內(nèi)部控制架構(gòu)評(píng)述與構(gòu)建

1、    內(nèi)部控制架構(gòu)評(píng)述與構(gòu)建         來源：歲月聯(lián)盟    作者：趙杰鄭石橋    時(shí)間：2010-07-03                    【摘 要】 本文針對(duì)COSO的內(nèi)部控制整

2、合架構(gòu)存在外部邊界混亂和內(nèi)部邏輯混亂這兩方面的問題，提出“融于管理體系中的內(nèi)部控制架構(gòu)”，該架構(gòu)由控制目標(biāo)、控制主體、控制客體和控制手段四要素組成，并具體分析了這個(gè)架構(gòu)與管理體系的融合，旨在厘清內(nèi)部控制與管理體系的關(guān)系，使內(nèi)部控制系統(tǒng)具有內(nèi)在邏輯性。 【關(guān)鍵詞】 內(nèi)部控制；管理體系； COSO 一、對(duì)COSO的內(nèi)部控制整合框架評(píng)述 1992年，美國“反對(duì)虛假財(cái)務(wù)報(bào)告委員會(huì)”所屬的內(nèi)部控制專門委員會(huì)（COSO委員會(huì)）提出“內(nèi)部控制整合框架” 專題報(bào)告。經(jīng)過兩年的修改，1994年COSO委員會(huì)提出對(duì)外報(bào)告的修改篇，擴(kuò)大了內(nèi)部控制的涵蓋范圍，增加了與保障資產(chǎn)安全有關(guān)的控制，得到了美國審計(jì)署（GAO）

3、的認(rèn)可。COSO報(bào)告提出了全新的內(nèi)部控制整合框架，這個(gè)架構(gòu)由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控五項(xiàng)要素構(gòu)成。COSO所提出的內(nèi)部控制整合架構(gòu)得到了許多職業(yè)組織的認(rèn)可，似乎已經(jīng)成為內(nèi)部控制架構(gòu)的經(jīng)典。然而，筆者認(rèn)為，內(nèi)部控制整合架構(gòu)存在較為嚴(yán)重的混亂問題，歸納起來，主要表現(xiàn)在兩個(gè)方面，一是外部邊界混亂；二是內(nèi)部邏輯混亂。下面，筆者來分析這兩方面的問題。 （一）外部邊界混亂 外部邊界混亂主要是指根據(jù)內(nèi)部控制整合架構(gòu)，分不清楚內(nèi)部控制與管理體系的界線。內(nèi)部控制整合架構(gòu)將內(nèi)部控制的目標(biāo)定義為三個(gè)方面：經(jīng)營效率和效果；財(cái)務(wù)報(bào)告可靠性；遵守和法規(guī)。后來，在GAO等機(jī)構(gòu)的影響下，于1994年的修

4、改稿中增加了財(cái)產(chǎn)保護(hù)目標(biāo)。所以，內(nèi)部控制整合架構(gòu)共有四項(xiàng)目標(biāo)。內(nèi)部控制整合架構(gòu)反復(fù)強(qiáng)調(diào)，內(nèi)部控制是管理體系的組成部分，應(yīng)該融于管理體系中，那么，管理體系的目標(biāo)應(yīng)該是大于內(nèi)部控制的目標(biāo)，這是根據(jù)內(nèi)部控制整合架構(gòu)應(yīng)該得出的結(jié)論。但是，在上述四項(xiàng)目標(biāo)之外，還有什么目標(biāo)可以增加進(jìn)來，作為不屬于內(nèi)部控制目標(biāo)但是屬于管理體系目標(biāo)的目標(biāo)。有人可能會(huì)說，為股東創(chuàng)造價(jià)值，增加盈利性，保持的可持續(xù)，這些可以作為管理體系的目標(biāo)，但是，它們不是內(nèi)部控制目標(biāo)。不對(duì)，根據(jù)內(nèi)部控制整合架構(gòu)的解釋，上述目標(biāo)都可能作為經(jīng)營效率和效果目標(biāo)的組成內(nèi)容，從而歸結(jié)為經(jīng)營效率和效果目標(biāo)。從總體上來說，內(nèi)部控制整合架構(gòu)是內(nèi)部控制目標(biāo)等同于

5、管理體系目標(biāo)了，這無疑是對(duì)內(nèi)部控制目標(biāo)不應(yīng)有的擴(kuò)大。也正是因?yàn)檫@一點(diǎn)，美國2002年公眾公司改革和投資者保護(hù)法案（薩班斯奧克斯利法案）中提出了一個(gè)“財(cái)務(wù)報(bào)告相關(guān)內(nèi)部控制”這個(gè)概念，將內(nèi)部控制目標(biāo)鎖定在財(cái)務(wù)報(bào)告可靠性上，這實(shí)質(zhì)上是對(duì)內(nèi)部控制整合架構(gòu)所確定的內(nèi)部控制目標(biāo)太寬泛的一種否定。正是由于內(nèi)部控制整合架構(gòu)對(duì)內(nèi)部控制目標(biāo)的寬泛定位，內(nèi)部控制要素也就非常龐大，由五大要素組成的內(nèi)部控制幾乎涵蓋了管理體系的所有內(nèi)容，凡是與內(nèi)部控制沒有直接關(guān)聯(lián)的，都作為控制環(huán)境納入內(nèi)部控制。根據(jù)內(nèi)部控制整合架構(gòu)，與內(nèi)部控制唯一沒有關(guān)系的計(jì)劃功能，并且，在后續(xù)的風(fēng)險(xiǎn)控制整合架構(gòu)中，以目標(biāo)設(shè)定的方式將計(jì)劃功能也納入了風(fēng)險(xiǎn)

6、管理體系中。事實(shí)上，關(guān)于內(nèi)部控制整合架構(gòu)的外部邊界混亂問題，在內(nèi)部控制架構(gòu)作為一個(gè)草案征求意見時(shí)，就有不少的企業(yè)界和管理界人士提出過這個(gè)問題，COSO委員會(huì)對(duì)這個(gè)意見沒有引起足夠的重視。 （二）內(nèi)部邏輯混亂 為了分析方便，這里列示一下內(nèi)部控制整合架構(gòu)各要素的內(nèi)容?？刂骗h(huán)境包括：誠實(shí)和道德，對(duì)能力的重視，董事會(huì)和審計(jì)委員會(huì)，管理和經(jīng)營模式，組織結(jié)構(gòu)，權(quán)力和責(zé)任的分派，人力資源政策；風(fēng)險(xiǎn)評(píng)估包括：風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析；控制活動(dòng)包括：對(duì)經(jīng)營活動(dòng)的審批、授權(quán)、確認(rèn)、核對(duì)、審核，對(duì)資產(chǎn)的保護(hù)，職責(zé)分離；信息與溝通包括：信息系統(tǒng)和溝通兩部分，信息系統(tǒng)由經(jīng)營信息、財(cái)務(wù)信息和合規(guī)性信息組成，溝通是指每個(gè)人都必須

7、明白自己在內(nèi)部控制系統(tǒng)中扮演的角色及自己的行為與他人的工作如何聯(lián)系；監(jiān)控包括對(duì)內(nèi)部控制系統(tǒng)支持的持續(xù)監(jiān)控和單獨(dú)評(píng)價(jià)。 從邏輯上來說，內(nèi)部控制整合架構(gòu)存在以下問題：一是系統(tǒng)殘缺不全；二是要素間重疊；三是手段與目標(biāo)不匹配。下面，筆者具體分析這三個(gè)問題。首先，關(guān)于系統(tǒng)殘缺問題。內(nèi)部控制作為一個(gè)系統(tǒng)，應(yīng)該有施控主體和受控客體，前者表示誰進(jìn)行控制，后者表示對(duì)什么進(jìn)行控制。從內(nèi)部控制整合架構(gòu)來看，強(qiáng)調(diào)了所有人在內(nèi)部控制中都有責(zé)任，這可以理解為從另外一個(gè)角度確定了內(nèi)部控制主體，但是，這種隱含式的表述不如直截了當(dāng)?shù)姆绞胶谩Ｍ瑫r(shí)，也存在局限性，在有些情況下，不是本組織的外部人（例如，顧客）在某些情形下也可能成為

8、本組織的內(nèi)部控制主體，內(nèi)部控制整合架構(gòu)將這些人排除在控制主體外。關(guān)于受控客體也就是控制客體，組織內(nèi)部的財(cái)產(chǎn)、交易、信息及人是內(nèi)部控制客體，這些客體在一定的場合組成交易循環(huán)。內(nèi)部控制整合架構(gòu)則基本沒有論及控制客體，這是內(nèi)部控制整合架構(gòu)的一個(gè)重要缺陷。其次，關(guān)于要素間重疊問題。內(nèi)部控制整合架構(gòu)中的要素間重疊主要有兩個(gè)方面，一是控制環(huán)境內(nèi)部重疊。例如，審計(jì)委員會(huì)應(yīng)該是董事會(huì)的下屬機(jī)構(gòu)，不應(yīng)該與董事會(huì)并列；組織結(jié)構(gòu)本身就包括權(quán)力和責(zé)任的分派，而不應(yīng)該將權(quán)力和責(zé)任的分配再單獨(dú)出來；對(duì)能力的重視本身就是人力資源政策的一部分，不應(yīng)該再單獨(dú)列出來。二是控制環(huán)境與控制活動(dòng)重疊?？刂苹顒?dòng)中的審批、授權(quán)、確認(rèn)、核對(duì)

9、、審核以及職責(zé)分離，與控制環(huán)境中的組織結(jié)構(gòu)及權(quán)力和責(zé)任的分派重疊。最后，關(guān)于內(nèi)部控制手段和內(nèi)部目標(biāo)之間的匹配問題。內(nèi)部控制整合架構(gòu)確定了四大目標(biāo)，但是，由五大要素組成的內(nèi)部控制手段并不支持其所確定的四大目標(biāo)，從各要素的內(nèi)容來看，主要針對(duì)的目標(biāo)是財(cái)務(wù)報(bào)告可靠性、遵守法律和法規(guī)及財(cái)產(chǎn)保護(hù)目標(biāo)這三大目標(biāo)，經(jīng)營效率和效果作為首要目標(biāo)，在控制手段中并沒有得到重視。從本質(zhì)上來說，內(nèi)部控制整合架構(gòu)還是審計(jì)視角的內(nèi)部控制，不是企業(yè)家認(rèn)可的內(nèi)部控制，也不是現(xiàn)實(shí)生活中的內(nèi)部控制。 二、融于管理體系的內(nèi)部控制框架：一個(gè)思路和兩個(gè)關(guān)系的界定 （一）融于管理體系中的內(nèi)部控制框架的基本思路 將內(nèi)部控制與管理體系割裂開來，

10、就不可能得到與實(shí)踐相符的內(nèi)部控制架構(gòu)。如此這般，所能夠得到的將永遠(yuǎn)是審計(jì)視角下的內(nèi)部控制架構(gòu)，而不是企業(yè)家認(rèn)可的內(nèi)部控制架構(gòu)，更不是現(xiàn)實(shí)生活中的內(nèi)部控制。內(nèi)部控制是管理體系的組成部分，要與管理體系的其它內(nèi)容有機(jī)地融為一體。所以，在最初設(shè)計(jì)整個(gè)管理體系時(shí)就必須考慮內(nèi)部控制的要求，其基本思路如圖1所示。 （二）內(nèi)部控制與內(nèi)部會(huì)計(jì)控制和財(cái)務(wù)報(bào)告控制的關(guān)系 2001年，我國財(cái)政部頒布實(shí)施的內(nèi)部會(huì)計(jì)控制規(guī)范指出，內(nèi)部會(huì)計(jì)控制“是指單位為了提高會(huì)計(jì)信息質(zhì)量，保護(hù)資產(chǎn)的安全、完整，確保有關(guān)法律法規(guī)和規(guī)章制度的貫徹執(zhí)行等而制定的一系列控制方法、措施和程序”。2002年，薩班斯奧克斯利法案特別針對(duì)COSO報(bào)告內(nèi)

11、部控制目標(biāo)中的“財(cái)務(wù)報(bào)告可靠性”，提出了“財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制”（國內(nèi)有些學(xué)者直接將其稱為財(cái)務(wù)報(bào)告內(nèi)部控制）的概念。SEC在隨后發(fā)布的33-8138提案中，首次對(duì)財(cái)務(wù)報(bào)告相關(guān)內(nèi)部控制進(jìn)行了詮釋。提案指出，財(cái)務(wù)報(bào)告相關(guān)內(nèi)部控制的目的是確保公司設(shè)計(jì)的控制程序能為下列事項(xiàng)提供合理保證：公司的業(yè)務(wù)活動(dòng)經(jīng)過合理的授權(quán)；保護(hù)公司的財(cái)產(chǎn)避免未經(jīng)授權(quán)或不恰當(dāng)?shù)氖褂茫还镜臉I(yè)務(wù)活動(dòng)被恰當(dāng)?shù)赜涗洸?bào)告，從而保證上市公司的財(cái)務(wù)報(bào)表符合公認(rèn)會(huì)計(jì)原則的編報(bào)要求。同時(shí)，該定義與美國1934年證券交易法第13（b）（2）（B）對(duì)內(nèi)部會(huì)計(jì)控制的描述一致。 由此可見，在美國現(xiàn)行法規(guī)中，內(nèi)部控制的概念等同于財(cái)務(wù)報(bào)告內(nèi)部控制；而

12、在我國，內(nèi)部會(huì)計(jì)控制作為一個(gè)較內(nèi)部控制更為普遍使用的概念，其目標(biāo)主要體現(xiàn)在會(huì)計(jì)信息可靠、揭錯(cuò)防弊、資產(chǎn)保護(hù)和法規(guī)遵守幾個(gè)方面，它的內(nèi)涵等于財(cái)務(wù)報(bào)告內(nèi)部控制。 筆者認(rèn)為，內(nèi)部會(huì)計(jì)控制規(guī)范中所謂的“內(nèi)部會(huì)計(jì)控制”就其本質(zhì)而言是與實(shí)踐聯(lián)系最緊密也是最貼切的“內(nèi)部控制”；當(dāng)前美國倡導(dǎo)的“財(cái)務(wù)報(bào)告內(nèi)部控制”實(shí)質(zhì)上是“內(nèi)部會(huì)計(jì)控制”，只不過“財(cái)務(wù)報(bào)告內(nèi)部控制”這個(gè)概念更側(cè)重于從結(jié)果角度表述，而“內(nèi)部會(huì)計(jì)控制”則是以行為過程的角度進(jìn)行的表達(dá)；任何以COSO報(bào)告為藍(lán)本提出的“內(nèi)部控制”的概念，由于將經(jīng)營效率和效果甚至戰(zhàn)略作為內(nèi)部控制的目標(biāo)，使得從根本上就無法分清內(nèi)部控制與管理體系的關(guān)系、控制目標(biāo)與控制措施不匹

13、配，從而都是值得置疑的。所以，內(nèi)部控制就是會(huì)計(jì)控制，也就是財(cái)務(wù)報(bào)告內(nèi)部控制。 接下來，系統(tǒng)分析融于管理體系的內(nèi)部控制框架的構(gòu)成要素及其之間的相互關(guān)系。 三、融于管理體系的內(nèi)部控制框架構(gòu)成要素 （一）內(nèi)部控制的目標(biāo) 內(nèi)部控制目標(biāo)是指內(nèi)部控制在既定環(huán)境中所能夠達(dá)到的具有現(xiàn)實(shí)意義和可操作性的目的。具體說來，有三方面的內(nèi)容： 1.安全性目標(biāo)：堵塞漏洞、消除隱患，防止并及時(shí)發(fā)現(xiàn)、糾正錯(cuò)誤及舞弊行為，防止非法交易，保護(hù)組織財(cái)產(chǎn)的安全、完整； 2.真實(shí)性目標(biāo)：規(guī)范信息行為，保證信息的真實(shí)、完整； 3.符合性目標(biāo)：確保國家有關(guān)法規(guī)、所有者意愿和內(nèi)部制度的貫徹執(zhí)行。 （二）內(nèi)部控制的主體 內(nèi)部控制主體，即內(nèi)部控

14、制的施控者，是指誰來進(jìn)行內(nèi)部控制。控制主體既是區(qū)分內(nèi)部控制與外部控制的標(biāo)志，也是構(gòu)建內(nèi)部控制內(nèi)容體系的基礎(chǔ)。主體身份與具有獨(dú)立法人資格的組織之間的隸屬關(guān)系是判斷“內(nèi)部”與否的原則性標(biāo)準(zhǔn)。這一點(diǎn)與公司治理中的“內(nèi)部人”是有區(qū)別的。公司治理中的“內(nèi)部人”將未直接參與經(jīng)營管理的股東排除在外，但在內(nèi)部控制中“股東”作為組織資本要素的所有者被完整地納入到控制主體的范疇中。當(dāng)然，職務(wù)上的隸屬關(guān)系既可能是緊密型的，也可能是松散型的。所謂“緊密”，是指與組織之間具有較為固定或長期的關(guān)系且個(gè)人利益與組織利益被組織內(nèi)的契約捆綁在一起。“松散”則是指個(gè)人利益與組織利益沒有太多關(guān)聯(lián)，如公司中的獨(dú)立董事。松散型的職務(wù)隸

15、屬關(guān)系往往是內(nèi)部控制與外部監(jiān)管或市場機(jī)制的結(jié)合部。在任何一個(gè)組織中，內(nèi)部控制的主體具有顯著的層次性。 （三）內(nèi)部控制的客體 控制客體亦即控制對(duì)象，是指對(duì)什么進(jìn)行控制。出于對(duì)控制客體剖析的詳細(xì)程度不同，一般將其分為具體對(duì)象和交易循環(huán)兩個(gè)層級(jí)。 1.內(nèi)部控制的具體對(duì)象 （1）財(cái)產(chǎn)。作為內(nèi)部控制客體的財(cái)產(chǎn)是指組織享有的、能夠帶來利益的資源。其中不僅包括具有經(jīng)濟(jì)價(jià)值和實(shí)物形態(tài)的物品，以及貨幣和有價(jià)證券，還包括智力成果精神（或知識(shí)）財(cái)富。對(duì)財(cái)產(chǎn)予以控制的目的在于保護(hù)其安全與完整。組織對(duì)財(cái)產(chǎn)享有方式表現(xiàn)為：擁有所有權(quán)；擁有控制權(quán)和擁有使用權(quán)。 （2）交易。交易是當(dāng)事人達(dá)成協(xié)議并付諸于實(shí)施的過程。作為內(nèi)部控制客體的交易，其內(nèi)部性集中體現(xiàn)在交易主體的內(nèi)部性上，也就是說，無論交易的行為地在何處，只要交易當(dāng)事人中至少有一方屬于“內(nèi)部人”，則該交易為內(nèi)部控制的對(duì)象。對(duì)交易實(shí)施控制的直接目的在于保證交易符合國