关于内部控制设计思路,我国大多数企业是根据COSO内部控制整体框架来设计自身的内部控制体系的。COSO内部控制整体框架是国际权威标准,但仅按照这个框架标准设计的企业内部控制体系肯定不具有操作性。COSO内部控制整体框架中控制环境、风险评估、控制活动、信息与沟通及监控从要素的角度全面地说明了内部控制的构成,为内部控制制度构建提供了理论基础。然而,在内部控制的具体设计上,若从这五个方面予以构建,可操作性较差,这五个要素更多地是作为一种评价标准。还有,在实际中,有些单位简单地把国内外内部控制规范及其本单位的制度罗列在一起并装订成册,这不能说是内部控制设计,而是制度汇编。
从总体上说,构建内部控制体系,需要借鉴国际先进的标准,更要以我国政府监管部门制定的内部控制规范及其配套指引为依据,结合企业的实际情况来设计,应符合国情、符合企情。根据中天恒内部控制是对风险控制的理论观点,内部控制设计应以风险为导向,要突出对各类风险控制政策、措施、方法及其工具等的设计。内部控制设计不仅仅是解决理念或理论问题,而是要与业务管理相融合,嵌入到业务管理流程中,设计出控制风险的可操作性的具体解决方案。
从方法论上看,内部控制设计思路应该:控制什么、如何控制。控制什么,是要设计控制内容。如何控制,是要设计出针对具体控制内容的控制政策、方法、方式、措施等。在具体设计上,可按照目标-风险-控制的逻辑路径来设计。至于是先设计总体层面的控制,还是先设计业务层面的控制,这是个顺序问题。通常的做法是先对每个控制循环进行设计,然后再进行整合以形成企业整体的内部控制系统。
对内部控制循环设计思路主要有两条:一是根据会计报表的组成项目设计控制循环。这种设计思路的重点在于保证会计信息的真实性。二是根据企业的业务流程或工作程序设计控制循环。这种设计思路强调的是过程控制或者程序控制的思想,目的是保证业务流程的顺畅性和效率,同时保证结果的可靠性。理论上讲,第二种设计思路更加先进、科学。因为,结果是过程产生的,所以过程决定结果。只有合理、科学的工作过程,结果的可靠才具有坚实的基础。现代内部控制循环设计思路基本上采用第二种思路。不管采用哪种设计思路,最主要是要确保内部控制目标实现,并有利于提高内部控制工作效率。