【摘 要】 本文針對COSO的內(nèi)部控制整合架構(gòu)存在外部邊界混亂和內(nèi)部邏輯混亂這兩方面的問題，提出“融于管理體系中的內(nèi)部控制架構(gòu)”，該架構(gòu)由控制目標(biāo)、控制主體、控制客體和控制手段四要素組成，并具體分析了這個架構(gòu)與管理體系的融合，旨在厘清內(nèi)部控制與管理體系的關(guān)系，使內(nèi)部控制系統(tǒng)具有內(nèi)在邏輯性。
　　【關(guān)鍵詞】 內(nèi)部控制；管理體系； COSO
　　
　　一、對COSO的內(nèi)部控制整合框架評述
　　
　　1992年，美國“反對虛假財務(wù)報告委員會”所屬的內(nèi)部控制專門委員會（COSO委員會）提出“內(nèi)部控制——整合框架” 專題報告。經(jīng)過兩年的修改，1994年COSO委員會提出對外報告的修改篇，擴(kuò)大了內(nèi)部控制的涵蓋范圍，增加了與保障資產(chǎn)安全有關(guān)的控制，得到了美國審計署（GAO）的認(rèn)可。COSO報告提出了全新的內(nèi)部控制整合框架，這個架構(gòu)由控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)控五項要素構(gòu)成。COSO所提出的內(nèi)部控制整合架構(gòu)得到了許多職業(yè)組織的認(rèn)可，似乎已經(jīng)成為內(nèi)部控制架構(gòu)的經(jīng)典。然而，筆者認(rèn)為，內(nèi)部控制整合架構(gòu)存在較為嚴(yán)重的混亂問題，歸納起來，主要表現(xiàn)在兩個方面，一是外部邊界混亂；二是內(nèi)部邏輯混亂。下面，筆者來分析這兩方面的問題。
　　
　　（一）外部邊界混亂
　　外部邊界混亂主要是指根據(jù)內(nèi)部控制整合架構(gòu)，分不清楚內(nèi)部控制與管理體系的界線。內(nèi)部控制整合架構(gòu)將內(nèi)部控制的目標(biāo)定義為三個方面：經(jīng)營效率和效果；財務(wù)報告可靠性；遵守法律和法規(guī)。后來，在GAO等機(jī)構(gòu)的影響下，于1994年的修改稿中增加了財產(chǎn)保護(hù)目標(biāo)。所以，內(nèi)部控制整合架構(gòu)共有四項目標(biāo)。內(nèi)部控制整合架構(gòu)反復(fù)強(qiáng)調(diào)，內(nèi)部控制是管理體系的組成部分，應(yīng)該融于管理體系中，那么，管理體系的目標(biāo)應(yīng)該是大于內(nèi)部控制的目標(biāo)，這是根據(jù)內(nèi)部控制整合架構(gòu)應(yīng)該得出的結(jié)論。但是，在上述四項目標(biāo)之外，還有什么目標(biāo)可以增加進(jìn)來，作為不屬于內(nèi)部控制目標(biāo)但是屬于管理體系目標(biāo)的目標(biāo)。有人可能會說，為股東創(chuàng)造價值，增加盈利性，保持企業(yè)的可持續(xù)發(fā)展，這些可以作為管理體系的目標(biāo)，但是，它們不是內(nèi)部控制目標(biāo)。不對，根據(jù)內(nèi)部控制整合架構(gòu)的解釋，上述目標(biāo)都可能作為經(jīng)營效率和效果目標(biāo)的組成內(nèi)容，從而歸結(jié)為經(jīng)營效率和效果目標(biāo)。從總體上來說，內(nèi)部控制整合架構(gòu)是內(nèi)部控制目標(biāo)等同于管理體系目標(biāo)了，這無疑是對內(nèi)部控制目標(biāo)不應(yīng)有的擴(kuò)大。也正是因為這一點(diǎn)，美國《2002年公眾公司會計改革和投資者保護(hù)法案》（薩班斯—奧克斯利法案）中提出了一個“財務(wù)報告相關(guān)內(nèi)部控制”這個概念，將內(nèi)部控制目標(biāo)鎖定在財務(wù)報告可靠性上，這實(shí)質(zhì)上是對內(nèi)部控制整合架構(gòu)所確定的內(nèi)部控制目標(biāo)太寬泛的一種否定。正是由于內(nèi)部控制整合架構(gòu)對內(nèi)部控制目標(biāo)的寬泛定位，內(nèi)部控制要素也就非常龐大，由五大要素組成的內(nèi)部控制幾乎涵蓋了管理體系的所有內(nèi)容，凡是與內(nèi)部控制沒有直接關(guān)聯(lián)的，都作為控制環(huán)境納入內(nèi)部控制。根據(jù)內(nèi)部控制整合架構(gòu)，與內(nèi)部控制唯一沒有關(guān)系的計劃功能，并且，在后續(xù)的風(fēng)險控制整合架構(gòu)中，以目標(biāo)設(shè)定的方式將計劃功能也納入了風(fēng)險管理體系中。事實(shí)上，關(guān)于內(nèi)部控制整合架構(gòu)的外部邊界混亂問題，在內(nèi)部控制架構(gòu)作為一個草案征求意見時，就有不少的企業(yè)界和管理界人士提出過這個問題，COSO委員會對這個意見沒有引起足夠的重視。
　　
　?。ǘ﹥?nèi)部邏輯混亂
　　為了分析方便，這里列示一下內(nèi)部控制整合架構(gòu)各要素的內(nèi)容?？刂骗h(huán)境包括：誠實(shí)和道德，對能力的重視，董事會和審計委員會，管理哲學(xué)和經(jīng)營模式，組織結(jié)構(gòu)，權(quán)力和責(zé)任的分派，人力資源政策；風(fēng)險評估包括：風(fēng)險識別和風(fēng)險分析；控制活動包括：對經(jīng)營活動的審批、授權(quán)、確認(rèn)、核對、審核，對資產(chǎn)的保護(hù)，職責(zé)分離；信息與溝通包括：信息系統(tǒng)和溝通兩部分，信息系統(tǒng)由經(jīng)營信息、財務(wù)信息和合規(guī)性信息組成，溝通是指每個人都必須明白自己在內(nèi)部控制系統(tǒng)中扮演的角色及自己的行為與他人的工作如何聯(lián)系；監(jiān)控包括對內(nèi)部控制系統(tǒng)支持的持續(xù)監(jiān)控和單獨(dú)評價。
　　從邏輯上來說，cAk1cn6aIgVd5VcLBU36VQ==內(nèi)部控制整合架構(gòu)存在以下問題：一是系統(tǒng)殘缺不全；二是要素間重疊；三是手段與目標(biāo)不匹配。下面，筆者具體分析這三個問題。首先，關(guān)于系統(tǒng)殘缺問題。內(nèi)部控制作為一個系統(tǒng)，應(yīng)該有施控主體和受控客體，前者表示誰進(jìn)行控制，后者表示對什么進(jìn)行控制。從內(nèi)部控制整合架構(gòu)來看，強(qiáng)調(diào)了所有人在內(nèi)部控制中都有責(zé)任，這可以理解為從另外一個角度確定了內(nèi)部控制主體，但是，這種隱含式的表述不如直截了當(dāng)?shù)姆绞胶?。同時，也存在局限性，在有些情況下，不是本組織的外部人（例如，顧客）在某些情形下也可能成為本組織的內(nèi)部控制主體，內(nèi)部控制整合架構(gòu)將這些人排除在控制主體外。關(guān)于受控客體也就是控制客體，組織內(nèi)部的財產(chǎn)、交易、信息及人是內(nèi)部控制客體，這些客體在一定的場合組成交易循環(huán)。內(nèi)部控制整合架構(gòu)則基本沒有論及控制客體，這是內(nèi)部控制整合架構(gòu)的一個重要缺陷。其次，關(guān)于要素間重疊問題。內(nèi)部控制整合架構(gòu)中的要素間重疊主要有兩個方面，一是控制環(huán)境內(nèi)部重疊。例如，審計委員會應(yīng)該是董事會的下屬機(jī)構(gòu)，不應(yīng)該與董事會并列；組織結(jié)構(gòu)本身就包括權(quán)力和責(zé)任的分派，而不應(yīng)該將權(quán)力和責(zé)任的分配再單獨(dú)出來；對能力的重視本身就是人力資源政策的一部分，不應(yīng)該再單獨(dú)列出來。二是控制環(huán)境與控制活動重疊。控制活動中的審批、授權(quán)、確認(rèn)、核對、審核以及職責(zé)分離，與控制環(huán)境中的組織結(jié)構(gòu)及權(quán)力和責(zé)任的分派重疊。最后，關(guān)于內(nèi)部控制手段和內(nèi)部目標(biāo)之間的匹配問題。內(nèi)部控制整合架構(gòu)確定了四大目標(biāo)，但是，由五大要素組成的內(nèi)部控制手段并不支持其所確定的四大目標(biāo)，從各要素的內(nèi)容來看，主要針對的目標(biāo)是財務(wù)報告可靠性、遵守法律和法規(guī)及財產(chǎn)保護(hù)目標(biāo)這三大目標(biāo)，經(jīng)營效率和效果作為首要目標(biāo)，在控制手段中并沒有得到重視。從本質(zhì)上來說，內(nèi)部控制整合架構(gòu)還是審計視角的內(nèi)部控制，不是企業(yè)家認(rèn)可的內(nèi)部控制，也不是現(xiàn)實(shí)生活中的內(nèi)部控制。
　　
　　二、融于管理體系的內(nèi)部控制框架：一個思路和兩個關(guān)系的界定
　　
　?。ㄒ唬┤谟诠芾眢w系中的內(nèi)部控制框架的基本思路
　　
　　將內(nèi)部控制與管理體系割裂開來，就不可能得到與實(shí)踐相符的內(nèi)部控制架構(gòu)。如此這般，所能夠得到的將永遠(yuǎn)是審計視角下的內(nèi)部控制架構(gòu)，而不是企業(yè)家認(rèn)可的內(nèi)部控制架構(gòu)，更不是現(xiàn)實(shí)生活中的內(nèi)部控制。內(nèi)部控制是管理體系的組成部分，要與管理體系的其它內(nèi)容有機(jī)地融為一體。所以，在最初設(shè)計整個管理體系時就必須考慮內(nèi)部控制的要求，其基本思路如圖1所示。
　　
　　（二）內(nèi)部控制與內(nèi)部會計控制和財務(wù)報告控制的關(guān)系
　　2001年，我國財政部頒布實(shí)施的《內(nèi)部會計控制規(guī)范》指出，內(nèi)部會計控制“是指單位為了提高會計信息質(zhì)量，保護(hù)資產(chǎn)的安全、完整，確保有關(guān)法律法規(guī)和規(guī)章制度的貫徹執(zhí)行等而制定的一系列控制方法、措施和程序”。2002年，《薩班斯—奧克斯利法案》特別針對COSO報告內(nèi)部控制目標(biāo)中的“財務(wù)報告可靠性”，提出了“財務(wù)報告相關(guān)的內(nèi)部控制”（國內(nèi)有些學(xué)者直接將其稱為財務(wù)報告內(nèi)部控制）的概念。SEC在隨后發(fā)布的33-8138提案中，首次對財務(wù)報告相關(guān)內(nèi)部控制進(jìn)行了詮釋。提案指出，財務(wù)報告相關(guān)內(nèi)部控制的目的是確保公司設(shè)計的控制程序能為下列事項提供合理保證：公司的業(yè)務(wù)活動經(jīng)過合理的授權(quán)；保護(hù)公司的財產(chǎn)避免未經(jīng)授權(quán)或不恰當(dāng)?shù)氖褂?；公司的業(yè)務(wù)活動被恰當(dāng)?shù)赜涗洸蟾?，從而保證上市公司的財務(wù)報表符合公認(rèn)會計原則的編報要求。同時，該定義與美國1934年《證券交易法》第13（b）（2）（B）對內(nèi)部會計控制的描述一致。
　　
　　由此可見，在美國現(xiàn)行法規(guī)中，內(nèi)部會計控制的概念等同于財務(wù)報告內(nèi)部控制；而在我國，內(nèi)部會計控制作為一個較內(nèi)部控制更為普遍使用的概念，其目標(biāo)主要體現(xiàn)在會計信息可靠、揭錯防弊、資產(chǎn)保護(hù)和法規(guī)遵守幾個方面，它的內(nèi)涵等于財務(wù)報告內(nèi)部控制。
　　筆者認(rèn)為，《內(nèi)部會計控制規(guī)范》中所謂的“內(nèi)部會計控制”就其本質(zhì)而言是與實(shí)踐聯(lián)系最緊密也是最貼切的“內(nèi)部控制”；當(dāng)前美國倡導(dǎo)的“財務(wù)報告內(nèi)部控制”實(shí)質(zhì)上是“內(nèi)部會計控制”，只不過“財務(wù)報告內(nèi)部控制”這個概念更側(cè)重于從結(jié)果角度表述，而“內(nèi)部會計控制”則是以行為過程的角度進(jìn)行的表達(dá)；任何以COSO報告為藍(lán)本提出的“內(nèi)部控制”的概念，由于將經(jīng)營效率和效果甚至戰(zhàn)略作為內(nèi)部控制的目標(biāo)，使得從根本上就無法分清內(nèi)部控制與管理體系的關(guān)系、控制目標(biāo)與控制措施不匹配，從而都是值得置疑的。所以，內(nèi)部控制就是會計控制，也就是財務(wù)報告內(nèi)部控制。
　　接下來，系統(tǒng)分析融于管理體系的內(nèi)部控制框架的構(gòu)成要素及其之間的相互關(guān)系。
　　
　　三、融于管理體系的內(nèi)部控制框架構(gòu)成要素
　　
　?。ㄒ唬﹥?nèi)部控制的目標(biāo)
　　內(nèi)部控制目標(biāo)是指內(nèi)部控制在既定環(huán)境中所能夠達(dá)到的具有現(xiàn)實(shí)意義和可操作性的目的。具體說來，有三方面的內(nèi)容：
　　1.安全性目標(biāo)：堵塞漏洞、消除隱患，防止并及時發(fā)現(xiàn)、糾正錯誤及舞弊行為，防止非法交易，保護(hù)組織財產(chǎn)的安全、完整；
　　2.真實(shí)性目標(biāo)：規(guī)范信息行為，保證信息的真實(shí)、完整；
　　3.符合性目標(biāo)：確保國家有關(guān)法律法規(guī)、所有者意愿和內(nèi)部制度的貫徹執(zhí)行。
　　
　?。ǘ﹥?nèi)部控制的主體
　　內(nèi)部控制主體，即內(nèi)部控制的施控者，是指誰來進(jìn)行內(nèi)部控制?？刂浦黧w既是區(qū)分內(nèi)部控制與外部控制的標(biāo)志，也是構(gòu)建內(nèi)部控制內(nèi)容體系的基礎(chǔ)。主體身份與具有獨(dú)立法人資格的組織之間的隸屬關(guān)系是判斷“內(nèi)部”與否的原則性標(biāo)準(zhǔn)。這一點(diǎn)與公司治理中的“內(nèi)部人”是有區(qū)別的。公司治理中的“內(nèi)部人”將未直接參與經(jīng)營管理的股東排除在外，但在內(nèi)部控制中“股東”作為組織資本要素的所有者被完整地納入到控制主體的范疇中。當(dāng)然，職務(wù)上的隸屬關(guān)系既可能是緊密型的，也可能是松散型的。所謂“緊密”，是指與組織之間具有較為固定或長期的關(guān)系且個人利益與組織利益被組織內(nèi)的契約捆綁在一起?！八缮ⅰ眲t是指個人利益與組織利益沒有太多關(guān)聯(lián)，如公司中的獨(dú)立董事。松散型的職務(wù)隸屬關(guān)系往往是內(nèi)部控制與外部監(jiān)管或市場機(jī)制的結(jié)合部。在任何一個組織中，內(nèi)部控制的主體具有顯著的層次性。
　　
　?。ㄈ﹥?nèi)部控制的客體
　　控制客體亦即控制對象，是指對什么進(jìn)行控制。出于對控制客體剖析的詳細(xì)程度不同，一般將其分為具體對象和交易循環(huán)兩個層級。
　　1.內(nèi)部控制的具體對象
　?。?）財產(chǎn)。作為內(nèi)部控制客體的財產(chǎn)是指組織享有的、能夠帶來經(jīng)濟(jì)利益的資源。其中不僅包括具有經(jīng)濟(jì)價值和實(shí)物形態(tài)的物品，以及貨幣和有價證券，還包括智力成果——精神（或知識）財富。對財產(chǎn)予以控制的目的在于保護(hù)其安全與完整。組織對財產(chǎn)享有方式表現(xiàn)為：擁有所有權(quán)；擁有控制權(quán)和擁有使用權(quán)。
　?。?）交易。交易是當(dāng)事人達(dá)成協(xié)議并付諸于實(shí)施的過程。作為內(nèi)部控制客體的交易，其內(nèi)部性集中體現(xiàn)在交易主體的內(nèi)部性上，也就是說，無論交易的行為地在何處，只要交易當(dāng)事人中至少有一方屬于“內(nèi)部人”，則該交易為內(nèi)部控制的對象。對交易實(shí)施控制的直接目的在于保證交易符合國家法律法規(guī)、股東意愿和企業(yè)制度，間接目的則是保護(hù)企業(yè)財產(chǎn)的安全完整。
　?。?）信息。泛指各種情報、資料、消息和數(shù)據(jù)。作為內(nèi)部控制客體的信息具有來源上的“內(nèi)部性”，即信息來源于組織內(nèi)部信息系統(tǒng)（包括會計信息系統(tǒng)和統(tǒng)計信息系統(tǒng)）。信息勾勒了過去、現(xiàn)在和未來的輪廓，是內(nèi)部控制主體了解組織狀況的基礎(chǔ)，是控制主體選擇實(shí)施內(nèi)部控制手段的重要依據(jù)，更是對內(nèi)部控制進(jìn)行評價不可或缺的因素。對信息實(shí)施控制的直接目的在于確保信息的真實(shí)與完整，同時，為實(shí)現(xiàn)“安全性”目標(biāo)和“符合性”目標(biāo)打下信息真實(shí)的基礎(chǔ)。
　　
　　對控制主體而言，會計信息和統(tǒng)計信息都源自常規(guī)的信息系統(tǒng)，都是程式化了的常規(guī)信息。當(dāng)系統(tǒng)出現(xiàn)人為干擾因素時，常規(guī)信息的質(zhì)量將受到影響。此時，干擾因素的來源、影響的狀況及后果將形成有別于常規(guī)信息的“另類信息”。“另類信息”是無法通過常規(guī)信息系統(tǒng)被控制主體獲悉的。申訴、舉報等特殊溝通渠道將發(fā)揮重要作用，成為常規(guī)信息系統(tǒng)的有益補(bǔ)充。
　　2.交易循環(huán)
　　簡言之，交易循環(huán)是以基本業(yè)務(wù)流程為基礎(chǔ)的財產(chǎn)、交易和信息的有機(jī)組合。只有當(dāng)財產(chǎn)、交易和信息有機(jī)地組合在一起，形成一個完整健康的交易循環(huán)體系時，管理的目標(biāo)才能夠得以實(shí)現(xiàn)。應(yīng)該指出的是，如何劃分業(yè)務(wù)循環(huán)，應(yīng)該視企業(yè)的業(yè)務(wù)性質(zhì)和規(guī)模而定。例如，對于銀行而言，沒有生產(chǎn)循環(huán)，但有貸款循環(huán)和活期存款業(yè)務(wù)循環(huán)。同時，在實(shí)踐中，可以按照專業(yè)判斷去劃分特定的業(yè)務(wù)循環(huán)，如可以將銷售與收款循環(huán)，按照處理銷貨的程序和處理現(xiàn)金的程序化分為兩個循環(huán)進(jìn)行考查。
　　
　?。ㄋ模﹥?nèi)部控制方法體系
　　幾乎所有的管理方法都能夠或多或少地發(fā)揮內(nèi)部控制作用。但是，為了完成實(shí)現(xiàn)內(nèi)部控制目標(biāo)，除了依賴管理方法外，還要為一些專門的方法。也就是說，如果不考慮內(nèi)部控制目標(biāo)，這些方法在管理體系中是不會出現(xiàn)的，正是由于內(nèi)部控制的特別要求，才出現(xiàn)了這些方法。管理方法與內(nèi)部控制方法歸納起來如表1所示。
　　
　　四、結(jié)束語
　　
　　本文通過對COSO的內(nèi)部控制整合架構(gòu)的評述，提出了“融于管理體系的內(nèi)部控制架構(gòu)”，這個架構(gòu)由控制目標(biāo)、控制主體、控制客體和控制手段構(gòu)成，這個架構(gòu)的努力主要體現(xiàn)在兩個方面，一是厘清了內(nèi)部控制與管理體系的關(guān)系；二是做到了內(nèi)部控制系統(tǒng)具有內(nèi)在邏輯性。客觀地說，并不是提出了一個嶄新的內(nèi)部控制框架，只是系統(tǒng)整理了以往內(nèi)部控制框架體系中沒有能夠得到厘清的一些事實(shí)，還內(nèi)部控制以本來面目。當(dāng)然，“融于管理體系的內(nèi)部控制框架”是否與現(xiàn)實(shí)生活相符，有待實(shí)證研究來檢驗。●
　　
　　【參考文獻(xiàn)】
　　[1] 朱榮恩，應(yīng)唯，袁敏.美國財務(wù)報告內(nèi)部控制評價的發(fā)展及對我國的啟示.會計研究，2003，8：48～53.
　　[2] 財政部關(guān)于印發(fā)《企業(yè)內(nèi)部控制規(guī)范—基本規(guī)范》和17項具體規(guī)范（征求意見稿）的通知.財會便，2007第7號.
　　[3] 鄭石橋.內(nèi)部控制設(shè)計—融于管理體系中的內(nèi)部控制.第1版.烏魯木齊：新疆科學(xué)技術(shù)出版社，2003.13.
　　[4] 鄭石橋等. 內(nèi)部控制基本原理—融于管理體系中的內(nèi)部控制. 第1版. 烏魯木齊：新疆科學(xué)技術(shù)出版社，2004.8。
　　[5] The Committee of Sponsoring Organizations of the Treadway Commission. 1994.Internal Control—Integrated Framework， 1992.
　　[6] The Committee of Sponsoring Organizations of the Treadway Commission. 1994. Internal Control—Integrated Framework， 1994 .
　　[7] Sarbanes-Oxley section 404： management assessment of internal control and the proposed auditing standards. 2003. KPMG， March.
　　[8] The Committee of Sponsoring Organizations of the Treadway Commission. 2004. Enterprise Risk Management Integrated Framework.