內部控制是現代企業管理架構的構成部分,是企業持續發展的制度保證。現代企業理論和管理實踐表明,企業一切管理工作,都是從建立和健全內部控制開始的;企業的一切活動,都無法游離于內部控制之外。可以說,“得控則強,失控則弱,無控則亂”。因此,內部控制在現代企業管理中居于戰略地位。
一、關于內部控制的內涵
長期以來,人們對內部控制有不同的認識,提出了各種各樣的觀點。例如“過程論”把內部控制定義為實現一組目標而提供合理保證的一種過程;“程序論”則認為內部控制是指基本的內部會計控制及風險管理政策及程序;“制度論”認為內部控制是企業為實現經營目標,根據經營環境變化,對企業經營與管理過程中的風險進行識別、評價和管理的制度安排、組織體系和控制措施;“系統則將內部控制定義為一種多要素構成的“系統”。另外,國內外還有“行為論”、“結果論”、“狀態(環境)論”、“綜合論”等其他觀點。這些觀點都是從不同立場或不同角度觀察內部控制的結果,從不同側面揭示了內部控制的某些特征。
那么,到底什么是內部控制呢?COSO報告將內部控制定義為:由一個企業的董事長、管理層和其他人員實現的過程,旨在為下列目標提供合理保證:經營的效果和效率;財務報告的可靠性;符合適用的法律和法規。
在這個定義中,有四個關鍵詞值得注意:目標(objectives)、人(personnel)、過程(process)、合理保證(reasonable assurance)。也就是說,內部控制以過程為導向;受人的因素影響;受目標的驅動;存在局限性,即內部控制所提供的是合理的保證而非絕對的保證。可見,COSO報告對內部控制的定義具有豐富的內涵,同時具有科學的限定,這是截至目前最權威、最通用的內部控制定義。
二、內部控制的構成要素與整體框架
COSO報告提出了內部控制的五個構成要素,即所謂的“五點論”,它們分別是控制環境、風險評估、控制活動、信息與溝通、監控。
(一)控制環境(Control Environment)
起初人們只是將控制環境作為內部控制的外部因素來看待,但漸漸地人們認識到控制環境是內部控制的一個組成部分,是充分有效的內部控制體系得以建立和運行的基礎及保證,因而應該包含在企業內部控制的范圍內。
COSO報告則把控制環境作為內部控制系統的首要因素,認為控制環境是一個企業進行內部控制的氛圍,是其他控制成份的基礎。具體包括以下內容:(1)員工的誠實性和道德觀,如有無描述可接受的商業行為、利益沖突及道德行為標準的行為準則。(2)員工的勝任能力,如雇員是否能勝任質量管理的要求。(3)董事會或審計委員會,如董事會是否獨立于管理層。(4)管理哲學和經營方式,如管理層對人為操縱的或錯誤的記錄的態度。(5)組織結構,如信息是否到達合適的管理階層。(6)授予權利和責任的方式,如關鍵部門的經理的職責是否有充分規定。(6)人力資源政策和實施,如是否有關于雇傭、培訓、提升和獎勵雇員的政策。
仔細分析以上描述,控制環境可以歸納為兩大方面:一是“軟環境”:包括企業的管理哲學、控制文化(culture of controls)、風險意識、人的素質與品德等看不見、摸不著、卻在內部控制中起著決定性作用的無形因素構成的氛圍。二是“硬環境”:包括企業的所有權結構、法人治理結構、組織體系、權力分配等結構性因素。企業只有建立包括董事會、管理層等在內的完善的治理結構,以及科學合理的組織體系,并合理配置各層次、各方面的權責,內部控制系統才有所依托并得以運轉。可見,控制環境既是一個企業管理架構的組成部分,也是其內部控制系統的構成要素。控制環境確立了一個企業的基調,影響公司及人員的控制意識和導向。它是其他內部控制要素的基礎,提供規則和結構。只有打牢控制環境這個根基,企業內部控制系統的“大廈”才能建立起來并真正發揮作用。
(二)風險評估(Risk Assessment)
風險控制對企業來說具有特別重要的意義,不僅是企業內部控制的主要目標,而且是企業內部控制的核心要素和軸心工作。
COSO報告認為,風險評估指管理層識別并采取相應行動來管理對經營、財務報告、合規性目標有影響的內部或外部風險,包括風險識別和風險分析。風險識別包括對外部因素(如技術發展、競爭、經濟變化)和內部因素(如員工素質、公司活動性質、信息系統處理的特點)進行檢查。風險分析涉及估計風險的重大程度、評價風險發生的可能性及考慮如何管理風險等。
需要特別強調的是:這里的要素是“風險評估”,而不是“風險管理”。在一般人眼里,內部控制就是風險管理。其實,兩者是不同的。COSO報告第一稿曾將包括風險管理在內的企業管理等眾多內容排除在內部控制之外(見表1),后來又不聲不響地將風險管理繞回到報告之中(1996年,COSO委員會發布的《金融衍生工具運用中的內部控制問題》中強調了運用內部控制對風險管理活動進行評價)。那么內部控制與風險管理之間是什么關系呢?其可以概括為:內部控制的動力源于風險防范并構成風險管理的必要環節,但內部控制并不等同于風險管理,只能防范風險,不能轉嫁、承擔、化解或分散風險。
三)控制活動(Control Activities)
控制活動是企業內部控制的實質性要素,是依托于控制環境進行的實際控制行為。COSO報告認為,控制活動指對所確認的風險采取必要的措施,以保證單位目標得以實現的政策和程序。在實踐中,控制活動形式多樣,可將其歸結為以下四類。
1. 業績評價,是指將實際業績與其他標準,如前期業績、預算和外部基準尺度進行比較;將不同系列的數據相聯系,如經營數據和財務數據,對功能或運行業績進行評價。這些評價活動對實現企業經營的效果和效率非常有用,但一般與財務報告的可靠性和公允性相關度不高。
2. 信息處理,指保證業務在信息系統中正確、完全和經授權處理的活動。信息處理控制可分為兩類:一般控制和應用控制。一般控制與信息系統設計和管理有關,如保證軟件完整的程序、信息處理時間表、系統文件和數據維護等;應用控制與個別數據在信息系統中處理的方式有關;如保證業務正確性和已授權的程序。
3. 實物控制,也稱為資產和記錄接近控制,這些控制活動包括實物安全控制、對計算機以及數據資料的接觸予以授權、定期盤點以及將控制數據予以對比。實物控制中防止資產被竊的程序與財務報告的可靠性有關,如在編制財務報告時,管理層僅僅依賴于永續存貨記錄,則存貨的接近控制與審計有關。
4. 職責分離,指將各種功能性職責分離,以防止單獨作業的雇員從事或隱藏不正常行為。一般來說,下面的職責應被分開:業務授權(管理功能)、業務執行(保管職能)、業務記錄(會計職能)及對業績的獨立檢查(監督職能)。理想狀態的職責分離是,沒有一個職員負責超過一個的職能。
(四)信息與溝通(Information and Communication)
信息與溝通,指為了使職員能執行其職責,企業必須識別、捕捉、交流外部和內部信息。外部信息包括市場份額、法規要求和客戶投訴等信息。內部信息包括會計制度,即由管理當局建立的記錄和報告經濟業務和事項,維護資產、負債和業主權益的方法和記錄。有效的會計制度應是:(1)包括可以確認所有有效業務的方法和記錄;(2)序時詳細記錄業務以便于歸類,提供財務報告;(3)采用恰當的貨幣價值來計量業務;(4)確定業務發生時期以保證業務記錄于合理的會計期間,在財務報告中恰當披露業務。
溝通是使員工了解其職責,保持對財務報告的控制。它包括使員工了解在會計制度中他們的工作如何與他人相聯系,如何對上級報告例外情況。溝通的方式有政策手冊、財務報告手冊、備查簿,以及口頭交流或管理示例等。
有人曾質疑信息與溝通是否應作為內部控制中一個單獨的構成要素,例如加拿大CICA下屬的控制標準委員會(負責制定內部控制標準的機構,即COCO)就認為,信息與溝通應該整合到其他的部分中去,因此COCO沒有把其作為內部控制的構成要素。筆者認為,這種觀點不符合現代信息社會的普遍特征,沒有認識到現代企業運行中信息的重要性,尤其是與現代企業高度信息化、電子化的特征相矛盾。我們贊同COSO報告、巴塞爾委員會等的主流做法:把信息與溝通作為內部控制必要的、單獨的構成要素予以強調。
(五)監控(Monitoring)
COSO報告認為,監控指評價內部控制質量的過程,即對內部控制改革、運行及改進活動進行評價。包括內部審計和與單位外部人員、團體進行交流。可見,監控實際上是企業對內部控制實施效果進行評價的過程,是企業站在更高的整體的層面對其他控制要素的整合及調適,是獨立的、進一步的控制活動,因而是企業完整的內部控制系統必不可少的后續要素。
(六)整體框架(Whole Framework)
上述五大要素之間具有緊密的關系:控制環境是其他控制成份的基礎,在規劃控制活動時,必須對企業可能面臨的風險有細致的了解和評估;而風險評估和控制活動必須借助企業內部信息有效的溝通;最后,實施有效的監控以保障內部控制的實施質量。五大要素實際上構成了內部控制的立體框架模式(如圖1所示)。
三、對COSO報告的評價
(一)COSO報告的理論貢獻
同以往的內部控制理論及研究成果相比,COSO報告提出了許多新的、有價值的觀點,代表了現代內部控制理論的最新成果和目前的最高水平。其貢獻歸納起來主要表現在以下12個方面。
1. 內部控制通用定義為相關團體提供了理解內部控制的共同基礎。COSO報告通過整合不同的內部控制觀念,接納多數性的觀點,建立了內部控制的通用定義,為各方提供了一種通用語言和溝通平臺,從而使內部控制的交流更有效果。
2. 內部控制整體框架論有助于改變內部控制雜散、機械的現象。COSO報告指出,內部控制是由五大部分組成的,而這五大部分緊密融入到企業的管理過程中,并形成了有機聯系的整體,所以,內部控制不再僅僅被看作是一項制度或一條條機械的規定,而是動態的過程和有序的系統,是一個有機的整體。
3. 強調內部控制是一個持續的“動態過程”。內部控制是對企業的整個經營管理活動進行監督與控制的過程,企業的經營活動是永不停止的,企業的內部控制過程也因此不會停止。企業內部控制不是一項制度或一個機械的規定,企業經營管理環境的變化必然要求企業內部控制越來越趨于完善,內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程。
4. 強調內部控制的三類目標。COSO報告單獨對內部控制的目標進行了解析和闡釋,將內部控制目標分為三類:與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業控制目標,有利于不同的人從不同的視角關注企業內部控制的不同方面,尤其是將內部控制觀念從財務報告這一傳統的、狹窄的、技術性的方面突破出來,大大拓展了內部控制的范疇。
5. 強調內部控制應該與企業的經營管理過程相結合。COSO報告認為,經營過程是指通過規劃、執行及監督等基本的管理過程對企業加以管理。這個過程由企業的某一個單位或部門進行,或由若干個單位或部門共同進行。內部控制是企業經營過程的一部分,與經營過程結合在一起,而不是凌駕于企業的基本活動之上,它使經營達到預期的效果,并監督企業經營過程的持續進行。不過,內部控制只是管理的一種工具,并不能取代管理。
6. 強調內部控制中“人”的重要性。COSO報告特別強調,內部控制受企業的董事會、管理階層及其他員工影響,透過企業之內的人所做的行為及所說的話而完成。只有人才可能制定企業的目標,并設置控制的機制。反過來,內部控制影響著人的行動。
7. 強調“軟控制”的作用。相對于以前的內部控制研究成果而言,COSO報告更加強調“軟控制”的作用。軟控制主要是指那些屬于精神層面的事物,如高級管理階層的管理風格、管理哲學、企業文化和內部控制意識等。
8. 強調風險意識。現代社會是一個充滿劇烈競爭的社會,每一個企業都面臨著成功的挑戰和失敗的風險,對風險的管理是現代企業的主旋律之一。風險影響著每個企業生存和發展的能力,也影響其在產業中的競爭力及在市場上的聲譽和形象。COSO報告指出,所有的企業,不論其規模、結構、性質或產業是什么,其組織的不同層級都會遭遇風險,管理層須密切注意各層級的風險,并采取必要的管理措施。
9. 揉和了管理與控制的界限。在COSO報告中,控制已不再是管理的一部分,管理和控制的職能與界限已經模糊。
10. 明確對內部控制的“責任”。在世界內部控制發展史上,COSO報告第一次明確地闡述了內部控制的制定與實施的責任問題。該報告認為,不僅僅是董事會、管理人員和內部審計人員與內部控制有關,組織中的每一個人都在內部控制中擔當一定的角色,都對內部控制負有一定的責任。確立這種組織思想有利于將企業的所有員工團結一致,使其主動地維護及改善企業的內部控制,而不是與管理層相互對立,被動地執行內部控制。值得注意的是,它指出外部團體如外部審計師、監管組織等并不對企業內部控制負有責任。這有利于企業完善內部治理結構,從而真正地將內部控制落到實處。
11. 明確指出內部控制的“局限性”。COSO報告認為:不論設計及執行有多么完善,內部控制都只能為管理層及董事會提供達成企業目標的合理保證,而不是絕對保證。而目標達成的可能性,尚受內部控制之先天條件所限制。內部控制的限制因素主要有:職員對與內部控制有關的決策的判斷可能有錯誤;職員可能出現差錯或錯誤;管理人員逾越內部控制是可能的;集體合謀或進行掩蓋可能導致控制失敗等。
12. 提出內部控制的成本與效益原則。COSO報告明確指出,內部控制要建立在成本與效益原則的基礎上。內部控制并不是要消除任何濫用職權的可能性,而是要創造一種為防范濫用職權而投入的成本與濫用職權的累計數額之比呈合理狀態(即經濟原則)的機制。因此,沒有不花錢的內部控制,也不存在完美無缺的內部控制。
總之,COSO報告在內部控制理論研究方面做出了巨大的貢獻,成為當今世界關于內部控制的主流觀點,被奉為經典和權威。在內部控制實務操作方面,則成為廣泛接受的標準和指南,具有普遍的應用價值。
(二)COSO報告的不足與完善
COSO報告承認,盡管它代表了集體研究的結晶并力求完善,但它同時也標志著內部控制觀念和實務上評估、創新、教育和研究的重要和全新的起點,而不應是終止。因此,內部控制理論研究和實務應用在內部控制整體框架的基礎上,有可能也應該進一步發展。
在肯定COSO報告價值的同時,我們也不應忽視一些不同的意見。比如,在COSO報告公布不久,美國審計總署(GAO)就曾對該報告的許多方面提出過批評,并指責這個框架有嚴重缺陷,其內部控制定義中缺乏保障資產的概念,還認為這個框架對內部控制重要性的強調不夠,喪失了改善內部控制監督和評估的機會。此外,對COSO框架最具挑戰的來自其本身的概念基礎以及其他非會計執業界制定的標準。COSO框架聲稱,并不是所有的管理責任都是內部控制的組成部分,因而將戰略計劃、目標設定、保持核心競爭力及董事會責任等要素排除在外。而許多公司的經營失敗很多是因經營戰略的失敗,公司不具有效的治理結構,經營業績明顯低于業界平均水平所引起。顯然,COSO框架對這些問題的關注是不夠的,它將注意力集中在如何對外披露與財務報告有關的內部控制上。
COSO報告發布后,在全球范圍產生了廣泛的影響,許多國家予以回應或予以承認。當今世界另外幾個主流內部控制報告如加拿大的COCO、英國的Cadbury報告、國際內部審計師協會(IIA)的SAC、信息系統審計與控制協會的(ISACA)的Cobit,以及巴塞爾銀行監督委員會1998年發布的《銀行組織內部控制系統框架》都與COSO框架緊密相關。中國有關部門制定的內部控制標準,包括證監會發布的《證券公司內部控制指引(2003)》、中國人民銀行發布的《商業銀行內部控制指引(2002)》、中國內部審計協會發布的《內部審計準則——內部控制(2003)》,其核心內容也與COSO報告一脈相承。
2001年底美國發生的“安然事件”等一系列財務丑聞,又一次讓內部控制成為關注的焦點。針對上述公司失敗事件,美國國會在2002年出臺了《薩班斯—奧克斯利法案》,該法案為公眾公司的外部審計師們創建了一個廣泛的、新的監督體制,并將對財務報告的內部控制作為關注的具體內容。國會不僅要求管理層報告公司對財務報告的內部控制,而且要求外部審計師證實管理層報告的準確性。此外,美國證監會SEC對該標準的認同等于從另外一個側面承認了COSO報告(此前SEC一直不采納)。這也表明COSO框架在2004年成為了美國的內部控制標準。這是COSO的重大勝利,是COSO每個成員機構多年的不懈努力的結果。
不過,COSO報告本身并不是完美無缺,畢竟,對內部控制的理解是在不斷演進的。隨著人們對內部控制越發熟悉,積累的經驗越多,他們對內部控制的理解就會隨時間而改變,而這或多或少取決于影響和決定內部控制的諸多力量。并且,不同的利益群體對內部控制的觀點存在不同的認識。例如,會計行業與非會計行業在關注內部控制的問題上是有重大差別的,如何將會計界的內部控制語言轉換為管理界的內部控制語言,仍是一個需要長期溝通和探索的問題。
