基于免疫系統觀的內部控制要素解讀

河南大學會計研究所 汪 芳

基于免疫系統觀的內部控制要素解讀

河南大學會計研究所 汪 芳

企業的系統同人體一樣，也有免疫系統。如果企業的“免疫系統”健全并正常運轉，企業就不會出問題。很多企業為了能夠正常運轉，會建立一套風險控制機制，來降低影響企業運轉的一些負面因素的影響，而這套風險控制機制就是內部控制，也就是企業的“免疫系統”。企業要想正常運行，很大程度上取決于企業內部控制機制。從總體上透視企業生產的各個環節，充分了解內部控制的構成要素，從內部控制構成要素入手，分析企業在內部控制中存在的缺陷和薄弱環節，才能及時控制和提早預防各種錯誤和弊端，有效地實施無疑會促使企業生產管理登上一個新臺階，進而發揮內部控制的“免疫”功能。

一、內部控制要素基本框架

1992年，美國COSO（CommitteeofSponsoringOrganizationof TreadwayCommission）委員會就已經提出了內部控制整體框架理論，將內部控制理論發展為五要素論。這五個方面的組成要素是控制環境、風險評估、控制活動、信息與溝通、監督，這五大要素貫穿企業管理的整個流程，相輔相成，缺一不可。

（一）控制環境 控制環境是由管理層所定的基調、管理哲學與管理風格、授權方式、組織和培養員工的方式及董事會對執行內部控制的決心決定，是內部控制整體框架的基礎，支撐著整個內部控制框架，是整個控制框架的引擎，起著塑造組織控制文化、影響人員控制意識、奠定組織風格和組織結構等關鍵作用。對內部控制發揮此作用的環境要素包括人員操守、道德價值、能力素質，以及管理層的管理哲學、經營理念等。

（二）風險評估 面對不斷變化的環境，任何組織都面臨各種各樣的風險，必須對所面臨的風險進行有效了解和估定，建立可操作的發現、判別、分析、管理、控制風險的機制，即風險評估機制。建立風險評估機制的一個重要前提是，從整體上和各單個層面上制定與不同作業層次相關聯的目標，構成目標體系。風險評估就是分析和辨認實現所定目標可能發生的風險，風險評估機制實質上也是評估實現目標體系的各種不利因素的機制。

（三）控制活動 控制活動是幫助管理層確保管理方針得以貫徹的政策和程序。控制活動的目標是經過風險評估后確定的用以管理和控制風險所必須采取的各項行動能夠得到有效落實。控制活動由組織各部門依據不同目標要求實施，并貫穿組織過程始終，具體包括核準、授權、驗證、對賬以及對經營活動的審查、對資產的保護和不相容職務的分離等。

（四）信息與溝通 企業在其經營過程中，需按某種形式辨識、取得確切的信息，并進行溝通，以使員工能夠履行其責任。信息系統不僅處理企業內部所產生的信息，同時也處理與外部的事項、活動及環境等有關的信息。企業所有員工必須從最高管理層清楚地獲取承擔控制責任的信息，而且必須有向上級部門溝通重要信息的方法，并對外界顧客、供應商、政府主管機關和股東等做有效的溝通。

（五）監察 內部控制的過程必須施加以恰當的監督，必須不時地對內部控制運行質量進行評價。監督可分為持續性監督、獨立性評估，一般需要二者結合。持續性監督通常在經營過程中進行或體現為經營過程的延續，包括日常管理、例行監督和常規性事后監督等；獨立性評估的范圍和頻率取決于風險評估或持續性監督程序的有效性。監督應保持獨立性，監督發現的內部控制缺陷應直接向最高層報告。

二、免疫系統理論分析

機體免疫系統的作用機理一般是從發現病毒、風險預警到產生抗體直至最后產生免疫功能，及時應對各種風險的考驗。內部控制發揮“免疫系統”功能與作用的內在機理亦與機體免疫系統相似（如圖1所示），即發現問題、處理問題、完善機制以致增強免疫功能——抵御病毒，其作用機理是一個螺旋式上升的過程，即通過系統發揮監督職能、防御職能、自穩職能，不斷提升“免疫系統”的建設性和自適應性。根據“免疫系統”論，內部控制作用機理是一個識別問題、處理問題、完善機制、抵御病毒的螺旋式上升過程，這是對內部控制作用機理在新的環境和條件下的一種重新表述和理解，即“內部控制免疫職能觀”。

圖1

（一）識別：發現問題 機體免疫系統必須及時發現侵入機體的病毒和機體器官的重大缺陷一樣，內部控制如不能及時發現問題，其“免疫系統”的功能與作用便無從發揮。因此內部控制作為企業的“免疫系統”應當及時識別、揭示面臨的各種外部風險，提請有關部門采取相應對策。在發現問題之前，進行有效的預防措施也是一個很關鍵的因素。因為預防是內部控制的根本職能，預防意指防止、戒備，預防是內部控制為預防企業發生各種違反財經法紀及其他有關問題所具有的內在功能。預防是基礎，只有注重預防，才能防患于未然。在企業發生違法違紀等問題之前，采取各種措施予以防止，比問題發生后再去設法消除要好得多。著眼于并做好預防意味著企業的問題越來越少，管理越來越完善，經濟效益越來越高。

（二）清除和修補：處理問題和完善機制 依法處理問題是發揮內部控制作為“免疫系統”功能與作用的重要手段。對發現的問題要利用賦予的職權，進行及時處理，這是內部控制部門的重要職責。如同機體免疫系統要及時抵御和消滅入侵機體的病毒一樣，依法處理問題是直接發揮內部控制作為“免疫系統”的功能與作用的重要手段。對審計中發現的制度性缺陷和問題進行反饋，在揭露、查處問題的基礎上，加大企業整改力度。

（三）免疫：抵御病毒 抵御功能是免疫系統功能的重點。就是要通過對查出的問題進行深入分析產生的原因，研究提出解決問題的對策及建設性意見和建議。以便改革體制、健全法制、完善制度、規范機制、強化管理、防范風險、提高企業運行的質量和績效，并且在永不停息地抵御一時、一事單個“病害”的同時，促使其健全機能，改善機制。

三、免疫系統與內部控制要素的等效同一性解讀

內部控制五要素包括控制環境、風險評估、控制活動、信息與溝通、監督。控制環境是識別企業內外部環境中存在的可能對企業運作有影響的因素，可以歸結為“風險識別”；而控制活動、信息與溝通、監督的是對評估出來的風險進行應對，通過一系列的控制活動及信息的溝通等將企業的風險降低或者消除。因此，內部控制五要素可以概括為風險識別、風險評估和風險應對。

（一）風險識別 對風險的性質、風險發生可能性、發生的頻率做出合理評估是制定風險管理方針和決策的前提。重心前移，轉移到以風險評估為中心。從以前的事中和事后控制為主導，逐步的轉化為事前控制為主，這和“免疫系統”新理念中的發現問題的理念相一致，即發現問題的理念也強調了事前發現問題。兩者都著眼于在不利時間發生的初期，就可以敏銳地識別出來，以便于控制不利因素趨于不利方向發展，從而達到有效的控制作用。

（二）風險評估 識別了所有潛在的重大風險后，必須對其量值以及給定量值時不利事件發生的概率予以計量。有些事件就其潛在影響的量值而言是災害性的，但其發生的概率低；另外一些事件單獨的損失值小，但其發生的概率高，因而總體上可能是重要的。總之，風險是復雜的，風險評估也是復雜的。只有當風險評估出來，確定其是重要的，才需要揭示出來，引起重視，從而改變不利的事件發生的可能性。“免疫系統”理論所強調的揭示功能，同樣是指揭開、昭示，內部控制揭示是行為企業主體將企業中存在的有關行為、現象或信息予以查證并向相關方面反映或公開的內在功能。這點和風險評估的目的是相同的。

（三）風險應對 對于經過識別和評估的每一種潛在的重大風險，經過了風險和收益的平衡后，要采取具體的措施來應對風險，以便消除風險或者將風險降低到可以接送的水平。對查出的問題進行深入分析產生的原因，研究提出解決問題的對策及建設性意見和建議之后，使機體對這一類的問題產生免疫力，從而抵御病毒的滲入和危害。

總之，基于免疫系統觀重新解讀內部控制要素，審視兩者之間的聯系，可以看出兩者內在存在著等效統一性。而這對于認識內部控制要素提供了一個新的思路，能夠從不同的角度來解讀內部控制要素，對于我們研究和認識內部控制具有一定的指導作用。

［1］肖文八、于靜：《發揮免疫系統功能，拓展軍隊審計職能》，《審計研究》2009年第2期。

（編輯 向玉章）