第二節 內部控制的概念、目標和原則

一、內部控制的概念

自20世紀30年代美國率先提出“內部控制”概念以來，內部控制的內涵和外延都發生了深刻的變化。內部控制由外部審計界發端、企業監管部門參與，通過以企業界為主體的經營管理實踐的不斷總結和發展，形成了完整的理論體系和實踐框架。不同國家、不同組織機構基于不同角度和層次，對內部控制進行認識和分析，得到了不同的概念。

不同國家和機構對內部控制概念的界定見表11所示。

表1 1

不同內部控制概念的比較

續表

2008年6月28日，中國財政部、證監會、審計署、銀監會和保監會發布了國內權威文件《企業內部控制基本規范》（以下簡稱“基本規范”）。被稱為“中國版薩班斯法案”的《基本規范》借鑒國際慣例，立足我國國情，確立了我國企業建立和實施內部控制的基礎框架。《基本規范》中界定的“內部控制”的內涵如下：內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。

二、內部控制的目標

（一）企業目標與內部控制目標的關系

內控控制的目標應當從屬于企業目標，與企業目標方向一致。

企業的基本目標不能脫離其日常的經營。如制造業企業的基本目標就是讓消費者用上高質量、價格合理的工業產品，服務企業的基本目標是為人們提供舒適的享受體驗。隨著商業社會的發展和管理學界的不斷探究，企業對自己的定位、責任有了更全面、清晰的認識。企業的目標也從經營目標發展為更多層次的目標。

例如幾家知名企業的目標如下。

（1）麥當勞公司：麥當勞公司的目標是占領全球的食品服務業。在全球范圍內處于統治地位，以及在建立客戶滿意度標準的同時，通過執行我們“服務便利·增加價值·履行承諾”的戰略，提高我們的市場占有率和盈利率。

（2）美國石油公司：美國石油公司是一個在全世界從煉油到化工制品一體化的公司。我們尋找和開發石油資源，并向我們的客戶提供優質的產品與服務。我們的責任是獲得優秀的財務收益，平衡我們的長期成長計劃，為股東獲益和履行對社會和環境的義務。

（3）英特爾公司：英特爾公司為計算機行業提供芯片、主板、系統和軟件。英特爾的產品一向被看做是“建筑街區”，被用來為個人計算機用戶建立高級的計算機系統。英特爾的愿景就是要成為全球新計算機行業最重要的供應商。

（4）中國國家電網公司：中國國家電網公司是全球最大的公用事業企業，以建設和運營電網為核心業務，承擔著保障更安全、更經濟、更清潔、可持續的電力供應的基本使命。國家電網的戰略目標是建設電網堅強、資產優良、服務優質、業績優秀（簡稱“一強三優”）的現代公司。

可見，不同企業的目標各異。一個共同趨勢是：企業關心經營，但不僅僅是經營。企業還關注發展的可持續性，如加強產品的創新與改進、維護企業良好的公眾形象、承擔環保與節能方面的社會責任。

內部控制既要了解經營管理的總體目標，又要了解各個管理層的個別目標，即要把各種經營活動分解成一個或幾個循環加以考察。循環包括處理一個特定交易或業務所需要的一切特定活動，諸如驗證、分類、記錄、報告、信息等活動。循環應與單位的組織和職責分工相一致，應與組織的總體目標相配合，以促成企業總體目標的實現。因此，控制的基本目標，都是為了保證單位完成自己的任務或者達到具體準確的目標。

內部控制的目標有多種多樣的提法，但各類提法可以歸納總結成以下幾個方面。

（1）保證企業各方面的決策與戰略相一致，符合長遠利益和可持續發展要求。（2）維護資產的安全、完整及有效使用。

（3）保證各種管理信息的存在、可靠和及時提供。

（4）盡量減少不必要的成本、費用，取得良好的財務業績。

（5）權責劃分清晰，保證各種職責得到圓滿的履行，提高各項工作作業的效益和效率。

（6）預防或查明錯誤和弊端，為管理政策的制定尋找依據。（7）遵守各類監管規定，履行各種法律業務。

（二）不同國家和組織對內部控制目標的陳述

與內部控制的概念一樣，基于不同角度和層次，不同主體對內部控制的目標的理解也有所差異。縱觀內部控制理論的發展，可見在其發展初期，內部控制的目標主要在于糾錯和防范舞弊。隨著社會經濟和技術的發展，內部控制的目標也不斷深化和拓展。與不同內控框架相對應，不同的內控目標如表12所示。

表1 2

不同框架下內部控制目標的比較

（三）內部控制的目標結構

與傳統的會計、審計理論相比，現有的內部控制目標考慮得更全面和具體。為了便于管理層對控制目標的理解，國內學者對內部控制的目標進行了邏輯層次的劃分，構建了內部控制的目標體系，如圖12所示。

1.終極目標

內部控制目標從屬于企業目標。企業作為營利性的組織，關注價值的創造。不同企業會從不同的角度、不同的方式來詮釋價值的真諦，并具體落實到各項業務活動中。因此，內部控制的終極目標是實現企業價值最大化。企業在設計和執行內部控制制度的過程中應以是否能實現企業價值最大化為標準。

2.基本目標

內部控制本質上是一個防御系統，其基本目標是對風險的防范與管制，防止風險對企業正常的運營造成干擾或威脅。改進的COSO框架也強調風險管理在內部控制中的重要性。

圖12 內部控制目標體系

3.具體目標

在基本目標的指導下，內部控制需要針對企業面臨的各種風險，制定明確和具體的目標，將基本目標具體化。結合各類表述，可將內部控制的具體目標歸納為以下4類。

（1）合規目標：遵循法律法規和內部規章制度。企業如果連法律底線都堅守不住，就不能成為合格的市場參與者，更不用說實現其發展戰略。因此企業應當對國家法律、政府政策、行業監管規定足夠敏感。因為一旦違法違規，企業財務狀況、公眾形象、商業信譽等都會遭受損失。

（2）報告目標：保證財務報告目標和內部報告的真實可靠。財務報告目標是內部控制形成初期的目標之一，可見其重要的地位。美國的《薩班斯—奧克斯利法案》、《審計準則第2號》、《審計準則5號》正是在大企業財務報告舞弊丑聞頻出的社會背景下產生的，財務報告的可靠性是監管的重點。隨著上市公司的增多、資本市場影響的擴大，財務報告的可靠性是廣大外部決策者投資安全的保障。而隨著企業內部管理需求的增加，內部報告的可靠性是管理層決策合理的保障。

（3）資產目標：保證資產的安全完整。經營性資產是企業持續經營的物質保證。適當擁有投資性資產是企業合理調配資源、管理風險的有效手段。資產安全在產權制度不健全、股東身份不明晰、治理結構不完善的情況下更應高度重視。

（4）經營目標：提高、改善企業經營的效率效果。企業的立足之本是創造價值的經營活動。內部控制通過流程梳理、組織架構、崗位設置、相互牽制等一系列的制度安排，識別生產經營活動中的風險因素，并加以防范和控制，從而提高經營效率，最終實現經營目標。

三、內部控制的原則

根據《企業內部控制基本規范》，企業建立與實施內部控制，應當遵循下列原則。

（一）合法性原則

內部控制應當符合法律、行政法規的規定和有關政府監管部門的監管要求。

（二）全面性原則

內部控制在層次上應當涵蓋企業董事會、管理層和全體員工，在對象上應當覆蓋企業各項業務和管理活動，在流程上應當滲透到決策、執行、監督、反饋等各個環節，避免內部控制出現空白和漏洞。

（三）重要性原則

內部控制應當在兼顧全面的基礎上突出重點，針對重要業務與事項、高風險領域與環節采取更為嚴格的控制措施，確保不存在重大缺陷。

（四）有效性原則

內部控制應當能夠為內部控制目標的實現提供合理保證。企業全體員工應當自覺維護內部控制的有效執行。內部控制建立和實施過程中存在的問題應當能夠得到及時地糾正和處理。

（五）制衡性原則

企業的機構、崗位設置和權責分配應當科學合理并符合內部控制的基本要求，確保不同部門、崗位之間權責分明和有利于相互制約、相互監督。履行內部控制監督檢查職責的部門應當具有良好的獨立性。任何人不得擁有凌駕于內部控制之上的特殊權力。

（六）適應性原則

內部控制應當合理體現企業經營規模、業務范圍、業務特點、風險狀況以及所處具體環境等方面的要求，并隨著企業外部環境的變化、經營業務的調整、管理要求的提高等不斷改進和完善。

（七）成本效益原則

內部控制應當在保證內部控制有效性的前提下，合理權衡成本與效益的關系，爭取以合理的成本實現更為有效的控制。

四、內部控制的影響因素及局限性

如許多管理工具一樣，內部控制也并非十全十美。它會受到許多方面因素的影響，比如財務管理中的成本效益原則、系統設計人員的人為錯誤、管理層的串通舞弊，等等。內部控制的局限性體現在以下幾個方面。

（一）受成本效益原則的約束

內部控制是依據一定的程序進行的，而這些程序需要付出一定的成本，如設計控制環節、設置崗位、配備人員、保證各環節的運行都必須付出代價、發生成本，有些甚至是沉沒成本。控制的環節越多，設置的崗位就會越多，相應的成本必然提高。但是，控制過于簡單又收不到應有的效果，在經營中就會出現漏洞、發生舞弊的可能性就會增加，會給企業造成較大的損失。因此，不妨把“內部控制”看成一項投資，投入的是人力物力財力，可能獲得的是企業戰略目標的實現。如同許多投資決策一樣，在設計內部控制時必然會考慮成本效益原則。但在實踐中內部控制的成本與收益卻難以估計，需要個人的主觀判斷，而主觀判斷的失誤可能會使需要的控制未能實施而給企業帶來更大的損失。

（二）受人為錯誤的影響

內部控制是由人設計、靠人執行的，設計人員、執行人員的工作水平直接關系到內部控制的作用能否有效發揮。智者千慮，必有一失。由于相關人員的有限理性等方面的主客觀原因，在實際中會造成內部控制程序難以百分百落實。如執行人員粗心、精力不集中、身體欠佳、判斷失誤或誤解上級發出的指令時，內部控制很可能會失效。

（三）受串通舞弊的限制

不相容職務的分離是內部控制的一條重要原則，可以避免一個人單獨從事或隱瞞不合程序的行為。但兩個或兩個以上的人員或部門合伙就可以避開此類控制，如出納與會計串謀、財產保管員與財產核對人員合伙造假、審計部門與會計部門聯合舞弊、業務人員與顧客供應商串謀等。

（四）受管理越權的限制

作為管理工具，任何控制程序也不能發現和防止那些負責執行監督控制的管理人員濫用職權或不正當使用權力。管理的干預一直是許多重大舞弊事件發生和財務報告失真的一個重要原因。在某些情況下，若存在擔任控制職能的人員越權管理、濫用職權，即使是設計良好的內部控制，也不能發揮其應有的作用。

（五）受制度滯后的限制

內部控制是結合企業日常經營的現狀進行設計建設的。但是當今的市場環境和企業內部環境都是不斷變化的，當前的內控制度可能適應不了企業未來的發展模式。內控制度有其固有的滯后性。這是因為，內控系統會涉及到企業的方方面面，如組織結構、治理結構、業務活動流程，等等。一些結構性的、流程性的控制要素是比較剛性的，需要時間去建立和改變，并不能在朝夕之間就適應企業新的發展環境。內部控制發揮效用也具有滯后性，可能原先設計的制度在建立好之后，已經對企業不適用了。這要求內部控制設計人員在工作中培養長遠的戰略眼光。

（六）受非經常性事項的干擾

內部控制一般針對常規的業務活動而設計，具有相對的穩定性，因此可能會對不經常發生的或未能預料的例外事項不具有控制力。不經常發生的但仍屬于商業范疇的事項有：調整生產線、改變經營領域、收購其他企業等。不經常發生且不屬于商業范疇的事項有：國家重大的政策變更、社會動蕩以及自然災害等。一旦這些事件發生，內部控制往往就有失控和不適用的可能。

因此，內部控制不是萬能的保險系統。在實踐過程中應當意識到內部控制的局限性，并采取相關的應對措施。