内部控制

在20世纪40年代前，还没有内部控制的说法，《柯氏会计辞典》将内部牵制定义为：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。”可见，设计有效的内部牵制，是为了使各项业务能完整正确地经过规定的处理程序，其目标有两个方面，一是有效的组织和经营，二是防止错误和其他非法业务的发生。1949年，美国注册会计师协会首次对内部控制作了定义，该定义使内部控制目标进一步拓展为：内部控制旨在保护资产、检查会计信息的准确性、提高经营效率、推动管理部门所制定的各项政策得以贯彻执行。
1972年，《审计程序说明》指出会计控制旨在保证：经济业务的执行符合一般授权或特殊授权的要求；经济业务的记录必须有利于编制财务报表，落实资产责任；只有在得到管理部门批准的情况下才能接触资产；按照适当的间隔期限，将资产的账面记录与实物资产进行对比等。管理控制包括但不限于组织计划以及与管理部门授权办理经纪业务的决策过程有关的程序及其记录。与1949年的定义相比，这些目标过于消极，仅仅从财务审计的角度出发，范围过于狭窄，把过多的精力和目标放在了查错防弊上，人为地限制了内部控制目标的发展。1986年INTOSAI颁布的《世界最高审计机关组织内部控制准则》中规定，内部控制的目标有：一是保护资源，以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而遭致损失；二是配合组织任务，使各项作业均能有条不紊，且更经济有效地运行，并提高产品与服务的质量；三是遵循法律、规章及各项管理作业规定；四是提供值得信赖的财务和管理资料，并能适时恰当地揭露有关资料。1992年COSO报告将内部控制目标总结为三大目标，即：经营的效率效果性目标、财务报告目标和合法合规性目标。这三类目标都是战略目标的具体化，各目标间存在一定的联系和交叉。
可以看出，内部控制目标经历了从少到多，从静到动，从简到繁，从低到高的变化，这些目标的变化不仅受其存在动因影响，而且直接影响实现目标的手段和方法，然而，无论内部控制目标怎样变化，从内部控制存在的动因和实现内控目标的手段都体现出内部控制的目标定位的共同特点——责任主导，即内部控制主要停留在责任和任务层面，缺乏战略和整体的观念。 　　
内部控制目标定位的特点：责任主导 　　
(一)控制的动因：履行受托经济责任审计的产生和发展是以受托责任为基础的，委托人往往以外部标准来评价代理人受托责任的履行情况。代理人为保证自身受托责任的恰当履行，取得委托人的继续信赖，进一步将受托责任分解到职能部门和组织成员，并依据相应标准来评价组织内部受托经济责任的履行情况。从外部审计师评价代理人的视角来看，必须保证所提供的评价信息是真实完整的，从而降低自身的审计风险，而信息的真实完整来自于内部受托责任履行状况的正确反映。从代理人(包括组织内部各级代理人)接受评价的视角来看，为了符合评价标准，必须保证所分解并委托的内部受托经济责任按特定的要求和规则来履行。因此，无论是外部审计师还是代理人，都要求组织内部的受托经济责任得到充分履行和真实反映。在此背景下产生的内部控制，其主要需求在于监督经济责任的履行，并有效减少履行偏差，也正是这种控制需求催生了上述以局部责任为特点的内部控制目标定位。
受托经济责任中“责任”的实质是按特定要求或原则行事，即按要求经管受托经济资源和按特定要求报告其经管情况(赵保卿，2005)。为完成受托经济责任，防止机会主义行为发生，内部控制就成为规定每一个人在所有可能的情况下应当履行的职责、程序和方法，并据此制定政策的集合体。控制程序主要体现为授权、分工，对资产的核对，对员工绩效的考核等方面。这些程序的特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式所进行的组织的责任分工，每项业务或每项权力都须通过不同个人或部门进行交叉控制，即本来应该是一个以流程为基础的整体过程，却按照职能部门和作业岗位分割成一个个片段式的任务和责任，各人员、各岗位、各部门各谋其权，各负其责。 　　
(二)控制的核心：管理控制和作业控制一般看来，根据委托受托经济责任的层次可将内部控制划分为以董事会为主体的治理控制、以管理层为主体的管理控制和以员工为主体的作业控制。从1988年“内部控制结构”概念开始，内部控制就已涉及董事会、人力资源政策、经营风格、公司治理等战略层次因素，但都是作为环境影响因素并没有融入到实质的控制活动中。虽然1992年COSO委员会《内部控制——整体框架》中控制的主体涉及到董事会，“但是董事会与内部控制的联系仅仅局限于企业有一些事情需要董事会审批和授权，基本上把内部控制限定在CEO之下(张安明，2002)”。虽然COCO模式比COSO模式更具动态性和管理阶层导向，涉及到企业的使命、前景、策略等方面，但是该报告也指出，内部控制不包括如何确立企业目标，也不能防止企业作出错误的战略决策，这些属于管理活动的内容。同一时期，巴塞尔银行监管委员的《银行组织内部控制系统框架》(FICSBO)基本采纳了1992年COSO模式，将治理层因素纳入控制环境中。
更进一步，2004年的COSO委员会《风险管理——整体框架》(简称ERM)中，直接将战略目标作为风险管理的首要目标，但是仔细分析该报告的目标设定和控制活动两部分内容可以发现，融入风险管理的内部控制关注的是战略实施过程中的不确定因素，即事件如何潜在地影响战略的贯彻和目标的实现，以“确保管理层对风险作了适度的反应(COSO，2004)”，至于建立使命、规划战略等过程仍不属于内部控制涉及的范围。与1992年COSO报告相似，ERM框架中也突出强调董事会的参与，指出董事会是保证风险管理有效的必要的组织，负责对企业风险管理的监督，而“对企业的风险管理最终负责的是首席执行官(COSO，2004)”。
因此，综合控制模式看似已提升到战略层控制的高度，但是从控制目标、控制主体、控制层次来看，还是主要集中于管理控制和作业执行层面，对企业战略层的影响力非常有限。而以管理控制和作业控制为主要层次的控制更多地体现了分解目标、落实任务、履行职责等过程，缺乏从企业整体出发的控制思想。

back to top