论内部监督的事后性

白华　黄东宛　杨奕菲　吴志华

一、对内部监督的认识误区

在内部控制理论和实践中，长期以来存在一个认识误区，以为内部监督不仅有事后监督，还有事前和事中监督，没有认识到内部监督具有事后性。

COSO（1992、2013）认为内部监督分为持续监控和单独评价。持续监控嵌入业务流程之中，以应对环境变化，实时动态地监控内部控制有效性。而单独评价置于业务流程之后，由具有客观性的管理人员、内部审计、外部相关方以及其他人员定期开展，从全新视角审视内部控制五要素是否存在并持续运行。《企业内部控制基本规范》（以下简称《基本规范》）称持续监控为日常监督、单独评价为专项监督，含义与COSO大体相同。

嵌入业务流程的持续监控或日常监督可以发生在事前和事中，这或许是所谓事前和事中监督的由来。但问题是，嵌入业务流程中的监督，若是作为流程的一个环节，那就是控制活动，而不再是监督活动；若不作为流程的一个环节，就是发生在控制活动之后，是事后监督。

COSO和《基本规范》都认为单独评价或专项监督是事后监督。但在我国专项监督实践中，却大量存在事前监督和事中监督。以审计监督为例，一个广泛认同的观点是，审计不能总在事后才发现问题，要在事前和事中实施才有效。于是，审计重心下移，关口前移，全过程跟踪审计盛行。部分单位为了加强全过程监督工作，不惜从业务部门抽调骨干充实人手，致使业务活动受到影响。

如果认为内部监督越多越好，将本属于事后的单独评价或专项监督前移，或在业务流程中嵌入更多持续监控或日常监督，就会导致监督过早、过度，监督责任过大，而流程运行效率降低，组织目标难以实现。

事实上，从性质和目标来看，内部监督具有事后性。所谓事前监督或事中监督也是发生在“事前的事后”或“事中的事后”。只有认识到内部监督的事后性，监督工作才能不越位，真正做到监督适度而有效。

二、内部监督的性质

内部控制体系包括控制环境、风险评估、信息与沟通、控制活动、内部监督五要素。那么，如何认识内部监督？内部监督与控制活动究竟有何区别？从内部控制五要素的运行方式可以理解这两个问题。

（一）如何认识内部监督

五要素的运行方式是：以控制环境为基础和前提，通过搜集和沟通信息，识别和评估影响组织目标实现的内外各种风险因素，采取控制活动予以应对。随着内外部风险变化，再次搜集和沟通信息，评估风险，对现行控制活动设计的合理性和运行的有效性进行监控，并加以改进。如此循环往复，合理保证组织效益、合规和报告目标的实现（COSO，1992）。而控制环境本身也是内部风险之一，也需要识别、评估和应对。所以，五要素的运行方式可简化为：搜集信息、评估风险、实施控制活动（含控制环境、内部监督）。

可以看出，内部监督和控制活动都是组织防范风险、实现目标的手段。但控制活动实施在前而内部监督实施在后，内部监督是对已有控制活动的再控制。如果没有控制活动实施在前，就没有内部监督的对象，也就无法用内部控制有效性的既定标准来判断关键控制点能否将高风险降到可以接受的程度。所以，内部监督具有事后性。

但由于内部监督和控制活动都是组织在搜集信息、评估风险后采取的应对措施，再加上持续监控往往都是嵌入业务流程之中，而业务流程由控制活动构成，所以，内部监督和控制活动的边界难以区分，内部监督看起来似乎也具有事前性和事中性。但这仅就持续监控和控制活动的区分而言，不涉及单独评价，因为单独评价总是发生在事后。COSO（1992、2013）没有论及全过程跟踪监督，反而指出单独评价不嵌入业务流程之中，并运用三道防线理论指出，内部审计监督具有独立性和事后性，内部审计的岗位和薪酬独立且区别于其所监督的领域。

（二）内部监督与控制活动的区别

COSO（2013）认识到区分持续监控和控制活动的困难性，而对此作了详细论述。COSO指出组织在区分二者时应考虑活动的基本细节，特别是当此类活动涉及某些层级的监督复核时。监督复核不应自动归类为监督活动，而应通过判断来确定其为一项控制活动还是一项监督活动。并指出，一项控制活动针对的是一个特定风险；而一项监督活动则是评估内部控制体系五要素的相关控制活动是否按预期有效运行。与单独评价不同，持续监控通常由各运营线经理或职能经理来执行，他们具有胜任能力且拥有丰富的知识以理解被监控事项，并能对所接收到的信息进行深入思考（COSO，2013）。

这些解释比较抽象，可借助COSO（2013）举出的五个例子来理解。（1）应付账款专员定期核对明细账和总账，及时检查和处理调节事项；应付账款主管定期复核和审批；管理层每半年评估应付账款主管的复核和审批工作。理解如下：COSO认为应付账款专员和主管的核对、复核和审批都属于控制活动，而管理层的复核和审批属于持续监控。若将应付账款专员的核对、主管的复核和审批作为一个业务流程中的两个环节，则可以视为控制活动。若将这两个环节都作为应付账款明细账和总账记录工作的检查评价，则应视为持续监控。因为这一检查评价是发生在应付账款明细账和总账记录工作已经结束以后，不是其业务流程的一部分。（2）质量主管每月参加生产例会，对生产计划流程中的控制活动进行持续监控。理解如下：月度生产例会是对上月生产计划制定和执行情况进行检讨，属于事后监控。若议程中还有对下月生产计划的讨论和批准，则这一讨论和批准是制定下月生产计划的一个环节，是控制活动，而不是事前的持续监控。（3）采购流程中嵌入预先设置的参数及时识别异常交易，应付账款主管每日检查异常情况。理解如下：预先嵌入的软件程序若执行交易审批，则为控制活动，若不审批，则属于事中监控。应付账款主管对异常交易进行检查并非采购流程的一部分，而是发生在交易结束后，属于事后监控。（4）员工导师每半年向人力资源部提交一份员工表现检查报告，人事主管参加半年度人力资源评审汇报会。理解如下：员工导师对其培训、指导情况进行监督，属于事后监控；人事主管对部门主管和员工导师的培训、指导和评价情况进行评审，属于事后监控。（5）授权应付账款专员自行处理合同付款，应付账款经理月末复核并检查。理解如下：应付账款专员自行处理合同付款是付款流程的一部分，属于控制活动；应付账款经理复核发生在月末，不是付款流程的一部分，属于事后监控。

可以看出，除案例（3）中嵌入的软件程序外，其余案例都属于事后持续监控，并非如COSO所述，持续监控嵌入其中，单独评价置于事后。而案例（3）中嵌入采购流程中的软件程序究竟是控制活动还是持续监控也难以绝对分开。且在案例（3）中，COSO以发现可能的重复付款为例，说明软件程序可以起到持续监控作用。但若针对同一编号的发票，程序自动拒绝重复付款，就是流程的一部分，属于控制活动。若不能自动拒绝付款，而是仅识别异常交易，则为事中的持续监控。在数字经济时代，大量交易通过程序自动进行，需要监控的参数都嵌入其中，很难判断交易流程中的控制节点哪些是控制活动，哪些是持续监控。即便能够分清，系统所识别的异常交易也需要相关责任人或经理层事后处理。因此，持续监控即便可以嵌入流程中也具有事后性。所以，内部监督与控制活动的区别就在于内部监督具有事后性，而控制活动发生在业务流程之中。

基于以上分析，控制活动可界定为一个业务流程从开始到结束的所有环节。而内部监督是为实现组织目标，在流程的一个环节或整个流程运行后采取的再控制措施，即内部监督是对控制活动的再控制。嵌入业务流程中的持续监控具有双重性，既是控制活动也是内部监督，是具有内部监督性质的控制活动。但由于嵌入业务流程中的持续监督会影响流程运行效率，所以，流程优化的对象首先就是这类监督活动，方式是将其放到流程运行结束后一段时间再实施。

三、内部监督的目标

内部监督的目标服从并服务于内部控制的目标。内部控制的目标不仅有合规目标，而且有效益目标。所以，不能仅为监督而监督，为合规而监督，还要为提高效益而监督。相关规范对此有明确规定。

COSO（2013）指出：内部控制是由企业董事会、经理层和其他员工实施的，为经营、报告、合规目标的实现提供合理保证的过程。其中经营的效率和效果就是三大目标之一。COSO（2009）的《内部控制体系监督指南》指出：本指南适用于COSO框架中涉及的所有三个目标：经营的效率和效果、财务报告的可靠性以及遵守适用法律法规。可见，合理保证经营的效率和效果是内部监督的重要目标。

从我国内部控制规范来看，《基本规范》指出：内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。该规范不仅指出内部控制要合理保证实现经营效率和效果目标，还进一步提出要促进企业实现战略目标。财政部2012年印发的《行政事业单位内部控制规范（试行）》指出：单位内部控制的目标主要包括合理保证单位经济活动合法合规、资产安全和有效使用、财务信息真实完整，有效防范舞弊和预防腐败，提高公共服务的效率和效果。可见行政事业单位内部控制目标也强调要提高公共服务的效率和效果。

在内部控制的诸多目标中，有效益性目标就意味着内部监督必然具有事后性。内部监督不能过度强调合规性，而要更多强调效益性（白华等，2024）。主要理由有以下三点：

（一）持续监控影响效率和效果

组织为实现目标，在识别和评估风险后采取的应对措施就是控制活动。在组织的研发、采购、生产、销售、会计、人事等活动中，将一系列控制活动按照从开始到结束的顺序排列组合起来，就构成了流程。组织运行的就是流程，组织与组织之间竞争的也是流程。组织的流程运行得越快，就越能取得竞争优势。以差旅费报销流程为例，一般包括：出差人员填制单据、申请报销、部门主管审核、会计人员审核原始凭证、编制记账凭证、出纳支付等环节。有些单位为了加强持续监控，在出纳支付前增加了复核环节；有些单位在会计人员审核编制凭证前后加上了业务条线的分管领导、财务条线的财务经理、财务总监的层层审核。差旅费报销的流程之繁、监控之严、时间之长既影响出差人员的工作效率，又可能影响会计信息的及时性。一些单位认识到过度监控的危害，精简事中的复核、审核环节，仅在每月月末对差旅费报销情况做事后的监督检查，发现问题及时整改，并对相关责任人予以处罚。这样既提高了流程的运行效率，又保证了会计信息质量。

（二）持续监控影响改革和创新

在持续监控实践中，监督者往往误以为监督就是为了检查实际运行的业务流程与现行规章制度是否相符，而片面强调合规性监督。原因在于，规章制度有明文规定，监督者可照章办事，只要不符合规定就可判定为违规违纪，这样监督工作就变得相对简单而具有操作性，但却可能影响改革和创新。具体而言，若持续监控嵌入业务流程中成为流程的一部分，监督者一旦发现不符合规定的做法就不予批准，可能将改革和创新扼杀在摇篮中，让可能产生效益的机会白白流失。若持续监控发生在事后，监督者一旦发现某些做法与现行规定不符，则要求限期改正并建议予以处罚。监督者一般不是改革和创新者，不会设身处地为被监督对象考虑突破现行规定的做法是否是在当时情形下，有利于单位整体利益和长远发展的最佳选择，但这样做监督显然不行。组织只有敏锐地把握内外环境的变化，与时俱进，对突破现行规定的改革和创新保持一定的容忍度，才能获得发展。

（三）过度监督影响活力和士气

监督者的业绩和薪酬一般不与业务活动的业绩挂钩，业务活动的业绩与监督者无关，但一旦出问题，监督者要承担责任。譬如，会计凭证复核人员的业绩指标是凭证无误，而不是流程运行快速高效；信用风险监督者的业绩指标是坏账率，而不是销售收入，销得越多，可能坏账越多。为避免出问题担责，监督者主要开展合规性监督就成为理性行为。内部监督的对象是执行过程中或结束后的业务流程，而流程的执行者是相关责任人。相关责任人执行的流程越多，改革和创新的程度越高，被追责的可能性越大。这就可能造成员工缺乏活力和士气，得过且过。

内部监督就是为了防止出现流程僵化，使流程能够随环境变化而不断改革和创新。但在实际执行过程中过多地强调了合规性监督，过多地将持续监控嵌入流程之中，甚至要求本属于事后的审计监督介入事前和事中监督，导致流程运行效率降低，组织目标难以实现。因此，内部监督要少做、晚做、事后做，避免不以提高流程运行效率为目的的监督，精简一线监督人员队伍，充分释放创新活力。

（本文系暨南大学管理学院重点学科建设育题基金〈GY21006〉、广东省消防救援总队财经领域内部控制体系建设实现路径探索项目的阶段性研究成果）

（作者单位：暨南大学）

责任编辑　任宇欣

主要参考文献

［1］白华，郑晓晓，杨春雪．COSO监控指引：一个整体框架[J]．财会月刊，2012，（2）：85-86．

［2］白华，肖雨琦，吴志华，等．论内部控制的内部性[J]．财务与会计，2024，（12）：79-81．