業務循環：銷售業務循環、購貨業務循環、生產業務循環、薪酬業務循環、理財業務循環。

在內部控制評價的具體標準中，要素評價標準以作業操作層級評價標準為基礎，確切地說就是，作業操作層級評價標準主要是控制活動要素評價標準的細化，對企業控制活動要素的評價要以作業操作層級的評價為基礎和前提。但這并不意味著其他內部控制要素不體現在企業的業務活動中，恰恰相反，在進行作業操作層級評價時都會涉及到其他內部控制要素，如控制環境與風險評估要素是滲透在業務活動中的，控制活動的好壞同時也體現著信息與溝通及監督的良莠。

2、內部控制標準的合理性。內部控制標準的合理性同樣包括兩層涵義：一是指內部控制標準設計和執行時的適用性、可控性；二是指內部控制標準設計和執行時的經濟性、務實性。在滿足了完整性這條首要標準之后，合理性是對內部控制更深一層次的要求。如果內部控制不具有完整性，則合理性與有效性就無從談起；同樣，若只追求全而又全的各種內部控制措施、方法等，而忽略設計和執行中的適用性、可控性和經濟性、務實性，其結果只能是完全背離實施內部控制標準的初衷，甚至會給企業的正常生產經營造成負面影響，有效性也同樣成了無稽之談。

在評價內部控制的合理性時，適用性、可控性是首要的，它是指企業所建立的內部控制標準應適合企業的特點和要求。各行業及各企業內部由于其組織規模、交易性質、經濟技術條件、人員素質等所存在的差異，就相應地需要制定出具有不同特點的內部控制標準，照搬其他企業的做法是行不通的。對某一特定企業來說，評價其內部控制的適用性要注意以下內容：（1）控制點的設置是否合理。如：組織結構控制、授權批準控制、會計記錄控制、資產保護控制、預算控制、職工素質控制、風險控制等等；（2）有沒有安排過多或不必要的控制點。在每一個需要控制的地方是否都建立了控制環節，如是否遵循不相容職務相分離的原則，即一項經濟活動通常可以劃分五個步驟，即：授權、簽發、核準、執行和記錄，如果上述每一步驟均由相對獨立的人員或部門實施，就能夠保證不相容職務的分離，便于內部控制作用的發揮；（3）控制職能是否劃分清楚。各崗位人員間的分工和牽制是否恰當，即既不能分工過細，又能起到相互牽制、相互控制的作用。

然而，內部控制標準的適用性、可控性要以經濟性、務實性為限制條件。內部控制標準的最終目的是提高企業的經濟效益，減少低效和投資浪費。因而，制定內部控制標準要以成本效益原則為指導，一方面內部控制標準的設計和運行應有重點，對企業經濟活動有重要影響的部門和環節應實施強有力的控制；另一方面要在實行內部控制所花費的成本和由此產生的經濟效益之間保持適當的比例，即因實行內部控制所花費的代價不能超過由此而獲得的效益，否則，就得不償失。

3、內部控制標準的有效性。內部控制標準的有效性也有兩層涵義：一是指企業的內部控制政策和措施沒有與國家法律法規相抵觸的地方；二是指設計完整、合理的內部控制標準在企業的生產經營過程中，能夠得到貫徹執行并發揮作用，實現其提高公司經營效率、效果、提供可靠財務報告和遵循法律法規提供合理保證的目標。良好的內部控制標準是實現企業的主要創意和目標根本，可以有助于消除企業管理瓶頸、冗余和不必要的步驟，有效性是內部控制標準的精髓，如果一種內部控制制度不能實現有效性、可控性，實質上就不存在什么內部控制標準了。

在內部控制評價的三個標準中，內部控制的有效性以其完整性與合理性為基礎，內部控制的完整性與合理性則以其有效性為目的。若不具有完整性與合理性，則內部控制的有效性無從談起；同理，若沒有了有效性，則內部控制的完整性與合理性也就喪失了基本的意義。

在評價內部控制的有效性時，第一層涵義即不與國家法律法規相抵觸是前提，只有滿足了這一點，才能考慮其執行的效果；而第二層涵義對企業來說則是根本性的，也是企業追求的目標。如果只滿足了合法合規的前提，而在實際中根本不予執行或執行起來達不到預計效果，則內部控制對該企業來說就相當于不存在。內部控制制度設計的再完善，若沒有稱職的人員來執行，也不能發揮作用。因此，企業的用人政策直接影響著企業能否吸收較高能力的人員來執行內部控制制度，重視對內部控制制度管理人員的選用和培訓，也是內部控制有效性的關鍵。

有效性要求內部控制制度能有效地防止錯誤與弊端的發生，產生效率和效益。這不僅需要內部控制總體上是有效的，而且需要各項具體制度也要有明確的目的并發揮其自身的作用。因此，內部控制系統要相互協調，決不能顧此失彼、自相矛盾，既要有制約作用，又要有協調機制，以有利于整體功能的發揮。控制要適度，過嚴會使管理活動失去生機，影響職工積極性的發揮；過寬又會引起運行的機制失調，達不到控制目的。任何制度都要有利于管理者和企業員工的理解和執行，因此要簡明扼要、方便易行、講究實效。

二、內部控制評價標準具體實踐

以上三個標準屬于評價內部控制的一般標準，一個企業的具體內部控制浩繁龐雜，因此無論是設計內部控制制度要素評價標準，還是作業操作層級評價標準，都需要有一個較為統一的評價標準模式。筆者認為，評價標準模式可以按以下層級設計：

1、控制目標。在實際工作中，管理人員和審計人員總是根據控制目標，建立和評價內部控制，因此，設計評價標準模式，首先應根據經濟活動的內容特點和管理要求提煉內部控制目標。確保企業經營活動的安全、完整，確保企業經營信息和會計信息的正確可靠。以會計記錄控制為例：會計記錄控制的目標是保證會計信息反映及時、完整、準確、合法。一個企業的會計機構實行會計記錄控制，要建立會計人員崗位責任制，對會計人員進行科學的分工，使之形成相互分離和制約的關系。在會計核算中規定經濟業務一經發生，就應對記載經濟業務的所有憑證進行連續編號，通過復式記賬，在兩個或兩個以上相關賬戶中進行登記，以防止經濟業務的遺漏、重復，對余額明細核對、各種報表相關數字核對，以及由此而規定的內部稽核制度等。

2、控制點。各項控制目標分別需要通過若干相應的控制因素予以實現，而這些控制因素作用的發揮，則是根據某些容易發生錯弊的業務環節特點進行針對性控制。這些可能發生錯弊的業務環節，稱為控制點。如以會計記賬為例：如出納員不得兼管稽核、會計檔案保管和收入、費用、債權債務賬目的登記工作；銀行票據的簽發印鑒，必須有兩人分別掌管；向銀行提取較大數額現金時，必須由兩人以上，對領款、點驗安全入庫的全過程共同負責；倉庫材料明細賬要設專人稽核或另設記賬員記賬；管錢、管物、管賬人員因故離開工作崗位或調動工作時，規定要由主管領導指定專人代理或接替，并監督辦理必要的交接手續或正式移交清單等，通過設置各崗位職務相互分離制度都是防錯防弊的內部控制制度的控制點。

3、控制措施。不同的控制點，有著不同的業務內容和控制目標，因此需要采取不同的控制手續和方法，才能預防和發現各種錯弊。這些為預防和發現錯弊而在某控制點所運用的各種控制手續和方法等，即為控制措施。按此模式進行內部控制標準構造，不同行業、企業為實現控制目標所采取的控制措施可能相去甚遠，不能窮盡。以計算機財務管理系統操作權限和控制方法為例，加強對會計電算化系統的管理和控制是會計系統安全、正常運行的前提。對會計電算化進行內部控制，要明確系統管理人員、維護人員不得兼任出納、會計工作，任何人不得利用工具軟件直接對數據庫進行操作。程序設計人員還應對數據庫采用加密技術進行處理，嚴格按會計電算化系統的設計要求配置人員，健全數據輸入、修改、審核的內部控制制度，保障系統設計的處理流程不走樣變型。對存取權限進行控制，設多級安全保密措施，系統密匙的源代碼和目的代碼，應置于嚴格保密之下。從計算機系統處理方面對信息提供保護，通過用戶密碼口令的檢查，來識別操作者的權限，操作權限（密級）的分配，應由財務負責人統一專管，以達到相互控制的目的，明確各自的責任。