试论内部控制有效性

谈礼彦

（湖州职业技术学院工商管理分院，浙江 湖州 313000）

一、内部控制

内部控制的实践可以追溯到公元前3000 多年的美索不达米亚文化时期。然而，直到15 世纪复式记账法出现后，以账目间的相互核对为主要内容、实施职能分离的内部牵制才开始得到广泛应用。1953 年10 月，美国注册会计师协会颁布了《审计程序说明》第19 号，将内部控制分为会计控制和管理控制。随后在1988 年，AICPA 为适应当时社会经济环境的需要，在其第55 号审计准则公报《会计报表审计中对内部控制结构的关注》里提出了“内部控制结构”的概念，将其细分为控制环境、会计制度和控制程序三要素，并指出企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序。这一概念的提出实现了内部控制由零散到系统的转变和发展（陈汉文，2009）。

1992 年，COSO 提出的“内部控制整合框架”进一步完善了内部控制的结构和体系，并得到了AICPA、美国证券交易委员会和美国公众公司会计监督委员会等组织的广泛认可，从而构造了一个共识性的平台和框架，在内部控制的发展史上具有重大影响。COSO 将内部控制定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程：（1）经营的有效性和效率；（2）财务报告的可靠性；（3）符合适用的法律和法规。

与国外发达国家相比，我国企业内部控制的建立起步较晚。在早期的内部控制建设中，参与内控建设的部门较多，包括人大常委会、财政部、证监会、中注协、银监会和国务院等。然而由于各部门大多独立工作、缺少配合，故所颁布的法律法规具有很强的行业针对性。此外，这些法律法规中所涉及的内容多为实务导向，未形成一个统领全局的综合性理论框架（比如类似于COSO 框架等）。直至2008 年，财政部等五部委在参考COSO 框架并兼顾企业风险管理整合框架的基础上，结合我国国情出台了《企业内部控制基本规范》，从而对内部控制的内涵、目标、要素及原则等基本内容有了权威性的定位。随后，《企业内部控制配套指引》及《企业内部控制规范体系实施中相关问题解释的通知》等具体法规的颁布，大大推进了我国企业内部控制体系的建设。

二、内部控制有效性

总体来看，我国内部控制建设处于不断前进之中。根据《企业内部控制配套指引》制定的时间表，沪深两市主板的上市公司已经自2012 年起开始对内部控制的有效性进行自我评价，并披露年度自我评价报告，同时聘请具有证券、期货从业资格的会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。自此，我国的内部控制体系建设已经逐渐与国际接轨。然而，对于如何判断企业的内部控制是否有效，尚有许多值得商榷之处。

（一）内部控制有效性的定义

内部控制不仅关心与完成企业目标有直接关系的事件，还关心企业管理系统是否维持在一种能充分发挥其职能以达到这些目标的状态。建立健全内部控制的目的是为了使组织管理系统以更加符合需要的方式运行，使它更加可靠、更加便利、更加经济。

管理学认为，控制是监督活动的过程，其目的在于确保活动得以按计划完成，并能够纠正任何明显的偏差。一个有效的控制系统能确保活动的完成，有利于组织目标的实现，其有效性取决于它促进目标实现的程度，越是能帮助管理者实现组织目标的系统就越好。不同企业的内部控制体系运行的有效性水平各不相同。COSO 认为，如果董事会和管理层能合理保证防止或及时发现可能对财务报表产生重大影响的未经授权的行为，就可以判定该内部控制是有效的。此外，内部控制体系与主体的经营活动紧密相连，当控制被嵌入主体的构架中并成为企业本体的一部分时，内部控制最为有效。

内部控制各要素之间存在着协同和联系，从而形成一个整合体系以对环境的变化做出动态反应。笔者认为，内部控制有效性指的是内部控制实现企业的经营目标、报告目标、合规目标和战略目标的程度。有效的内部控制所带来的最大效益是促使资本市场提供更多的资本以驱动创新和经济增长，从而增强公司进入市场的能力。伴随着进入资本市场这个过程而来的是向利益相关者及时提供准确的财务报告的责任。有效的财务报告内部控制支持可靠的财务报告，而后者能够提升投资者的信心。

（二）内部控制有效性的内涵

内部控制是否有效取决于两个方面，即内控设计的有效性与运行的有效性。

设计的有效性，指的是某项内部控制单独或连同其他控制是否能够有效防止或发现并纠正企业的重大错报。COSO 在《内部控制——整合框架》一书中，针对五个构成要素分别给出了详尽细致的原则作为权威参考。然而，这并不表示任何一条原则都适用于每一家企业，也不是说任一企业的内部控制需要涵盖所有的原则。企业应当结合自身的具体情况，综合考虑规模及业务复杂程度，从实际出发来设计和完善内部控制。

除了设计的有效性以外，内部控制是否有效还与其运行的有效性有关。运行的有效性，指的是内部控制能够在各个不同时点按照既定设计得以一贯执行。在评价运行的有效性时，需要特别关注控制在相关时点是如何运行的、控制由谁或以何种方式运行以及控制是否得到一贯执行。

（三）内部控制有效性的衡量主体、标准和方法

在2010 年发布的《企业内部控制配套指引》中，财政部等五部委除了要求执行内控规范的企业对内控有效性进行自我评价以外，还要求其聘请会计师事务所对财务报告内部控制的有效性进行审计。由此看来，相比企业的自我评价，监管部门更加认可外部独立第三方对内部控制有效性的评价。因此，笔者认为，内部控制有效性的衡量主体应为外部独立第三方，比如大型事务所或科研机构等。

从衡量标准来看，现有研究基本上都是参照国际性协会颁布的框架或指南（如COSO 框架、CoCo 框架、Tumbull 指南及COBIT 框架），选取部分内部控制的关注点，采用简单相加或层次分析法等方法作为目标企业内控有效性的衡量标准。

从衡量方法来看，现阶段学术界与实务界尚无统一的结论。目前评价内部控制主要有两类方法：定性与定量。定性方法中，主要是根据内部控制的披露信息来做出评价；定量方法中，主要是采用问卷调查、以赋值打分的形式来评价，或是构造内部控制指数来衡量内部控制质量。综合来看，两类方法都需要有胜任能力的评价人员对框架或指南中的原则进行取舍，并在赋予各原则的权重时做出客观公正的判断，因而受到评价人员专业素质的直接影响。现有文献中，学者们的研究多数仅考虑十余个内部控制关注点，或虽考虑较多关注点但实例中仅涉及单一公司，故而得出的结论也就缺少说服力。要从整体上把握并比较企业的内部控制，必须有一个涵盖范围广、兼顾内控设计与内控执行两方面、且易于度量的一项评价机制。笔者认为，以内控指数的形式来衡量内部控制有效性，不仅可以达到上述目的，还可以将各企业置于同一标准之上来进行比较。

三、当前内部控制有效性评价方法

评价内部控制的有效性不仅是探讨个别部门的表现或成果，更是从宏观及全面的角度去了解企业的总体经营状况及表现。评价企业内部控制是否有效，关键要看其是否实现了企业的总体目标，以及考虑总体目标与子目标、子目标与子目标之间的相互关系。然而困难的是，内部控制有效性涉及多个目标，并且有些目标之间存在相互冲突。Seashore（1965）认为，这些目标并非都具有相同程度的重要性，而是具有不同层次的重要性，这就使得总体目标的测量更趋困难。

确定内部控制体系是否有效涉及主观判断，它来自对内部控制五要素是否存在并有效运行的评估（COSO，2008）。1992 年，COSO 给出了一整套内部控制的评价工具，设计出82 个关注点以实现对内部控制五要素的涵盖，通过对关注点的逐条描述来得到各要素的结论及需要采取的行动，并在此基础上得出对内部控制体系的总体评价。

2003 年，普华从管理层评价的角度提出了12 项内部控制的评价步骤。这一内部控制评价过程以重要错报风险的评估为起点，自公司层面的控制开始识别相关的控制、认定、重大流程，确定要测试的控制，评价设计的有效性，测试运行有效性，从而对内部控制的有效性作出总体评价。

2004 年9 月，COSO 发布《企业风险管理——整合框架》，在参考并将《内部控制——整合框架》融合在内以后，构建了一个更强有力的概念和管理工具。评价企业风险管理是否“有效”，是在对其八个构成要素是否存在和有效运行的基础之上所做出的判断。尽管为了使企业风险管理被判定为有效，所有的八个构成要素都必须存在和正常运行，但是在构成要素之间可能会存在着某些权衡。COSO 认为，设计和运行良好的企业风险管理，能够为管理层和董事会实现战略目标、经营目标、报告目标和合规目标提供合理保证。此外，COSO 强调，尽管企业风险管理是一个过程，它的有效性却是在某个时点上的一种状态或情况。

除上述定性评价方法以外，目前学术界也在探讨定量的评价方法。现阶段的研究成果主要是采用模糊数学的原理，将定性观察通过模型转化为定量结果，以此来评估内部控制。有学者从内部控制五要素出发，分三层解构内部控制体系，以此对上市公司内部控制质量进行模糊综合评价（骆良彬和王河流，2008）。而韩传模和汪士果（2009）在解析企业风险管理三维分析框架的基础上，采用层次分析法，建立了基于风险导向和示意结构的内部控制递阶层次模型，从而实现对整个内控体系的科学评价。

[1][美]COSO.内部控制——整合框架[M].方红星，译.大连：东北财经大学出版社，2008.

[2][美]COSO.财务报告内部控制——较小型公众公司指南[M].方红星，译.大连：东北财经大学出版社，2009.

[3][美]COSO.企业风险管理——整合框架[M].方红星，译.大连：东北财经大学出版社，2005.

[4]陈汉文.审计理论[M].北京：机械工业出版社，2009.

[5]骆良彬，王河流.基于AHP 的上市公司内部控制质量模糊评价[J].审计研究，2008（06）.

[6]韩传模，汪士果.基于AHP 的企业内部控制模糊综合评价[J].会计研究，2009(04).