人本视角下内部控制相关模型分析

摘要：随着社会的进步，管理科学的发展，传统物本导向的内部控制机制受到了极大挑战，人们逐渐将内部控制的重心由原来的以物为本转变为以人为本。本文将从以人为本的视角出发，对内部控制相关模型进行分析研究，为以人为本的内部控制制度的构建提供参考。

关键词：以人为本；内部控制；模型

一、引言

内部控制一直是大多数学者研究的热点问题。从中航油事件，三鹿奶粉丑闻，到“蒜你狠”，“豆你玩”这些案例中都透露出传统以物为本，以利为本的经营管理方式的缺陷，从而促使人们开始将目光投向以人为本的内部控制领域。其实忽略以人为本的内部控制造成企业失败，并不是当代社会才有的特殊现象，早在清朝道光年间，名震一时的山西票号“日升昌”就因为忽视运用以人为本的内部控制制度进行管理，导致票号经营失败。以出色的风险监控享誉全球的法国兴业银行，也因忽视了“人”在内部控制中的重要性，导致内部控制沟通交流出现问题，引发了兴业银行巨额职务舞弊案。

从古今中外内部控制失效的案例中，可以看到，内部控制失效的主要原因是在物本导向的经营管理活动中，没有重视人的作用。随着知识经济时代的到来，“以人为本”的财务理念占据着越来越重要的地位，综合国力强弱的判断标准也由以往物质资源方面的比拼转变为人才的比拼。在和平与发展的时代主题之下，人本主义就更加受到推崇。COSO委员会公布的《内部控制-整合框架》将内部控制要素分为五个方面：控制环境，风险评估，控制活动，信息与沟通，监督与检查。从以上五要素来看，人在内部控制中占据了极其重要的地位，五个要素中人都会发挥作用，人既是控制活动的主体，又是控制活动的客体，人既是控制活动的手段，也是控制活动的目的。随着内部控制审计模型的演化发展，我们可以看到人在内部控制机制中的地位也突显出来。因此，本文从人本主义视角入手，对内部控制相关模型进行分析，探讨如何让以人为本的思想在企业内部控制制度中得到有效运用。

二、审计风险模型中人本内部控制的引入

2010年财政部、证监会、银监会、审计署，保监会联合发布《关于印发企业内部控制配套指引的通知》，这标志着我国强制要求企业对内部控制信息进行披露。

内部控制审计模型是建立在审计风险模型基础之上的。审计风险模型经历了三个阶段的发展。第一阶段为账表导向模型：AR=DR。AR为审计风险，DR为检查风险。19世纪，随着市场经济和生产力的发展，股份有限公司开始出现。在股份有限公司里，企业的直接管理者并不是股东，股东将企业的经营管理权交给企业的经理层，造成公司所有权与经营权分离，出现了委托代理机制。在这种机制下，股东和企业的经营管理者之间存在着信息不对称的现象，但由于当时企业的经济业务相对简单，就审计需求而言，审计师只需要在技术错误层面，对账表等以物为重心的对象进行审查，找出相关会计信息的错误。

在这一阶段，人们认为审计风险等于检查风险，体现了审计人员“卫士”的职责，人们还没有关注到内部控制对审计风险的影响，人们关注的是对风险的实测，着重强调用详细审计的方法对财务报告进行审计。审计风险第一阶段模型被称为初级审计风险模型，在这一模型中，我们虽然没有看到内部控制的身影，但该模型为内部控制审计风险模型的发展奠定了基础。

随着资本主义经济的迅猛发展，原有单一的股份有限公司已经无法满足社会发展的需要，同时企业的经济业务也由单一转变为复杂，多种经营形式的企业开始涌现，部分企业内部已经形成了以内部牵制制度为核心的内部控制制度，科学的管理制度也开始得到运用，抽样检测技术和数理统计方法也开始为审计工作服务。基础审计风险模型应运而生。

基础审计风险模型也就是第二阶段审计风险模型：AR=（IR×CR）DR其中AR为审计风险，IR为固有风险，CR为控制风险，DR为检查风险。这一模型由美国审计准则委员会在《审计业务的审计风险和重要性》中提出。该模型的提出，既解决了审计资源的分配，又解决了采取抽样审计的随意性，让本模型具有极强的操作性，因此该模型在当时审计业界得到广泛应用。

在该模型中人们关注到了内部控制对审计风险的影响，同时也体现了人在该模型中的作用。在这一阶段除了实测风险，人们开始关注控测风险。这种控制导向的模型，让审计人员发挥了“医士”的职责。审计人员由“卫士”转变为“医士”，从原来机械性的检查审核工作演变为能够发挥人部分主观能动性进行职业判断的审查工作。但基础审计风险模型仍然存在诸多缺陷。该模型成立的前提条件是检查风险，固有风险，控制风险三大风险相互独立。

控制风险可以通过对内部控制进行测试得出，检查风险主要依赖于注册会计师的职业判断，但固有风险不易量化，由于固有风险的不确定性，就会引起检查风险过高或过低，从而影响审计效率造成审计风险。“在实践中，注册会计师往往简单地把固有风险定为高水平，把注意力集中在控制测试和实质性测试上。这和制度基础审计没什么两样，对发现超越内部控制的管理层舞弊导致的重大错报是无能为力的。”[1]

基础审计风险模型，“可以解决交易类别、账户余额、披露和其他具体认定层次的错报，发现经济交易和事项本身的性质和复杂程度发生的错报，发现企业管理当局由于本身的认知和技术水平造成的错报，以及企业管理当局局部和个别人员舞弊和造假造成的错报。”[2]该模型融合了物本审计和人本审计，既对固有风险，经济交易事项等物为主的对象进行关注，同时也开始留心于管理者等以人为核心的对象。

在基础审计风险模型中，内部控制被当作该模型的起点，这一模型认识到人在内部控制中的作用，但对人的认识还不够深入，但依然没有脱离账表导向，分析财务报表依然是重点。审计人员采用自下而上的审计思路，没有重点，导致大量审计资源的浪费。 随着社会的发展，政治、法律、经济环境的不断变化，由于管理层受利益的驱使进行舞弊，造成了多起诉讼审计师的案件。这种舞弊案件已经不再是账表导向下，一般的会计核算差错，审计师需要综合考虑企业的内部及外部环境因素，结合内部控制系统，和内部控制系统以外的因素来评估审计风险。为了顺应发展，新的审计风险模型被提出，即第三阶段审计风险模型：AR=RMM×DR，其中RMM为重大错报风险。重大错报风险指在财务报表在审计师审计前就已经存在的重大错漏报，同时有不会被审计师发现的可能性。

第三阶段审计风险模型在形式上与基础审计风险模型相比形式上变得更加简化，但内容上却更加丰富。重大错报风险包含了监管部门、政府、企业等多方面的因素，更加强调以人为导向，企业管理层的弄虚作假需要受到更多部门的监管，这种监管机制不再是自上而下的管理。该模型以战略为导向，在战略导向的前提下，人在内部控制中的地位也得到突显。RMM属于管理层责任，DR则是属于审计师的责任。在这一阶段审计师的身份有“医士”转变为“谋士”，审计师的工作内容在实测风险，控测风险的基础上还要进行风险评估。

三、人本主义在内部控制审计风险模型中的体现

随着人们对内部控制了解的深入，提出了内部控制审计模型：ICAR=IR×ICDR×ICOR×ICER“ICAR为内部控制审计风险，是注册会计师在对内部控制审计时发表了不恰当意见的可能性。IR为固有风险，是指假设不存在相关的内部控制，由于内部因素和客观环境的影响，企业的账户、交易类别和整体财务报表发生重大错报的可能性。ICDR为内部控制设计风险，指内部控制没有被充分的设计或设计不合理，当缺乏实现控制目标的必要控制或即使按照设计的控制运行仍无法实现控制目标的可能性。ICOR为内部控制运行风险，是指有关的控制政策和程序没有按照既定的设计得以运行，导致内部控制存在重大缺陷的可能性。ICER为内部控制评价风险，指被审计单位内部控制存在重大缺陷，但注册会计师没有发现这种缺陷的可能性。”[3]

在这一模型中，人们将内部控制审计风险拆分为内部控制固有风险，内部控制设计风险，内部控制运行风险和内部控制评价风险。该模型符合现代审计以战略为导向的趋势，对审计师而言内部控制固有风险，运行风险和设计风险都是客观风险，审计师无法改变，而内部控制评价风险对审计师而言是一种主观风险，审计人员可以控制。内部控制评价风险是指企业内部控制存在重大缺陷，但审计师却没有发现该缺陷的可能性，对审计师而言是一种主观风险。评价风险类似于检查风险，取决于注册会计师的职业判断，审计人员应该结合实际情况运用合理的审计程序对内部控制进行评价。

在内部控制审计风险模型中，可以看到人本主义的不断渗透。内部控制模型建立在风险导向基础之上，人们已经开始关注到人力资源风险，市场风险对以物为本的内部控制带来的冲击。从审计师的角度出发，即以“人”为出发点，将内部控制风险分为主观风险和客观风险，使得审计人员的职责得到明晰，显得更加人性化。内部控制设计风险，则对内部控制的设计理念提出改进方向，内部控制的设计应该更加人性化，不能将员工视为机器。内部控制的运行风险，也要求人们更加重视内部控制系统中人与人的沟通交流，只有人与人之间的沟通顺畅，才能够使内部控制的运行更加有效。

四、启示

（一）完善企业人本内部控制制度

企业的内部控制制度不仅要以人为起点，而且要以人为落脚点。改变传统内部控制中股东至上的观点，重视人的价值。在物本导向的内部控制制度中，由于制度执行者没能有效实施监管，导致内部控制失效的例子不胜枚举，因此人本内部控制下，企业应当采取更为人性化的管理制度，重视人文关怀，将以人为本的控制机制，决策机制，评价机制，激励机制有效融入企业的内部控制中。

（二）企业应当改变内部控制实施结构

在传统的内部控制体系中，物往往是控制对象的重心，忽略了人在控制活动中的地位。在内部控制管理活动中是自上而下的传导关系，管理层是内部控制的制定者，他们不是内部控制的实施人员，因此内部控制的实施效果与他们不存在必然的利害关系，这为管理层的舞弊提供了机会。在人本内部控制制度下，企业全体人员都对内部控制的实施效果负责，形成一个平行结构，没有任何人能游离于内部控制之外，确保内部控制运行风险处于一个较低水平。

（三）创造以人为本的企业文化

以人为本的企业文化，要求企业关心员工的切身利益，调动员工工作积极性。同时企业还要重视自身应当承担的社会责任，不弄虚作假危害公众的利益，在良好企业文化的带动下，企业不会出现“毒奶粉事件”，“富士康跳楼事件”。良好的企业文化能为企业吸纳优秀的人才降低企业人力资源成本。人本企业文化是一种非正式制度，而这种非正式制度往往能够影响企业内部控制的效力。

五、结语

以物为本的传统内部控制无法满足当今的需求，以人为本是未来的发展趋势。企业为了提升其内部控制的有效性，必须重视人在内部控制活动中的地位和作用，完善人本内部控制制度，将控制活动的重心由物转向人，同时注重创造以人为本的企业文化，扬弃红海战略，蓝海战略，制定以人为本的“[海战略”。实现企业和社会的可持续发展。