内部控制框架的构建

　　[摘要]内部控制的嬗变告诉我们:保证会计信息的真实性是内部控制发展的主线，会计控制是企业内部控制的核心，内部控制目标随公司治理机制的完善呈多元化趋势。内部控制框架与公司治理机制的关系走内部管理监控系统与制度环境的关系。内部控制框架在公司制度安排中担任内部管理监控的角色成为公司管理中不可缺少的部分。在内部控制框架的构建中，应采取双管齐下和分步走的战略。内部控制框架构建中应抓住的关键问题是，健全管理机构，厘清管理权责；确立董事会在内部控制框架构建中的核心地位；内部审计机构设置与科学定位；强化预算管理;建立具有操作性的道德规范与行为准则。 

　　[关键词] 内都控制  框架  构建 

　　建立和完善公司内部控制制度是当前国企改革的重头戏，国内各界人士都在深入思考和偿试着实践这一重大改革措施，但是到目前为止，人们对内部控制的认识还远未取得共识，尽管政府有关部门正在制定相应的规则，我们认为有些重大的问题还有深入讨论的必要，本文拟就此发表一些看法。 

　　一、内部控制理论的嬗变及其对我们的启示
 
　　如何认识内部控制及其与会计控制(含财务控制)的关系，它的游戏规则应由谁来制定，这是我们研究内部控制框架首先应当弄清楚的问题。我们认为，解决这个问题先要分析一下西方发达国家的情况。据我们所知，内部控制的思想产生于18世纪产业革命以后，它是企业大规模化和资本大众化的结果。到20世纪初，随着股份公司规模日益扩大，所有权与经营权进一步分离，实践中逐步出现了一些组织、调节、制约和监督生产经营活动的方法，为了纠错查弊，有些企业建立了简单的内部控制制度。最早涉及内部控制的职业文献是1929年美国注册会计师协会和联邦储备委员会(RB)修订发布的《会计报表的验证》，而最早定义内部控制的是1936年发布的《独立公共会计师对会计报表的审查》，该文件将内部控制定义为“为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法。”1949年美国注册会计师协会将内部控制定义为：“所谓内部控制即是企业为了保证财产的安全完整，检查会计资料的准确性和可靠性，提高企业的经营效率以及促进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”50年代以后，世界市场竞争的加剧，促使内部控制扩大到企业内部各个领域，其内容也愈加丰富。1963年美国审计程序委员会在其发布的"审计程序第23号文件中，对内部控制的定义作了进一步的说明，并首次将内部控制划分为内部会计控制和内部管理控制。美国管理会计师协会1994年《内部控制结构》将内部控制定义为：“内部控制是这样一个整体系统，由管理者建立的、旨在以一种有序的和有效的方式进行公司的业务，确保其与管理政策和规章的一致，保护资产，尽量确保记录的完整性和正确性。”
 
　　COSO委员会1992年提出并于1994年修改的《内部控制——整体框架》中对内部控制作了如下的描述：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。对内部控制发展进程的简单回顾，我们不难看出： 

　　1． 保证资产安全和会计信息真实是内部控制发展的主线
 
  　内部控制理论在两个世纪中得到不断丰富和发展，经历了由简单到复杂、由不完整到完整的过程，进入80年代以来，企业中逐渐形成了一套以相互制约、相互牵制和相互协调为指导思想的内部控制制度。从内部控制理论的发展进程看，内部控制与会计有着天然的血缘关系。早期的内部控制思想是以账簿之间的核对、账簿记录与财产的一致性以及会计报表数据可靠性为其核心内容。“会计系统建立在内部控制程序基础之上从而保证会计数据的可靠性。另一方面，内部控制程序利用会计数据保证资产的安全、监督各部分的业务。”内部控制制度被运用于审计也是出于保证会计信息真实性之目的。企业规模的扩大和企业结构的复杂迫使注册会计师寻找既保证审计质量又降低审计成本的办法，在这个过程中，注册会计师认识到了抽样审计可以与内部控制制度结合起来，从而使审计方式逐渐演进成以评审内部控制制度为着入点，审计也从传统的审计阶段进入到现代审计阶段。在美国，“对内部控制系统的有效性作出报告尽管并不是强制性的，但是，上市公司的管理部门有时也对此作出报告。这样作的目的在于增强其企业报告(特别是财务报告)的可信度，并且公开解释会计责任的履行情况。”内部控制管理报告到目前虽无统一的格式和内容，但以下内容是必须包括其中的:内部控制机制的构成;内部审计、独立审计以及审计委员会的角色;独特的内部控制程序。 

    2．内部控制目标呈多元化趋势 

　　从内部控制的目标和内容的演进进程看，现代企业制度下的内部控制已不是传统的查弊和纠错，而是涉及到企业的各个方面，成为公司控制权结构的具体体现，此点与企业组织形式的演化及治理机构的发展相一致。在独资企业中，不存在现代意义上的内部控制制度，只有为保护业主资产安全面设置的内部牵制措施。在合伙制企业，虽然剩余索取权和控制权也是合一的，有限责任公司和股份有限公司从理论上讲也可以做到剩余索取权和控制权的统一，但这里的“一”指的是由若干名合伙人或股东构成的整体而非个人，因而存在着共有产权问题。公司制企业出现后，剩余索取权与控制权在一定程度上产生了分离，随之产生了代理问题和搭便车现象，内部控制由此而生，但其职能仅表现为保护资产和查弊纠错。十九世纪末至二十世纪三十年代，美国经历了二次兼并浪潮。通过兼并，公司规模不断扩大，股权进一步分散，所有权与经营权高度分离以及管理阶层的形成，公司治理结构提上人们的议事日程。在现代公司制下，以保护资产和查弊纠错为内容的内部控制显然不能满足需要，以更新内部控制结构为主体的内部控制机制应运而生，这种内部控制制度，其职责不仅包括保证财产的安全完整，检查会计资料的准确、可靠，还将促进企业贯彻经营方针以及提高经营效率纳入其中。这是公司治理结构对内部控制提出的要求。关于内部控制结构的目标及内容构成，美国注册会计师DavidM·Willis和SusanS·Ligh此两位博士最近在《内部控制管理报告》中进行了实证研究，从中不难看出内部控制结构的最新发展。他们对General Electric等78家公司进行了调查，结果如下表所示：

 
　　内部控制的目标及内容构成　　　　　　　　　　比例 
　　目标 验证财务报告的可靠性 　　　　　　　　　87% 
　　保护资产安全　　　　　　　　　　　　　　　　81% 
　　促使业务运营与管理政策的一致性　　　　　　　54% 
　　提升道德品行　　　　　　　　　　　　　　　　51% 
　　内容构成 内部审计 　　　　　　　　　　　　　78% 
　　政策及程序维护　　　　　　　　　　　　　　　63% 
　　可靠员工的选拔与培养　　　　　　　　　　　　43% 
　　职责分离　　　　　　　　　　　　　　　　　　42% 
　　道德规范与行为准则　　　　　　　　　　　　　48% 

　　上述调查结果显示:作为公司治理中控制权合约安排的内部控制无论在目标上还是在内容构成上都远远超出了传统的内部控制制度；“人本主义”作为构建内部控制机制的信条已越来越多地被企业接受，道德品行并不单纯只是内部控制的环境因素，它也日益成为内部控制结构的有机组成部分。 

    3．会计控制(含财务控制)是企业内部控制的核心
 
    最初的内部控制实际上就是会计控制，正如R·H，蒙哥利马在1912年出版的《审计——理论与实践》中指出的那样，所谓内部控制是指一个人不能完全支配账户，另一个人也不能独立的加以控制的制度。自从二十世纪六十年代内部控制被分为内部会计控制和内部管理控制后，内部会计控制指与会计工作和会计信息直接有关的控制。当时意义上的会计控制的目的是保护资产的安全和会计信息的真实，随着内部控制目标的多元化，会计控制涉及到企业资金运作的效率和效益。“会计控制是指通过会计工作和利用会计信息对企业生产经营活动所进行的指挥、调节、约束和促进等活动，以使企业实现效益最大化的目标。”在市场经济环境下，通过资金筹集和运作谋求效益的最大化永远是企业管理的主旋律，正因为如此，尽管内部控制的目标呈多元化趋势，会计控制在内部控制系统中的核心地位始终未动摇。从企业实践看，内部控制制度建设过程中正是围绕会计控制这一核心来抓的：从保证资产安全和信息真实着手做好基础工作，在此基础上采用预算管理、内部审计等控制措施保证管理的科学性和经营目标的实现。 

    上述种种给我们的启示是：内部控制的发展经历了丰富多彩的历程，维护资源的安全、保证信息可靠、提高经营的效率和效益构成内部控制的基本目标，会计控制(含财务控制)始终是内部控制的核心。 

    二、内部控制框架与公司治理的关系
 
    现代企业的规模、技术含量、市场竞争带来的机遇与风险、确立发展战略的重要性、内部资源配置的效率等问题是传统业主式企业没有碰到过的。现代企业的运行造就了职业的管理者阶层和管理者市场，出现了所有权与管理权的彻底分离，这一分离体现了这样一个契约控制权的授权过程——作为所有者的股东，除保留诸如通过投票选择董事与审计师、兼并和发行新股等剩余控制权外，将本应由他们拥有的契约控制权绝大部分授予了董事会，而董事会则保留了聘用和解雇首席行政官(CEO)、重大投资、兼并和收购等战略性的“决策控制权”外，将日常生产；销售、雇佣等“决策管理权”授予了公司经理阶层。公司治理机制是股东、董事会、总经理之间的责、权、利安排和相互制衡的机制。但是，职业管理者取代业主控制企业的经营又产生了“代理人”问题。从经济学的理性假设出发，委托人和代理人具有不同的目标函数。代理人具有道德风险，规避和搭便车等行为。公司治理所要解决的问题是通过契约关系的制度安排来确保委托人的权益不被侵害。从这个意义上讲，公司治理结构是一组规范与法人财产相关各方的责、权、利的制度安排，其中包括股东、董事会、管理者和工人，或者说它是法人财产制度的组织结构形态。这一制度安排或组织结构形态的内在逻辑是通过制衡来实现对管理者的约束与激励，以最大限度地满足股东和相关利益者(stock holders and stake holders)的权益。 

    1999年，世界经济合作与发展组织(OECD)制定的《公司治理原则》中给“公司治理”作了如下的描述：“公司治理是一种据以对工商业公司进行管理和控制的体系。公司治理明确规定公司各个参与者的责任和权利分布，诸如董事会、经理层、股东和其他利害相关者，并且清楚地说明决策公司事务时所应遵循的规则和程序。同时，它还提供一种结构，使之用以设置公司目标，也提供了达到这些目标和监控运营的手段。”就企业角度而言，公司治理机制辐射两方面内容:一是企业与股东及其他利益相关者之间的责权利分配，在这一层次中，股东要授权给管理当局管理企业、采取措施保证管理当局从股东利益出发管理企业、能够获取足够的信息判断股东期望是否能真正得到实现并在管理当局损害股东权益时有权采取必要的行动；二是企业董事会及高级管理层为履行对股东的承诺、承担自己应有职责所形成的责权利在内部各部门及有关人员之间的责权利分配，有些学者将其称为狭义的公司治理。 

　　内部控制作为由管理当局为履行诸管理目标而建立的一系列规则、政策和组织实施程序，与公司治理及公司管理是密不可分的。内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。在我国，内部控制外延的拓宽正是由公司治理机制变化所致。在计划经济体制下，经营管理人员缺乏自主权及会计人员的国家工作人员身份决定着内部控制的目的在于保证会计信息的真实性和国有资产的安全性。在现代企业制度的公司治理机制下，公司作为自负盈亏、自我完善、自我发展、自我消亡的经济组织，以管理监控为已任的内部控制的目的必须要拓展到保证公司政策的贯彻和公司管理目标的实现上。内部控制框架在公司制度安排中担任内部管理监控的角色，成为公司管理中不可缺少的部分。在公司治理机制框架中，内部控制的辐射面如图l。
 
           　　监事会 

　　股东大会           董事会          总经理        各生产经营部门及职能部门 

                              图1 

    按照贝利和米恩斯的“控制权与所有权分离”的命题以及“管理者主导企业”假说，由于公司制企业中所有权的广泛分散，企业的控制权转移到管理者手中，而企业的中小所有者已被贬到仅是资金提供者的地位。在这种情况下，良好的内部控制框架是公司法人主体正确处理各利益相关者关系、实现公司治理目标的重要保证。 

    三、采取双管齐下和分两步走的战略建立内都控制框架 

    按照COSO委员会的报告，内部控制框架由控制环境、风险评估、控制活动、信息沟通、监督五部分构成。上述框架是内部控制的理想框架。就我国目前企业管理的现状看，建立和完善内部控制申一步到位地完全达到这一框架的要求是不太可能的。因此，我们应该抓住关键因素，有步骤、分重点地构建内部控制体系。 

    内部控制目标尽管呈多元化趋势，但概括起来主要涉及以下两点：一是合规经营，具体而言，就是保证企业依法组织经营活动，保证会计信息真实可靠、确保财产安全；二是效益性，即保证企业管理政策的贯彻实施和效益目标的实现。从上述对内部控制目标的归纳不难看出，内部控制体系的建设不只是企业自身的事情，它有着广泛的社会性。采取宏观监控措施迫使企业合规经营是政府宏观管理的重要职能，从这个角度看，政府必须将内部控制制度建设作为一项十分重要的工作来抓。事实上，我国《会计法》已对企业内部控制制度的相关内容做出了规定，国务院转发国家经贸委的《国有大中型企业建立现代企业制度和加强管理的基本规范》对法人治理结构、成本核算和成本管理、资金管理和财务会计报告管理等内部控制制度的有关内容都提出了规范性要求。在构建内部控制体系中，我们应该双管齐下，采取政府宏观指导和企业自身逐步完善相结合的战略：在现有法律规范的基础上，政府有关部门应颁布企业内部控制框架构建的基本要求和一般标准，并就货币资金管理、采购与销售等企业基本业务的内部控制做出统一的规定，作为企业制定内部控制措施的依据；各企业以统一的内部控制规范为指导，根据自身的经营规模和特点建立内部控制框架，并制定具体的 
控制程序和措施。 

    企业在构建内部控制体系中，应采取分步走的策略：对于会计核算混乱、管理基础工作薄弱的企业，应该从定岗定员、明确岗位职责、完善内部牵制制度着手，按照合规经营的要求建立内部控制制度，做到财产管理制度健全、会计信息真实；在此基础上，逐步按效益性要求建立内部控制框架。内部牵制、班组(柜组)核算、责任中心管理、预算管理等基础工作做得较好的企业可以直接按效益性要求构建内部控制框架。 

    四、内部控制框架构建中的关键因素 

    1.健全管理机构，厘清管理权责 

    一般而言，内部控制的建设体现在两个方面：一是健全的机构，这是内部控制机制产生作用的硬件要素；二是各内部机构间、各经办人员间的科学分工与牵制，这是内部控制机制产生作用的软件要素。公司制企业中股东大会(权力机构，、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构，这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但内部控制机制的运作还必须在这一组织框架下设立满足企业监控需要的职能机构。目前必须解决两个问题：(1)设立管理控制机构。例如，目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益偿试。机构设置因单位的经营特点和经营规模而异，很难找到一个通用模式，比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业，这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如，对于规模很大、技术含量很高、高知人员云集的企业，通过设立报酬委员会进行管理层持股及股票期权问题的研究，能够提高报酬计划的科学性、加强报酬计划执行中透明度和监控力度。(2)推行职务不兼容制度，杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。在上市公司中，这一问题虽有了较大的改变，但从公司制企业的总体上看，仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽，一人具有几乎无所不管的控制权，且常常集控制权、执行权和监督权于一身，并有较大的任意性。交叉任职违背了内部控制的基本假设，必然带来权责含糊，易开造成办事程序由一个人操纵的现象出现。事实上，资金调拨、资产处置、对外投资等方面出现的问题重要原因之一在于交叉任职，董事会缺乏独立性。因此，建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠。 

    2．确立董事会在内部控制框架构建中的核心地位 

    不同的公司治理模式下，董事会在公司治理和公司管理中的地位是不同的。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看，董事会在公司管理中居于核心地位。董事会应该对公司内部控制的建立、完善和有效运行负责。原因在于：(1)对于董事会而言，建立内部控制框架是为了通过“不丧失控制的授权”来保证公司有效运行、完成公司的目标；(2)内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向，保证法律、公司政策及董事会决议切实贯彻实施的手段；(3)内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可靠的重要手段，而确保信息质量是董事会不可推卸的责任。 

    在我国，公司制企业虽然都按《公司法》的要求设立了董事会，但对相当一部分企业来说，董事会并未发挥应有作用，有的甚至形同虚设。针对这一情况，建议政府通过制定更为具体的法规强化董事会在公司治理中的功能，同时建议政府有关部门在颁布有关内部控制制度的指导性规范申强调董事会在内部控制框架构建中的核心地位。 

    3．内部审计机构设置与科学定位
 
    从公司治理的角度看，“内部审计机构的职责除了包括审核企业会计账目外，还包括稽查、评价内部控制制度是否完善和企业内部各组织机构执行指定职能的效率，并向企业最高管理部门提出建议相报告。”在内部控制框架构建申，内部审计的作用在于监督企业经营业务符合内部控制框架的要求，评价内部控制的有效性，提供完善内部控制和纠正错弊的建议。《公司法》和《审计法》均未对内部审计做出法律规定，《会计法》虽提出了内部审计方面的法律要求，但未对内部审计机构设置作出具体规定。因此，目前企业中关于内部审计机构的设置情况不一，有些上市公司同时设立审计委员会和审计部，大部分企业只设立审计部。只设立审计部的企业审计部的定位有以下几种情况：第一，由监事会领导；第二，由董事会领导；第三，接受总会计师或主管财务副总经理领导。这样，有关内部审计的问题目前需解决以下两点:内部审计机构的设置与内部审计机构的定位。关于前者，只是设置审计部还是同时设立审计委员会和审计部，在董事长和总经理同为一人的情况下不存在此间题。但随着规范的企业制度的实施，在董事长和总经理必须分设的情况下，这一问题就提到了议事日程。如果只设置审计部并将其置于总经理的领导之下，董事会对总经理的领导就缺乏监控措施，产生的问题是加剧内部人控制，同时也无法保证《会计法》单位负责人对本单位的会计工作和会计资料的真实性、完整性负责"这一条款落到实处。我们认为，对于规模大、经济业务复杂的企业，应同时设置审计委员会和审计部，其机构设置及定位如图2： 


　　监事会                 审计委员会            审计部 


　　股东大会             董事会              总经理             各职能部门 

　　在上述组织结构中，监事会、审计委员会、审计部分别对股东大会、董事会和总经理负责，同时三者存在着业务指导关系。对于规模不大、业务活动不太复杂的公司，也可只设审计部，但审计部应对董事会负责并在业务上受监事会指导。之所以选择这种制度安排，原因在于在公司治理的制约机制中，董事会是决策机构，这一机构肩负着保证公司管理行为的合法性和可信性职责。从我国公司治理实践看，审计部对董事会负责(而不是对总经理负责）这一安排，能有效减轻董事会职权弱化、内部人控制现象严重的局面。另外，在业务上接受监事会指导能够在一定程度上产生对董事会的制衡。 

　　 4．强化预算管理
                                
 　　目前，内部控制结构已不仅仅满足于传统意义上的查弊纠错和保护资产安全，其目标已延伸到提高效率和效益、保证管理政策和目标的实现。为此，预算控制已成为内部控制的重要方式。按照道格拉斯。R·卡迈克尔的观点，预算是保证内部控制结构运行质量的监督手段。预算管理是将企业的目标及其资源的配置方式以预算方式加以量化，并使之得以实现的企业内部控制活动或过程的总称。预算管理由预算编制、预算执行与控制、预算考评等环节构成。在一个信息无成本、信息可观察、计算能力无限的理想企业环境中，企业最高决策者可以适时制定出最优方案并通过内部控制保证其不折不扣地得到贯彻，在这种情况下预算的作用可能有限。但在现实条件下，预算之所以成为内部控制的重要方式，原因就在于在复杂的层级结构组成的企业中，由于信息不对称而引起企业目标在各层级间的分解以及决策权在各层级间的分享。按现行公司治理机构的规定，预算方案的制定权在董事会，组织实施权在总经理。但在实践中，大多数企业的预算是由总经理组织编制，报董事会批准后实施的，由于信息不对称，董事会不可能对预算提出实质性意见，预算管理中董事会职权弱化的现象十分突出，从而兹生了预算管理中的内部人控制现象。针对上述问题，应该在董事会下设预算委员会，具体负责预算的制订、实施过程中的监控等工作，『有这样，才能使预算制订权真正掌握在董事会手中。 

　　5．建立具有操作性的道德规范与行为准则
 
　　内部控制制度的执行者是包括高层管理人员在内的全体员工，激励和约束的对象也是企业的员工，员工的道德水准和价值观念长期被认为是内部控制环境的重要因素，要求内部控制结构的建立要考虑员工道德水准和价值观念的承接性。实践表明，基于环境现状而构建内部控制机制是一种被动性的做法，故此，英美等国越来越多的公司将道德规范和行为准则的建设直接纳入内部控制结构的内容。美国注册会计师David M·Willis和Susan S·Lightle两位博士对78家公司的调查发现，有7个公司涉及为保证符合道德标准而建立了检查程序。例如，为了保证每个人都能持续地理解统驭企业实践的内部控制机制和政策，Merck公司制订了一个持续的针对关键管理人员和财会人员的“管理受托方案”(Management Stewardship Program)，督促他们履行企业道德惯例，从而在企业运营申按照较高的道德标准来增强员工的责任感。道德规范和行为准则建设是世界各国公司管理中面临的共同课题，就我国目前公司的现状而言，道德规范与行为准则的建设并不是空白的，有的公司甚至有良好的基础和较丰富的经验，现在需要解决的问题是如何在道德规范与行为准则建设中避免空洞的说教，应根据内部控制结构的要求，针对各岗位的特点建立起具有操作性的行为规范与准则体系。 

　　内部控制是一个古老而又年轻的话题，我们很早就主张控制是会计的一项基本职能，但是由于认识上的误区和客观环境的影响，中国的财会理论工作者对此研究甚少，实践更加缺乏，现在市场经济的发展要求我们加大这一间题的研究力度，有感于此，我们略述一些意见以求教于各位同行。

阎达五　杨有红