宋蔚蔚1 王和友2 廖晓艳1
（1、重庆工学院；2、武汉市中船重工712研究所）


2007年3月由财政部公布的《企业内部控制规范（征求意见稿）》（以下简称新规范）合理借鉴了以美国coso报告为代表的国外内部控制框架，并且根据我国国情进行了调整和改进，与我国企业所处的具体环境，国家有关法律法规，经营管理实践相协调。规范的制定以风险控制为其思路引路，财务报告控制为主线，为企业进行内部控制的自我评估和外部评价提供统一标准。
一、基本面：结构与原则的变化
(一)结构 与2001年财政部颁布《内部会计控制——基本规范》（以下简称旧规范）相比，新规范不再称每个规范为“内部会计控制规范”，而称其为“内部控制规范”，这也标志着我国的内部控制制度已脱离了原来的“内部控制结构阶段”，真正地进入了以COSO报告要素为主导的“内部控制整体框架阶段”。
此次颁布的规范共有18个规范，其中基本规范1个，具体规范17个，包括:货币资金、采购与付款、存货、对外投资、工程项目、固定资产、销售、筹资、成本费用、担保、合同、对子公司的设置、财务报告的编制、信息披露、预算、人力资源、计算机信息系统，同时财政部正在加紧研究和起草关联交易、资产减值、公允价值、企业合并与分立、衍生工具、中介机构聘用等9项具体规范和有关评价标准、实施办法。
新规范与旧规范相比，不但数量上有了扩展，其内容也更为广泛和深入。旧规范主要立足于会计项目，而新规范主要由财务报表项目，财务报表编报以及制度支持等三个层次构成（图1），增添了人力资源、计算机信息系统以及信息披露等内容。由此可以看出新规范除了强调业务循环，更强调风险控制的薄弱环节。


图1
(二)原则 新规范规定，企业建立和实施内部控制应遵循合法性原则、全面性原则、重要性原则、有效性原则、制衡性原则、适应性原则、成本和效益原则等七条原则。和旧规范相比，增加了一条重要性原则，即内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。由此可以看出，新规范强调对高风险领域和重要事项区别看待，采用更加严格的措施。（1）“制衡性原则” 代替了旧规范中的“不相容职务相分离的原则”，强调企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。（2）修订了对适应性原则的描述，即内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。此次新规范还专门制定了一项具体规范，即计算机信息系统，充分反映了其在会计财务电算化广泛应用的环境下的适应性。
二、具体内容：目标、要素与风险
（一）目标 《独立审计具体准则第9号——内部控制与审计风险》中内部控制的目标包括：保证业务活动按照适当的授权进行；保证所有的交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求；保证对资产和记录的接触、处理均经过适当的授权；保证账面资产与实存资产定期核对相符。《独立审计具体准则第9号——内部控制与审计风险》的目标着重是从会计角度，更加强调内部控制保证相关会计处理过程的正确性和合理性。旧规范则说明了内部会计控制应达到的目标为：“规范单位会计行为，保证会计资料真实、完整；堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保护单位资产的安全完整；确保国家有关法律法规和单位内部规章制度的贯彻执行。”同样是从会计的角度，但是从事后处理的角度出发，强调 “防错和纠错”。
新规范第4条对内部控制的目标也做出了详细规定：“内部控制，是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循国家法律法规和有关监管要求。”由此可以看出，该目标参照了2004年美国颁布的《Enterprise Risk Management-Integrated Framework>》(简称ERM企业风险管理框架)目标的制定，ERM中包括内控的目标为战略目标、经营目标、报告目标、合法目标，同时考虑了我国的国情(国有大型企业比重大，国有资产流失严重)，加入了资产的安全和完整这一项。
合法目标是基础，战略目标、经营目标、资产的安全完整目标企业出于自身动力的要求会主动去实现，而唯有报告目标，在某种需要下可能发生扭曲和违背，所以新规范中还强调“有义务对外提供财务报告的企业，应当确保财务报告及管理信息的真实、可靠和完整，具备条件的，还应同时实现其他控制目标。”即将财务报告及信息的真实、可靠和完整放在首位。因为企业的经营管理活动要通过财务报告来反映，抓住了财务报告内部控制这条主线，在一定程度上也抓住了企业经营管理与内部控制的重心和主体，同时保证财务报告真实可靠，是企业的法定责任，是维护社会公众利益的基础环节，强化财务报告内部控制机制建设是提升企业市场形象与诚信度、维护社会公众利益的基本要求。
（二）要素 1996年《独立审计具体准则第9号——内部控制与审计风险》认为内部控制包括控制环境、会计系统和控制程序，并且对这三个要素所应采取的审计程序和影响因素分别进行了论述。注册会计师审计准则第1211号对内部控制的要素分为：控制环境；风险评估；信息系统和沟通；控制活动；对控制的监督。相对于其征求意见稿中内部控制的要素（控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统（包括相关的业务流程）和沟通、控制活动、对控制的监督）去掉了修饰和限定语，完全与COSO报告一致。
而新规范则规定：“企业内部控制涵盖企业经营管理的各个层级、各个方面和各项业务环节。不同所有制形式、不同组织形式、不同行业、不同规模的企业可以结合实际情况，从不同的角度入手建立健全内部控制。但是，建立有效的内部控制，至少应当考虑以下基本要素：内部环境，风险评估，控制措施，信息与沟通，监督与检查。”由此可以看出，新规范仍然参照1992年COSO报告的五要素，并没有引入ERM的8要素，“至少应当考虑”为以后内部控制要素的扩展留有一定的余地。其中，对风险评估这个要素的定义为：“是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。”风险评估主要包括目标设定、风险识别、风险分析和风险应对。对风险评估要素的分解，实质上对应的就是ERM的风险评估要素的分解：目标制定，事项识别，风险评估，风险反映。内部环境要素则主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。其中的人力资源政策专门为一个具体规范，这是一个创新，也强调内部控制中“人”的重要性。另一方面，对于责任的承担，为避免互相推诿的现象，规范也明确了责任：“企业董事会应当充分认识自身对企业内部控制所承担的责任，加强对本企业内部控制建立和实施情况的指导和监督。董事长对本企业内部控制的建立健全和有效实施负责。经理根据法定职权、企业章程和董事会的授权，负责组织领导本企业内部控制的日常运行。总会计师在董事长和经理的领导下，主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。”
（三）风险要素 新规范将风险定义为对实现内部控制目标可能产生负面影响的不确定性因素。而ERM框架中的风险，则提出“事项”这一更加中性的概念，即源于内部或外部的影响目标实现的事故或事件。事项可能有负面影响，也可能有正面影响或者两者兼而有之。风险是一个事项将会发生并给目标实现带来负面影响的可能性。机会是一个事项将会发生并给目标带来正面影响的可能性，带有负面影响的事项阻碍价值创造，或破坏现有的价值，而机会支持价值创造和保持。新规范更加强调的是负面影响的事项，也提出其中应关注的风险因素。
应当关注的内部风险因素一般包括：高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素；经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素；财务状况、经营成果、现金流量等基础实力因素；研究开发、技术投入、信息技术运用等技术因素；营运安全、员工健康、环境污染等安全环保因素。
应当关注的外部风险因素一般包括：经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素；法律法规、监管要求等法律因素；文化传统、社会信用、教育基础、消费者行为等社会因素；技术进步、工艺改进、电子商务等科技因素；自然灾害、环境状况等自然环境因素。
在风险应对措施中，也给出了具体内容，即企业应当根据风险分析情况，结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平，确定风险应对策略。风险应对策略一般包括风险回避、风险承担、风险降低和风险分担等。这与ERM框架中的风险应对策略完全一致(avoidance， reduction， sharing， acceptance)。企业对超出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，应当实行风险回避。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可以实行风险承担。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他人力量，采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险分担。风险应对策略与企业的具体业务或者事项相联系，不同的业务或事项可以采取不同的风险应对策略，同一业务或事项在不同的时期可以采取不同的风险应对策略，同一业务或事项在同一时期也可以综合运用风险降低和风险分担应对策略。
在新规范中尽管强调了风险因素、风险应对措施，但对内部控制风险管理的局限性少有论述，没有考虑到内部控制失效的情况。人们在决策过程的判断可能有纰漏，有关应对风险和建立控制决策需要考虑相关的成本和效益，类似简单误差或错误的个人缺失可能会导致故障的发生，控制可能会因为两个或多个人员的串通而被规避，以及管理当局有能力凌驾于企业风险管理决策之上等.这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证，而只是合理的保证。