内部控制：概念与目标

（一）内部控制的概念

1．COSO委员会对内部控制的定义

成立于1985年的COSO委员会负责制订有关大型和小型企业实施内部控制系统的指南。1992年COSO委员会的内部控制框架对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。”COSO委员会的观点是：内部控制不是万能的；内部控制本身也会出问题；内部控制受资源限制。

2．中国《企业内部控制基本规范》对内部控制的定义

内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

首先，这一定义强调了企业领导者尤其是董事会、监事会和经理层在建立和实施内部控制中的重要作用。如果企业领导者对于内部控制没有足够的认识和高度的重视，内部控制是难以有效实施的。其次，明确了内部控制是全体员工的共同责任。企业的各级管理层和全体员工都应当树立现代管理理念，强化风险意识，以主人翁的姿态积极参与内部控制的建立与实施，并主动承担相应的责任，而不是被动地遵守内部控制相关规定。最后，指明了内部控制是一个过程。同时，内部控制又是一个不断优化完善的过程，只有起点，没有终点，必须坚持不懈、持之以恒地持续改进。

（二）内部控制分类

1．按控制的目的分类

按控制的目的分类，可分为财产物资控制、会计信息控制和经营决策控制。

（1）财产物资控制：为保护财产物资的安全完整所实施的控制。例如，材料的验收和领用制度、固定资产的定期盘点制度等。

（2）会计信息控制：为保证会计信息的真实可靠所实施的控制。例如，会计凭证的复核制度、会计记录的定期核对制度等。

（3）经营决策控制：为保证经营决策的贯彻执行所实施的控制。例如，质量控制、计划控制等。

2．按控制的功能分类

按控制的功能分类，可分为预防式控制和察觉式控制。

（1）预防式控制：为防止错弊的发生所实施的控制。授权审批控制、职责分工控制等。

（2）察觉式控制：为及时查明已发生的错弊所实施的控制。实物盘点、会计记录核 对等。

3．按控制的时间分类

按控制的时间分类，可分为事前控制、事中控制和事后控制。

（三）内部控制的目标

1．COSO委员会内部控制框架界定的内部控制目标

（1）财务报告的可靠性。

（2）经营的效果和效率。

（3）遵守适用的法律法规。

2．中国《企业内部控制基本规范》界定的内部控制目标(www.xing528.com)

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和结果、促进企业实现发展战略。

企业经营管理合法合规强调的是企业要在法律允许的经营范围内开展经营活动，严禁违法经营，非法获利。

资产安全主要是防止资产流失。要确保企业的各项存款等货币资金的安全，防止被挪用、转移、侵占、盗窃。同时还要保护实物资产，防止低价出售，要充分发挥资产效能，提高资产管理水平。

财务报告及相关信息真实完整反映了企业的经营业绩，乃至企业的价值增值过程。财务报告反映企业的过去与现状，并可预测企业的未来发展，是投资人进行投资决策、债权人进行信贷决策、管理者进行管理决策和宏观经济调控部门进行政策决策的重要依据。同时，财务报告作为社会公共产品，其真实完整地体现了企业履行的社会责任。

提高经营效率和结果构成企业内部控制的重要目标。企业建立和实施内部控制的内在要求之一是相互制衡、相互监督，这一要求看似与提高效率效果相矛盾，实际上是协调一致的。因为忽视控制的经营管理，将导致重大风险的发生，可能造成企业难以为继，最终降低了经营的效率效果。因此，企业必须正确认识和处理强化内部控制与提高效率效果的关系。

促进企业实现发展战略是内部控制的最高目标，也是终极目标。只要企业在内部控制上下功夫，切实保证经营管理合法合规、资产安全完整、财务报告及相关信息真实可靠、经营效率效果稳步提高，就一定能提高核心竞争力，促进实现发展战略。

以上五个控制目标中，经营管理合法合规、资产安全、财务报告及相关信息真实完整是内部控制的基础目标。

（四）内部控制的局限性

内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响。这些限制包括以下内容。

（1）在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。例如，控制的设计和修改可能存在失误。同样地，控制的运行可能无效，例如，由于负责复核信息的人员不了解复核的目的或没有采取适当的措施，内部控制生成的信息（如例外报告）没有得到有效使用。

（2）控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避。例如，管理层可能与客户签订“背后协议”，修改标准的销售合同条款和条件，从而导致不适当的收入确认。再如，软件中的编辑控制旨在识别和报告超过赊销信用额度的交易，但这一控制可能被凌驾或不能得到执行。

（3）在设计和执行控制时，管理层可能会对选择执行控制的性质和范围以及选择承担的风险的性质和程度做出判断。

此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。被审计单位实施内部控制的成本效益问题也会影响其效能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。

（五）与内部控制相关的概念

1．内部控制与经营管理

内部控制在经营管理中处于中心地位，接近管理本质。改善经营管理是完善严密内部控制制度的目的，完善严密的企业内部控制制度是改善经营管理不可缺少的手段。并非所有的管理活动都是内部控制。

2．内部控制与内部审计

内部审计为组织内的一种评估活动，是内部控制的一个重要组成部分。内部控制的基本目的在于促进组织的有效运营；而内部审计的目的在于协助管理阶层调查、评估内部控制制度、适时提出改进建议，以求内部控制制度得以持续实施。二者紧密相关，先有内部控制之建立，后有内部审计之评估。

3．内部控制与公司治理

公司治理包括内部公司治理和外部公司治理。内部公司治理：（或称法人治理结构、内部监控机制）是由股东大会、董事会、监事会和经理等组成的用来约束和管理经营者的行为的控制制度。外部公司治理（或称外部监控机制）是通过竞争的外部市场（如资本市场、经理市场、产品市场、兼并市场等）和管理体制对企业管理行为实施约束的控制制度。

内部公司治理与内部控制主要区别：一是内部公司治理解决的是股东、董事会、经理及监事会之间的权责利划分的制度安排问题，更多的是法律层面的问题；二是内部控制是管理当局（董事会及经理阶层）建立的内部管理制度，是管理当局对企业生产经营和财务报告产生过程的控制，属于内部管理层面的问题。

内部控制解决的是管理当局与其下属之间的管理控制关系，其目标是保证会计信息的真实可靠，防止发生舞弊行为。换言之，内部控制是在公司治理解决了股东、董事会、监事会、经理之间的权责利划分之后，作为经营者的董事会和经理为了保证受托责任的顺利履行，而做出的主要面向次级管理人员和员工的控制。内部控制并不能够约束最高管理当局本身。二是内部公司治理是基于所有者与管理者之间的委托代理关系而产生的；内部控制则是基于管理当局与其下属高级管理人员之间、高级管理人员与低阶层管理人员、管理人员与一般员工之间的委托代理关系而产生的，主要是防止下级管理人员和工人的偷懒、盗窃、欺骗和其他导致生产经营无效率的行为，保障企业目标的实现。