談禮彥

（湖州職業(yè)技術學院工商管理分院，浙江 湖州 313000）

一、內部控制

內部控制的實踐可以追溯到公元前3000 多年的美索不達米亞文化時期。然而，直到15 世紀復式記賬法出現(xiàn)后，以賬目間的相互核對為主要內容、實施職能分離的內部牽制才開始得到廣泛應用。1953 年10 月，美國注冊會計師協(xié)會頒布了《審計程序說明》第19 號，將內部控制分為會計控制和管理控制。隨后在1988 年，AICPA 為適應當時社會經濟環(huán)境的需要，在其第55 號審計準則公報《會計報表審計中對內部控制結構的關注》里提出了“內部控制結構”的概念，將其細分為控制環(huán)境、會計制度和控制程序三要素，并指出企業(yè)的內部控制結構包括為合理保證企業(yè)特定目標而建立的各種政策和程序。這一概念的提出實現(xiàn)了內部控制由零散到系統(tǒng)的轉變和發(fā)展（陳漢文，2009）。

1992 年，COSO 提出的“內部控制整合框架”進一步完善了內部控制的結構和體系，并得到了AICPA、美國證券交易委員會和美國公眾公司會計監(jiān)督委員會等組織的廣泛認可，從而構造了一個共識性的平臺和框架，在內部控制的發(fā)展史上具有重大影響。COSO 將內部控制定義為一個由主體的董事會、管理層和其他人員實施的、旨在為實現(xiàn)以下各類目標提供合理保證的過程：（1）經營的有效性和效率；（2）財務報告的可靠性；（3）符合適用的法律和法規(guī)。

與國外發(fā)達國家相比，我國企業(yè)內部控制的建立起步較晚。在早期的內部控制建設中，參與內控建設的部門較多，包括人大常委會、財政部、證監(jiān)會、中注協(xié)、銀監(jiān)會和國務院等。然而由于各部門大多獨立工作、缺少配合，故所頒布的法律法規(guī)具有很強的行業(yè)針對性。此外，這些法律法規(guī)中所涉及的內容多為實務導向，未形成一個統(tǒng)領全局的綜合性理論框架（比如類似于COSO 框架等）。直至2008 年，財政部等五部委在參考COSO 框架并兼顧企業(yè)風險管理整合框架的基礎上，結合我國國情出臺了《企業(yè)內部控制基本規(guī)范》，從而對內部控制的內涵、目標、要素及原則等基本內容有了權威性的定位。隨后，《企業(yè)內部控制配套指引》及《企業(yè)內部控制規(guī)范體系實施中相關問題解釋的通知》等具體法規(guī)的頒布，大大推進了我國企業(yè)內部控制體系的建設。

二、內部控制有效性

總體來看，我國內部控制建設處于不斷前進之中。根據《企業(yè)內部控制配套指引》制定的時間表，滬深兩市主板的上市公司已經自2012 年起開始對內部控制的有效性進行自我評價，并披露年度自我評價報告，同時聘請具有證券、期貨從業(yè)資格的會計師事務所對財務報告內部控制的有效性進行審計并出具審計報告。自此，我國的內部控制體系建設已經逐漸與國際接軌。然而，對于如何判斷企業(yè)的內部控制是否有效，尚有許多值得商榷之處。

（一）內部控制有效性的定義

內部控制不僅關心與完成企業(yè)目標有直接關系的事件，還關心企業(yè)管理系統(tǒng)是否維持在一種能充分發(fā)揮其職能以達到這些目標的狀態(tài)。建立健全內部控制的目的是為了使組織管理系統(tǒng)以更加符合需要的方式運行，使它更加可靠、更加便利、更加經濟。

管理學認為，控制是監(jiān)督活動的過程，其目的在于確?；顒拥靡园从媱澩瓿桑⒛軌蚣m正任何明顯的偏差。一個有效的控制系統(tǒng)能確保活動的完成，有利于組織目標的實現(xiàn)，其有效性取決于它促進目標實現(xiàn)的程度，越是能幫助管理者實現(xiàn)組織目標的系統(tǒng)就越好。不同企業(yè)的內部控制體系運行的有效性水平各不相同。COSO 認為，如果董事會和管理層能合理保證防止或及時發(fā)現(xiàn)可能對財務報表產生重大影響的未經授權的行為，就可以判定該內部控制是有效的。此外，內部控制體系與主體的經營活動緊密相連，當控制被嵌入主體的構架中并成為企業(yè)本體的一部分時，內部控制最為有效。

內部控制各要素之間存在著協(xié)同和聯(lián)系，從而形成一個整合體系以對環(huán)境的變化做出動態(tài)反應。筆者認為，內部控制有效性指的是內部控制實現(xiàn)企業(yè)的經營目標、報告目標、合規(guī)目標和戰(zhàn)略目標的程度。有效的內部控制所帶來的最大效益是促使資本市場提供更多的資本以驅動創(chuàng)新和經濟增長，從而增強公司進入市場的能力。伴隨著進入資本市場這個過程而來的是向利益相關者及時提供準確的財務報告的責任。有效的財務報告內部控制支持可靠的財務報告，而后者能夠提升投資者的信心。

（二）內部控制有效性的內涵

內部控制是否有效取決于兩個方面，即內控設計的有效性與運行的有效性。

設計的有效性，指的是某項內部控制單獨或連同其他控制是否能夠有效防止或發(fā)現(xiàn)并糾正企業(yè)的重大錯報。COSO 在《內部控制——整合框架》一書中，針對五個構成要素分別給出了詳盡細致的原則作為權威參考。然而，這并不表示任何一條原則都適用于每一家企業(yè)，也不是說任一企業(yè)的內部控制需要涵蓋所有的原則。企業(yè)應當結合自身的具體情況，綜合考慮規(guī)模及業(yè)務復雜程度，從實際出發(fā)來設計和完善內部控制。

除了設計的有效性以外，內部控制是否有效還與其運行的有效性有關。運行的有效性，指的是內部控制能夠在各個不同時點按照既定設計得以一貫執(zhí)行。在評價運行的有效性時，需要特別關注控制在相關時點是如何運行的、控制由誰或以何種方式運行以及控制是否得到一貫執(zhí)行。

（三）內部控制有效性的衡量主體、標準和方法

在2010 年發(fā)布的《企業(yè)內部控制配套指引》中，財政部等五部委除了要求執(zhí)行內控規(guī)范的企業(yè)對內控有效性進行自我評價以外，還要求其聘請會計師事務所對財務報告內部控制的有效性進行審計。由此看來，相比企業(yè)的自我評價，監(jiān)管部門更加認可外部獨立第三方對內部控制有效性的評價。因此，筆者認為，內部控制有效性的衡量主體應為外部獨立第三方，比如大型事務所或科研機構等。

從衡量標準來看，現(xiàn)有研究基本上都是參照國際性協(xié)會頒布的框架或指南（如COSO 框架、CoCo 框架、Tumbull 指南及COBIT 框架），選取部分內部控制的關注點，采用簡單相加或層次分析法等方法作為目標企業(yè)內控有效性的衡量標準。

從衡量方法來看，現(xiàn)階段學術界與實務界尚無統(tǒng)一的結論。目前評價內部控制主要有兩類方法：定性與定量。定性方法中，主要是根據內部控制的披露信息來做出評價；定量方法中，主要是采用問卷調查、以賦值打分的形式來評價，或是構造內部控制指數來衡量內部控制質量。綜合來看，兩類方法都需要有勝任能力的評價人員對框架或指南中的原則進行取舍，并在賦予各原則的權重時做出客觀公正的判斷，因而受到評價人員專業(yè)素質的直接影響。現(xiàn)有文獻中，學者們的研究多數僅考慮十余個內部控制關注點，或雖考慮較多關注點但實例中僅涉及單一公司，故而得出的結論也就缺少說服力。要從整體上把握并比較企業(yè)的內部控制，必須有一個涵蓋范圍廣、兼顧內控設計與內控執(zhí)行兩方面、且易于度量的一項評價機制。筆者認為，以內控指數的形式來衡量內部控制有效性，不僅可以達到上述目的，還可以將各企業(yè)置于同一標準之上來進行比較。

三、當前內部控制有效性評價方法

評價內部控制的有效性不僅是探討個別部門的表現(xiàn)或成果，更是從宏觀及全面的角度去了解企業(yè)的總體經營狀況及表現(xiàn)。評價企業(yè)內部控制是否有效，關鍵要看其是否實現(xiàn)了企業(yè)的總體目標，以及考慮總體目標與子目標、子目標與子目標之間的相互關系。然而困難的是，內部控制有效性涉及多個目標，并且有些目標之間存在相互沖突。Seashore（1965）認為，這些目標并非都具有相同程度的重要性，而是具有不同層次的重要性，這就使得總體目標的測量更趨困難。

確定內部控制體系是否有效涉及主觀判斷，它來自對內部控制五要素是否存在并有效運行的評估（COSO，2008）。1992 年，COSO 給出了一整套內部控制的評價工具，設計出82 個關注點以實現(xiàn)對內部控制五要素的涵蓋，通過對關注點的逐條描述來得到各要素的結論及需要采取的行動，并在此基礎上得出對內部控制體系的總體評價。

2003 年，普華從管理層評價的角度提出了12 項內部控制的評價步驟。這一內部控制評價過程以重要錯報風險的評估為起點，自公司層面的控制開始識別相關的控制、認定、重大流程，確定要測試的控制，評價設計的有效性，測試運行有效性，從而對內部控制的有效性作出總體評價。

2004 年9 月，COSO 發(fā)布《企業(yè)風險管理——整合框架》，在參考并將《內部控制——整合框架》融合在內以后，構建了一個更強有力的概念和管理工具。評價企業(yè)風險管理是否“有效”，是在對其八個構成要素是否存在和有效運行的基礎之上所做出的判斷。盡管為了使企業(yè)風險管理被判定為有效，所有的八個構成要素都必須存在和正常運行，但是在構成要素之間可能會存在著某些權衡。COSO 認為，設計和運行良好的企業(yè)風險管理，能夠為管理層和董事會實現(xiàn)戰(zhàn)略目標、經營目標、報告目標和合規(guī)目標提供合理保證。此外，COSO 強調，盡管企業(yè)風險管理是一個過程，它的有效性卻是在某個時點上的一種狀態(tài)或情況。

除上述定性評價方法以外，目前學術界也在探討定量的評價方法?，F(xiàn)階段的研究成果主要是采用模糊數學的原理，將定性觀察通過模型轉化為定量結果，以此來評估內部控制。有學者從內部控制五要素出發(fā)，分三層解構內部控制體系，以此對上市公司內部控制質量進行模糊綜合評價（駱良彬和王河流，2008）。而韓傳模和汪士果（2009）在解析企業(yè)風險管理三維分析框架的基礎上，采用層次分析法，建立了基于風險導向和示意結構的內部控制遞階層次模型，從而實現(xiàn)對整個內控體系的科學評價。

[1][美]COSO.內部控制——整合框架[M].方紅星，譯.大連：東北財經大學出版社，2008.

[2][美]COSO.財務報告內部控制——較小型公眾公司指南[M].方紅星，譯.大連：東北財經大學出版社，2009.

[3][美]COSO.企業(yè)風險管理——整合框架[M].方紅星，譯.大連：東北財經大學出版社，2005.

[4]陳漢文.審計理論[M].北京：機械工業(yè)出版社，2009.

[5]駱良彬，王河流.基于AHP 的上市公司內部控制質量模糊評價[J].審計研究，2008（06）.

[6]韓傳模，汪士果.基于AHP 的企業(yè)內部控制模糊綜合評價[J].會計研究，2009(04).