【摘 要】隨著現代企業(yè)制度的建立，企業(yè)規(guī)模越來越大，內部控制的重要性也日益突出。本文首先回顧了內部控制制度的最新理論成果，借鑒COSO報告和我國內部控制規(guī)范及應用指引，探討了企業(yè)內部控制框架的構建，同時就如何建立和完善企業(yè)內部控制制度提出建議。
　　【關鍵詞】現代企業(yè)制度 COSO報告 內部控制制度 框架
　　如何建立和完善內部控制制度，日益成為管理者首先要考慮的問題，盡管理論界和實務界進行了多年的思考與實踐，但是，人們對內部控制的認識還遠未取得共識，內部控制還很薄弱，在制度內部控制體系方面還有深入討論的必要。從某種意義上來看，企業(yè)內部控制體系的建立健全及實施關系著企業(yè)的命運，關系到企業(yè)能否從容應對日益激烈的市場競爭。
　　一 內部控制理論的最新成果
　　企業(yè)內部控制研究已取得了一些頗具影響的理論成果，這些成果能夠為企業(yè)內部控制的建立和完善提供借鑒，為此，本文首先對這些成果進行梳理。
　　1．COSO報告
　　COSO（Committee of Sponsoring Organization）委員會于1992年9月發(fā)布了指導內部控制實踐的綱領性文件《內部控制——整合框架》并于1994年進行了增補，即《COSO內部控制框架》。這份文件堪稱內部控制發(fā)展史上的里程碑。該報告定義了內部控制的五大要素，即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)察。所有這五個部分必須同時作用才能使內部控制得以產生影響。
　　2004年9月，COSO委員會發(fā)布了新的COSO報告——《企業(yè)風險管理框架》。新COSO報告將內部控制定義為“一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次和部門，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業(yè)目標的實現提供合理保證的過程?！北容^而言，新COSO報告對內部控制的定義強調了風險管理理念，并且在運營目標、財務報告目標和合法性目標的基礎上增加了戰(zhàn)略目標。這意味著，風險管理不僅是確保經營的效率和效果，而且介入了企業(yè)戰(zhàn)略（包括經營目標）制定過程。
　　2．SOX法案
　　2002年7月，美國國會正式通過了由薩班斯和奧克斯利聯合提出的SOX法案。SOX法案不僅強調要完善上市公司的內控治理結構，還強調了董事及高層管理人員的責任，強化了上市公司的信息披露義務，加重了對違法行為的處罰措施。作為SOX法案中最重要的條款之一的404條款明確規(guī)定了管理層應當承擔設立和維持一個應有的內部控制結構的職責。該條款要求上市公司必須在年報中提供內部控制報告和內部控制評價報告；上市公司的管理層和注冊會計師都需要對企業(yè)的內部控制系統做出評價，注冊會計師還必須對公司管理層評估過程及其對內控系統的結論進行相應檢查并出具正式意見。404條款的基本目標在于使得公眾更易察覺到公司的欺詐行為，確保公司財務報告的可行性，恢復投資者的信心，保護投資者利益。
　　3．中國內部控制的發(fā)展狀況
　　2008年6月28日，我國財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會制定并印發(fā)了《企業(yè)內部控制基礎規(guī)范》。內控規(guī)范要求企業(yè)建立內部控制體系時應符合以下目標：一是合理保證企業(yè)經營管理合法合規(guī)、保障資產安全，以及財務報告及相關信息的真實完整；二是提高經營效率和效果；三是促進企業(yè)實現發(fā)展戰(zhàn)略。內控規(guī)范借鑒美國COSO報告并結合中國國情，要求企業(yè)所建立與實施的內部控制應包括五個要素，即內部環(huán)境、風險評估、控制活動、信息與溝通和內部監(jiān)督。2010年4月，五部委又印發(fā)了《企業(yè)內部控制應用指引第1號——組織架構》等18項應用指引和《企業(yè)內部控制評價指引》和《企業(yè)內部控制審計指引》（以下簡稱企業(yè)內部控制配套指引），該配套指引連同《企業(yè)內部控制基本規(guī)范》共同構成了中國企業(yè)內部控制規(guī)范體系。
　　二 企業(yè)內部控制框架的構建
　　借鑒COSO報告和我國內部控制規(guī)范及其應用指引，企業(yè)可以下四個框架建立內部控制體系。
　　1．企業(yè)內部控制基本規(guī)范
　　企業(yè)內部控制基本規(guī)范對企業(yè)內部控制做出原則性規(guī)定，主要包括下列內容：目的和依據；相關術語解釋；內部控制機構和職責；內部控制原則、要素、方法等。
　　2．企業(yè)層面的內部控制
　　企業(yè)層面的內部控制與控制環(huán)境、風險評估和控制活動等控制要素相關，主要關注企業(yè)內外部環(huán)境的適應性和協調性。它對企業(yè)有深遠的影響，對企業(yè)發(fā)展起著重要的基礎性作用，涉及組織架構的設計、發(fā)展戰(zhàn)略的制定、人力資源的管理、社會責任的履行和企業(yè)文化的創(chuàng)建等方面。
　　3．業(yè)務層面的內部控制
　　業(yè)務層面的內部控制與風險評估、控制活動、信息與溝通和內部監(jiān)督等控制要素相關，規(guī)范業(yè)務操作的具體流程、職責分工、審批權限等，重點關注企業(yè)業(yè)務層面的經營風險和財務風險。
　　4．內部控制監(jiān)控、評價與完善
　　要實時監(jiān)控和全面評價內部控制的設計與運行情況，及時發(fā)現企業(yè)內部控制缺陷，關注企業(yè)經營風險和管理漏洞，提出和實施改進方案，確保內部控制有效運行。
　　三 建立和完善企業(yè)內部控制的建議
　　從風險管理角度看，建立和完善企業(yè)內部控制是十分必要的。COSO報告為企業(yè)內部控制的建立和完善提供了理論指導。但在實踐層面上如何建立和完善企業(yè)內部控制并規(guī)避經營風險，則是廣大企業(yè)管理者需要解決的重要課題。
　　1．完善組織架構設置，形成良性運行機制
　　完善企業(yè)組織架構設置，一要建立規(guī)范的治理結構并使其有效運轉，提高科學決策能力，避免經營失敗，促進企業(yè)發(fā)展戰(zhàn)略目標的實現；二要完善內部機構設置，避免機構重疊、職能交叉或缺失、杜絕推諉扯皮現象的發(fā)生，提高運行效率。組織架構的設計要堅持科學、精簡、高效、透明、制衡的原則，形成各司其職、各負其責、相互制約、相互協調的工作機制。
　　2．加強人力資源管理，形成合理的激勵約束制度
　　人力資源對企業(yè)發(fā)展起著重要的支持作用，實現人力資源的合理配置可全面提升企業(yè)的核心競爭力。企業(yè)的發(fā)展不僅取決于其資產的規(guī)模和設備的先進，而更多地取決于其員工的素質和能力的發(fā)揮。而能否充分有效地發(fā)揮人的主觀能動性，重視人的價值，提升人的能力作用，又是內部控制制度健全性的體現。所以，要建立合理的人力資源激勵約束制度，完善關鍵崗位人員的管理，這是企業(yè)內部控制體系得以建立和運行的基礎和保證。
　　3．設計良好的控制活動
　　企業(yè)應當運用相應的控制措施將風險控制在可承受范圍內。一般而言，控制活動包括兩個要素：政策和程序。政策規(guī)定應該做什么，程序規(guī)定應該如何做，政策是程序的基礎。常見的控制活動主要有不相容職務分離控制、授權審批控制、預算控制、績效考評控制、會計系統控制、財產保護控制等。對大中型企業(yè)來說，一貫地執(zhí)行內部控制的有關政策及程序是十分重要的。
　　4．加強信息流動與溝通
　　信息是決策的基礎，溝通是傳達的過程，更是正確決策的前提。一個良好的信息系統有助于提高內部控制的效率和效果。企業(yè)需按某種形式及在某個時間之內，辨別取得適當的信息并加以溝通，使員工順利履行其職責。信息系統不僅處理企業(yè)內部所產生的信息，同時也處理與外部的事項、活動及環(huán)境等有關的信息。企業(yè)的信息系統不僅是控制環(huán)境建設的一個重要方面，同時也是企業(yè)內部控制的一項要素，是企業(yè)內部控制過程的一部分。
　　5．規(guī)范業(yè)務層面的內部控制
　　業(yè)務層面的控制涉及企業(yè)的資金活動、采購業(yè)務、資產管理、銷售、工程項目、財務報告、全面預算等各個方面。這些業(yè)務層面的控制體現在各項業(yè)務處理的規(guī)范和辦法中，它們構成了企業(yè)內部控制體系的實體部分。
　　6．加強對內部控制的監(jiān)控和評價，完善內部控制體系
　　由于所有的內部控制系統仍面臨發(fā)生錯誤或出現差錯的危險，因而內部控制系統只能就企業(yè)目標的實現提供合理保證。即使一個企業(yè)實施了內部控制，也可能由于故意串通破壞、管理層逾越監(jiān)控而失效。因此，企業(yè)有必要加強對內部控制的監(jiān)控和評價，及時發(fā)現現有內部控制的缺陷并加以改進。內部控制是一個持續(xù)不斷的過程，只有不斷完善，才能適應不斷變化的環(huán)境。
　　7．建立科學嚴肅、積極主動的風險評估預控系統
　　風險評估預控要求企業(yè)及時、科學地分析經營活動中的相關風險，準確采取風險應對策略，主要包括目標設定、風險識別和風險應對三個關鍵環(huán)節(jié)。整個評估預控系統具有前瞻性和防范性，對集團的生產經營活動進行分析、推測、預測、評價，系統地分析企業(yè)面臨的各種風險和風險對企業(yè)的威脅程度，以及企業(yè)自身的承受能力，最終提請決策者警惕風險并制定配套的措施，進而通過預先設立的控制方案將風險可能造成的危害和影響降低到最小或消除。企業(yè)可以由經營、法律、財務等專業(yè)人員構成風險管理部門或工作組，負責制定風險管理政策，對成員企業(yè)進行風險管理的授權、控制和評估等，進而增強管理者的風險認知、評估、判斷等綜合能力，以提高企業(yè)整體抵御風險的能力。
　　四 結論
　　由于所有的內部控制系統仍然面臨發(fā)生錯誤或出現差錯的危險，所以內部控制系統只能就企業(yè)目標的實現提供合理保證。即使一個企業(yè)實施了內部控制，也可能由于故意串通破壞、管理層逾越監(jiān)控而失效。因此，企業(yè)加強對內部控制的監(jiān)控和評價顯得尤為重要，能及時發(fā)現現有內部控制的缺陷并加以改進。內部控制是一個持續(xù)不斷的過程，只有不斷完善才能適應不斷變化的環(huán)境。
　　參考文獻
　?。?］李小衡.COSO內部控制整體框架：內容、理論貢獻和借鑒［J］.北京工商大學學報（社會科學版），2007（2）
　?。?］郭德維、李杰.美國薩班斯法案404條對上市公司的影響及啟示［J］.現代財經，2008（8）
　　［3］楊克智、李睿.戰(zhàn)略導向內部控制研究［J］.現代科學管理，2010（7）
　?。?］毛新述、楊有紅.內部控制與風險管理［J］.會計研究，2009（