第三節(jié) 內部控制的要素

內部控制的要素是構成內部控制的基本單位，決定著內部控制的內容和形式。在內部控制理論的發(fā)展進程中，不同的內部控制要素構成了不同的理論框架。自內部控制結構概念形成以來，內部控制理論大體經歷了“三要素———五要素———八要素”的演變歷程。

一、內部控制三要素

1988年，美國注冊會計師協(xié)會（AICPA）發(fā)布了第55號審計準則公告《會計報表審計中對內部控制結構的關注》，首次提出了“內部控制結構”，并指出該結構包括控制環(huán)境、會計系統(tǒng)和控制程序三個要素。

（一）控制環(huán)境

第55號審計準則指出：“控制環(huán)境是指對建立、增強或調節(jié)特殊政策及程序有效性有影響的各種因素所產生的綜合效果。”這個定義強調了內部控制環(huán)境對內部控制設計與執(zhí)行的有效性具有綜合影響效果，也就是內部控制環(huán)境越良好，內部控制的作用越能充分發(fā)揮。通俗地講，內部控制環(huán)境指企業(yè)為其雇員創(chuàng)造的工作氛圍，包括管理當局的作風、清晰的組織結構、有效的內部審計部門等方面。

（二）會計系統(tǒng)

會計系統(tǒng)是為確認、匯總、分析、分類、記錄和報告企業(yè)交易，并保持對相關資產和負債的受托責任而建立的反映監(jiān)督機制。有效的會計系統(tǒng)能夠及時反映企業(yè)的經濟資源狀況、詳細的財務活動情況、管理層的經營業(yè)績等，如鏡子成像一般反映真實面貌，不夸大優(yōu)點，也不隱藏缺點。會計系統(tǒng)的主要內容包括會計科目表、會計手冊和標準會計分錄、業(yè)務憑證制度、業(yè)務檢查程序和合理的交易處理方法。

（三）控制程序

為了保證企業(yè)目標的實現(xiàn)，必須設置一系列程序。控制程序主要包括：職責劃分和相互牽制、授權和批準制度、獨立稽核、實物防護、憑證和記錄。第55號審計準則將控制程序定義為包含在公司的內部控制結構中的政策和程序，涉及公司記錄、處理匯總以及報告財務報表中的管理當局認定相一致的財務數(shù)據(jù)，或者審計師對于財務報表認定實施程序所用的資料。

二、內部控制五要素

著名的COSO內部控制框架認為，內部控制系統(tǒng)由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五要素組成，它們取決于管理層經營企業(yè)的方式，并融入管理過程本身，其相互關系可以用圖13中的模型表示。

（一）控制環(huán)境

控制環(huán)境是其他內部控制組成要素的基礎，是所有控制方式與方法賴以生存和運行的環(huán)境。它對塑造企業(yè)文化，提供紀律約束機制和影響員工控制意識有重要作用。影響控制因素有四個方面：企業(yè)人員的操守、價值觀及能力；管理層的管理哲學與經營風格；管理層的授權方式及組織人事管理制度；最高管理當局及董事會對單位管理關注的焦點及指引方向，如他們對生產控制持何種態(tài)度等。

圖13 COSO內部控制五要素模型

（二）風險評估

風險評估是識別并分析影響目標達成的不確定因素。首先，風險評估的前提條件是設立目標。只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。設立目標是管理過程重要的一部分。盡管其并非內部控制要素，但它是內部控制得以實施的先決條件。其次，識別與上述目標相關的風險。再次，評估上述被識別風險的后果和可能性。一旦確定了主要的風險因素，管理層就可以考慮它們的重要程度，并盡可能將這些風險因素與業(yè)務活動聯(lián)系起來。最后，針對風險的結果，考慮適當?shù)目刂苹顒印?/p>

（三）控制活動

控制活動指為確保管理層指示得以執(zhí)行而實施的削弱風險的政策（做什么）和程序（如何做）。它們有助于保證采取必要措施來管理風險以實現(xiàn)企業(yè)目標。控制活動貫穿于企業(yè)的所有層次和部門。它們包括一系列不同的活動，如批準、授權、查證、核對、復核經營業(yè)績、資產保護以及職責分工等。

（四）信息與溝通

相關的信息必須以一種能使人們行使各自職能的形式和時限被識別、掌握和溝通。信息系統(tǒng)不僅處理內部資料，而且還處理形成企業(yè)決策和外部報告所必需的外部事件、行為和條件的信息。有效的交流還必須廣泛的進行，涉及機構的各個方面。所有人員都要從高級管理層獲得清楚的信息，他們必須明白各自在內部控制制度中的作用，明白個人的行為如何與他人的工作相聯(lián)系。他們必須有自下而上傳遞重要信息的方法。企業(yè)與顧客、供應商、監(jiān)管者和股東這樣的外界之間也必須進行有效的溝通。

（五）監(jiān)督

一個評估系統(tǒng)在一定時期運行質量的過程。這一過程通過持續(xù)的監(jiān)控行為、獨立的評估或兩者的結合來實現(xiàn)。持續(xù)的監(jiān)控行為發(fā)生在經營的過程中，它包括日常管理和監(jiān)管行為。獨立評估的范圍和頻率主要依賴于風險評估和持續(xù)監(jiān)控程序的有效性。內部控制的缺陷應自下而上進行報告，重要事項應報知高層管理人員和董事會。

以上五個要素相互關聯(lián)和配合，形成一個系統(tǒng)，覆蓋了公司生產經營的所有時間與空間，包括隱性的文化理念到顯性的考核評價等各個方面。這五個要素相互關聯(lián)：控制環(huán)境是其他控制要素的基礎；在規(guī)劃控制活動時，需要對企業(yè)可能面臨的風險進行詳細的了解；控制活動政策和程序必須在組織內有效溝通；內部控制的設計和執(zhí)行必須受到有效的監(jiān)控。

三、內部控制八要素

COSO委員會在1992年報告的基礎上，對2002年的《薩班斯奧克斯利法案》的要求進行擴展，于2004年9月29日發(fā)布了《企業(yè)風險管理———整合框架》（ERM框架）。該整合框架提出了風險組合觀念，并增加了三個風險管理要素，即“目標設定”、“風險識別”和“風險應對”。它拓展了內部控制框架，關注企業(yè)風險管理這一更寬廣的領域。拓展后的內部控制包含了八大要素，分別是內部環(huán)境、目標設定、風險識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控。