邓扬建

一般认为，内部控制是企业为保护资产安全、提高经济效益而实施的一个责权明确、相互制衡的管理过程。随着经济的全球化、市场化和信息化，有效的内部控制及其执行机制对企业的生存和发展至关重要。近年来，由于内部控制失效导致企业蒙受巨大经济损失甚至破产的事例屡见不鲜。为此，2002年，美国颁布了萨班斯法案（又称奥克斯法案），其中，许多条款明确要求企业确保内部控制体系的有效性；2004年，美国COSO委员会在原有《内部控制整体框架》的基础上结合萨班斯法案，颁布了《企业风险管理框架》，旨在为企业提供一个风险管理概念体系和应用指南。2008年，我国财政部牵头联合发布了《企业内部控制基本规范》，随后又印发了相关配套指引，形成了借鉴美国经验的中国企业内部控制规范体系，对增强我国企业内部控制的有效性具有里程碑意义。

一、内部控制理论及其发展历程

随着社会经济的发展和企业经营管理的变化，内部控制经历了漫长而复杂的发展过程。综合国内外相关研究文献，内部控制理论发展大致可以分为五个阶段：

1.内部牵制。苏美尔文化史料中记载：古埃及的财物清仓入库时必须有账目间的相互核对，而且实行岗位分离；我国西周时期有“一毫财赋之出入，数人之耳目通焉”的财物记录。内部牵制观点的形成基于两种假设：一是两人或多人或多部门无意识地犯同种错误的可能性很小；二是某个人或单个部门舞弊的可能性远远高于多人或多部门一起串通作弊的可能性。可见，内部牵制思想在古代就有了萌芽。1912年，美国学者蒙哥马利在他所著的《审计理论与实践》的书中也表述过同样的思想，他认为内部牵制是确保财产安全、账目无误的一种较好的控制方法。内部牵制的标志是采取双人或多人记账制，目的是查错防弊，方法是相互控制、相互稽核，基本要素是会计系统。

2.内部控制制度。上世纪中期，美国经济得到迅速发展，相应产生了很多新的经济理论和法规制度。1949年，美国注册会计师协会首次提出内部控制概念，把内部控制定义为“为保护资产安全、确保会计信息真实可靠、提高经营效率效果、完成既定目标所采取的方法和措施”。1958年，美国注册会计师协会下的审计程序委员会把内部控制分为二个部分，即内部会计控制和内部管理控制，前者主要是保证财产安全和会计记录的真实性和准确性，后者主要是为了贯彻既定方针和提高生产经营的效率和效果。内部控制的“二分法”观，为审计人员在评价企业内部控制制度的基础上进行实质性测试提供了可能性，突破了内部控制只针对财务会计部门的局限性，拓展了内部控制研究的对象和范围。1985年，为了防止企业进行会计舞弊，美国专门成立反财务舞弊委员会，并制定了解决舞弊问题的方案，包括要求上市公司的年度报告中必须包含内部控制报告，强调了内部控制的重要性。

可以看出，内部控制概念起源于内部牵制思想，由内部牵制的账目核对和岗位分离演变成包括机构设置、人员条件、岗位分工、职务分离、业务标准、处理程序和内部审计等要素构成的内部控制系统。内部控制除了要防止会计舞弊，还要防止出现其它管理漏洞，其方法是机构设计、人员分工、业务分开、责权相配等进行相互配合、相互制约、相互协调，它的要素除了会计系统，还有控制活动。

3.内部控制结构。到了二十世纪后期，内部控制理论研究从内部控制的一般涵义向内部控制的具体内容深化，理由是在实践中人们很难把会计控制和管理控制严格区分开来，尤其是审计人员在审计过程中，很难分清会计人员与其他管理人员的责任，导致审计结论模糊。基于这种考虑，1988年，在美国注册会计师协会发布的第55号审计公告中，“内部控制制度”被“内部控制结构”所取代，认为内部控制结构包含了内部控制制度为实现企业目标而建立的各种政策和程序，并指出内部控制结构包括控制环境、会计系统和控制程序三个要素，从而内部控制的二分法观上升到了三要素论，即由制度分析法转向了结构分析法。内部控制结构包含更多的管理内容，强调管理层对内部控制的认识、态度及行为等软性的东西。

4.内部控制整合框架。1992年，美国注册会计师协会、会计学会和国际审计师协会、管理会计师协会及财务经理协会共同发布了内部控制实践的纲领性文件——《内部控制整合框架》，简称COSO研究报告（1994年作了修改）。该报告把内部控制定义为“内部控制是受企业管理层和其他职员的影响，为企业经营的效率及效果、财务报告的相关可靠、法律法规的遵循、具体目标的实现等提供合理保证的过程”；同时，把内部控制要素扩展为控制环境、控制活动、风险评估、信息与沟通和监控五个要素。很显然，该报告提出了新的观点，弥补了内部控制结构的不足，强调“硬控制”与“软控制”并重的内部控制方法，明确内部控制目标是保证企业经营活动和财务报告的公平、真实、合理、合法。

5.内部控制风险管理框架。COSO报告及内部控制框架受到多数国家的认同，而且被世界上许多企业所采用。进入本世纪以来，经济不断全球化和市场化，企业风险明显增加，理论界和实务界人士对企业内部控制框架产生了质疑，认为该框架对风险意识强调得不够，内部控制的程序和方法很难有效地应对各种风险，失去了内部控制应有的作用。因此，2004年COSO委员会在1992年发布的《内部控制整体框架》基础上结合萨班斯法案，颁布了《企业风险管理框架》，提出企业风险管理与企业内部控制应紧密结合起来，把风险管理应用于整个企业的战略规划之中，以确保企业目标的实现；指出企业风险管理框架由内部环境、控制活动、战略目标、事项识别、风险评估、风险反应、信息与沟通、监控这八个要素组成。由此可见，内部控制风险管理框架是对内部控制整体框架的进一步巩固和提升，其方法更灵活、目标更宏大，内容更丰富，要素更完备。

从内部控制的产生和发展可以看出，随着经济市场化程度的提高以及企业经营失败或舞弊案件的发生，加快了内部控制理论研究与实践应用的发展进程，催生了具有里程碑意义的文献和法规制度；风险管理理念的引入，内部控制不再只是为了查错防弊，其目标、功能和作用不断放大和更新，成为现代企业管理和公司治理的具体体现。

二、风险管理是内部控制的拓展和延伸

内部控制是生产规模化和资本社会化的产物，而风险管理则是在新兴技术和市场条件下对内部控制的拓展和延伸。众所周知，企业的首要目标是盈利，而盈利的前提是要有一个良好的外部环境。随着信息技术的突飞猛进和市场经济的不断深化，企业环境的不确定性增大，各种风险都有可能发生，如市场风险、技术风险、财务风险、经营风险、金融风险、政策风险和法律风险等，其中，有的风险可以参加保险但大多数是不能保险的。在这种情况下，企业的首要方针莫过于风险防范，企业家的基本职能莫过于风险管理。而内部控制正是风险管理的最佳途径，无论从它的方法、内容，还是从它的要素、目标来看，对风险管理起着不可替代的作用，具体表现为对企业风险的识别、分析和评价，并配合其它措施对企业的风险进行整理、归类、处理并化解；风险的识别和处理则是通过信息交流与沟通，包括对信息的收集、传递、反馈和应用，为风险管理提供事实依据。可以说，没有内部控制，就谈不上风险管理，内部控制不是为控制而控制，而是为风险管理而控制，是风险管理的重要手段；风险管理不是为管理而管理，而是为企业目标而管理，是目标实现的重要保证。内部控制与风险管理两者相互依存、相互制约，形成一个有机整体，共同来实现企业的战略目标。

根据美国内部控制和风险管理框架的解释说明，结合我国企业内部控制基本规范的配套指引，进一步说明内部控制和风险管理二者的关系。

1.内部控制与风险管理的联系

（1）风险管理涵盖了内部控制。风险管理目标和内部控制目标基本相同，即三大目标：经营目标、报告目标和合法目标。不过，风险管理多了一个关系到企业的使命感和未来发展情景的目标——战略目标；风险管理要素包含了内部控制的控制环境、风险评估、控制活动、信息交流和监督评审五个要素，为了强调风险的存在，另外增加了事件识别、目标设定和风险对策三个要素。可以看出，内部控制实际上成为了风险管理的组成部分。

（2）内部控制是风险管理的必要手段。市场经济下，经济活动多元、广泛而复杂，经济矛盾和利益纠纷日趋激烈，企业风险是在所难免的，特别是企业业务流程中的营运风险更显突出，需要内部控制随时进行风险防范。同时，完善的内部控制体系是当今世界各国制定政策法规的本质要求，是现代企业建立风险管理体制应达到的基本状态。

2.内部控制与风险管理的差异

（1）二者的范畴不一致。内部控制主要通过对个别事项的过程控制来实现应达到的某个目标，它仅仅是管理的一项职能。而风险管理的手段多样、目标多种、方法多变，风险管理活动始终贯穿在企业管理过程中的各个方面，既体现了对所有经济事项事中和事后的控制，又考虑了事项发生之前可能存在的风险；风险管理目标虽然与内部控制目标（经营目标、报告目标、合法目标）类似，但风险管理中的报告目标有所扩大，它不仅要求企业发布的财务报告做到准确无误，还要求企业的非财务报告也必须可靠，这与内部控制的报告目标有所区别。

（2）二者的活动不一致。内部控制负责风险管理过程的中间和以后的活动，如通过风险评估而进行的信息交流活动、监督评审活动、错误纠正工作等；也就是说，内部控制不能解决所有风险，也不能承担、转嫁和分散风险，它只能纠正和弥补企业经营管理中经常发生、显而易见的错误和缺陷。而风险管理活动主要是战略目标的设定、风险评估方法的选择、管理人员资质的考核、预算工作和行政管理，以及报告处理程序等。两者最大的区别可以用一句话来概括：风险管理负责各种目标的具体制定，内部控制则负责目标制定过程中的评价，以及目标完成过程中的风险评估。

（3）二者对风险的认识不一致。内部控制注重对企业目标实现过程中产生负面影响的事件进行控制，没有区分风险和机会（将企业目标实现过程中产生正面影响的事件视为机会）。而风险管理则要注重问题的两面，既强调风险的存在，又考虑风险中所蕴涵的机会。

（4）二者面对风险的策略不一致。随着金融衍生工具的出现和市场竞争的加剧，企业内部不同部门或不同业务存在不同的风险，有的风险相互重叠放大，有的风险相互抵消减少；因此，企业不能只从某个部门或某项业务去考虑风险，而应通过风险辨认和风险组合从整体角度去考虑风险。风险管理正好引入了风险偏好（企业目标实现过程中对风险的接受数量）、风险容忍度（企业目标实现过程中对风险的接受程度）等概念，这有利于企业根据自己的风险偏好和风险容忍度来制定企业的发展规划和经营决策，从而达到实现战略目标的目的。这些内容恰恰是内部控制所缺乏的，也是内部控制所不能做到的。

三、内部控制和风险管理运用中的误区或问题

我国参照利用美国COSO的内部控制和风险管理框架并结合具体国情，制定了一系列内部控制和风险管理制度及规范，为企业内部控制和风险管理提供了行动指南，但在理论认识和实际操作中，还有不少问题值得我们思考。

1.把内部控制和风险管理体系建设简单地理解为立章建制。实际上，内部控制和风险管理并不仅仅是一种规章制度，如文件法规、技术规范和应用模型等，也不是额外单独的控制活动，如信息交流、评审监督和风险评估等，所以不能把内部控制和风险管理看作一种静态的东西，而应把它们内置于企业的日常管理活动之中，形成一种常规的管理和运行机制。可以说，内部控制和风险管理既是一种制度安排、也是一种管理过程，更是一种自律行为。

2.认为内部控制和风险管理是相互独立的。虽然内部控制和风险管理的内涵有很多重合之处，如要素很多相同、方法很多相似，但内部控制和风险管理的具体运用需要根据企业自身的特点、发展阶段、行业特性、技术条件、外部环境等要求来执行。比如，某企业生产医疗设备或药品，因为涉及到人的生命健康问题，而且政府管制非常严格，风险管理的迫切性相对较强，此时企业以风险管理来主导内部控制比较合适；如果某企业是为了使自己的财务报告及信息披露合法，此时企业当然以内部控制为主导、同时兼顾风险管理更为合理。

3.过分夸大了内部控制和风险管理的作用。不管是内部控制还是风险管理，它们都是企业的管理活动，无论它们的方法多么先进、系统多么完善，都只能为企业向目标迈进提供相对合理而非绝对的保证。尤其当企业的品性、信仰、能力、责任等出现缺失时，决不能把企业的成功寄望于内部控制和风险管理上。

4.理论与实际脱节。风险管理理念是从西方国家引进的，与我国传统的理论观点和制度建设存在很多差异或差距，使得企业管理人员很难把这些概念和框架融入到日常的管理活动之中，语言和行为之间很难建立直接的联系，只有理论说教，缺少实际行动。

5.制度执行不力。制度的关键在于执行，没有执行或执行力度不够，再先进的制度也不起作用。影响内部控制和风险管理执行力度的因素很多，其中，企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素；制度本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。内部控制针对的是“事”而不是“人”，是一种“非人格”的控制机制，其控制对象不限于受控方，施控方也是内部控制的控制对象。内部控制需要全员参与、平行参与和平等参与，这与我国传统的等级制、科层制是大不相同的。

6.效果不理想。几乎所有企业单位或部门组织都有内部控制制度，而许多经济问题和腐败案件却时有发生，原因虽然众多，但与内部控制的缺失密切相关。我国内部控制主要靠政府进行外部监管，企业的“内生性”需求明显不足，外在的形式要求远远超过内在的本质需求，导致企业内部控制机构和制度形同虚设。

四、内部控制效率和效果的评价

评价内部控制效率和效果是对内部控制的“再控制”。在控制效率方面，首先是评价企业的内部控制是否符合成本效益原则。因此，企业要合理界定内部控制活动的正常开支，避免资源浪费，如果企业内部控制所花的成本大于所取得的效果，就没有必要进行控制或者减少控制环节；人力资源是内部控制的关键要素，虽然很难量化，但在内部控制效率方面起决定性作用；关于企业内部控制效果的评价，有几个要点：一是内部环境。内部环境包括法人治理结构、员工素质、企业文化等；二是控制重点。抓住了控制重点就等于把握了控制效果，控制重点的选择因人而异、因时而异、因地而异；三是信息作用。能否收集到所需信息，并及时进行传递、分析、反馈和处理，对企业内部控制的有效性起重要作用；四是整改措施。是否从内部控制中发现问题，是否采取整改意见和挽救措施等等。

五、结 语

尽管对内部控制和风险管理有不同的认识，但它们是密不可分的。内部控制随着经济发展的需要而产生，始于会计上的内部牵制；社会经济环境日趋复杂，科学技术发展日新月异，迫使企业不得不进行风险管理。内部控制和风险管理内涵相同、目标相近，只是各自的发展阶段、活动范畴、手段方法有所区别。企业内部控制和风险管理必须根据实际情况量体裁衣、实事求是，不能舍本求末、纸上谈兵。在市场经济条件下，以风险管理为导向进行内部控制，有利于企业赢得市场竞争、实现战略目标。

［1］COCO.方红星，王宏译.企业风险管理——整合框架[M].大连,东北财经大学出版社,2005,101-103

［2］郭道扬.会计史研究（第一卷）[M],北京:中国财政经济出版社,2004,38-76

［3］COSO.企业内部控制标准委员会秘书处译.内部控制——整合框架[M].大连,东北财经大学出版社,2008,76-84

［4］李志斌.内部控制的规则属性及其执行机制研究[J].会计研究,2009（2）:39-44