（中交第四航务工程勘察设计院有限公司 广东广州 510000）

2010年4月26日，财政部、证监会、审计署、银监会、保监会等五部委联合发布了《企业内部控制配套指引》（下称《配套指引》）。该《配套指引》包括18项《企业内部控制应用指引》（下称《应用指引》）、《企业内部控制评价指引》（下称《评价指引》）和《企业内部控制审计指引》（下称《审计指引》），连同2008年发布的《企业内部控制基本规范》（下称《基本规范》），标志着既借鉴了国际先进经验，又符合我国企业自身情况的内部控制规范体系基本建成。《基本规范》第5条规定，内部控制应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五个要素。《评价指引》第5条规定，企业应当根据《基本规范》、配套指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。那么当前多数上市公司披露的内部控制自我评价报告按五要素逐一对自身的内控进行评价，看似条理清晰，符合《基本规范》和《评价指引》的要求，而实际上围绕着五要素对内部控制进行评价是一个认识上的识区。

COSO（1992）发布了《内部控制——评价工具》，并说明这些工具纯粹出于举例说明的目的，不是《内部控制——整合框架》不可分割的部分。在所提供的评价工具中，有一套空白工具和已填写的工具。其框架按内部控制五要素排列，按要素进行评价，并得出结论。虽然COSO（1992）特别强调“这些工具并不意味着在实施和记录评价时优先采用，由于主体和行业的差别，主体会运用不同的评价工作或采用不同评价技术的其他方法”，但是作为权威机构发布的评价工具对于企业实施内部控制评价的影响不言而喻。本文将基于内部控制职能论，厘清内部控制五要素之间的关系，从而走出按五要素披露内部控制信息的误区。

一、内部控制的本质

内部控制研究是会计理论研究中的热门话题，但是，内部控制究竟是什么？并无定论。对此，杨雄胜（2011）指出：“面对日益广泛开展的内部控制研究，我们不得不正视一个越来越严重的问题：人们尤其是所谓内部控制的研究者们，事实上对内部控制究竟是什么至今没有形成一种确定清晰的认识。”他指出：“内部控制是运用专门手段工具及方法，防范与遏制非我与损我，保护与促进自我与益我的系统化制度。”

本文采用白华（2012）提出的“内部控制职能论”，即认为内部控制的本质是管理中的控制职能。COSO（1992）认为内部控制是一个过程。结合这一观点，对内部控制职能论理解如下：其一，从其发挥作用的方式来看，内部控制是嵌入企业经营管理过程之中，成为这些过程的一部分，与它们整合在一起，并随着它们的进行而依次展开的一个控制过程。其二，从其发挥作用的内在机理来看，内部控制是通过其各构成要素之间多方向交叉、共同作用于企业经营管理行为的一个循环往复的过程。其三，从其发挥作用的范围来看，内部控制是一个随着企业的发展而影响范围不断扩大的过程。新业务、新职能部门和新分支机构发展到哪里，内部控制就延伸到哪里。其四，从其发挥作用的效果来看，内部控制是随着理论的不断完善和实践经验的不断总结而逐步提高保证程度的过程。

内部控制是一项管理职能，它与计划、组织、领导等职能共同作用于控制对象之上。在这个基础上，《基本规范》是强调控制职能发挥作用的一个过程，针对《基本规范》，财政部又发布了18项《应用指引》，每一项都有一系列相关制度的安排，都包括计划、组织、领导和控制四项职能，只不过侧重每一项所面临的风险控制。如果按五要素分类来进行评价，比如，把公司治理结构和议事规则方面的制度安排归类于控制环境，这种制度安排要涉及到计划、决策、执行、监督等方面，是一个管理制度。控制环境是内部控制的一个构成要素，内部控制是管理职能中的一个职能。如果按要素评价，一项管理制度从属于内部控制的一个要素不尽合理。因此，从内部控制职能论的角度看，按五要素进行评价本身不合逻辑。

二、科学认识内部控制五要素

内部控制五要素不是简单的并列关系，而是相互联系、相互作用的，是相互融合的一个整体。

从内部控制实现控制目标的过程来看。COSO用“金字塔模型”来说明内部控制构成的五要素之间的联系，它指出，“内部控制并不是一个构成要素，仅仅影响下一个构成要素的系列过程。它是一个几乎任何一个构成要素都能够和可能影响其他构成要素的多方向的往复过程。”风险评估不仅影响控制活动，还可能表明有必要重新考虑信息与沟通的需要，或主体的监控活动的需要。控制提供了员工开展活动和履行控制责任的氛围，充当其他构成要素的基础。也就是风险评估要素里有控制环境、控制活动、信息与沟通和监控其他四要素。其实，每一个要素均内在地涵盖了其他四个要素，没有一个要素能独立的存在。内部控制五要素“你中有我、我中有你”，构成一个不可分割的整体。以监控要素为例，它可以自成系统，监控需要组织结构安排、权责分配等控制环境的支撑，运行风险评估查找控制风险，通过控制活动的验证、审核等来实施监督，监督过程中要有信息的上传下达，即信息与沟通，如此通过五要素之间的相互作用实现对内部控制的监控。说明了内部控制不仅仅是一个从控制环境开始到监控结束的一个单向进行的过程，而是每一个要素均可以作为起点和终点的多方向进行的过程。

从内部控制实现控制目标的结果来看。内部控制所有五项要素与每类目标都有关联。附属公司、部门、业务单位、职能单位或诸如购买、生产、营销在内的企业行为，其通过控制职能，包含了控制五要素，不同程度地实现了内部控制的三大目标。COSO在提到内部控制有效性时，指出：“评价某一内控系统是否有效是一种主观判断，判断来自对五项要素是否存在及有效运行的评估……尽管所有五项标准都必须满足，但并不意味着在不同企业各项要素的功能必须完全一致或在同一水平上。各要素间存在某种平衡。由于控制服务于多重目的，服务于目的的在某一要素中的控制也可能体现在其他要素的控制上。”从这点来看，内部控制五要素在实现内部控制目标上也是相互联系、相互作用的。控制要素的部分缺失可能由其他要素方面的控制来补充，从而实现有效的控制。

由上可知，从控制目标实现的过程和结果上看，内部控制五要素相互联系、相互作用，是一个不可分割的整体。如果按内部控制五要素进行评价，五要素间的边界将无法划分。更致命的是，按五要素评价没有考虑控制要素的部分缺失可能由其他要素方面的控制来补充，从而实现有效的控制，这将导致对内部控制有效性的错评。因此，按内部控制五要素披露内部控制信息是行不通的。

三、从内部控制设计和运行的有效性对内部控制信息进行评价披露

2007年，美国PCAOB（公众公司会计监管委员会）《第5号审计准则》将控制缺陷定义为，“控制缺陷是指某种控制的设计或运行无法让管理层或雇员在正常的情况下执行分配给他们的职能，以及时地防止或发现错误陈述。”并规定，“如果存在一个或多个重大控制缺陷，则管理层不能得出公司财务报告内部控制有效的结论。”也就是说，内部控制有效性可以通过重大控制缺陷来衡量，重大控制缺陷可以从控制的设计和运行两个方面评价，那么，我们可以得出内部控制的有效性可以从控制的设计和运行两个方面来评价。《第5号审计准则》进一步对设计和控制缺陷进行了定义，“设计缺陷是指以下情况，即：当（a）满足控制目标所必要的控制缺失；（b）现在的控制未能适当设计，以至于即使控制如所设计的那样运行，也不能达到控制的目标。”因此，我们用设计的合理性，包括内部控制设计的充分性和适当性，来评价内部控制有效性在设计方面的体现。当满足了控制目标所必要的控制存在时，内部控制设计是充分的；当这些设计的控制如设计那样运行能达到控制目标时，即设计的控制措施与控制目标是相关的，内部控制设计是适当的。“运行缺陷是指当一个适当设计的控制未能如所设计的那样运行，或执行控制的人没有必要的权限或资格来有效执行控制时的情况。”我们可以理解为运行缺陷是在一个设计适当的控制下没有实现控制目标，换言之，运行的有效性要看在一个设计适当的控制下控制目标是否能实现。

我国《基本规范》第45条规定，“内部控制缺陷包括设计缺陷和运行缺陷。”《评价指引》第3条规定，“企业实施内部控制评价至少遵循下列原则：全面性原则。评价工作应当包括内部控制的设计和运行，涵盖企业及其所属单位的各种业务和事项。”说明我国的内部控制自我评价从设计和运行两方面评价，《评价指引》解读中关于控制设计和运行缺陷的定义借鉴了美国《第5号审计准则》对设计和运行缺陷的定义。

因此，内部控制评价是对内部控制有效性进行评价，而内部控制有效性的认定又基于内部控制重大缺陷的识别和认定，控制缺陷产生于内部控制的设计和执行过程当中，内部控制信息披露自然围绕着内部控制设计的合理性和运行的有效性展开。