“公司的失敗都是由內部控制的失敗引起的。”這一斷言也許略顯絕對,但事實表明,企業經營失敗和財務信息失實等情況在很大程度上都可歸結為企業內部控制制度的缺陷或失效。
根據美國《內部審計》雜發表志的一份調查報告,自1986年2月起至1990年11月止已發現的114例欺詐案件,多數與虛假會計信息及內部控制不健全有關。另外,根據KPMG對美國3000家大中型公司的調查,舞弊有52%是通過內部控制發現的,有47%是通過內部審計檢查發現的。可見,內部控制對于防止財務報告舞弊意義重大。不僅如此,建立并有效執行企業內部控制制度,對于保證會計信息質量,保護企業資產的安全完整,增強企業風險防御能力,保護投資者合法權益,進而促進資本市場有效運行,有著非常重要的意義。
基于此,在注冊會計師行業領軍人才第四期培訓班舉辦期間,北京國家會計學院專門組織全體學員就我國內部控制建設與發展這一專題進行深入研討。——編者
內控不是制度匯編
內部控制作為一種管理方法或管理工具的形式,是提高企業核心競爭力的重要手段。但企業發展的市場、供應商、客戶以及競爭對手等要靠外部控制,良好的內部控制能提供把握外部機會的能力。
■李宗義
所謂內部控制,是在內部牽制的基礎上,由企業管理人員在經營管理實踐中創造、并經審計人員理論總結而逐步完善的自我監督和自行調整體系。內部控制理論的發展大致可以區分為內部牽制、內部控制制度、內部控制結構與內部控制整體框架等幾個不同階段。
內部牽制理念以賬目間的相互核對為主要內容并實施崗位分離,這在早期被認為是確保所有賬目正確無誤的一種理想方法。
內部控制制度理念認為內部控制應分為內部會計控制和內部管理控制(或稱內部業務控制)兩部分,前者在于報告企業資產、檢查會計數據的準確性和可靠性;后者在于提高經營效率、促使有關人員遵守既定的管理方針。
20世紀80年代提出了內部控制結構的理念。認為“企業的內部控制結構包括為合理保證企業特定目標的實現而建立的各種政策和程序”,并且明確了內部控制結構的內容為控制環境、會計制度和控制程序三個方面。
20世紀90年代,美國又提出了內部控制整體框架的理念,并將各種對內部控制的認識串聯起來。1992年,財務報告委員會附屬的內部控制專門研究委員會發起機構委員會(簡稱COSO委員會)發布報告《內部控制———整體框架》,也稱COSO報告。不久美國注冊會計師協會全面接受了COSO報告的內容,
COSO報告定義內部控制是由企業董事會、經理階層和其他員工制定和實施的,為達到經營的效果和效率、財務報告的可靠性以及相關法律法規的遵循性等三個目標而提供合理保證的過程。它認為內部控制整體框架主要由控制環境、風險評估、控制活動、信息與溝通、監控五大要素構成。這“三個目標”和“五大要素”各自含有豐富的內容,又相輔相成,共同構成了COSO報告內部控制的整體框架說,統一了人們對內部控制的認識,并為評價內部控制系統提供了一套完整的評價標準。
我國在進行內部控制建設時必須要明確兩個問題:
其一,內部控制不是簡單的制度匯編,搞內部控制建設也就不是編內控制度,更不是照搬別人現存的制度。別人成功的制度,不能根本上解決自身的問題,原因在于每一個企業的內在機制和環境不同,所以照搬制度只能解決形式上的問題。
其二,內部控制也不能包治百病。內部控制作為一種管理方法或管理工具的形式,它的目標從保證資產的安全、完整,過度到保證財務報告的可靠性、法律法規的遵循性,再到提高企業經營的效率和效果,這是提高企業核心競爭力的重要手段;當然,企業發展還有很多外在的因素,如市場、供應商、客戶以及競爭對手等,這些要靠外部控制,所以也不是“一控就靈”,但良好的內部控制能增進把握外部機會的能力。
內控建設的四要素
沒有相應勝任能力的人員通常無法正確行使賦予其的控制職能,從而影響內部控制功能的正常發揮。因此,企業內部人員的素質評估和崗位匹配也是內控設計必經的程序之一。
■潘曉姿
我從具體實施的環節談談我的建議。企業在建設內部控制的過程中,應該做到:
第一,內控設計應以控制流程(業務循環)為單位,而不是以部門為單位。一個控制流程往往涉及多個部門,若以部門為內部控制單位,容易人為割裂各個控制環節,影響各個部門在整個控制流程上的協同發揮,則很可能使得整個流程出現紕漏或失控。
第二,詳細設計時要先確定控制目標,通過識別和分析控制風險(任何可能影響企業實現某一目標的事項)確定控制點,再根據實際情況選擇控制措施。風險識別和分析是連結控制目標和控制點及控制措施的紐帶。沒有風險評判過程,將使控制點的確定和控制措施的選擇陷入盲目或武斷。
第三,內控設計時應考慮企業內部行使控制職能的人員素質與崗位相適應。無相應勝任能力的人員通常無法正確行使賦予其的控制職能,從而影響內部控制功能的正常發揮。因此,企業內部人員的素質評估和崗位匹配也是內控設計必經的程序之一。
第四,在確定控制點和選擇具體控制措施時,應注意保持控制環節之間的相互牽制。一項完整的經濟業務活動,必須經過具有互相制約關系的兩個或兩個以上的控制環節方能完成。橫向至少由彼此獨立的兩個部門或人員辦理以使該部門或人員的工作受另一個部門或人員的監督;縱向至少經過互不隸屬的兩個或兩個以上的崗位或環節。另外業務流程中的各崗位和環節應協調同步,避免只管牽制錯弊而不顧工作效率的機械設計,做到既相互牽制,又相互協調,從而在保證質量及提高效率的前提下完成經營目標。
采他山之石得十個結論
內部控制是對企業的整個經營管理活動進行監督與控制的過程。企業的經營活動是永不停止的,企業的內部控制過程也不會停止。內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復過程。
■葛徐
認真研究國際先進經驗是搞好我國內控建設的一個重要手段,根據COSO委員會發布的《內部控制-整體框架》報告以及此后對該報告的修訂,我們可以得出十個有價值的觀點及結論:
明確內部控制的“團隊責任”。COSO報告認為,內部控制的制定與實施,不僅僅是管理人員、內部審計或董事會,組織中的每一個人都對內部控制負有責任。貫徹這種思想有利于將企業的全體員工捆綁在一起,促使其主動維護及改善企業的內部控制,而不是和管理階層對立,被動地執行內部控制。
強調內部控制與企業經營管理過程相結合。COSO報告認為,經營過程是指通過規劃、執行及監督等基本的管理流程對企業加以管理。這個過程由組織的某一個單位或部門進行,或由若干個單位或部門共同進行。內部控制是企業經營過程的一部分,與經營過程結合在一起,而不是凌駕于企業的基本活動之上。它使經營達到預期效果,并監督企業經營過程的持續進行。不過,內部控制只是管理的一種工具,并不取代管理。
強調內部控制是一個“動態過程”。內部控制是對企業的整個經營管理活動進行監督與控制的過程。企業的經營活動是永不停止的,企業的內部控制過程也不會停止。企業內部控制是一項制度或一個機械的規定,企業經營管理環境的變化必然要求企業內部控制越來越趨于完善。內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復過程。
強調“人”的重要性。COSO報告特別強調,內部控制受企業的董事會、管理階層及其他員工影響,透過企業內人的行為及語言而完成。只有人才可能制定企業目標,并設置控制機制。反過來,內部控制也影響著人的行為。
強調“軟控制”的作用。相對于以前關于內部控制的研究結果,COSO報告更強調“軟控制”,主要指屬于精神層面的管理要素,包括高層管理人員的管理風格、管理哲學、企業文化、內部控制意識等。
強調風險意識。現代社會充滿激烈競爭,每一個企業都面臨著成功的挑戰和失敗的風險,風險管理是現代企業的主旋律之一。風險影響著每個企業生存和發展,也影響其在產業中的競爭力及在市場上的聲譽和形象。COSO報告指出,所有企業,不論其規模、結構、性質或產業是什么,其組織的不同層級都會遭遇風險。管理階層需密切注意各層級的風險,并采取必要的管理措施。
融合了管理與控制的邊界。COSO報告認為,控制已不再是管理的一部分,管理和控制的職能與界限已經模糊。
強調內部控制的分類及目標。COSO報告單獨對內部控制的目標進行了分解和闡釋。目標的設定是管理過程的一個重要部分,雖然它不是內部控制的組成要素,但卻是內部控制的先決條件,也是促成內部控制的要件。制定目標的過程不是控制活動,但其對內部控制的意義重大,直接影響到內部控制是否有存在的必要。COSO報告將內部控制目標分為三類:與運營有關的目標、與財務報告有關的目標以及與合規性有關的目標。這樣的分類高度概括了企業控制目標,有利于不同的人從不同的視角關注企業內部控制的不同方面。
明確指出內部控制只能做到“合理”保證。COSO報告認為:不論設計及執行有多么完善,內部控制都只能為管理階層及董事會提供達成企業目標的合理保證。而目標達成的可能性,受內部控制的先天條件所限制。
成本與效益原則。COSO報告認為,內部控制要建立在成本與效益原則的基礎上。內部控制并不是要消除任何濫用職權的可能性,而是要達到一種為防范濫用職權而實施控制的投入與濫用職權的危害成本之間平衡的機制。
以上這些內控建設的理念、原則、方法對我國內控建設同樣具有重要的借鑒意義。
內控的顯著作用
建立完善內部控制制度,也是中國企業進入國際資本市場的前提。截至2007年3月,中國境外上市公司共有747家。我國境外上市企業紛紛花巨資聘請海外機構設計內部控制制度,以適應上市地的監管要求。
■王俊英
2006年7月財政部聯合相關部門成立了企業內部控制標準委員會,著手建設中國企業內部控制標準體系。同時,證監會、國資委、上交所、深交所、銀監會、保監會等單位也紛紛著手內部控制標準的制定及研究工作。之所以我國企業內部控制建設被置于一個空前的高度,根本原因在于它在現代經濟生活中發揮著多方面的重要作用:
其一,進入國際資本市場融資的前提。建立完善內部控制制度,也是中國企業進入國際資本市場的前提。以薩班斯法案為代表,許多國家開始通過立法強化企業內部控制,內部控制日益成為企業進入資本市場的“入門證”和“通行證”。改革開放以來,隨著經濟發展水平及實力逐步增強,越來越多的中國企業進入世界資本市場。截至2007年3月,中國境外上市公司共有747家。我國境外上市企業紛紛花巨資聘請海外機構設計內部控制制度,以適應上市地的監管要求。
其二,促進企業的有效經營。健全有效的內部控制,可以利用會計、統計、業務等各部門的制度規劃及有關報告,把企業的生產、營銷、財務等各部門及其工作結合在一起,各部門密切配合,充分發揮整體作用,以順利達到企業的經營目標。同時,嚴密的監督與考核,能真實反映工作實績,再配合合理的獎懲制度,便能激發員工的工作熱情及潛能,從而促進整個企業經營效率的提高。
其三,保證會計信息的真實性和準確性。內部控制的目標要求經濟信息和財務報告的可靠性。有效健全的內部控制制度可以保證會計信息的確認、計量、記錄和報告如實地反映企業生產經營活動的實際,并及時發現和糾正各種錯弊,從而保證會計信息的真實性和正確性。使企業提供的會計信息能夠如實、及時地反映企業財務狀況、經營成果和現金流量。正確可靠的會計信息也是企業管理者了解過去、控制目前、預測未來、改進和完善內部控制制度的必要依據。
其四,有效防范企業經營風險。我國目前大部分企業風險意識不強,只憑管理者的感覺盲目決策,造成大量的失敗教訓。在企業的生產經營活動中,企業要達到生存發展的目標,就必須對各類風險進行有效的預防和控制,內部控制作為企業管理的中樞環節,是防范企業風險最為行之有效的一種手段。它通過對企業風險的有效評估,不斷加強對企業經營風險薄弱環節的控制,把企業的各種風險消滅在萌芽之中,是企業風險防范的一種最佳方法。
并不完美的現狀
對內部控制制度建立和實施的重要性認識不足;公司法人治理結構不完善;企業內部控制和監督不力;風險評估不足、風險意識薄弱等是我國企業內部控制存在的主要問題。
■鄭德倫
目前,我國理論界和實務界對內部控制的認識還沒有形成很一致的意見。許多學者和企業對內部控制的認識還停留在內部牽制和內部控制階段,還有很多人認為內部控制就是內部監督,而企業大多把內部控制看作是一堆堆的手冊、各種文件和制度,也有的企業把內部成本控制、內部資產安全控制等視為內部控制。
目前我國企業的內部控制主要存在以下問題:
第一,對內部控制制度建立和實施的重要性認識不足。
我國內部控制制度的建立起步較晚,企業過去又長期處在計劃經濟中,導致對內部控制制度的建立和實施的重要性認識不足,部分單位經營者不愿建立和完善內部控制制度,或者自己不能認真遵守并監督全體員工遵守內部控制制度,而熱衷于通過隨意性強的行政命令來管理企業。即便是制定了一些相關制度,大多也停留在表面,這是目前部分企業管理水平不高,效益低下的原因之一。
第二,公司法人治理結構不完善。
我國企業目前存在“一股獨大”現象,股東大會、監事會作用有限,甚至形同虛設,嚴重影響互相監督、制約的體制。內部人控制的現象沒有得到根本的轉變。
目前,大部分企業在形式上都建立了股東會、董事會和監事會三位一體的治理架構,但很難說這種治理結構充分發揮了其應該發揮的作用。股東“只問收獲不問稼穡”的現象比較常見,股東不僅未成為商業銀行經營的內控壓力,反倒可能是商業銀行追逐短期利益的助跑員。而行政力量在我國商業銀行中的影響,則進一步消解了股東及股東會的作用,進而導致獨董不獨、董事“不懂事”、監事不能發揮監督作用等治理問題。治理結構的局限使商業銀行缺乏由切身利益主體貫徹下去的內控意愿,內控建設缺乏強勁的推動力和監督力。
第三,企業內部控制和監督不力。
目前相當一部分企業對建立內部監督不夠重視,內部監督體系殘缺不全、有關內容不夠合理或流于形式,失去了應有的剛性和嚴肅性。很多企業的內部審計并沒能真正履行其應有的職能。
其表現一是,現行的內部審計主要是在行政干預基礎上發展起來的,帶有很濃厚的行政命令色彩,而這種過多依靠行政干預建立起來的內部審計機構很難受到企業重視。
二是,目前對內審部門獨立性不夠,只是服務于企業負責人。這就造成內部審計既不能監督上司,也不能監督同級,基于以上內部審計無法在地位上實現超然獨立,其工作范圍大大受限,也很難贏得威信。
三是,重審計監督,輕服務建設。在實際中內部審計部門往往忽視了防錯防弊這一職能,過分強調查錯糾弊,阻礙了內部審計發揮作用。
第四,風險評估不足、風險意識薄弱。
企業的經營活動無不與環境變化和生存風險相聯系。在諸多風險中,大多數企業最主要的風險是營運風險。但不管是什么風險,企業都應該建立可以辨認、分析和管理風險的機制,并確認高風險領域,以加強管理,但我國企業缺乏的就是這種機制,往往出現盲目擴張等風險。
風險管理的入口
單純依賴會計控制已難以應對企業的市場風險,會計控制必須向風險控制發展。我國企業要加強風險管理,首先從內部控制入手,而通過立法的形式加以強化,將推動我國企業的內部控制體系的建設。
■姚剛
內部控制作為公司治理的關鍵環節和經營管理的重要舉措,在企業發展壯大中具有舉足輕重的作用。隨著市場經濟的發展和企業環境的變化,單純依賴會計控制已難以應對企業的市場風險,會計控制必須向風險控制發展。我國企業要加強風險管理,首先從內部控制入手,而通過立法的形式加以強化,將推動我國企業的內部控制體系的建設。我國企業在內部控制建設中應該注意處理好如下幾個問題:
第一,處理好現有管理制度和新的內控體系之間的關系。內控體系是從風險管理的角度對現有的企業管理體系進行梳理和完善,因此,上市公司內控體系建設不是全盤否定現有的管理制度,更多的是按照風險管理的思路,補充和完善現有的管理體系,使其更加體系化。
第二,內部控制僅僅是財務部門的事情,與其他部門無關?這是一個比較普遍的誤區。由于企業的所有業務操作最終都會在財務信息中體現,所以財務部門是內控的核心部門,但這并不表示內控僅僅是財務部門的事情,與其他部門無關。從COSO框架以及我國已經發布的內控標準或指引中關于內控的定義我們可以看出,內控是公司董事會、管理層和全體員工共同參與的一項活動,每一個人都對內部控制負有責任并受到內部控制的影響。從內控涉及的業務層面看,內控涉及到公司各業務環節層面。由此可以看出,內控建設需要企業的全員參與,是全體員工的共同責任,而不僅僅是財務部門的事情。
第三,內部控制要控制到多細,是不是越具體越好?有人主張內部控制應該事無巨細,都一一在內控管理文件中進行規范,導致了內控制度出現繁瑣、形式化的傾向。這違背了內控建設提高經營的效果和效率目標的要求,沒有結合企業的實際經營管理需要,也不符合可操作性、成本效益原則。我們認為:在內控的建設過程中,設計者應該對企業進行深入全面的了解,在原有企業經營管理的基礎上優化業務流程、控制風險,重點對重要業務流程和重要風險進行控制,區分企業風險順序和重要程度進行設計,不能脫離企業的實際,搞成繁文縟節。
第四,如何利用外部智慧?有人主張全部交由外部機構操辦,這樣簡單、高效、可以解決自身不好解決的問題,相對成本也低;也有的人主張全部由內部人員設計,這樣熟悉情況、自己設計的自己執行也好。其實,這些優點都是作為建設內部控制的企業所希望達到的,方法就是:建立外部專家和企業內部專家結合的聯合工作團隊。企業作為內部控制的主體,充分了解自身的實際情況和目標,這為內部控制建設提供一個合理、可行、有效的基礎。而中介機構作為參與企業內部控制建設外部人員,可以充分發揮其專業經驗和作為內部控制評估機構的優勢,可以保證內部控制建設的專業標準。因此建立外部專家和企業內部專家共同工作的聯合團隊是建設有效的內部控制的必經之路。
