財政部發(fā)布的《內(nèi)部會計控制規(guī)范——基本規(guī)范（試行）》已經(jīng)于2001年6月起施行了，要真正發(fā)揮內(nèi)部控制系統(tǒng)的效用，首先需要設(shè)計和執(zhí)行的人員特別是管理層全面正確地認識內(nèi)部控制。對內(nèi)控的認識和觀念影響著人們對內(nèi)控的態(tài)度，而態(tài)度又決定著行為。如果認識不清，甚至存在不當觀念，則經(jīng)他們設(shè)計和執(zhí)行的內(nèi)部控制以及作為其重要內(nèi)容的內(nèi)部會計控制都很難真正有效。本文對此略加剖析，并對內(nèi)部會計控制的有效實施提出一些建議。

　　一、內(nèi)部控制的內(nèi)涵與外延

　　內(nèi)部控制理論在經(jīng)過了“內(nèi)部牽制”、“內(nèi)部控制系統(tǒng)”和“內(nèi)部控制結(jié)構(gòu)”等發(fā)展階段之后，如今又進一步發(fā)展到了“一體化框架”階段。美國Treadway委員會的發(fā)起組織組成的委員會（Committee of Sponsoring Organizations of the Treadway Commission，簡稱COSO）在經(jīng)過多年研究之后于1992年9月發(fā)布并于1994年修訂了一份研究報告：《內(nèi)部控制——一體化框架》（Internal Control－Integrated Framework）。該報告首次把內(nèi)部控制從原來的平面結(jié)構(gòu)發(fā)展為立體框架模式，代表著國際上在內(nèi)部控制方面的最高研究水平。此后發(fā)布的其他一些有關(guān)內(nèi)部控制的報告（如加拿大的COCO，英國的Cadbury，南非的King，法國的Vienot，等等）均以COSO的報告為模本。我國的《內(nèi)部會計控制規(guī)范》和巴塞爾銀行監(jiān)管委員會的《銀行組織的內(nèi)部控制系統(tǒng)框架》也是以COSO的報告為基礎(chǔ)的。但我國大部分企業(yè)管理層甚至許多內(nèi)審人員對內(nèi)部控制的內(nèi)涵與外延的理解還停留在內(nèi)部牽制階段，認為內(nèi)部控制就是“職責分工、崗位分離、授權(quán)授信、內(nèi)部審計等”，與國際水平還有相當?shù)牟罹唷?br>
　　我國一些學者介紹過COSO對內(nèi)部控制的定義。這里，試就其原文作一推敲。COSO的定義是這樣說的，“Internal control is a process，effected by an entity‘s board of directors，management and other personnel，……”。對于其中的關(guān)鍵詞之一“effected”，國內(nèi)學者一般把它譯成“受……影響的”或“由……實施的”。這樣翻譯可能是不夠達意的，不利于讀者特別是實務工作者正確理解。實際上，“effect”在這里的意思應該是“使生效”，COSO在解釋其含義時進一步指出它包含“devise”（設(shè)計）和“maintain”（維持）兩個層面。為了中文的表達方便，我們可以不用“使生效”，而采取細化表述的方式。根據(jù)COSO報告的精神，我們還可以進一步區(qū)分董事會、管理當局和其他員工在內(nèi)控設(shè)計與執(zhí)行中的不同角色。所以，內(nèi)部控制可以理解為：“由管理當局設(shè)計（devised），董事會核準，董事會、管理當局和其他員工共同實施（maintained）的，旨在為實現(xiàn)組織目標（包括經(jīng)營的效率與效果目標；財務報告可靠性目標；相關(guān)法律法規(guī)的遵循性目標等）提供合理保證的一個過程（process）”。可見，內(nèi)部控制是為了達到目的的一個過程，但它本身不是目的；它幫助實現(xiàn)的是多種既互相區(qū)分而又緊密聯(lián)系和相互重疊的目標；它由人實施并影響著人們的行為，組織內(nèi)的所有人員對內(nèi)控都有相應的責任；而且，內(nèi)部控制為企業(yè)管理層只能提供合理的保證，而不是絕對的保證。

　　在外延方面，COSO認為內(nèi)部控制系統(tǒng)包括五個組成要素：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。其中風險評估和信息與溝通是傳統(tǒng)內(nèi)控理論所沒有的，對控制環(huán)境之重要性的強調(diào)也是前所未有的，監(jiān)控的具體含義也得到了拓展。這五個要素相互聯(lián)系，共同構(gòu)成一個如圖1所示的立體框架。顯然，這個內(nèi)控“寶塔”透射給我們這樣的一層含義：為了實現(xiàn)其目標，一個企業(yè)應當在培育一種積極的內(nèi)部控制環(huán)境的基礎(chǔ)上，識別、衡量和評估經(jīng)營管理活動中所涉及的各種突出風險點（當然，這些風險點不是固定不變的）；然后針對這些風險點設(shè)置各種控制機制，并不斷地對上述整個過程的適當性和有效性進行監(jiān)督與評審；內(nèi)部管理信息系統(tǒng)則為這整個過程提供方便。這些要素形成了一個有機的動態(tài)的系統(tǒng)。

　　實務界目前對內(nèi)部控制外延認識的不足除了沒能從系統(tǒng)論的角度認識它們外，最重要的還在于對控制環(huán)境的認識極不到位。首先，必須清醒地認識到，控制環(huán)境（control environment）并不是內(nèi)部控制系統(tǒng)賴以存在的內(nèi)外部環(huán)境，即不是內(nèi)部控制的環(huán)境（environment for internal control）。它本身就是內(nèi)部控制的一個組成部分，是整個內(nèi)控框架的基礎(chǔ)，它塑造組織的控制文化，影響員工的控制意識。雖然它看起來似乎有點“虛”，但它極其重要。它支撐著整個內(nèi)部控制框架，是推動控制工作的發(fā)動機；它奠定組織的風紀和結(jié)構(gòu)，并涉及到所有活動的核心——人，特別是人的控制覺悟，還反映企業(yè)各級管理層對內(nèi)部控制的要求。巴塞爾委員會在談到控制環(huán)境中的控制文化時指出：“雖然具有一種強有力的控制文化不能保證一個組織達到它的目的，但是如果缺乏這樣的一種文化，就會有較大的可能造成錯誤的失察和不當行為的發(fā)生?！痹谖覈默F(xiàn)實中，管理層的監(jiān)控并不是沒有，而是遠遠沒有強調(diào)到某種“控制文化”的程度。

　　在整個內(nèi)控框架中，如果說控制環(huán)境是“務虛”的話，至少從風險評估開始就應當是實實在在的了。每個組織所面臨的風險都是與其特定的存在環(huán)境相聯(lián)系的，如果沒有根據(jù)實際情況同時從企業(yè)整體與個別作業(yè)層次全面有效地甄別和評估其所面！臨的內(nèi)部和外部風險，相應的控制機制就很可能是從書本或其他組織的文件中抄抄補補而來，既可能殘缺不全，也可能因脫離實際而難以實施，從而成為一種“印在紙上，掛在墻上”的東西。只有風險評估做好了，控制活動才能有的放矢。

　　另外，人們對“信息與溝通”和“監(jiān)控”這兩大內(nèi)容的認識也沒有達到現(xiàn)代內(nèi)控原理的要求。比如，不注重信息的收集與加工，只注重與外部的溝通和內(nèi)部的順流（自上而下）溝通，而不注重或忽視組織內(nèi)部的橫向溝通和逆流溝通。監(jiān)控則經(jīng)常被等同于內(nèi)部審計，實際上監(jiān)控分為持續(xù)性監(jiān)控（ongoing monitoring）及間歇性評估（separate evaluation）兩種。持續(xù)性監(jiān)控活動是經(jīng)營過程中的例行監(jiān)督行為，包括管理層的日常管理與監(jiān)控，以及員工在執(zhí)行任務時所采取的行動。即使是間歇性評估，也未必都由內(nèi)部審計人員來進行，包括管理層在內(nèi)的其他人員也可以實施這種再監(jiān)控。

　　二、內(nèi)部控制與管理和風險管理的關(guān)系

　　由于內(nèi)部控制的內(nèi)涵和外延發(fā)生了較大的變化，最近我們在調(diào)查中還注意到兩種具有普遍性的說法。有的認為內(nèi)部控制的范圍被過分擴大了，簡直涵蓋了管理的所有范圍，也有的認為內(nèi)部控制涵蓋了風險管理。事實上，并非所有的管理活動都是內(nèi)控活動，也并不是說非內(nèi)控性的活動就都不重要了。比如，設(shè)定目標的決策就是一種很重要的管理責任，但它不是內(nèi)控，只是為內(nèi)控提供了前提條件。同樣，許多管理方面的決策和一般性活動也并不都代表內(nèi)控。當然，我們也必須注意到，內(nèi)控是管理中至關(guān)重要的部分，內(nèi)控的重要職能之一就是監(jiān)控目標的設(shè)定與實現(xiàn)過程。

　　內(nèi)部控制與風險管理有很濃的重疊與共通之處。內(nèi)部控制系統(tǒng)就是直接針對企業(yè)各種風險的，內(nèi)控的目標和風險管理也是相通的，因為風險管理的目標也是“為了幫助組織提供經(jīng)營的效率與效果”。但是，風險管理與內(nèi)部控制都有其各自明確的內(nèi)涵與外延。巴塞爾委員會指出：風險管理不同于內(nèi)控之處在于，典型的風險管理比較關(guān)注特定業(yè)務的戰(zhàn)略的評審，旨在通過比較不同公司業(yè)務領(lǐng)域內(nèi)的風險與報酬來使收益最大化。另一方面，雖然內(nèi)部控制中的信息與溝通也需要進行風險管理，但它本身可以不理解為風險管理。所以，我們可以粗略地把內(nèi)部控制、管理和風險管理的關(guān)系直觀勾勒如圖2所示。

　　三、內(nèi)部控制的其他不當觀念

　　除上述理解偏差外，我們在調(diào)查中還注意到其他一些有關(guān)內(nèi)部控制的不當觀念。以下是典型的幾種：

　　首先，有人認為內(nèi)部控制的完善程度是與規(guī)章制度的多少成正比的。實際上，雖然書面的規(guī)章制度是內(nèi)部控制的一種必要表現(xiàn)形式，但內(nèi)控系統(tǒng)的設(shè)計還應當包括其他很多內(nèi)容。而且，員工價值觀、職業(yè)道德與勝任能力，以及管理層的表率與監(jiān)控等方面可能比書面的規(guī)章制度更為重要。再者，即使企業(yè)有足夠的規(guī)章制度，若是在未能充分考慮其自身特性與需要的情況下抄襲而來，那也無濟于事。

　　其次，有人認為內(nèi)部控制導致大量規(guī)章要遵守，一堆表格要填，許多章要蓋，既滋生官僚作風，又缺乏效率和人性。不可否認，為了達到內(nèi)部控制的目標，規(guī)章、表格和公章是必要的。它們在特定情況下可能會影響工作速度，但決不應當把它們與官僚作風、缺乏效率和缺乏人性等劃上等號。如果沒有這些東西，可能更缺乏效率，更滋生官僚作風，更缺乏人性，尤其是在一些龐大的企業(yè)集團中。一般來說，判斷一個企業(yè)內(nèi)部控制是否適當，須視以下因素而定：企業(yè)的規(guī)模、組織的設(shè)計、組織層級的數(shù)目、授權(quán)的方式與程度、須留存的書面記錄、工作的性質(zhì)及復雜性、管理者與員工的職業(yè)道德和工作能力等。

　　第三，在內(nèi)部控制的責任歸屬方面，許多人認為應主要由內(nèi)審部門承擔。事實上，內(nèi)部控制不僅首先不是，而且主要不是內(nèi)部審計部門的責任。既然內(nèi)部控制的目的在于幫助企業(yè)實現(xiàn)其各種目標，那么負責企業(yè)經(jīng)營的管理當局便理所當然地成了內(nèi)部控制的主要負責人。他們不僅應負設(shè)計及執(zhí)行內(nèi)部控制之責，而且應負評估內(nèi)控設(shè)計是否適當及其執(zhí)行是否有效之責。正如巴塞爾委員會所指出：“董事會應當負責：了解主要經(jīng)營風險，確定這些風險的可接受水平，并確保高級管理層采取必要步驟識別、衡量、監(jiān)督和控制風險；審批組織結(jié)構(gòu)安排；確保高級管理層持續(xù)評審內(nèi)控系統(tǒng)的有效性。在確保建立并保持充分有效的內(nèi)控系統(tǒng)方面，董事會負有最終責任。”

　　第四，對于內(nèi)部控制與舞弊防范的關(guān)系方面，有人認為，國外內(nèi)部控制很健全的企業(yè)也不能完全避免舞弊：說明內(nèi)部控制也難以達到其目的。這種觀念的錯誤表現(xiàn)在兩個方面：一方面在于對內(nèi)部控制的目標認識不足；另一方面則在于對內(nèi)控保障程度的誤解。內(nèi)部控制的主要目的是幫助企業(yè)實現(xiàn)其目標。COSO的報告中沒有專門提到“保障資產(chǎn)安全”這一目標，而在內(nèi)控的經(jīng)營性目標中兼具興利與防弊兩個方面，其中防弊方面包含了保障資產(chǎn)安全這一子目標，而保障資產(chǎn)安全目標又包括防止員工舞弊、防止本公司資產(chǎn)被盜和其他目標?？梢?，內(nèi)部控制的主要目標在于興利，防止員工舞弊只是次要目標，我們不應過分強調(diào)防弊目標而忽略興利目標，更不能說內(nèi)部控制只是為了防止舞弊。

　　四、對內(nèi)部會計控制有效實施的幾點啟示

　　鑒于目前普遍存在的對內(nèi)部控制認識的上述不足，我們認為，為了內(nèi)部會計控制得以有效實施，目前應加強以下四方面工作：

　　1.大力加強研究和宣傳教育工作。不僅學術(shù)界應當加強這方面的研究并把它本土化，實務界也應當努力研究與實踐。立法部門、財政部和證監(jiān)會等部門應不斷加強和改進這方面的宏觀制度建設(shè)。而且，應當抓住我國加入WTO后企業(yè)急迫提升管理水平的良好契機，極力加強對實務界特別是企業(yè)高層管理人員的內(nèi)部控制基本理念，特別是“軟控制”（sofi control）方面的教育。

　　2.針對人們對控制環(huán)境認識的不足，必須最大限度地強調(diào)高級領(lǐng)導層的控制責任（tune at the top）。首先，董事會應充分理解公司的主要風險，正確設(shè)定風險的可接受水平并定期督導，建立獨立的審計委員會幫助董事會行使這方面的職責。其次，高級管理層應負責組織制定識別、衡量、監(jiān)督和控制風險的程序，制定有效的內(nèi)控政策，監(jiān)督評審內(nèi)控的充分性和有效性。另外，應當大力提倡和營造一種積極的“控制文化”。一方面，董事會和高級管理層應負責促進在道德和誠實品質(zhì)方面的高標準，向各級人員強調(diào)和說明內(nèi)控的重要性，并在機構(gòu)中逐步形成一種遵循與完善內(nèi)部控制的氛圍；另一方面，企業(yè)中的所有員工都需要理解他們在內(nèi)控程序中的作用，并在程序中充分發(fā)揮他們的作用。

　　3.改變對信息與溝通的錯誤認識。應當強調(diào)收集和挖掘各種與決策相關(guān)信息的重要性，加強對信息系統(tǒng)的安全保護和獨立的監(jiān)督評審，防止突發(fā)事件，特別是要有效地控制電子信息系統(tǒng)和信息技術(shù)的使用。另外，還要建立有效的交流渠道，確保相關(guān)信息的正確傳達。

　　4.加強監(jiān)督評審活動并強調(diào)缺陷的糾正。企業(yè)經(jīng)營管理人員應不斷地而不是時有時無地在日常工作中監(jiān)督評審企業(yè)內(nèi)控的總體效果和主要風險；內(nèi)審部門應對內(nèi)控系統(tǒng)定期進行獨立、有效和全面的評價，并及時將結(jié)果特別是所發(fā)現(xiàn)的內(nèi)控缺陷向高級領(lǐng)導層直接報告。同時，考慮到傳統(tǒng)的內(nèi)控評價方法在軟控制方面的不適應性，可以考慮逐步引進內(nèi)部控制自我評價（control self-assessment）技術(shù)（將另文介紹），以幫助不斷提升控制環(huán)境。