一、我国企业内部控制规范体系的构成

　　2010年4月26日，财政部会同证监会、审计署、银监会、保监会在北京联合发布了《企业内部控制规范配套指引》。该配套指引由21项应用指引（此次发布了18项，涉及银行、证券、保险等业务的3项指引暂未发布）、《企业内部控制评价指引》与《企业内部控制审计指引》（两者以下合称为评价与审计指引）所组成，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行，并计划在上述施行公司的基础上，择机在中小板和创业板上市的公司中施行。同时，鼓励非上市大中型企业提前执行。

　　《企业内部控制规范配套指引》连同2008年5月发布的《企业内部控制基本规范》（自2009年7月1日在上市公司范围内施行，鼓励非上市大中型企业执行，以下简称为基本规范）共同构成了中国企业内部控制规范体系。如果说目前已在上市公司实施的《企业内部控制基本规范》还只是一个框架结构，主要界定内部控制的内涵、目标、要素，说明制定企业内部控制规范的目的、依据及该规范的适用范围，操作性指导还不强，还是一个方向性指南的话，那么，《企业内部控制规范配套指引》则是企业加强和改进内部控制具体的、具有操作性的指南。

　　二、对我国企业内部控制规范体系的评价依据

　　笔者认为吴水澎教授等（2000）的文章到目前为止仍具有启示意义，可以作为我们评价已形成的内部控制规范的基础。他们认为：“根据控制论的一般原理，控制是作用者对被作用者的一种能动作用，被作用者按照作用者的这种作用而行动，并达到系统的预定目标。因此，可以从以下几个方面来理解内部控制。其一，内部控制具有一定的目的性，为达成某种或某些目标而实施。其二，内部控制是为了达到某个或某些目标而进行的过程，且是一种动态的过程，是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。其三，内部控制不是某个事件或某种状态，而是散布在企业作业中的一连串行动，是企业经营过程的一部分，与经营过程结合在一起，使经营过程发挥其应有的功能，并监督着企业经营过程的持续进行。换言之，内部控制与企业经营活动相互交织，为企业的基本经营活动而存在。其四，内部控制深受企业内部和外部环境的影响，环境影响企业目标的制定与实施。其五，企业中的每一个员工既是控制的主体又是控制的客体，既对其负责的作业实施控制，又受到他人的控制和监督。其六，所有内部控制都是针对‘人’而设立和实施的，企业内部会因此形成一种控制精神和控制观念，直接影响到企业的控制效率和效果。”

　　三、对我国企业内部控制规范体系的评价

　　（一）对基本规范的评价

　　从基本规范来看，主要涉及到内部控制的基本理论问题，包括内部控制的本质、目标、原则、要素（对象）与方法。笔者认为，该基本规范较好地搭起了我国企业内部控制理论的基本框架。就本质界定来看，以“过程观”来界定比较恰当，不仅强调了企业高层（董事会、监事会、经理层）的责任，而且明确了控制的全员性。就目标的界定来看，将目标界定为“合理保证企业经营管理合法合规、资产安全、财务报告及其相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”也较恰当，不仅体现了1994年COSO报告中的合规性、财务报告真实性和经营效率性三个目标，也体现了2004年COSO报告中的促进企业实现发展战略的目标，且增加了资产安全的目标，注重内部控制理论与实践的历史发展。可以看出，前三个目标是基础，后两个目标是深化。规范提出的内部控制五原则：全面性、重要性、制衡性、适应性、成本效益性原则具有重要指导意义。

　　在控制要素（对象）上，基本规范采用的是1994年COSO报告中的五要素观，而没有采用2004年风险管理框架的八要素观，是实事求是的做法。实际上，这也涉及到内部控制与风险管理的关系问题。关于内部控制与风险管理的关系，笔者赞成国务院国有资产监督管理委员会企业改革局副局长周放生在2009年中国企业内部控制高层论坛暨中国企业内部控制研究中心成立大会上主题发言的观点，他认为：“公司治理的关键是董事会，而董事会的职能从本质上看就是控制风险。内部控制解决的是常规性风险，风险管理解决的是非常规性风险。内部控制主要体现在流程管理上。流程管理的内容主要包括两个方面：一是业务流程，即规定完成业务的先后顺序；二是管理流程，主要是对各风险管理点的标准。二者结合在一起才是真正的流程管理”。周放生（2009）还指出：“现在很多企业，包括中央企业在信息化方面投入了很大力量，有了很大发展，但仍然是两张皮，还是信息孤岛，而台塑集团的信息化和流程管理却是完全融为一体的，主要原因是我国企业的基础管理落后”。

　　对于五要素之间的关系，笔者认为内部控制环境是基础（说明在什么样的环境下开展控制活动），风险评估是前提（说明要重点针对什么活动和在该活动的什么方面进行控制），控制活动是核心（说明对需要重点控制的活动或环节运用什么方法进行控制），信息与沟通是桥梁（以一定的方法对风险评估确定的应该控制的活动和环节开展控制，没有信息的支持是无法达成目标的），监督是保障（没有监督作为保障，控制的好坏在管理上没有区别，则无法达到控制的目标）。就内部控制的方法来说，应该涉及到全部五个要素，既有内部控制环境的评价、改进方法，也有风险评估、风险管理策略的选择方法；既有直接运用于控制活动的方法，也应有信息生产与沟通、监督的方法。

　　基本规范存在的不足主要体现在：1.在控制要素上仅提到内部监督，难以指导企业内部控制规范指引，也说明基本规范与指引有不相衔接的地方；2.对控制方法的说明不集中，仅在第28条较详细地阐述了控制活动的方法，对其他要素控制的方法很少说明，如风险评价的方法、信息生产与沟通的方法、监督的方法等；3.如何建立反舞弊机制问题放在信息与沟通要素部分不恰当，笔者认为这应该是内部监督的内容；4.对董事会、监事会、经理层、审计委员会、内部审计部门的职责划分不清。如第12条规定，董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导内部控制的日常运行。但第13条又规定企业应在董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况（而在自我评价规范中又没有具体涉及到审计委员会），协调内部控制审计及其他相关事宜。从这些规定中可以看出，我国仍然没有处理好内部公司治理问题。

　　（二）对18项应用指引的评价

　　应用指引是对内部控制要素进行控制时的具体应用指南。从已公布的各项具体应用指引来看，重点突出了对风险的关注，这点值得肯定。已公布的18项应用指引都在总则部分说明了企业应关注的风险，这可看成企业风险评价的基础和指南。就其他四个方面的要素来看，内部控制环境涉及到组织架构、发展战略、人力资源、社会责任和企业文化5个具体指引。就控制活动来说，涉及到资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个具体指引，存在的主要问题是没有生产控制的内容。在过去的征求意见稿中有一个成本费用规范，现在也取消了。过去征求意见稿中没有全面预算规范，现在加了一个全面预算规范，笔者认为应将过去的成本费用规范与现在的全面预算规范结合起来。关于信息与沟通要素，涉及到内部信息传递和信息系统两个具体指引。刘玉廷（2010）将此次公布的18项应用指引归为三大类，第一类为环境类指引，第二类为控制活动类指引，第三类为控制手段类指引，包括全面预算、合同管理、内部信息传递和信息系统4项。第三类作为方法也可以，但并没有和内部控制要素间的衔接。

　　一、我国企业内部控制规范体系的构成

　　2010年4月26日，财政部会同证监会、审计署、银监会、保监会在北京联合发布了《企业内部控制规范配套指引》。该配套指引由21项应用指引（此次发布了18项，涉及银行、证券、保险等业务的3项指引暂未发布）、《企业内部控制评价指引》与《企业内部控制审计指引》（两者以下合称为评价与审计指引）所组成，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行，并计划在上述施行公司的基础上，择机在中小板和创业板上市的公司中施行。同时，鼓励非上市大中型企业提前执行。

　　《企业内部控制规范配套指引》连同2008年5月发布的《企业内部控制基本规范》（自2009年7月1日在上市公司范围内施行，鼓励非上市大中型企业执行，以下简称为基本规范）共同构成了中国企业内部控制规范体系。如果说目前已在上市公司实施的《企业内部控制基本规范》还只是一个框架结构，主要界定内部控制的内涵、目标、要素，说明制定企业内部控制规范的目的、依据及该规范的适用范围，操作性指导还不强，还是一个方向性指南的话，那么，《企业内部控制规范配套指引》则是企业加强和改进内部控制具体的、具有操作性的指南。

　　二、对我国企业内部控制规范体系的评价依据

　　笔者认为吴水澎教授等（2000）的文章到目前为止仍具有启示意义，可以作为我们评价已形成的内部控制规范的基础。他们认为：“根据控制论的一般原理，控制是作用者对被作用者的一种能动作用，被作用者按照作用者的这种作用而行动，并达到系统的预定目标。因此，可以从以下几个方面来理解内部控制。其一，内部控制具有一定的目的性，为达成某种或某些目标而实施。其二，内部控制是为了达到某个或某些目标而进行的过程，且是一种动态的过程，是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。其三，内部控制不是某个事件或某种状态，而是散布在企业作业中的一连串行动，是企业经营过程的一部分，与经营过程结合在一起，使经营过程发挥其应有的功能，并监督着企业经营过程的持续进行。换言之，内部控制与企业经营活动相互交织，为企业的基本经营活动而存在。其四，内部控制深受企业内部和外部环境的影响，环境影响企业目标的制定与实施。其五，企业中的每一个员工既是控制的主体又是控制的客体，既对其负责的作业实施控制，又受到他人的控制和监督。其六，所有内部控制都是针对‘人’而设立和实施的，企业内部会因此形成一种控制精神和控制观念，直接影响到企业的控制效率和效果。”

　　三、对我国企业内部控制规范体系的评价

　　（一）对基本规范的评价

　　从基本规范来看，主要涉及到内部控制的基本理论问题，包括内部控制的本质、目标、原则、要素（对象）与方法。笔者认为，该基本规范较好地搭起了我国企业内部控制理论的基本框架。就本质界定来看，以“过程观”来界定比较恰当，不仅强调了企业高层（董事会、监事会、经理层）的责任，而且明确了控制的全员性。就目标的界定来看，将目标界定为“合理保证企业经营管理合法合规、资产安全、财务报告及其相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”也较恰当，不仅体现了1994年COSO报告中的合规性、财务报告真实性和经营效率性三个目标，也体现了2004年COSO报告中的促进企业实现发展战略的目标，且增加了资产安全的目标，注重内部控制理论与实践的历史发展。可以看出，前三个目标是基础，后两个目标是深化。规范提出的内部控制五原则：全面性、重要性、制衡性、适应性、成本效益性原则具有重要指导意义。

　　在控制要素（对象）上，基本规范采用的是1994年COSO报告中的五要素观，而没有采用2004年风险管理框架的八要素观，是实事求是的做法。实际上，这也涉及到内部控制与风险管理的关系问题。关于内部控制与风险管理的关系，笔者赞成国务院国有资产监督管理委员会企业改革局副局长周放生在2009年中国企业内部控制高层论坛暨中国企业内部控制研究中心成立大会上主题发言的观点，他认为：“公司治理的关键是董事会，而董事会的职能从本质上看就是控制风险。内部控制解决的是常规性风险，风险管理解决的是非常规性风险。内部控制主要体现在流程管理上。流程管理的内容主要包括两个方面：一是业务流程，即规定完成业务的先后顺序；二是管理流程，主要是对各风险管理点的标准。二者结合在一起才是真正的流程管理”。周放生（2009）还指出：“现在很多企业，包括中央企业在信息化方面投入了很大力量，有了很大发展，但仍然是两张皮，还是信息孤岛，而台塑集团的信息化和流程管理却是完全融为一体的，主要原因是我国企业的基础管理落后”。

　　对于五要素之间的关系，笔者认为内部控制环境是基础（说明在什么样的环境下开展控制活动），风险评估是前提（说明要重点针对什么活动和在该活动的什么方面进行控制），控制活动是核心（说明对需要重点控制的活动或环节运用什么方法进行控制），信息与沟通是桥梁（以一定的方法对风险评估确定的应该控制的活动和环节开展控制，没有信息的支持是无法达成目标的），监督是保障（没有监督作为保障，控制的好坏在管理上没有区别，则无法达到控制的目标）。就内部控制的方法来说，应该涉及到全部五个要素，既有内部控制环境的评价、改进方法，也有风险评估、风险管理策略的选择方法；既有直接运用于控制活动的方法，也应有信息生产与沟通、监督的方法。

　　基本规范存在的不足主要体现在：1.在控制要素上仅提到内部监督，难以指导企业内部控制规范指引，也说明基本规范与指引有不相衔接的地方；2.对控制方法的说明不集中，仅在第28条较详细地阐述了控制活动的方法，对其他要素控制的方法很少说明，如风险评价的方法、信息生产与沟通的方法、监督的方法等；3.如何建立反舞弊机制问题放在信息与沟通要素部分不恰当，笔者认为这应该是内部监督的内容；4.对董事会、监事会、经理层、审计委员会、内部审计部门的职责划分不清。如第12条规定，董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导内部控制的日常运行。但第13条又规定企业应在董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况（而在自我评价规范中又没有具体涉及到审计委员会），协调内部控制审计及其他相关事宜。从这些规定中可以看出，我国仍然没有处理好内部公司治理问题。

　　（二）对18项应用指引的评价

　　应用指引是对内部控制要素进行控制时的具体应用指南。从已公布的各项具体应用指引来看，重点突出了对风险的关注，这点值得肯定。已公布的18项应用指引都在总则部分说明了企业应关注的风险，这可看成企业风险评价的基础和指南。就其他四个方面的要素来看，内部控制环境涉及到组织架构、发展战略、人力资源、社会责任和企业文化5个具体指引。就控制活动来说，涉及到资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个具体指引，存在的主要问题是没有生产控制的内容。在过去的征求意见稿中有一个成本费用规范，现在也取消了。过去征求意见稿中没有全面预算规范，现在加了一个全面预算规范，笔者认为应将过去的成本费用规范与现在的全面预算规范结合起来。关于信息与沟通要素，涉及到内部信息传递和信息系统两个具体指引。刘玉廷（2010）将此次公布的18项应用指引归为三大类，第一类为环境类指引，第二类为控制活动类指引，第三类为控制手段类指引，包括全面预算、合同管理、内部信息传递和信息系统4项。第三类作为方法也可以，但并没有和内部控制要素间的衔接。