内部控制框架到底由哪些要素构成,结构如何,人们的认识是不同,也是不断发展变化的。在国外,COSO(美国)、Tumbull(英国)、CoCo(加拿大)等内部控制原则与框架是比较系统的内部控制框架。COSO制定的内部控制框架,是个整合框架,将内部控制看作一个整合的过程,由控制环境、风险评估、控制活动、信息沟通、监控五个要素构成。CoCo控制框架是目标、承诺、能力、监督与学习构成的有机整体。1996年发布,经过1998年、2000年两次修改的COBIT报告是一个专门针对与信息技术(IT)有关的内部控制问题的综合内部控制框架。该框架提出了7项商务信息要求或标准:效能、效率、保密性、完整性、可用性、合规性和可靠性,并把IT资源分为应用程序、信息、基础设施、人员4类。COBIT框架把IT一般流程模型中的 IT活动定义到4个域中,这4个域分别是计划与组织、获取与实施、支付与支持、监控与评价,这些域是根据计划、建立、运行和监督等IT传统职责范围设计的。IIA2001年的报告《电子系统确认与控制模型》(ESAC)提供了一个信息系统的控制模型,这个模型的核心部分是紧密联系在一起的4个内部控制目标(运营目标、报告目标、合规性目标、资产安全保障目标)和5个电子商务的保证目标(可用性、能力、功能性、可防护性、可负责性)以及5个基础的创建要素(人、技术、过程、投资、沟通)。组织的使命、价值、战略和目标推动这一核心部分产生3个结果:成效、声誉和学习。这一核心部分的顶端是5个外部市场力量(顾客、竞争者、管制者、公众、所有者),底端是3个外部依存因素(供应商、联盟机构、代理机构)。根据ESAC报告,内部控制系统有三个组成部分:控制环境、人工和自动系统、控制程序。美国学者鲁特的《超越COSO—强化公司治理的内部控制》将内部控制监督视为公司治理的一项主要职能,并超越COSO框架范围,重新构造了一个基于管理方法的内部控制框架,这个框架由1个基础性要素(“结构”)和16个方法要素组成,即战略思维、完整的内部计划、目标确定、竞争杠杆、持续核心竞争力、创新方案、承担风险、程序和方法、激励机制、持续改进、人力发展、股东价值、信息与分析、结果导向、反应、计划的连续性。
我国的《企业内部控制基本规范》是适应我国所有企业的内部控制框架,由内部环境、风险评估、控制活动、信息与沟通、内部监督构成的有机系统。中国保险监督管理委员会印发的《保险公司内部控制基本准则》(保监发〔2010〕69号)认为,保险公司内部控制体系包括以下三个组成部分:内部控制基础,包括公司治理、组织架构、人力资源、信息系统和企业文化等;内部控制程序,包括识别评估风险、设计实施控制措施等;内部控制保证,包括信息沟通、内控管理、内部审计应急机制和风险问责等。
我国国有企业内部控制课题组研究结果表明:内部控制的基本构成包括治理结构、企业文化、工具体系、授权体系、政策程序、基本流程、监督体系、评价体系。(国有企业内部控制课题组著.2009.国有企业内部控制框架.北京:机械工业出版社,94~95)内部控制框架的基本构成包含:一个首要目标、两大责任主体、三条建设主线、四大基本原则、五项保障措施。一个首要目标是提高运营效率和效果,两个责任主体是董事会(股东)和管理层,三条建设主线是治理结构、财务控制和业务控制,四大基本原则是短流程、强支撑、高授权、大监督,五大保障措施,即改善支撑环境、加强风险管理、完善制度流程、促进信息沟通和提高监督能力。国有企业内部控制基本框架是从实践中总结出来的,是实践与理论相结合、国内具体情况与国际先进经验相结合的产物。在框架形成的过程中,总结了国有企业内部控制建设与实施的得失,对国家大环境、国有企业的现状、其所处的特殊发展阶段进行了广泛深入的思考,借鉴了COSO和其他国外先进原则框架的系统性、全面性等优点,而又不同于国外体系的原则框架,因而形成了有自己鲜明特点的内部控制原则框架。该框架的特点主要表现在以下几个方面:框架适应我国国情、面向使用者的框架、突出效率效果目标、强调了内部控制建设的动态性、明确了激励和责任追究机制、强调强支撑和大监督体系。(国有企业内部控制课题组著.2009.国有企业内部控制框架.北京:机械工业出版社,122~125)国有企业内部控制框架推荐模型有4目标、5要素;4目标为经营效率、报告可靠、资产安全、经营合规;5要素为法人治理、风险评估、控制流程、内部审计、信息系统。
中天恒3C框架课题组(2006)推出了中国式全面控制框架(3C框架):所谓中国式的全面控制,就是既符合中国国情,又符合中国企事业单位实际情况,从公司治理、战略管理的高度,以风险管理为导向,对企事业单位实行全过程、全方位、全员的控制。说是中国式的,就是这种控制要符合中国的国情,符合中国企事业单位的实际情况,不能全面照抄西方的模式。说是全面控制,就是这种控制必须是全过程、全方位和全员的控制,应包括方方面面,是人、财、物三维之间的“无缝”整合。全面控制,从范围看应当包括外部控制和内部控制。(李三喜、徐荣才著.2003.3C框架—中国式全面控制.北京:中国市场出版社,序.15~16)中天恒推出的3C框架,是由中国式概念、目标、内容、方法、标准、指标等构成的一个有机整体,其内在的逻辑关系:战略----目标----风险——控制,不拘泥于某一种固定模式,永远是多模式并存的,最好的全面控制模式是适应单位控制需要的模式。中天恒推出的3C框架中的全面控制实质是对风险的控制,是以风险管理为导向的控制。这个控制不是结果,是过程,是持续的动态监控,要建立风险控制模型,要建立记录动态过程的台账,并随时出具监控报告。中天恒推出的3C框架是一个整体框架,应分主体、分阶段、分需要逐步实施。所谓分主体,就是针对不同的主体设计不同的控制制度。总体上控制主体可分非营利组织和企业。非营利组织可细分行政单位和事业单位,对事业单位还可细分教、科、文、卫等。对企业至少要按行业和规模来进行分类。所谓分阶段,就是充分考虑我国整体控制现状和具体到每个单位控制的实际情况,准确定位到底处在哪个阶段。所谓分需要,就是应根据各单位的实际需要,建立相应的控制制度,在现阶段至少应分管理控制和会计控制。单位管理人员尤其高层管理人员特别需要的管理控制,审计人员尤其是外部审计人员需要的会计控制。
王海林(2006)价值链内部控制研究结果表明,价值链内部控制系统是指为了实现一定的价值链内部控制目标,由所有相互作用、相互依赖的价值链要素,按照一定的规则和结构结合在一起形成的具有特定功能的有机整体。基于现代控制理论思想构建的价值链内部控制模型主要包括控制目标、控制环境、控制机制、控制系统的基本要素、控制内容和控制方法几部分。
(王海林.价值链内部控制模型研究[J].会计研究,2006(2):62)
李心合(2007)认为将内部控制作为一种管理方法来看待时,其首要目标是服务于公司价值创造的,其框架和要素的设置要能够涵盖公司管理的全过程。在管理学上,控制过程一般包括确定控制标准、执行与衡量成效、纠正执行偏差三个基本阶段。考虑到战略导向和风险导向的管理要求,公司的控制标准主要的是通过战略和预算、风险容忍度等体现出来,执行与成效衡量可具体化为,控制活动、信息传递与报告、绩效评价与激励三项要素,监控可视为“纠正偏差”所采取的行动之一,所有这些要素都是以控制环境为基础的。这样,价值创造导向的内部控制系统就可以分解为控制环境、目标制定与预算编制、风险识别与应对、控制程序和方法、信息及沟通、绩效评价与激励、监控七项要素。
池国华(2009)以企业内部控制基本规范及其配套指引为依据,对我国企业内部控制规范实施问题进行了深入分析,并运用战略管理、系统论、管理控制等理论探索了解决问题的思路,最终构建了以环境为起点、以战略为导向、以系统整合为主线、以管理控制为核心、以信息技术为支撑的实施思路。
