王清刚

【摘 要】 2008年5月，我国发布《企业内部控制基本规范》，2010年4月，又发布了《企业内部控制配套指引》，随后财政部对配套指引逐一作了深入而权威的解读。至此，中国新版企业内部控制框架基本形成。新框架相对2001—2004年发布的内部会计控制规范（试行）和美国COSO报告，既有继承，又有突破和创新，文章基于比较视角，从内部控制的定义、要素、风险理念、核心思想等方面分析新框架的突破与创新，以期为我国企业实施内部控制提供参考。

【关键词】 内部控制； 风险导向； COSO报告； 整合框架

内部控制是一个非常重要的管理术语，是防范各类风险，促进企业目标实现的必要因素。2008年5月，我国财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》。2010年4月，上述五部委又联合发布《企业内部控制配套指引》，随后财政部对配套指引逐一作了深入而权威的解读。至此，中国新版企业内部控制框架（以下称“新框架”）基本形成。新框架自2011年1月1日起在境内外同时上市的公司施行，2012年1月1日起扩大到境内上市公司，择机扩大到中小板和创业板。

一、中国企业内部控制框架的构成

内部控制是一个完整的框架，而不仅仅是一系列的制度安排。如图1所示，新框架由企业内部控制基本规范、企业内部控制配套指引、企业内部控制配套指引解读三部分构成。企业内部控制配套指引包括应用指引、评价指引和审计指引三个系列。其中，应用指引又可细分为：（1）内部环境类应用指引，包括组织架构、发展战略、人力资源、社会责任和企业文化等；（2）控制活动类应用指引，包括资金运动、采购业务、资产管理、销售业务、工程项目、担保业务、业务外包、财务报告、研究与开发等；（3）控制手段类应用指引，包括全面预算、合同管理、内部信息传递、信息系统等。

内部控制评价是公司董事会或类似权力机构对内部控制的健全性和有效性进行全面评价、形成评价结论、出具评价报告的过程。《企业内部控制评价指引》主要规范企业自身对其内部控制的健全性和有效性进行评价，主要用于引导企业全面评价内部控制的设计与运行情况，规范企业自我评价的主体、程序、范围和报告，揭示和防范内部控制评价过程的相关风险。

内部控制审计是会计师事务所接受委托，对特定基准日客户内部控制设计与运行的健全性和有效性进行审计。由注册会计师对企业内部控制实施审计，是促进企业贯彻落实企业内部控制框架的重要制度安排。《企业内部控制审计指引》主要用于规范注册会计师内部控制审计业务，明确审计工作要求，保证执业质量。注册会计师在执行内部控制审计时，除应遵守审计指引外，还应遵守相关的执业准则。

二、企业内部控制的概念

我国新框架将内部控制定义为：“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制目标包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”。为直观解读内部控制的内涵，可用图2来描述内部控制的过程。

（一）内部控制主体

过去人们将企业内部控制的主体定义为会计人员和会计机构，层次较低，会计人员和会计机构难以担当内部控制之大任，无法有效推动内部控制的实施。新框架强调内部控制的主体是企业董事会、经理层和全体员工。从决策层面到执行层面，上至董事会、经理层，下至各部门、各岗位的普通员工，都需要参与进来。对内部控制的健全性和有效性最终负责的应是董事会，但内部控制绝不仅仅是董事会和经理层的事，全体员工在内部控制过程中都有自己的责任、权限和义务。例如，员工的正直、诚信和道德价值观是重要的内部环境；公司的人力资源政策和岗位责任制会涉及到全体员工等。因此，内部控制的主体是上至董事会，下至全体员工，中间是经理层和各阶层管理者。

（二）内部控制属性

过去人们认为内部控制是方法、措施和程序的安排，是静态的制度。新框架强调内部控制是一个过程，是由一系列要素构成的整体框架（如图3所示），是一种完整的风险管理体系，而非简单的制度或措施安排。控制环境是企业实施内部控制的基础，一般包括治理结构、组织机构及权责分配、诚信和道德价值观、员工素质和人力资源政策、经营风格和管理哲学、企业文化等。风险评估是企业及时识别、分析经营活动中与实现内部控制目标相关的风险，并合理确定风险应对策略。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部及企业与外部间进行有效沟通。监控是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，若发现内部控制缺陷，应及时加以改进。

内部控制的构成要素并非简单相加，而是相互联系、相互制约、相辅相成，共同组成一个完整的框架。控制环境是内部控制过程赖以存在的基础；风险评估是实施内部控制的依据，实施风险评估进而管理风险是建立控制活动的重点；控制活动是实现控制目标的手段，是内部控制的主要组成部分；信息与沟通贯穿于内部控制的全过程，信息传递沟通上下，将整个内控结构凝聚在一起，是保证内部控制过程良好运行的媒介；监督检查位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。

内部控制是控制主体对影响企业目标实现的各种风险实施控制活动的持续过程，它强调执行过程和实施的效率效果。内部控制不是会计控制，而是融合了内部会计控制和内部管理控制的全过程控制。因此，内部控制建设绝不等于制度建设，而是要建立健全有效的内部控制整体框架。内部控制对企业目标的实现只能提供合理保证，内部控制的有效性可能因员工串通舞弊、管理层凌驾、职业判断偏差等而降低。

（三）内部控制目标

过去人们将内部会计控制的目标设定为会计信息质量目标、资产安全目标、合规性目标三个方面。新框架提出五大目标，特别是促进企业实现发展战略的提出，是一项重大突破。内部控制的主要目标不是防范差错和舞弊，而是实现公司发展战略和可持续繁荣，不断提高企业核心竞争力和经营管理水平，促进企业价值最大化，打造百年老字号的优秀企业。因此，内部控制理念应从牵制和制约理念转向可持续发展理念。资产的安全完整是管理层、投资人和其他利益相关者普遍关注的问题，是企业可持续发展的物质基础，良好的内部控制应为资产安全提供可靠的保障。

三、企业内部控制要素

内部控制要素在内部控制理论中居于核心地位，直接影响着内部控制的设计、实施和评价等环节（王竹泉等，2010）。美国COSO报告将内部控制分解为五要素，即控制环境、风险评估、控制活动、信息与沟通、监控。我国新框架也提出五要素的构成，但将控制环境改为内部环境，将监控改为内部监督，其他要素名称相同。朱荣恩（2008）认为，我国在形式上借鉴了COSO内部控制五要素框架，而在内容上体现了风险管理八要素的框架。

（一）内部环境

内部环境处于内部控制五大要素之首，构成一个企业的氛围，是内部控制过程赖以存在的基础，决定着内部控制的边界和效果。COSO报告的控制环境包括正直与道德价值观、员工素质与人力资源政策、管理哲学与行事作风、组织架构与审计委员会、权责配置等。我国新框架界定的内部环境包括组织架构、发展战略、人力资源、社会责任和企业文化。新框架将发展战略和社会责任引入内部环境，是一项重大创新，这与内部控制目标突破是相呼应的。企业是创造财富与履行社会责任的统一体。促进企业履行社会责任，是提升发展质量，实现可持续发展的根本。企业只有切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调，才能实现企业与员工、企业与社会、企业与环境的健康和谐发展。新框架将正直诚信与道德价值观、经营理念与管理哲学、企业精神与行事作风等融入企业文化建设，也是一项创新。企业兴旺在于管理，管理优劣在于文化。企业文化是竞争决胜的关键，是企业实现可持续发展的前提，一流的企业都十分重视文化建设。

（二）风险评估

风险评估是实施内部控制的依据，实施风险评估进而管理风险是建立控制活动的重点。此处的风险评估是一个比较宽泛的概念，包括了风险管理的全过程，即设置目标、风险识别、风险分析、风险应对。

新框架在内部控制配套指引中全面融入风险导向理念，无论是应用指引，还是评价指引和审计指引，都突出强调风险管控的导向性。过去认为风险是个不利因素，主要集中在业务层面，内部控制的重点是防范差错和舞弊风险。新框架认为风险是影响目标实现的不确定性，贯穿于企业经营和管理的全过程，既涉及公司治理层面，也涉及内部机构和业务层面。在公司治理层面，应关注董事、监理、高管的职业操守、能力胜任和风险偏好；在内部机构层面，应重点关注不相容岗位的相分离情况、岗位权责配置和运行机制、运行效率；在业务层面，应关注岗位责任制的履行情况和重大风险的识别、分析、评估和控制。

（三）控制活动

控制活动是实现控制目标的手段，是内部控制的主要组成部分。企业应结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。从控制内容看，内部控制通常存在战略控制、管理控制、作业控制等三个层级；从控制对象看，涉及财务控制、会计控制、资产控制、人员控制等；从控制手段看，控制活动包括不相容职务相分离、授权审批、会计系统、财产保护、预算管理、文件记录、运营分析、绩效考评、内部报告等。

在控制活动方面，新框架增加了运营分析控制和绩效考评控制。运营分析控制要求单位建立运营分析制度，管理层应综合运用各种内外信息和科学的分析方法，定期开展运营分析，及时发现问题，查明原因，加以改进。绩效考评控制要求单位建立和实施绩效考评制度，科学设置考核指标体系，对内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为员工薪酬、晋升、评优、辞退等的依据。

（四）信息与沟通

信息与沟通是企业应对情况改变、保证控制有效的“神经系统”。信息与沟通贯穿于内部控制的全过程，信息传递沟通上下，将整个内控结构凝聚在一起，是保证内部控制过程良好运行的“润滑系统”。企业应建立信息与沟通机制，明确相关信息的收集、处理和传递程序，确保信息真实、沟通及时。及时、准确、完整地收集、加工、传递决策所需的信息是组织稳定的基础。

在信息与沟通方面，我国新框架要求企业建立反舞弊机制、举报投诉制度和举报人保护制度。企业应坚持惩防并举、重在预防，明确反舞弊工作重点、关键环节和责权配置。企业应设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报和投诉成为企业反舞弊的重要途径。举报投诉制度和举报人保护制度应透明公开，传达至全体员工。

（五）内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价其健全性、合理性和有效性，发现和认定内部控制缺陷，并及时加以改进和完善的过程。内部监督分为日常监督和专项监督。内部监督在内部控制框架中位于顶端的重要位置，是内控系统的特殊构成要素，是对其他内部控制要素的一种再控制。

在内部监督的组织保障方面，我国新框架明确了董事会及其审计委员会、监事会、内部审计机构的职责权限。在企业组织架构中，审计委员会、内部审计机构的关系如图4所示。在公司治理层面，董事会及其审计委员会、监事会应发挥主导监督作用，重点关注公司治理和机构运行情况、高管操守和能力胜任情况、授权执行情况、人力资源政策、反舞弊机制运行、信息系统及沟通机制等。内部审计机构则应重点关注职能部门和业务单元的执行力问题、岗位责任制履行情况、内部机构的运行效率等。企业应制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应分析缺陷性质和产生原因，提出整改方案，采取适当形式及时向董事会、监事会或经理层报告。新框架还要求企业将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。

四、内部控制与风险管理的高度融合

风险是对实现目标可能产生影响的各种不确定性因素，可能形成实际结果与预期目标的差异。企业在生产经营过程中随时可能面临各种风险。从风险来源看，有来自企业内部的，如人员的业务胜任能力和职业道德水准、治理结构形同虚设等，有来自企业外部的，如自然灾害、环境变化、产业政策调整、市场竞争加剧等；从企业管理目标看，有战略风险、合规性风险、资产安全性风险、财务报告风险、经营的效率效果风险等；从风险性质看，有政策风险、人员风险、市场风险、法律风险、信用风险、经营风险、流动性风险等；从风险发生过程看，有动态风险和静态风险等。风险因素不仅贯穿于业务层面，还广泛存在于公司治理层面，如董事、监事和高管的职业操守等。可以说，企业生产经营管理的每一环节都充满风险。2009年1月，COSO委员会发布关于监控要素的应用指引，要求企业借助现代信息技术建立基于风险导向的内部控制监督模型，以推动企业将持续监督有效地植入内部控制全过程（R. Trent Gazzaway；Richard D. Braunstein，2009）。

内部控制是对影响企业目标实现的各种风险因素进行分析和管理，从而帮助实现企业目标的过程。内部控制要以全面风险管理为导向（刘玉廷等，2010），我国新框架全面植入风险导向理念，体现内部控制与风险管理的高度融合。新框架要求企业合理确定整体风险承受能力和具体业务层面上的可接受风险水平，实施风险导向的内部控制。在明确控制目标的前提下，首先分析各项活动的总体风险，根据总体风险分析和内部控制目标，设计控制流程，全面梳理和识别流程各环节的主要风险点，分析其产生原因，评估其发生概率及对企业的影响，针对风险点确立关键控制点，从而进一步采取相应的风险管控措施。在设计和执行控制程序时，要利用风险评估结果，对风险进行识别和排序，把焦点放在对重大风险的控制上，设置关键控制点，从而提高内部控制的效率效果。

以担保业务为例，担保业务属于高风险经济活动，如图5所示，实施基于风险导向的担保业务内部控制，以企业内部控制的完整框架为基础，突出风险管控的导向性，在明确内部控制目标的前提下，确立实施内部控制的基本原则，分析担保业务的总体风险，设计担保业务控制流程，梳理和识别担保业务流程各环节的主要风险点，分析其产生原因，采取定性和定量相结合的科学方法，评估各风险发生概率及对企业的影响，针对各风险点确立关键控制点，从而进一步采取相应的风险管控措施。

目前，我国大部分企业还处在内部控制建设的探索阶段，许多企业并未真正掌握风险评估的技术和方法，也未根据风险的可能性和重要性对其进行排序。很多企业没有风险意识，或缺少先进的风险管理技术（韩洪灵等，2009）。因此，新框架对加强我国企业内部控制建设，提升风险管理水平等具有重要意义。

五、内部控制的核心是人的问题

人力资源是企业活动中最为活跃的生产要素，一切竞争归根到底是人才的竞争，人才是企业活力的源泉、核心竞争力的基础、可持续发展的根本。内部控制的核心问题是人的问题，新框架从基本规范到配套指引及其解读，无不体现这一理念。旧规范强调制度和程序的重要性，而新框架突出人的核心作用。新框架五大要素的设置都以人为中心，特别是内部环境、信息与沟通、内部监督都充分体现人在内部控制中的作用。例如，《内部控制配套指引第3号——人力资源》不仅规范了企业加强人力资源开发与建设的具体要求，更突出了人力资源管理各环境的主要风险及其防范措施；《内部控制配套指引第4号——社会责任》规范了企业的安全生产、促进就业、员工权益保护等社会职责和义务。《内部控制配套指引第5号——企业文化》强调企业要树立以人为本的思想，打造企业核心价值观，培育员工积极向上的价值观、人生观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作的企业精神等。再如，凡涉及岗位设置和人员配备的问题，新框架都强调要配备合格人员，对合格人员的评价至少应从业务胜任能力和职业道德操守两个方面进行。

在内部控制建设中，董事、监事和高管人员应以身作则，诚实守信、恪尽职守，为全体员工树立榜样。各阶层管理者应依据规程和制度实施管理，尊重员工，平等沟通，少用命令式语言。企业员工应遵守员工行为守则，认真履行岗位职责，提升自身职业道德修养，加强业务学习，勤勉尽责。

内部控制的最高境界是“无为而治”，如果每一位员工都能做到业务能力足够强，个人道德和修养非常好，责任感和使命感异常坚定，与企业同呼吸、共命运，达到“人企合一”，也就不需要内部控制了，管理者就非常轻松了。新框架要求企业重视人力资源、社会责任、企业文化等软环境的建设，培育以人为本的管理理念，依靠全体员工办企业，尊重劳动、尊重知识、尊重人才，努力为全体员工搭建发展平台，提供发展机会，挖掘创造潜能，增强其主人翁意识和社会责任感，激发其积极性、创造性和团队精神。

综上所述，可以看出内部控制不等于内部控制制度，不等于内部会计控制，也不仅仅是管理层的控制，而是涉及全员的风险管控过程，是由五要素构成的完整框架。内部控制的目标不再仅仅局限于差错与舞弊的防范，其最终目标是要实现企业的战略规划和可持续发展，打造百年老字号的优秀企业。中国企业内部控制新框架体现与风险管理的高度融合，内部控制主要是对影响企业目标实现的各种风险进行梳理、识别、分析和应对，风险导向理念贯穿内部控制的全过程。内部控制的核心是人的问题，企业应重视人力资源、社会责任、企业文化等软环境建设，积极培育以人为本的管理理念。●

【主要参考文献】

［1］ 董月超.从COSO框架报告看内部控制与风险管理的异同［J］.审计研究，2009（4）.

［2］ 韩洪灵，郭燕敏，陈汉文.内部控制监督要素之应用性发展——基于风险导向的理论模型及其借鉴［J］.会计研究，2009（8）.

［3］ 刘玉廷，朱海林，王宏.中国内部控制改革与发展［M］.北京：经济科学出版社，2010.

［4］ 谢志华.内部控制：本质与结构［J］.会计研究，2009（12）：70-75.

［5］ 张先治，戴文涛.中国企业内部控制评价系统研究［J］.审计研究，2011（1）：69-78.

［6］ 钟玮，唐海秀.内部控制系统要素功能耦合与动态演进［J］.审计研究，2010（4）：52-56.

［7］ Bedard, Jean C..Graham，Lynford.Detection and Severity Classifications of Sarbanes-Oxley Section 404 Internal Control Deficiencies［J］. Accounting Review，2011，86（3）：825-855.

［8］ COSO.Enterprise Risk Management-Integrated Framework［M］.AICPA Publisher，2004.

［9］ COSO.Effective Enterprise Risk Oversight: The Role of the Board ofDirectors［R］.http://www.coso.orgdocuments COSO

BoardsERM4pager-FINALRELEASEVERSION82409_001.pdf，2009.

［10］ COSO. DevelopingKey Risk Indicators to Strengthen Enterprise Risk Management ［R］. http：// www.coso.org/documents/COSOKRI PaperFull - FINALforWebPostingDec110_000.pdf，2010.