陳少華　彭青

摘要：一個完整的理論框架只有兼顧政策要求與企業(yè)需求，才能有效付諸實施。文章首先回顧、總結(jié)了我國內(nèi)部控制規(guī)范系統(tǒng)建設近十年的相關政策文件，繼而以政策要求為導向，結(jié)合上市公司的實際需求，提出了內(nèi)控系統(tǒng)構(gòu)建的理論框架與實踐差異，進而對內(nèi)控專門機構(gòu)設置、關鍵流程與重要風險點的確定、人工控制測試抽樣、控制缺陷認定等難點問題進行討論。

關鍵詞：內(nèi)控系統(tǒng)構(gòu)建；流程；專門機構(gòu)；認定標準

一、 引言

為防止上市公司在內(nèi)部控制建設與實施過程中出現(xiàn)“走過場”現(xiàn)象，2012年8月14日，財政部聯(lián)合證監(jiān)會發(fā)布通知，對原定于2012年在主板上市公司全面實施內(nèi)部控制規(guī)范系統(tǒng)的規(guī)定進行更改，變更后，僅要求中央和地方國有控股上市公司在2012年執(zhí)行相關規(guī)定，允許非國有控股等其他上市公司分步、分批于2013年、2014年公布年報時再批露內(nèi)部控制評價報告、審計報告（財政部、證監(jiān)會，2012）。原執(zhí)行路徑于2010年出臺《企業(yè)內(nèi)部控制配套指引》（下稱“配套指引”）時敲定，《配套指引》聯(lián)同2008年發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》（下稱“基本規(guī)范”）標志著具有中國特色的，融合COSO內(nèi)控經(jīng)驗的中國內(nèi)部控制規(guī)范系統(tǒng)基本成型。然而，內(nèi)部控制的兩個主要文件均未對我國上市公司內(nèi)部控制系統(tǒng)如何構(gòu)建作出明確指導或說明，上市公司內(nèi)控系統(tǒng)構(gòu)建工作任重道遠，本文基于政策要求與企業(yè)需求視角，融合COSO《企業(yè)風險管理——整合框架》的先進經(jīng)驗，試圖整理我國上市公司內(nèi)部控制系統(tǒng)構(gòu)建的基本框架，以期為相關理論探討與企業(yè)實務添磚加瓦。

二、 中國內(nèi)部控制十年政策評析

COSO于1992年發(fā)布《內(nèi)部控制--整合框架》，逐漸在世界范圍內(nèi)成為內(nèi)控權(quán)威文獻，相繼被各國審計準則制定機構(gòu)、監(jiān)管機構(gòu)廣泛學習和借鑒。2004年，COSO發(fā)布《企業(yè)風險管理——整合框架》，相比1992年框架，其擴展了企業(yè)風險管理的主要目標，將風險管理“五要素”擴展為“八要素”，進一步突出和強調(diào)風險管理的重要性。在COSO風險管理框架先進經(jīng)驗的指導下，我國內(nèi)部控制法律、法規(guī)建設工作取得了長足的發(fā)展和進步，自2004年以來，相關部門單獨或聯(lián)合頒布了一系列具有指導性和示范性的政策文件，簡要歸納如表1。

依據(jù)文件適用的范圍，可將以上9個文件劃分為三類：第一類為中央企業(yè)內(nèi)控規(guī)范文件（2個）；第二類為各交易所適用的內(nèi)控規(guī)范文件（2個）；第三類為普適性內(nèi)控規(guī)范文件（包括《基本規(guī)范》、《配套指引》、2個解釋公告和1個通知，共5個）是針對各行業(yè)各上市公司提出的一般性要求。第一類和第二類文件是對第三類普適性文件的重要補充，上市公司應以第三類文件為基礎，參照第一類、第二類文件的適用條款構(gòu)建內(nèi)控系統(tǒng)。遺憾的是，以上文件均未對我國上市公司內(nèi)控系統(tǒng)構(gòu)建的框架作出明確指導或說明，而這正是上市公司在構(gòu)建內(nèi)部控制系統(tǒng)過程中迫切需要的。

三、 上市公司內(nèi)部控制系統(tǒng)構(gòu)建的框架

1. 內(nèi)控系統(tǒng)構(gòu)建的理論框架。上市公司構(gòu)建合理、完善的內(nèi)控系統(tǒng)具有積極的意義：合理保證財務報告及其相關重要信息的真實性、完整性，保護投資者與其他利益相關者的利益；有效提高企業(yè)經(jīng)營的效率和效果；促進企業(yè)發(fā)展戰(zhàn)略目標的達成；合理保證企業(yè)經(jīng)營合法、合規(guī)及主要資產(chǎn)的安全。目前，我國內(nèi)部控制法規(guī)均未對上市公司內(nèi)部控制系統(tǒng)的構(gòu)建流程作出指導說明，根據(jù)COSO《內(nèi)部控制——整合框架》、《基本規(guī)范》、《配套指引》的基本要求，參照 及陳國記（2012）等學者的觀點，上市公司內(nèi)控系統(tǒng)構(gòu)建的理論框架大體可以提煉為三個環(huán)節(jié)，見表2。

2. 內(nèi)控系統(tǒng)構(gòu)建的實踐差異。在企業(yè)內(nèi)部控制建設實務中，內(nèi)控系統(tǒng)構(gòu)建的邏輯框架通常與表2的理論框架存在差異，主要表現(xiàn)在第一環(huán)節(jié)的第3項內(nèi)容“識別流程中的關鍵控制活動，編制風險控制矩陣”，在實務中，該項工作內(nèi)容通常需進一步改進并細化為以下工作內(nèi)容：3.1開展制度缺口分析與控制差異分析；3.2完善控制措施設計，繪制業(yè)務流程圖，編制內(nèi)控手冊；3.3內(nèi)控手冊實施與反饋。導致這一差異的主要原因是：一方面，企業(yè)在全面開展內(nèi)部控制建設工作前鮮有關于各業(yè)務流程的描述文件，如標準操作流程（SOP）等；另一方面，企業(yè)現(xiàn)有內(nèi)部控制基礎薄弱，沒有設計或執(zhí)行應有的控制活動。因此，在確定重點與優(yōu)先控制的風險點后，企業(yè)需以識別的關鍵風險點為基礎，開展控制差異分析，比較“現(xiàn)有控制措施”與“預期控制措施”的差異，分析存在的漏洞，進而完善內(nèi)部控制設計，填補制度設計缺口，繪制業(yè)務流程圖（常用Visio專業(yè)軟件）。在設計“預期控制措施”時，企業(yè)應根據(jù)實際經(jīng)營管理情況，全面梳理各項相關規(guī)章管理制度，將內(nèi)部控制的核心要求融入到各項管理系統(tǒng)當中，使內(nèi)部控制真正為經(jīng)營管理服務，提高經(jīng)營的效率和效果；在繪制業(yè)務流程圖時，應清晰地描述各項業(yè)務活動在各相關部門中如何發(fā)生、處理、記錄及披露的過程，并有效嵌入復核、授權(quán)審批、崗位分離、定期經(jīng)營分析等控制活動。具備條件的企業(yè)可以充分運用信息技術(shù)平臺固化各業(yè)務流程，提高業(yè)務處理效率，增進信息共享的廣度和深度，還可以減少內(nèi)部控制與其他經(jīng)營管理系統(tǒng)的沖突。

3. 內(nèi)控系統(tǒng)構(gòu)建的專門機構(gòu)。內(nèi)部控制系統(tǒng)框架的有效性和合理性最終在實施過程中得以體現(xiàn)，內(nèi)控系統(tǒng)在實施過程中應由誰負責組織、協(xié)調(diào)？根據(jù)《基本規(guī)范》的要求，董事會負責企業(yè)內(nèi)部控制的建立健全與有效實施，董事會指定專門委員會負責企業(yè)內(nèi)部控制建設工作。一部分上市公司董事會下設風險管理委員會，風險管理委員會下設風險管理部負責牽頭落實企業(yè)內(nèi)部控制建設與推進工作，以保證工作的專業(yè)性和獨立性；一部分上市公司在董事會下設總經(jīng)理領導的內(nèi)部控制工作小組（或稱為“風控中心”），并由總經(jīng)理委托董事會風險管理委員會管理，內(nèi)部控制的工作實際由風險管理委員會組織、協(xié)調(diào)，這樣的架構(gòu)設計（由總經(jīng)理領導）有助于體現(xiàn)內(nèi)部控制工作的權(quán)威，減少內(nèi)部控制推進過程中與經(jīng)營管理系統(tǒng)的摩擦。內(nèi)部控制構(gòu)建專門機構(gòu)的組織形式并沒有一個固化的模式，企業(yè)可以根據(jù)現(xiàn)有的治理結(jié)構(gòu)、結(jié)合管理層特征設計合理的機構(gòu)模式。少數(shù)企業(yè)受現(xiàn)有崗位編制、專業(yè)人才儲備等條件限制，可能尚不具備成立內(nèi)控專門機構(gòu)的條件，可以暫時把內(nèi)控管理職能劃歸至現(xiàn)有機構(gòu)，如內(nèi)部審計部門，簡化組織架構(gòu)?？傊煌髽I(yè)應根據(jù)企業(yè)規(guī)模、組織架構(gòu)等基本情況成立專門機構(gòu)負責組織協(xié)調(diào)內(nèi)部控制的建立實施及日常工作（五部委，2012）。

四、 上市公司內(nèi)部控制系統(tǒng)構(gòu)建的難點

1. 關鍵流程梳理與重要風險點的確定。外部審計過程中涉及的“內(nèi)部控制”主要是指與“財務報告及相關重要信息真實完整”這一目標相關的內(nèi)部控制，簡稱“財務報告內(nèi)部控制”不包括與資產(chǎn)安全等其他四個目標相關的內(nèi)部控制。證券監(jiān)管機構(gòu)對2011年實施和試點內(nèi)控建設的單位，要求先從“財務報告內(nèi)部控制”切入，即外部審計過程中經(jīng)常提及的“內(nèi)部控制”，已經(jīng)完成財務報告內(nèi)部控制的公司，鼓勵將范圍擴展到全面內(nèi)控建設。在構(gòu)建與財務報告相關的內(nèi)部控制時，需確定與財務報告相關的重要會計科目與附注披露事項，繼而梳理、確定與這些重要的會計科目、披露事項對應的關鍵的業(yè)務流程，識別和分析風險類型，明確重點與優(yōu)先控制的風險點。一般選擇合并財務報表稅前利潤的5%作為確認重要會計科目的定量標準。定性標準則包括：會計科目核算的業(yè)務的交易數(shù)量和復雜程度，存在較大錯誤或舞弊的可能性，導致重大財產(chǎn)損失的可能性，存在較多的會計估計或經(jīng)驗判斷的會計科目，與或有負債相關的會計科目，與新發(fā)生的金額較大的交易或行為相關的會計科目，與關聯(lián)交易相關的會計科目。如果根據(jù)定量或定性因素確認某項會計科目（如固定資產(chǎn)）是重要的，需注意這一會計科目的附屬科目（如累計折舊）也是重要的。對于披露事項的確認，由于財務報告中的每項附注都是報告使用者關心的事項，因此，企業(yè)應將財務報告的報表附注全部確認為重要的披露事項。流程和梳理與重要風險點的確定是內(nèi)部控制構(gòu)建過程中的重點也是難點，流程的梳理有賴于風險管理或內(nèi)部控制工作者對公司業(yè)務的了解，這個過程可能要耗費大量的人力、物力。重要風險點的確定則有賴于內(nèi)控工作者對業(yè)務的了解程度、專業(yè)能力及獨立性。以上兩項工作的有效完成是保障上市公司內(nèi)控建設質(zhì)量的基礎。

2. 人工控制測試抽樣?？刂频臏y試程度會根據(jù)相應控制具有的特點而變化，如該控制是自動控制還是人工控制。其中，人工控制測試是內(nèi)部控制建設過程中的重點和難點，通常需結(jié)合詢問、觀察、檢查、重新執(zhí)行四種測試方法進行。人工控制是否有效需在不同的業(yè)務情況下檢查某個特定的經(jīng)營場所或業(yè)務單位的控制（即“抽樣”），這個過程的確定是整個人工控制測試的核心環(huán)節(jié)，內(nèi)控團隊應選擇合適的測試樣本量，這一過程并不一定要求應用嚴格的統(tǒng)計抽樣，但可以借鑒統(tǒng)計抽樣的相關理論，把抽樣風險降至最低。測試或選樣的范圍主要基于內(nèi)控團隊對相關控制重要性的判斷及其希望從測試中獲得的保證程度。表3結(jié)合筆者的實務經(jīng)驗與普華永道內(nèi)控團隊提供的經(jīng)驗數(shù)據(jù)（2012），整理了人工控制抽樣的一些經(jīng)驗數(shù)據(jù)，作為參考。需要提醒的是，在抽樣之前，內(nèi)控團隊還應考慮通過其他途徑獲得的證據(jù)，如自我評估的結(jié)果，內(nèi)部審計證據(jù)，以及從內(nèi)部監(jiān)督過程中收集的證據(jù)，繼而做出抽樣決策。多種證據(jù)的結(jié)合使用有助于提高控制有效性的保證程度。

3. 內(nèi)控缺陷認定標準的設定。一項具體業(yè)務內(nèi)部控制措施的有效性包括設計有效性與執(zhí)行有效性兩部分，內(nèi)部控制措施有效性評價的基本邏輯是：該業(yè)務存在的主要風險是什么？公司是否制定了相應的控制措施？該控制措施設計是否合理有效，即是否可以有效預防或控制風險？設計合理的控制措施是否得到有效執(zhí)行？執(zhí)行中發(fā)現(xiàn)的問題是否及時、有效處理？控制剩余風險是否在企業(yè)可接受的范圍內(nèi)？在以上過程中，通常綜合采用詢問、觀察、穿行測試、實地查驗等方法廣泛收集公司內(nèi)部控制設計與運行是否有效的證據(jù)。當然，對于一些特定的風險領域控制，風險管理團隊需考慮采用特定途徑與方法對內(nèi)控有效性進行驗證，如，對于質(zhì)量管理，企業(yè)可能需要熟悉產(chǎn)品或相關制造工藝的專家的參考；針對信息安全，企業(yè)可能需要聘請專業(yè)人員進行技術(shù)檢查。在控制測試結(jié)束后，企業(yè)需參照內(nèi)控缺陷認定標準對內(nèi)控缺陷分類判定并整改，由于企業(yè)所處行業(yè)、規(guī)模、風險偏好等存在差異，《基本規(guī)范》和《配套指引》均未對內(nèi)部控制缺陷的認定標準進行統(tǒng)一規(guī)定，使得內(nèi)部控制缺陷認定標準的設定成為內(nèi)部控制建設工作中的又一難點。企業(yè)可以根據(jù)《基本規(guī)范》和《配套指引》相關要求，結(jié)合所處行業(yè)特征、企業(yè)規(guī)模，研究確定適合企業(yè)的內(nèi)部控制重大缺陷、重要缺陷和一般缺陷的具體認定標準，這些標準可以是定性標準，也可以是定量標準，通常使用定性與定量方法結(jié)合制定標準。定性標準指就被評價的控制問題，謹慎地考慮相關的事實依據(jù)并且結(jié)合職業(yè)判斷以確定其嚴重程度，進而對缺陷等級進行判定。定量標準指就問題導致的“嚴重程度”進行量化，并且與客觀的、適度的尺度進行對比，進而判斷缺陷等級。例如，可以從內(nèi)控缺陷造成后果的“影響程度”和“發(fā)生的可能性”兩個維度綜合確定三類缺陷的標準。

五、 小結(jié)

企業(yè)內(nèi)部控制系統(tǒng)構(gòu)建是一個循序漸進的過程，在實踐過程中，內(nèi)控建設相關部門和人員需把握以下要領：第一，管理層應充分重視內(nèi)控系統(tǒng)構(gòu)建工作，并保持對內(nèi)控建設與實施工作的持續(xù)關注；第二，企業(yè)應根據(jù)組織架構(gòu)特點設置內(nèi)控建設專門機構(gòu)，保證內(nèi)控建設工作的專業(yè)性和獨立性；第三，內(nèi)控建設機構(gòu)應理順企業(yè)內(nèi)控系統(tǒng)構(gòu)建的基本流程，落實每一環(huán)節(jié)的工作，保證建設工作的穩(wěn)步推進，并充分認識到內(nèi)部建設過程中的難點，如關鍵流程與重要風險點的確定，人工控制測試抽樣，內(nèi)控缺陷認定標準的設定。

參考文獻：

1. 五部委.企業(yè)內(nèi)部控制規(guī)范系統(tǒng)實施中相關問題解釋第1號，2012.

2. 財政部、證監(jiān)會.2012主板上市公司分步分批實施內(nèi)控基本規(guī)范系統(tǒng)的通知，2012.

3. 六部委.企業(yè)內(nèi)部控制規(guī)范系統(tǒng)實施中相關問題解釋第2號，2012.

4. 陳國記.關于企業(yè)內(nèi)部控制構(gòu)建若干思考.財會通訊（綜合），2012，（12）.

5. 普華永道.<企業(yè)內(nèi)部控制基本規(guī)范>管理層實務操作指南.北京：中國財政經(jīng)濟出版社，2012.

作者簡介：陳少華，廈門大學管理學院會計系教授、博士生導師；彭青，廈門大學管理學院會計系博士生。