淺析內(nèi)部控制要素之間的邏輯關系

洪榛嶸

摘 要：本文以COSO報告（1992）為基礎，分析內(nèi)部控制五要素即控制環(huán)境、風險評估、控制活動、信息與溝通與監(jiān)督之間相互作用的機理，梳理各要素之間的邏輯關系，為優(yōu)化組織內(nèi)部控制提出建議。

關鍵詞：內(nèi)部控制；五要素；邏輯關系

一、引言

COSO報告將風險評估、控制活動、信息與溝通、控制環(huán)境和監(jiān)督要素放在了同等地位，從單個要素看，每一個要素都是邊界分明，各有其內(nèi)涵，但是它們作為一個有機聯(lián)系的整體，任何一個要素都不能脫離整體發(fā)揮作用。在已有的對企業(yè)內(nèi)部控制進行評價的文章中，大多都是在忽視要素之間邏輯關系的情況下，單獨對各個要素進行分析，這樣的分析具有針對性卻缺乏對要素間相互作用機理的理解，使得組織的內(nèi)部控制仍然是一個黑箱，難以發(fā)現(xiàn)問題的根源。倘若能夠建立一個清晰的內(nèi)部控制要素之間的邏輯關系，根據(jù)內(nèi)部控制各要素之間的傳導鏈條對問題進行分析，那么在改進組織內(nèi)部控制時就更能抓住主要矛盾，找出癥結，有的放矢。

二、內(nèi)部控制要素構成及其邏輯關系

（一）內(nèi)部控制要素的構成

1992年，美國“反對虛假財務報告委員會”所屬的內(nèi)部控制專門研究委員會發(fā)起機構委員會（簡稱COSO委員會）提出的《內(nèi)部控制——整合框架》報告（簡稱COSO報告）被理論界與實務界廣泛接受。該報告將內(nèi)部控制劃分為五種要素，即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。本文以COSO報告（1992）為基礎，分析內(nèi)部控制五要素間的邏輯關系。

（二）內(nèi)部控制要素之間的邏輯關系

控制環(huán)境奠定了一個企業(yè)內(nèi)部控制的整體基調。管理層的管理風格與經(jīng)營哲學決定了企業(yè)在運營過程中對風險的偏好。保守的管理者在對風險識別時會更加地謹慎，而激進的管理者則傾向于為了獲取更大的利益冒更高的風險。治理層包括股東會、董事會以及監(jiān)事會，治理結構需要設計出治理層對管理層的權責安排、獨立董事制度、內(nèi)部審計制度等監(jiān)督體系。也就是說，公司的治理結構直接影響了監(jiān)督要素中監(jiān)督機構的設置和監(jiān)督活動的進行。對于一個企業(yè)來說，倘若沒有嚴謹?shù)膬?nèi)部控制制度和程序，但是他的員工都是正直且有工作勝任能力的，員工皆能各善其職，那么企業(yè)一樣可以按部就班地運作，但如果一個企業(yè)擁有完整的內(nèi)部控制制度，可是員工素質欠缺，品格不佳，那么再有效的控制活動也會淪為空談，因為無論多么完美的內(nèi)部控制都沒有辦法防止員工間的串通舞弊。內(nèi)部控制環(huán)境中的組織架構和權責分配為信息在部門間的流轉提供了一個基本架構和傳遞路徑，與此同時充當 “信使”角色的員工的職業(yè)道德與勝任能力很大程度上影響部門之間信息溝通的及時性和有效性。

將風險評估劃分為風險識別和風險應對兩個分要素。所謂風險識別，就是企業(yè)在經(jīng)營過程中對可能遇到的內(nèi)部和外部風險進行定性和定量的衡量，認識和明確各種風險因素可能帶來的后果，主要任務是研究各流程中何處有風險，風險發(fā)生的可能性，引起風險事故的原因以及風險一旦發(fā)生造成的損失程度。當風險一旦發(fā)生，企業(yè)采取怎樣的措施使得損失降到最低就是風險應對應該回答的問題。風險評估是控制程序設計的指南針，控制活動包括政策的制定、控制程序的設計和執(zhí)行?？刂瞥绦虻脑O計、政策的制定是根據(jù)風險識別的結果為依據(jù)的，它為控制活動的重點指明方向，提高內(nèi)部控制的效率和效果。根據(jù)《內(nèi)部控制系統(tǒng)監(jiān)督檢查指南》，企業(yè)應該基于風險評估的結果進行優(yōu)先級排序、分配資源和采取相應的監(jiān)督方式。企業(yè)往往會把目光聚焦在一些風險較大的環(huán)節(jié)或是項目上，例如，為了避免管理層的逆向選擇和道德風險，企業(yè)往往會設立董事會和監(jiān)事會；為了防范企業(yè)遇到的財務風險、運營風險等，設立獨立的內(nèi)審部門等等，這些舉措說明風險評估給監(jiān)督工作提供指引，提高監(jiān)督機構設置的合理性，從而增強監(jiān)督活動的效率和效果。

“內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)控檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。”可以看出，監(jiān)督是對內(nèi)部控制活動的再控制，它位于金字塔模型的最頂端，監(jiān)督是一個不斷檢查與反饋的過程，其職能不僅僅停留在督導員工貫徹執(zhí)行控制制度的層面，更為關鍵的是建立與組織目標相適應的評價標準和考核機制，檢查并糾正控制環(huán)境、風險評估、控制活動以及信息與溝通過程中的漏洞，將獲取的信息反饋給組織，使得組織有機會及時提出修改意見，優(yōu)化升級企業(yè)內(nèi)部控制活動，從而達到促進內(nèi)部控制的自我完善的目的。

信息是溝通的對象和內(nèi)容，溝通是信息傳遞的手段。信息與溝通是其他四個要素相互聯(lián)結的紐帶，沒有了這個要素，其余四個要素都會淪為信息的孤島，信息溝通不暢使得整個體系沒有辦法有效運轉。在風險評估方面，企業(yè)的各個層次、每個員工都需要運用信息來確認、評估和應對風險，以便更好地履行職責并實現(xiàn)公司目標。在控制活動方面，有效的溝通能夠及時曝光企業(yè)中不合規(guī)的行為以及反映內(nèi)部控制中存在的缺陷，可以讓制度的制定者、程序的設計與執(zhí)行者對內(nèi)部控制活動及時調整，完善管理。在控制環(huán)境方面，員工的誠信、組織架構和人力資源制度等這些構成控制環(huán)境的分要素所反饋的信息是優(yōu)化內(nèi)部控制環(huán)境的前提。監(jiān)督就是將內(nèi)部控制過程中產(chǎn)生的信息進行處理并利用的過程，要提高監(jiān)督的有效性和針對性就離不開信息的有效溝通。由此可見，一個企業(yè)能否有序地運轉依賴于內(nèi)部控制每一個環(huán)節(jié)的信息生產(chǎn)與溝通。

控制活動是內(nèi)部控制的關鍵和核心，是其他四個要素意志的集中體現(xiàn)。從形式上看，內(nèi)部控制活動是內(nèi)部控制五要素之一，而從本質上看，它是內(nèi)部控制的外在體現(xiàn)。內(nèi)部控制框架是一個整體，控制活動在其中扮演著極為重要的角色，它規(guī)定具體的控制措施，在其他要素的共同作用下，使得內(nèi)部控制的控制職能落到實處。

三、建議與總結

通過研究分析要素間的內(nèi)在邏輯關系，證明了任何一個要素都可能影響其他任何一個要素。要構建健全有效的內(nèi)部控制，不僅僅是要具備基本的控制要素，更要綜合考慮要素之間的聯(lián)系。同樣，在分析組織內(nèi)部控制失效時，往往不是哪一個要素的不足，而是多要素的同時作用導致，這個時候就需要解剖要素的邏輯黑箱，理清關系，找到影響內(nèi)部控制效果的各個因素，深度優(yōu)化組織的內(nèi)部控制體系。（作者單位：南京審計大學）

參考文獻：

[1] 楊有紅. 論內(nèi)部控制環(huán)境的主導與環(huán)境優(yōu)化——基于內(nèi)部控制系統(tǒng)構建與持續(xù)優(yōu)化視角[J]. 會計研究，2013，05：67-72+96.

[2] 趙宗銘. 內(nèi)部控制要素的演進[J]. 中國證券期貨，2012，01：120-121.

[3] 白華. 論控制活動[J]. 會計研究，2012，10：42-48+95-96.