陈留平 马畅

【摘 要】 控制环境是企业内部控制的基础，在内部控制中占有非常重要的地位，良好的内部控制环境是企业稳定持久发展，降低企业内部风险的基石。中美内部控制法规都对内部控制环境作出了相关规定，然中国内部控制规范于近年才颁布，尚不够成熟完善。文章就中美内部控制环境之间的差异进行对比分析，得出了进一步完善我国内部控制环境建设的启示，以指导我国企业更好地进行内部控制建设。

【关键词】 公司治理； 内部审计； 组织架构； 企业文化； 人力资源

1988年，美国注册会计师协会发布《审计准则公告第55号》，第一次正式将控制环境纳入内部控制的范畴，认为内部控制结构由控制环境、会计制度(或会计系统)和控制程序三个要素组成；1992年，美国COSO委员会发布的“内部控制——整体框架（Internal Control－Integrated Framework，IC-IF）”认为，内部控制由控制环境、风险评估、控制活动、信息与沟通、监控五个相互影响的要素构成；2004年，COSO委员会发布了“企业风险管理——整体框架（Enterprise Risk Management，ERM）”，对原来的五个要素进行深化和拓展，将其演变为八个要素，分别是内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监督。

2008年，我国颁布的《企业内部控制基本规范》（下称“基本规范”）规定，内部环境是内部控制的五要素之一；2010年，我国颁布的《企业内部控制应用指引》（下称“应用指引”），分别阐述了组织架构、人力资源和企业文化等与内部环境相关的内容，进一步补充和完善了基本规范。

一、中美内部控制环境的内涵比较

IC-IF认为“控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境对企业行为架构、目标设立和风险评估的方式有潜移默化的影响。控制环境包括员工的诚信度、职业道德和能力；管理哲学和经营风格；权力和责任的分配、人力资源政策；董事会的经营重点和目标等。”

ERM框架指出，内部环境包含一个组织的基调，影响其员工的风险意识，同时还是企业风险管理所有其它组成部分的基石，提供纪律和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行，还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境因素包括风险管理哲学、风险文化、董事会、诚信和道德观、能力承诺、管理哲学和经营风险、风险偏好、组织结构、权力和责任的分配、人力资源政策和实务等。

我国基本规范认为：“内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、职业道德修养与胜任能力、企业文化、法制意识等。”应用指引指出，内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。

可以看出，中美都认为内部控制环境是内部控制其他组成要素的基础，是有效实施内部控制的保障。但是，美国COSO框架①是通过阐述控制环境在内部控制中的地位和作用来进行解释的，认为控制环境应当包括两大方面或具备两大职能，即设定一个组织的基调和提供内部控制其他要素建立的基础。而我国基本规范没有强调设定一个组织的基调是内部控制环境的重要职能，也没有说明内部环境是内部控制其他要素的基础。应用指引中虽然比较全面认识了内部环境的作用，但没有厘定控制环境的内涵。

美国COSO框架中对控制环境因素的划分主要是以控制环境因素责任主体的不同进行的，除了人力资源和实务具有间接影响性之外，其他环境因素都有直接影响性。我国内部控制规范中规定的内部环境因素较多，对其划分参考美国COSO框架的痕迹较明显。在应用指引中还提出了如公司治理结构、发展战略、社会责任等热点概念，但没有充分考虑内部环境的本质，看不出这些因素提出的理论依据和分类标准，并且同一体系下的分类明显不一致，使得设定的环境因素显得不够严密和成熟。

二、中美内部控制环境因素比较

中美对内部控制环境内容的规定相互交叉，相互重叠，但侧重点各有不同，有所差异，二者相互关系如图1所示。

（一）中美公司治理结构比较

公司治理是企业内部控制环境的最高层次，科学的公司治理结构包括民主、透明的决策程序和管理议事规则，高效、严谨的业务执行系统，以及健全、有效的内部监督和反馈系统。中美对公司治理结构的规定有以下不同。

美国采用市场导向型公司治理模式，是“一元制”的公司治理结构，公司的法人治理结构由股东大会和董事大会组成，不设监事会，公司治理中的常设机构是董事会，负责制定决策；执行工作由经理层负责，独立董事负责监督执行董事及经理层；我国公司治理结构采用的是“二元制”，即单独设监事会负责监督董事会和经理行政管理系统，并全面规定了股东、董事会、监事会和经理层之间形成的权责分配、激励与约束、权力制衡关系，以及他们在公司治理中的职责。图2、图3对中美两国的公司治理结构进行了比较。

美国侧重于规定董事会与审计委员会相对于管理层的独立性、成员的经验和声望、对企业活动的审查参与度和其行为的适当性，以及他们在内部控制中的作用；我国则侧重于规定公司治理机构的设置和权责分配，分别规定了董事会与审计委员会在内部控制中的职责。

（二）中美内部审计比较

美国IC-IF中指出，由于在企业中的组织地位和权威性，内部审计在监控方面扮演着重要角色，内审人员在评价、维护企业内控系统有效性方面起着重要作用。ERM框架也指出，内部审计人员在企业风险管理的监控中占有重要的地位，他们的业绩质量依赖高级管理者、下级管理者或部门执行人员的特殊要求，通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会。

我国基本规范规定，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及审计委员会报告。

美国相关规定中没有专门对内部审计作明确规定，只是在组织结构中提及了内部审计的重要性，将内部审计部门的设置作为组织结构中的一个例子，对内部审计多在《萨班斯法案》中作出规定。我国基本规范和应用指引中则有明确规定，专门特别强调了内部审计部门的设置、权责配置和职能发挥要求。

（三）中美组织架构比较

建立和完善组织架构可以促进企业建立现代企业制度，有效防范和化解各种舞弊风险，为强化企业内部控制建设提供重要支撑。

我国应用指引中的组织架构包含公司治理、组织结构和权责分配三个方面，相对应于美国内部控制环境中董事会和审计委员会、组织结构、授予权利和责任的方式三个方面的内容。

中美组织架构在规定上详略不同，侧重点也有所不同。一方面，美国的规定理论性较强，内容比较详细，将二者分别进行规定，侧重于对组织结构、授予权利和责任的方式涵义的解释和设计，以及其对内部控制的影响；我国应用指引的规定则带有很强的原则性，侧重于根据企业内部控制需要来设计组织结构和权责分配，将二者结合在一起进行规定，强调内部控制对组织结构和权责分配的作用。另一方面，美国对内部审计部门的设置作为权责分配的例子，对其规定很简略；而我国则专门强调了内部审计部门的设置、权责配置和内部审计在内部控制中的重要作用。

（四）中美企业文化比较

企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。

我国应用指引中所指企业文化主要包括企业的整体价值观，高级管理人员的管理理念、经营风格与职业操守，员工的行为守则等，这与美国COSO框架中管理哲学和经营方式、员工的诚实性和道德观是相对应的，但是二者侧重点不同。

美国COSO框架中规定了风险观念、正规化观念、会计观念等一些对内部控制建设和运行有直接影响的方面，没有涉及法律法规遵循性的观念，以及其对整个企业内部控制基调形成的重要性；我国基本规范则强调企业法治观念，要求企业有积极向上的价值观和社会责任，营造一种良好的企业文化氛围，但规定过于宽泛，缺乏企业文化应当包括的行为规范方面的规定，对管理理念和经营风格的规定也不足。

（五）中美人力资源比较

良好的人力资源管理制度和机制是增强企业活力的源泉，是提升企业核心竞争力的重要基础，也是实现发展战略的根本动力。

美国的人力资源规定主要从企业员工的角度出发，其内容包括员工的诚实性与道德观、员工的胜任能力，以及人力资源政策和实施三个方面，皆在强调各自的重要性，相关规定的范围比较广；我国则认为人力资源是企业组织生产经营该活动而录用的各种人员，包括企业董事、监事、高级管理人员和全体员工，重点强调人力资源政策，对员工职业道德的规定不明确。

COSO框架主要从对内部控制影响的角度来阐述员工的诚实性与道德观、胜任能力，以及人力资源的建设，强调诚信与道德价值对内部控制的重要性；我国的规定则弱化了人力资源与内部控制之间的相关性，侧重于强调人力资源的建设，甚至包含了如关键岗位员工的休假和轮换制度、机密重要岗位员工的离岗限定性规定等属于控制活动的内容。

三、完善我国内部控制环境建设的几点启示

综上所述，中美内部控制环境规定之间存在一定的差异，二者内容详略不同，所含要点相互对应，又略有差异，各有所长，但由于中国的内部控制建设起步较晚，还有很多不成熟的地方，应进一步完善和改进。

（一）完善法规，使基本规范与应用指引的内容相一致

我国基本规范的目的是对公司内部控制的有效性进行自我评价，应用指引、评价指引和审计指引是基本规范的配套文件。但是，我国基本规范中规定内部环境因素包括治理结构、机构设置及权责分配、内部审计、人力资源政策、职业道德修养与专业胜任能力、企业文化、法制观念等；应用指引中的内部环境因素则包括组织架构、发展战略、人力资源、企业文化和社会责任等，二者存在明显的差异，在应用指引中看不出基本规范的指导作用，使其显得依据不足。因此，相关法规制定部门应进一步完善基本规范与应用指引，使二者紧密相关，互相补充，相关指引应以基本规范为依据，更好地服务于企业内部控制环境的建设。

（二）明确内部环境要素内涵，避免相互间重复交叉

在应用指引中，组织架构、发展战略、人力资源、企业文化和社会责任五个因素中所涵盖的内容互有重复交叉，缺乏明确的划分依据，不便于规范，也不利于明确责任。例如对员工的相关规定，在人力资源、企业文化和社会责任中都有交叉，员工的道德价值观影响企业文化氛围，也影响他们的社会责任感，更是企业选拔员工的人力资源政策；再如，企业组织架构的设计，与企业文化中公司的经营管理风格相重复等，这些都使得各要素相互之间的界定不够明确清晰，内容冗余重复。因此，应细化相关指引，明确各个要素的内涵，尽量避免对相关指引笼统的规定，使之更加合理具体。

（三）分别规定公司治理与组织结构的指引

虽然我国基本规范作为一个单独的内部控制环境要素进行了规定，但是，我国应用指引中用组织架构取代了基本规范中公司治理、组织结构和权责分配三部分内容。尽管组织结构和权责分配包括公司治理结构的设计和权责分配，在内容上有所交叉，但各自的重点、主要工作和主体不同，应当是两个互相独立的要素。公司治理层和管理层在企业中所承担的角色和工作任务不同，公司治理主要是治理层对内部控制的指导和监督责任，而组织结构的权责分配主要是管理层的责任，其工作重点是经理层的组织结构设计和权责分配。因此，应将二者分别制定指引，既有利于明确治理层和管理层的责任，也便于发挥好它们各自在内部控制中的作用。

（四）细分企业文化中对治理层、管理层和员工的规定

企业文化是一个含义广泛且不确定的范畴，是企业在生产经营管理过程中形成的，为企业多数员工所认同的道德价值观、管理理念、经营风格和企业精神等。它的主体涵盖了从治理层到普通员工的各个层级，企业的每一分子都会对企业文化的营造产生影响，很难把握其具体内容和边界，这将无法厘清治理层、管理层和员工分别对内部环境要素的关系。企业文化的内容不都属于内部环境因素，有些属于内部控制活动，将企业文化作为内部环境因素之一太过笼统，且具体指引中规定的企业文化侧重于对企业法治观念的规定，要求企业有积极向上的道德价值观和社会责任，这与社会责任指引有所交叉。因此，应对企业文化指引进行具体细分，厘清企业治理层、管理层和员工在内部环境要素中的作用，将三者分别作为内部环境因素进行规定和建设。

【参考文献】

［1］ 杨瑞平.企业内部控制环境研究［M］.北京:经济科学出版社，2010：51-76.

［2］ 陈留平，张珊珊.基于公司治理的现代企业内部审计架构［J］.江苏大学学报，2010（6）：77-81.

［3］ 刘治宇.我国企业内部控制环境因素研究［D］.河海大学，2007.

［4］ 李俊.我国企业内部控制环境分析［D］.长安大学，2007.