財(cái)政部發(fā)布的《內(nèi)部會(huì)計(jì)控制規(guī)范——基本規(guī)范（試行）》已經(jīng)于2001年6月起施行了，要真正發(fā)揮內(nèi)部控制系統(tǒng)的效用，首先需要設(shè)計(jì)和執(zhí)行的人員特別是管理層全面正確地認(rèn)識(shí)內(nèi)部控制。對(duì)內(nèi)控的認(rèn)識(shí)和觀念影響著人們對(duì)內(nèi)控的態(tài)度，而態(tài)度又決定著行為。如果認(rèn)識(shí)不清，甚至存在不當(dāng)觀念，則經(jīng)他們?cè)O(shè)計(jì)和執(zhí)行的內(nèi)部控制以及作為其重要內(nèi)容的內(nèi)部會(huì)計(jì)控制都很難真正有效。本文對(duì)此略加剖析，并對(duì)內(nèi)部會(huì)計(jì)控制的有效實(shí)施提出一些建議。

　　一、內(nèi)部控制的內(nèi)涵與外延

　　內(nèi)部控制理論在經(jīng)過了“內(nèi)部牽制”、“內(nèi)部控制系統(tǒng)”和“內(nèi)部控制結(jié)構(gòu)”等發(fā)展階段之后，如今又進(jìn)一步發(fā)展到了“一體化框架”階段。美國Treadway委員會(huì)的發(fā)起組織組成的委員會(huì)（Committee of Sponsoring Organizations of the Treadway Commission，簡稱COSO）在經(jīng)過多年研究之后于1992年9月發(fā)布并于1994年修訂了一份研究報(bào)告：《內(nèi)部控制——一體化框架》（Internal Control－Integrated Framework）。該報(bào)告首次把內(nèi)部控制從原來的平面結(jié)構(gòu)發(fā)展為立體框架模式，代表著國際上在內(nèi)部控制方面的最高研究水平。此后發(fā)布的其他一些有關(guān)內(nèi)部控制的報(bào)告（如加拿大的COCO，英國的Cadbury，南非的King，法國的Vienot，等等）均以COSO的報(bào)告為模本。我國的《內(nèi)部會(huì)計(jì)控制規(guī)范》和巴塞爾銀行監(jiān)管委員會(huì)的《銀行組織的內(nèi)部控制系統(tǒng)框架》也是以COSO的報(bào)告為基礎(chǔ)的。但我國大部分企業(yè)管理層甚至許多內(nèi)審人員對(duì)內(nèi)部控制的內(nèi)涵與外延的理解還停留在內(nèi)部牽制階段，認(rèn)為內(nèi)部控制就是“職責(zé)分工、崗位分離、授權(quán)授信、內(nèi)部審計(jì)等”，與國際水平還有相當(dāng)?shù)牟罹唷?br>
　　我國一些學(xué)者介紹過COSO對(duì)內(nèi)部控制的定義。這里，試就其原文作一推敲。COSO的定義是這樣說的，“Internal control is a process，effected by an entity‘s board of directors，management and other personnel，……”。對(duì)于其中的關(guān)鍵詞之一“effected”，國內(nèi)學(xué)者一般把它譯成“受……影響的”或“由……實(shí)施的”。這樣翻譯可能是不夠達(dá)意的，不利于讀者特別是實(shí)務(wù)工作者正確理解。實(shí)際上，“effect”在這里的意思應(yīng)該是“使生效”，COSO在解釋其含義時(shí)進(jìn)一步指出它包含“devise”（設(shè)計(jì)）和“maintain”（維持）兩個(gè)層面。為了中文的表達(dá)方便，我們可以不用“使生效”，而采取細(xì)化表述的方式。根據(jù)COSO報(bào)告的精神，我們還可以進(jìn)一步區(qū)分董事會(huì)、管理當(dāng)局和其他員工在內(nèi)控設(shè)計(jì)與執(zhí)行中的不同角色。所以，內(nèi)部控制可以理解為：“由管理當(dāng)局設(shè)計(jì)（devised），董事會(huì)核準(zhǔn)，董事會(huì)、管理當(dāng)局和其他員工共同實(shí)施（maintained）的，旨在為實(shí)現(xiàn)組織目標(biāo)（包括經(jīng)營的效率與效果目標(biāo)；財(cái)務(wù)報(bào)告可靠性目標(biāo)；相關(guān)法律法規(guī)的遵循性目標(biāo)等）提供合理保證的一個(gè)過程（process）”?？梢?，內(nèi)部控制是為了達(dá)到目的的一個(gè)過程，但它本身不是目的；它幫助實(shí)現(xiàn)的是多種既互相區(qū)分而又緊密聯(lián)系和相互重疊的目標(biāo)；它由人實(shí)施并影響著人們的行為，組織內(nèi)的所有人員對(duì)內(nèi)控都有相應(yīng)的責(zé)任；而且，內(nèi)部控制為企業(yè)管理層只能提供合理的保證，而不是絕對(duì)的保證。

　　在外延方面，COSO認(rèn)為內(nèi)部控制系統(tǒng)包括五個(gè)組成要素：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控。其中風(fēng)險(xiǎn)評(píng)估和信息與溝通是傳統(tǒng)內(nèi)控理論所沒有的，對(duì)控制環(huán)境之重要性的強(qiáng)調(diào)也是前所未有的，監(jiān)控的具體含義也得到了拓展。這五個(gè)要素相互聯(lián)系，共同構(gòu)成一個(gè)如圖1所示的立體框架。顯然，這個(gè)內(nèi)控“寶塔”透射給我們這樣的一層含義：為了實(shí)現(xiàn)其目標(biāo)，一個(gè)企業(yè)應(yīng)當(dāng)在培育一種積極的內(nèi)部控制環(huán)境的基礎(chǔ)上，識(shí)別、衡量和評(píng)估經(jīng)營管理活動(dòng)中所涉及的各種突出風(fēng)險(xiǎn)點(diǎn)（當(dāng)然，這些風(fēng)險(xiǎn)點(diǎn)不是固定不變的）；然后針對(duì)這些風(fēng)險(xiǎn)點(diǎn)設(shè)置各種控制機(jī)制，并不斷地對(duì)上述整個(gè)過程的適當(dāng)性和有效性進(jìn)行監(jiān)督與評(píng)審；內(nèi)部管理信息系統(tǒng)則為這整個(gè)過程提供方便。這些要素形成了一個(gè)有機(jī)的動(dòng)態(tài)的系統(tǒng)。

　　實(shí)務(wù)界目前對(duì)內(nèi)部控制外延認(rèn)識(shí)的不足除了沒能從系統(tǒng)論的角度認(rèn)識(shí)它們外，最重要的還在于對(duì)控制環(huán)境的認(rèn)識(shí)極不到位。首先，必須清醒地認(rèn)識(shí)到，控制環(huán)境（control environment）并不是內(nèi)部控制系統(tǒng)賴以存在的內(nèi)外部環(huán)境，即不是內(nèi)部控制的環(huán)境（environment for internal control）。它本身就是內(nèi)部控制的一個(gè)組成部分，是整個(gè)內(nèi)控框架的基礎(chǔ)，它塑造組織的控制文化，影響員工的控制意識(shí)。雖然它看起來似乎有點(diǎn)“虛”，但它極其重要。它支撐著整個(gè)內(nèi)部控制框架，是推動(dòng)控制工作的發(fā)動(dòng)機(jī)；它奠定組織的風(fēng)紀(jì)和結(jié)構(gòu)，并涉及到所有活動(dòng)的核心——人，特別是人的控制覺悟，還反映企業(yè)各級(jí)管理層對(duì)內(nèi)部控制的要求。巴塞爾委員會(huì)在談到控制環(huán)境中的控制文化時(shí)指出：“雖然具有一種強(qiáng)有力的控制文化不能保證一個(gè)組織達(dá)到它的目的，但是如果缺乏這樣的一種文化，就會(huì)有較大的可能造成錯(cuò)誤的失察和不當(dāng)行為的發(fā)生?！痹谖覈默F(xiàn)實(shí)中，管理層的監(jiān)控并不是沒有，而是遠(yuǎn)遠(yuǎn)沒有強(qiáng)調(diào)到某種“控制文化”的程度。

　　在整個(gè)內(nèi)控框架中，如果說控制環(huán)境是“務(wù)虛”的話，至少從風(fēng)險(xiǎn)評(píng)估開始就應(yīng)當(dāng)是實(shí)實(shí)在在的了。每個(gè)組織所面臨的風(fēng)險(xiǎn)都是與其特定的存在環(huán)境相聯(lián)系的，如果沒有根據(jù)實(shí)際情況同時(shí)從企業(yè)整體與個(gè)別作業(yè)層次全面有效地甄別和評(píng)估其所面！臨的內(nèi)部和外部風(fēng)險(xiǎn)，相應(yīng)的控制機(jī)制就很可能是從書本或其他組織的文件中抄抄補(bǔ)補(bǔ)而來，既可能殘缺不全，也可能因脫離實(shí)際而難以實(shí)施，從而成為一種“印在紙上，掛在墻上”的東西。只有風(fēng)險(xiǎn)評(píng)估做好了，控制活動(dòng)才能有的放矢。

　　另外，人們對(duì)“信息與溝通”和“監(jiān)控”這兩大內(nèi)容的認(rèn)識(shí)也沒有達(dá)到現(xiàn)代內(nèi)控原理的要求。比如，不注重信息的收集與加工，只注重與外部的溝通和內(nèi)部的順流（自上而下）溝通，而不注重或忽視組織內(nèi)部的橫向溝通和逆流溝通。監(jiān)控則經(jīng)常被等同于內(nèi)部審計(jì)，實(shí)際上監(jiān)控分為持續(xù)性監(jiān)控（ongoing monitoring）及間歇性評(píng)估（separate evaluation）兩種。持續(xù)性監(jiān)控活動(dòng)是經(jīng)營過程中的例行監(jiān)督行為，包括管理層的日常管理與監(jiān)控，以及員工在執(zhí)行任務(wù)時(shí)所采取的行動(dòng)。即使是間歇性評(píng)估，也未必都由內(nèi)部審計(jì)人員來進(jìn)行，包括管理層在內(nèi)的其他人員也可以實(shí)施這種再監(jiān)控。

　　二、內(nèi)部控制與管理和風(fēng)險(xiǎn)管理的關(guān)系

　　由于內(nèi)部控制的內(nèi)涵和外延發(fā)生了較大的變化，最近我們?cè)谡{(diào)查中還注意到兩種具有普遍性的說法。有的認(rèn)為內(nèi)部控制的范圍被過分?jǐn)U大了，簡直涵蓋了管理的所有范圍，也有的認(rèn)為內(nèi)部控制涵蓋了風(fēng)險(xiǎn)管理。事實(shí)上，并非所有的管理活動(dòng)都是內(nèi)控活動(dòng)，也并不是說非內(nèi)控性的活動(dòng)就都不重要了。比如，設(shè)定目標(biāo)的決策就是一種很重要的管理責(zé)任，但它不是內(nèi)控，只是為內(nèi)控提供了前提條件。同樣，許多管理方面的決策和一般性活動(dòng)也并不都代表內(nèi)控。當(dāng)然，我們也必須注意到，內(nèi)控是管理中至關(guān)重要的部分，內(nèi)控的重要職能之一就是監(jiān)控目標(biāo)的設(shè)定與實(shí)現(xiàn)過程。

　　內(nèi)部控制與風(fēng)險(xiǎn)管理有很濃的重疊與共通之處。內(nèi)部控制系統(tǒng)就是直接針對(duì)企業(yè)各種風(fēng)險(xiǎn)的，內(nèi)控的目標(biāo)和風(fēng)險(xiǎn)管理也是相通的，因?yàn)轱L(fēng)險(xiǎn)管理的目標(biāo)也是“為了幫助組織提供經(jīng)營的效率與效果”。但是，風(fēng)險(xiǎn)管理與內(nèi)部控制都有其各自明確的內(nèi)涵與外延。巴塞爾委員會(huì)指出：風(fēng)險(xiǎn)管理不同于內(nèi)控之處在于，典型的風(fēng)險(xiǎn)管理比較關(guān)注特定業(yè)務(wù)的戰(zhàn)略的評(píng)審，旨在通過比較不同公司業(yè)務(wù)領(lǐng)域內(nèi)的風(fēng)險(xiǎn)與報(bào)酬來使收益最大化。另一方面，雖然內(nèi)部控制中的信息與溝通也需要進(jìn)行風(fēng)險(xiǎn)管理，但它本身可以不理解為風(fēng)險(xiǎn)管理。所以，我們可以粗略地把內(nèi)部控制、管理和風(fēng)險(xiǎn)管理的關(guān)系直觀勾勒如圖2所示。

　　三、內(nèi)部控制的其他不當(dāng)觀念

　　除上述理解偏差外，我們?cè)谡{(diào)查中還注意到其他一些有關(guān)內(nèi)部控制的不當(dāng)觀念。以下是典型的幾種：

　　首先，有人認(rèn)為內(nèi)部控制的完善程度是與規(guī)章制度的多少成正比的。實(shí)際上，雖然書面的規(guī)章制度是內(nèi)部控制的一種必要表現(xiàn)形式，但內(nèi)控系統(tǒng)的設(shè)計(jì)還應(yīng)當(dāng)包括其他很多內(nèi)容。而且，員工價(jià)值觀、職業(yè)道德與勝任能力，以及管理層的表率與監(jiān)控等方面可能比書面的規(guī)章制度更為重要。再者，即使企業(yè)有足夠的規(guī)章制度，若是在未能充分考慮其自身特性與需要的情況下抄襲而來，那也無濟(jì)于事。

　　其次，有人認(rèn)為內(nèi)部控制導(dǎo)致大量規(guī)章要遵守，一堆表格要填，許多章要蓋，既滋生官僚作風(fēng)，又缺乏效率和人性。不可否認(rèn)，為了達(dá)到內(nèi)部控制的目標(biāo)，規(guī)章、表格和公章是必要的。它們?cè)谔囟ㄇ闆r下可能會(huì)影響工作速度，但決不應(yīng)當(dāng)把它們與官僚作風(fēng)、缺乏效率和缺乏人性等劃上等號(hào)。如果沒有這些東西，可能更缺乏效率，更滋生官僚作風(fēng)，更缺乏人性，尤其是在一些龐大的企業(yè)集團(tuán)中。一般來說，判斷一個(gè)企業(yè)內(nèi)部控制是否適當(dāng)，須視以下因素而定：企業(yè)的規(guī)模、組織的設(shè)計(jì)、組織層級(jí)的數(shù)目、授權(quán)的方式與程度、須留存的書面記錄、工作的性質(zhì)及復(fù)雜性、管理者與員工的職業(yè)道德和工作能力等。

　　第三，在內(nèi)部控制的責(zé)任歸屬方面，許多人認(rèn)為應(yīng)主要由內(nèi)審部門承擔(dān)。事實(shí)上，內(nèi)部控制不僅首先不是，而且主要不是內(nèi)部審計(jì)部門的責(zé)任。既然內(nèi)部控制的目的在于幫助企業(yè)實(shí)現(xiàn)其各種目標(biāo)，那么負(fù)責(zé)企業(yè)經(jīng)營的管理當(dāng)局便理所當(dāng)然地成了內(nèi)部控制的主要負(fù)責(zé)人。他們不僅應(yīng)負(fù)設(shè)計(jì)及執(zhí)行內(nèi)部控制之責(zé)，而且應(yīng)負(fù)評(píng)估內(nèi)控設(shè)計(jì)是否適當(dāng)及其執(zhí)行是否有效之責(zé)。正如巴塞爾委員會(huì)所指出：“董事會(huì)應(yīng)當(dāng)負(fù)責(zé)：了解主要經(jīng)營風(fēng)險(xiǎn)，確定這些風(fēng)險(xiǎn)的可接受水平，并確保高級(jí)管理層采取必要步驟識(shí)別、衡量、監(jiān)督和控制風(fēng)險(xiǎn)；審批組織結(jié)構(gòu)安排；確保高級(jí)管理層持續(xù)評(píng)審內(nèi)控系統(tǒng)的有效性。在確保建立并保持充分有效的內(nèi)控系統(tǒng)方面，董事會(huì)負(fù)有最終責(zé)任?！?br>
　　第四，對(duì)于內(nèi)部控制與舞弊防范的關(guān)系方面，有人認(rèn)為，國外內(nèi)部控制很健全的企業(yè)也不能完全避免舞弊：說明內(nèi)部控制也難以達(dá)到其目的。這種觀念的錯(cuò)誤表現(xiàn)在兩個(gè)方面：一方面在于對(duì)內(nèi)部控制的目標(biāo)認(rèn)識(shí)不足；另一方面則在于對(duì)內(nèi)控保障程度的誤解。內(nèi)部控制的主要目的是幫助企業(yè)實(shí)現(xiàn)其目標(biāo)。COSO的報(bào)告中沒有專門提到“保障資產(chǎn)安全”這一目標(biāo)，而在內(nèi)控的經(jīng)營性目標(biāo)中兼具興利與防弊兩個(gè)方面，其中防弊方面包含了保障資產(chǎn)安全這一子目標(biāo)，而保障資產(chǎn)安全目標(biāo)又包括防止員工舞弊、防止本公司資產(chǎn)被盜和其他目標(biāo)。可見，內(nèi)部控制的主要目標(biāo)在于興利，防止員工舞弊只是次要目標(biāo)，我們不應(yīng)過分強(qiáng)調(diào)防弊目標(biāo)而忽略興利目標(biāo)，更不能說內(nèi)部控制只是為了防止舞弊。

　　四、對(duì)內(nèi)部會(huì)計(jì)控制有效實(shí)施的幾點(diǎn)啟示

　　鑒于目前普遍存在的對(duì)內(nèi)部控制認(rèn)識(shí)的上述不足，我們認(rèn)為，為了內(nèi)部會(huì)計(jì)控制得以有效實(shí)施，目前應(yīng)加強(qiáng)以下四方面工作：

　　1.大力加強(qiáng)研究和宣傳教育工作。不僅學(xué)術(shù)界應(yīng)當(dāng)加強(qiáng)這方面的研究并把它本土化，實(shí)務(wù)界也應(yīng)當(dāng)努力研究與實(shí)踐。立法部門、財(cái)政部和證監(jiān)會(huì)等部門應(yīng)不斷加強(qiáng)和改進(jìn)這方面的宏觀制度建設(shè)。而且，應(yīng)當(dāng)抓住我國加入WTO后企業(yè)急迫提升管理水平的良好契機(jī)，極力加強(qiáng)對(duì)實(shí)務(wù)界特別是企業(yè)高層管理人員的內(nèi)部控制基本理念，特別是“軟控制”（sofi control）方面的教育。

　　2.針對(duì)人們對(duì)控制環(huán)境認(rèn)識(shí)的不足，必須最大限度地強(qiáng)調(diào)高級(jí)領(lǐng)導(dǎo)層的控制責(zé)任（tune at the top）。首先，董事會(huì)應(yīng)充分理解公司的主要風(fēng)險(xiǎn)，正確設(shè)定風(fēng)險(xiǎn)的可接受水平并定期督導(dǎo)，建立獨(dú)立的審計(jì)委員會(huì)幫助董事會(huì)行使這方面的職責(zé)。其次，高級(jí)管理層應(yīng)負(fù)責(zé)組織制定識(shí)別、衡量、監(jiān)督和控制風(fēng)險(xiǎn)的程序，制定有效的內(nèi)控政策，監(jiān)督評(píng)審內(nèi)控的充分性和有效性。另外，應(yīng)當(dāng)大力提倡和營造一種積極的“控制文化”。一方面，董事會(huì)和高級(jí)管理層應(yīng)負(fù)責(zé)促進(jìn)在道德和誠實(shí)品質(zhì)方面的高標(biāo)準(zhǔn)，向各級(jí)人員強(qiáng)調(diào)和說明內(nèi)控的重要性，并在機(jī)構(gòu)中逐步形成一種遵循與完善內(nèi)部控制的氛圍；另一方面，企業(yè)中的所有員工都需要理解他們?cè)趦?nèi)控程序中的作用，并在程序中充分發(fā)揮他們的作用。

　　3.改變對(duì)信息與溝通的錯(cuò)誤認(rèn)識(shí)。應(yīng)當(dāng)強(qiáng)調(diào)收集和挖掘各種與決策相關(guān)信息的重要性，加強(qiáng)對(duì)信息系統(tǒng)的安全保護(hù)和獨(dú)立的監(jiān)督評(píng)審，防止突發(fā)事件，特別是要有效地控制電子信息系統(tǒng)和信息技術(shù)的使用。另外，還要建立有效的交流渠道，確保相關(guān)信息的正確傳達(dá)。

　　4.加強(qiáng)監(jiān)督評(píng)審活動(dòng)并強(qiáng)調(diào)缺陷的糾正。企業(yè)經(jīng)營管理人員應(yīng)不斷地而不是時(shí)有時(shí)無地在日常工作中監(jiān)督評(píng)審企業(yè)內(nèi)控的總體效果和主要風(fēng)險(xiǎn)；內(nèi)審部門應(yīng)對(duì)內(nèi)控系統(tǒng)定期進(jìn)行獨(dú)立、有效和全面的評(píng)價(jià)，并及時(shí)將結(jié)果特別是所發(fā)現(xiàn)的內(nèi)控缺陷向高級(jí)領(lǐng)導(dǎo)層直接報(bào)告。同時(shí)，考慮到傳統(tǒng)的內(nèi)控評(píng)價(jià)方法在軟控制方面的不適應(yīng)性，可以考慮逐步引進(jìn)內(nèi)部控制自我評(píng)價(jià)（control self-assessment）技術(shù)（將另文介紹），以幫助不斷提升控制環(huán)境。