內(nèi)部控制的三個角-目標、風險與控制

1、內(nèi)部控制的三個角：目標、風險與控制【會計實務(wù)經(jīng)驗之談】結(jié)合內(nèi)部控制的定義和五要素，可以提煉出一個簡潔的內(nèi)部控制三角：目標a風險a控制。即在內(nèi)部控制建設(shè)和實施過程中，始終要回到這三者之間關(guān)系的考量上：控制的具體目標是什么？潛 在的風險是什么？可以采取的控制措施有哪些？在學(xué)習(xí)和運用內(nèi)部控制理論和體系時，首先要深 入理解這三個核心概念。一、內(nèi)部控制目標.不同內(nèi)部控制目標體系的比較在我國內(nèi)部控制規(guī)范體系中，內(nèi)部控制建設(shè)目標可以歸納為：戰(zhàn)略目標、經(jīng)營目標、合規(guī)目標、資產(chǎn)安全目標和財務(wù)報告目標等五個目標。在國際上，COSOE 2013版的內(nèi)部控制整合框架（以下簡稱IC）列舉了三種類別的目標，即運 營目標、

2、報告目標（包括財務(wù)報告目標和非財務(wù)報告目標）和合規(guī)目標。同時，COSOE企業(yè)風險管理整合框架（以下簡稱ERM中將風險管理的目標分成四類，即戰(zhàn)略目標、經(jīng)營目標、報告 目標和合規(guī)目標。比較上述三大體系的目標，可以發(fā)現(xiàn)我國內(nèi)部控制體系目標有如下特點：第一,整合了 IC和ERM1架。不管是1992版本還是2013版本，IC都沒有納入戰(zhàn)略目標，并且 COSO1調(diào)”戰(zhàn)略設(shè)定、戰(zhàn)略目標和風險容量是 ERM勺范疇，而不屬于IC的范疇”，因此，我國 的內(nèi)部控制目標是綜合IC和ERM1架的要求，對企業(yè)實施內(nèi)部控制體系提出了更高要求。第二，強調(diào)資產(chǎn)安全目標。資產(chǎn)安全目標在IC和ERMfr均被視為是經(jīng)營目標的子目標而

3、沒有單列。我國的基本規(guī)范之所以強調(diào)資產(chǎn)安全目標，并單獨作為一個內(nèi)部控制目標，主要是因為國有資產(chǎn) 的增值保值是我國特有的國情。第三，沒有強調(diào)非財務(wù)報告目標。IC2013更新了原有IC中的財務(wù)報告目標，采用了 ERW的報 告目標，拓寬了報告的外延范圍，強調(diào)合理保證非財務(wù)報告和內(nèi)部管理報告等信息的真實完整。因此，我國內(nèi)部控制體系實際上約等同于 ERM但是，IC強調(diào)“確定目標”是“內(nèi)部控制的前提 條件”（即“目標既定論”），而不屬于內(nèi)部控制本身；ERM雖調(diào)“應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè) 之中”（即“目標設(shè)定論”），并體現(xiàn)在其風險管理八要素中的目標設(shè)定、事項識別等要素中。所 以，不能簡單將全面風險管理的八

4、要素視為內(nèi)部控制五要素的細分。.內(nèi)部控制目標的實務(wù)分類小型企業(yè)內(nèi)部控制規(guī)范（征求意見稿）規(guī)定：“企業(yè)可以綜合評估自身戰(zhàn)略安排、資源條件、 管理水平以及外部監(jiān)管要求，合理確定分階段的工作目標。階段性目標可以是實現(xiàn)某一內(nèi)部控制 目標，也可以是實現(xiàn)某幾個內(nèi)部控制目標?！蔽覈鴥?nèi)部控制規(guī)范雖然明確了五個目標，但對大多數(shù)企業(yè)來說，一次性圍繞五個目標進行建設(shè)容 易走入流于形式的窠臼，因此，適當?shù)姆椒ㄊ菍ξ鍌€目標進行切割和排序，由易到難逐漸推進內(nèi) 部控制的建設(shè)工作。從內(nèi)部控制實務(wù)的角度看，IC的報告目標可以拆解為財務(wù)報告目標和非財務(wù)報告目標。其中非財 務(wù)報告目標可以作為信息與溝通要素融入到相應(yīng)的戰(zhàn)略目標、經(jīng)營

5、目標和合規(guī)目標中。同時，資產(chǎn)安全目標也可以拆解為兩部分，即“用于保護資產(chǎn)安全且與財務(wù)報告可靠性目標相關(guān) 的控制”和“其他資產(chǎn)安全相關(guān)的控制”。對于前者可納入財務(wù)報告目標的內(nèi)部控制建設(shè)中；對 于后者則可納入經(jīng)營目標的內(nèi)部控制建設(shè)中。經(jīng)過上述重分類后，從建設(shè)和實施的角度，可以將內(nèi)部控制建設(shè)目標界定為：財務(wù)報告目標、合 規(guī)目標、經(jīng)營目標和戰(zhàn)略目標等四個目標。其內(nèi)涵各不相同，因此梳理和確定上述具體目標體系 的方法也不盡相同（詳見拙文分階段長效內(nèi)部控制建設(shè)方法初探，財務(wù)與會計2016年第13 期）。.從一般內(nèi)部控制目標到具體內(nèi)部控制目標不管是IC的“目標既定論”還是ERM勺”目標設(shè)定論”，都說明沒有清晰

6、的目標體系就不存在真 正的內(nèi)部控制建設(shè)。內(nèi)部控制規(guī)范明確的五目標屬于一般內(nèi)部控制目標，適用于所有行業(yè)的所有 企業(yè)。但是，在具體到某一家企業(yè)進行內(nèi)部控制建設(shè)時，需要將一般內(nèi)部控制目標轉(zhuǎn)換成具體的 內(nèi)部控制目標。例如，財務(wù)報告及相關(guān)信息真實完整是一般內(nèi)部控制目標，具體內(nèi)部控制目標則 是每個報表科目的存在或發(fā)生、完整性、權(quán)利和義務(wù)、估價或分攤、披露和揭示等認定。合規(guī)目 標的具體內(nèi)部控制目標也可以從一般性法律法規(guī)和行業(yè)性法律法規(guī)中梳理得到。制定資產(chǎn)目標、經(jīng)營目標和戰(zhàn)略目標的具體內(nèi)部控制目標相對比較有難度。前兩者重點在企業(yè)經(jīng)營管理的3E,即經(jīng)濟性、效率性和效果性；戰(zhàn)略目標則側(cè)重于衡量企業(yè)流程的質(zhì)量，即流

7、程的產(chǎn)出是否達到了流 程客戶（包括內(nèi)部客戶和外部客戶）的要求。內(nèi)部控制建設(shè)是否能體現(xiàn)企業(yè)的特色，關(guān)鍵就在于內(nèi)控建設(shè)是基于一般內(nèi)部控制目標開展的，還 是基于具體內(nèi)部控制目標開展的。如果是基于一般內(nèi)部控制目標開展，則會圍繞部門職責和流程 來進行風險評估，建設(shè)成果可能很豐富，但因為沒有深入業(yè)務(wù)，對經(jīng)營效率和效果以及戰(zhàn)略提升 的幫助并不很大，因而無法讓企業(yè)高管層滿意?；诰唧w內(nèi)部控制目標的建設(shè)，則是以企業(yè) KPI為核心，構(gòu)建績效指標體系，并對指標體系進行 風險評估，進而優(yōu)化流程。在據(jù)以績效指標進行風險評估時，往往會發(fā)現(xiàn)很多基于職能和流程無 法發(fā)現(xiàn)的風險，例如在對銷售指標進行風險評估時，可能會發(fā)現(xiàn)銷售人

8、員的銷售技巧不足導(dǎo)致業(yè) 務(wù)開發(fā)業(yè)績不達標。二、控制風險我國企業(yè)內(nèi)部控制基本規(guī)范體系采用了 ERM勺框架，將風險劃分為內(nèi)部風險和外部風險，并列舉 了風險評估中應(yīng)當關(guān)注的諸多因素。中央企業(yè)全面風險管理指引 及其相關(guān)評價規(guī)定則進一步將 風險劃分為戰(zhàn)略風險、財務(wù)風險、市場風險、運營風險和法律風險五大類，并且每大類內(nèi)部又分 解為一級、二級和三級風險。在實務(wù)中，很多中介機構(gòu)也利用風險地圖、風險宇宙、風險清單、風險數(shù)據(jù)庫等方式，為客戶進 行內(nèi)部控制建設(shè)。這種按條塊進行橫向分割的風險管理方法，優(yōu)點很明顯，可以利用MECE枚舉分析法）的方式構(gòu)建完整的風險清單和指標體系。但其缺點也同樣突出，清單中的風險前后之間

9、沒有邏輯關(guān)系、不分主次輕重，只見樹木不見森林，導(dǎo)致相關(guān)風險不是沒有控制措施就是僅僅列 示不具有可操作性的原則控制要求，或者造成為了控制而控制的局面，增加不必要的管理成本。以銷售活動為例，銷售活動面臨的最大風險是銷售不足（圖1）。銷售不足的原因可能是產(chǎn)品定位問題（戰(zhàn)略風險），也可能是競爭者提供了更具優(yōu)勢的解決方案（市場風險），或客戶受資金不足 而出現(xiàn)的需求不足（運營風險）等。針對客戶資金不足問題，我們可以采取擔保政策，也可以采 取信用管理政策。如果采取信用管理政策，則隨之而來的就是如何確定客戶的授信額度問題。如 授信過高（財務(wù)風險）則會導(dǎo)致后期壞賬和催款成本激增；如授信不足（運營風險），又無法對

10、銷售起到刺激作用，因此，需要一個授信額度的審批程序來規(guī)范授信過程?？梢?，企業(yè)中的任何一項日常經(jīng)濟活動都是以剝洋蔥的方式，以流程體系層層展開的，其中交織 地面臨著諸多不同類型的風險，因此，需要將風險還原到實際的工作環(huán)境中去，才能使風險管理 更符合控制人員的工作思維，更能為控制人員所理解和實施相關(guān)控制。解決這個困境的方法就是在原有條塊橫向分割的基礎(chǔ)上，再按風險影響的涉及面縱向劃分為：戰(zhàn) 略性風險、戰(zhàn)術(shù)性風險和操作性風險三個層次。仍以銷售活動為例，銷售不足為戰(zhàn)略性風險；授 信不足或過高為戰(zhàn)術(shù)性風險；授信審批沒有按照要求執(zhí)行則為操作性風險。構(gòu)建自上而下的風險 指標體系即符合企業(yè)目標管理、績效管理和流程

11、管理的原理，又能通過追蹤至操作性風險來檢查 是否所有戰(zhàn)略性風險和戰(zhàn)術(shù)性風險都已得到有效控制。實務(wù)中，可以將原有的橫向風險清單作為索引工具，這樣既便于合規(guī)性檢查，又便于員工按圖索 驥，理解相關(guān)風險的具體控制措施及其在整個業(yè)務(wù)循環(huán)中的前后配合協(xié)調(diào)工作。從與目標的關(guān)系看，戰(zhàn)略目標跟戰(zhàn)略性風險、戰(zhàn)術(shù)性風險和操作性風險均相關(guān)；除此之外的其他 目標，則多與后兩類風險相關(guān)。三、控制措施1.控制措施的具體內(nèi)容在實務(wù)中，經(jīng)常會有企業(yè)的管理層特別是高管，抱怨內(nèi)部控制體系就是增加一堆表格和簽字，但 卻沒有人能解釋為什么要簽字；同時，企業(yè)管理層真正希望解決的問題，卻幾乎沒有觸及到。造成這種局面的直接原因就是缺乏對風險

12、層次的清晰認識，進而導(dǎo)致在內(nèi)部控制建設(shè)過程中只局 限在操作性的業(yè)務(wù)流程層面，而忽略了或者無法將針對戰(zhàn)略性風險和戰(zhàn)術(shù)性風險的控制措施落實 到位。如果企業(yè)戰(zhàn)略性層面的源頭風險沒有管住，操作性層面工作做得越好可能只是在錯誤的道 路上越走越遠。戰(zhàn)略性風險的主要控制措施是完善決策機制和企業(yè)定位，常見的內(nèi)部控制措施包括決策程序、決 策標準和決策能力的建設(shè)。企業(yè)戰(zhàn)略目標的涉及面從抽象到具體可以包括愿景、定位、規(guī)劃和產(chǎn) 品，因此，對戰(zhàn)略風險的管控措施更多是從資產(chǎn)組合、決策 /定位和培養(yǎng)競爭優(yōu)勢等著手。戰(zhàn)略性 風險的內(nèi)部控制建設(shè)成果可以體現(xiàn)在公司治理文件、集團管控模式、企業(yè)的戰(zhàn)略定位和商業(yè)模式 等載體中。戰(zhàn)術(shù)性

13、風險的主要控制措施就是完善管理機制，常見的內(nèi)部控制措施包括崗位設(shè)置、預(yù)算管理、運營分析、績效管理和預(yù)警機制等，具建設(shè)成果可以體現(xiàn)在崗責體系、流程體系/價值鏈（即一級流程）和基本管理制度等載體中。操作性風險的主要控制措施是作業(yè)動作，常見的具體措施包括不相容職責分離、授權(quán)/審批、查證 /核對/復(fù)核、財產(chǎn)保護和會計系統(tǒng)控制等，其建設(shè)成果可以體現(xiàn)在權(quán)限指引、具體管理制度、標 準操作流程（對流程體系的細化和分解）和業(yè)務(wù)表單等載體中。在企業(yè)管理中，這三個層次的管理活動是層層推導(dǎo)的，因此，同樣的戰(zhàn)略定位可能因為不同的策 略而需要不同的管理機制和業(yè)務(wù)流程，進而需要不同的控制措施。比如，同樣以創(chuàng)新戰(zhàn)略作為戰(zhàn) 略

14、性風險的控制措施，索尼公司將研發(fā)團隊分為三個小組，第三組的任務(wù)就是淘汰前面兩組的產(chǎn) 品；而3M公司則鼓勵員工利用20%勺工作時間和公司的資源去做自己的發(fā)明創(chuàng)造。兩者落實戰(zhàn)略 的管理機制不同，對應(yīng)的流程活動和控制措施也將大相徑庭；但兩者最終都在市場上取得了成功 2.將控制措施嵌入管理過程法約爾在管理史上首先研究并定義了管理的要素，包括：計劃、組織、命令、協(xié)調(diào)和控制。所以， 內(nèi)部控制不是拋開原有的管理體系另起爐灶，而“是管理過程的一部分”。內(nèi)部控制體系建設(shè)的 過程，不是另外編寫一套手冊，而是對原有的管理體系進行診斷和梳理，并將之改造成符合內(nèi)部 控制規(guī)范要求的管理體系。因此，可以說控制活動和管理活動

15、是點和面的關(guān)系。內(nèi)部控制建設(shè)最直觀的成果就是內(nèi)部控制手冊，其核心內(nèi)容是風險控制矩陣和流程圖等。由于控 制矩陣是針對風險點而采取的控制措施，因而是點狀的且并不能完整地體現(xiàn)管理流程的全貌，所 以，常常會聽到企業(yè)各級人員抱怨內(nèi)控手冊的實用性很差，這是對內(nèi)部控制手冊使用上的一個很 大誤區(qū)。正確理解內(nèi)部控制手冊的使用應(yīng)當包括兩個層面。第一，內(nèi)部控制手冊使用者主要是內(nèi)部審計人 員和外部審計師，供其在內(nèi)控自我評價和內(nèi)控審計鑒證時快速確定關(guān)鍵控制點；第二，在內(nèi)部控 制手冊完成后，企業(yè)需要將風險控制矩陣中的控制措施，更新到原有的制度和流程文件中去，并 且以劃線標注或編號標注等方式體現(xiàn)出哪些是控制措施。對于非內(nèi)部審計部門而言，內(nèi)部控制手 冊在日常工作中，只能作為