內(nèi)部控制框架構成因劃分標準或依據(jù)的的不同而不同,因研究視角和研究目標的不同而不同,因對內(nèi)部控制定義和邊界的認識不同而不同,也因內(nèi)部控制工作需要的不同而不同。簡單歸納起來,內(nèi)部控制框架可以概括為以下幾類:
一是內(nèi)部控制制度框架。根據(jù)內(nèi)部控制是一種制度的觀點,內(nèi)部控制由內(nèi)部控制制度、內(nèi)部控制制度實施機制、內(nèi)部控制非制度規(guī)則等構成內(nèi)部控制制度框架。內(nèi)部控制制度,是指為了實現(xiàn)一定控制目標而制定和頒布的內(nèi)部控制規(guī)則和標準,是內(nèi)部控制實施的依據(jù)。從我國內(nèi)部控制制度建設的實踐看,內(nèi)部控制制度本身就是一個體系,包括基本規(guī)范、具體規(guī)范、應用指南和解釋公告?;疽?guī)范規(guī)定內(nèi)部控制的基本目標、基本要素、基本原則和總體要求,是制定具體規(guī)范、應用指南和解釋公告的基本依據(jù),在內(nèi)部控制制度體系中起統(tǒng)馭作用。具體規(guī)范是根據(jù)基本規(guī)范,對企業(yè)辦理具體業(yè)務與事項從內(nèi)部控制角度作出的具體規(guī)定。應用指南是根據(jù)基本規(guī)范,對特殊行業(yè)、特殊企業(yè)執(zhí)行基本規(guī)范作出的具體規(guī)定。解釋公告是根據(jù)基本規(guī)范,對企業(yè)執(zhí)行基本規(guī)范、具體規(guī)范和應用指南過程中的有關問題作出的解釋和說明。內(nèi)部控制制度實施機制,是指實施內(nèi)部控制制度的方法和手段,它是檢驗行為是否偏離了規(guī)則和標準的一系列程序,如復核等。內(nèi)部控制非制度規(guī)則,是指不是通過人為設計,而是通過習慣、傳統(tǒng)形成的一些潛在的規(guī)則和標準,如價值觀、倫理道德、文化等,它決定著規(guī)則和標準的確定方式和實施方式。內(nèi)部控制制度是通過實施機制來實施,非制度規(guī)則是內(nèi)部控制制度實施過程的一個既定環(huán)境和前提,控制結果是內(nèi)部控制制度實施過程與非制度規(guī)則這一環(huán)境共同作用的結果。內(nèi)部控制的有效性取決于內(nèi)部控制制度的有效性、實施的有效性以及非制度規(guī)則對二者的影響。內(nèi)部控制構建與實施不僅僅是制定一系列的規(guī)章制度,而是有效實施,并適應環(huán)境因素的變化而不斷優(yōu)化。制定了內(nèi)部控制制度不等于建立了內(nèi)部控制,只能說建立了內(nèi)部控制的文件或完成了內(nèi)部控制的概念設計。當然,非制度并非的正式規(guī)則和標準,尤其所謂潛規(guī)則,會對內(nèi)部控制的有效性影響也是很大的,是內(nèi)部控制構建和實施不能忽視的一個重要因素,必須立足自身,不斷完善和改進內(nèi)部控制。
二是內(nèi)部控制要素框架。內(nèi)部控制要素框架,是指內(nèi)部控制是由相互聯(lián)系又相互獨立的要素構成的有機整體。COSO內(nèi)部控制—整合框架、COSO企業(yè)風險管理—整合框架、巴塞爾銀行的內(nèi)部控制系統(tǒng)框架、CoCo的“控制”、我國的《企業(yè)內(nèi)部控制基本規(guī)范》等都是采用的要素結構。這種結構是普遍采用的內(nèi)部控制框架,只是人們對內(nèi)部控制框架到底由哪些要素組成及其各要素之間的關系還沒有統(tǒng)一的認識。COSO內(nèi)部控制框架由控制環(huán)境、風險評估、控制活動、信息溝通、監(jiān)控五個要素構成。CoCo控制框架是目標、承諾、能力、監(jiān)督與學習構成的有機整體。《企業(yè)內(nèi)部控制基本規(guī)范》要求,企業(yè)內(nèi)部控制應該由內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督構成的有機系統(tǒng)。中天恒一慣主張,內(nèi)部控制包括管理控制、業(yè)務控制和財務控制。
三是內(nèi)部控制過程框架。內(nèi)部控制是一個動態(tài)的過程,如果根據(jù)內(nèi)部控制的實施過程來描述內(nèi)部控制,就會形成內(nèi)部控制的過程框架。COSO企業(yè)風險管理—整合框架中的目標設定、事項識別、風險評估、風險應對、控制活動就構成了風險管理的一個過程。COBIT報告的綜合內(nèi)部控制框架和ESAC報告的信息系統(tǒng)控制模型也是采用的過程結構。從內(nèi)部控制構建和實施的流程看,內(nèi)部控制應該由內(nèi)控設計、內(nèi)控實施、內(nèi)控監(jiān)控、內(nèi)控報告、內(nèi)控改進構成的有機系統(tǒng)。內(nèi)部控制過程框架突出了內(nèi)部控制的構建和實施過程,具有相對較強的可操作性,對指導內(nèi)部控制建設的實踐具有重要意義。
四是內(nèi)部控制科層框架。任何一個主體,無論采取何種組織結構,都會有權力層級,內(nèi)部控制構建與實施都是通過這種層級的權力差異來實現(xiàn)的,從而構成了與權力層級相一致的層級控制體系,即內(nèi)部控制科層框架。主體的權力層級和運行機制的不同,內(nèi)部控制科層框架也就不同。在內(nèi)部控制科層框架內(nèi)部,不同層級內(nèi)部控制的目標不同,職責權限不同,控制手段不同,對內(nèi)部控制整體有效性的影響不同,在內(nèi)部控制動力鏈條上的先后位置不同,從而形成既相互獨立又相互聯(lián)系的內(nèi)部控制有機整體。Bill Waite根據(jù)Turnbull報告建立的風險模型和風險管理模型采用了科層結構,是從董事會、管理層、雇員或戰(zhàn)略制定者、戰(zhàn)略執(zhí)行者、日常操作者三個層次來構建風險管理結構的。根據(jù)特恩布爾報告確定的風險管理流程包括以下內(nèi)容:董事會承諾;制定目標;確認重大風險;風險的評估、評級與排序;管理風險;監(jiān)控、報告與進展。與COSO的企業(yè)風險管理相比,它更關注了主體所具有的科層結構與風險管理的關系。張宜霞(2007)提出內(nèi)部控制的層級結構由企業(yè)治理層面控制、企業(yè)管理控制、作業(yè)控制構成,后又增加了信息系統(tǒng)和企業(yè)文化兩個要素,從而形成內(nèi)部控制整體上主要由企業(yè)治理控制、企業(yè)管理控制、作業(yè)控制、信息系統(tǒng)和企業(yè)文化五個要素構成的內(nèi)部控制框架。治理控制是內(nèi)部控制的第一個層次,是整個企業(yè)內(nèi)部控制的上層建筑,它以所有權為基礎,直接影響著下層的企業(yè)管理控制。它的一般表現(xiàn)形式主要是股東會、董事會及其所屬委員會、高級管理人員之間的控制、約束管理,既包括顯性的組織結構上的職權分配控制,又包括隱性的各種激勵機制。管理控制是內(nèi)部控制的第二個層次,所涉及的主要是企業(yè)日常生產(chǎn)經(jīng)營活動的控制與約束,它以經(jīng)營權為基礎。管理控制是對企業(yè)管理的直接控制,它直接對企業(yè)生產(chǎn)經(jīng)營中的各種資源(包括物質資源和知識資源)進行監(jiān)督和控制,直接影響到企業(yè)的效益和效果,直接影響到企業(yè)利潤目標的實現(xiàn)。企業(yè)管理控制的實體一般包括高級管理層、中層管理層、內(nèi)部審計組織、一般員工、生產(chǎn)資源等之間的控制機制。作業(yè)控制是內(nèi)部控制的第三個層次,它是以部門以及部門內(nèi)部的職責分工為基礎的,是企業(yè)員工與作業(yè)之間的一種控制關系。作業(yè)控制是企業(yè)內(nèi)部控制系統(tǒng)最基礎的部分,是最基層的控制。在企業(yè)中實際存在的操作方面的規(guī)章制度大多是這個層面上的控制。從企業(yè)整體上來看,治理控制、管理控制和作業(yè)控制是企業(yè)整體內(nèi)部控制的三個子系統(tǒng),每個系統(tǒng)都有各自的運作機制,又通過系統(tǒng)間有機的聯(lián)系和作用結合在一起構成整個內(nèi)部控制系統(tǒng)??蚣荏w系的五個部分存在著有機的聯(lián)系:企業(yè)文化構成企業(yè)內(nèi)部控制的內(nèi)環(huán)境,是一種非強制性的氛圍,對企業(yè)各種資源的控制都是在這種氛圍中進行的;企業(yè)治理控制是內(nèi)部控制的核心和起點;作業(yè)控制是內(nèi)部控制的終點,通過對作業(yè)管理的影響,實現(xiàn)各種資源的有效控制和使用,從而促進企業(yè)整體目標的實現(xiàn)。如果說企業(yè)治理控制是內(nèi)部控制的上層建筑,那么管理控制就是內(nèi)部控制的實施,作業(yè)控制就是內(nèi)部控制的具體操作。信息系統(tǒng)為三個層次的控制提供所需的信息,并傳遞控制的信息和反饋的信息,是控制實施的通路。
池國華(2009)企業(yè)在構建和實施過程中,需要區(qū)分控制層級,即按照戰(zhàn)略控制、管理控制、作業(yè)控制的次序建立內(nèi)部控制體系。首先,戰(zhàn)略控制主要側重于戰(zhàn)略目標的制定,是形成企業(yè)戰(zhàn)略的過程,它主要是公司治理層尤其是董事會的職責。在這一過程中,企業(yè)需要分析企業(yè)內(nèi)外部環(huán)境,設定戰(zhàn)略目標,同時進行事項識別和風險分析,并采取相應的風險應對策略,在此基礎上形成戰(zhàn)略規(guī)劃。為了能夠有效形成戰(zhàn)略,治理層還需要優(yōu)化內(nèi)控環(huán)境,否則控制將不會起作用。由治理層建立的控制環(huán)境應當包括發(fā)展戰(zhàn)略、組織架構、人力資源、企業(yè)文化、社會責任等方面。其次,管理控制是管理者影響組織其他成員以落實組織戰(zhàn)略的過程(羅伯特·安東尼等,2004),是決定如何通過業(yè)務經(jīng)營達到戰(zhàn)略目標的過程,它主要是公司經(jīng)營管理層尤其是經(jīng)理層的職責。由于企業(yè)具有經(jīng)營多元化和組織層級制的特點,因此一個企業(yè)要實現(xiàn)其戰(zhàn)略目標,需要先將戰(zhàn)略目標進行逐步細化和層層分解,再將其落實到企業(yè)內(nèi)部的各個組織單元,即從企業(yè)整體目標到部門目標,再到個人目標,這屬于戰(zhàn)略計劃階段(全面預算作為一種控制手段可以在這一階段引入運用)。在企業(yè)戰(zhàn)略實施過程中,需要檢查企業(yè)內(nèi)部各部門和員工為達到目標所進行的各項生產(chǎn)經(jīng)營活動的進展情況(內(nèi)部信息傳遞,包括內(nèi)部報告和財務報告等形式),評價實施戰(zhàn)略后所取得的效果效率,并與預定的戰(zhàn)略目標進行比較,分析產(chǎn)生偏差的原因并采取措施糾正偏差(業(yè)績評價),確保最終實現(xiàn)戰(zhàn)略目標。由于戰(zhàn)略計劃歸根結底是由人執(zhí)行的,因此還需要考慮對計劃執(zhí)行者的激勵,即建立激勵機制。除了以上因素,還需要考慮內(nèi)部監(jiān)督因素,即需要設置或指定專門機構對內(nèi)部控制制度的設計與運行情況進行檢查,以便督促內(nèi)部控制的有效運轉,并發(fā)現(xiàn)其中的缺陷及時加以改進。因此,一個完整的管理控制系統(tǒng)應該至少包括戰(zhàn)略計劃(含預算)、內(nèi)部信息傳遞、業(yè)績評價、激勵機制與內(nèi)部監(jiān)督等要素。最后,作業(yè)控制主要側重于某項具體業(yè)務或者某項具體任務的完成。它主要針對的是企業(yè)各項業(yè)務或事項,屬于操作管理層和員工的職責。資金管理、資產(chǎn)管理、采購業(yè)務、銷售業(yè)務等反映企業(yè)主要業(yè)務和事項的應用指引就屬于作業(yè)控制的對象。這充分體現(xiàn)了《Flint報告》對內(nèi)部控制應嵌入公司業(yè)務流程的各個環(huán)節(jié)和程序的要求。
五是內(nèi)部控制理論框架。從內(nèi)部控制理論體系看,內(nèi)部控制應該是由內(nèi)控概念、內(nèi)控目標、內(nèi)控原則、內(nèi)控內(nèi)容、內(nèi)控流程、內(nèi)控方法等構成的有機系統(tǒng)。
當然,內(nèi)部控制框架還可以從不同的角度進行多種分類。但不論如何分類,在一種組合中不應有采用幾種標準。不同的內(nèi)部控制框架要素組合都有其存在的理由,沒有絕對的對錯之分,從科學合理的角度考慮,內(nèi)部控制框架應該只有一組最優(yōu)的內(nèi)部控制要素,不應該同時存在著幾組同樣科學合理的內(nèi)部控制要素。這種科學合理的組合到底是什么,是需要廣大理論工作者不懈探索的領域。不管怎么說,內(nèi)部控制框架要素組成從根本上講是一個應該從哪些方面設計、執(zhí)行、監(jiān)督內(nèi)部控制的問題,要有助于主體內(nèi)部控制的構建和實施。從這個意義上說,內(nèi)部控制框架由內(nèi)控設計、內(nèi)控執(zhí)行、內(nèi)控監(jiān)督這三個既相互聯(lián)系又相互獨立的要素構成會更具有實用性。這不僅符合內(nèi)部控制構建和實施實踐,也符合內(nèi)部控制是一個動態(tài)過程的理念。內(nèi)部控制設計(制度)是基礎,內(nèi)部控制執(zhí)行是關鍵,內(nèi)部控制監(jiān)督是保證。
