基于免疫系统观的内部控制要素解读

河南大学会计研究所 汪 芳

基于免疫系统观的内部控制要素解读

河南大学会计研究所 汪 芳

企业的系统同人体一样，也有免疫系统。如果企业的“免疫系统”健全并正常运转，企业就不会出问题。很多企业为了能够正常运转，会建立一套风险控制机制，来降低影响企业运转的一些负面因素的影响，而这套风险控制机制就是内部控制，也就是企业的“免疫系统”。企业要想正常运行，很大程度上取决于企业内部控制机制。从总体上透视企业生产的各个环节，充分了解内部控制的构成要素，从内部控制构成要素入手，分析企业在内部控制中存在的缺陷和薄弱环节，才能及时控制和提早预防各种错误和弊端，有效地实施无疑会促使企业生产管理登上一个新台阶，进而发挥内部控制的“免疫”功能。

一、内部控制要素基本框架

1992年，美国COSO（CommitteeofSponsoringOrganizationof TreadwayCommission）委员会就已经提出了内部控制整体框架理论，将内部控制理论发展为五要素论。这五个方面的组成要素是控制环境、风险评估、控制活动、信息与沟通、监督，这五大要素贯穿企业管理的整个流程，相辅相成，缺一不可。

（一）控制环境 控制环境是由管理层所定的基调、管理哲学与管理风格、授权方式、组织和培养员工的方式及董事会对执行内部控制的决心决定，是内部控制整体框架的基础，支撑着整个内部控制框架，是整个控制框架的引擎，起着塑造组织控制文化、影响人员控制意识、奠定组织风格和组织结构等关键作用。对内部控制发挥此作用的环境要素包括人员操守、道德价值、能力素质，以及管理层的管理哲学、经营理念等。

（二）风险评估 面对不断变化的环境，任何组织都面临各种各样的风险，必须对所面临的风险进行有效了解和估定，建立可操作的发现、判别、分析、管理、控制风险的机制，即风险评估机制。建立风险评估机制的一个重要前提是，从整体上和各单个层面上制定与不同作业层次相关联的目标，构成目标体系。风险评估就是分析和辨认实现所定目标可能发生的风险，风险评估机制实质上也是评估实现目标体系的各种不利因素的机制。

（三）控制活动 控制活动是帮助管理层确保管理方针得以贯彻的政策和程序。控制活动的目标是经过风险评估后确定的用以管理和控制风险所必须采取的各项行动能够得到有效落实。控制活动由组织各部门依据不同目标要求实施，并贯穿组织过程始终，具体包括核准、授权、验证、对账以及对经营活动的审查、对资产的保护和不相容职务的分离等。

（四）信息与沟通 企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。

（五）监察 内部控制的过程必须施加以恰当的监督，必须不时地对内部控制运行质量进行评价。监督可分为持续性监督、独立性评估，一般需要二者结合。持续性监督通常在经营过程中进行或体现为经营过程的延续，包括日常管理、例行监督和常规性事后监督等；独立性评估的范围和频率取决于风险评估或持续性监督程序的有效性。监督应保持独立性，监督发现的内部控制缺陷应直接向最高层报告。

二、免疫系统理论分析

机体免疫系统的作用机理一般是从发现病毒、风险预警到产生抗体直至最后产生免疫功能，及时应对各种风险的考验。内部控制发挥“免疫系统”功能与作用的内在机理亦与机体免疫系统相似（如图1所示），即发现问题、处理问题、完善机制以致增强免疫功能——抵御病毒，其作用机理是一个螺旋式上升的过程，即通过系统发挥监督职能、防御职能、自稳职能，不断提升“免疫系统”的建设性和自适应性。根据“免疫系统”论，内部控制作用机理是一个识别问题、处理问题、完善机制、抵御病毒的螺旋式上升过程，这是对内部控制作用机理在新的环境和条件下的一种重新表述和理解，即“内部控制免疫职能观”。

图1

（一）识别：发现问题 机体免疫系统必须及时发现侵入机体的病毒和机体器官的重大缺陷一样，内部控制如不能及时发现问题，其“免疫系统”的功能与作用便无从发挥。因此内部控制作为企业的“免疫系统”应当及时识别、揭示面临的各种外部风险，提请有关部门采取相应对策。在发现问题之前，进行有效的预防措施也是一个很关键的因素。因为预防是内部控制的根本职能，预防意指防止、戒备，预防是内部控制为预防企业发生各种违反财经法纪及其他有关问题所具有的内在功能。预防是基础，只有注重预防，才能防患于未然。在企业发生违法违纪等问题之前，采取各种措施予以防止，比问题发生后再去设法消除要好得多。着眼于并做好预防意味着企业的问题越来越少，管理越来越完善，经济效益越来越高。

（二）清除和修补：处理问题和完善机制 依法处理问题是发挥内部控制作为“免疫系统”功能与作用的重要手段。对发现的问题要利用赋予的职权，进行及时处理，这是内部控制部门的重要职责。如同机体免疫系统要及时抵御和消灭入侵机体的病毒一样，依法处理问题是直接发挥内部控制作为“免疫系统”的功能与作用的重要手段。对审计中发现的制度性缺陷和问题进行反馈，在揭露、查处问题的基础上，加大企业整改力度。

（三）免疫：抵御病毒 抵御功能是免疫系统功能的重点。就是要通过对查出的问题进行深入分析产生的原因，研究提出解决问题的对策及建设性意见和建议。以便改革体制、健全法制、完善制度、规范机制、强化管理、防范风险、提高企业运行的质量和绩效，并且在永不停息地抵御一时、一事单个“病害”的同时，促使其健全机能，改善机制。

三、免疫系统与内部控制要素的等效同一性解读

内部控制五要素包括控制环境、风险评估、控制活动、信息与沟通、监督。控制环境是识别企业内外部环境中存在的可能对企业运作有影响的因素，可以归结为“风险识别”；而控制活动、信息与沟通、监督的是对评估出来的风险进行应对，通过一系列的控制活动及信息的沟通等将企业的风险降低或者消除。因此，内部控制五要素可以概括为风险识别、风险评估和风险应对。

（一）风险识别 对风险的性质、风险发生可能性、发生的频率做出合理评估是制定风险管理方针和决策的前提。重心前移，转移到以风险评估为中心。从以前的事中和事后控制为主导，逐步的转化为事前控制为主，这和“免疫系统”新理念中的发现问题的理念相一致，即发现问题的理念也强调了事前发现问题。两者都着眼于在不利时间发生的初期，就可以敏锐地识别出来，以便于控制不利因素趋于不利方向发展，从而达到有效的控制作用。

（二）风险评估 识别了所有潜在的重大风险后，必须对其量值以及给定量值时不利事件发生的概率予以计量。有些事件就其潜在影响的量值而言是灾害性的，但其发生的概率低；另外一些事件单独的损失值小，但其发生的概率高，因而总体上可能是重要的。总之，风险是复杂的，风险评估也是复杂的。只有当风险评估出来，确定其是重要的，才需要揭示出来，引起重视，从而改变不利的事件发生的可能性。“免疫系统”理论所强调的揭示功能，同样是指揭开、昭示，内部控制揭示是行为企业主体将企业中存在的有关行为、现象或信息予以查证并向相关方面反映或公开的内在功能。这点和风险评估的目的是相同的。

（三）风险应对 对于经过识别和评估的每一种潜在的重大风险，经过了风险和收益的平衡后，要采取具体的措施来应对风险，以便消除风险或者将风险降低到可以接送的水平。对查出的问题进行深入分析产生的原因，研究提出解决问题的对策及建设性意见和建议之后，使机体对这一类的问题产生免疫力，从而抵御病毒的渗入和危害。

总之，基于免疫系统观重新解读内部控制要素，审视两者之间的联系，可以看出两者内在存在着等效统一性。而这对于认识内部控制要素提供了一个新的思路，能够从不同的角度来解读内部控制要素，对于我们研究和认识内部控制具有一定的指导作用。

［1］肖文八、于静：《发挥免疫系统功能，拓展军队审计职能》，《审计研究》2009年第2期。

（编辑 向玉章）