企業內部控制評價體系的構建:理論與實踐

[摘 要] 內部控制評價體系是對內部控制執行有效性的檢驗，是對企業內部各組織機構內部控制執行過程的監控，是完善企業內部控制制度并保證其有效實施的重要手段。目前國內內部控制評價實踐多受限于審計實務。本文簡要介紹內部控制評價在國內外發展的情況，分析內部控制評價研究、實務的現狀和問題，探討基于業務流程和控制點建立的內部控制評價體系，并以存貨管理為例加以說明。最后，結合重慶移動公司的實踐經驗探討如何建立和完善內部控制評價體系。

[關鍵詞] 內部控制;評價體系;業務流程

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 16 . 021

[中圖分類號]F239.45 [文獻標識碼]A [文章編號]1673 - 0194(2010)16- 0053 - 06

0 引 言

近幾年，隨著一些國內大型企業走出國門和在國外上市，這些企業的一些管理問題表現得越來越突出，如何建立和健全公司治理結構、優化內部控制、促進企業資源的有效利用、避免舞弊和浪費，已成為當前全社會面臨的重大課題。安然、世通等一系列超大型企業陸續暴露出的財務丑聞和國內上市公司舞弊案的層出不窮，更使大家認識到，只有建立一套完整的監督和控制系統，才能徹底解決舞弊、腐敗和管理不當問題。另一方面，隨著市場化的日益深入，市場競爭越來越激烈，企業內外部環境都處于不斷的快速變化之中，這種變化給企業的經營管理帶來了巨大的風險。長期以來，中國的企業管理者普遍缺乏風險意識，忽視企業內部控制系統和風險管理機制的建設。最近一項關于中國企業的調研報告指出，中國企業目前呈現的健康狀態是一種“脆弱”的健康，因為，在它們體現的靈活性等健康特征背后，風險管理機制和專業治理架構的缺位將會使企業的健康難以持續。完善企業內部控制制度，保護投資者合法權益，將會有力地推動現代企業的科學化管理，從而使企業在日益激烈的市場競爭中長期健康地發展。

同時，內部控制制度也引起了學術界和政府部門的關注，在借鑒國外先進經驗、學術界的一些研究成果以及在政府主管部門頒布規章的引導下，國內許多企業正致力于加強自身的內部控制建設，以此作為提升企業管理水平和經營績效、建立現代企業制度的重要途徑。

1關于內部控制評價的研究

1.1 內部控制評價的演進

對于內部控制評價，較早的比較系統的研究來自于審計領域。1934年美國《證券交易法》首先提出“內部會計控制” 的概念，要求證券發行人應設計并維護一套能為投資人提供合理保證的會計信息的內部會計控制系統。1953年10月，美國審計程序委員會又發布了《審計程序公告第19號》，對內部控制作了如下劃分:“廣義地說，內部控制按其熱點可以劃分為會計控制和管理控制。①會計控制由組織計劃和所有保護資產、保護會計記錄可靠性或與此有關的方法和程序構成;會計控制包括授權與批準制度，記賬、編制財務報表、保管財務資產等職務的分離;財產的實物控制以及內部審計等控制。②管理控制由組織計劃和所有為提高經營效率、保證管理部門所制定的各項政策得到貫徹執行或與此直接有關的方法和程序構成。管理控制的方法和程序通常只與財務記錄發生間接的關系，包括統計分析、時動研究、經營報告、雇員培訓計劃和質量控制等”。1936年美國注冊會計師協會又發布《獨立注冊會計師對財務報告審查》文告，首次提出審計師在制定審計程序時，應考慮的一個重要因素是審查企業的內部牽制和控制。1939年10月美國注冊會計師協會的審計程序委員公布了《審計程序文告第1號》，在修改的標準化審計報告中首次增加了對內部控制審查的內容，以后又在多個文件與法令中多次明確了以內部控制為基礎的審計程序。自這一時期開始，賬表導向審計逐漸為制度基礎審計所取代，內部控制評價也隨之成為審計的組成部分和重要特征。但戴彥(2006)研究認為:“當時無論在審計文獻中還是在其他管理著作中，均沒有關于內部控制概念的權威性定義”。

直到1949年，美國注冊會計師協會的審計程序委員會在《內部控制、協調系統諸要素及其對管理部門和注冊會計師的重要性》報告中，對內部控制首次做出了權威定義:“內部控制是企業所制定的旨在保護企業資產、保證會計信息可靠性和準確性、提高經營效率及推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施”。這個定義強調“內部控制不只限于與會計和財務部門直接有關的控制，還包括預算控制、成本控制、定期報告經營情況、進行統計分析并將統計報告送交有關部門、制訂培訓計劃以培訓有關人員使其能夠履行職責，以及設立內部審計部門以保證管理部門所制定的各種程序的準確性，并保證其得到貫徹執行等內容。這一定義及其解釋的發布，當時被普遍認為是對內部控制這一重要概念的重大貢獻”。

1988年4月美國注冊會計師協會發布的《審計準則公告第55號》，規定從1990年1月起以該文告取代1972年發布的(審計準則公告第1號)。該文告首次以內部控制結構一詞取代原有的“內部控制”一詞，而且文告提出的內部控制內容比以前更為實在，條理更加清楚。該文告的頒布和實施可視為內部控制理論研究的一個新的突破性成果。1992年，美國COSO委員會發布報告《內部控制——整體框架》，報告構建了由3個目標和5項要素組成的內部控制新框架。該框架的發布和廣泛采用標志著內部控制開始在理論上和實務上走出審計范疇，而成為企業整個管理體系的有機組成部分，同時該框架也可為企業內部控制評價提供指導。在COSO框架的影響下，美國內部控制評審準則已對內部控制的定義做出修正。有關研究認為:“近年來，制度基礎審計的主導地位已開始讓位于風險導向審計，但內部控制評價仍是審計的核心環節，其技術方法依舊在審計體系內演進和發展。審計領域中，內部控制評價程序可作如下概括:通過對控制系統的了解和記錄，初步認定控制風險的高低;然后對擬依賴的全部或部分內部控制程序進行符合性測試，測試它們的有效程度;最后在符合性測試的基礎上，對控制風險進行再評估，從而確定實質性測試的范圍”。

2000年之后，在美國，安然、世通等一系列會計丑聞最終導致了《薩班斯—奧克斯利法案》(簡稱SOX法案)的出臺，其中103、302和404條款使得管理層內部控制評價、財務報告內部控制審計“一夜之間”成為監管機構、公眾公司、中介機構等關注的焦點。依法案成立的公眾公司會計監察委員會(PCAOB)于2004年6月頒布了審計準則第2號，以具體指導“與財務報告審計協同進行的對財務報告內部控制的審計”。該準則中，相關的執行和報告指引正基于COSO框架。總之，當前無論對于COSO框架，還是財務報告內部控制評價和審計，所關注的范圍早已超出了審計職業界。

1.2我國內部控制評價體系的發展

我國內部控制理論的研究是伴隨著我國的審計事業的發展而逐步發展起來的，起步比較晚，直到20世紀80年代，學術界才開始了這一領域的探索和研究。閻達五、楊有紅(2001)將內部控制框架與公司治理機制結合起來，認為內部控制外延的拓展是由公司治理機制變化所導致的。因此建議采取雙管齊下和分兩步走的戰略建立內部控制框架，認為首先要在組織機構設置和人員配置方面做到董事長和總經理分設、董事會和總經理班子分設，避免人員重疊;特別強調董事會在公司管理中的核心地位，認為董事會應該對公司內部控制的建立、完善和有效運行負責。朱榮恩(2002)研究認為，內部控制評審是現代審計的基礎，并從了解、測試和評價3個階段內部控制的過程做了原則性的闡述。同時，介紹了文字概述、編制系統流程圖、填制內部控制調查表3種常見的描述被審計單位內部控制的基本方法;從詢問、審閱證據、實地觀察、重復執行、計算機輔助審計技術等方面進行內部控制的測試;并將控制風險的評估與財務報表的認定聯系在一起進行了簡單的闡述。吳水澎(2000)運用COSO報告的標準與評價方法，引出改進我國企業內部控制的幾點思考:可從兩方面入手，其一是由權威部門制定內部控制的標準體系，其二是對企業內部控制的審計作出強制性的安排，做到兩者并舉。認為建立一套完備的內部控制標準體系，作為企業管理行為的規范標準，是達成內部控制目標的重要條件。建立內部控制標準體系有利于統一看法，更新觀念。應建立一套如COSO報告那樣內涵與外延統一、可操作性強的內部控制標準體系，并發布準則或提出指南，使企業管理當局或注冊會計師等有據可依、有章可循。潘秀麗(2001)認為，需要盡快制定內部控制評價規范，以便改善企業內部控制現狀，完善內部控制信息的披露，保護投資者的合法權益，使資本市場有效運行，有效地對內部控制進行評價。為改善企業內部控制普遍薄弱的現狀，應在規范公司治理結構的同時規范公司的內部控制，并明確管理當局對企業內部控制應承擔的責任，使其真正意識到內部控制的重要性，而不是僅僅為了達到上市籌集資金或維持上市資格所做的一種形式上的包裝，將內部控制相關規范的制定作為完善公司治理及國有企業改革的重大舉措，對內部控制的定位非常關鍵。此外還有田志剛 等(2003)、劉志遠 等(2001)探討現代管理信息系統內部控制的特征及其功能實現;楊雄勝(2005)、張硯(2005)強調立足于管理控制口徑開展內部控制研究，等等。

各政府主管部門也在積極推動企業內部控制建設。證監會在2000年11月發布《公開發行證券公司信息披露編報規則》，要求公開發行證券的商業銀行、保險公司、證券公司建立健全內控制度，其招股說明書正文應專設一部分說明內控制度的完整性、合理性和有效性，并在2001年1月發布《證券公司內部控制指引》，內容包括環境控制、業務控制、資金管理控制、會計系統控制、電子信息系統控制、內部稽核控制等。財政部從2001年6月開始至今，相繼頒布了《內部會計控制規范——基本規范》、《內部會計控制規范——貨幣資金》、《內部會計控制規范——銷售與收款》、《內部會計控制規范——工程項目》等近10份規范性文件，以指導企業制定適合業務特點和管理要求的內控制度。

2 我國內部控制評價體系存在的問題

雖然我國對內部控制的研究較晚，但從相關文獻回顧中可以看出，我國理論界對內部控制很重視，既吸收了COSO報告的先進經驗，又植根于我國的國情，開始站在企業的角度而非制度審計的角度，并將內部控制與公司治理聯系起來，認為內部控制框架與公司治理的關系是內部管理監控系統與制度環境的關系。但是我們也應清楚地認識到，在內部控制已開始走出審計范疇的今天，無論是國外還是國內內部控制評價仍然主要局限于審計實務，雖然現代審計也在不斷發展，但是其審計目標始終沒有改變。審計范疇下發展起來的內部控制評價對于企業“加強內部控制建設，提高自身管理水平”存在如下局限:

2.1審計范疇內部控制評價的范圍較為狹窄

縱然劃分會計控制和管理控制已成為內部控制發展中的過去式，但審計中內部控制評價卻無疑更加青睞會計控制，這一點其實無可厚非。雖然COSO框架已明確“營運的效果和效益、財務報告的可靠性和相關法令的遵循”三大目標，但審計范疇的內部控制評價最終要服務于審計目標和審計風險控制，這其中必然主要關注影響“財務報告可靠性”的內部控制程序和方法，這種范圍狹窄性會大大阻礙內部控制評價對內部控制“三大目標”達成狀況的全面評估。

2.2審計范疇內部控制評價過為“細致”

內部控制評價應是企業全體員工共同參與的管理工作，但管理要分層次，或許每一位基層員工尚可以在其工作范圍內詳細評價內部控制的過程和結果，而企業的管理人員，特別是高層管理人員卻必須提綱挈領，及時、全面地了解所分管業務甚至企業整體的內部控制水平，這種評估要以正式的或非正式的方式經常進行，源于審計的內部控制評價難以滿足這種要求。

2.3審計范疇內部控制評價缺乏綜合性

這對于母子公司的內部控制評價尤為重要。綜合性要求對各項指標的評價結果實施量化，最終通過加權形成一個具體分值，便于在各個機構之間進行比較，從而形成一種管理標桿。當然，在進行內部控制評價時，每一項指標都應設立標準值，從而自身就可作為一種“標準標桿”，這一標桿在沒有其他機構與之比較的情況下可發揮同樣的作用。管理實踐證明，綜合量化評價的效果是僅僅逐一列舉“評價缺陷項”所無法比擬的，而后者恰恰是審計范疇內部控制評價的特征之一。

3 重慶移動內部控制評價體系的構建

3.1重慶移動公司背景簡介

中國移動集團是2000年4月20日成立的國有重要骨干企業，注冊資本為518億元人民幣，現資產規模超過5 000億元。目前，中國移動集團擁有全球第一的網絡規模和客戶規模，連續6年入選《財富》雜志世界500強，最新排名第202位，是北京2008年奧運會合作伙伴。品牌價值居全球第5名。

中國移動集團主要經營移動話音、數據、IP電話和多媒體業務，并具有計算機互聯網國際聯網單位經營權和國際出入口局業務經營權。除提供基本話音業務外，還提供傳真、數據、IP電話等多種增值業務，擁有“全球通”、“神州行”、“動感地帶”等著名服務品牌，服務網號為“139， 138， 137， 136， 135， 1340”等。

重慶移動公司是中國移動集團在重慶的子公司。所屬縣級分公司36家及數據業務部和集團客戶中心各一個。公司以客戶為導向，其主要業務不僅能極大地滿足客戶對話音業務的需求，還為不同層次的客戶提供如短信息、信息點播、手機銀行、手機博彩、GPRS、彩信、彩鈴等多樣化的移動數據業務。同時，其龐大的通信網絡已覆蓋巴渝都市發達經濟區、渝西經濟走廊和長江三峽生態經濟區，覆蓋高速公路、國道、長江水道、鐵路交通干線及農村鄉鎮，基本實現了全市網絡的立體覆蓋，與187個國家和地區的238個運營公司開通了GSM國際漫游業務等。

3.2內部控制評價體系構建過程

為了實現對內部控制制度本身及其執行狀況的動態優化和實時監督，公司于2002年6月開始嘗試針對縣級分公司建立內部控制評價體系。整個過程是在集團總公司指導下，由各分公司及各部門共同參與完成的。評價體系的構建緊緊圍繞“業務流程” 以及預算管理、資金管理、業務營銷、固定資產管理和存貨管理五大類“關鍵業務”展開，具體包括以下6個步驟(以存貨管理為例進行說明):

(1)構建業務控制目標體系。確定各類業務控制總目標，并對其進行分解，直到可直接操作的控制子目標(見圖1)。

(2)流程分析和風險評估。繪制業務流程圖，合理劃分業務環節，將分解得到的控制子目標對應到各環節，在此基礎上評估各環節可能存在的現實和潛在風險(見圖2和表1)。

(3)控制點設計的選擇。按照崗位牽制(包括部門內崗位分離、部門間崗位分離、輪崗)、授權批準、信息溝通、檢查監督、記錄和相關考核等類型，針對各業務流程及環節設計控制點(見表1)。

(5)權重設定。依據德爾菲法、層次分析法等方法，確定各控制點的權重以及各子流程中各個控制點的權重，從而形成由單個控制點得分計算子流程得分，再由子流程得分計算整個業務流程整體得分的綜合量化評分體系。

(6)現場測試和制度設計。就整個內部控制評價體系，抽取若干家子公司進行現場測試，根據測試結果評估并修正評價體系，最終制定《重慶移動公司內部控制評價制度》、《內部控制評價操作指南》以貫徹實施內部控制評價工作。

3.3 評價系統的實施

目前，設計完成的內部控制評價體系已開始在公司各部門、分公司內推廣。一方面公司審計部依據其綜合評價各分公司的內部控制水平，另一方面各分公司在公司和部門內部按照該體系開展自我評估，對照各項指標的標準進行逐項改善，兩方面的評價結果均納入子公司和部門考核范圍。公司下屬各分公司的內部控制水平在評價和改進的過程中得到了明顯改善。

4 啟 示

4.1正確界定內部控制評價的目標

從中西方內控評價的發展史中我們可以看出，原有的內控評價目標大都從審計角度出發，考核企業所制定和執行的內控制度能否達到可靠性、合法合規性、經營效率和效果。而在具體執行中，其側重點更是關注于可靠性和合法合規性，至于經營效率和效果在內控評價中受到的關注程度歷來較少。隨著國內外各界對內部控制的理解和要求，逐漸意識到構建內部控制體系的目標，不但要滿足監管部門對于信息提供和披露方面的需求，更重要的是，內控制度要有助于企業戰略目標以及企業經營的效果和效率的實現。應該說，內控制度的立足點之一是要通過制度化規范標準的構建，來規范企業員工的行為，加強行為理性，提高企業的經濟效益。由此立論，內部控制評價的目標應該是從內部控制的目標出發，來對內部控制的設計和執行進行評價，考核內部控制所規定的目標實現與否。在具體界定內部控制評價目標時，不同的評價主體可能對內部控制評價的目標界定也不同，如監管部門推動實施的內控評價，其目標可能更多地關注內控制度所達到的報告目標和合規目標;而企業自身進行的內控評價，其目標就不應局限于報告目標和合規目標，還應該包括內控對企業戰略目標和經營目標實現的作用程度。

4.2內控評價體系應選取科學合理的標準

制定內部控制評價標準是進行內部控制評價的依據和前提。缺乏科學合理的評價標準而進行的內部控制評價，其結果可能無法真實反映企業內部控制的健全和有效與否。在對內部控制進行評價時，首先必須確定的是采用何種評價標準對內控整體乃至具體的內控項目進行評價。

目前我國內部控制評價的實務中，管理層建立健全有效的內部控制，一般是參照財政部發布的《內部會計控制規范——基本規范(試行)》進行的，內容主要是以單位的內部控制為主，同時兼顧與會計有關的控制。美國等發達國家在相關法律條款和實務中都對在內部控制評價的早期確定科學的評級標準提出了要求，如應采用COSO報告提出的內部控制完整框架的公認標準，作為財務報告內部控制有效性評價的標準。

由于缺乏一套完整的內部控制體系，造成內部控制有效性評價流于形式，沒有和財務報告審計中的內部控制評價明顯區分開來。本文認為投入一定的人力、物力、財力，盡快建立一套完整的、公認的內部控制標準，使內部控制評價有章可循是相當必要的。

4.3強化對行為的規范和引導

合理的組織行為是組織目標實現的基礎。從表面上看，內部控制評價是對內部控制制度的有效性、完整性及執行狀況進行檢查，但就實質而言是評估合理的控制行為是否被允許，允許的控制行為是否真實發生。內部控制制度本身提供了對控制行為的規范，但由于以下原因使得對行為的引導作用受到局限:

(1)內部控制系統內容復雜、邊界相對模糊，使得一個完善制度的制定較其他制度困難得多，而企業內外環境的變化又會不斷提出新的要求。

(2)企業在發展過程中會形成各種類型的管理制度，其中必然包含相關控制規定，出于制定成本和操作便利的考慮，或許并不需要獨立的內部控制制度，使控制行為失去明確的指導。

(3)從紙張上的規定到員工的有效行動無法實現自動轉換，需要通過機制設定來加以保證。內部控制評價是應對上述局限的有效途經，通過為控制行為設定具體的標準、選擇適當的評價方法并嚴格執行，可以實現對行為的有效規范和引導。在案例中，針對每一個評價指標不僅明確了評價對象和意義，而且列出各可能評價結果并賦予分值以表示這些行為的有效程度，這就直接為控制行為的選擇和改進提供了“標桿”指導。

(4)在公司《內部控制評價制度》中規定，應采用外部評價和自我評價相結合的評價方式。外部評價具有強制力、效率較高，對于重大問題很具敏感性，但評價者因為時間和精力限制容易忽略一些較隱蔽的問題。自我評價是自發進行的，評價深度和范圍由自己控制，便于引發對工作的反思，全面梳理存在的問題，實現主動的改進，但它也存在隱藏自身缺陷的可能。將外部評價和自我評價結合運用，既可以實現必要的壓力和主動性的有效結合，又能提高評價的全面性和質量，更重要的是能夠引導被評價者選擇和實施符合企業目標的控制行為。

4.4全員參與內部控制評價過程

全員參與是近些年各類管理實踐都普遍強調的要點之一，它對于增強員工主動性、塑造優秀企業文化、提高經營管理效益等都有著積極的意義。在內部控制評價體系構建與實施過程中強調全員參與同樣具有豐富的內涵。作為評價對象的內部控制系統包含多重目標，涉及企業多個層面和各項業務，可以說每一項作業和每一個員工都是控制的對象，僅僅依靠個別部門實施評價工作顯然是力所不逮的。與此同時，隨著生產技術、信息技術和組織結構的不斷演化，知識和信息在組織中呈現向一線集中的趨勢，這使得控制和評價的難度都在加大。唯一的選擇就是轉換思路，更高層次的“自控制” 或許代表了內部控制發展的趨勢，而讓更多的員工參與“以其自身為控制對象” 的評價過程將引領內部控制評價未來的發展，由審計領域發展起來的以“研討會”方式為特征的內部控制自我評估(Control Self-Assessment，CSA)在此方面已積累了豐富的經驗。員工參與的方式包括參與評價體系的構建過程以及運用內控評價體系實施自我評估。通過員工的廣泛參與，一方面可以對企業和業務層面的各類風險進行更透徹的分析和評估，并進一步對控制政策和程序的完善性實施有效評價;另一方面可以增強員工的風險管理和內部控制意識，此種意識在原先僅處于被控制地位時是很難自覺形成的。在案例中，內部控制評價體系的構建過程更多具有“外加” 的性質，但是在審計部門指導下公司各業務部門的參與以及在縣分公司的廣泛調研和征求意見部分彌補了其中的不足，而實施中對自我評價的強調則充分反映了“全員參與” 的思想。通過此過程，該公司員工對內部控制的認識和積極性確實獲得顯著的提高。

主要參考文獻

[1]戴彥.企業內部控制評價體系的構建——基于A省電網公司的案例研究[J].會計研究，2006(2):69-76.

[2]朱榮恩.內部控制評價[M].北京:中國時代經濟出版社，2002.

[3]楊有紅.企業內部控制框架:構建與運行[M].杭州:浙江人民出版社，2001.

[4]閻達五，宋建波.雙元控制主體框架下現代企業會計控制的新思考[J].會計研究，2000(3):2-6.

[5]閻達五，楊有紅.內部控制的框架構建[J].會計研究，2001(2):9-14.

[6]劉志遠，劉潔.信息技術條件下的企業內部控制[J].會計研究，2001(12):32-36.

[7]田志剛，劉秋生.現代管理型會計信息系統的內部控制研究[J].會計研究，2003(8):15-18.

[8]朱榮恩，應唯，袁敏.美國財務報告內部控制評價的發展及對我國的啟示[J].會計研究，2003(8):48-53.

[9]朱榮恩，應唯，袁敏.企業內部控制制度設計——理論與實踐[M].上海:上海財經大學出版社，2005.

[10]劉亞莉，楊興全.財務報告內部控制:提高資本市場信息質量的新理念——兼析財務報告內部控制與內部會計控制的差異[J].審計研究，2004(2):75-77.

[11]程新生.公司治理、內部控制、組織結構互動關系研究[J].會計研究，2004(4):14-18.

[12]楊雄勝.內部控制理論研究新視野[J].會計研究，2005(7):49-54.

[13][美]史蒂文·J·魯特(Steven J Root).超越COSO——加強公司治理的內部控制[M].北京:清華大學出版社，2004.

[14]潘秀麗.對內部控制若干問題的研究[J].會計研究，2001(6):22-25.

[15]陳穎.內部控制相關問題研究[D].北京:首都經濟貿易大學，2004.

[16]于增彪，麻蔚冰，王競達.亞新科公司內控評價體系的構建[J].新理財，2006(10):24-37.

[17]吳水澎，陳漢文.論改進我國企業內部控制:由“亞細亞”失敗引發的思考[J].會計研究，2000(9):43-48.

[18]吳璇，張硯.業務流程的自我控制與內部控制理論發展[J].現代管理學，2005(5):93-94.