為了遏制財務舞弊等行為，各國政府都在著手研究制定相關法規(guī)，以強化對本國企業(yè)經營行為的監(jiān)管，促進企業(yè)建立完善的內部控制體系，以防范財務舞弊行為的發(fā)生。我國對于企業(yè)內部控制的研究起步較晚，內部控制規(guī)范體系的建設也相對滯后，近兩年在政府和相關部門充分重視和大力推廣下，我國現行企業(yè)內部控制規(guī)范體系建設取得了較大的成績，但也仍然存在著一些亟待解決的問題。本文就此進行了比較深入的分析，并提出進一步改進的建議。

　　一、我國企業(yè)內部控制規(guī)范建設的現狀我國企業(yè)內部控制規(guī)范建設正在經歷著循序漸進、逐步完善的發(fā)展過程，這些規(guī)范建設主要是由政府、證券監(jiān)督管理部門和行業(yè)監(jiān)管機構等制定的有關法律、法規(guī)、指引。

　　根據制定部門以及適用范圍，可劃分為以下四個層次：

　　第一層次是適用于所有企業(yè)的基礎性規(guī)范。包括中國注冊會計師協(xié)會1996年發(fā)布的《獨立審計具體準則第9號——內部控制與審計風險》，財政部2001年至2004年先后發(fā)布的《內部會計控制規(guī)范——基本規(guī)范》，《內部會計控制規(guī)范——貨幣資金》、《內部會計控制規(guī)范——采購與貨款》、《內部會計控制規(guī)范——銷售與收款》、《內部會計控制規(guī)范——擔?！贰ⅰ秲炔繒嬁刂埔?guī)范——對外投資》、《內部會計控制規(guī)范——工程項目》等具體會計控制規(guī)范性文件。財政部的這些文件多是針對企業(yè)的內部會計控制，旨在指導企業(yè)構建一個由組織結構、職務分離、業(yè)務程序、處理規(guī)程等因素組成的會計控制系統(tǒng)，還不是真正意義上的由內部控制目標及要素構成的、涉及企業(yè)所有經營活動及行為的內部控制規(guī)范。

　　第二層次是上市公司監(jiān)管機構中國證監(jiān)會發(fā)布的有關規(guī)則。包括中國證監(jiān)會2001年和2002年分別發(fā)布《證券公司內部控制指引》、《證券投資基金管理公司內部控制指導意見》，2006年發(fā)布《首次公開發(fā)行股票并上市管理辦法》。在《首次公開發(fā)行股票并上市管理辦法》中規(guī)定：首次公開發(fā)行股票的發(fā)行人的內部控制在所有重大方面必須是有效的，并須由注冊會計師出具無保留結論的內部控制鑒證報告。深圳證券交易所和上海證券交易所則緊隨其后，迅速出臺了《深圳證券交易所上市公司內部控制指引（征求意見稿）》和《上海證券交易所上市公司內部控制指引》。中國證監(jiān)會和滬深交易所發(fā)布的上述指引，無論在內部控制概念的界定、控制目標的設定，還是內部控制要素的確定上，都全面反映了COSO的ICIF框架內容的精髓。

　　第三層次是各行業(yè)監(jiān)管機構發(fā)布的內部控制規(guī)范方面的文件。如中國人民銀行2002年頒布的《商業(yè)銀行內部控制指引》，較為完整地借鑒了COSO的內部控制框架，確立的內部控制五要素與COSO內部的五要素完全相同，即包括控制環(huán)境、風險識別與評估、控制活動與措施、信息溝通與反饋、監(jiān)督與評價?！渡虡I(yè)銀行內部控制指引》的內部控制目標和基本原則等內容充分吸收了1998年巴賽爾銀行監(jiān)管委員會發(fā)布的《銀行金融機構內部控制系統(tǒng)的框架》中的核心內容。

　　第四層次是國資委針對中央企業(yè)頒布的內部控制框架指引。2006年，國資委頒布《中央企業(yè)全面風險管理指引》。該《指引》以《公司法》、《企業(yè)國有資產監(jiān)督管理暫行條例》為依據，全面吸收了美國COSO于2004年發(fā)布的《企業(yè)風險管理——整合框架》（ERM框架）和英國風險管理標準等國際最新企業(yè)風險控制研究成果和成熟經驗。2004年美國COSO發(fā)布的ERM框架是對1994年修訂的內部控制框架體系（ICIF框架）的改進和拓展，標志著內部控制規(guī)范體系從內部控制向風險管理轉型。國資委以ERM框架為參照制定發(fā)布的《中央企業(yè)全面風險管理指引》，豐富了我國內部控制規(guī)范體系的內容，標志著我國企業(yè)內部控制規(guī)范建設工作取得了突破性進展。

　　在各部門和監(jiān)管機構根據其管理權限范圍發(fā)布相關內部控制指引的同時，國家有關部門及行業(yè)管理機構也成立了專門委員會，開始進行內部控制規(guī)范方面的研究、建設和推廣工作。2006年7月，財政部發(fā)起成立了企業(yè)內部控制標準委員會，中國注冊會計師協(xié)會也發(fā)起成立了會計師事務所內部治理指導委員會。這些專業(yè)委員會的成立，標志著我國內部控制體系建設已經邁入一個新的發(fā)展階段。

　　二、我國企業(yè)內部控制規(guī)范建設中存在的問題

　　雖然我國近年來在內部控制規(guī)范建設方面做了許多扎實有效的工作，并取得了較大的成績，但與國際先進、成熟的內部控制規(guī)范體系相比較，仍然存在著不小的差距和一些亟待解決的問題。

　?。ㄒ唬┢髽I(yè)對內部控制的內涵認識不清。企業(yè)普遍認為內部控制就是內部控制制度，是企業(yè)用以防止發(fā)生錯誤和舞弊、或者是用以應付有關部門及主管單位檢查而制定的各項規(guī)章制度。在內部控制實際運行過程中，企業(yè)往往認為有關的職責分工、審批授權制度就是內部控制制度；完成有關部門或主管單位所要求的內部控制制度制定工作，就是實施了企業(yè)內部控制（潘秀麗，2005），對內部控制只注重制度建設而不重視制度執(zhí)行，缺乏對內部控制實際執(zhí)行效果的考核與評價。而按照COSO的ICIF框架對于內部控制的定義：企業(yè)內部控制是受企業(yè)董事會、管理當局和其他員工的影響，目的在于實現經營效果和效率、財務報告的可靠性、遵循適當的法規(guī)等目標而提供合理保證的一種過程，應由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五個方面的內容構成。COSO框架強調內部控制是為了保證企業(yè)目標的實現而實施的控制過程，要圍繞五要素來構建內部控制框架，是一項比較復雜的系統(tǒng)工程。

　　（二）企業(yè)內部控制的相關規(guī)范制度亟待整合。由于管理體制方面的原因，我國有關內部控制的指導原則、指引、規(guī)范出自不同的政府部門或機構，如《內部會計控制規(guī)范》、《中央企業(yè)全面風險管理指引》、《證券公司內部控制指引》、《證券投資基金管理公司內部控制指導意見》、《商業(yè)銀行內部控制指引》、《上市公司內部控制指引》等一系列規(guī)范性文件分別出自財政部、國資委、中國證監(jiān)會、中國人民銀行、深圳證券交易所、上海證券交易所等部門。政出多門造成這些規(guī)范形式多樣、標準不一，對內部控制概念的界定、控制目標的確立、應遵循的控制原則、內部控制要素的構成等重要內容均有不同的解釋和規(guī)定。這既增大了內部控制規(guī)范的制定成本，又增大了各內部控制規(guī)范之間的協(xié)調成本。而且，由于沒有專門機構統(tǒng)一負責內部控制規(guī)范建設，已經制定的內部控制規(guī)范也無法在全國范圍內迅速而有效地推進，失去了其應有的價值。

　?。ㄈ┖鲆晝炔靠刂骗h(huán)境建設。按照COSO的ICIF框架，控制環(huán)境是內部控制框架體系的第一要素，被視為其他控制要素的基礎。按照ICIF框架的定義，內部控制環(huán)境是指一個企業(yè)的基調和氛圍，對內部控制形成外部約束，并直接影響企業(yè)員工的控制意識?？刂骗h(huán)境因素主要包括管理層的經營理念和經營風格，企業(yè)員工的道德價值觀和工作勝任能力，管理當局的授權和職責分工方法，人力資源的組織與開發(fā)，董事會的關注和指導力度等?？刂骗h(huán)境是內部控制能否生效的重要因素之一，控制環(huán)境的失效必然會直接導致內部控制的失效。由于我國企業(yè)普遍存在著大股東或關鍵人控制問題，內部控制環(huán)境未得到應有的重視，很多企業(yè)還未開展內部控制環(huán)境建設，如公司治理方面存在嚴重缺陷，管理層關鍵人凌駕于規(guī)章制度之上，內審部門無法肩負起監(jiān)督職責等。而《證券公司內部控制指引》、《商業(yè)銀行內部控制指引》、《上市公司內部控制指引》等雖然都將控制環(huán)境列為內部控制規(guī)范的要素之一，但也僅僅是對COSO的ICIF框架內容的簡單移植。要使內部控制環(huán)境在內部控制體系中得到完善，并發(fā)揮內部控制環(huán)境應有的作用，還需從改進公司治理、更新管理層經營理念、加強員工職業(yè)道德教育等基礎工作做起。

　?。ㄋ模﹥炔靠刂埔?guī)范體系不完善。企業(yè)風險管理框架必須建立在完善的內部控制框架基礎之上，否則就談不上風險管理體系框架的完善。美國COSO于2004年發(fā)布的《企業(yè)風險管理——整合框架》（ERM框架）文件中，專門闡述了ERM框架與COSO于1994年修訂后發(fā)布的《內部控制——整合框架》（ICIF框架）之間的關系：內部控制被涵蓋在企業(yè)風險管理之內，是其不可分割的一部分。企業(yè)風險管理拓展了內部控制的風險評估要素，將風險評估要素進一步細分為目標設定、事項識別、風險評估和風險對策等，比內部控制內容更廣泛，更加關注風險。而且，COSO在ERM框架中聲明，雖然ERM框架涵蓋并拓展了ICIF框架的主體內容，但并不意味著可以替代ICIF框架，ICIF框架仍然有效，仍然是符合SOA法案規(guī)定建立內部控制框架體系的依據。我國內部控制規(guī)范尚未成完整的系統(tǒng)，國資委出臺的《中央企業(yè)全面風險管理指引》雖然在內容上廣泛吸取了國際上的最新研究成果和成熟經驗，并具有一定的前瞻性，但在目前我國內部控制相對薄弱的現實環(huán)境下，其實施缺乏可依賴的堅實基礎，顯得有些突兀，難以獲得理想的效果。

　　三、改進企業(yè)內部控制規(guī)范的建議鑒于我國企業(yè)內部控制規(guī)范建設中存在的問題和我國的現實狀況，筆者建議從以下幾方面入手，加快我國內部控制規(guī)法建設：

　　（一）提高企業(yè)對內部控制的認識和理解，營造良好的內部控制氛圍。要象宣傳新會計準則、新稅法那樣，對內部控制進行廣泛宣傳和推介，改變目前人們普遍將內部控制看作是一項制度性建設的錯誤觀念，使企業(yè)管理層和廣大員工充分認識到內部控制的包含企業(yè)經營活動各個環(huán)節(jié)的控制過程和活動，是一項復雜的系統(tǒng)工程。只有提高企業(yè)管理層和員工對內部控制的認識和理解，才能形成一個良好的內部控制氛圍，從而促進內部控制規(guī)范的建設和實施。

　　（二）整合現有內部控制規(guī)范，建立統(tǒng)一的內部控制框架體系。為了改變我國內部控制規(guī)范建設中各自為政的現狀，建議由財政部牽頭，由企業(yè)內部控制標準委員會具體負責，對現有財政部、證監(jiān)會、中國人民銀行、國資委、上海證券交易所、深圳證券交易所等部門和機構制定出臺的內部控制方面的規(guī)范、制度、指引等進行重新梳理和整合，統(tǒng)一內部控制的概念、目標、要素、原則、程序、評價標準等基本內容，制定出適用范圍寬泛的內部控制整體框架，作為各類企業(yè)內部控制體系建設的參照標準。各部門或機構在履行其各自管理職能時，可以對管轄范圍內的企業(yè)提出內部控制建設方面的具體要求，但建設內部控制所依據的規(guī)范框架應該是統(tǒng)一的。

　　（三）改善法人治理結構，優(yōu)化內部控制環(huán)境。法人治理結構在很大程度上影響著企業(yè)的健康運行和企業(yè)目標的實現，并且會對企業(yè)內部控制體系的建立與完善產生影響。企業(yè)應從完善法人治理結構入手，充分發(fā)揮股東會、董事會、監(jiān)事會的職能；改善股權結構，解決我國企業(yè)股權過度集中帶來的問題；完善企業(yè)內部制衡機制和內部激勵機制；增強內部審計部門的獨立性，充分發(fā)揮其監(jiān)督評價職能。在改進法人治理結構的同時，還應加強對企業(yè)高管人員的培訓，使企業(yè)管理層樹立正確的經營理念和較強的風險管理意識；加強對企業(yè)員工的職業(yè)道德建設。通過這些基礎性工作，優(yōu)化企業(yè)內部控制環(huán)境，以保證企業(yè)內部控制制度的順利實施。

　　（四）建立和完善企業(yè)內部控制規(guī)范體系。雖然以美國為代表的西方發(fā)達國家的企業(yè)已經開始將內部控制的重點逐漸轉向風險管理，但從我國目前的現狀來看，建立和完善統(tǒng)一的內部控制規(guī)范框架仍然是我國內部控制建設的第一要務。完善的內部控制體系框架是企業(yè)實施內部控制、防范企業(yè)風險的基礎，只有打下堅實的基礎，才能夠保證企業(yè)內部控制的順利實施和全面風險管理的有效推進。

　　參考文獻：

　　[1]中國人民銀行：《商業(yè)銀行內部控制指引》，中國人民銀行公告[2002]第19號。

　　[2]中國證監(jiān)會：《證券公司內部控制指引》，證監(jiān)機構字[2003]260號。

　　[3]國務院國資委：《中央企業(yè)全面風險管理指引》，國資發(fā)改革[2006]108號。

　　[4]上海證券交易所：《上海證券交易所上市公司內部控制指引》，《中國證券報》2006年6月5日。

　　[5]深圳證券交易所：《深圳證券交易所上市公司內部控制指引》，《中國證券報》2006年9月28日。

　　[6][美]COSO：《企業(yè)風險管理——整合框架》，東北財經大學出版社2005年版。

　　[7]中國石油天然氣股份有限公司內部控制項目建設委員會：《COSO內部控制框架與內部控制要素評價工具》