在企業內部建立一個基本的控制框架,作為管理層評估內部控制的基準,這是企業發展到一定程度在管理方面的必然要求,它受外部環境和企業內部環境的巨大影響。從外部環境來講,會計執業界的有COSO這種制度安排,還有不同的利益群體對內部控制的觀點存在不同的認識。如何將會計界的內部控制語言轉換為管理界的內部控制語言,形成共識框架體系仍是一個需要長期探索的問題。從內部環境來說,公司治理、價值創造、風險和機會、管制、企業文化、技術發展及受托責任等各方面創造了不同內部控制文化,使得每個企業都有自己的控制特色。但內部控制的目標必須和企業謀求生存和價值創造機會的努力,減少相應的風險相一致,內部控制的實現必須以組織為依托,內部控制的具體環節是作業。所以,本文提出建立三維立體內控制度的思路,實踐中有一定指導意義。
一、內部控制三維立體框架設計的基本思路
(一)吸收COSO框架的合理內核,借鑒其他內部控制觀點 目前內部控制主流框架是三個目標,五個要素構成的COSO框架;內部控制包括管理控制;是產生于委托代理管理下的一種授權體系與責任體系,與公司治理相互聯系,相互影響;目前內部控制的薄弱環節是在于董事會一經理層的治理控制,同時內部控制是一種簡潔、理性作業標準等。故在內部控制三維設計上不僅考慮財務會計,審計導向,而且融入前已形成的內部控制概念再認識的思想。
(二)內部公司治理與內部控制的目標整合 現代企業存在雙元控制主體:董事會與經理層。由于委托代理關系,以及合約的不完備,信息的不對稱,其在企業內控目標的重點上存在差異。作為所有者,其內部控制設計重點在于如何進行契約設計和制度設計,以減少信息不對稱,克服內部人控制現象;而經營者的控制目標則是如何履行受托經營責任,實現資產的保值、增值及法規的遵循性。怎樣整合這個環節兩個方面的目標,達到企業興利與妨弊的最終目的,是在治理型內部控制框架設計中要考慮的主要問題。
(三)確立以董事會為內部控制框架核心的地位 董事會對內部控制系統的建立、修訂、執行和監督承擔不可推卸的法律責任。原因在于:在公司治理結構層次中,對于董事會而言,企業內部控制能通過“不喪失控制的授權”來保證公司有效運行,完成公司目標;內部控制是董事會抑制管理人員發生道德風險和逆向選擇,保證法律、公司政策及董事會決議切實貫徹實施的手段;內部控制及其信息的流動有助于解決信息不對稱,保證會計信息真實可靠,而確保信息質量是董事會不可推卸的責任。2002年《薩班斯——奧克利法案》及SEC和NYSE隨后指出制定的一系列管制規則要求上市公司加強公司治理與內部控制,也指出董事會對內部控制的核心地位。
(四)結合控制要素、企業治理結構、組織結構、經營模式 不同的公司治理環境下,公司治理的模式是不一樣的。在美國,經理層有絕對優勢的情況下,公司治理很大程度上通過外部治理,即市場控制為基本路徑;而德日公司,則是公司與金融機構相互結合,公司治理主要以內部治理為主。中國公司治理中往往一股獨大,公司治理者與內部控制者高度一致性,通過組織控制為主要路徑。不同的治理模式模式在組織結構上呈現差異,控制路徑上故而不同。
(五)引入學習與持續改進思想 由于環境的變化,過去曾經令人滿意的控制制度,今天對于企業而言可能已經過時。因此,環境的變化意味著企業必須不斷地改變與完善其控制方法。學習與持續改進的思想從積極的方面影響著內部控制目標的實現。
二、內部控制三維立體框架設計
(一)組織維度 現代企業是一個具有若干層級的組織,由股東大會、董事會、監事會、經理層及下屬員工組成,構成了一個縱向框架,是現代企業內部控制框架的硬件基礎。硬件框架建設問題其實就是公司治理結構的建設問題,設計中以雙元控制主體控制總目標為導向,對公司治理的各個層次進行分層目標設計。股東大會是公司最高法定權利機關,控制目標就是要求管理當局提供真實、完整、有用的信息,監督管理當局的經營行為,做出正確的投資和管理決策。董事會接受股東的委托,其內部控制目標主要是保證計劃、投資方案、財務預決算方案,利潤分配方案等的科學公平,公司內部管理機構設置合理等。總經理接受董事會委托,是公司執行層次,具體負責企業的日常經營工作。各事業部經理由總經理使命,協助總經理制訂企業長短期方針,制訂建立財務總戰略,制訂并實施有關企業預決算和管理控制程序。確保掌握信息。監事會與內審部門是公司的監督部門:內審部門主要對董事會和總經理負責,對其以下層次的控制工作執行情況進行檢查,監督規定落實與執行情況;監事會則對公司董事和經理進行監督,確保股東的利益。組織維度設計是以目標為導向的,權責的分配過程。因此企業內部控制目標的定位應與企業的發展戰略相結合,并要把握其動態性、層次性、全面性的特征。控制目標的動態性要求企業內部控制目標應隨環境的變化而變化,實行跟蹤控制。控制目標的層次性要求企業內部控制目標應針對不同的治理結構層次與內容進行分解,做到各司其職、分而治之。控制目標的全面性要求企業內部控制的多個目標之間做好協調,達到整體控制效果的最優。此外需要考慮以下一些問題:控制制度的設計因單位的經營特點與規模而異;董事會為控制框架的核心;推行職務不兼容制度,杜絕高級管理人員交叉任職;實行“約束+激勵”的原則。
(二)部門維度 部門是組織的構成單元,形成了組織的各個層次。當組織維度的控制框架建設好以后,需要的是將分層設計目標落實到各個部門,進行部門維度的內部控制設計。部門控制設計主要分兩部分:部門職能設計和項目控制設計。在部門職能設計上要明確各個部門的部門控制目標,工作職責、內部結構、崗位設置、崗位職責、部門權限、人員安排、職責劃分。設計時注意部門與部門之間職位不重疊,各經辦人員科學分工與相互牽制。項目是部門的基本業務活動,如采購活動、人事管理、成本控制、市場營銷、銷售管理、財務審批權限等等。對于項目維度設計,應識別部門經常性項目,分析項目所行使的功能,所要達到的目的。引人流程再造的思想,對于已辯識出項目,分析其對過程成本及收益的影響,從企業整體出發,考慮與其它項目匹配,進行合并、組合、重整、廢棄不增值作業,強化增值環節,并以建模的方式將其文檔化并作為標準流程推廣并實施。涉及多個部門的項目必須考慮所 需跨越的組織維度與部門維度,可能面臨的風險,責任的劃分,信息溝通情況,確立關鍵控制點。注重項目的防御性控制設計與補償性控制設計。
(三)作業維度 一個項目的運營過程是一系列作業組成。作業是由活動構成,這些活動的組成方式和順序將影響過程的效率與效果。作業不存在獨立性,往往一個作業的輸出通常是下一作業的輸入。作業維度的內部控制是整個立體控制框架的控制基礎,它的控制的效率與效果往往上溯影響項目的運行,部門目標的實現,甚至整個企業控制的大局。作業維度的內部控制設計可以引入適時制(JIT),作業管理,作業鏈,價值鏈,供應鏈等最新管理辦法,使作業維度的內部控制成為優化、簡捷,理性的作業標準。然后采取程式定位原則,設立崗位賦予責權限,規定作業操作規程與處理手續,明確紀律規則與檢查標準,以使責權利相結合。從作業控制的實質來看,主要目標有兩個:一是從外部顧客的角度出發,盡量通過作業為顧客提供更多的價值(價值指顧客就企業提供給他們的產品或服務所愿意支付的金額),二是從企業自身角度出發,盡量從顧客提供的價值來獲取更多的利潤。為實現上述兩個目標,企業管理必須深入到作業水平,進行作業分析。作業分析具體包括如下步驟:首先,分析哪些作業是增值的,哪些作業是不增值的。生產工藝流程中的各項作業一般都是增值作業。不增值作業指對增加顧客價值沒有貢獻,或者凡經消除而不會降低產品價值的作業。管理者應盡可能減少這部分作業。其次,分析重要性作業。企業的作業通常多達幾十種,甚至上百種、上千種,對這些作業一一進行分析是不必要的,因為不符合成本效益原則。根據重要性原則,只能對那些相對于顧客價值和企業價值而言比較重要的作業進行分析。最后,把企業的作業同其他企業類似的作業進行對比。因為增值的作業并不意味著有效和最佳,通過與其他企業先進水平的作業進行比較,可以判斷某項作業或企業整個價值鏈是否有效,尋求改進的機會。
(四)組織、部門、作業維度內控的關系 部門內部的項目與作業人員構成二維框架,多項目形成的信息流、資金流、物流、人員流在組織維度與部門維度間流動,進而形成組織、部門、作業維度的立體控制框架,這個框架中,體現的是委托與代理,控制與被控制,牽制與被牽制的關系,每個層級,每個單位,每個人員都與內控有關,都參與內控活動,擁有相關職責。另外,這個三維立體內控制度體現了以下特點見(圖1)。
三、內部控制三維立體框架設計和運行應關注的重要因素
(一)組織維度實現公司治理與內部控制的對接 現代企業內部控制新發展是治理型內部控制,實踐中考慮實現內部公司治理與內部控制的對接。對接的基礎是思想的同源性一委托代理關系;對按途經是以組織機構為依托。內部控制系統是由代理人設計的,充分體現了管理者的管理意志和意圖,而代理人的目標函數與委托人的目標函數是不一致的。為保證多級委托代理鏈組成的公司運行能夠維護所有股東的平等地位和權利。承擔對股東的誠信義務。公司治理規范中必須提出對內部控制構建的基本要求,從而保證內部控制目標與公司治理目標的高度一致性。沒有公司治理作后盾,內部控制系統的不斷完善將失去動力。事實上,各國有關公司治理的法規和準則中都對內部控制做出了基本要求。如美國內部控制制度發展到三要素構成的結構和五要素構成的框架,與美國《反海外腐敗法》(Foreign Corrupt Practices Act,FCPA)的頒布與完善是分不開的。該法除了禁止各種形式的行賄和具有可疑行賄的行為之外,還要求在證券交易委員會管轄下的每一家公司都建立內部控制制度,并詳細規定:美國公司有責任保證其海外下屬公司妥善保存財務報表和記錄,并建立和實施內部監控制度、不得非法向外國政府公職人員或國際公共組織官員支付財物,即使海外下屬公司在母公司不知情的情況下發生與上述有關的不適當行為,母公司也不能免責。2002年,中國證監會頒布了《上市公司治理準則》,從六個方面做出了公司治理的規范:平等對待所有股東,保護股東合法權益;強化董事的誠信與勤勉義務;發揮監事會的監督作用;建立健全績效評價與激勵約束機制;保障利益相關者的合法權利;強化信息披露,增加公司透明度。上述六個方面的要求需要通過科學嚴密的內部控制系統來保障,但該準則卻并沒有涉及內部控制方面的內容,這使得該準則自誕生之日起便帶有明顯的缺陷。
(二)通過公司治理機制構建的角度為董事會在內控中的核心地位提供保證 公司的董事會是聯結出資者和經營者的橋梁,為股權資本出資者和經理人員的職業合同提供了合理的保障。盡管在契約未預見的事項發生的情況下,出資者可以利用剩余控制權做出決策,但由于基于股權分散的事實產生的投資者行使剩余控制權的高額成本以及信息不對稱,行使控制權的重心客觀上要求落在董事會肩上。內部控制是董事會抑制管理人員在搜取短期盈利機會中機會主義傾向,保證法律、公司政策及董事會決議切實貫徹實施的措施;內部控制以及涉及內部控制的信息流動構成解決信息不對稱、保證會計信息真實可靠的重要手段,而確保信息質量是董事會不可推卸的責任。董事會在內部控制中的核心地位是通過公司治理結構和機制的安排來實現的。(1)完善董事會構建機制,將董事會建成能真正獨立行使權利和承擔責任的機構。總結近幾年公司控制結構變遷的特點,針對大股東一股獨大或公司最終控制人試圖通過一致行動、差額投票權、多重塔式持股、交叉持股等手段控制公司而有可能出現侵犯中小股東權益、損害公司長遠利益的現象,優化董事提名機制、董事會形成機制以及董事責任追究與免責機制,使董事會真正成為公司治理鏈中的一個獨立履行權利、承擔責任的機構。(2)從人員配置上割斷董事與經理層的臍帶,保證董事會成員的相對獨立性。董事會的作用在于選聘高管人員、考評并更換不稱職的管理者、行使決策權并代表股東監督經理層。如果董事與經理人員高度重疊,董事會與經理層的分設完全是為了應付法律,而未體現公司治理法規所體現的制衡機制。人員重疊的結果必然是裁判員兼運動員,經理人員自己監督自己、自己評價自己、自己考核自己,董事會與經理層的制衡就名存實亡。董事會成員獨立于經理層才能為董事會成為內部控制框架的制定者、監督者和最高執行者,發揮董事會在內部控制中的核心作用提供權責劃分的保證。(3)強化董事會專業委員會職能以及決策與監督程序,為董事會核心作用的發揮提供信息與技術支持。人員的獨立性只為董事會在內部控制中核心地位的發揮提供必要條件而非充分條件。董事們不可能像經理人員一樣掌握有關公司運作方面的詳細信息,信息不對稱為經理層實質上“控制”董事會的決策和監督提供了溫床。如果能發揮戰略委員會和審計委員會的決策與監督職能,并在程序上規定需要由董事會決策的項目必須事先由戰略委員會從國家產業政策、項目市場前景進行科學論證并由審計委員會對財務效益、現金流風險進行評估,在此基礎上由董事會做出項目取舍決策,董事會在決策和監督中的主導作用才能得到發揮。安然事件后,《薩班斯一一奧克利法案》(Sarbanes--OxleyAct)首先明確了審計 委員會成員的獨立性,并重新界定了委員會的職責。法案規定審計委員會成員除了獲得作為發行人董事會、審計委員會或其他委員會成員的報酬外,不可以從該發行人接受其他任何報酬,而且該成員不能是發行人或其分支機構的關聯人員。法案賦予了審計委員會更多的權力:法案要求由審計委員會負責聘請、付酬并監督發行人的外部審計人員,解除原先管理層行使此項權力;外部審計人員將不再向管理層報告,而是直接向審計委員會報告,在外部審計人員和管理層之間形成隔離層,以減少管理層收買外部審計人員的可能;審計人員除了向審計委員會呈送審計報告外,還應向委員會匯報公司使用的重要情況,通過此舉擴大審計委員會的信息來源,減少信息不對稱發生的可能;最后,當委員會認為對于履行職責必要時,還可以聘請獨立顧問和其他方面顧問,能夠擺脫管理層和外部審計的影響。
(三)通過公司治理機制設計為內部控制制度的實施保駕護航 內部控制的重要要素之一是“監督與糾偏”,在“控制環境”這一要素中,也要求建立與內控相應的監督機構。在以董事會為核心的內部控制框架中,董事會下包括審計委員會在內的專業委員會的建立以及經理層下屬的審計部在對內部控制制度運行過程的監督和效果評價方面的作用越來越明顯。但監事會對處于內部控制核心地位的董事會的監督卻長期弱化。這一問題的解決有賴于監事會功能的強化,基本思路是在監事會成員中引入利益相關者,并做好獨立董事與監事之間的功能區分與協調。
(四)三維立體內部控制框架實行過程動態控制 整個內控體系建設過程是一個不斷地分析、比較、選優、確定、改進的過程。是否真正合理、有效、科學,需要不斷在運行中測試。這里介紹二種基本方法:方法一是以部門為基礎,測試部門的結構,崗位設置,功能、權限、業務,與其他部門的銜接等是否完成相應功能,管理上是否效率,是否有遺漏環節,方法二是以項目為主,按項目的流程進行測試,觀察項目涉及的部門是否完成其職責,過程中的關鍵控制點是否把握等,測試完成后把握測試結果決定內部控制制度是進行修訂。
(五)制度控制和活動控制的文件化 制度控制是內部控制系統的典型控制機制。現代企業內部控制以制度進行控制,實際工作中形成控制文件。控制的依據和執行情況的載體就是文件。它可以分三個層次:第一個層次是公司內部控制手冊,它完善了企業的控制目標、控制方針、控制原則、控制架構,各個層次的職責,是統領全局的控制大綱。企業的基本制度就在此體現;第二個層次是部門手冊,由職位手冊與項目文件組成:職位手冊所確是各個部門的控制職責,內部安排,職責與權限;項目文件對控制的項目流程建模并標準化。部門手冊包括了管理制度和業務規范;第三層次是規定具體作業操作規范(如工作說明書)和日常控制工作記錄表單。這三個層次文件將控制制度、需要的控制活動形成文件,作為控制任務的執行,記錄、考核、評價的依據。文件體系的控制權把握上:組織維度控制權由公司總部把握;部門手冊由部門經理把握;作業規范與支持性表單隨作業放于關鍵項目控制部門把握。控制文件的策劃具體見(圖2)。
四、結論與建議
(一)結論 本文在內部控制理論的歷史文獻和中國內部控制理論研究的基礎上,借鑒了當今世界上非財務會計,審計人士對內部控制的理解,提出了在COSO框架基礎上擴大控制概念的理解。根據新制度經濟學理論和公司治理理論,認為現代企業的內部控制是實現內部公司治理的一個制度控制體系安排,體現的是授權與責任,實踐中包括管理控制,控制的基礎環節是作業控制,控制的對象是偏離公司戰略與經營目標的風險。在企業內部建立一個基本的控制框架,作為管理層評估內部控制的基準。這是企業發展到一定程度在管理方面的必然要求,COSO框架只是一個指導性原則,沒有說明怎樣應用和怎樣評審的問題。根據現代企業的特點和前面對內部控制的認識,本文將會計界的內部控制語言與管理界的內部控制語言整合,形成一個共識框架體系——三維立體控制框架,與財務報表相關的內部控制只是整個控制框架的一部分。框架的組織維度建設著重公司戰略目標的分解與相應管理權責分解,針對控制董事會一經理層的薄弱環節,提出了加強內部公司治理的控制建設:確立董事會在內部控制框架的核心地位,加強各委員會建設。框架的部門維度建設上主要是項目流程的控制,相應的授權與職責分離、崗位安排、引入流程再造思想,減少不增值作業。作業維度控制是內部控制的最低層控制環節,這個維度強化的是作業標準和技術要求,實現標準作業管理。這個內部控制框架體系符合現代企業公司制的特點,在內部控制概念及方法上能夠統一會計界與管理界的觀點。
(二)建議 現代控制理論了推動內部控制評價體系的變革,因此,本文給出以下建議:針對內部控制的新認識,對三維立體控制框架的評審可以借鑒《薩班斯——奧克斯利法案》出臺后美國會計職業界的控制評價操作指南:計劃、控制框架有效性評價、執行有效性評價、評估和報告。通過這個過程將內部控制框架中的制度性缺陷和執行性缺陷找出來,實施持續改進。同時加強內部審計與控制自我評估(CSA)兩項職能。內部審計實施的是傳統的控制評價和監督的職能,作為一個常規性評價在內部控制系統中作用,且關注的重點是與財務報告內部控制環節。而內部控制自我評估擴大了控制主體:將董事會(治理層次)、經理層(管理層)、員工(作業層)集合起來討論與之相關的內部控制。集思廣益,更宜控制風險,提高效率;擴大了控制范圍:控制不僅僅是財務會計控制,而且包括與實現企業目標的一切環節;控制更靈活:不是常規性問卷調查和符合性測試,引入了以目標為基礎的、以控制為基礎的、以流程為基礎的、以風險為基礎的引導會議法。控制效率更高:不僅有利與硬控制評價,更有利于評價軟控制,CSA是一種較好適合現代企業三維控制體系的評估方法。
