浅谈企业内部控制与一体化体系管理的融合在企业高效运作的今天，企业面临着更多的机遇和挑战。

规避风险、规范运营，越来越受到各企业的重视。

通过介绍内控发展的历程、它与一体化体系管理的异同，为我们打开一扇实现内部控制与体系管理融合的创新发展之窗，来完善自身的内控制度，提高一体化体系管理的水平，给企业管理带来新的活力。

一、内部控制理论的发展（一）初级阶段：内部控制系统理论（1936至20世纪80年代末）内部控制系统理论的特点是将内部控制分为内部会计控制和内部管理控制两部分。

前者着力于保护资金安全及会计记录的可靠性；后者着力于提高经营效率和确保既定的管理政策。

这一理论是内部控制的外延得到拓宽，也是其内涵更加丰富。

一直沿用到20世纪80年代末。

（二）发展阶段：内部控制结构理论（1988年至1992年）内部控制系统理论局限性在于把精力过多的放在纠错防弊上，内部控制的范围的目标也显得消极和狭窄。

也正因如此，才使新的内部控制理论———内部控制结构理论应运而生。

内部控制结构理论观点的提出是1988年美国注册会计师协会在发布的《审计准则公告第55号》中，首次使用“内部控制结构”一词，指出：“内部控制结构包括为合理保证企业特定目标实现而建立的各种政策和程序”，并确定内部控制结构包含3个要素：控制环境、会计制度和控制程序。

内部控制结构理论的突出特点是将控制环境纳入内部控制领域。

同时，考虑到会计控制与管理控制的不可分割性，因此不再细分会计控制和管理控制，是内部控制理论和实务操作的新的发展。

（三）最新成果：整体框架理论（1992年至今）美国“反对虚假财务报告委员会”所属的“发起人委员会”（简称COSO委员会），于1992年9月颁布其纲领性文件《内部控制———整体框架》，是内部控制理论发展的又一个里程碑。

在这部描述内部控制的报告中，开创性的提出了内部控制整体框架的概念。

1994年，该委员会又对报告进行了增补。

他们在报告中指出：内部控制是由董事会、管理层和员工共同设计并实施的，旨在为财务报告的可靠性，经营效率与效果，相关法律法规的遵循性等（简称三类目标）提供合理保证的过程。

它由相互关联的5个要素构成：（1）控制环境。

控制环境是内部控制整体框架的基础。

人是诸多环境因素中具有决定性的因素。

人的品行操守、道德价值观以及能力，即使构成环境的重要因素，又与环境相互影响、相互作用。

环境要素还包括管理层的管理哲学、管理理念等等。

（2）风险评估。

在变化万端的环境中，任何单位都会面临各种各样的风险，而对风险的了解和估定是必须的，建立可操作的风险评估机制，发现、甄别、分析、管理、控制风险也是必须的。

重要的前提是，建立风险评估机制，要从整体上和单个层面上制定与不同作业层次相关联的目标，建立目标体系。

风险评估机制实际就是评估与实现目标相关的各种不利因素的机制。

（3）控制活动。

控制活动就是制定控制的政策和程序。

帮助管理层确保管理方针得以贯彻执行。

其目标是经风险评估确定的管理和控制风险措施能够有效落实。

控制活动的内容包括职能分离、实物控制、信息处理控制、业绩评价等。

（4）信息与沟通。

内部控制活动必须要有信息与沟通系统的支持。

在执行、管理和控制经营过程中，部门之间、层次之间、内部外部之间，能否顺畅传递信息、有效的沟通，是决定目标实现和员工履行职责的必要条件。

（5）监督。

内部控制的过程必须加以恰当的监督，通过监督对内部控制质量进行评估。

对偏差加以修正。

监督有日常监督、例行监督和常规性事后监督等。

监督应具有独立性，发现内部控制中出现的问题，可直接报告最高层。

上述三类目标是努力方向，而五个要素则是实现目标的必要条件，两者相互关联。

五个要素之间相互协调，共同构成对不断变化的环境做出动态反应的一个整体。

该框架报告面世以后，被公认为是内部控制理论研究的最高成就。

二、内控与一体化体系（一）不同之处1、基础和背景不同（1）目前国际最新的版本或标准目前国际上对内部控制最权威的定义标准应该推美国的反虚假财务报告委员会下属的发起人委员会（简称COSO委员会）于1992年9月发布，1994年进行了增补的《内部控制一整体框架》。

一体化管理体系目前最新版本包括ISO9001：2008《质量管理体系——要求》、ISO22000：2005《食品安全管理体系——食品链中各类组织的要求》、ISO14001：2004《环境管理体系——规范及使用指南》和OHSAS18001：2007《职业健康安全管理体系——标准》。

（2）发布机构不同A、国际上发布机构《内部控制一整体框架》是由美国注册会计师协会（AICPA）、美国会计协会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）联合创建的反虚假财务报告委员会下属的COSO 委员会发布。

一体化体系中的三个体系基本都是出自于国际标准化组织。

B、中国发布或制定机构目前中国对内部控制标准进行正式定义的机构有财政部、证监会、审计署、银监会、保监会。

而一体化体系是由中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布。

（3）制度、体系制定背景或目的不同COSO报告是在美国金融风险加剧，财务欺诈抬头，社会各界对内部控制和独立审计师寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。

内部控制基本目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。

COSO同时把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类具体目标。

而一体化体系四个体系各有不同的具体目的。

一体化体系中质量管理体系最先出现，它的主要目的是为了证实组织具有提供满足顾客要求和适用法规要求的产品的能力，目的在于增进顾客满意。

然后随着全球化贸易的开展，企业能否在全球经贸活动中生存、竞争、发展，质量（Q）、环境（E）及职业安全健康（OSH）问题已成为不可回避的全球化的问题，如何在保证产品质量的同时对全球的环境以及职工职业健康安全提出了要求，所以制定ISO14000环境管理系列标准的目的是规范全球企业及各种组织的活动、产品和服务的环境行为，节省资源、减少环境污染，改善环境质量，保证经济可持续发展。

而OHSMS18000（SMS）职业健康标准是企业为了提高社会形象和控制职业伤害给企业带来的损失所制定的。

针对食品加工销售企业，基于从食品企业原料供方管理到最终消费者食用安全全过程保障提出了ISO22000：2005食品安全的规范性安全管理和操作要求。

2、内部控制与一体化内容不同（1）内部控制A、五个要素内部控制包括5个要素，分别为控制环境、风险评估、控制活动、信息的沟通与交流、内部的监控。

任何制度都没有最完善的，都需要随着情况的变化而变化，所以内部的监控就是对内部控制实施情况进行监督检查，评价内部控制的有效性，以便发现内部控制缺陷，及时加以改进。

B、应当遵循的五项原则企业建立与实施内部控制，应当遵循下列原则：全面性原则、成本效益原则、制衡性原则、适应性原则、重要性原则。

（2）一体化体系A、实施一体化所需的流程图（PDCA）一体化管理所需的流程可以概括为PDCA，是指计划（plan）、实施（do）、检查（check）、和处理（action）四个阶段。

计划（plan）阶段的作用类似于内部控制的风险评估要素，实施（do）阶段就如内部控制的控制活动要素，检查（check）和处理（action）阶段则相当于内部控制的信息的沟通与交流、内部的监控要素。

B、一体化的资源管理一体化的资源管理包括：资源提供、人力资源、基础设施、工作环境、信息、与供方（包括合作伙伴）的关系、支持性文件。

资源管理所包括的内容与内部控制的控制环境要素来对比，感觉资源管理更偏向于微观和企业某一层面来进行规范，而控制环境则是从明确治理结构和人文方面进行要求。

3、制度、体系完善程度和认证、鉴证情况和证明效果不同目前内部控制还没有形成完善的体系，国内也没有官方正式公布完整的内部控制制度，对内部控制的要求散落在诸如《内部审计具体准则第 5 号——内部控制审计》《企业内部控制基本规范》等。

对于企业内部控制的实际执行情况也没有强制性或自愿性认证的指引，只是对上市公司有一个2009年7月1日开始实施的《企业内部控制鉴证指引（征求意见稿）》要求由会计师事务所对上市公司内部控制情况进行鉴证，2010年4月26日国家五部委联合发布《企业内部控制应用指引》（共18项），明确自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。

而一体化相比之下要完善得多，先后已经有不同的版本，同时也有官方正式制定的适合中国企业的版本，也在法律层面针对某些企业有强制性的认证要求或自愿性认证的指引。

承担认证的机构要求相比内部控制只能由有资格的会计师事务所的要求要宽松。

企业对于两者的认识以及自愿认证和鉴证的要求是不同，一般企业都会自愿进行一体化认证，且认证后一般会颁发认证合格证书来证明企业在产品质量保证、环境和职业健康安全已具有的一定的国际水平。

而内部鉴证一般只有会计师事务所出具的内部控制鉴证的报告，而不会颁发证书证明企业在内部控制方面达到怎样的水平。

4、内部控制的局限性一体化经过多年的修改，现在已经有比较先进和完善的版本，而内部控制却存在不少的局限性。

首先：评价内部控制有效性标准过于主观。

根据COSO报告，内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。

但评价标准基本上都是主观判断。

其实，一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来，例如企业市场价值，客户满意度，持续获利能力增长情况等。

其次：内部控制系统中会计与审计的色彩太重，考虑企业现存的和微观的或规避风险的事情多，与业务平台和业务拓展关系不大，防范风险也是被动的，缺乏能动性。

所以，至今还有许多公司认为内部控制只是财务主管和财会人员的事情。

（二）共同之处虽然内部控制存在很多不完善的方面，但从其目的来说，内部控制与一体化体系是全面与局部的关系，一体化体系是实现内部控制三个具体目标（经营效率与效果、财务报告可靠和遵纪守法）中的经营效率与效果目标的很好的实施工具。

一体化体系标准是基础，内部控制机制是一体化体系的延伸。

三、借鉴与实践（一）借鉴1、随着我国市场经济的不断深入和完善，在新旧体制的碰撞中，在日趋激烈的市场竞争中，时常会冒出一些不稳定因素，不规范的行为。

究其原因，最本质的是企业的内部控制出了问题。

而这些问题，不仅仅限制在经济领域，还有食品安全、环保事件、安全管理、职业健康等多方面的内容。

而要解决这一问题，就要深入触动微观机制的最本质问题，关注一体化体系运行的有效性，强化企业的内部控制。