内部控制三个角目标、风险与控制

　内部控制的三个角目标、风险与控制

　结合内部控制的定义和五要素，可以提炼出一个简洁的内部控制三角：目标风险控制。即在内部控制建设和实施过程中，始终要回到这三者之间关系的考量上：控制的具体目标是什么？潜在的风险是什么？可以采取的控制措施有哪些？在学习和运用内部控制理论和体系时，首先要深入理解这三 个 核 心 概 念 。

　一 、 内 部 控 制 目 标

　1. 不 同 内 部 控 制 目 标 体 系 的 比 较

　在我国内部控制规范体系中，内部控制建设目标可以归纳为：战略目标、经营目标、合规目标、资产安全目标和财务报告目标等五个目标。

　在国际上，COSO 在 2013 版的《内部控制整合框架》（以下简称 IC）列举了三种类别的目标，即运营目标、报告目标（包括财务报告目标和非财务报告目标）和合规目标。同时，COSO 在《企业风险管理整合框架》（以下简称 ERM）中将风险管理的目标分成四类，即战略目标、经营目标 、 报 告 目 标 和 合 规 目 标 。

　比较上述三大体系的目标，可以发现我国内部控制体系目标有如下特点：

　第一，整合了 IC 和 ERM 框架。不管是 1992 版本还是 2013 版本，IC 都没有纳入战略目标，并且 COSO 强调“战略设定、战略目标和风险容量是ERM 的范畴，而不属于 IC 的范畴”，因此，我国的内部控制目标是综合IC 和 ERM 框架的要求，对企业实施内部控制体系提出了更高要求。

　第二，强调资产安全目标。资产安全目标在 IC 和 ERM 中均被视为是经营目标的子目标而没有单列。我国的基本规范之所以强调资产安全目标，并单独作为一个内部控制目标，主要是因为国有资产的增值保值是我国特有

　的 国 情 。

　第三，没有强调非财务报告目标。IC2013 更新了原有 IC 中的财务报告目标，采用了 ERM 中的报告目标，拓宽了报告的外延范围，强调合理保证非 财 务 报 告 和 内 部 管 理 报 告 等 信 息 的 真 实 完 整 。

　因此，我国内部控制体系实际上约等同于 ERM。但是，IC 强调“确定目标”是“内部控制的前提条件”（即“目标既定论”），而不属于内部控制本身；ERM 强调“应用于战略制定并贯穿于企业之中”（即“目标设定论”），并体现在其风险管理八要素中的目标设定、事项识别等要素中。所以，不能 简 单 将 全 面 风 险 管 理 的 八 要 素 视 为 内 部 控 制 五 要 素 的 细 分 。

　2. 内 部 控 制 目 标 的 实 务 分 类

　《小型企业内部控制规范（征求意见稿）》规定：“企业可以综合评估自身战略安排、资源条件、管理水平以及外部监管要求，合理确定分阶段的工作目标。阶段性目标可以是实现某一内部控制目标，也可以是实现某几个内 部 控 制 目 标 。

　”

　我国内部控制规范虽然明确了五个目标，但对大多数企业来说，一次性围绕五个目标进行建设容易走入流于形式的窠臼，因此，适当的方法是对五个目标进行切割和排序，由易到难逐渐推进内部控制的建设工作。

　从内部控制实务的角度看，IC 的报告目标可以拆解为财务报告目标和非财务报告目标。其中非财务报告目标可以作为信息与沟通要素融入到相应的战 略 目 标 、 经 营 目 标 和 合 规 目 标 中 。

　同时，资产安全目标也可以拆解为两部分，即“用于保护资产安全且与财务报告可靠性目标相关的控制”和“其他资产安全相关的控制”。对于前者可纳入财务报告目标的内部控制建设中；对于后者则可纳入经营目标的内部控制 建 设 中 。

　经过上述重分类后，从建设和实施的角度，可以将内部控制建设目标界定为：财务报告目标、合规目标、经营目标和战略目标等四个目标。其内涵各不相同，因此梳理和确定上述具体目标体系的方法也不尽相同。

　3. 从 一 般 内 部 控 制 目 标 到 具 体 内 部 控 制 目 标

　不管是 IC 的“目标既定论”还是 ERM 的“目标设定论”，都说明没有清晰的目标体系就不存在真正的内部控制建设。内部控制规范明确的五目标属于一般内部控制目标，适用于所有行业的所有企业。但是，在具体到某一家企业进行内部控制建设时，需要将一般内部控制目标转换成具体的内部控制目标。例如，财务报告及相关信息真实完整是一般内部控制目标，具体内部控制目标则是每个报表科目的存在或发生、完整性、权利和义务、估价或分摊、披露和揭示等认定。合规目标的具体内部控制目标也可以从一般性法律法规和行业性法律法规中梳理得到。制定资产目标、经营目标和战略目标的具体内部控制目标相对比较有难度。前两者重点在企业经营管理的 3E，即经济性、效率性和效果性；战略目标则侧重于衡量企业流程的质量，即流程的产出是否达到了流程客户（包括内部客户和外部客户）的要 求 。

　内部控制建设是否能体现企业的特色，关键就在于内控建设是基于一般内部控制目标开展的，还是基于具体内部控制目标开展的。如果是基于一般内部控制目标开展，则会围绕部门职责和流程来进行风险评估，建设成果可能很丰富，但因为没有深入业务，对经营效率和效果以及战略提升的帮助 并 不 很 大 ， 因 而 无 法 让 企 业 高 管 层 满 意 。

　基于具体内部控制目标的建设，则是以企业 KPI 为核心，构建绩效指标体系，并对指标体系进行风险评估，进而优化流程。在据以绩效指标进行风险评估时，往往会发现很多基于职能和流程无法发现的风险，例如在对销售指标进行风险评估时，可能会发现销售人员的销售技巧不足导致业务开发 业 绩 不 达 标 。

　二 、 控 制 风 险

　 我国企业内部控制基本规范体系采用了 ERM 的框架，将风险划分为内部风险和外部风险，并列举了风险评估中应当关注的诸多因素。《中央企业全面风险管理指引》及其相关评价规定则进一步将风险划分为战略风险、财务风险、市场风险、运营风险和法律风险五大类，并且每大类内部又分解 为 一 级 、 二 级 和 三 级 风 险 。

　在实务中，很多中介机构也利用风险地图、风险宇宙、风险清单、风险数据库等方式，为客户进行内部控制建设。这种按条块进行横向分割的风险管理方法，优点很明显，可以利用 MECE（枚举分析法）的方式构建完整的风险清单和指标体系。但其缺点也同样突出，清单中的风险前后之间没有逻辑关系、不分主次轻重，只见树木不见森林，导致相关风险不是没有控制措施就是仅仅列示不具有可操作性的原则控制要求，或者造成为了控制 而 控 制 的 局 面 ， 增 加 不 必 要 的 管 理 成 本 。

　以销售活动为例，销售活动面临的最大风险是销售不足（图 1）。销售不足的原因可能是产品定位问题（战略风险），也可能是竞争者提供了更具优势的解决方案（市场风险），或客户受资金不足而出现的需求不足（运营风险）等。针对客户资金不足问题，我们可以采取担保政策，也可以采取信用管理政策。如果采取信用管理政策，则随之而来的就是如何确定客户的授信额度问题。如授信过高（财务风险）则会导致后期坏账和催款成本激增；如授信不足（运营风险），又无法对销售起到刺激作用，因此，需 要 一 个 授 信 额 度 的 审 批 程 序 来 规 范 授 信 过 程 。

　 图 1

　可见，企业中的任何一项日常经济活动都是以剥洋葱的方式，以流程体系层层展开的，其中交织地面临着诸多不同类型的风险，因此，需要将风险还原到实际的工作环境中去，才能使风险管理更符合控制人员的工作思维 ， 更 能 为 控 制 人 员 所 理 解 和 实 施 相 关 控 制 。

　解决这个困境的方法就是在原有条块横向分割的基础上，再按风险影响的

　涉及面纵向划分为：战略性风险、战术性风险和操作性风险三个层次。仍以销售活动为例，销售不足为战略性风险；授信不足或过高为战术性风险；授信审批没有按照要求执行则为操作性风险。构建自上而下的风险指标体系即符合企业目标管理、绩效管理和流程管理的原理，又能通过追踪至操作性风险来检查是否所有战略性风险和战术性风险都已得到有效控制 。

　实务中，可以将原有的横向风险清单作为索引工具，这样既便于合规性检查，又便于员工按图索骥，理解相关风险的具体控制措施及其在整个业务循 环 中 的 前 后 配 合 协 调 工 作 。

　从与目标的关系看，战略目标跟战略性风险、战术性风险和操作性风险均相 关 ； 除 此 之 外 的 其 他 目 标 ， 则 多 与 后 两 类 风 险 相 关 。

　三 、 控 制 措 施

　1. 控 制 措 施 的 具 体 内 容

　在实务中，经常会有企业的管理层特别是高管，抱怨内部控制体系就是增加一堆表格和签字，但却没有人能解释为什么要签字；同时，企业管理层真 正 希 望 解 决 的 问 题 ， 却 几 乎 没 有 触 及 到 。

　造成这种局面的直接原因就是缺乏对风险层次的清晰认识，进而导致在内部控制建设过程中只局限在操作性的业务流程层面，而忽略了或者无法将针对战略性风险和战术性风险的控制措施落实到位。如果企业战略性层面的源头风险没有管住，操作性层面工作做得越好可能只是在错误的道路上越 走 越 远 。

　战略性风险的主要控制措施是完善决策机制和企业定位，常见的内部控制措施包括决策程序、决策标准和决策能力的建设。企业战略目标的涉及面从抽象到具体可以包括愿景、定位、规划和产品，因此，对战略风险的管控措施更多是从资产组合、决策/定位和培养竞争优势等着手。战略性风

　险的内部控制建设成果可以体现在公司治理文件、集团管控模式、企业的战 略 定 位 和 商 业 模 式 等 载 体 中 。

　战术性风险的主要控制措施就是完善管理机制，常见的内部控制措施包括岗位设置、预算管理、运营分析、绩效管理和预警机制等，其建设成果可以体现在岗责体系、流程体系/价值链（即一级流程）和基本管理制度等载 体 中 。

　操作性风险的主要控制措施是作业动作，常见的具体措施包括不相容职责分离、授权/审批、查证/核对/复核、财产保护和会计系统控制等，其建设成果可以体现在权限指引、具体管理制度、标准操作流程（对流程体系的细 化 和 分 解 ）

　和 业 务 表 单 等 载 体 中 。

　在企业管理中，这三个层次的管理活动是层层推导的，因此，同样的战略定位可能因为不同的策略而需要不同的管理机制和业务流程，进而需要不同的控制措施。比如，同样以创新战略作为战略性风险的控制措施，索尼公司将研发团队分为三个小组，第三组的任务就是淘汰前面两组的产品；而 3M 公司则鼓励员工利用 20%的工作时间和公司的资源去做自己的发明创造。两者落实战略的管理机制不同，对应的流程活动和控制措施也将大 相 径 庭 ； 但 两 者 最 终 都 在 市 场 上 取 得 了 成 功 。

　2. 将 控 制 措 施 嵌 入 管 理 过 程

　法约尔在管理史上首先研究并定义了管理的要素，包括：计划、组织、命令、协调和控制。所以，内部控制不是抛开原有的管理体系另起炉灶，而“是管理过程的一部分”。内部控制体系建设的过程，不是另外编写一套手册，而是对原有的管理体系进行诊断和梳理，并将之改造成符合内部控制规范要求的管理体系。因此，可以说控制活动和管理活动是点和面的关系 。

　内部控制建设最直观的成果就是内部控制手册，其核心内容是风险控制矩阵和流程图等。由于控制矩阵是针对风险点而采取的控制措施，因而是点

　状的且并不能完整地体现管理流程的全貌，所以，常常会听到企业各级人员抱怨内控手册的实用性很差，这是对内部控制手册使用上的一个很大误区 。

　正确理解内部控制手册的使用应当包括两个层面。第一，内部控制手册使用者主要是内部审计人员和外部审计师，供其在内控自我评价和内控审计鉴证时快速确定关键控制点；第二，在内部控制手册完成后，企业需要将风险控制矩阵中的控制措施，更新到原有的制度和流程文件中去，并且以划线标注或编号标注等方式体现出哪些是控制措施。对于非内部审计部门而言，内部控制手册在日常工作中，只能作为一种索引工具使用。