内部控制架构评述与构建

内部控制架构评述与构建〔作者:___________单位:___________:___________〕

【摘要】本文针对COSO的内部控制整合架构存在外部边界混乱和内部逻辑混乱这两方面的问题，提出“融于管理体系中的内部控制架构〞，该架构由控制目标、控制主体、控制客体和控制手段四要素组成，并具体分析了这个架构与管理体系的融合，旨在厘清内部控制与管理体系的关系，使内部控制系统具有内在逻辑性。

【关键词】内部控制；管理体系；COSO

一、对COSO的内部控制整合框架评述

1992年，美国“反对虚假财务报告委员会〞所属的内部控制专门委员会〔COSO委员会〕提出“内部控制——整合框架〞专题报告。经过两年的修改，1994年COSO委员会提出对外报告的修改篇，扩大了内部控制的涵盖范围，增加了与保障资产平安有关的控制，得到了美国审计署〔GAO〕的认可。COSO报告提出了全新的内部控制整合框架，这个架构由控制环境、风险评估、控制活动、信息与沟通、监控五项要素构成。COSO所提出的内部控制整合架构得到了许多职业组织的认可，似乎已经成为内部控制架构的经典。然而，笔者认为，内部控制整合架构存在较为严重的混乱问题，归纳起来，主要表现在两个方面，一是外部边界混乱；二是内部逻辑混乱。下面，笔者来分析这两方面的问题。

〔一〕外部边界混乱

外部边界混乱主要是指根据内部控制整合架构，分不清楚内部控制与管理体系的界线。内部控制整合架构将内部控制的目标定义为三个方面：经营效率和效果；财务报告可靠性；遵守法律和法规。后来，在GAO等机构的影响下，于1994年的修改稿中增加了财产保护目标。所以，内部控制整合架构共有四工程标。内部控制整合架构反复强调，内部控制是管理体系的组成局部，应该融于管理体系中，那么，管理体系的目标应该是大于内部控制的目标，这是根据内部控制整合架构应该得出的结论。但是，在上述四工程标之外，还有什么目标可以增加进来，作为不属于内部控制目标但是属于管理体系目标的目标。有人可能会说，为股东创造价值，增加盈利性，保持企业的可持续开展，这些可以作为管理体系的目标，但是，它们不是内部控制目标。不对，根据内部控制整合架构的解释，上述目标都可能作为经营效率和效果目标的组成内容，从而归结为经营效率和效果目标。从总体上来说，内部控制整合架构是内部控制目标等同于管理体系目标了，这无疑是对内部控制目标不应有的扩大。也正是因为这一点，美国?2002年公众公司会计改革和投资者保护法案?〔萨班斯—奥克斯利法案〕中提出了一个“财务报告相关内部控制〞这个概念，将内部控制目标锁定在财务报告可靠性上，这实质上是对内部控制整合架构所确定的内部控制目标太宽泛的一种否认。正是由于内部控制整合架构对内部控制目标的宽泛定位，内部控制要素也就非常庞大，由五大要素组成的内部控制几乎涵盖了管理体系的所有内容，但凡与内部控制没有直接关联的，都作为控制环境纳入内部控制。根据内部控制整合架构，与内部控制唯一没有关系的方案功能，并且，在后续的风险控制整合架构中，以目标设定的方式将方案功能也纳入了风险管理体系中。事实上，关于内部控制整合架构的外部边界混乱问题，在内部控制架构作为一个草案征求意见时，就有不少的企业界和管理界人士提出过这个问题，COSO委员会对这个意见没有引起足够的重视。

〔二〕内部逻辑混乱

为了分析方便，这里列示一下内部控制整合架构各要素的内容。控制环境包括：老实和道德，对能力的重视，董事会和审计委员会，管理哲学和经营模式，组织结构，权力和责任的分派，人力资源政策；风险评估包括：风险识别和风险分析；控制活动包括：对经营活动的审批、授权、确认、核对、审核，对资产的保护，职责别离；信息与沟通包括：信息系统和沟通两局部，信息系统由经营信息、财务信息和合规性信息组成，沟通是指每个人都必须明白自己在内部控制系统中扮演的角色及自己的行为与他人的工作如何联系；监控包括对内部控制系统支持的持续监控和单独评价。

从逻辑上来说，内部控制整合架构存在以下问题：一是系统残缺不全；二是要素间重叠；三是手段与目标不匹配。下面，笔者具体分析这三个问题。首先，关于系统残缺问题。内部控制作为一个系统，应该有施控主体和受控客体，前者表示谁进行控制，后者表示对什么进行控制。从内部控制整合架构来看，强调了所有人在内部控制中都有责任，这可以理解为从另外一个角度确定了内部控制主体，但是，这种隐含式的表述不如直截了当的方式好。同时，也存在局限性，在有些情况下，不是本组织的外部人〔例如，顾客〕在某些情形下也可能成为本组织的内部控制主体，内部控制整合架构将这些人排除在控制主体外。关于受控客体也就是控制客体，组织内部的财产、交易、信息及人是内部控制客体，这些客体在一定的场合组成交易循环。内部控制整合架构那么根本没有论及控制客体，这是内部控制整合架构的一个重要缺陷。其次，关于要素间重叠问题。内部控制整合架构中的要素间重叠主要有两个方面，一是控制环境内部重叠。例如，审计委员会应该是董事会的下属机构，不应该与董事会并列；组织结构本身就包括权力和责任的分派，而不应该将权力和责任的分配再单独出来；对能力的重视本身就是人力资源政策的一局部，不应该再单独列出来。二是控制环境与控制活动重叠。控制活动中的审批、授权、确认、核对、审核以及职责别离，与控制环境中的组织结构及权力和责任的分派重叠。最后，关于内部控制手段和内部目标之间的匹配问题。内部控制整合架构确定了四大目标，但是，由五大要素组成的内部控制手段并不支持其所确定的四大目标，从各要素的内容来看，主要针对的目标是财务报告可靠性、遵守法律和法规及财产保护目标这三大目标，经营效率和效果作为首要目标，在控制手段中并没有得到重视。从本质上来说，内部控制整合架构还是审计视角的内部控制，不是企业家认可的内部控制，也不是现实生活中的内部控制。

二、融于管理体系的内部控制框架：一个思路和两个关系的界定

〔一〕融于管理体系中的内部控制框架的根本思路

将内部控制与管理体系割裂开来，就不可能得到与实践相符的内部控制架构。如此这般，所能够得到的将永远是审计视角下的内部控制架构，而不是企业家认可的内部控制架构，更不是现实生活中的内部控制。内部控制是管理体系的组成局部，要与管理体系的其它内容有机地融为一体。所以，在最初设计整个管理体系时就必须考虑内部控制的要求，其根本思路如图1所示。

〔二〕内部控制与内部会计控制和财务报告控制的关系

2001年，我国财政部公布实施的?内部会计控制标准?指出，内部会计控制“是指单位为了提高会计信息质量，保护资产的平安、完整，确保有关法律法规和规章制度的贯彻执行等而制定的一系列控制方法、措施和程序〞。2002年，?萨班斯—奥克斯利法案?特别针对COSO报告内部控制目标中的“财务报告可靠性〞，提出了“财务报告相关的内部控制〞〔国内有些学者直接将其称为财务报告内部控制〕的概念。SEC在随后发布的33-8138提案中，首次对财务报告相关内部控制进行了诠释。提案指出，财务报告相关内部控制的目的是确保公司设计的控制程序能为以下事项提供合理保证：公司的业务活动经过合理的授权；保护公司的财产防止未经授权或不恰当的使用；公司的业务活动被恰当地记录并报告，从而保证上市公司的财务报表符合公认会计原那么的编报要求。同时，该定义与美国1934年?证券交易法?第13〔b〕〔2〕〔B〕对内部会计控制的描述一致。

由此可见，在美国现行法规中，内部会计控制的概念等同于财务报告内部控制；而在我国，内部会计控制作为一个较内部控制更为普遍使用的概念，其目标主要表达在会计信息可靠、揭错防弊、资产保护和法规遵守几个方面，它的内涵等于财务报告内部控制。

笔者认为，?内部会计控制标准?中所谓的“内部会计控制〞就其本质而言是与实践联系最紧密也是最贴切的“内部控制〞；当前美国倡导的“财务报告内部控制〞实质上是“内部会计控制〞，只不过“财务报告内部控制〞这个概念更侧重于从结果角度表述，而“内部会计控制〞那么是以行为过程的角度进行的表达；任何以COSO报告为蓝本提出的“内部控制〞的概念，由于将经营效率和效果甚至战略作为内部控制的目标，使得从根本上就无法分清内部控制与管理体系的关系、控制目标与控制措施不匹配，从而都是值得置疑的。所以，内部控制就是会计控制，也就是财务报告内部控制。

接下来，系统分析融于管理体系的内部控制框架的构成要素及其之间的相互关系。

三、融于管理体系的内部控制框架构成要素

〔一〕内部控制的目标

内部控制目标是指内部控制在既定环境中所能够到达的具有现实意义和可操作性的目的。具体说来，有三方面的内容：

1.平安性目标：堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，防止非法交易，保护组织财产的平安、完整；

2.真实性目标：标准信息行为，保证信息的真实、完整；

3.符合性目标：确保国家有关法律法规、所有者意愿和内部制度的贯彻执行。

〔二〕内部控制的主体

内部控制主体，即内部控制的施控者，是指谁来进行内部控制。控制主体既是区分内部控制与外部控制的标志，也是构建内部控制内容体系的根底。主体身份与具有独立法人资格的组织之间的隶属关系是判断“内部〞与否的原那么性标准。这一点与公司治理中的“内部人〞是有区别的。公司治理中的“内部人〞将未直接参与经营管理的股东排除在外，但在内部控制中“股东〞作为组织资本要素的所有者被完整地纳入到控制主体的范畴中。当然，职务上的隶属关系既可能是紧密型的，也可能是松散型的。所谓“紧密〞，是指与组织之间具有较为固定或长期的关系且个人利益与组织利益被组织内的契约捆绑在一起。“松散〞那么是指个人利益与组织利益没有太多关联，如公司中的独立董事。松散型的职务隶属关系往往是内部控制与外部监管或市场机制的结合部。在任何一个组织中，内部控制的主体具有显著的层次性。

〔三〕内部控制的客体

控制客体亦即控制对象，是指对什么进行控制。出于对控制客体剖析的详细程度不同，一般将其分为具体对象和交易循环两个层级。

1.内部控制的具体对象

〔1〕财产。作为内部控制客体的财产是指组织享有的、能够带来经济利益的资源。其中不仅包括具有经济价值和实物形态的物品，以及货币和有价证券，还包括智力成果——精神〔或知识〕财富。对财产予以控制的目的在于保护其平安与完整。组织对财产享有方式表现为：拥有所有权；拥有控制权和拥有使用权。

〔2〕交易。交易是当事人达成协议并付诸于实施的过程。作为内部控制客体的交易，其内部性集中表达在交易主体的内部性上，也就是说，无论交易的行为地在何处，只要交易当事人中至少有一方属于“内部人〞，那么该交易为内部控制的对象。对交易实施控制的直接目的在于保证交易符合国家法律法规、股东意愿和企业制度，间接目的那么是保护企业财产的平安完整。

〔3〕信息。泛指各种情报、资料、消息和数据。作为内部控制客体的信息具有来源上的“内部性〞，即信息来源于组织内部信息系统〔包括会计信息系统和统计信息系统〕。信息勾勒了过去、现在和未来的轮廓，是内部控制主体了解组织状况的根底，是控制主体选择实施内部控制手段的重要依据，更是对内部控制进行评价不可或缺的因素。对信息实施控制的直接目的在于确保信息的真实与完整，同时，为实现“平安性〞目标和“符合性〞目标打下信息真实的根底。

对控制主体而言，会计信息和统计信息都源自常规的信息系统，都是程式化了的常规信息。当系统出现人为干扰因素时，常规信息的质量将受到影响。此时，干扰因素的来源、影响的状况及后果将形成有别于常规信息的“另类信息〞。“另类信息〞是无法通过常规信息系统被控制主体得悉的。申诉、举报等特殊沟通渠道将发挥重要作用，成为常规信息系统的有益补充。

2.交易循环

简言之，交易循环是以根本业务流程为根底的财产、交易和信息的有机组合。只有当财产、交易和信息有机地组合在一起，形成一个完整健康的交易循环体系时，管理的目标才能够得以实现。应该指出的是，如何划分业务循环，应该视企业的业务性质和规模而定。例如，对于银行而言，没有生产循环，但有贷款循环和活期存款业务循环。同时，在实践中，可以按照专业判断去划分特定的业务循环，如可以将销售与收款循环，按照处理销货的程序和处理现金的程序化分为两个循环进行考查。

〔四〕内部控制方法体系

几乎所有的管理方法都能够或多或少地发挥内部控制作用。但是，为了完成实现内部控制目标，除了依赖管理方法外，还要为一些专门的方法。也就是说，如果不考虑内部控制目标，这些方法在管理体系中是不会出现的，正是由于内部控制的特别要求，才出现了这些方法。管理方法与内部控制方法归纳起来如表1所示。

四、结束语

本文通过对COSO的内部控制整合架构的评述，提出了“融于管理体系的内部控制架构〞，这个架构由控制目标、控制主体、控制客体和控制手段构成，这个架构的努力主要表达在两个方面，一是厘清了内部控制与管理体系的关系；二是做到了内部控制系统具有内在逻辑性。客观地说，并不是提出了一个崭新的内部控制框架，只是系统整理了以往内部控制框架体系中没有能够得到厘清的一些事实，还内部控制以本来面目。当然，“融于管理体系的内部控制框架〞是否与现实生活相符，有待实证研究来检验。●

【参考文献】

[1]朱荣恩，应唯，袁敏.美国财务报告内部控制评价的开展及对我国的启示.会计研究，2003，8：48～53.

[2]财政部关于印发?企业内部控制标准—根本标准?和17项具体标准〔征求意见稿〕的通知.财会便，2007第7号.