【正文】 要讓人們明白：改革不是萬能的，企業(yè)應下大決心，花大力氣，整章建制，嚴肅紀律，把控制的水平提起來，讓改革和控制一同成為企業(yè)化解風險，創(chuàng)造效益的武器。　　國際先進內控理論與實踐的發(fā)展起碼給了我國企業(yè)界三點重要的啟示：　　1．要正確理解內控與管理的關系，進一步認識并高度重視內控在管理活動中的重要地位，由公司決策層和部門領導帶頭，動員各級員工營造良好的控制文化，在內控理論與實踐相結合的基礎上形成共識和共同語言，按照內控的三大目標和五大組成部分，以規(guī)范的內控操作方法，實行對經營管理中各種風險的逐級控制，提高經營管理水平。這些目標的實現(xiàn)受到內控制度內在的限制，包括決策者失誤和決策錯誤導致的經營中斷。例如，1。企業(yè)經營管理人員應不斷地而不是間斷性地在日常工作中監(jiān)督評審企業(yè)內控的總體效果和主要風險；對內控制度定期進行獨立、有效和全面的內部審計，并將結果向高級領導層直接報告；及時報告并果斷處理所發(fā)現(xiàn)的內控缺陷。首先是保證信息的完整性、可靠性和可獲性，并且信息應能夠前后連貫一致?！　?．控制活動已被當作企業(yè)日常工作的不可分割的一部分，而不是對經營管理的額外補充。另一方面企業(yè)中的所有員工都需要理解他們在內控程序中的作用，并在程序中充分發(fā)揮他們的作用。首先，董事會充分理解公司的主要風險，正確設定風險的可接受水平；并定期督導高級管理層識別，估量，監(jiān)督和控制這些風險；確保內控系統(tǒng)的有效性；建立獨立的審計委員會幫助董事會行使這方面的職責。 　　總之，內控不僅首先不是，而且主要不是內審監(jiān)察部門和人員的責任；內控的檢查評價也主要不是他們的責任；但同時，對內控的再監(jiān)督又是內審監(jiān)察部門義不容辭的重要職責。這里，檢查的方法要規(guī)范，力求采用先進技術手段，并將檢查評價結果獨立地和及時地報告有關負責人和部門。這種認識忽視了審計部門有促進被檢查單位完善其內控制度的重要作用。在經濟生活日益貨幣化和證卷化的過程中，國有專業(yè)銀行也正在商業(yè)化，同時，各種金融機構象雨后春筍般地涌現(xiàn)出來。盡管從監(jiān)督職能的角度來看，內審監(jiān)察部門的工作量應大大少于經營管理部門的自我監(jiān)督檢查和財會部門的管理監(jiān)督，但是，內審監(jiān)察部門的獨立性和應有的權威性，加上其組織系統(tǒng)的垂直性，賦予了該部門行使對內控進行再監(jiān)督和再評價的特殊重要的職能。 　　４．內審監(jiān)察部門對內控的再監(jiān)督負有極其重要的責任　　如果我們把內控的“監(jiān)督評審”職能視為內控“寶塔”上的最高級的部分，那么內審（稽核）監(jiān)察工作就應該處于內控寶塔的尖頂部位。財會部門不僅要把第一道防線上遺漏掉的大量問題盡力查找出來，而且要從管理會計的角度，在更深層次和更大范圍內（例如在跨部門乃至全單位范圍）發(fā)現(xiàn)問題，研究對策，預測風險，并提供信息。例如把對離任負責人的評審統(tǒng)統(tǒng)推給內審（稽核）部門進行“離任稽核”，不僅加重了內審負擔，而且常使該項工作流于形式。他們要對內控的情況和問題及時進行分析和研究，把大量主要的風險問題在第一道防線予以切實解決。 　?。常畬瓤氐臋z查評價主要是經營管理部門的工作　　“監(jiān)督評審”是內控體系的第五大重要組成部分，其主要內容是對上述內控活動，包括“控制環(huán)境”、“風險評估”、“控制活動”和“信息與交流”等內容進行嚴格的檢查監(jiān)督和客觀公正的評價。在把有關的內部和外部控制信息搜集整理出來以后，經營管理者要利用可靠信息為實現(xiàn)目標服務，并向適當?shù)牟块T和負責人進行交流。風險的防范有大量工作要做，包括對內部和外部的風險進行判別和預測，分析風險發(fā)生的可能性和概率；并在此基礎上研究化解風險的種種控制措施。　　第二，“風險評估”也主要是各經營管理部門的重要職責。 　?。玻畠瓤刂饕墙洜I管理部門的工作　　內控作為一項系統(tǒng)工程，已經在發(fā)達國家形成了一套完整的有機結合的理論體系和嚴謹?shù)牟僮鞣椒?，很值得我國在國營企業(yè)（特別是國有金融機構）改制和再造其內部治理結構時予以借鑒。這些問題在生產企業(yè)里也存在。第三，盡管各經濟實體中都存在內控制度和控制機制，但是其控制系統(tǒng)有不同程度的缺陷。首先，金融系統(tǒng)的內控文件是由人民銀行原來的稽核監(jiān)督部門下達的。這些控制業(yè)務顯然首先是各級經營管理部門的基本職責。生產性企業(yè)也同樣會遇到此類問題。例如，認為內控主要是稽核部門的事，應該由稽核部門牽頭此項工作。特別應該指出，風險管理的全部活動都在內控的監(jiān)督評審之下，不外乎一些國內外專家認為，內控涵蓋了風險管理。特別是風險管理在“風險的識別與評估”和“控制活動與職責分離”等內控內容中，與內控相交叉，屬于內控強化過程中的管理活動。其結果，我國的銀行實業(yè)界尚不存在廣義的風險管理的概念。COSO和巴塞爾委員會都認為，內控的過程涵蓋了公司所面對的，并在公司內由各級人員所經營的所有的內部和外部的風險。內控所負責的是風險管理過程中間及其以后的重要活動，比如，對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。特別是內控并不負責風險管理目標的具體設立，這是管理過程起始階段的活動。把兩者混淆的問題在于沒有看到內控是管理的更本質性的內容（essential part）。再次，獵物的大小、距離和移動速度。這樣看來，風險的概念就擴大了。至于業(yè)務活動水平上的目標的設立，雖然也被COSO視為非內控性的活動，但在COSO提出的內控操作方法中（例如在其《參考手冊》和《內部控制與風險評估工作表》中），這些目標都是內控所關注的重要內容。又如，盡管COSO認為錯誤的糾正行動不應屬于內控活動，但是巴塞爾委員會卻將其列為內控的范圍。同樣，許多管理方面的具體決策和一般性活動并不都代表內控。　　廣義上的管理涵蓋比內控更為廣泛的內容，并不是所有的管理活動都是內控活動，也并不是說非內控性的管理活動就都不重要了。管理者有責任控制局面，并解決和糾正在監(jiān)督檢查各項經營管理活動中所發(fā)現(xiàn)的問題和錯誤，包括對有問題責任人的追究和處罰。因此，很有必要搞清內控與管理的關系。內審或審計人員在檢查監(jiān)督的過程中，時常發(fā)現(xiàn)被查單位的管理層對內控認識比較膚淺，也不甚了解內控與管理、內控與內審是什么關系。COSO是為各行各業(yè)提出這一思路的。應當把有關物質的內控缺陷報告給高級管理層和董事會?！　?．對內控系統(tǒng)應當進行有效和全面的內部審計?！　”O(jiān)督評審可以是持續(xù)性的或分別單獨的，也可以是兩者結合起來進行的。　　2．有效的內控需要建立可靠的信息系統(tǒng)，涵蓋公司的全部重要活動?！　?）信息與交流：存在于所有經營管理活動中，使員工得以搜集和交換為開展經營、從事管理和進行控制等活動所需要的信息，包括管理者對員工的工作業(yè)績的經常性評價。 批準和授權制度；查證核實與對帳（reconciliation）制度?！　≡诳刂苹顒又兄饕P注控制與風險評估過程的聯(lián)系、控制活動的適當形式及其實施、對執(zhí)行政策和管理指令的保證、控制活動的針對性（尤其是對信息系統(tǒng)的控制）等等?！　∮嘘P風險的識別與評估的原則強調有效的內控系統(tǒng)需要識別和不斷地評估有可能阻礙實現(xiàn)目標的種種物質風險?！　?．董事會和高級管理層負責按照高標準促進員工的職業(yè)道德（ethics）和完整性（integrity），在機構中建立一種控制文化（control culture），在各級人員中強調和說明內控的重要性。主要的問題是管理層要充分說明內控的完整性；公司要有積極的控制環(huán)境，使整個組織中的員工具有控制覺悟和自覺的控制態(tài)度，特別是高級管理層要積極地進行控制；員工的能力與其責任要相匹配?！　?．全面理解內控五大組成部分的內容：內控已經被COSO從理論上分析成為下述完整的有機結合的整體，并且得到了巴塞爾委員會的認同和發(fā)展。表2 關于內部控制的五大組成部分的表述 COSO的分析 Basle的分析 1 控制活動 管理層的督促與控制文化 2 風險評估 風險的識別與評估 3 控制活動 控制活動與職責分離 4 信息與交流 信息與交流 5 監(jiān)督評審 監(jiān)督評審活動與缺陷的糾正 　　資料來源：同上?！　?．從總體上把握內部控制系統(tǒng)的框架：重要的是，現(xiàn)代內控理論賦予了內控廣范的職能，把內控置于很高的層面上，從而強化了內控的