另類解讀內部控制的目標

1.不同內部控制目標體系的比較

在我國內部控制規范體系中，內部控制建設目標可以歸納為：戰略目標、經營目標、合規目標、資產安全目標和財務報告目標等五個目標。

在國際上，COSO在2013版的《內部控制整合框架》（以下簡稱IC）列舉了三種類別的目標，即運營目標、報告目標（包括財務報告目標和非財務報告目標）和合規目標。同時，COSO在《企業風險管理整合框架》（以下簡稱ERM）中將風險管理的目標分成四類，即戰略目標、經營目標、報告目標和合規目標。

比較上述三大體系的目標，可以發現我國內部控制體系目標有如下特點：

第一，整合了IC和ERM框架。不管是1992版本還是2013版本，IC都沒有納入戰略目標，并且COSO強調“戰略設定、戰略目標和風險容量是ERM的范疇，而不屬于IC的范疇”，因此，我國的內部控制目標是綜合IC和ERM框架的要求，對企業實施內部控制體系提出了更高要求。

第二，強調資產安全目標。資產安全目標在IC和ERM中均被視為是經營目標的子目標而沒有單列。我國的基本規范之所以強調資產安全目標，并單獨作為一個內部控制目標，主要是因為國有資產的增值保值是我國特有的國情。

第三，沒有強調非財務報告目標。IC2013更新了原有IC中的財務報告目標，采用了ERM中的報告目標，拓寬了報告的外延范圍，強調合理保證非財務報告和內部管理報告等信息的真實完整。

因此，我國內部控制體系實際上約等同于ERM。但是，IC強調“確定目標”是“內部控制的前提條件”（即“目標既定論”），而不屬于內部控制本身；ERM強調“應用于戰略制定并貫穿于企業之中”（即“目標設定論”），并體現在其風險管理八要素中的目標設定、事項識別等要素中。所以，不能簡單將全面風險管理的八要素視為內部控制五要素的細分。

2.內部控制目標的實務分類

《小型企業內部控制規范（征求意見稿）》規定：“企業可以綜合評估自身戰略安排、資源條件、管理水平以及外部監管要求，合理確定分階段的工作目標。階段性目標可以是實現某一內部控制目標，也可以是實現某幾個內部控制目標。”

我國內部控制規范雖然明確了五個目標，但對大多數企業來說，一次性圍繞五個目標進行建設容易走入流于形式的窠臼，因此，適當的方法是對五個目標進行切割和排序，由易到難逐漸推進內部控制的建設工作。

從內部控制實務的角度看，IC的報告目標可以拆解為財務報告目標和非財務報告目標。其中非財務報告目標可以作為信息與溝通要素融入到相應的戰略目標、經營目標和合規目標中。

同時，資產安全目標也可以拆解為兩部分，即“用于保護資產安全且與財務報告可靠性目標相關的控制”和“其他資產安全相關的控制”。對于前者可納入財務報告目標的內部控制建設中；對于后者則可納入經營目標的內部控制建設中。

經過上述重分類后，從建設和實施的角度，可以將內部控制建設目標界定為：財務報告目標、合規目標、經營目標和戰略目標等四個目標。其內涵各不相同，因此梳理和確定上述具體目標體系的方法也不盡相同（詳見拙文《分階段長效內部控制建設方法初探》，《財務與會計》2016年第13期）。

3.從一般內部控制目標到具體內部控制目標

不管是IC的“目標既定論”還是ERM的“目標設定論”，都說明沒有清晰的目標體系就不存在真正的內部控制建設。內部控制規范明確的五目標屬于一般內部控制目標，適用于所有行業的所有企業。但是，在具體到某一家企業進行內部控制建設時，需要將一般內部控制目標轉換成具體的內部控制目標。例如，財務報告及相關信息真實完整是一般內部控制目標，具體內部控制目標則是每個報表科目的存在或發生、完整性、權利和義務、估價或分攤、披露和揭示等認定。合規目標的具體內部控制目標也可以從一般性法律法規和行業性法律法規中梳理得到。制定資產目標、經營目標和戰略目標的具體內部控制目標相對比較有難度。前兩者重點在企業經營管理的3E，即經濟性、效率性和效果性；戰略目標則側重于衡量企業流程的質量，即流程的產出是否達到了流程客戶（包括內部客戶和外部客戶）的要求。

內部控制建設是否能體現企業的特色，關鍵就在于內控建設是基于一般內部控制目標開展的，還是基于具體內部控制目標開展的。如果是基于一般內部控制目標開展，則會圍繞部門職責和流程來進行風險評估，建設成果可能很豐富，但因為沒有深入業務，對經營效率和效果以及戰略提升的幫助并不很大，因而無法讓企業高管層滿意。

基于具體內部控制目標的建設，則是以企業KPI為核心，構建績效指標體系，并對指標體系進行風險評估，進而優化流程。在據以績效指標進行風險評估時，往往會發現很多基于職能和流程無法發現的風險，例如在對銷售指標進行風險評估時，可能會發現銷售人員的銷售技巧不足導致業務開發業績不達標。