王星　戴文濤

摘要：內部控制是預防和降低企業(yè)風險的利器。在我國，完善公司治理結構、建立健全公司組織結構、規(guī)范企業(yè)業(yè)務程序、重視企業(yè)內部控制方法、強化企業(yè)內部監(jiān)督是加強和改善企業(yè)內部控制、提高內部控制質量的重要內容，也是貫徹和落實《企業(yè)內部控制基本規(guī)范》的重要措施和手段。

關鍵詞：內部控制；公司治理；組織結構；業(yè)務程序；控制方法

中圖分類號：F273 文獻標識碼：A 文章編號：1003—3890（2012）04—0056—04

21世紀初，美國爆發(fā)了一連串的財務舞弊丑聞。從安然到世通，從施樂、時代華納到默克制藥、甲骨文軟件，再到世界最大的會計師事務所之一的安達信倒閉，這一系列財務舞弊事件給廣大的投資者帶來了巨額損失，也對美國證券市場造成了沉重打擊。為提高財務報表的可靠性、重振投資者對美國資本市場的信心，美國前總統(tǒng)布什于2002年7月30日簽署了被譽為自富蘭克林·羅斯福總統(tǒng)時代以來“最徹底的公司改革法案”——薩班斯一奧克斯利（sarbanes—Ordey）（以下簡稱SOX）法案，法案中的103、302和404條款對上市公司內部控制做出了明確規(guī)定，它要求公司管理層對企業(yè)內部控制進行自我評價、注冊會計師對公司管理層內部控制評價發(fā)表意見和對企業(yè)財務報告內部控制進行審計。為保證該法案的順利實施，美國證券交易委員會（SEC）對內部控制報告的具體內容和形式做出了更加詳細的規(guī)定，并于2003年8月發(fā)布了最終規(guī)則；美國反欺詐財務報告委員（即Treadway委員會）下屬的COSO組織按照薩班斯法案和SEC規(guī)則的要求，對原有內部控制整體框架進行了修改和完善，于2004年9月正式發(fā)布了《企業(yè)風險管理——整合框架》（Enterprise Risk ManagementIntegrated Framework簡稱ERM框架）。借鑒COSO等研究成果，我國財政部等五部委聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》（簡稱《基本規(guī)范》），并隨后發(fā)布了18項應用指引、《企業(yè)內部控制評價指引》和《企業(yè)內部控制審計指引》（簡稱《配套指引》）。

美國COSO委員會ERM框架的推出以及我國《基本規(guī)范》、《配套指引》的發(fā)布，彰顯了內部控制在預防和降低企業(yè)內部風險方面的重要地位和作用。為貫徹落實《基本規(guī)范》，有效降低企業(yè)風險，筆者就如何加強和改善企業(yè)內部控制談幾點看法。

一、完善公司治理結構

美國COSO委員會提出的企業(yè)內部控制框架包括控制環(huán)境、控制活動、風險評估、監(jiān)控和信息與溝通五個方面，公司治理包含在內部控制之中，是控制環(huán)境的要素之一。眾多學者認為內部控制與公司治理的關系是內部管理監(jiān)控系統(tǒng)與制度環(huán)境的關系。張先治（2004）則把內部控制按照控制的主體分為以董事會為主體的公司治理控制、以管理層為主體的管理控制和以員工為主體的作業(yè)控制。但也有學者持相反觀點。楊雄勝（2005）提出，如果缺乏系統(tǒng)有效的內部控制，公司治理的作用將落空，所以內部控制是公司治理機制發(fā)揮作用的基礎。美國聯(lián)邦儲備委員會理事Susan在2004年美國銀行管理學會信托風險管理年會上的題為“公司治理中的當前問題”的發(fā)言中也提出，內部控制的執(zhí)行是企業(yè)實施公司治理的前提。

針對內部控制和公司治理的關系，研究機構和學者們的意見存在著不一致，但是良好的公司治理會對企業(yè)內部控制產生巨大的促進作用卻是被普遍接受的觀點。張先治、戴文濤（2010）所做的研究表明，公司治理結構關系著內部控制運行的質量和效果，完善企業(yè)內部控制應從公司治理結構入手。一個健全、有效的公司治理結構不僅有利于保護投資者的權益、維護資本市場健康、穩(wěn)定的發(fā)展，而且也有利于保證企業(yè)內部控制的有效性，提高企業(yè)經營活動的效率和效果。

二、建立、健全公司組織結構

企業(yè)的內部控制是由人設計和執(zhí)行的，而且內部控制的對象主要是人。企業(yè)規(guī)模較小或處在初創(chuàng)階段，企業(yè)的負責人依靠自己的經驗、智慧就能有效地管理企業(yè)。但隨著企業(yè)規(guī)模的不斷擴大、市場競爭的日趨激烈，僅僅憑借個人能力是管理不好一家企業(yè)的。在這種情況下，企業(yè)就必須聘用更多的員工從事經營管理工作，從而產生出一個如何有效控制人的問題。企業(yè)領導如何才能有效管人？最關鍵的一條就是設置合理的組織架構、賦予相應的職責和權利。企業(yè)組織機構的合理設置包括兩個方面：一是公司法人治理結構的合理設置，涉及董事會、監(jiān)事會、經理層等機構的設立及相互關系；二是公司管理機構的合理設置，涉及企業(yè)內部各職能部門的設立及相互關系。在公司治理機構比較完善的情況下，要解決的核心問題就是建立健全組織機構、合理確定管理幅度、管理層次以及其相應的職責權限。就企業(yè)財務管理而言，就是要處理好集權與分權的關系、做好不相容職務的分離。所謂集權是指企業(yè)經營管理權限較多地集中在企業(yè)上層，分權是把企業(yè)的經營管理權適當?shù)胤稚⒃谄髽I(yè)中下層。企業(yè)內部的不相容職務指的是由同一人負責一些事務可能會產生弊端和錯誤的職務，企業(yè)內部的不相容職務主要有會計記錄、財產保管、審核監(jiān)督、業(yè)務經辦、授權批準等，這些職務應相互分離，不能由同一人負責實施。企業(yè)財務組織機構的建立可根據(jù)企業(yè)規(guī)模、生產經營類型等特點的不同從以下兩種組織結構中進行選擇（如圖1和圖2）。

三、規(guī)范企業(yè)業(yè)務程序

企業(yè)的內部控制主要由組織機構、人員管理和業(yè)務程序組成。企業(yè)的組織機構是企業(yè)內部控制的基礎，包括法人治理結構、崗位分工、管理部門設置以及相應的職責權限；人員管理是指對企業(yè)員工所進行的管理和控制，包括聘用、考核和獎懲等辦法和措施；業(yè)務程序是企業(yè)業(yè)務活動必須經過的環(huán)節(jié)，包括業(yè)務循環(huán)、風險評估、控制要點、處理過程等。所以，要加強企業(yè)的內部控制，還必須在完善公司治理結構、確立合理的組織結構的同時，規(guī)范企業(yè)業(yè)務程序。

一個企業(yè)或組織的生存與發(fā)展是資源投入、經營運作、成果產出、利益分配的過程。依據(jù)過程的觀點可將企業(yè)內部控制劃分為資源投入控制、經營運作控制、成果產出控制和利益分配控制。企業(yè)的內部控制雖然按控制過程可以分為這四種類型，但是這四種類型卻并不是相互獨立和處于同一層次，他們是互相聯(lián)系、相互包容的。企業(yè)資源投入控制是企業(yè)經營運作控制的基礎，而經營運作控制和資源投入控制又是產出控制的基礎，經營運作控制、資源投入控制和產出控制又是企業(yè)利益分配控制的基礎。（圖3反映了四種控制類型的關系）。另外，由于在每一類具體的控制類型中還存在著眾多的業(yè)務循環(huán)，如經營運作過程中存在著籌資循環(huán)、投資循環(huán)、采購循環(huán)、工資循環(huán)、存貨、生產循環(huán)等。因此，企業(yè)內部控制的實施還應當考慮業(yè)務程序內的循環(huán)過程。那么，如何設計企業(yè)業(yè)務程序方面的內部控制呢？筆者認為構造業(yè)務循環(huán)模型、分析常見弊端、提出內部控制要點、設計內部控制文本的思路值得企業(yè)借鑒和采納。所謂構造業(yè)務循環(huán)模型是指企業(yè)根據(jù)其業(yè)務特點確定資源投入、經營運作、成果產出、利益分配過程中的具體業(yè)務循環(huán)，并在此基礎上對其中每一個業(yè)務循環(huán)進行作業(yè)構造；分析常見弊端是指對構造的業(yè)務循環(huán)模型進行分析，識別出業(yè)務循環(huán)中可能出現(xiàn)的錯誤和弊端，并對出現(xiàn)錯誤和弊端的概率進行風險評估；提出內部控制要點是指針對識別出的影響企業(yè)目標實現(xiàn)的各種重要風險設置內部控制關鍵控制點；設計內部控制文本是指各種風險應對方案以及落實企業(yè)內部控制的文件。企業(yè)內部控制的許多重點和難點主要體現(xiàn)在業(yè)務層面上，企業(yè)業(yè)務程序的規(guī)范將會快速提高企業(yè)內部控制的整體質量和水平。

四、重視企業(yè)內部控制方法

內部控制整體框架研究被公認為是內部控制研究的里程碑。然而已有研究認為現(xiàn)有的內部控制整體框架有著很多不足之處：內部控制框架沒有為企業(yè)高級管理人員提供怎樣建立控制文檔以及怎樣實施內部控制測試方面的具體指引，同時也沒有為企業(yè)高級管理人員提供識別控制缺陷的方案；COSO報告所總結的內部控制五要素主要是為了企業(yè)高級管理人員的自我評估，所以在內控的有效性方面沒有給出具體指南。由于企業(yè)內部控制框架原則性過強，所以根據(jù)內部控制整體框架的要求選用恰當?shù)膬炔靠刂品椒@得十分重要。企業(yè)內部控制方法按照在管理中所起作用的不同可分為內部管理控制方法、內部會計控制方法及內部管理和會計控制共同使用的方法。內部管理控制方法主要保證企業(yè)戰(zhàn)略、資產安全、經營活動效率效果目標的實現(xiàn)，一般采取目標控制、組織規(guī)劃控制、授權批準控制、全面預算控制、職工素質控制、實物保護控制、評估機制控制、內部審計控制、電算化控制等方法。內部會計控制方法主要保證財務報告的可靠性、企業(yè)對相關法律法規(guī)遵循目標的實現(xiàn)，一般以文件記錄控制、會計系統(tǒng)控制方法為主，以組織規(guī)劃控制、授權批準控制、實物保護控制、內部審計控制、電算化系統(tǒng)控制為輔。由于目標控制、組織規(guī)劃控制、授權批準控制、全面預算控制、職工素質控制、內部審計控制、會計系統(tǒng)控制是人們較為熟知的控制方法，筆者僅對其他控制方法進行重點介紹。

1.實物保護控制。通常，內部控制有助于保護企業(yè)資產的安全，但本文的實物保護指的是保護企業(yè)實物資產，保護的方式通常有財產記錄監(jiān)控、限制接近、定期盤點和財產保險等。財產保險是指企業(yè)對一些貴重、易損的實物資產進行投保，以便在實物資產毀損后獲得彌補損失的權利。限制接近是指企業(yè)可以采取授權批準、口令等形式限制企業(yè)無關人員直接接觸有價證券、貴重物品、易變現(xiàn)資產。財產記錄監(jiān)控是指公司利用高科技手段（如錄像等形式）加強對實物資產的管理，避免資產被盜竊和流失。定期盤點是企業(yè)采用對庫存物資定期清查的方式，一方面可以防止帳外資產損失的發(fā)生，另一方面可以對盤虧資產進行調查，分清責任，以保證賬實相符、盡量挽回企業(yè)損失。

2.文件記錄控制。文件記錄控制是企業(yè)內部控制方法中較為重要的一種控制手段，廣義的文件記錄控制包括企業(yè)內部報告控制和會計系統(tǒng)控制，狹義的文件記錄控制僅指企業(yè)內部報告控制。企業(yè)內部報告是在企業(yè)上下級之間、部門之間、員工之間相互傳遞，能夠滿足企業(yè)董事會、管理層和員工決策與控制需要的各種信息文件，通常包括企業(yè)編制的各類報表、各種文檔（包括電子文檔）以及說明材料。企業(yè)內部報告控制包括內部報告編制、內部報告分析、內部報告糾偏等程序，不但保證了企業(yè)對外披露的財務報告的可靠性，而且保證了企業(yè)戰(zhàn)略目標的實現(xiàn)（如圖4）。

3.評估機制控制。當今企業(yè)是在一個經濟一體化、市場全球化的環(huán)境中經營，企業(yè)面臨的風險比任何時候都要大。為應對企業(yè)風險帶來的種種挑戰(zhàn)，越來越多的公司因此建立了風險評估機制，其中，信用風險評估、合同風險評估、籌資風險評估、投資風險評估是其重要內容。信用風險評估是企業(yè)風險管理部門采取一定的信用評價方法確定客戶信用等級、信用授予標準的活動，其目的是避免企業(yè)應收賬款遭受損失。合同風險評估是企業(yè)對合同簽訂和履行過程中可能遭受的風險進行預先評估，以規(guī)避產生法律糾紛導致企業(yè)敗訴的可能性。籌資風險評估是對企業(yè)合理的資本結構進行估算，以確定最佳的籌資結構、籌資金額和期限、籌資成本、借款償還計劃等。投資風險評估是通過對比分析不同投資方案的投資回收期、回報率以及凈現(xiàn)值等，從中選擇最優(yōu)方案，以確定企業(yè)投資方向，避免企業(yè)投資失敗。

4.電算化系統(tǒng)控制。電算化系統(tǒng)具有運算速度快、信息存量大、輸出及時等特點，企業(yè)因此將其運用于企業(yè)的預測、決策和企業(yè)控制方面，電算化系統(tǒng)的安全性隨之凸現(xiàn)出來。

五、強化企業(yè)內部監(jiān)督

企業(yè)內部控制五要素不但是一個完整整體，而且還具有一定的層次性（見圖5），其中內部監(jiān)督處于內部控制五要素的最高層次。從2010年我國上市公司披露的內部控制評價報告看，評價結果都是依據(jù)內部控制五要素進行的，因此，要加強和改善企業(yè)內部控制還必須強化企業(yè)內部監(jiān)督。在我國上市公司中，發(fā)揮內部監(jiān)督作用的職能部門主要有監(jiān)事會、董事會領導的審計委員會以及總經理領導的內部審計機構。但從現(xiàn)實情況看，三者均沒有發(fā)揮應有的內部監(jiān)督作用。產生問題的原因主要在于各職能部門人員配備不合理、專業(yè)性不夠、獨立性不強、職權不足等。美國藍帶委員會（1999）建議，至少由三位懂財務的董事組成公司審計委員會，美國2002年頒布的SOA要求審計委員會中至少有一名財務專家，并對“財務專家”的定義、條件進行了非常嚴格而明確的界定，而我國的審計委員會制度只要求審計委員會中至少有一名獨立董事為會計專業(yè)人士，而對究竟什么樣的人才才算是“會計專業(yè)人士”并沒有進行嚴格的限定。國際內部審計師協(xié)會從1941年成立至今，已經對內部審計定義進行了七次修訂。最近的一次修訂把監(jiān)督和報告公司治理、內部控制的有效性及風險管理確定為內部審計的重要內容。Ramamoorti（2003）認為，內部審計結構（或部門）是幫助改善公司內部治理、支持公司關鍵治理程序的最合格的職業(yè)團體。按照國際內部審計師協(xié)會研究基金會（2003）以及國際內部審計師協(xié)會奧斯汀分會（2007）所做的調查，為提高內部審計的獨立性，西方國家大多數(shù)企業(yè)的內部審計部門在職能上向審計委員會報告，在行政上向公司CEO或CFO報告。國際內部審計師協(xié)會（簡稱IIA）認為，內部審計報告分為職能性報告和行政性報告有利于保證內部審計的相對獨立性。而我國的內部審計不但不區(qū)分職能性報告和行政性報告，而且大多數(shù)的內部審計部門由總經理領導。這一方面降低了內部審計的獨立性，另一方面也嚴重削弱了內部審計的職能。我國應當在完善監(jiān)事會、審計委員制度的基礎上，通過明確內部審計報告關系，強化內部審計機構職責等方式加強企業(yè)內部監(jiān)督，保證內部控制的質量。

綜上所述，公司治理結構、組織結構、內部控制環(huán)境、企業(yè)業(yè)務程序、企業(yè)內部監(jiān)督五者之間既相互區(qū)別，又相互滲透，其中公司治理結構、組織結構從控制手段看屬于組織規(guī)劃控制，但在完善公司治理結構、建立健全組織結構的過程中又可能使用多種控制手段。由此看來，企業(yè)只有在完善公司治理結構、組織結構的基礎上，重點做好業(yè)務程序、內部監(jiān)督的同時綜合使用各種不同的內部控制方法，才有可能不斷加強和改善企業(yè)內部控制，進一步提高企業(yè)內部控制的質量和水平。

責任編輯、校對：梁佳