内部控制基本理论

　　第二章 内部控制基本理论

　　内部控制的建设需要一定的理论基础，明确内部控制的目标、内部控制整体框架以及内部控制风险管理理论（ERM 框架）对于深化内部控制意识，明确内部控制建设的重点和方向有重要的理论意义和现实意义。

　　2.1 企业内部控制的目标。

　　COSO 框架不仅仅局限于定义内部控制概念，同时也对内部控制体系的构建提供了指南，即是为了确保公司经营管理合法性，保证公司资产安全，同时保障财务报告提供的相关信息完整三个维度的政策运转而构建的有机系统，以实现内部控制的战略目标。具体内容如下：

　　（1）经营管理合法合规。即公司经营管理活动需要在现有法律法规框架下运作，通过企业内部制度管理化，使员工加强自我约束，遵纪守法，公司依据法律法规制定并签署合同协议，确保双方的权利和义务均等。

　　（2）提高经营效率和效果，确保公司资产安全。从长远看，内部控制的构建与实施有利于企业经营效率效果的稳步提升，因此内控制度的目标应与企业的战略目标一致；短期情况看，则是确保实现公司经营管理的短期目标。以内部控制中的预算审批制度为例，通过动态调整形式控制预算，对业务流和信息流进行双向整合，以此控制公司日常经营活动，最终达到分散风险和优化配置资源的效果。并与公司长期战略目标相吻合。

　　（3）保障财务报告信息的真实完整。保证相关的会计信息和数据的采集、整理、分析等工作能得到真实准确的记录和反应。比如，会计核算所依据的所有收入、成本、费用、期间损益等原始信息必须及时准确；具体来说，包括应确保会计账目和实务账目相吻合；应对应计提或应计入当期损益之成本费用进行归集处理；应充分估计包括坏账准备，资产减值准备得财务项目，并予以入账处理；最后，应保证财务报告提供的详细信息与原始的会计记录和凭证相吻合。

　　（4）记录有效性。只有经过科学有效的流程控制、授权审批程序，才能保证相关的生产经营活动积极有效地进行。例如付款时必须经过相关领导层、管理层审批通过；收入的确认按照科学的确认条件进行，费用则需与真实发生的业务内容相符，且费用列支不可以超过规定的限额。

　　（5）操作完整性。相应的体系标准应该被完整地规范建立，以确保有营及财务相关信息数据能够被全面、完整地记录和处理。

　　2.2 内部控制整体框架。

　　1990 年后，全球经济一体化浪潮出现，同时那也是一波新企业诞生潮，企业竞争日益激烈，企业经营管理环境更为复杂多变，企业承担更多的内外部风险，内部控制成为企业财务管理甚至是企业管理中不可或缺的组成部分。再这样的背景下，企业内部控制的整体性框架在企业内部应运而生。其中，最为权威的是国 COSO 委员会，1992）。该框架将企业内部控制当作完整的规划过程，具体包括了内部环境（如权责花费，人力资源管理和企业文化等）、风险别，测量，分析、解决及控制在内的全过程管理），控制（比如预算控制等），信息与沟通（包括信息收集机制与公司内部各层级，公司内外部之间的纵向和横向信息流传导），内部监督（包括常规监督，专项监督等）等五个子单元。

　　1994 年，COSO 委员会对《内部控制整体框架》进行了增补，1996 年，美国注册会计师协会发布《审计准则公告第 78 号》，全面接受了 COSO 报告的内容，将内部控制理论和实务推进到一个新的高度。

　　我国国内内部控制的建设与发展主要是在借鉴国外经验基础上，结合我国具体情况进行的。西方国家的以"风险管理"为导向的内部控制理论和规范完善程度较高，其内部控制的风险防范理念早以深入到企业经营的各个方面，而我国学术界对内部控制的研究起步较晚，始于上世纪 80 年代，内部控制五要素构成了其理论发展的核心内容。 2008 年，财政部联合证监会、审计署、银监会、保监会联合发布了《公司内部控制基本规范》规定2009年7月1日起上市公司必须依此披露年度自我评估报告。

　　2010 年 4 月，五部委又联合发布了《内部控制配套指引》，标志着"以防范风险和控制舞弊为中心，以控制标准和评价标准为主体、结构合理、层次分明、衔接有序、方法科学、体系完备"的适应中国企业实际情况、融合国际先进经验的中国企业内部控制规范体系目标基本建立。

　　2.3 内部控制的 ERM 框架。

　　在企业内部控制的风险管理领域，较为成熟的理论是由美国COSO委员会于2004年 9 月提出的 ERM 框架。COSO 委员会在《内部控制整体框架》报告的基础上， 结合《萨班斯奥克斯利法案》推出了企业风险管理整体，框架该框架下的风险管理重在强调包括管理层和员工的参与，并将企业整体战略规划的内容运用到风险管理的全过程中。

　　具体来说，它将内部控制的范围加以扩展，构成要素为包括内部环境评估和风险评估等在内的 8 个基本要素，并将管理目标划分为战略层，经验层，合法性和出具报告四层级结构化的目标体系。

　　在 ERM 框架下，除了要求企业基于信息收集进行风险识别、评估和控制外，还特别强调方法论层面的强化。比如，综合使用定量与定性分析相结合的手段，排序风险优先级别，按照优先级顺序，制定次序的风险控制策略。

　　除此之外，企业文化也作为 ERM 框架中的重要要素进行考量，COSO 强调风险意识在提升企业风险管理水平中的先决作用。