内部控制体系建设的理论与实务

内部控制体系建设的理论与实务

摘要：本文首先探讨了美国COSO委员会《内部控制整合框架》在中国企业中的发展，并分析了现阶段中国企业对基于COSO报告的内部控运用的缺陷。本文在分析三种理论的基础上重点介绍了技术论在构建内部控制体系的应用。根据中国企业的特点以及中美文化的差异，依据中国《企业内部控制应用指引》对内部控制技术论进行探索，以期完善中国企业内部控制体系的建设。

关键字：内部控制；技术论；程序法；效果论

自1992年9月COSO委员会发布《内部控制整合框架》以来，COSO报告几经修稿，最终发展成为很成熟的企业内部控制建设的理论基础。内部控制建设的作用对于企业和投资者的重要作用已无需言语。基于COSO报告国内很多学者也进行了大量的研究，财政部也在国内对于COSO报告研究的基础上于2010年1月颁布了《企业内部控制基本规范》并在上海、深圳证券交易所主板上市的公司施行。国内很多企业也积极响应财政部的号召，对企业内部控制进行了探索。同时，内部控制体系的建设在国内企业的发展也日益成熟。

但是，国内企业和学者对内部控制理论的探讨基本都是建立在COSO报告的五要素理论的基础之上。COSO报告提出的内部控制五要素有控制环境、风险评估、控制活动、信息与沟通、检查。这五项要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境自动作出反应。COSO报告内部控制理论是建立在美国的文化背景的基础上，我国内部控制体系的构建因文化背景的差异应有自己的特点，不可一味的照抄照搬。 一、系统论下利用全面要素法构建的内部控制体系

系统论即基于美国COSO报告下的内部控制理论，依据系统论的内部控制构建的方法可称之为全面要素法，即根据COSO报告的内控五要素进行的内部控制设计。

COSO内部控制框架下，中国企业构建内部控制体系的缺陷：

1、现阶段，国内企业在内部控制的建设中，依据COSO报告提出的内部控制五要素，分别对控制环境、风险评估、控制活动、信息与沟通、检查五个方面进行设计。控制环境方面，国内企业曾经历相当长时间的计划经济体制，管理人员对风险的认识不够全面。内部控制属于新生事物，管理者没有意识到内部控制对于现代生产管理的重要性。加之中国长期以来的“官本位”文化，管理者在决策的过程中不愿将权力放在内部控制的框架内，形成内部控制环境的漏洞。风险评估方面，企业内部控制基本由企业责任人发起建立，是从上到下的模式建立的，企业负责人对于基层的风险的认识远远没有基层工作者了解。这种模式在风险

评估方面的缺陷便是风险的认识不到位，不全面。控制活动以及信息传递方面，从国内不断发生的产品安全，环境污染等案例来说企业对风险的应对缓慢，没有力度，不能在风险发生之前和之后对风险进行及时的控制。

2、COSO内部控制的五个要素相互独立又互相联系，在抵御企业内外部风险方面相互配合。企业若对五个要素运用没有融会贯通，相互策应，或者没有灵活驾驭内部控制，即使企业内部控制体系的建设中对5个部分进行精心的设计，内部控制起到的作用也很有限，也就是说：现阶段的内部控制的建设无法应对风雨变幻的内外部风险。

如果企业不能处理以上两个方面的缺陷，那么企业内部控制只能流于形式，或者躺在橱窗里应付监管部门的检查。企业内部控制成为一纸空文，企业内部控制在企业生产经营中的作用便随风而去。

二、技术论下利用程序法构建的内部控制体系

内部控制是指一个组织为实现其目标，其全部成员对各项业务活动采取的一系列控制措施，并为实现其目标提供合理的保证的过程。首先，内部控制活动不是管理活动，这两者的区分是管理者正确认识内部控制的基础。管理活动是一个组织为实现预期的目标，以人为中心进行的协调活动，是基于实现目标的业务。内部控制是基于风险，是为了控制各项管理经营活动中出现的各种风险。简单的讲，一系列的有效的管理活动可以实现企业的目标，管理活动是否能做的合理有效，即是内部控制。

为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，2010年4月15日由财政部、证监会、审计署、银监会、保监会根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》共同发布了《企业内部控制应用指引》。

内部控制体系构建的技术论的理论基础就是相对符合中国国情《企业内部控制应用指引》，其构建内部控制体系的方法称之为程序法。程序法是针对企业为实现其目标所作出的作业进行优化，并对一系列的作业活动进行关键的控制，防范其中的风险，保证关键作业活动的实施，也就保证了控制目标的实现。《企业内部控制应用指引》涉及18项企业基本活动，涵盖基本全部的企业业务。这18项企业基本活动可以具体分为三类：控制环境类、控制活动类、控制手段类，具体见表1。 表1 应用指引分类表 应用指引 控制环境类 条目 5项 具体项目 组织架构、发展战略、人力资源、企业文化、社会责任 控制活动类 9项 资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告 控制手段类 4项 全面预算、合同管理、内部信息传递、信息系统 程序法下，内部控制体系包括业务体系、风险体系、风险控制体系、信息流体系。 1、业务体系的构建

业务体系要对企业业务流程进行实地调查，主要任务是调查系统中各环节的业务活动，掌握业务的内容、作用、及信息的输入、输出、数据存储和信息的处理方法及过程等。它是掌握现行业务体系状况，熟悉公司工程造价咨询实务的重要过程。在实务操作中，可使用office-visio软件对作业进行梳理形成业务体系。

2、风险体系的构建

一般风险识别过程主要包括：收集数据、分析不确定性、确定风险事件、编制风险识别报告。做好风险识别工作需要根据具体的对象，采取具有针对性的识别方法和手段。传统的风险识别方法主要有：头脑风暴法、流程图法、核查表法、财务报表分析法。实际操作时，可将所有风险用表格进行分类整理。

3、风险控制体系的构建：

前面我们已经将企业基本面临的风险进行相应的分类整理。接下来的工作便是对相关的风险进行控制。为使控制活动落于实处，我们要在业务体系的一系列作业中寻找关键控制点，针对具体的作业提出具体的控制标准。风险的控制可采用实地调研采纳行业现有的成熟操做法、行业管控制度与公司内部制度分析法，也可以使用风险应对的基本方法，即：规避风险、接受风险、降低风险、分担风险。

4、信息流的构建

在《企业内部控制应用指引》第18号中已经包含了对企业内部信息系统的设计。企业信息流的设计即对企业管理经营活动中相互传递的各种介质的文件进行格式和相关内容的标准化。

基于技术论的内部控制构建方法主要有两大优点：

1、技术论下，企业内部控制构建方法（程序法）基于企业作业活动，便于实施。它能为管理者提供清晰的业务体系、风险体系、控制体系，便于管理者实现组织的目标。

2、程序法的内部控制构建方法应对风险时更加及时有效。风险控制体系在构建的过程中可采用程序标准、操作标准和时间标准三个方面来进行控制标准的设计，可促使组织中的

每个成员按照程序办事，按照标准操作，并在规定的时间内完成，保证关键作业的高效的完成，合理保证了组织目标的实现。 三、效果论下构建的内部控制体系

效果论是通过实地调研对企业现有的内部控制体系进行研究分析，发现该内部控制体系存在的漏洞并进行对其进行修正，从而构建出更加完善的内部控制体系。采用效果论构建内部控制体系和企业自身的特征更相符，可以为企业打造个性化的内部控制体系。我国财政部出台了《企业内部控制应用指引》，这样如何建设既符合自身个性化的内控体系，又在指引框架下的内控体系，是采取效果论需要面临的一个难题。

采用效果论，操作性强、见效快，针对企业现有的内部控制体系漏洞并进行完善减少了大量繁杂的工作，具有经济性，可为企业节约构建内部控制体系的成本。但是效果论的适用性较差，对于没有或者内部控制体系较为薄弱的企业很难应用效果论的方 四、结束语

在市场经济的环境下，企业构建的内部控制体系的作用是防范风险、有效监管，并不是应对上级监管部门的监管。构建符合企业自身情况的内部控制体系，强化企业内部控制，不仅提高企业管理效率和核心竞争力，促进企业可持续发展的关键途径，同时也是我国社会主义市场经济体制规范化发展与进一步完善的重要手段。面临日益激烈的市场环境，企业应当积极应对内外部的风险，借鉴本文提出的内部控制“新思路”，结合自身管理的实际情况，不断对自身的内部控制工作进行优化和完善，实现可持续发展。 参考文献：

【1】李心合.被神化的内部控制与被冷落的内部牵制[J].审计与经济研究，2013（3）：3 【2】唐芬.基于内部控制的工程项目审计的作用与实施[J].当代经济.2013（1）：104 【3】白华.论控制活动.会计研究.2012（10）

【4】姜波.企业内部控制的设计与执行.现代商业.2010（32） 【5】刘丹丹.试论如何加强企业内部控制.商业经济.2013（07） 【6】王为民.企业内部控制建设.会计之友.2012（23）

【7】宋文阁荣华旭.基于内控本质的内部控制有效性综合评价.华东经济评论.2013（3） 【8】南京大学会计与财务研究院课题组.探索内部控制制度的哲学基础.会计研究.2012（11） 【9】沈莹.构建企业内部控制系统的重要性.经济研究参考.2012（71）