內部控制是一個非常重要的管理術語,是防范各類風險,促進企業目標實現的必要因素。2008年5月,我國財政部、證監會、審計署、銀監會、保監會五部委聯合發布《企業內部控制基本規范》。2010年4月,上述五部委又聯合發布《企業內部控制配套指引》,隨后財政部對配套指引逐一作了深入而權威的解讀。至此,中國新版企業內部控制框架(以下稱“新框架”)基本形成。新框架自2011年1月1日起在境內外同時上市的公司施行,2012年1月1日起擴大到境內上市公司,擇機擴大到中小板和創業板。
一、中國企業內部控制框架的構成
內部控制是一個完整的框架,而不僅僅是一系列的制度安排。如圖1所示,新框架由企業內部控制基本規范、企業內部控制配套指引、企業內部控制配套指引解讀三部分構成。企業內部控制配套指引包括應用指引、評價指引和審計指引三個系列。其中,應用指引又可細分為:(1)內部環境類應用指引,包括組織架構、發展戰略、人力資源、社會責任和企業文化等;(2)控制活動類應用指引,包括資金運動、采購業務、資產管理、銷售業務、工程項目、擔保業務、業務外包、財務報告、研究與開發等;(3)控制手段類應用指引,包括全面預算、合同管理、內部信息傳遞、信息系統等。
內部控制評價是公司董事會或類似權力機構對內部控制的健全性和有效性進行全面評價、形成評價結論、出具評價報告的過程。《企業內部控制評價指引》主要規范企業自身對其內部控制的健全性和有效性進行評價,主要用于引導企業全面評價內部控制的設計與運行情況,規范企業自我評價的主體、程序、范圍和報告,揭示和防范內部控制評價過程的相關風險。
內部控制審計是會計師事務所接受委托,對特定基準日客戶內部控制設計與運行的健全性和有效性進行審計。由注冊會計師對企業內部控制實施審計,是促進企業貫徹落實企業內部控制框架的重要制度安排。《企業內部控制審計指引》主要用于規范注冊會計師內部控制審計業務,明確審計工作要求,保證執業質量。注冊會計師在執行內部控制審計時,除應遵守審計指引外,還應遵守相關的執業準則。
二、企業內部控制的概念
我國新框架將內部控制定義為:“由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制目標包括合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略”。為直觀解讀內部控制的內涵,可用圖2來描述內部控制的過程。
(一)內部控制主體
過去人們將企業內部控制的主體定義為會計人員和會計機構,層次較低,會計人員和會計機構難以擔當內部控制之大任,無法有效推動內部控制的實施。新框架強調內部控制的主體是企業董事會、經理層和全體員工。從決策層面到執行層面,上至董事會、經理層,下至各部門、各崗位的普通員工,都需要參與進來。對內部控制的健全性和有效性最終負責的應是董事會,但內部控制絕不僅僅是董事會和經理層的事,全體員工在內部控制過程中都有自己的責任、權限和義務。例如,員工的正直、誠信和道德價值觀是重要的內部環境;公司的人力資源政策和崗位責任制會涉及到全體員工等。因此,內部控制的主體是上至董事會,下至全體員工,中間是經理層和各階層管理者。
(二)內部控制屬性
過去人們認為內部控制是方法、措施和程序的安排,是靜態的制度。新框架強調內部控制是一個過程,是由一系列要素構成的整體框架(如圖3所示),是一種完整的風險管理體系,而非簡單的制度或措施安排。控制環境是企業實施內部控制的基礎,一般包括治理結構、組織機構及權責分配、誠信和道德價值觀、員工素質和人力資源政策、經營風格和管理哲學、企業文化等。風險評估是企業及時識別、分析經營活動中與實現內部控制目標相關的風險,并合理確定風險應對策略。控制活動是企業根據風險評估結果,采用相應的控制措施,將風險控制在可承受度之內。信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息,確保信息在企業內部及企業與外部間進行有效溝通。監控是企業對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,若發現內部控制缺陷,應及時加以改進。
內部控制的構成要素并非簡單相加,而是相互聯系、相互制約、相輔相成,共同組成一個完整的框架。控制環境是內部控制過程賴以存在的基礎;風險評估是實施內部控制的依據,實施風險評估進而管理風險是建立控制活動的重點;控制活動是實現控制目標的手段,是內部控制的主要組成部分;信息與溝通貫穿于內部控制的全過程,信息傳遞溝通上下,將整個內控結構凝聚在一起,是保證內部控制過程良好運行的媒介;監督檢查位于頂端的重要位置,是內控系統的特殊構成要素,它獨立于各項生產經營活動之外,是對其他內部控制的一種再控制。
內部控制是控制主體對影響企業目標實現的各種風險實施控制活動的持續過程,它強調執行過程和實施的效率效果。內部控制不是會計控制,而是融合了內部會計控制和內部管理控制的全過程控制。因此,內部控制建設絕不等于制度建設,而是要建立健全有效的內部控制整體框架。內部控制對企業目標的實現只能提供合理保證,內部控制的有效性可能因員工串通舞弊、管理層凌駕、職業判斷偏差等而降低。
(三)內部控制目標
過去人們將內部會計控制的目標設定為會計信息質量目標、資產安全目標、合規性目標三個方面。新框架提出五大目標,特別是促進企業實現發展戰略的提出,是一項重大突破。內部控制的主要目標不是防范差錯和舞弊,而是實現公司發展戰略和可持續繁榮,不斷提高企業核心競爭力和經營管理水平,促進企業價值最大化,打造百年老字號的優秀企業。因此,內部控制理念應從牽制和制約理念轉向可持續發展理念。資產的安全完整是管理層、投資人和其他利益相關者普遍關注的問題,是企業可持續發展的物質基礎,良好的內部控制應為資產安全提供可靠的保障。
三、企業內部控制要素
內部控制要素在內部控制理論中居于核心地位,直接影響著內部控制的設計、實施和評價等環節(王竹泉等,2010)。美國COSO報告將內部控制分解為五要素,即控制環境、風險評估、控制活動、信息與溝通、監控。我國新框架也提出五要素的構成,但將控制環境改為內部環境,將監控改為內部監督,其他要素名稱相同。朱榮恩(2008)認為,我國在形式上借鑒了COSO內部控制五要素框架,而在內容上體現了風險管理八要素的框架。
(一)內部環境
內部環境處于內部控制五大要素之首,構成一個企業的氛圍,是內部控制過程賴以存在的基礎,決定著內部控制的邊界和效果。COSO報告的控制環境包括正直與道德價值觀、員工素質與人力資源政策、管理哲學與行事作風、組織架構與審計委員會、權責配置等。我國新框架界定的內部環境包括組織架構、發展戰略、人力資源、社會責任和企業文化。新框架將發展戰略和社會責任引入內部環境,是一項重大創新,這與內部控制目標突破是相呼應的。企業是創造財富與履行社會責任的統一體。促進企業履行社會責任,是提升發展質量,實現可持續發展的根本。企業只有切實做到經濟效益與社會效益、短期利益與長遠利益、自身發展與社會發展相互協調,才能實現企業與員工、企業與社會、企業與環境的健康和諧發展。新框架將正直誠信與道德價值觀、經營理念與管理哲學、企業精神與行事作風等融入企業文化建設,也是一項創新。企業興旺在于管理,管理優劣在于文化。企業文化是競爭決勝的關鍵,是企業實現可持續發展的前提,一流的企業都十分重視文化建設。
(二)風險評估
風險評估是實施內部控制的依據,實施風險評估進而管理風險是建立控制活動的重點。此處的風險評估是一個比較寬泛的概念,包括了風險管理的全過程,即設置目標、風險識別、風險分析、風險應對。
新框架在內部控制配套指引中全面融入風險導向理念,無論是應用指引,還是評價指引和審計指引,都突出強調風險管控的導向性。過去認為風險是個不利因素,主要集中在業務層面,內部控制的重點是防范差錯和舞弊風險。新框架認為風險是影響目標實現的不確定性,貫穿于企業經營和管理的全過程,既涉及公司治理層面,也涉及內部機構和業務層面。在公司治理層面,應關注董事、監理、高管的職業操守、能力勝任和風險偏好;在內部機構層面,應重點關注不相容崗位的相分離情況、崗位權責配置和運行機制、運行效率;在業務層面,應關注崗位責任制的履行情況和重大風險的識別、分析、評估和控制。
(三)控制活動
控制活動是實現控制目標的手段,是內部控制的主要組成部分。企業應結合風險評估結果,通過手工控制與自動控制、預防性控制與發現性控制相結合的方法,運用相應的控制措施,將風險控制在可承受度之內。從控制內容看,內部控制通常存在戰略控制、管理控制、作業控制等三個層級;從控制對象看,涉及財務控制、會計控制、資產控制、人員控制等;從控制手段看,控制活動包括不相容職務相分離、授權審批、會計系統、財產保護、預算管理、文件記錄、運營分析、績效考評、內部報告等。
在控制活動方面,新框架增加了運營分析控制和績效考評控制。運營分析控制要求單位建立運營分析制度,管理層應綜合運用各種內外信息和科學的分析方法,定期開展運營分析,及時發現問題,查明原因,加以改進。績效考評控制要求單位建立和實施績效考評制度,科學設置考核指標體系,對內部各責任單位和全體員工的業績進行定期考核和客觀評價,將考評結果作為員工薪酬、晉升、評優、辭退等的依據。
(四)信息與溝通
信息與溝通是企業應對情況改變、保證控制有效的“神經系統”。信息與溝通貫穿于內部控制的全過程,信息傳遞溝通上下,將整個內控結構凝聚在一起,是保證內部控制過程良好運行的“潤滑系統”。企業應建立信息與溝通機制,明確相關信息的收集、處理和傳遞程序,確保信息真實、溝通及時。及時、準確、完整地收集、加工、傳遞決策所需的信息是組織穩定的基礎。
在信息與溝通方面,我國新框架要求企業建立反舞弊機制、舉報投訴制度和舉報人保護制度。企業應堅持懲防并舉、重在預防,明確反舞弊工作重點、關鍵環節和責權配置。企業應設置舉報專線,明確舉報投訴處理程序、辦理時限和辦結要求,確保舉報和投訴成為企業反舞弊的重要途徑。舉報投訴制度和舉報人保護制度應透明公開,傳達至全體員工。
(五)內部監督
內部監督是企業對內部控制建立與實施情況進行監督檢查,評價其健全性、合理性和有效性,發現和認定內部控制缺陷,并及時加以改進和完善的過程。內部監督分為日常監督和專項監督。內部監督在內部控制框架中位于頂端的重要位置,是內控系統的特殊構成要素,是對其他內部控制要素的一種再控制。
在內部監督的組織保障方面,我國新框架明確了董事會及其審計委員會、監事會、內部審計機構的職責權限。在企業組織架構中,審計委員會、內部審計機構的關系如圖4所示。在公司治理層面,董事會及其審計委員會、監事會應發揮主導監督作用,重點關注公司治理和機構運行情況、高管操守和能力勝任情況、授權執行情況、人力資源政策、反舞弊機制運行、信息系統及溝通機制等。內部審計機構則應重點關注職能部門和業務單元的執行力問題、崗位責任制履行情況、內部機構的運行效率等。企業應制定內部控制缺陷認定標準,對監督過程中發現的內部控制缺陷,應分析缺陷性質和產生原因,提出整改方案,采取適當形式及時向董事會、監事會或經理層報告。新框架還要求企業將各責任單位和全體員工實施內部控制的情況納入績效考評體系,促進內部控制的有效實施。
四、內部控制與風險管理的高度融合
風險是對實現目標可能產生影響的各種不確定性因素,可能形成實際結果與預期目標的差異。企業在生產經營過程中隨時可能面臨各種風險。從風險來源看,有來自企業內部的,如人員的業務勝任能力和職業道德水準、治理結構形同虛設等,有來自企業外部的,如自然災害、環境變化、產業政策調整、市場競爭加劇等;從企業管理目標看,有戰略風險、合規性風險、資產安全性風險、財務報告風險、經營的效率效果風險等;從風險性質看,有政策風險、人員風險、市場風險、法律風險、信用風險、經營風險、流動性風險等;從風險發生過程看,有動態風險和靜態風險等。風險因素不僅貫穿于業務層面,還廣泛存在于公司治理層面,如董事、監事和高管的職業操守等。可以說,企業生產經營管理的每一環節都充滿風險。2009年1月,COSO委員會發布關于監控要素的應用指引,要求企業借助現代信息技術建立基于風險導向的內部控制監督模型,以推動企業將持續監督有效地植入內部控制全過程(R. Trent Gazzaway;Richard D. Braunstein,2009)。
內部控制是對影響企業目標實現的各種風險因素進行分析和管理,從而幫助實現企業目標的過程。內部控制要以全面風險管理為導向(劉玉廷等,2010),我國新框架全面植入風險導向理念,體現內部控制與風險管理的高度融合。新框架要求企業合理確定整體風險承受能力和具體業務層面上的可接受風險水平,實施風險導向的內部控制。在明確控制目標的前提下,首先分析各項活動的總體風險,根據總體風險分析和內部控制目標,設計控制流程,全面梳理和識別流程各環節的主要風險點,分析其產生原因,評估其發生概率及對企業的影響,針對風險點確立關鍵控制點,從而進一步采取相應的風險管控措施。在設計和執行控制程序時,要利用風險評估結果,對風險進行識別和排序,把焦點放在對重大風險的控制上,設置關鍵控制點,從而提高內部控制的效率效果。
以擔保業務為例,擔保業務屬于高風險經濟活動,如圖5所示,實施基于風險導向的擔保業務內部控制,以企業內部控制的完整框架為基礎,突出風險管控的導向性,在明確內部控制目標的前提下,確立實施內部控制的基本原則,分析擔保業務的總體風險,設計擔保業務控制流程,梳理和識別擔保業務流程各環節的主要風險點,分析其產生原因,采取定性和定量相結合的科學方法,評估各風險發生概率及對企業的影響,針對各風險點確立關鍵控制點,從而進一步采取相應的風險管控措施。
目前,我國大部分企業還處在內部控制建設的探索階段,許多企業并未真正掌握風險評估的技術和方法,也未根據風險的可能性和重要性對其進行排序。很多企業沒有風險意識,或缺少先進的風險管理技術(韓洪靈等,2009)。因此,新框架對加強我國企業內部控制建設,提升風險管理水平等具有重要意義。
五、內部控制的核心是人的問題
人力資源是企業活動中最為活躍的生產要素,一切競爭歸根到底是人才的競爭,人才是企業活力的源泉、核心競爭力的基礎、可持續發展的根本。內部控制的核心問題是人的問題,新框架從基本規范到配套指引及其解讀,無不體現這一理念。舊規范強調制度和程序的重要性,而新框架突出人的核心作用。新框架五大要素的設置都以人為中心,特別是內部環境、信息與溝通、內部監督都充分體現人在內部控制中的作用。例如,《內部控制配套指引第3號――人力資源》不僅規范了企業加強人力資源開發與建設的具體要求,更突出了人力資源管理各環境的主要風險及其防范措施;《內部控制配套指引第4號――社會責任》規范了企業的安全生產、促進就業、員工權益保護等社會職責和義務。《內部控制配套指引第5號――企業文化》強調企業要樹立以人為本的思想,打造企業核心價值觀,培育員工積極向上的價值觀、人生觀和社會責任感,倡導誠實守信、愛崗敬業、開拓創新和團隊協作的企業精神等。再如,凡涉及崗位設置和人員配備的問題,新框架都強調要配備合格人員,對合格人員的評價至少應從業務勝任能力和職業道德操守兩個方面進行。
在內部控制建設中,董事、監事和高管人員應以身作則,誠實守信、恪盡職守,為全體員工樹立榜樣。各階層管理者應依據規程和制度實施管理,尊重員工,平等溝通,少用命令式語言。企業員工應遵守員工行為守則,認真履行崗位職責,提升自身職業道德修養,加強業務學習,勤勉盡責。
內部控制的最高境界是“無為而治”,如果每一位員工都能做到業務能力足夠強,個人道德和修養非常好,責任感和使命感異常堅定,與企業同呼吸、共命運,達到“人企合一”,也就不需要內部控制了,管理者就非常輕松了。新框架要求企業重視人力資源、社會責任、企業文化等軟環境的建設,培育以人為本的管理理念,依靠全體員工辦企業,尊重勞動、尊重知識、尊重人才,努力為全體員工搭建發展平臺,提供發展機會,挖掘創造潛能,增強其主人翁意識和社會責任感,激發其積極性、創造性和團隊精神。
綜上所述,可以看出內部控制不等于內部控制制度,不等于內部會計控制,也不僅僅是管理層的控制,而是涉及全員的風險管控過程,是由五要素構成的完整框架。內部控制的目標不再僅僅局限于差錯與舞弊的防范,其最終目標是要實現企業的戰略規劃和可持續發展,打造百年老字號的優秀企業。中國企業內部控制新框架體現與風險管理的高度融合,內部控制主要是對影響企業目標實現的各種風險進行梳理、識別、分析和應對,風險導向理念貫穿內部控制的全過程。內部控制的核心是人的問題,企業應重視人力資源、社會責任、企業文化等軟環境建設,積極培育以人為本的管理理念。●
