王星　戴文涛

摘要：内部控制是预防和降低企业风险的利器。在我国，完善公司治理结构、建立健全公司组织结构、规范企业业务程序、重视企业内部控制方法、强化企业内部监督是加强和改善企业内部控制、提高内部控制质量的重要内容，也是贯彻和落实《企业内部控制基本规范》的重要措施和手段。

关键词：内部控制；公司治理；组织结构；业务程序；控制方法

中图分类号：F273 文献标识码：A 文章编号：1003—3890（2012）04—0056—04

21世纪初，美国爆发了一连串的财务舞弊丑闻。从安然到世通，从施乐、时代华纳到默克制药、甲骨文软件，再到世界最大的会计师事务所之一的安达信倒闭，这一系列财务舞弊事件给广大的投资者带来了巨额损失，也对美国证券市场造成了沉重打击。为提高财务报表的可靠性、重振投资者对美国资本市场的信心，美国前总统布什于2002年7月30日签署了被誉为自富兰克林·罗斯福总统时代以来“最彻底的公司改革法案”——萨班斯一奥克斯利（sarbanes—Ordey）（以下简称SOX）法案，法案中的103、302和404条款对上市公司内部控制做出了明确规定，它要求公司管理层对企业内部控制进行自我评价、注册会计师对公司管理层内部控制评价发表意见和对企业财务报告内部控制进行审计。为保证该法案的顺利实施，美国证券交易委员会（SEC）对内部控制报告的具体内容和形式做出了更加详细的规定，并于2003年8月发布了最终规则；美国反欺诈财务报告委员（即Treadway委员会）下属的COSO组织按照萨班斯法案和SEC规则的要求，对原有内部控制整体框架进行了修改和完善，于2004年9月正式发布了《企业风险管理——整合框架》（Enterprise Risk ManagementIntegrated Framework简称ERM框架）。借鉴COSO等研究成果，我国财政部等五部委联合发布了《企业内部控制基本规范》（简称《基本规范》），并随后发布了18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》（简称《配套指引》）。

美国COSO委员会ERM框架的推出以及我国《基本规范》、《配套指引》的发布，彰显了内部控制在预防和降低企业内部风险方面的重要地位和作用。为贯彻落实《基本规范》，有效降低企业风险，笔者就如何加强和改善企业内部控制谈几点看法。

一、完善公司治理结构

美国COSO委员会提出的企业内部控制框架包括控制环境、控制活动、风险评估、监控和信息与沟通五个方面，公司治理包含在内部控制之中，是控制环境的要素之一。众多学者认为内部控制与公司治理的关系是内部管理监控系统与制度环境的关系。张先治（2004）则把内部控制按照控制的主体分为以董事会为主体的公司治理控制、以管理层为主体的管理控制和以员工为主体的作业控制。但也有学者持相反观点。杨雄胜（2005）提出，如果缺乏系统有效的内部控制，公司治理的作用将落空，所以内部控制是公司治理机制发挥作用的基础。美国联邦储备委员会理事Susan在2004年美国银行管理学会信托风险管理年会上的题为“公司治理中的当前问题”的发言中也提出，内部控制的执行是企业实施公司治理的前提。

针对内部控制和公司治理的关系，研究机构和学者们的意见存在着不一致，但是良好的公司治理会对企业内部控制产生巨大的促进作用却是被普遍接受的观点。张先治、戴文涛（2010）所做的研究表明，公司治理结构关系着内部控制运行的质量和效果，完善企业内部控制应从公司治理结构入手。一个健全、有效的公司治理结构不仅有利于保护投资者的权益、维护资本市场健康、稳定的发展，而且也有利于保证企业内部控制的有效性，提高企业经营活动的效率和效果。

二、建立、健全公司组织结构

企业的内部控制是由人设计和执行的，而且内部控制的对象主要是人。企业规模较小或处在初创阶段，企业的负责人依靠自己的经验、智慧就能有效地管理企业。但随着企业规模的不断扩大、市场竞争的日趋激烈，仅仅凭借个人能力是管理不好一家企业的。在这种情况下，企业就必须聘用更多的员工从事经营管理工作，从而产生出一个如何有效控制人的问题。企业领导如何才能有效管人？最关键的一条就是设置合理的组织架构、赋予相应的职责和权利。企业组织机构的合理设置包括两个方面：一是公司法人治理结构的合理设置，涉及董事会、监事会、经理层等机构的设立及相互关系；二是公司管理机构的合理设置，涉及企业内部各职能部门的设立及相互关系。在公司治理机构比较完善的情况下，要解决的核心问题就是建立健全组织机构、合理确定管理幅度、管理层次以及其相应的职责权限。就企业财务管理而言，就是要处理好集权与分权的关系、做好不相容职务的分离。所谓集权是指企业经营管理权限较多地集中在企业上层，分权是把企业的经营管理权适当地分散在企业中下层。企业内部的不相容职务指的是由同一人负责一些事务可能会产生弊端和错误的职务，企业内部的不相容职务主要有会计记录、财产保管、审核监督、业务经办、授权批准等，这些职务应相互分离，不能由同一人负责实施。企业财务组织机构的建立可根据企业规模、生产经营类型等特点的不同从以下两种组织结构中进行选择（如图1和图2）。

三、规范企业业务程序

企业的内部控制主要由组织机构、人员管理和业务程序组成。企业的组织机构是企业内部控制的基础，包括法人治理结构、岗位分工、管理部门设置以及相应的职责权限；人员管理是指对企业员工所进行的管理和控制，包括聘用、考核和奖惩等办法和措施；业务程序是企业业务活动必须经过的环节，包括业务循环、风险评估、控制要点、处理过程等。所以，要加强企业的内部控制，还必须在完善公司治理结构、确立合理的组织结构的同时，规范企业业务程序。

一个企业或组织的生存与发展是资源投入、经营运作、成果产出、利益分配的过程。依据过程的观点可将企业内部控制划分为资源投入控制、经营运作控制、成果产出控制和利益分配控制。企业的内部控制虽然按控制过程可以分为这四种类型，但是这四种类型却并不是相互独立和处于同一层次，他们是互相联系、相互包容的。企业资源投入控制是企业经营运作控制的基础，而经营运作控制和资源投入控制又是产出控制的基础，经营运作控制、资源投入控制和产出控制又是企业利益分配控制的基础。（图3反映了四种控制类型的关系）。另外，由于在每一类具体的控制类型中还存在着众多的业务循环，如经营运作过程中存在着筹资循环、投资循环、采购循环、工资循环、存货、生产循环等。因此，企业内部控制的实施还应当考虑业务程序内的循环过程。那么，如何设计企业业务程序方面的内部控制呢？笔者认为构造业务循环模型、分析常见弊端、提出内部控制要点、设计内部控制文本的思路值得企业借鉴和采纳。所谓构造业务循环模型是指企业根据其业务特点确定资源投入、经营运作、成果产出、利益分配过程中的具体业务循环，并在此基础上对其中每一个业务循环进行作业构造；分析常见弊端是指对构造的业务循环模型进行分析，识别出业务循环中可能出现的错误和弊端，并对出现错误和弊端的概率进行风险评估；提出内部控制要点是指针对识别出的影响企业目标实现的各种重要风险设置内部控制关键控制点；设计内部控制文本是指各种风险应对方案以及落实企业内部控制的文件。企业内部控制的许多重点和难点主要体现在业务层面上，企业业务程序的规范将会快速提高企业内部控制的整体质量和水平。

四、重视企业内部控制方法

内部控制整体框架研究被公认为是内部控制研究的里程碑。然而已有研究认为现有的内部控制整体框架有着很多不足之处：内部控制框架没有为企业高级管理人员提供怎样建立控制文档以及怎样实施内部控制测试方面的具体指引，同时也没有为企业高级管理人员提供识别控制缺陷的方案；COSO报告所总结的内部控制五要素主要是为了企业高级管理人员的自我评估，所以在内控的有效性方面没有给出具体指南。由于企业内部控制框架原则性过强，所以根据内部控制整体框架的要求选用恰当的内部控制方法显得十分重要。企业内部控制方法按照在管理中所起作用的不同可分为内部管理控制方法、内部会计控制方法及内部管理和会计控制共同使用的方法。内部管理控制方法主要保证企业战略、资产安全、经营活动效率效果目标的实现，一般采取目标控制、组织规划控制、授权批准控制、全面预算控制、职工素质控制、实物保护控制、评估机制控制、内部审计控制、电算化控制等方法。内部会计控制方法主要保证财务报告的可靠性、企业对相关法律法规遵循目标的实现，一般以文件记录控制、会计系统控制方法为主，以组织规划控制、授权批准控制、实物保护控制、内部审计控制、电算化系统控制为辅。由于目标控制、组织规划控制、授权批准控制、全面预算控制、职工素质控制、内部审计控制、会计系统控制是人们较为熟知的控制方法，笔者仅对其他控制方法进行重点介绍。

1.实物保护控制。通常，内部控制有助于保护企业资产的安全，但本文的实物保护指的是保护企业实物资产，保护的方式通常有财产记录监控、限制接近、定期盘点和财产保险等。财产保险是指企业对一些贵重、易损的实物资产进行投保，以便在实物资产毁损后获得弥补损失的权利。限制接近是指企业可以采取授权批准、口令等形式限制企业无关人员直接接触有价证券、贵重物品、易变现资产。财产记录监控是指公司利用高科技手段（如录像等形式）加强对实物资产的管理，避免资产被盗窃和流失。定期盘点是企业采用对库存物资定期清查的方式，一方面可以防止帐外资产损失的发生，另一方面可以对盘亏资产进行调查，分清责任，以保证账实相符、尽量挽回企业损失。

2.文件记录控制。文件记录控制是企业内部控制方法中较为重要的一种控制手段，广义的文件记录控制包括企业内部报告控制和会计系统控制，狭义的文件记录控制仅指企业内部报告控制。企业内部报告是在企业上下级之间、部门之间、员工之间相互传递，能够满足企业董事会、管理层和员工决策与控制需要的各种信息文件，通常包括企业编制的各类报表、各种文档（包括电子文档）以及说明材料。企业内部报告控制包括内部报告编制、内部报告分析、内部报告纠偏等程序，不但保证了企业对外披露的财务报告的可靠性，而且保证了企业战略目标的实现（如图4）。

3.评估机制控制。当今企业是在一个经济一体化、市场全球化的环境中经营，企业面临的风险比任何时候都要大。为应对企业风险带来的种种挑战，越来越多的公司因此建立了风险评估机制，其中，信用风险评估、合同风险评估、筹资风险评估、投资风险评估是其重要内容。信用风险评估是企业风险管理部门采取一定的信用评价方法确定客户信用等级、信用授予标准的活动，其目的是避免企业应收账款遭受损失。合同风险评估是企业对合同签订和履行过程中可能遭受的风险进行预先评估，以规避产生法律纠纷导致企业败诉的可能性。筹资风险评估是对企业合理的资本结构进行估算，以确定最佳的筹资结构、筹资金额和期限、筹资成本、借款偿还计划等。投资风险评估是通过对比分析不同投资方案的投资回收期、回报率以及净现值等，从中选择最优方案，以确定企业投资方向，避免企业投资失败。

4.电算化系统控制。电算化系统具有运算速度快、信息存量大、输出及时等特点，企业因此将其运用于企业的预测、决策和企业控制方面，电算化系统的安全性随之凸现出来。

五、强化企业内部监督

企业内部控制五要素不但是一个完整整体，而且还具有一定的层次性（见图5），其中内部监督处于内部控制五要素的最高层次。从2010年我国上市公司披露的内部控制评价报告看，评价结果都是依据内部控制五要素进行的，因此，要加强和改善企业内部控制还必须强化企业内部监督。在我国上市公司中，发挥内部监督作用的职能部门主要有监事会、董事会领导的审计委员会以及总经理领导的内部审计机构。但从现实情况看，三者均没有发挥应有的内部监督作用。产生问题的原因主要在于各职能部门人员配备不合理、专业性不够、独立性不强、职权不足等。美国蓝带委员会（1999）建议，至少由三位懂财务的董事组成公司审计委员会，美国2002年颁布的SOA要求审计委员会中至少有一名财务专家，并对“财务专家”的定义、条件进行了非常严格而明确的界定，而我国的审计委员会制度只要求审计委员会中至少有一名独立董事为会计专业人士，而对究竟什么样的人才才算是“会计专业人士”并没有进行严格的限定。国际内部审计师协会从1941年成立至今，已经对内部审计定义进行了七次修订。最近的一次修订把监督和报告公司治理、内部控制的有效性及风险管理确定为内部审计的重要内容。Ramamoorti（2003）认为，内部审计结构（或部门）是帮助改善公司内部治理、支持公司关键治理程序的最合格的职业团体。按照国际内部审计师协会研究基金会（2003）以及国际内部审计师协会奥斯汀分会（2007）所做的调查，为提高内部审计的独立性，西方国家大多数企业的内部审计部门在职能上向审计委员会报告，在行政上向公司CEO或CFO报告。国际内部审计师协会（简称IIA）认为，内部审计报告分为职能性报告和行政性报告有利于保证内部审计的相对独立性。而我国的内部审计不但不区分职能性报告和行政性报告，而且大多数的内部审计部门由总经理领导。这一方面降低了内部审计的独立性，另一方面也严重削弱了内部审计的职能。我国应当在完善监事会、审计委员制度的基础上，通过明确内部审计报告关系，强化内部审计机构职责等方式加强企业内部监督，保证内部控制的质量。

综上所述，公司治理结构、组织结构、内部控制环境、企业业务程序、企业内部监督五者之间既相互区别，又相互渗透，其中公司治理结构、组织结构从控制手段看属于组织规划控制，但在完善公司治理结构、建立健全组织结构的过程中又可能使用多种控制手段。由此看来，企业只有在完善公司治理结构、组织结构的基础上，重点做好业务程序、内部监督的同时综合使用各种不同的内部控制方法，才有可能不断加强和改善企业内部控制，进一步提高企业内部控制的质量和水平。

责任编辑、校对：梁佳