從1934年美國出臺《證券交易法》明確規定公司應設計并維護一套內部會計控制系統,到1977年美國國會通過《反國外賄賂法》要求公司建立更為完善的內部控制,到COSO委員會成立并于1992年發布《內部控制——整合框架》報告為內部控制的建設提供參考標準,再到2002年美國頒布SOX法案、成立PCAOB(美國公眾公司會計監督委員會)強化對內部控制的監管,直至2004年COSO委員會發布《企業風險管理——整合框架》并將內部控制上升為更高級別的風險管理,美國對內部控制的監管不斷“升級”,美國的經驗足以為世界各國借鑒。然而,內部控制監管的不斷“升級”似乎并沒有阻止一次次財務舞弊案件或者經濟危機的爆發,每一次升級都只是對經濟事件和成熟感應的特殊回應,防范風險以及降低風險帶來的損失、保證財務信息真實可靠、促進企業價值增值等目標的達成已經成為了一個世界性的難題。基于前面的分析,我們試圖從流程監管的視角提出我們的建議。
會計監管與內部控制監管相結合。對內部控制的要求,是伴隨著會計監管的發展而發展的,一定程度上可以說會計監管的失效使得對內部控制的監管要求不斷提高。現有監管思路沒有將內部控制監管與會計監管有機結合,我們認為應該將基于“結果監管”的會計監管與基于“流程監管”(或“過程監管”)的內部控制監管相結合,從里到外,從事前到事中到事后,對企業進行全方位、全流程的監管,這樣才能最大程度地保證監管目標的達成。
從內部控制監管到風險監管。COSO委員會2004年發布的《企業風險管理——整合框架》報告認為:“內部控制是企業風險管理不可分割的一部分。”這意味著風險管理涵蓋內部控制。然而,企業家治理和管理企業的過程,就是防范風險、使企業不偏離價值增值這個目標的過程。因此,我們認為,內部控制監管也好,會計監管也好,最終都要朝著風險監管方向發展,因為風險是存在于企業生產經營的各個流程的,只有流程中的風險得到了有效控制,才能促成企業目標達成。
推進信息化建設,提升基于流程的監管水平。企業的流程和風險點是紛繁復雜的,僅靠人工的識別相當有限,不僅帶來巨大的成本,也可能使得某些關鍵風險點遺漏,現代信息化的管理體系則能夠在優化流程的基礎上實現監管業務流、信息流、資金流等的信息化管控,能夠實現信息共享,不僅大大節約了成本,也使得監管的觸角無處不在,更有利于風險防范環境的形成。
