放平内部控制的定位

浙江省立同德医院财务科 夏青青

近年来，企业内部控制管理风靡各界，随着内部控制管理开始迈入“健康绿色”大道，部分企事业单位逐步着手开展或完善其相关工作，但事实显示，其真正落实有效实施的很少。德勤对我国上市公司的跟踪调查后指出，内部控制实施状况中41.18%的企业对内部控制评价的工作执行力度不够，只有17.63%的企业落实了工作。究其原因很多：社会环境现状的适应、法律法规的缺乏、相关人士的专业技能不足与理论知识体系的不完善等。考虑现今发展状况与企业实施执行中的困惑，追究根本，是因为内部控制与其相关概念界定模棱两可，大众对此的认识尚浅，从而导致实施效果不显著。

1 于风险管理和公司治理间放平内部控制概念体系的定位

迄今为止，研究内部控制问题的经典文献是1992年COSO委员会发表的“内部控制整体框架”，是研究史上的重大创新与突破，亦是我国有关部门在制定企业风险管理与内部控制规范时的主要参考依据。2013年5月14日COSO委员会正式发表新《企业内部控制整体框架》以适应现今的社会经济环境，引领企业内部控制管理发展走向健康持续发展之路。内部控制是促进目标实现的重要条件而不是充分条件，是对企业既定战略目标的一种保障，也就是说，内部控制目标的实现将影响企业既定战略目标的实现的风险更好地控制在了企业可以接受的范围内。无论从审计或者管理角度看，内部控制发展与风险控制、公司治理有着密切的联系，企业相关人员对于有关内部控制和风险管理与公司治理的概念体系存在模糊界限，使其实施困难重重，举步维艰。

1.1 内部控制与风险管理的区别

从企业实际运营决策的角度看，企业运营的“暗线”是企业风险管理，目的就是要把企业在运营中的全部风险尽量控制在可接受的范围内。

若把企业设立阶段和运营阶段下的六大类风险，与企业战略设立、调整相关的企业治理结构风险、战略目标确立风险和业务模式选择风险统称为活化风险，把业务模式既定状态下的合规风险、运营风险和财务风险称为固化风险，且将固化风险与活化风险合称为动态风险。内部控制不涉及企业治理目标的确定和业务模式的选择，而是基于既定的企业目标、固化的业务模式，对合规性风险、运营风险以及财务报告风险的管理。而企业风险管理则涵盖了对企业治理风险、战略目标确立风险、业务模式选择风险以及固化风险进行管理的整个过程。风险管理中所考虑的环境，主要聚焦在包括可得资源、决策者风险偏好及企业风险承受能力在内的企业内部环境。同时，从相关责任的分配和履行情况看，内部控制更多的是管理层的责任，治理层主要起监督作用，而企业风险管理则更多的是治理层的责任，最终风险由出资人和利益相关者承担。

总之，对于内部控制来说，管理层应该在针对环境对固化风险进行评估，然后对评估出来的风险采取相应的控制方式，比如：分担、转嫁、承受、再造等。对企业动态风险以及全面风险的管理是企业风险管理。

1.2 内部控制与企业治理的关系

在管理学上，早期的内部控制是基于降低企业成本，增加企业利润为主的一种管理职能提出来的。企业治理结构中存在着的控制活动，其目的是确保企业治理结构的有效运行，它的作用不同于其他企业管理层面的内部控制，而是局限于企业治理的结构中。一方面，企业最高管理层(也就是治理层)对整个内部控制过程中的实施有很重要的监督责任，很多控制活动是存在于企业内部治理结构和内部控制过程中的，这说明两者存在交叉。另一方面，固化风险的风险源是由于最高管理层的监督力度不够，这种情况下内部控制的最高管理层就是企业治理。

总之，公司治理结构不仅是在一个平台上的组织结构，还是一套静态的制度租住机构，各种制度监督控制和实际运行的整个过程。企业内部控制的基础和前提以及协商企业战略目标、企业参与方的利益平衡平台是有效运行的企业治理结构。

2 于外部监管与内部管理两者间放平内部控制评价制度

企业内部控制是整改、评价、设计、执行等循环的一个过程，内部控制评价在这个有效的循环过程中起着很重要的作用。只有正确并合理地构建、应用内部控制评价，才能不断地促进企业有效地实施与改进内部控制体系。内部控制的有效实施和必要的制度安排及常规性的活动是有效的内部控制评价。内部控制评价的实质就是尽可能地发现和寻找公司所存在的影响内部控制目标实现的各个细节，也就是常说的实质性漏洞和重大缺陷。尽管解决审计师在内部控制评价中的责任问题是必需的，但社会性的内部控制评价制度，不只是及时发现并提醒企业针对出现的问题进行改善，强化CPA对企业内部控制审计的责任，更重要的是动态监控企业的内部控制制度的运行情况，不仅可以不断优化内部控制制度，还可以有效地利用评价框架进行自我评估。在当前社会经济环境下，企业内部控制评价制度的建立需考虑中国特殊的文化、制度、经济、政治等环境因素的影响，经得起大量的实践检验，使其具有较强的适应力和生命力，不忽视外部监管和外部审计视角的考量，更重视内部管理层面的实质因素，恰当平衡三个角度的构成比重，构建具有普遍适用意义的企业内部控制评价系统模式，提高评价依据的统一性与具体标准的可操作性，为中国企业走向国际提供安全保障。

3 放平内部控制规范在实施中的软度与硬度

我国企业内控管理起步较晚，理念体系较浅，对于目前企、事业单位对风险防范意识的薄弱以及内部控制的状况，必须采取强力度和科学合理的实施机制，促进企业内部控制制度的建立和健全，发挥内控在企业良好运营中的重要地位，否则，制度执行必将流于形式。从目前实施情况来看，应着重加强内部控制实施硬度，提高其有效性，发挥出更大的潜力，不辜负其现存的软性，尤其在以下几方面可进一步作补充与改进。

3.1 清晰、明确和完善治理层在风险管理和控制方面的责任制度。

一方面，突出最高管理层董事会在风险管理和内部控制中应有的责任，在上市规则中明确上市公司按照“公司治理准则”披露公司风险管理和内部控制。另一方面，完善《公司法》中公司董事、监事、高管的“注意义务”条款。只有通过“注意义务”把企业最高管理层风险管理和控制方面的责任得出体现和要求，才能适应当前公众对公司及其治理的期望和要求，并规定与之相对应的法律责任条款，同时也赋予其相应免职条款，体现强有力的法律效应，实施明确的、可执行的、具有连续性的奖惩机制和责任条款。

3.2 加强发挥行业监管部门的监督检查作用

由于公司治理准则及上市规则的规制范围仅限于上市公司，针对我国计划全面推行内控规范的目标，还必须发挥各行业监管部门的监督检查作用。对此，可充分借鉴现有保监会、银监会对寿险公司、商业银行内部控制评估的监督检查经验，出台行业监督检查办法。

总之，在现今内部控制实施软度充裕的状况下，抓紧建立和完善与之相适应的实施机制，并增强其硬度保障，在两者相互的支持与配合下，经过一段时间持续的强行实施后，其潜在的有利效应将逐步体现出来，一定能有效地提升大众对内部控制的信心，稳固其在企业有效运营中的地位与作用。

4 结语

内部控制在企业有效经营中的地位不言而喻，无论是企业家与普通员工，还是相关专业研究人士与政府等相关监管部门，甚至是社会大众都赖其大任，但实践中，必须明确清晰内部控制的概念体系，知晓其是一个过程。在设计时，精确掌握好其于风险管理和公司治理间的内在交叉联系与关键区别，特别需要避免张冠李戴，混淆不清，放平其定位；在评价时，必须全面完善内部控制评价制度，科学合理平衡好外部审计、外部监管与内部管理在其间的影响比重；于执行中，在如今软性规范下，采纳强有力的实施机制，提高其硬性威力，发挥实施有效性。

[1] 财政部会计司.企业内部控制规范讲解[M].经济科学出版社,2010.

[2] 池国华.基于管理视角的企业内部控制评价系统模式[J].会计研究,2010(10).

[3] 谢志华.内部控制、公司治理、风险管理-关系与整合[J].会计研究,2007(10).