一、企业内部控制目标体系的提出

就企业绩效管控的思维，任何漫无目标的管理措施确定是无效的，甚至增加企业的成本，导致不必要的资源浪费。企业进行内部控制管理系统构建时，控制目标是企业建立控制制度所要达到的预期目的和效果；内部控制目标的定位是构建企业内部控制管理系统的关键。内部控制本身是一种手段，是企业为了达到所设定的目的而进行的过程与活动，而这些目的便是内部控制的目标；此为内部控制存在的根本，体现的是内部控制存在的目的及存在的最终预期结果。同时，内部控制目标也是建立内部控制框架以及考核、评价内部控制的指导性参照文件；因此，内部控制控制管理系统除了要服务于组织其他的次级管理系统，内部控制目标更应融合、构筑于（Building in）企业的其他各项管理目标。

国内企业目前正处于内部控制标准的研究和制订建设阶段，首先应明确内部控制的目标，才足以明确内部控制的方向，因此可以说，明确内部控制目标，是构建企业内部控制体系的基础和出发点，也是测试、评价企业内部控制体系建设与运行状况的基本标准。现今企业如何定位、设计、建构适用的内部控制管理系统与制定内部控制标准、明确内部控制的目标，此种繁杂的系统设计工程，有赖于我们认真加以思考，也迫切需要理论研究的支持。

1992年，美国COSO委员会从内部控制组成要素的角度，构造了一个内部控制整体框架，在其发布的《内部控制——整体框架》报告中，把内部控制的目标设定为三类：经营的效率和效果；财务报告的可靠性；适用法律法规的遵循性。此报告被奉为内部控制管理的圣经，是迄今为止对内部控制最全面的论述，在一定程度上突破了以往内部控制仅从会计、审计角度研究的狭隘性，在内容上不再局限于会计控制，扩展到企业的管理以及企业的治理，从一个更高、更系统的视野给出了内部控制的一个框架体系，这三类目标中，第一类是针对企业的基本业务目标规定的，包括业绩要求、盈利要求和资源的安全性；第二类是针对财务信息的可靠性设定的，主要包括编制可靠的财务报告（中期报告、年度报告），以及对财务数据的精选、非财务信息附注说明等；第三类是针对法律的遵守设定的。1994年，COSO对报告的“向外部关系人报告”卷进行增补时，增加了资产保护的内容。但是，按照COSO的理解，这个内容是从属于经营目标的，不是一个独立的目标。1999年，国际最高审计组织发布文件主张：内部控制是一个组织的计划与增值过程管理活动，包含管理的态度、方法、程序以及其他足以确保企业达到下列目标的评量措施。这些目标包括：

（一）配合战略目标，使各项作业均能有条不紊，且更经济有效地运作，提高产品与服务的质量；

（二）保护资源，以避免因浪费、舞弊、管理不当、错误、欺诈以及其他违法事件而招致损失；

（三）遵循适用的法律、规章以及各项管理规定；

（四）提供值得信赖的财务资料，并能适时、适切地披露有关信息。

2004年3月美国PCAOB（上市公司会计监督委员会）发布的审计准则No.2中仍然推荐使用COSO报告中的内部控制整体框架，意味着现实条件下内部控制的目标仍然强调的是营运目标、报告目标及遵循性目标。2004年9月，COSO委员会在其发布的《企业风险管理框架》中，把内部控制的目标分成了四类：

（一）战略目标，这是最高层次的目标，与企业的使命相关联并支持其使命；

（二）经营目标，指有效和高效率（效率与效果并重）地使用资源；

（三）报告目标，指报告的可靠性；

（四）合规目标，指遵守适用的法律、规章以及各项管理规定。

2004年9月，COSO《企业风险管理整合框架》在内涵上将原COSO报告的内部控制五要素扩展为八要素，既体现了对1992年COSO框架的超越，又反映了内部控制的转型，尤其强调了董事会和管理层在目标设定、风险确认与评估以及风险管理策略选择等方面的突出作用，同时明示他们对于企业的经营成败应负完全责任。

翻阅COSO报告的新旧版本，其宗旨在于制定任何组织、企业的通用原则以及避免对使用者在设计内部控制制度时的误导，所以都只做概括性介绍，纲领性提出了内部控制的整体框架，至于如何保证这种框架性意见在企业中得以执行，除了在内部控制评估参考列表之外，并没有给出可操作的实务性途径，必须由企业、组织自行理解领会，参酌环境与企业特性，自行设计一套适用于本企业的内部控制制度并予以落实、评估。有鉴于此，2008年6月22日财政部、审计署、证监会、银监会和保监会五部委联合发布《企业内部控制基本规范》，明确指出：内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，促进提高经营效率和效果，实现企业可持续发展战略。我国有关“内部控制”的教材和文献中，一般提两个方面，每个方面有三项目标，共六项目标。

1.会计控制目标

（1）保财产物资的完整性。

（2）保证会计信息的准确性。

（3）确保财务活动的合法性。

2.管理控制目标

（1）保证生产经营活动的经济性、效率性和效果性。

（2）保证国家法律、法规的遵守执行。

（3）保证经营决策的贯彻执行。

应该说这些目标是高度概括的，对任何企业都适用；需要我们注意的是，这个目标体系不仅与2001年财政部设定的控制目标不同，而且同其他g家的内部控制目标相比较也有其自身的特点。

顺应国际管理的新思潮，内部控制管理体系——尤其是内部审计部门的定位与作业，更趋向于内部顾客服务的角度，更足以体现内部控制制度是一种激励机制。现行的管理体系融合了目标管理理论、工作动机理论、激励理论等，其重点是在诱导人的事前行为。众所周知，一个好的管理机制应该诱导成员及所有的利益相关者选择合理、向善的行为，而不是只约束一部分人的背离、乖戾行为，内部控制是事前的引导管理和预防错弊，绝非仅仅事后的纠错处置。我们知道，美国国家标准及技术协会（NIST）支持的马尔科姆•鲍德里奇国家质量奖（MBNQA）评价标准的重点目标也更强调客户的满意度。(www.daowen.com)

二、企业内部控制的目标定位

美国COSO于1992年发布了《内部控制一整合框架》，1994年又对该框架 进行了补充修订。《内部控制——整合框架》将内部控制定义为“一个受董事会、管理者和其他人员影响的过程，这个过程是为以下目标的实现提供合理保障：经营效率和效果、财务报告的可靠性和遵守法律法规”。2004年9月，COSO正式发布了《企业风险管理——整体框架》。报告中对内部控制的内涵定义得更宽泛。其内容认为：企业风险管理是一个过程，是由企业的董事会、管理者以及其他人员共同实施的。应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。在目标定位上，《企业风险管理——整体框架》在《内部控制——整合框架》提出的三个目标基础上，增加了一个战略目标，即与企业的远景或使命相关的高层次目标，而且对报告类目标有所扩展，即不仅包括财务报告的可靠性，还包括所有对内、对外发布的非财务类报告的准确性、可靠性。本书认为，虽然《企业风险管理——整体框架》比《内部控制——整合框架》的目标设置更加全面，且层次更高。但其仍然存在以下不足：控制主体仍然局限于企业的董事会、管理层以及其他人员，而没有拓展到股东及其他利益相关者，即仍然是将公司治理与内部控制、风险管理割裂开来，没有真正形成一个完整的企业控制体系；对风险的过分关注会影响企业的灵活反应和创新能力。

特定内部控制的目标应针对组织内部的每一活动来制定，并且应当是适当、易于理解及合理的，并与整个组织目标相符合。控制目标是管理阶层计划达成的正面效果，或意图避免产生负面的效果。为发展特定控制目标，首先应对所有活动进行大致的分类。然后在每一分类内，将活动划分成一组或多组重复发生的活动过程，以利于处理特殊的交易或事件等关键过程的关键性控制。这些组合应配合企业的组织结构及其责任的划分。企业的活动大致可分为：管理活动；经营活动；财务活动；行政活动。为发展控制目标，对例行重复发生的活动必须加以认定与分析。

我国目前正在加紧进行企业内部控制标准体系的建设。我国企业内部控制标准的制订应当体现出中国的特色，并顺应公司治理和企业管理的历史发展趋势，从而使内部控制管理体系更具有实用性、科学性、前瞻性与全面性。我国的公司治理与美国企业的公司治理具有很大的差异，我国《公司法》要求企业既设立董事会，又设立监事会，而且赋予了监事会在公司治理和内部控制方面较多的职责和权限，如：检查公司财务；对董事、高级管理人员执行公司职务的行为进行监督，对违反法律、行政法规、公司章程或者股东会决议的董事、高级管理人员提出罢免建议；当董事、高级管理人员的行为损害公司的利益时，要求董事、高级管理人员予以纠正等。《公司法》还为监事会行使职权提供了法律保障，规定：监事会、不设监事会的公司的监事发现公司经营情况异常，可以进行调查；必要时，可以聘请会计师事务所等协助其工作，费用由公司承担。除重视股东利益的保护外，我国法律也一直十分重视对员工权益的保护。我国《公司法》规定：两个以上的国有企业或者两个以上的其他国有投资主体投资设立的有限责任公司，其董事会成员中应当有公司职工代表；其他有限责任公司董事会成员中可以有公司职工代表；监事会应当包括股东代表和适当比例的公司职工代表，其中职工代表的比例不得低于三分之一，具体比例由公司章程规定；董事会、监事会中的职工代表由公司职工通过职工代表大会、职工大会或者其他形式民主选举产生。因此，我国企业内部控制标准体系的设计必须统筹考虑股东会或股东大会、董事会对上市公司来说还包括独立董事、监事会、管理层、员工等在内部控制中的职权和分工，而不能像美国那样仅考虑董事会和管理层。

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

有鉴于企业的数量众多，类型也是多种多样，各个企业的目标追求更可谓千差万别。要制定一套具有广泛、长期适用性的内部控制标准体系，需要在企业内部控制的目标定位上具有高度的概括性，既要立足于现实，又要兼顾长远的发展。从现阶段来看，保证财务报告的真实、可靠或许是企业内部控制体系建设需要突出关注的目标；然而以高瞻远瞩思维观之，内部控制的目标更应当把企业战略与经营的效率和效果作为重点考虑的目标，把保障企业目标的实现作为其基本的目标。为此，基于前面所述，笔者将企业内部控制的内涵定义为，“企业内部利益相关者及其代理人实施的、旨在合理保证、实现以下基本目标的一系列控制活动：企业价值创造活动的合法性和有效性；企业价值增值分享的公平性和合理性；企业价值创造和增值分享信息的真实性和可靠性”。

关于内部控制目标设定课题的探讨，以及对于内部控制实践的价值至少可以体现在如下几个方面：

（一）内部控制目标为企业内部的控制行为规定了统一的方向；

（二）内部控制目标可以起到凝聚人心的作用；

（三）内部控制目标可以加强员工对组织的认同感；

（四）内部控制目标可以提高控制效率；

（五）内部控制目标有助于在企业形成规范的工作秩序；

（六）内部控制目标为考核控制效率、内外部审计提供了依据。

笔者主张企业全面控制的目标应该与社会发展和企业发展目标相一致。就企业的内部控制管理体系架构而言，至少应该与企业的管理目标相一致。在实际工作中全面控制的目标不能固定而导致僵化，必须因主体、需要的不同而不同。单位的规模、性质不同，控制目标就不同，就是一个单位具体控制活动的目标也是不同的，各有侧重。就单位的全面控制目标，总体目标是控制风险，促使组织目标的实现，具体的目标因需要的不同而不同，可根据需要分为以下层次：

第一层次的目标是保障经营活动的合规合法性，保证法律法规的遵照执行；

第二层次的目标是防弊纠错，保证财产物资的安全，保证会计信息的及时与真实；

第三层次的是建立健全符合现代企业制度要求的法人治理结构，形成科学合理的决策机制，促进提高经营管理的效率和效益，实现发展战略和经营目标；

第四层次的预防和控制各种错误和弊端，及时采取有效纠正措施，防范经营管理中的各种风险。

以上的第一、二层是与会计审计需要相关的控制目标，第三、四层是与治理、管理、风险需要相关的控制目标。值得注意的是：内部控制每个目标之间是相互联系的，不可能绝对的分隔开来。其次，设定内部控制的目标，如果就管理实务来说，工作量可能比较大、比较复杂，因为有很多数据需要进行统计和分析。按照笔者的认识，在界定内部控制的目标时，所遇到的困难主要在于如下方面：

（一）如何把握内部控制目标的合理性；

（二）如何认识内部控制目标的全面性；

（三）如何把握内部控制目标的实现程度；

（四）内部控制目标经验性与科学性的分离等。