2　內部控制理論及采購流程內控

2.1　內部控制理論

當今，企業在經濟活動中要面臨來自企業內部、外部的各種風險，而內部控制作為應對風險、增強綜合競爭能力的重要手段，在現代企業的管理中扮演了十分關鍵的角色。完善企業內部控制制度既能完善公司治理結構和信息披露制度，也能保護投資者的合法權益和保證資本市場的有效運行。

2.1.1　內部控制的內涵

1985年，美國反舞弊性財務報告委員會（National Commission On Fraudulent Financial Reporting，亦稱The Treadway Commission）由美國注冊會計師協會等五家單位發起成立，該委員會旨在探討財務報告中產生舞弊的原因，并尋求解決之道［44］。1982年，這五家單位又聯合成立了COSO委員會（Committee of Sponsoring Organizations of the Treadway Commission），專門研究內部控制的相關議題。COSO委員會將內部控制的定義為“一個由主體的董事會、管理層和其他員工實施的，旨在為實現運營、報告和合規目標提供合理保證的過程”。該定義突出了內部控制的主題與目標，并表明內部控制是一個持續不斷的過程，它是達到目的的手段，而非目的本身。具體來看，內部控制需要努力達成的目標分為三個方面：一是運營目標，即組織運營的效果和效率，包括運營和財務業績目標、保護資產以避免損失；二是報告目標，即內外部的財務和非財務報告的可靠性、及時性、透明度，以及監管者、標準制定機構和組織政策所要求的其他方面；三是合規目標，即遵守組織所使用的法律法規及規章［45］。

2.1.2　企業風險管理整合框架

1992年，COSO委員會提出了《內部控制—整合框架》（Internal Control-Integrated Framework），并于2003年進行了更新，同時對外發布《企業風險管理—整合框架（征求意見稿）》。該框架致力于使管理層更有效且高效地建立一個能夠適應業務及經營環境變化的內部控制體系，將風險降至可接受水平，以幫助他們更好地進行決策和治理［46］。

具體來看，COSO《企業風險管理—整合框架》在《內部控制—整合框架》五個要素基礎上又增加了三個要素（見圖2-1），具體包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個相互關聯要素。

2.1.2.1　內部環境

內部環境包含組織內人員的職業操守、道德價值和專業能力等，為所有其他內部控制的要素奠定了基礎，并提供了各要素運作的規則，同時影響著組織內人員的控制意識。

在COSO內部控制整合模型中，與內部環境要素相對應的原則包含以下幾點：其一，企業對誠信和道德價值觀的承諾；其二，董事會獨立于管理層，對內部控制的制定及其績效施以監督；其三，管理層在董事會的監督下，建立目標實現過程中所涉及的組織架構、報告路徑及適當的權利和責任；其四，企業致力于吸引、發展和留任優秀人才，以配合企業目標達成；其五，企業內部控制責任人的問責制度。

2.1.2.2　目標設定

目標是事件識別、風險評估和風險應對的前提。企業風險管理的目標分為四個方面，包括戰略目標（長期）、經營目標（短期）、報告目標（有效）和合規目標（法律法規遵循）。其中，長期戰略目標與高層目標相關，與企業任務和愿景一致并為后者提供支持。對于任何主體而言，制定支持選定的戰略和與之協調的目標是成功的關鍵，目標分為經營、報告和合規三類；只有確定這些層次的目標后，才能衡量出成功要素及其量化的計量標準。

2.1.2.3　事項識別

管理當局識別對主體產生影響的潛在事項，包括外部和內部因素，即確定潛在事項是機會還是風險；如果是機會，應將其反饋到戰略和目標設定之中，而如果是風險則應該予以評估和應對。

這些事項來自內部或外部的影響實施戰略和目標實現的事故或事件，其驅動因素可能來自很多方面，比如外部的經濟（價格、資本等）、自然環境、政治、技術、社會等因素，以及內部的基礎結構、人員、流程、技術等。企業應該采取各種方式，如互動研討、統計數據、追蹤技術、內部分析、預警觸發等。為了更好地管理事項及應對其背后的風險，應該關注事項之間的關系和事項類別的劃分（包括正負向劃分及不同屬性類別上的劃分）。

2.1.2.4　風險評估

當組織面臨一系列外在和內在的風險時，風險評估成了必不可少的工作。風險評估的前提是，聯系組織內不同的層級，進而建立具有內部一致性的目標體系。管理層應當明確運營方面、財務方面及合規方面的目標，并識別、分析在目標達成過程中的相關風險，為風險管理制定出相應機制。

在COSO內部控制整合模型中，企業需要制定足夠清晰的目標，以便識別和評估有關目標所涉及的風險（運營目標、外部財務報告目標、外部非財務報告目標、內部報告目標、合規目標）。然后，從整個企業的角度來識別實現目標所涉及的風險，分析風險，并據此決定應如何管理這些風險。同時，企業在評估影響目標實現的風險時，考慮到潛在的舞弊行為，需要評估可能會對內部控制系統產企業生重大影響的變更。

2.1.2.5　風險應對

風險應對要求管理當局在風險容忍度和成本—收益原則下，確定風險應對方案并考慮其對事項的可能性和效果的影響，然后設計、確定和實施選擇的應對方案。風險應對措施通常包括回避、降低、分擔和承擔四種。另外，在風險應對的過程中，還應該有組合的觀念——一個不同風險組合應對之后，其應對管理成本可能會下降，也可能因為組合而積聚上升變得更加重要。

2.1.2.6　控制活動

控制活動可以幫助確保管理層的指令順利傳達并為其提供一定的政策和程序，具體包含核準、授權、驗證、對賬、對經營活動的審查、對資產的保護和對不相容職務的分離等多種形式。控制活動貫穿了組織的不同層級與職能部門，它保證了組織通過必要措施能有效應對目標達成中的風險。

企業需要選擇并制定能將目標實現風險降低至可接受水平的控制活動，在這個過程中，企業用以支持目標實現的技術選擇并制定一般控制政策，并通過政策和程序來部署控制活動。

2.1.2.7　信息與溝通

為了促使企業人員在一定的形式與時間框架內履行其職責，需要及時識別、獲取、傳達有效的信息。企業內信息系統所生成的報告應當包含與企業運營、財務、合規相關的信息，從而使企業內控成為可能。其中，不僅有來自企業內部的數據，還應有對合理的商業決策的關于企業外部事件、活動與條件的關鍵信息。有效的溝通也應在較廣的范圍內進行，管理層須知會所有工作人員審慎對待內部控制的職責。工作人員必須明白自己在內部控制體系中的角色，以及個人活動對他人工作的影響。除此之外，與外方有效的溝通也十分重要，如顧客、供應商、監管者和股東等。

2.1.2.8　監控

內部控制體系應當受到監控，即評估該體系在一段時間內的運行質量。監控可以分為持續性監督與獨立性評估，前者包含日常管理、例行監督和常規性事后監督等，后者的頻率與范圍取決于風險評估或持續性監督程序的有效性。監控中所發現的內部控制缺陷應當上報至高層領導與董事會。

企業需要選擇、制定并實行持續及（或）單獨的評估，以判定內部控制各要素是否存在且發揮效用，同時企業要及時評估內部控制缺陷，并將缺陷及時通報給負責整改措施的相關方，包括高級管理層和董事會。