内部控制概念的发展及我国企业内控问题

1、内部控制概念的发展及我国企业内控问题对内部控制的关注最初源自企业自身对规范化管理和股东掌握企业运营的准确信息的需要。此外最重要的 推动因素就是外部审计师审计财务报表的要求。此后， 各国政府也逐渐开始积极推动内部控制领域的进程，以期减小企业的舞弊和违规行为对市场经济秩序的消极影响。因此，内部控制理论与实践的不断发展是学 术界、职业组织、大型企业及政府组织共同推动作用的结果。此外，内部控制领域的发展历程显示，一些 影响巨大的公司经营失败或舞弊事件的发生，往往加速了内部控制理论研究以及实践应用的发展进程，并 催生了一些里程碑式的文献和立法规定。最典型的代表莫过于美国 2002 年出台的萨班斯一奥克斯

2、利法 案。该法案的第 404 条款不仅要求公司管理层定期评估公司财务内控的有效性， 并且要求外部审计师对管 理层的评估结果和公司财务内控的有效性出具审计意见。而对于该法案的出台，世通和安然的两个巨型舞 弊案件可以说是“功不可没”的。那幺，内部控制的作用究竟是什幺呢 ?如果用一句话概括，那就是：有效 的内部控制有助于在合理的程度上提高企业运营的效果和效率、保护企业资产，确保财务报告的可靠性以 及企业对法律法规的遵循。在国际经济社会日益强调企业内部控制重要性的背景下，本文旨在回顾有关发 达国家和地区在内部控制领域的探索历程，简要介绍在各内部控制权威文件中应用最为广泛的美国COSC内部控制框架，并为

3、我国企业加强内部控制的途径提出一些经验性的建议。一、国际上具影响力的内部控制指南简要回顾关于内部控制的框架，不同机构都对其有不同的理解，其中以美国反对虚假财务报告委员会的发起组织委员会COSOt布的“ COSO3部控制框架”得到最广泛的认可。除此之外，加拿大的“CoC0内部控制框架”、英国一定范围内得到了广泛的应用。（一 ）COSO框架上世纪 80 年代，美国企业虚假财务报告丑闻层出不穷，许多大公司突现经营失败，立法机构、政府监 管机构和职业组织对虚假财务报告问题表现出了空前的关注。在这一背景下，1985 年，美国注册会计师协会（AICPA）、美国会计学会（AAA）、国际内部审计师协会（IIA

4、）、管理会计师协会（IMA）、财务经理协会（FEI） 发起成立了一个民间组织“反对虚假财务报告委员会”，希望研究虚假财务报告的产生原因并推荐解决办法 （该委员会的第一任主席为 JamesTreadway,是前SEC委员，因此以后该委员会也被简称为Treadway委员会） 。该委员会在调查中发现，在其研究样本中，将近50的财务舞弊事件可以全部或部分归咎于内部控制失败。该委员会同时认为，应该建立一个统一的、可操作的内部控制框架。继而，五个发起组织成立了 一个委员会，即COSO建立之初的目的是负责研究开发一个内部控制的权威性定义和指南。COSO在1992年9月完成了这项任务，公布了最终报告内部控制一

5、一综合性框架（通常被称为COSO报告），在世界上第一次提出了一个系统的内部控制框架。COSO将内部控制定义为：“内部控制是受企业董事会、管理层和其它职员共同作用，为实现经营效果 性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。 ”较之 于传统的内部控制概念， 这一定义的发展在于将内部控制作为一种动态的过程而不仅是静态的制度来阐述。 内部控制不应仅仅着眼于会计和财务报告，还应针对经营活动的效率、效果和遵循法律法规。这个广义的 定义体现了现代意义上的全程和全面的控制理念。相应地，内部控制框架也被划分为五个内部控制要素， 如：控制环境、风险评估、控制活动、信息

6、与沟通、监控。COS（框架是世界上最早发布的权威性内部控制框架，其它若干具有影响力的控制框架很大程度上都借鉴了COSO勺工作成果，加之美国首屈一指的经济影响力等因素，COSOt到现在仍是世界上应用最广泛的内部控制框架。2001年 12月2 日，美国能源巨子安然公司 （Enron） 宣告破产，成为全球各界人士关注的焦点。此案与 世通案件一起，直接导致了 2002年7月30日（2002年萨班斯奥克斯利法案（以下简称“萨班斯法案” 或“法案”）的出台。 法案的第 404 条要求上市公司管理层需建立和维持充分的与财务报告相关的内部控制， 并评估公司与财务报告相关的内部控制的有效性。 美国证券交易会于

7、2003年6月份就萨班斯法案第 404条所制定的“最终条例”明确表示COSC内部控制框架可以作为评估企业内部控制的标准。虽然COSC内部控制框架在“最终条例”中并非唯一的指定标准，但是证交会、上市公司会计监督委员会（PCAOB及美国注册会计师协会在其对审计标准的有关征求意见稿中曾多次提及COS何以作为评估企业内部控制的标准。所以绝大多数美国上市公司皆采用了COSO内部控制框架作为评估公司内部控制的标准，以符合萨班斯法案的要求。（二）加拿大的CoCo框架在美国提出了 COSO之后，加拿大特许会计师公会（CICA）成立了控制标准委员会（CoCo委员会）。CoCo委员会的工作目标是提高管理层决策质量

8、，协助公司通过控制、风险管理和公司治理的手段提升经营业绩。CoCo在 1995 年 11 月开发出了“控制原则标准”（the Criteria of Control Principles，即“ CoC6框架）。CoCo框架包括“目标导向rpose）、致力投入（Commitment）、能力胜任（Capability）、监督与学习 （Monitoring andLearning） ”四大类控制标准。CoCo在控制指南中明确声昵 CoCo建立在COSO勺基 础上，但同时指出， CoCo提出了一些在 COSO报 告中并未明确阐述的概念。例如CoCo明确指出“组织需要定期审视其设定的目标背后的假定和前提

9、。”这一点在COSO是没有的。（ 三 ） 英国综合守则 （Combined code） 的 Turnbull 指南英国的综合守则是1998年由公司治理委员会（也称Hampel委员会）综合了 Hamperl、Cadbury以及 Greenbury 报告的成果而制定的 （已于 2003年7月进行了修订 ）。综合守则为公司治理制定了标准，并且作 为伦敦证券交易所上市规则的附件，对所有英国上市公司具有约束力。综合守则中涉及内部控制的条款为 C2和C2. 1（98年版为D2和D2. 1，内容未变），要求“董事会有责任维持一个良好的内部控制系统，以保护股东的投资和公司的资产；董事会应当至少每年一次对公司内

10、部控制系统的有效性进行审视，并向股东 报告其已经完成了此项工作。审视工作必须覆盖所有重要的控制，包括财务控制、经营控制和合规控制， 以及风险管理系统” 。由于许多公司并不清楚如何操作上述规定，于是在 1999 年 9 月英格兰和威尔士特许 会计师协会 （The Institute ofChartered Accountants inEngland&Wales）出台了 Turnbull 指南，即“内部控制综合守则的董事指南” （InternalControlGuidanceforDirectorson the Combined Code），对如何满足综合守则的要求提出了操作性的指导，并最终成为综

11、合守则的一部分，成为英国上市公司必须遵循 的规定。Turnbull指南的内部控制框架与 COSC较为相似，也把控制分为经营、财务和合规控制，同样要求评 估与COSO目似的内部控制元素。Turnbull指南的内部控制框架包括四项要素：风险评估、控制环境和控 制活动、信息和沟通、监控，即将COS0框架中控制环境和控制活动两个要素合并为一个要素。Turnbull指南的特点是更加关注风险与控制的关系并更加着重阐述这种关系。二、COS防部控制框架简介COSO内部控制框架是三维的。内部控制的目标（第一维）是合理确保经营的效率和效果、财务报告的可靠性以及对法律遵循。内部控制由控制环境、风险评估、控制活动、信

12、息和沟通及监控五个元素（第二维）构成，五个元素间相辅相成，联系紧密，且必须共同发挥作用才能为企业目标实现提供合理保证。此外， 对于企业内的任何业务单位或经营活动 （第三维），同样也需要五个元素共同作用，方能达到该业务单位或 经营活动的相关目标。（ 一 ） 控制环境 （Control environment） 控制环境提供企业纪律与架构，塑造企业文化和正确的价值观，并影响企业员工的控制意识和工作能 力是所有其它内部控制组成要素的基础。控制环境的因素具体包括：正直守德的价值取向、对员工胜任能 力的关注、董事会或审计委员会、管理哲学和经营风格、公司组织结构、职权和职责的分配、人力资源政 策及实务。（

13、 二）风险评价 （Risk assessment） 每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评价，以找出有效的应对方法。评 价风险的先决条件是制定目标。风险评价就是分析和识别威胁所定目标实现的风险。经济、法律及管理的 环境等内外部因素不断变化，企业主动地发现和处理由于情况变化所带来的风险是很有必要的。（ 三 ） 控制活动 （Control activity） 控制活动是确保管理层的指令得以执行的政策及程序，是管理层识别和评估风险后，对控制这些风险 所实行的针对性措施。政策通常回答必须做什幺事情，而程序则回答具体应该怎样做的问题。控制活动包 括授权审批、核对、关键绩效指标、资产

14、安全控制及职责分离等各种类型。企业控制活动又可以分为人工控制和信息系统控制两大类。控制活动是各控制要素中数量最大的一类，因此企业控制活动的设计必须进 行成本和收益的权衡。此外，控制活动应尽可能用书面方式予以规定和沟通。（ 四 ） 信息与沟通 （Informationandcommunication）内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时 以及便于获取等特征。在现代企业中，信息系统的广泛应用正是为了提高信息质量。同时，高质量的信息 还应能够以适当的形式及时、准确地沟通至信息需求者。企业不仅应当致力于提升内部沟通的有效性，以 便控制责任人能够履行其

15、职责，还应关注与企业外部的沟通问题。外部沟通 （ 如客户、供应商、审计师等 ） 有助于管理层建立企业目标，向外传递企业理念和工作标准，并从外部了解内部控制的运行状况。（ 五 ） 监控 （Monitoring）内部控制系统需要监控。监控是由适当的人员，在适当及时的基础下，评价控制的设计和运作情况的 过程。这一活动由持续监督、个别评价所组成，其可确保企业内部控制能持续有效的运作。持续监督活动 在营运过程中发生，它包括例行的管理和监督活动，以及其它员工为履行其职务所采取的行动。尽管持续 监督程序可以有效地评价内部控制体系，但企业有时需要组织例外评价（即个别评价）以直接监视控制系 统的有效性。这种做法

16、更可评价持续性监督程序。评价的范围和频率，视风险的大小及控制的重要性而定。三我国企业的内部控制问题和解决途径（ 一 ） 企业高层管理者应加强对内部控制工作的重视我国许多企业，尤其是民营企业在较短的时间内经历了由小到大的快速成长期。对于小型公司而言， 创建者的个人控制往往非常有效。优秀的管理者能够牢牢把握企业的方向，准确掌握企业信息，并且通过 集中控制，进行高效的决策和执行，排除前进道路上的各种阻碍。然而，随着企业规模和经营复杂性的不 断增加，个人控制可能会变得越来越力不从心。权责的不对等、工作程序的不统一以及管理制度的严重漏 洞等，导致各种错误、舞弊事件纷纷出现。这时，仍然将内部控制视为增加成

17、本、阻碍管理效率的管理活 动，而未将其视为实现企业目标的保证，则可能导致严重的后果甚至经营失败。因此，提高中国企业高层 管理者对内部控制的重视，是提升企业内部控制水平的前提条件。（ 二 ） 强化控制环境 中国最大的资料库下载许多企业把内部控制仍然视为规章制度的制定和执行问题，却忽视了控制环境基础的建设工作。突出 表现在没有树立统一的，正确的企业文化和道德标准，导致许多违法经营或不公正处理与利益相关者关系 的行为。例如侵害消费者利益、篡改财务数据、不公正的对待雇员等。许多管理层人士非但不能以身作则， 反而推波助澜甚至授意指使，严重损害公司的控制环境。典型的一个表现就是，我国上市公司已经披露的 财

18、务报告舞弊案例，绝大多数在于公司管理层的违法、违规操作。没有良好的控制环境，公司的其它控制 要素就成为空中楼阁，注定无法有效的发挥作用。强化控制环境需要全面考虑控制环境各子元素的要求， 而我国企业在这一领域的当务之急是解决以下几个问题：1 建立公司统一的价值观和道德标准，并制定员工行为准则。价值观的建立必须脱离盈利高于一切 的思想，应认真考虑道德问题，考虑企业的社会责任，即合法、公平、公正地处理企业与利益相关各方的 关系。正确价值观建立后，企业高层管理者还应从企业特定环境出发，对员工在工作中如何应用这些价值 观提供进一步的指导，而这就是员工行为准则应当解决的问题。2 建立对财务报告、内部控制和

19、高层管理者行为的监督机制。这一点与公司治理结构的进步息息相 关。企业应引入非执行董事，建立审计委员会，并为审计委员会制定工作制度及提供必要资源，以履行上 述职责。3避免将业绩评估和激励机制建立在对能否实现短期财务指标的单一关注上。很多公司的业绩评估和激励机制仅仅关注短期财务指标，例如年度销售额的增长比例和净利润数额，而管理层的薪酬与这些指标 的实现程度高度相关。换句话说，管理层无法实现这些指标的成本非常高。加上这些指标很可能制订得并 不现实，这就给了管理层很强的舞弊动因。认识到这一点后，企业应当考虑改善管理层的业绩评估和激励 机制，将长短期目标结合，例如运用平衡计分卡的思路，从而分散管理层对短

20、期财务指标的过度关注，降 低舞弊的诱惑力。4加强岗位分析，落实控制责任。企业应对内部关键的岗位设置及岗位的职责和权限进行系统的分析 和梳理。在此基础上，对特定岗位的员工学识、经验、能力和道德素质等方面的要求予以书面规定，形成 岗位说明书。企业应依据岗位说明书来指导员工招聘、考核、薪酬和职位变动等人力资源管理行为，从而 确保关键岗位员工能够认同公司价值观并有能力履行内部控制责任，降低关键岗位优秀员工的流失率。（ 三 ） 建立健全风险管理机制我国企业一般对风险管理不够重视，没有设立有效的风险监控职能。企业的内部控制必须有的放矢， 针对风险而设计。如果对于企业面临的风险因素及其重大程度没有准确的掌握

21、，内部控制设计便可能存在 冗余或者不足的情况，造成企业资源的浪费或者导致不利事件的发生。因此，企业必须建立健全风险管理 机制，对各种内外部情况变化进行监控，对风险因素进行识别和评估，方能在此基础上有针对性地设计合 理、充分的内部控制。择要而论，企业应当因地制宜，考虑其经营环境的特点和可利用资源情况，建立适合自己的风险管理机制。企业可以考虑建立专门的风险管理职能，例如风险管理部门，使用公认的风险管理框架（如COSC风险管理框架 ） ，牵头管理企业的风险因素监控、风险评估和风险应对等工作，并向企业的高层管理者汇报。 企业也可以有效地利用内部审计部门的工作完成重大风险的管理职能。除了集中的风险管理职

22、能外，企业 也应当强化全体员工的风险管理意识，确保各级员工能够在日常工作中有效地发现新的风险因素或者原有 风险因素的变化情况， 并及时向风险管理责任部门和人员汇报， 最终提请相关管理层设计并实施应对措施。 此外，企业不仅应当对外部环境的变化 （ 如法律法规、竞争情况、新技术、行业趋势等 ） 进行监控和应对， 还必须关注企业内部的重大情况变化，例如关键岗位员工的变动、使用新的信息系统、公司经营规模迅速 增长、公司经营模式发生变化等。对于这些内部变化所导致的风险因素，必须能够准确的掌握和详细的评 估，在此基础上有预见性地制定高风险防范措施并考虑对现行内部控制措施进行更新，方能确保内部控制 设计始终

23、符合企业的具体目标和风险承受能力。（ 四 ） 建立信息技术内部控制许多国内企业管理者对内部控制的理解目前仍停留在人工控制的层面。对于以往传统型的公司而言， 由于信息系统尚未成为公司实现战略的助力器，因此低水平的信息技术控制对公司的消极影响尚未完全显 露。而对于现代化企业，尤其是特定行业的企业，例如网络企业、高新技术制造企业、电信企业等，大型 信息系统（如ERP系统、业务支撑系统）已经成为企业经营活动赖以维持的基础，由此也带来极大的信息技 术风险。而绝大多数国内的企业目前并没有建立一套完善的信息技术内部控制来降低大量使用关键的信息 系统而面临的风险。具体而言，我们在实际工作中发现的主要问题包括：

24、1信息技术部门之间以及信息技术部门与业务部门之间缺乏有效的沟通来保证信息技术部门的工作能 够充分满足业务的需要；2公司缺乏有效的信息技术内部审计机制来监督信息技术部门的工作；3缺乏完善的对数据及系统的访问控制管理，包括对信息系统及数据的访问权限的管理、保密字的管 理、系统用户的定期审阅以及信息技术部门与业务部门员工在系统中访问权限的职责分工管理等；4缺乏对系统变更的有效管理，导致对系统变更的随意性以及无法保证程序变更的质量；5缺乏完善的系统开发管理，导致开发实施的系统无法满足设计需求；6缺乏完善的系统运行控制，导致系统发生故障时无法及时发现解决故障而造成数据的丢失等。上述这些问题是那些大量应用

25、信息系统的国内企业所亟待解决的，否则风险威胁一旦转变为现实的损 失，损失程度将可能是企业难以承受的。目前国际上已经有很多通用的信息技术控制框架，例如国际信息 系统审计和控制协会（ISACA）下属信息技术治理研究院提出的“信息及技术控制目标”（COBIT）。国内企业的管理者应首先从风险意识上认识到信息技术控制的重要性，然后投入必要资源，参照这些框架建立自己 的信息技术内部控制，并由管理层确保框架之中定义的控制能够得到有效地执行。此外，由于信息技术控制领域对专业性和复杂性要求很高，我国企业大多数并不拥有这方面的人力资 源。因此，企业往往有必要寻求外部咨询机构的帮助，以参照国际通用的标准和框架，尽快建立适合自身的信息技术控制框架。（ 五 ） 对内部控制的设计和执行进行有效的监督、检查内部控制的设计的充分性需要定期检查，而控制是否安照设定的程序运行也需要进行监督。许多国内 企业的规章制度不可谓不丰富，但其中大量制度及其中的内部控制内容已经过时，不适用于企业的当前环 境。此外，许多设计良好的内部控制并未得到规范和一致的执行。对这两种情况，如果没有有效的监督机 制，企业管理层根本无从准确获知。而监督机制的建立要注重自我监督与独立评估并重。各级管理层首先 应在日常的经营管理过程中注重对内部控制有效性的监督，如果发现错误、舞弊等异常情况，不仅要就事 论事的加以处理，还必须考虑其中是否隐含了内