内部控制框架构成因划分标准或依据的的不同而不同,因研究视角和研究目标的不同而不同,因对内部控制定义和边界的认识不同而不同,也因内部控制工作需要的不同而不同。简单归纳起来,内部控制框架可以概括为以下几类:
一是内部控制制度框架。根据内部控制是一种制度的观点,内部控制由内部控制制度、内部控制制度实施机制、内部控制非制度规则等构成内部控制制度框架。内部控制制度,是指为了实现一定控制目标而制定和颁布的内部控制规则和标准,是内部控制实施的依据。从我国内部控制制度建设的实践看,内部控制制度本身就是一个体系,包括基本规范、具体规范、应用指南和解释公告。基本规范规定内部控制的基本目标、基本要素、基本原则和总体要求,是制定具体规范、应用指南和解释公告的基本依据,在内部控制制度体系中起统驭作用。具体规范是根据基本规范,对企业办理具体业务与事项从内部控制角度作出的具体规定。应用指南是根据基本规范,对特殊行业、特殊企业执行基本规范作出的具体规定。解释公告是根据基本规范,对企业执行基本规范、具体规范和应用指南过程中的有关问题作出的解释和说明。内部控制制度实施机制,是指实施内部控制制度的方法和手段,它是检验行为是否偏离了规则和标准的一系列程序,如复核等。内部控制非制度规则,是指不是通过人为设计,而是通过习惯、传统形成的一些潜在的规则和标准,如价值观、伦理道德、文化等,它决定着规则和标准的确定方式和实施方式。内部控制制度是通过实施机制来实施,非制度规则是内部控制制度实施过程的一个既定环境和前提,控制结果是内部控制制度实施过程与非制度规则这一环境共同作用的结果。内部控制的有效性取决于内部控制制度的有效性、实施的有效性以及非制度规则对二者的影响。内部控制构建与实施不仅仅是制定一系列的规章制度,而是有效实施,并适应环境因素的变化而不断优化。制定了内部控制制度不等于建立了内部控制,只能说建立了内部控制的文件或完成了内部控制的概念设计。当然,非制度并非的正式规则和标准,尤其所谓潜规则,会对内部控制的有效性影响也是很大的,是内部控制构建和实施不能忽视的一个重要因素,必须立足自身,不断完善和改进内部控制。
二是内部控制要素框架。内部控制要素框架,是指内部控制是由相互联系又相互独立的要素构成的有机整体。COSO内部控制—整合框架、COSO企业风险管理—整合框架、巴塞尔银行的内部控制系统框架、CoCo的“控制”、我国的《企业内部控制基本规范》等都是采用的要素结构。这种结构是普遍采用的内部控制框架,只是人们对内部控制框架到底由哪些要素组成及其各要素之间的关系还没有统一的认识。COSO内部控制框架由控制环境、风险评估、控制活动、信息沟通、监控五个要素构成。CoCo控制框架是目标、承诺、能力、监督与学习构成的有机整体。《企业内部控制基本规范》要求,企业内部控制应该由内部环境、风险评估、控制活动、信息与沟通、内部监督构成的有机系统。中天恒一惯主张,内部控制包括管理控制、业务控制和财务控制。
三是内部控制过程框架。内部控制是一个动态的过程,如果根据内部控制的实施过程来描述内部控制,就会形成内部控制的过程框架。COSO企业风险管理—整合框架中的目标设定、事项识别、风险评估、风险应对、控制活动就构成了风险管理的一个过程。COBIT报告的综合内部控制框架和ESAC报告的信息系统控制模型也是采用的过程结构。从内部控制构建和实施的流程看,内部控制应该由内控设计、内控实施、内控监控、内控报告、内控改进构成的有机系统。内部控制过程框架突出了内部控制的构建和实施过程,具有相对较强的可操作性,对指导内部控制建设的实践具有重要意义。
四是内部控制科层框架。任何一个主体,无论采取何种组织结构,都会有权力层级,内部控制构建与实施都是通过这种层级的权力差异来实现的,从而构成了与权力层级相一致的层级控制体系,即内部控制科层框架。主体的权力层级和运行机制的不同,内部控制科层框架也就不同。在内部控制科层框架内部,不同层级内部控制的目标不同,职责权限不同,控制手段不同,对内部控制整体有效性的影响不同,在内部控制动力链条上的先后位置不同,从而形成既相互独立又相互联系的内部控制有机整体。Bill Waite根据Turnbull报告建立的风险模型和风险管理模型采用了科层结构,是从董事会、管理层、雇员或战略制定者、战略执行者、日常操作者三个层次来构建风险管理结构的。根据特恩布尔报告确定的风险管理流程包括以下内容:董事会承诺;制定目标;确认重大风险;风险的评估、评级与排序;管理风险;监控、报告与进展。与COSO的企业风险管理相比,它更关注了主体所具有的科层结构与风险管理的关系。张宜霞(2007)提出内部控制的层级结构由企业治理层面控制、企业管理控制、作业控制构成,后又增加了信息系统和企业文化两个要素,从而形成内部控制整体上主要由企业治理控制、企业管理控制、作业控制、信息系统和企业文化五个要素构成的内部控制框架。治理控制是内部控制的第一个层次,是整个企业内部控制的上层建筑,它以所有权为基础,直接影响着下层的企业管理控制。它的一般表现形式主要是股东会、董事会及其所属委员会、高级管理人员之间的控制、约束管理,既包括显性的组织结构上的职权分配控制,又包括隐性的各种激励机制。管理控制是内部控制的第二个层次,所涉及的主要是企业日常生产经营活动的控制与约束,它以经营权为基础。管理控制是对企业管理的直接控制,它直接对企业生产经营中的各种资源(包括物质资源和知识资源)进行监督和控制,直接影响到企业的效益和效果,直接影响到企业利润目标的实现。企业管理控制的实体一般包括高级管理层、中层管理层、内部审计组织、一般员工、生产资源等之间的控制机制。作业控制是内部控制的第三个层次,它是以部门以及部门内部的职责分工为基础的,是企业员工与作业之间的一种控制关系。作业控制是企业内部控制系统最基础的部分,是最基层的控制。在企业中实际存在的操作方面的规章制度大多是这个层面上的控制。从企业整体上来看,治理控制、管理控制和作业控制是企业整体内部控制的三个子系统,每个系统都有各自的运作机制,又通过系统间有机的联系和作用结合在一起构成整个内部控制系统。框架体系的五个部分存在着有机的联系:企业文化构成企业内部控制的内环境,是一种非强制性的氛围,对企业各种资源的控制都是在这种氛围中进行的;企业治理控制是内部控制的核心和起点;作业控制是内部控制的终点,通过对作业管理的影响,实现各种资源的有效控制和使用,从而促进企业整体目标的实现。如果说企业治理控制是内部控制的上层建筑,那么管理控制就是内部控制的实施,作业控制就是内部控制的具体操作。信息系统为三个层次的控制提供所需的信息,并传递控制的信息和反馈的信息,是控制实施的通路。
池国华(2009)企业在构建和实施过程中,需要区分控制层级,即按照战略控制、管理控制、作业控制的次序建立内部控制体系。首先,战略控制主要侧重于战略目标的制定,是形成企业战略的过程,它主要是公司治理层尤其是董事会的职责。在这一过程中,企业需要分析企业内外部环境,设定战略目标,同时进行事项识别和风险分析,并采取相应的风险应对策略,在此基础上形成战略规划。为了能够有效形成战略,治理层还需要优化内控环境,否则控制将不会起作用。由治理层建立的控制环境应当包括发展战略、组织架构、人力资源、企业文化、社会责任等方面。其次,管理控制是管理者影响组织其他成员以落实组织战略的过程(罗伯特·安东尼等,2004),是决定如何通过业务经营达到战略目标的过程,它主要是公司经营管理层尤其是经理层的职责。由于企业具有经营多元化和组织层级制的特点,因此一个企业要实现其战略目标,需要先将战略目标进行逐步细化和层层分解,再将其落实到企业内部的各个组织单元,即从企业整体目标到部门目标,再到个人目标,这属于战略计划阶段(全面预算作为一种控制手段可以在这一阶段引入运用)。在企业战略实施过程中,需要检查企业内部各部门和员工为达到目标所进行的各项生产经营活动的进展情况(内部信息传递,包括内部报告和财务报告等形式),评价实施战略后所取得的效果效率,并与预定的战略目标进行比较,分析产生偏差的原因并采取措施纠正偏差(业绩评价),确保最终实现战略目标。由于战略计划归根结底是由人执行的,因此还需要考虑对计划执行者的激励,即建立激励机制。除了以上因素,还需要考虑内部监督因素,即需要设置或指定专门机构对内部控制制度的设计与运行情况进行检查,以便督促内部控制的有效运转,并发现其中的缺陷及时加以改进。因此,一个完整的管理控制系统应该至少包括战略计划(含预算)、内部信息传递、业绩评价、激励机制与内部监督等要素。最后,作业控制主要侧重于某项具体业务或者某项具体任务的完成。它主要针对的是企业各项业务或事项,属于操作管理层和员工的职责。资金管理、资产管理、采购业务、销售业务等反映企业主要业务和事项的应用指引就属于作业控制的对象。这充分体现了《Flint报告》对内部控制应嵌入公司业务流程的各个环节和程序的要求。
五是内部控制理论框架。从内部控制理论体系看,内部控制应该是由内控概念、内控目标、内控原则、内控内容、内控流程、内控方法等构成的有机系统。
当然,内部控制框架还可以从不同的角度进行多种分类。但不论如何分类,在一种组合中不应有采用几种标准。不同的内部控制框架要素组合都有其存在的理由,没有绝对的对错之分,从科学合理的角度考虑,内部控制框架应该只有一组最优的内部控制要素,不应该同时存在着几组同样科学合理的内部控制要素。这种科学合理的组合到底是什么,是需要广大理论工作者不懈探索的领域。不管怎么说,内部控制框架要素组成从根本上讲是一个应该从哪些方面设计、执行、监督内部控制的问题,要有助于主体内部控制的构建和实施。从这个意义上说,内部控制框架由内控设计、内控执行、内控监督这三个既相互联系又相互独立的要素构成会更具有实用性。这不仅符合内部控制构建和实施实践,也符合内部控制是一个动态过程的理念。内部控制设计(制度)是基础,内部控制执行是关键,内部控制监督是保证。