第1章

什么是内部控制

1.1

内部控制的一些基础知识

根据美国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission， COSO）在2013年发布的《内部控制整合框架》，内部控制的定义如下：“内部控制是一套流程，受组织的董事会、管理层和其他员工所影响，被设计并用来为组织提供合理保证，使其实现运营，报告和遵循目标。”我国于2008年颁布了《企业内部控制基本规范》，其第三条对内部控制的定义如下：“本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”

我国在《内部控制整合框架》的基础上，结合我国企业管理的实际情况，在“三目标”的基础上扩展了资产安全和促进企业实现发展战略，形成了以“五目标”为核心的内部控制定义。

1.1.1

内部控制五要素模型

《内部控制整合框架》不仅给出了内部控制的定义，还提出了内部控制五要素模型。内部控制五要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督。

内部控制五要素不是割裂的个体，而是存在互相影响的逻辑关系的整体。内部环境是内部控制体系有效运行的基础，内部环境的好坏直接决定了内部控制体系的运行是否有效。风险评估和控制活动是内部控制体系运行的核心。企业既需要识别在经营过程中可能影响战略目标实现的各类风险，还需要在风险识别的基础上运用定量和定性的评估方法开展风险评估，结合风险承受度选择恰当的风险管理策略和控制活动。信息与沟通是内部控制体系有效运行的强力保障。风险评估和控制活动的结果需要通过信息与沟通来反映，内部环境的要求也需要通过信息与沟通来传递。内部监督保证了内部控制体系的闭环管理，企业需要通过定期与不定期的内部监督对内部控制体系运行的有效性进行评价。

1.内部环境

根据2013年框架修订“控制环境包括了组织正直和道德的价值观；促进董事会行使公司治理的监控职责的机制；吸引、开发和保留人才的机制；严格的绩效衡量、激励和汇报机制以保证绩效实现”。

相较于《内部控制整合框架》对内部环境因素的分析，《企业内部控制基本规范》对内部环境的因素进行了更详细的描述。依据《企业内部控制基本规范》，内部环境在企业管理中主要包括治理结构、组织结构、授权管理、内部审计、人力资源政策与实务、员工和企业文化等因素。

2.风险评估

《内部控制整合框架》和《企业内部控制基本规范》都未明确风险的定义。因此，本书援引COSO在2017年版本的《全面风险管理框架》中对风险的定义，即风险是事项发生并影响战略和业务目标之实现的可能性。相较于2004年版本的《全面风险管理框架》，在2017年版本中，COSO对风险的定义进行了修订。2004年版本的《全面风险管理框架》对风险的定义如下：“风险是一个事项将会发生并给目标实现带来负面影响的可能性。”风险评估包含风险识别、风险评估和风险应对3个阶段。

风险识别要求企业根据设定的战略目标，识别与目标实现相关的外部风险和内部风险，确定企业的风险承受度。对于已经识别的风险，企业应从风险发生的可能性及影响程度两个维度进行评估，并对风险进行分析和排序，确定重点风险。根据风险评估结果，企业要综合运用风险规避、风险降低、风险分担和风险承受等应对策略，实现对风险的有效控制。但是在企业内部控制体系建设过程中，风险评估阶段存在部分难点无法得到有效克服的情况具体如下。

（1）风险承受度无法确定。

法律赋予了公司独立的人格，公司可以独立地享有权利和承担义务。根据《中华人民共和国公司法》，公司做出意思表示的决策机构根据事项类别和公司内部权限设置可细分为股东大会、董事会和经理层。确定风险承受度的首要难点是内部控制理论未明确风险承受度由哪一层级决策机构决策。