內(nèi)部控制的三個(gè)角-目標(biāo)、風(fēng)險(xiǎn)與控制

1、內(nèi)部控制的三個(gè)角：目標(biāo)、風(fēng)險(xiǎn)與控制【會(huì)計(jì)實(shí)務(wù)經(jīng)驗(yàn)之談】結(jié)合內(nèi)部控制的定義和五要素，可以提煉出一個(gè)簡(jiǎn)潔的內(nèi)部控制三角：目標(biāo)a風(fēng)險(xiǎn)a控制。即在內(nèi)部控制建設(shè)和實(shí)施過(guò)程中，始終要回到這三者之間關(guān)系的考量上：控制的具體目標(biāo)是什么？潛 在的風(fēng)險(xiǎn)是什么？可以采取的控制措施有哪些？在學(xué)習(xí)和運(yùn)用內(nèi)部控制理論和體系時(shí)，首先要深 入理解這三個(gè)核心概念。一、內(nèi)部控制目標(biāo).不同內(nèi)部控制目標(biāo)體系的比較在我國(guó)內(nèi)部控制規(guī)范體系中，內(nèi)部控制建設(shè)目標(biāo)可以歸納為：戰(zhàn)略目標(biāo)、經(jīng)營(yíng)目標(biāo)、合規(guī)目標(biāo)、資產(chǎn)安全目標(biāo)和財(cái)務(wù)報(bào)告目標(biāo)等五個(gè)目標(biāo)。在國(guó)際上，COSOE 2013版的內(nèi)部控制整合框架（以下簡(jiǎn)稱IC）列舉了三種類別的目標(biāo)，即運(yùn) 營(yíng)目標(biāo)、

2、報(bào)告目標(biāo)（包括財(cái)務(wù)報(bào)告目標(biāo)和非財(cái)務(wù)報(bào)告目標(biāo)）和合規(guī)目標(biāo)。同時(shí)，COSOE企業(yè)風(fēng)險(xiǎn)管理整合框架（以下簡(jiǎn)稱ERM中將風(fēng)險(xiǎn)管理的目標(biāo)分成四類，即戰(zhàn)略目標(biāo)、經(jīng)營(yíng)目標(biāo)、報(bào)告 目標(biāo)和合規(guī)目標(biāo)。比較上述三大體系的目標(biāo)，可以發(fā)現(xiàn)我國(guó)內(nèi)部控制體系目標(biāo)有如下特點(diǎn)：第一,整合了 IC和ERM1架。不管是1992版本還是2013版本，IC都沒(méi)有納入戰(zhàn)略目標(biāo)，并且 COSO1調(diào)”戰(zhàn)略設(shè)定、戰(zhàn)略目標(biāo)和風(fēng)險(xiǎn)容量是 ERM勺范疇，而不屬于IC的范疇”，因此，我國(guó) 的內(nèi)部控制目標(biāo)是綜合IC和ERM1架的要求，對(duì)企業(yè)實(shí)施內(nèi)部控制體系提出了更高要求。第二，強(qiáng)調(diào)資產(chǎn)安全目標(biāo)。資產(chǎn)安全目標(biāo)在IC和ERMfr均被視為是經(jīng)營(yíng)目標(biāo)的子目標(biāo)而

3、沒(méi)有單列。我國(guó)的基本規(guī)范之所以強(qiáng)調(diào)資產(chǎn)安全目標(biāo)，并單獨(dú)作為一個(gè)內(nèi)部控制目標(biāo)，主要是因?yàn)閲?guó)有資產(chǎn) 的增值保值是我國(guó)特有的國(guó)情。第三，沒(méi)有強(qiáng)調(diào)非財(cái)務(wù)報(bào)告目標(biāo)。IC2013更新了原有IC中的財(cái)務(wù)報(bào)告目標(biāo)，采用了 ERW的報(bào) 告目標(biāo)，拓寬了報(bào)告的外延范圍，強(qiáng)調(diào)合理保證非財(cái)務(wù)報(bào)告和內(nèi)部管理報(bào)告等信息的真實(shí)完整。因此，我國(guó)內(nèi)部控制體系實(shí)際上約等同于 ERM但是，IC強(qiáng)調(diào)“確定目標(biāo)”是“內(nèi)部控制的前提 條件”（即“目標(biāo)既定論”），而不屬于內(nèi)部控制本身；ERM雖調(diào)“應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè) 之中”（即“目標(biāo)設(shè)定論”），并體現(xiàn)在其風(fēng)險(xiǎn)管理八要素中的目標(biāo)設(shè)定、事項(xiàng)識(shí)別等要素中。所 以，不能簡(jiǎn)單將全面風(fēng)險(xiǎn)管理的八

4、要素視為內(nèi)部控制五要素的細(xì)分。.內(nèi)部控制目標(biāo)的實(shí)務(wù)分類小型企業(yè)內(nèi)部控制規(guī)范（征求意見稿）規(guī)定：“企業(yè)可以綜合評(píng)估自身戰(zhàn)略安排、資源條件、 管理水平以及外部監(jiān)管要求，合理確定分階段的工作目標(biāo)。階段性目標(biāo)可以是實(shí)現(xiàn)某一內(nèi)部控制 目標(biāo)，也可以是實(shí)現(xiàn)某幾個(gè)內(nèi)部控制目標(biāo)?！蔽覈?guó)內(nèi)部控制規(guī)范雖然明確了五個(gè)目標(biāo)，但對(duì)大多數(shù)企業(yè)來(lái)說(shuō)，一次性圍繞五個(gè)目標(biāo)進(jìn)行建設(shè)容 易走入流于形式的窠臼，因此，適當(dāng)?shù)姆椒ㄊ菍?duì)五個(gè)目標(biāo)進(jìn)行切割和排序，由易到難逐漸推進(jìn)內(nèi) 部控制的建設(shè)工作。從內(nèi)部控制實(shí)務(wù)的角度看，IC的報(bào)告目標(biāo)可以拆解為財(cái)務(wù)報(bào)告目標(biāo)和非財(cái)務(wù)報(bào)告目標(biāo)。其中非財(cái) 務(wù)報(bào)告目標(biāo)可以作為信息與溝通要素融入到相應(yīng)的戰(zhàn)略目標(biāo)、經(jīng)營(yíng)

5、目標(biāo)和合規(guī)目標(biāo)中。同時(shí)，資產(chǎn)安全目標(biāo)也可以拆解為兩部分，即“用于保護(hù)資產(chǎn)安全且與財(cái)務(wù)報(bào)告可靠性目標(biāo)相關(guān) 的控制”和“其他資產(chǎn)安全相關(guān)的控制”。對(duì)于前者可納入財(cái)務(wù)報(bào)告目標(biāo)的內(nèi)部控制建設(shè)中；對(duì) 于后者則可納入經(jīng)營(yíng)目標(biāo)的內(nèi)部控制建設(shè)中。經(jīng)過(guò)上述重分類后，從建設(shè)和實(shí)施的角度，可以將內(nèi)部控制建設(shè)目標(biāo)界定為：財(cái)務(wù)報(bào)告目標(biāo)、合 規(guī)目標(biāo)、經(jīng)營(yíng)目標(biāo)和戰(zhàn)略目標(biāo)等四個(gè)目標(biāo)。其內(nèi)涵各不相同，因此梳理和確定上述具體目標(biāo)體系 的方法也不盡相同（詳見拙文分階段長(zhǎng)效內(nèi)部控制建設(shè)方法初探，財(cái)務(wù)與會(huì)計(jì)2016年第13 期）。.從一般內(nèi)部控制目標(biāo)到具體內(nèi)部控制目標(biāo)不管是IC的“目標(biāo)既定論”還是ERM勺”目標(biāo)設(shè)定論”，都說(shuō)明沒(méi)有清晰

6、的目標(biāo)體系就不存在真 正的內(nèi)部控制建設(shè)。內(nèi)部控制規(guī)范明確的五目標(biāo)屬于一般內(nèi)部控制目標(biāo)，適用于所有行業(yè)的所有 企業(yè)。但是，在具體到某一家企業(yè)進(jìn)行內(nèi)部控制建設(shè)時(shí)，需要將一般內(nèi)部控制目標(biāo)轉(zhuǎn)換成具體的 內(nèi)部控制目標(biāo)。例如，財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)完整是一般內(nèi)部控制目標(biāo)，具體內(nèi)部控制目標(biāo)則 是每個(gè)報(bào)表科目的存在或發(fā)生、完整性、權(quán)利和義務(wù)、估價(jià)或分?jǐn)?、披露和揭示等認(rèn)定。合規(guī)目 標(biāo)的具體內(nèi)部控制目標(biāo)也可以從一般性法律法規(guī)和行業(yè)性法律法規(guī)中梳理得到。制定資產(chǎn)目標(biāo)、經(jīng)營(yíng)目標(biāo)和戰(zhàn)略目標(biāo)的具體內(nèi)部控制目標(biāo)相對(duì)比較有難度。前兩者重點(diǎn)在企業(yè)經(jīng)營(yíng)管理的3E,即經(jīng)濟(jì)性、效率性和效果性；戰(zhàn)略目標(biāo)則側(cè)重于衡量企業(yè)流程的質(zhì)量，即流

7、程的產(chǎn)出是否達(dá)到了流 程客戶（包括內(nèi)部客戶和外部客戶）的要求。內(nèi)部控制建設(shè)是否能體現(xiàn)企業(yè)的特色，關(guān)鍵就在于內(nèi)控建設(shè)是基于一般內(nèi)部控制目標(biāo)開展的，還 是基于具體內(nèi)部控制目標(biāo)開展的。如果是基于一般內(nèi)部控制目標(biāo)開展，則會(huì)圍繞部門職責(zé)和流程 來(lái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，建設(shè)成果可能很豐富，但因?yàn)闆](méi)有深入業(yè)務(wù)，對(duì)經(jīng)營(yíng)效率和效果以及戰(zhàn)略提升 的幫助并不很大，因而無(wú)法讓企業(yè)高管層滿意?；诰唧w內(nèi)部控制目標(biāo)的建設(shè)，則是以企業(yè) KPI為核心，構(gòu)建績(jī)效指標(biāo)體系，并對(duì)指標(biāo)體系進(jìn)行 風(fēng)險(xiǎn)評(píng)估，進(jìn)而優(yōu)化流程。在據(jù)以績(jī)效指標(biāo)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，往往會(huì)發(fā)現(xiàn)很多基于職能和流程無(wú) 法發(fā)現(xiàn)的風(fēng)險(xiǎn)，例如在對(duì)銷售指標(biāo)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，可能會(huì)發(fā)現(xiàn)銷售人

8、員的銷售技巧不足導(dǎo)致業(yè) 務(wù)開發(fā)業(yè)績(jī)不達(dá)標(biāo)。二、控制風(fēng)險(xiǎn)我國(guó)企業(yè)內(nèi)部控制基本規(guī)范體系采用了 ERM勺框架，將風(fēng)險(xiǎn)劃分為內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)，并列舉 了風(fēng)險(xiǎn)評(píng)估中應(yīng)當(dāng)關(guān)注的諸多因素。中央企業(yè)全面風(fēng)險(xiǎn)管理指引 及其相關(guān)評(píng)價(jià)規(guī)定則進(jìn)一步將 風(fēng)險(xiǎn)劃分為戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)五大類，并且每大類內(nèi)部又分 解為一級(jí)、二級(jí)和三級(jí)風(fēng)險(xiǎn)。在實(shí)務(wù)中，很多中介機(jī)構(gòu)也利用風(fēng)險(xiǎn)地圖、風(fēng)險(xiǎn)宇宙、風(fēng)險(xiǎn)清單、風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)等方式，為客戶進(jìn) 行內(nèi)部控制建設(shè)。這種按條塊進(jìn)行橫向分割的風(fēng)險(xiǎn)管理方法，優(yōu)點(diǎn)很明顯，可以利用MECE枚舉分析法）的方式構(gòu)建完整的風(fēng)險(xiǎn)清單和指標(biāo)體系。但其缺點(diǎn)也同樣突出，清單中的風(fēng)險(xiǎn)前后之間

9、沒(méi)有邏輯關(guān)系、不分主次輕重，只見樹木不見森林，導(dǎo)致相關(guān)風(fēng)險(xiǎn)不是沒(méi)有控制措施就是僅僅列 示不具有可操作性的原則控制要求，或者造成為了控制而控制的局面，增加不必要的管理成本。以銷售活動(dòng)為例，銷售活動(dòng)面臨的最大風(fēng)險(xiǎn)是銷售不足（圖1）。銷售不足的原因可能是產(chǎn)品定位問(wèn)題（戰(zhàn)略風(fēng)險(xiǎn)），也可能是競(jìng)爭(zhēng)者提供了更具優(yōu)勢(shì)的解決方案（市場(chǎng)風(fēng)險(xiǎn)），或客戶受資金不足 而出現(xiàn)的需求不足（運(yùn)營(yíng)風(fēng)險(xiǎn)）等。針對(duì)客戶資金不足問(wèn)題，我們可以采取擔(dān)保政策，也可以采 取信用管理政策。如果采取信用管理政策，則隨之而來(lái)的就是如何確定客戶的授信額度問(wèn)題。如 授信過(guò)高（財(cái)務(wù)風(fēng)險(xiǎn)）則會(huì)導(dǎo)致后期壞賬和催款成本激增；如授信不足（運(yùn)營(yíng)風(fēng)險(xiǎn)），又無(wú)法對(duì)

10、銷售起到刺激作用，因此，需要一個(gè)授信額度的審批程序來(lái)規(guī)范授信過(guò)程?？梢姡髽I(yè)中的任何一項(xiàng)日常經(jīng)濟(jì)活動(dòng)都是以剝洋蔥的方式，以流程體系層層展開的，其中交織 地面臨著諸多不同類型的風(fēng)險(xiǎn)，因此，需要將風(fēng)險(xiǎn)還原到實(shí)際的工作環(huán)境中去，才能使風(fēng)險(xiǎn)管理 更符合控制人員的工作思維，更能為控制人員所理解和實(shí)施相關(guān)控制。解決這個(gè)困境的方法就是在原有條塊橫向分割的基礎(chǔ)上，再按風(fēng)險(xiǎn)影響的涉及面縱向劃分為：戰(zhàn) 略性風(fēng)險(xiǎn)、戰(zhàn)術(shù)性風(fēng)險(xiǎn)和操作性風(fēng)險(xiǎn)三個(gè)層次。仍以銷售活動(dòng)為例，銷售不足為戰(zhàn)略性風(fēng)險(xiǎn)；授 信不足或過(guò)高為戰(zhàn)術(shù)性風(fēng)險(xiǎn)；授信審批沒(méi)有按照要求執(zhí)行則為操作性風(fēng)險(xiǎn)。構(gòu)建自上而下的風(fēng)險(xiǎn) 指標(biāo)體系即符合企業(yè)目標(biāo)管理、績(jī)效管理和流程

11、管理的原理，又能通過(guò)追蹤至操作性風(fēng)險(xiǎn)來(lái)檢查 是否所有戰(zhàn)略性風(fēng)險(xiǎn)和戰(zhàn)術(shù)性風(fēng)險(xiǎn)都已得到有效控制。實(shí)務(wù)中，可以將原有的橫向風(fēng)險(xiǎn)清單作為索引工具，這樣既便于合規(guī)性檢查，又便于員工按圖索 驥，理解相關(guān)風(fēng)險(xiǎn)的具體控制措施及其在整個(gè)業(yè)務(wù)循環(huán)中的前后配合協(xié)調(diào)工作。從與目標(biāo)的關(guān)系看，戰(zhàn)略目標(biāo)跟戰(zhàn)略性風(fēng)險(xiǎn)、戰(zhàn)術(shù)性風(fēng)險(xiǎn)和操作性風(fēng)險(xiǎn)均相關(guān)；除此之外的其他 目標(biāo)，則多與后兩類風(fēng)險(xiǎn)相關(guān)。三、控制措施1.控制措施的具體內(nèi)容在實(shí)務(wù)中，經(jīng)常會(huì)有企業(yè)的管理層特別是高管，抱怨內(nèi)部控制體系就是增加一堆表格和簽字，但 卻沒(méi)有人能解釋為什么要簽字；同時(shí)，企業(yè)管理層真正希望解決的問(wèn)題，卻幾乎沒(méi)有觸及到。造成這種局面的直接原因就是缺乏對(duì)風(fēng)險(xiǎn)

12、層次的清晰認(rèn)識(shí)，進(jìn)而導(dǎo)致在內(nèi)部控制建設(shè)過(guò)程中只局 限在操作性的業(yè)務(wù)流程層面，而忽略了或者無(wú)法將針對(duì)戰(zhàn)略性風(fēng)險(xiǎn)和戰(zhàn)術(shù)性風(fēng)險(xiǎn)的控制措施落實(shí) 到位。如果企業(yè)戰(zhàn)略性層面的源頭風(fēng)險(xiǎn)沒(méi)有管住，操作性層面工作做得越好可能只是在錯(cuò)誤的道 路上越走越遠(yuǎn)。戰(zhàn)略性風(fēng)險(xiǎn)的主要控制措施是完善決策機(jī)制和企業(yè)定位，常見的內(nèi)部控制措施包括決策程序、決 策標(biāo)準(zhǔn)和決策能力的建設(shè)。企業(yè)戰(zhàn)略目標(biāo)的涉及面從抽象到具體可以包括愿景、定位、規(guī)劃和產(chǎn) 品，因此，對(duì)戰(zhàn)略風(fēng)險(xiǎn)的管控措施更多是從資產(chǎn)組合、決策 /定位和培養(yǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)等著手。戰(zhàn)略性 風(fēng)險(xiǎn)的內(nèi)部控制建設(shè)成果可以體現(xiàn)在公司治理文件、集團(tuán)管控模式、企業(yè)的戰(zhàn)略定位和商業(yè)模式 等載體中。戰(zhàn)術(shù)性

13、風(fēng)險(xiǎn)的主要控制措施就是完善管理機(jī)制，常見的內(nèi)部控制措施包括崗位設(shè)置、預(yù)算管理、運(yùn)營(yíng)分析、績(jī)效管理和預(yù)警機(jī)制等，具建設(shè)成果可以體現(xiàn)在崗責(zé)體系、流程體系/價(jià)值鏈（即一級(jí)流程）和基本管理制度等載體中。操作性風(fēng)險(xiǎn)的主要控制措施是作業(yè)動(dòng)作，常見的具體措施包括不相容職責(zé)分離、授權(quán)/審批、查證 /核對(duì)/復(fù)核、財(cái)產(chǎn)保護(hù)和會(huì)計(jì)系統(tǒng)控制等，其建設(shè)成果可以體現(xiàn)在權(quán)限指引、具體管理制度、標(biāo) 準(zhǔn)操作流程（對(duì)流程體系的細(xì)化和分解）和業(yè)務(wù)表單等載體中。在企業(yè)管理中，這三個(gè)層次的管理活動(dòng)是層層推導(dǎo)的，因此，同樣的戰(zhàn)略定位可能因?yàn)椴煌牟?略而需要不同的管理機(jī)制和業(yè)務(wù)流程，進(jìn)而需要不同的控制措施。比如，同樣以創(chuàng)新戰(zhàn)略作為戰(zhàn) 略

14、性風(fēng)險(xiǎn)的控制措施，索尼公司將研發(fā)團(tuán)隊(duì)分為三個(gè)小組，第三組的任務(wù)就是淘汰前面兩組的產(chǎn) 品；而3M公司則鼓勵(lì)員工利用20%勺工作時(shí)間和公司的資源去做自己的發(fā)明創(chuàng)造。兩者落實(shí)戰(zhàn)略 的管理機(jī)制不同，對(duì)應(yīng)的流程活動(dòng)和控制措施也將大相徑庭；但兩者最終都在市場(chǎng)上取得了成功 2.將控制措施嵌入管理過(guò)程法約爾在管理史上首先研究并定義了管理的要素，包括：計(jì)劃、組織、命令、協(xié)調(diào)和控制。所以， 內(nèi)部控制不是拋開原有的管理體系另起爐灶，而“是管理過(guò)程的一部分”。內(nèi)部控制體系建設(shè)的 過(guò)程，不是另外編寫一套手冊(cè)，而是對(duì)原有的管理體系進(jìn)行診斷和梳理，并將之改造成符合內(nèi)部 控制規(guī)范要求的管理體系。因此，可以說(shuō)控制活動(dòng)和管理活動(dòng)

15、是點(diǎn)和面的關(guān)系。內(nèi)部控制建設(shè)最直觀的成果就是內(nèi)部控制手冊(cè)，其核心內(nèi)容是風(fēng)險(xiǎn)控制矩陣和流程圖等。由于控 制矩陣是針對(duì)風(fēng)險(xiǎn)點(diǎn)而采取的控制措施，因而是點(diǎn)狀的且并不能完整地體現(xiàn)管理流程的全貌，所 以，常常會(huì)聽到企業(yè)各級(jí)人員抱怨內(nèi)控手冊(cè)的實(shí)用性很差，這是對(duì)內(nèi)部控制手冊(cè)使用上的一個(gè)很 大誤區(qū)。正確理解內(nèi)部控制手冊(cè)的使用應(yīng)當(dāng)包括兩個(gè)層面。第一，內(nèi)部控制手冊(cè)使用者主要是內(nèi)部審計(jì)人 員和外部審計(jì)師，供其在內(nèi)控自我評(píng)價(jià)和內(nèi)控審計(jì)鑒證時(shí)快速確定關(guān)鍵控制點(diǎn)；第二，在內(nèi)部控 制手冊(cè)完成后，企業(yè)需要將風(fēng)險(xiǎn)控制矩陣中的控制措施，更新到原有的制度和流程文件中去，并 且以劃線標(biāo)注或編號(hào)標(biāo)注等方式體現(xiàn)出哪些是控制措施。對(duì)于非內(nèi)部審計(jì)部門而言，內(nèi)部控制手 冊(cè)在日常工作中，只能作為