第二节 内部控制的概念、目标和原则

一、内部控制的概念

自20世纪30年代美国率先提出“内部控制”概念以来，内部控制的内涵和外延都发生了深刻的变化。内部控制由外部审计界发端、企业监管部门参与，通过以企业界为主体的经营管理实践的不断总结和发展，形成了完整的理论体系和实践框架。不同国家、不同组织机构基于不同角度和层次，对内部控制进行认识和分析，得到了不同的概念。

不同国家和机构对内部控制概念的界定见表11所示。

表1 1

不同内部控制概念的比较

续表

2008年6月28日，中国财政部、证监会、审计署、银监会和保监会发布了国内权威文件《企业内部控制基本规范》（以下简称“基本规范”）。被称为“中国版萨班斯法案”的《基本规范》借鉴国际惯例，立足我国国情，确立了我国企业建立和实施内部控制的基础框架。《基本规范》中界定的“内部控制”的内涵如下：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

二、内部控制的目标

（一）企业目标与内部控制目标的关系

内控控制的目标应当从属于企业目标，与企业目标方向一致。

企业的基本目标不能脱离其日常的经营。如制造业企业的基本目标就是让消费者用上高质量、价格合理的工业产品，服务企业的基本目标是为人们提供舒适的享受体验。随着商业社会的发展和管理学界的不断探究，企业对自己的定位、责任有了更全面、清晰的认识。企业的目标也从经营目标发展为更多层次的目标。

例如几家知名企业的目标如下。

（1）麦当劳公司：麦当劳公司的目标是占领全球的食品服务业。在全球范围内处于统治地位，以及在建立客户满意度标准的同时，通过执行我们“服务便利·增加价值·履行承诺”的战略，提高我们的市场占有率和盈利率。

（2）美国石油公司：美国石油公司是一个在全世界从炼油到化工制品一体化的公司。我们寻找和开发石油资源，并向我们的客户提供优质的产品与服务。我们的责任是获得优秀的财务收益，平衡我们的长期成长计划，为股东获益和履行对社会和环境的义务。

（3）英特尔公司：英特尔公司为计算机行业提供芯片、主板、系统和软件。英特尔的产品一向被看做是“建筑街区”，被用来为个人计算机用户建立高级的计算机系统。英特尔的愿景就是要成为全球新计算机行业最重要的供应商。

（4）中国国家电网公司：中国国家电网公司是全球最大的公用事业企业，以建设和运营电网为核心业务，承担着保障更安全、更经济、更清洁、可持续的电力供应的基本使命。国家电网的战略目标是建设电网坚强、资产优良、服务优质、业绩优秀（简称“一强三优”）的现代公司。

可见，不同企业的目标各异。一个共同趋势是：企业关心经营，但不仅仅是经营。企业还关注发展的可持续性，如加强产品的创新与改进、维护企业良好的公众形象、承担环保与节能方面的社会责任。

内部控制既要了解经营管理的总体目标，又要了解各个管理层的个别目标，即要把各种经营活动分解成一个或几个循环加以考察。循环包括处理一个特定交易或业务所需要的一切特定活动，诸如验证、分类、记录、报告、信息等活动。循环应与单位的组织和职责分工相一致，应与组织的总体目标相配合，以促成企业总体目标的实现。因此，控制的基本目标，都是为了保证单位完成自己的任务或者达到具体准确的目标。

内部控制的目标有多种多样的提法，但各类提法可以归纳总结成以下几个方面。

（1）保证企业各方面的决策与战略相一致，符合长远利益和可持续发展要求。（2）维护资产的安全、完整及有效使用。

（3）保证各种管理信息的存在、可靠和及时提供。

（4）尽量减少不必要的成本、费用，取得良好的财务业绩。

（5）权责划分清晰，保证各种职责得到圆满的履行，提高各项工作作业的效益和效率。

（6）预防或查明错误和弊端，为管理政策的制定寻找依据。（7）遵守各类监管规定，履行各种法律业务。

（二）不同国家和组织对内部控制目标的陈述

与内部控制的概念一样，基于不同角度和层次，不同主体对内部控制的目标的理解也有所差异。纵观内部控制理论的发展，可见在其发展初期，内部控制的目标主要在于纠错和防范舞弊。随着社会经济和技术的发展，内部控制的目标也不断深化和拓展。与不同内控框架相对应，不同的内控目标如表12所示。

表1 2

不同框架下内部控制目标的比较

（三）内部控制的目标结构

与传统的会计、审计理论相比，现有的内部控制目标考虑得更全面和具体。为了便于管理层对控制目标的理解，国内学者对内部控制的目标进行了逻辑层次的划分，构建了内部控制的目标体系，如图12所示。

1.终极目标

内部控制目标从属于企业目标。企业作为营利性的组织，关注价值的创造。不同企业会从不同的角度、不同的方式来诠释价值的真谛，并具体落实到各项业务活动中。因此，内部控制的终极目标是实现企业价值最大化。企业在设计和执行内部控制制度的过程中应以是否能实现企业价值最大化为标准。

2.基本目标

内部控制本质上是一个防御系统，其基本目标是对风险的防范与管制，防止风险对企业正常的运营造成干扰或威胁。改进的COSO框架也强调风险管理在内部控制中的重要性。

图12 内部控制目标体系

3.具体目标

在基本目标的指导下，内部控制需要针对企业面临的各种风险，制定明确和具体的目标，将基本目标具体化。结合各类表述，可将内部控制的具体目标归纳为以下4类。

（1）合规目标：遵循法律法规和内部规章制度。企业如果连法律底线都坚守不住，就不能成为合格的市场参与者，更不用说实现其发展战略。因此企业应当对国家法律、政府政策、行业监管规定足够敏感。因为一旦违法违规，企业财务状况、公众形象、商业信誉等都会遭受损失。

（2）报告目标：保证财务报告目标和内部报告的真实可靠。财务报告目标是内部控制形成初期的目标之一，可见其重要的地位。美国的《萨班斯—奥克斯利法案》、《审计准则第2号》、《审计准则5号》正是在大企业财务报告舞弊丑闻频出的社会背景下产生的，财务报告的可靠性是监管的重点。随着上市公司的增多、资本市场影响的扩大，财务报告的可靠性是广大外部决策者投资安全的保障。而随着企业内部管理需求的增加，内部报告的可靠性是管理层决策合理的保障。

（3）资产目标：保证资产的安全完整。经营性资产是企业持续经营的物质保证。适当拥有投资性资产是企业合理调配资源、管理风险的有效手段。资产安全在产权制度不健全、股东身份不明晰、治理结构不完善的情况下更应高度重视。

（4）经营目标：提高、改善企业经营的效率效果。企业的立足之本是创造价值的经营活动。内部控制通过流程梳理、组织架构、岗位设置、相互牵制等一系列的制度安排，识别生产经营活动中的风险因素，并加以防范和控制，从而提高经营效率，最终实现经营目标。

三、内部控制的原则

根据《企业内部控制基本规范》，企业建立与实施内部控制，应当遵循下列原则。

（一）合法性原则

内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。

（二）全面性原则

内部控制在层次上应当涵盖企业董事会、管理层和全体员工，在对象上应当覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。

（三）重要性原则

内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。

（四）有效性原则

内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。

（五）制衡性原则

企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。

（六）适应性原则

内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。

（七）成本效益原则

内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。

四、内部控制的影响因素及局限性

如许多管理工具一样，内部控制也并非十全十美。它会受到许多方面因素的影响，比如财务管理中的成本效益原则、系统设计人员的人为错误、管理层的串通舞弊，等等。内部控制的局限性体现在以下几个方面。

（一）受成本效益原则的约束

内部控制是依据一定的程序进行的，而这些程序需要付出一定的成本，如设计控制环节、设置岗位、配备人员、保证各环节的运行都必须付出代价、发生成本，有些甚至是沉没成本。控制的环节越多，设置的岗位就会越多，相应的成本必然提高。但是，控制过于简单又收不到应有的效果，在经营中就会出现漏洞、发生舞弊的可能性就会增加，会给企业造成较大的损失。因此，不妨把“内部控制”看成一项投资，投入的是人力物力财力，可能获得的是企业战略目标的实现。如同许多投资决策一样，在设计内部控制时必然会考虑成本效益原则。但在实践中内部控制的成本与收益却难以估计，需要个人的主观判断，而主观判断的失误可能会使需要的控制未能实施而给企业带来更大的损失。

（二）受人为错误的影响

内部控制是由人设计、靠人执行的，设计人员、执行人员的工作水平直接关系到内部控制的作用能否有效发挥。智者千虑，必有一失。由于相关人员的有限理性等方面的主客观原因，在实际中会造成内部控制程序难以百分百落实。如执行人员粗心、精力不集中、身体欠佳、判断失误或误解上级发出的指令时，内部控制很可能会失效。

（三）受串通舞弊的限制

不相容职务的分离是内部控制的一条重要原则，可以避免一个人单独从事或隐瞒不合程序的行为。但两个或两个以上的人员或部门合伙就可以避开此类控制，如出纳与会计串谋、财产保管员与财产核对人员合伙造假、审计部门与会计部门联合舞弊、业务人员与顾客供应商串谋等。

（四）受管理越权的限制

作为管理工具，任何控制程序也不能发现和防止那些负责执行监督控制的管理人员滥用职权或不正当使用权力。管理的干预一直是许多重大舞弊事件发生和财务报告失真的一个重要原因。在某些情况下，若存在担任控制职能的人员越权管理、滥用职权，即使是设计良好的内部控制，也不能发挥其应有的作用。

（五）受制度滞后的限制

内部控制是结合企业日常经营的现状进行设计建设的。但是当今的市场环境和企业内部环境都是不断变化的，当前的内控制度可能适应不了企业未来的发展模式。内控制度有其固有的滞后性。这是因为，内控系统会涉及到企业的方方面面，如组织结构、治理结构、业务活动流程，等等。一些结构性的、流程性的控制要素是比较刚性的，需要时间去建立和改变，并不能在朝夕之间就适应企业新的发展环境。内部控制发挥效用也具有滞后性，可能原先设计的制度在建立好之后，已经对企业不适用了。这要求内部控制设计人员在工作中培养长远的战略眼光。

（六）受非经常性事项的干扰

内部控制一般针对常规的业务活动而设计，具有相对的稳定性，因此可能会对不经常发生的或未能预料的例外事项不具有控制力。不经常发生的但仍属于商业范畴的事项有：调整生产线、改变经营领域、收购其他企业等。不经常发生且不属于商业范畴的事项有：国家重大的政策变更、社会动荡以及自然灾害等。一旦这些事件发生，内部控制往往就有失控和不适用的可能。

因此，内部控制不是万能的保险系统。在实践过程中应当意识到内部控制的局限性，并采取相关的应对措施。