【摘要】内部控制在会计和审计领域受到的持续的关注。完善与合理的内部控制机制可以有效的解决企业的许多潜在问题。鉴于企业内部存在的一系列问题，内部控制被人们寄予厚望，这是促使内部控制研究得到不断发展的动因。回溯内部控制的整个历程，不难发现内部控制研究在会计界和审计界所取得的丰硕成果，不仅丰富了内部控制的内涵，更促进了构建通用的内部控制平台的努力。本文对内部控制的若干问题进行了简单分析，希望借此阐述对内部控制理论体系的理解。

【关键词】内部控制 财务审计 风险管理 企业运营管理

引言

在过去的15～20年间，内部控制理论的研究从会计和财政引导领域，逐步拓展到了更加广泛的工商管理学领域[1]。内部控制这一术语是从会计和审计领域引入的，其传统解释为“会计控制”，并作为财务报告的可靠性保证，仅局限于审计系统[2]，因此内部控制经常作为内部审计工作的内容而被人熟知。根据布朗在其1969年出版的著作中的论述，内部控制这一问题的萌芽产生自英国审计专家劳伦斯-迪克西于1905年出版的关于财务欺诈的研究报告中。迪克西虽然没有明确提出内部控制概念，但他将这一概念归纳为对财务欺诈、技术错误及原则错误的检查，自此内部控制的相关讨论、概念定义、解释及应用得以不断演进。而到了21世纪初，随着安然及世通公司财务丑闻的先后爆发，美国政府于2002年7月颁布了著名的《Sarbanes Oxley法案》，要求在美国证交所挂牌的国内外公司对其内部控制进行自我审计并对公众发布，并通过此法案进一步对上市公司加强审计监督力度[3]。近年来随着我国改革开放的脚步，以及深化经济改革的实际需求，内部控制的审计及其相关问题也引起政府有关部门和学术界的高度关注。2008年财政部等五部委联合发布了《企业内部控制基本规范》以及2010年发布的《企业内部控制配套指引》促进了我国对内部控制理论的研究。本文拟对内部控制的若干问题进行简单的分析，希望借此阐述笔者对内部控制理论体系的理解。

一、内部控制的定义

从内部控制理论的历史发展来看，内部控制可以理解为审计系统中的相互制衡，而从更宏观的角度来看，内部控制强调经营效益及效率，且遵守法律法规及内部规章制度，因而内部管理又视为经营管理的整合。

狭义和传统观点的内部控制定义是有西蒙斯在1995年给出的，即内部控制或审计控制是细节地和程序化的相互制衡，运用内部控制是为了防止有形或无形资产的侵吞和滥用，并保证会计记录和企业信息系统的可靠性[4]。根据西蒙斯的理论，内部控制包含如下3个基本范畴：

一是结构性保障，结构性保障包括一个隶属于董事会的有效的审计委员会，一个独立的内部审计职能部门，明晰的职责划分，明确的授权许可权限，以及贵重资产的受限存取。

二是人员保障，人员保障包括充足的知识储备，所有会计、财务管理及审计人员的必要培训，足够的资源，以及关键岗位的轮岗制度。

三是制度保障，制度保障包括了完整准确的账目保存，完备的文档编制和审计跟踪，适时适当的管理报告，以及信息系统和数据库的访问权限设置。

内部控制是保证会计账目和企业信息系统可靠性的关键，通过内部控制的详细措施，信息处理、交易处理及会计记账的可靠性均得以保证。内部控制的实施依赖于设计和执行控制的员工群，以及定期的内部和外部审计来监督内部控制的可靠性。狭义定义下的内部控制局限于财务和会计领域内的内部控制职责，而极少提及实施上内部控制是企业日常运营的一部分，且企业内部员工都应遵守。

为了应对上世纪80年代的商业和会计丑闻，美国于1985年建立了反财务报告舞弊国家委员会，即人们所熟知的Treadway委员会（Treadway Commission）。此委员会建立了“发起组织委员会”（Committee of Sponsoring Organizations of the Treadway Commission，简记为COSO），COSO建立了1992 COSO控制框架提供了关于内部控制的建立、监督、评价和报告的一般化标准。COSO提供了如下更为广义的内部控制定义：

内部控制由全体董事会成员、管理人员及其他相关人员共同制订，并被用以为运营效益和效率、财务报告可靠性及企业行为遵守法律法规提供合理保证。

COSO关于内部控制的定义在实际应用中获得了更广泛的认可，因此世界上其他类似组织也采用了与之近似的概念定义[5]。因此内部控制应保障资产安全，并为财务信息安全提供合理的保证，这样企业才能达到其运营的效益、效率目标，提供可靠的内部及对外报告，遵守各种法律法规和企业内部条例。内部控制对董事会、管理层及企业其他所有人员都应具有约束力。

二、管理决策过程的内部控制

内部控制为企业内的任何一个决策者提供信息质量保障时，在管理决策过程会对企业的目标绩效产生特定的影响。企业决策者在决策过程中通常会有诸多困惑，例如决策制定过程中如何判断自己所获得信息的准确性，以及公司资产如何得到有效保护，且公司内部所有员工均遵守了相关法律法规和公司规章。内部控制就是这些问题的一种重要的解决手段。

图1 内部控制与管理决策过程的关系示意图

图1展示了内部控制与管理决策过程的关系。如图示，内部控制可有多个输入，例如企业与顾客、及供货商之间的交易信息，即销售额、合同；外部条件如新的法规或自然灾害；内部信息如经营决策的计划和授权等信息。内部控制为经营管理决策收集和整理全部这些信息并影响管理层的决策。决策者履行其职责和做出适当决策的能力，很大程度上都依赖于其所获得的信息的质量。相比之下，如果决策者所获得的信息是不完整甚至是错误和篡改过的，那么企业很容易被错误的决策所引导。有效的内部控制为企业人员提供了适宜的、适时的、准确的和便于理解的信息。内部控制为决策制定过程提供的信息包含了一般经营活动中的运营问题、未执行标准的问题、违反政策乃至违法行为等等。内部控制是企业其他控制系统的基础，企业的战略控制和经营管理控制都离不开内部控制的有力支撑[6]。

三、内部控制有效性

通常情况下，当内部控制无效时，其重要性往往才得以凸显。当平衡计分卡（Balanced Scorecard，简写为BSC）、关键绩效指标（Key Performance Indicators，简写为KPI）和客户满意度调查（Customer Satisfaction Surveys）这些手段所获得的都是错误的或者被篡改过的数据信息，那这些手段又如何帮助企业管理层达到企业的运营目标呢？如果企业的财务状况报告无法反映其真实的资产情况，那外部投资者依靠什么来进行投资决策呢？若要解决诸如此类的问题，一定离不开内部控制有效性的讨论。

内部控制包含了企业的方方面面，是一个错综复杂的问题。控制有效性的讨论是反映企业预期内部控制实际效果的研究。较之内部控制这一达到运营目的的手段而言，有效性是一个状态[7]。内部控制是否有效，取决于内部控制实施后的主观判断。当企业管理层能够有效的保证下面所列出的条件，那么内部控制大致上可以说是卓有成效的。首先管理层应当清楚企业实现或能够实现怎样的运营效率和效益。其次企业发布的财务报告和内部报告应当真实可靠。最后确保企业遵守了相关的法律法规及企业内部规章制度。

内部控制的关键是甄别和减少企业运营过程中的各种风险。这不仅仅要求明确指出达到企业运营目标过程中的已知风险，也要求企业意识到风险发生的几率。有效地内部控制可以保证风险得到适当的管理和控制。另外有效的内部控制能够发现企业财务欺诈的潜在风险，从而保证企业资产不被侵吞和挪用。有效的内部控制同时为外部投资者提供了企业运营及财务状况的可靠信息。

总而言之，功能完善的内部控制包含了运营的效率，内部报告的可靠性以及对各种法律规章的执行力的综合考量[8]。

四、内部控制的局限性

然而不论企业内部控制系统设计的多么巧夺天工，内部控制也仅能提供合理的而非绝对的风险管理保证。内部控制有其先天的局限性，因为企业管理人员会有错误或者疏漏，甚至主动进行欺诈的可能；此外，管理人员也必须考虑设计和执行内部控制所带来的成本和收益。

以上两点内部控制的局限性明确地告诉人们，即便是设计优良的内部控制系统也会因为难以预期的结果而难免存在意外的剩余风险[9]。

五、结论

本文通过对内部控制的发展历史的简要叙述，简要分析了内部控制理论的定义，浅析了企业运营管理过程中的内部控制，并对内部控制的有效性和其局限性进行了介绍，希望能够促进大众对内部控制理论的了解和认识，进一步促进内部控制在我国企业发展中的应用研究和广泛推广。

参考文献

[1]Maijoor S.The internal control explosion.Int J Audit，2000，4：101-109.

[2]Heier JR，Dugan MT，Sayer DL.A century dabate for internal controls and their assessment：A study of reactive evolution.Account Hist，2005，30（3）：39-70.

[3]李明辉，张艳.上市公司内部控制审计若干问题之探讨.审计与经济研究，2010，25（2）：38-50.

[4]Kinney WR.Information quality assurance and internal control：For management decision-making. Irwin/McGraw-Hill，Burr Ridge，IL，2000.

[5]Pfaff D，Ruud TF，Reichert F.Interne Kontrolle.In：Jenny H（ed） Controller-Leitfaden，Zürich：WEKA，2007：1-16.

[6]Simons R.Performance measurement and control systems for implementing strategy.Prentice-Hill，Upper Saddle River，NJ.

[7]COSO.Internal control Integrated framework. Committee on Sponsoring Organizations of Treadway Commission，Jersey City：20.

[8]Coates JC.The goals and promise of Sarbanes-Oxley Act.J Econ Perspect，2007，21（1）：91-116.

[9]Pfaff D，Ruud TF，Reichert F.Interne Kontrolle.In：Jenny H（ed） Controller-Leitfaden，Zürich：WEKA，2007：23.

作者简介：李德宁（1985-），男，汉族，河北保定人，任职于云南锡业（控股）有限公司。