[摘要]内部控制及其相关问题是广为理论界和实务界所关注的话题，证券监管部门也对内部控制的评价提出了要求，财政部最近也发布了《内部会计控制基本规范》的征求意见稿。对内部控制进行评价存在着许多现实的制约因素，需要首先对内部控制的设置、评价标准作出规范，本文对相关问题提出了自己的看法。

　　一、问题的提出

　　中国证监会2000年11月发布的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度，并在招股说明书正文中专设一部分，对其内部控制制度的完整性、合理性和有效性作出说明。同时规定，商业银行、保险公司、证券公司还应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价，提出改进建议，并以内部控制评价报告的形式作出报告。财政部最近也发布了《内部会计控制基本规范》(征求意见稿)等有关文件，将对单位内部控制问题作出专门规定。

　　无疑，上述政策和规定的出台和拟定，对改善我国企业的内部控制的现状、完善公开发行证券公司信息披露制度、保护投资者的合法权益并保证资本市场的有效运行有着非常重要的意义，但从目前条件来看，有效地执行相关规定，仍然存在着很多制约因素。

　　1、内部控制的完整性、合理性及有效性缺乏一个公认标准。我国尚未正式提出权威性很高的内部控制标准体系，对于内部控制的完整性、合理性及有效性更是缺乏一个公认的标准体系，现行的规范制度中，只有审计准则第九号《企业内部控制与审计风险》和新修订的《会计法》正式提出了若干与内部控制相关的要求，但立足点和出发点分别是从报表审计的角度和对企业内部控制的规定的角度来进行的规范。刚刚发布的《内部会计控制基本规范》只是征求意见稿，而且该规范的诸多内容是非常原则性的，相当于财务会计概念框架的层次。正是由于没有一个具有较强可操作性的对内部控制的完整性、合理性及有效性的判别标准，要求注册会计师出具内部控制评价报告就是一种非常不现实的要求。即便出具内部控制评价报告，不同的注册会计师对企业内部控制发表的意见结论也很难具有可比性。　2、我国企业内部控制普遍薄弱。目前，我国绝大多数企业还未意识到内部控制的重要性，对内部控制也存在很多误解，甚至有些企业对内部控制的概念非常模糊，再加上公司治理结构上的先天不足以及组织结构和人员素质等方面的原因，致使我国企业内部控制普遍薄弱。在这种卷件下要求注册会计师出具内部控制评价报告，存在很大的困难，进行操作时也会遇到重重阻力，最后的结果往往是内部控制评价报告仅仅流于形式，不具有任何的实际意义，也达不到要求注册会计师出具内部控制评价报告的最初目的。

　　3、内部控制信息不一定是投资者需要的信息。内部控制信息是否为投资者所需要的信息，尚无人对此理解和接受能力，不能给信息使用者带来信息超载的负面作用。从公司治理、所有权与经营权相分离以及投资者本身的素质水平来看，现阶段的投资者更关心的是企业运营的结果，即受托责任的履行情况，并非关心其过程。当然，从企业持续、长远的发展来看，需要以良好的内部控制作为支持，投资者也应该会越来越关心这一方面的信息，但现时没有这一方面的明显需求。

　　4、内部控制信息对外披露，可能会造成许多社会问题。对外披露的内部控制信息，既包括企业自身对外披露的内部控制信息，也包括注册会计师对企业内部控制的评价意见。首先的一个问题便是企业会不会如实对外披露相关的内部控制，如实对外披露相关内部控制会不会带来不必要的负面影响，企业的管理当局能否实现在其内部控制中的承诺。其中的问题便是注册会计师能否如实出具内部控制评价报告，能否对其出具的报告负责，会不会带来新的审计期望差距，又进一步造成不必要的诉讼和纠纷。另外，在我国企业内部控制普遍薄弱的条件下，注册会计师如果如实出具内部控制评价意见的话，会不会造成资本市场上的混乱。这些都是必须要慎重考虑的问题。

5、内部控制的评价可能超越了注册会计师的专业胜任能力。当前，注册会计师对企业内部控制制度的评价是站在报表审计的角度上，为了确定实质性测试的广度和深度而对企业的内部控制的完整性和有效性进行测试和评价，测试和评价的内容主要是对报表数据的公允性和真实性有影响的部分，即内部会计控制部分。从绝大多数会计师事务所目前的情况来看，注册会计师大都为会计、财务领域的专业人才，要求注册会计师对企业的内部控制进行评价并出具评价意见报告，从某种程度上来说已经超越了注册会计师的专业胜任能力。每个企业的业务性质、经营规模等都是不同的，所设立的内部控制更是深入到企业经营的方方面面，只有职业经理人才能有效地制定、评价和完善企业的内部控制，注册会计师只能对其在执业过程中发现的企业内部控制所存在的缺陷和改进建议以管理建议书的形式呈交企业的管理当局，并且不对外披露。

为改善企业内部控制现状，完善内部控制信息的披露，保护投资者利益，使资本市场有效运行，使上述规定得到有效地执行，笔者认为需要尽快制定内部控制标准及内部控制评价规范。

二、内部控制标准的制定为了改善企业内部控制普遍薄弱的现状，笔者认为应该在规范公司治理结构的同时来规范公司的内部控制，并明确管理当局对企业内部控制应承担的责任，使其真正意识到内部控制的重要性，而不是仅仅为了达到上市筹集资金或维持上市资格所做的一种形式上的包装。

　　正如只有制定出会计原则和具体准则后，才能以相应的规范为依据来判断企业报表信息的公允性、真实性一样，也只有制定出企业内部控制的规范以后，注册会计师才有了判断企业内部控制完整、合理有效的标准。

　　1、内部控制的定位。在我国提出的《内部会计控制基本规范》(征求意见稿)之前，我国在独立审计准则中将内部控制定义为:内部控制是指企业为了保证业务活动的有效进行，保证资产的安全和完整，防止、发现、纠正错误与舞弊。保证会计资料的真实、合法、完整而制定和实施的政策与程序，由控制环境、会计系统和控制程序构成。COSO委员会在其于1994年修改的《内部控制面--- 整体框架》中对内部控制的定义为:企业的内部控制是受企业董事会、管理当局、和其他职员的影响，目的在于取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程，应由控制环境、风险评估·控制活动、信息沟通、监督五个方面的内容构成。

将内部控制相关规范的制定作为完善公司治理及国有企业改革的重大举措，对内部控制的定位非常关键。在我国当前的国情条件下，应当把对内部控制的定位确定在原有的内部控制定义的基础上按照目前的条件进行补充修订，还是干脆借鉴COSO的委员会提出的报告中的条款，或者是遵循具有适当前瞻性的原则来定义内部控制，是一个关键的问题。 按照笔者的观点，我们对内部控制的定位，原来一直是站在制度基础审计的角度上的，如果站在完善公司治理、改善国有企业的现状的角度上的话，对内部控制有必要进行重新定位，不能够仅仅在某些方面修修补补;另外，现在在国际、国内为大家或讨论取舍或直接全盘接受的COSO报告，是否适合我国的国情是一个需要规范制定部门、实务操作部门慎重考虑的问题。任何一项规范的制定既要考虑现行条件的限制，同时也要具有一定的发展的眼光，以避免由于日后的频繁的修订影响规范的可操作性及稳定性。

2、内部控制的目标。内部控制的目标是内部控制存在及存在形式的根本，也是建立内部控制框架以及考核、评价内部控制的指导性参照物。内部控制的目标，按照我国原有相关规范中的内容，包括:保证业务活动的有效进行;保证资产的安全完整;防止、发现、纠正错误与舞弊;保证会计资料的真实、合法、完整。按照COSO报告，内部控制的目标包括:取得经营效果和效率;保证财务报告的可靠性;保证遵循适当的法规。可以看出COSO委员会报告中对内部控制的目标包括的内容更为宽泛，尤其是取得经营的效果和效率，企业达到这一目标要涉及到企业方方面面的活动，也涉及到对经营取得效果的考核和对经营效率评价标准的确定问题。

我国于2001年2月14日发布的《内部会计控制基本规范》(征求意见稿)中，将内部控制的目标归纳为五个方面，其中除了包含了原有的确保经营目标的实现、防止发现纠正错误与舞弊、保证财产安全、保证会计资料的真实完整、确保各项法规及内部制度的执行外，还强调了:建立风险控制系统，强化风险管理，确保单位各项业务活动的健康运行。对风险控制系统的建立作为独立的内部控制的二项目标，与我国当前的企业在运转过程申忽视风险的控制，有时甚至存在盲目使用资金等隐藏巨大风险的运营行为有关，非常适合我国的需要，也能够在很大程度上促进公司治理结构的完善和加快国有企业的改革。

3、内部控制的基本构成及设置方法。企业内部控制的设立，需要考虑企业自身的经营特点来进行，同时应当兼顾可操作性和控制成本的合理性。

内部控制的基本构成要素的确定与内部控制的设立方法往往是联系在一起的。按照COSO报告及我国台湾地区的有关规范，内部控制的构成要素由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成，内部控制的设立是按照业务循环及每个业务循环的五项构成要素来进行的。我国在 《内部会计控制基本规范》(征求意见稿)中，并没有明确内部控制的构成要素，而是直接列出了内部控制的内容，从一定程度上来讲也就限定了内部垮制的设置是按照业务项目来进行的。

企业的业务按项目来划分可以分为许多种，因此，按照业务项目来设置内部控制制度，首先面临的问题就是内部控制制度会很多，而且不容易被企业及企业各部门所理解。另外，按照业务项目设置内部控制，会出现大量的内部控制制度的重复。笔者认为，对内部控制的设置可以借鉴COSO的报告和我国台湾地区的做法，按照业务循环来进行。按照业务循环设置内部控制可以避免按照业务项目设置内部控制的缺陷，且对不同业务性质的企业更具有普遍性的指导意义。