内部控制概述

　　2 内部控制概述

　　2.1 内部控制的涵义和意义。

　　2.1.1 内部控制的涵义。

　　首先将内部控制纳入企业管理的领域是发达国家的注册会计师行业。而对于内部控制的具体定义和内涵，也没有一个统一或权威的说法。在不同的社会发展环境和发展时期，对于不同的领域和行业，对于内部控制的理解都不尽行同。部分人认为内部控制就是财会管理控制，部分人认为内部控制就是企业对于企业内部运转制定的规章制度和条例，但是这些说法都不全面，不能完整的体现内部控制的具体内涵[9].

　　21 世纪初，COSO 委员会发布了《COSO Enterprise Risk Management Frame》（COSO企业风险管理框架），在该风险管理框架中提出了企业应当在内部控制中将风险管理作为重要内容进行考虑，该风险体系还对以往的内部管理知识体系进行了补充和完善，将内部控制管理的目标由三个升至四个，将框架的 5 个基本要素升至 8 个，本次扩充的重要变化就是将风险管理纳入至企业的内部控制中来[10].该框架的发布是内部控制理论研究的一个转折点和里程碑。在该框架内，将风险管理描述为企业的管理者，所有权者、董事会和员工进行影响的具体进程，将风险管理具体应用至企业战略目标的实施中来，涉及到生产管理的各个环节。风险管理的最终目的就是及时发现可能影响企业运行管理的内容，在风险控制的范畴内进行风险管理，为确保组织和具有收益关系的股权人等利益方的具体权益[11].

　　虽然，在不同时期和不同领域内，时代赋予了内部控制不同的内涵，但是其基本目的大致一致。内部控制是受企业董事会、管理者和相关员工的影响，对企业的运营过程和效果，财务和企业报告的准确性和合规性等进行企业自身内部的自我检查和策略调整的企业内部运行改善活动，进而为企业提高市场竞争力和提升企业能力提供保障。简单来说，内部控制就是防范企业出现内部运作风险的一系列规章制度，是企业内部业务活动过程中人人都必须遵守的一种降低风险，保障运行的企业运作机制[12].

　　正确理解内部控制的具体内涵，可以从以下几个方面出发：

　　（1）内部控制是对于不同角色人员的权利义务控制活动。不能将内部控制看作一堆简单的文件、规章和条例，内部控制是由分等级权利授权、业务稽核等活动组成的提升企业运行效率的内部运作保障机制[13].

　　（2）内部控制涉及的环节多，每个环节的缺失都会导致整个内控体系的失败。内控涉及到企业运行管理的所有角色、所有业务流程环节和工作的方方面面，有企业内的所有员工共同遵守并进行落实[14].

　　（3）内部控制可以为企业实现基本目标提供保障。当然这里的基本目标有一定的局限性，具体指企业的战略目标实现、企业经营效果的实现、财会和运营分析等报告的准确性和合规性[15].

　　（4）内部控制提供的仅仅是基本的、合理的保障。内部控制提供的是一种合理的保障，而不是绝对保障，由于存在权责不清、串通舞弊、规范修订不及时、非人为事件和人为失误等多种不确定因素限制，不能确保绝对风险的控制。因此对于内部控制的正确认识极为重要，内部控制并不是神丹妙药，在企业的运行管理中，他只是起到重要的辅助作用，但绝对不能将其理解为万能钥匙，认为企业只要高质量进行内控管理就可高枕无忧的思想绝对不可取[16].

　　2.1.2 建立内部控制的意义。

　　如上面所述，内部控制为企业的高效运行虽然仅仅提供了合理的保障和支持，但是其低于企业高效管理的作用也是极其重大的。内部控制不仅可以保障企业运行满足可靠性和合规性的要求，还可以用于进行风险管理，做到风险预测、风险识别、风险控制等，对改善企业的运营水平、提高企业的运营效率和提升企业的收益有着重要的推动作用[17].

　　许多知名企业的破产（例如欧美的帕玛拉特和中国的蓝田股等）虽然有着不同的运营困境和难处，但是他们都有着一个相同的特质，就是对内部控制管理制度的重视不足，没有制定完善的内部控制制度或制度落实不到位，是最终导致破产的不可忽视的重要因素，这也从侧面上证实了内部控制制度对于企业平稳高效运行的重要意义。

　　随着我国社会国民经济的快速发展，GDP 增速始终保持在较高水平，许多企业在市场竞争的环境中拓展的业务种类繁多、流程制定善变和管理设计目光短浅等诸多问题普遍存在。因此，在我国的国有企业中广泛推广和落实企业内部控制管理制度有着重要的实用价值。

　　2.2 内部控制规范简介。

　　2.2.1 国外内部控制规范。

　　（1）内部控制管理框架理论。目前全球主流的内部控制标准系由美国 COSO 委员会制定并发布。1987 年，美国全国反虚假财务报告委员会的下属单位组建了 COSO 委员会，该委员成立的宗旨就是推动倡导建立完善的内控指控管理体系。在 1992 年，COSO委员会发布了第一版《企业内部控制管理框架》理论体系，之后，结合《塞班斯法案》的具体条款和规定，COSO 委员会在第一版的基础上做出了拓展，该框架广泛应用于美国的证券交易领域，是推荐使用的内部控制标准框架[18].

　　20 世纪 90 年代制定的 COSO 内部控制管理框架的构成要素和主要设计目标。

　　COSO 内部控制管理框架的设计目的在于以下几个：

　　① 经营目标。经营目标就是企业运行达到的效果，这里可以包含企业的利润收入目标、业绩目标和资产使用效率等。

　　② 财务报告目标。财务报告目标就是要求企业的财务统计和公告必须保证高度的真实性、可靠性，这里的财务报告包括简报、中期报告等，要求财务数据高度真实和可靠。

　　③ 合规性目标。就是企业的经营和业务活动必须符合国家制度的行业法律法规，实现企业营运的合法性[19].

　　（2）COSO 企业风险管理框架理论。进入 21 世纪后，美国发布了《塞班斯法案》，该法案是为了提升企业信息安全性，美国证券市场颁布实施了针对上市公司财务和公司治理的法案，配合该法案的提出，COSO 委员会在 2003 年发出了对于《企业风险管理框架》的意见征集稿，目的在于完善企业内部控制管理的整体框架，在 2004 年，COSO 委员会正式发布了关于《企业风险管理框架》的正式稿，与上一稿相比，本次的终稿更加重视对于风险的管理和运用，是内部控制管理的纲领性文件，将风险管理从导向的企业内部控制管理制度纳入到人们的视野中。本次发布的理论框架中理论目标由三个扩展至四个，重要组成要素由原先的五个扩展至八个。

　　与 COSO 提出的第一版的内部控制理论框架相比，企业目标得到了相应的扩展，增加了战略，并将财务报告更改为报告，其主要区别在于下面几个方面：

　　① 对于"财务报告"这个目标进行了扩展直接至"报告",该内容的扩大化表明企业内部控制由内部控制框架中的财务指标扩展到了企业风险管理框架中的企业对外和对内公布的所有报告的可靠性转变，这些报告既包含企业对内发布的企业经营报告也包含对外发布的关联报告，报告的内部不仅仅涵盖了财会数据和概况，也包括和企业有关的非财务信息。

　　② 增加了企业战略目标。企业的战略目标的长远实现必须通过企业的所有业务经营活动进行支撑才能得到更好的实现，因此在进行企业内部管理控制的过程中须保证框架理论体系的其他目标与之相一致[21].

　　COSO 委员会提出的《企业风险管理框架》主要包含 8 个要素，下面进行具体阐述：

　　① 内部环境。在该理论框架下，该要素为企业工作人员提供了必要的对待风险和应对风险的条件和基础。

　　② 目标制定。企业的决策者和管理层应当对于企业的管理有着相当的经验了解，正确定制企业的发展营运目标。目标的制定应当全面考虑企业所处的经营环境，保证企业能够得到长远的发展，目标制定的流程应当合理和规范，对目标的选取和可能面对的风险应当做好充足的准备。

　　③ 事件识别。事件识别就是企业对于可能出现的影响其社会声誉或正常运营的潜在可发生的事件有着敏锐的嗅觉。该要素应该包含：能够准确发掘影响企业发展的内部或外部潜在事件，正确区分事件可能带来的正面或负面的影响，为企业的管理者提供真是、可靠的参考依据。

　　④ 风险评估。该要素内容具体指企业的管理层应当及时的发现企业潜在应对的风险，并迅速做出分析，为企业的管理发出提醒和警示。在风险评估中，应当全面分析风险发生的几率和可能，并进一步对必然风险和可能风险做出明确的区分。

　　⑤ 风险应对。在企业战略的长远目标的指引下，企业的管理层应当对自身行业的风险偏好做好应对方式管理，就可能面对的风险做出风险规避、降低风险、分担风险和承受风险等多种决策和管理。

　　⑥ 控制措施。该要素是针对风险应对提出的，具体指通过建立完善的制度和流程，保障风险应对的各种预案在风险发生时能够得到更好的贯彻和执行。

　　⑦ 信息和沟通。该要素具体指企业风险的相关信息，在规定的时间、周期内，能够传达到相关的工作人员处，管理人员进行充分的沟通后，使得企业的内部控制措施更好的进行执行和实施。

　　⑧ 监督。是指系统对于整个理论体系运行的生命周期的所有环节行进跟踪，保障整理系统工作流程能力合理、流畅的进行[22].

　　通过上面对于《企业风险管理框架》的四个目标和八个要素涵义的具体解释，我们可以看到，该框架的提出是基于内部控制框架进行拓展的，其使用的范围较之更广和更深入，主要应对的是企业潜在的风险[23].COSO 委员会提出的《企业风险管理框架》重点突出了在企业上上下下进行风险管理的重要性，与内部控制框架相比，其提出在企业制定发展战略的时候就应当考虑进行风险管理设计和规划，应当从企业发展的顶端，从企业整体的角度出发来应对风险[24].总言之，企业风险管理框架理论体系所关注的，不仅仅是企业内部控制管理问题，其包含的内容已经远远超出了内部控制的范畴，进而向企业管理进行具体分析。

　　根据以上对于历史研究的分析，我们可以得到一个简单的结论：企业风险管理框架是内部控制管理框架的扩展和进步，但从根本上无法代替后者，最可能的发展方向是两者融为一体[26].本文研究的是我国电力企业的内部控制管理体系，其是建立在 COSO 内部控制管理框架体系的基础上的，因此本文采用的理论基础为三个目的、四个要素的内容上的。

　　2.2.2 国内内部控制规范。

　　建议完善各自的风险管理体系建设，为企业的健壮发展提供必要的方式方法。由于内部控制的研究起步较晚，除了借鉴和继承国外已有的理论外，还根据我国企业发展的道路进行分析和总结得以建立。本节中主要介绍我国对于内部控制进行规范的两个纲领性文件。

　　（1）《企业内部控制基本规范》。2008 年 6 月，我国财政部等五个部委发布了该规范，强制我国境内的上市公司在 2009 年初，在企业范围内进行全面实施内部控制，并推荐在企业大中型企业广泛推广[29].在该规范中，清晰的明确了内部控制的主要构成要素、基本原则和总体要求，详细叙述了内部控制的组成内容，为企业进行内部控制提供了重要的参考和指导。《企业内部控制基本规范》设计了包含资金、关联交易和内部审计在内的 26 项重要事项，大体都以财会控制为中心。

　　（2）《中央企业全面风险管理指引》。2006 年 6 月，由国资委单独发布了风险管理指引，该指引针对的企业主要是央企，针对央企可能面对的风险控制进行指导。该指引从企业的战略目标实现为切入点，展开了对企业风险管理的阐述，强调在企业的生产经营过程中展开风险管理的重要性，该指引提出企业应当重视风险管理文化在企业文化氛围中的建设，为完善和全面实施企业风险管理制度提供必要的文化环境[31].

　　在当今世界经济发展日新月异的发展变革下，企业的发展面临的挑战和机遇转瞬即逝，经济业务种类也会根据客户的需求不断变化，内部控制的设计和调整应当充分考虑面对的机遇和挑战，善于把握时机，对于环境变化应当具有高度的适应性和可抗性。