安然、世通、德隆、中航油一系列發生在國內外公司的破產案,屢屢把人們的目光吸引到企業內部控制上來。從根本上看,導致他們失敗的主要因素是公司內部控制的失敗,它們都沒有建立起一套合理有效的內部控制標準。而企業加強以財務報告內部控制為主線的相關標準建設,細化各項標準設計的控制點和控制環節,則可以較好地建立內部控制體系,構筑企業安全的防火墻。
內控建設需要制度標準
內部控制是一種他律性行為,從某種意義上講,是由控制者對被控制者行為的制約過程。因此,內部控制是由人實施的,控制的對象也表現為對人的行為的控制。也就是說,內部控制的主體是人;同時,人也構成了內部控制的客體;即內部控制主要是發生在人與人之間的關系活動。按照美國制度經濟學代表人物康芒斯的理解,人與人之間的關系通常表現為一種經濟利益關系,而經濟利益關系的本質則是一種交易。因此,準確地說,內部控制 的性質是一種交易活動,這種交易行為主要發生在具有長期契約關系的上下級之間。所以,內部控制屬于康芒斯所界定的第二類交易,即管理的交易。
可以說,內部控制的本質是企業契約主體為了維護委托產權的安全性,提高產權交易的效率,實現產權價值在保值基礎上的增值最大化目標,通過對權利的配置或安排而對產權價值運動過程和結果提供合理保證的過程。另一方面,從產權的角度來講,制度可以理解為人們之間產權交易過程中所遵循的一套行為規范或交易規則。
內部控制本質上屬于交易活動的范疇,因此,屬于交易活動的內部控制也需要一種交易規則,即內部控制制度或是內部控制標準。合理的內部控制制度能夠有效地降低內部控制成本,提高企業契約主體的產權交易效率,維護內部控制活動的有序、健康運行。
內控標準體系比較
很多國家都有自己的內部控制標準體系,目前得到各界普遍認可的有COSO(美國全國虛假財務報告委員會下屬的發起人委員會)報告 和ISO9000:2000中有關內部控制的論述。內部控制標準的建設是一個漸進的過程,在這個過程中需要相互學習與借鑒。因此,通過對相關標準的比較,取長補短,可以為企業構筑起更加堅實的安全防火墻。
美國、英國、加拿大等幾個具有代表性的國家,它們的內部控制普遍接受了COSO框架提出的內部控制含義、目標及要素,且強制要求披露內部控制相關信息。薩班斯法案與ISO9001:2000的各項條款在許多章節上有對應關系,或者在法律精神上有類似的應用。ISO9001:2000幾乎對主要的財務報告內部控制內容都實施了控制。COSO框架的五個組成部分與ISO9001:2000、薩班斯法案類似,而企業風險管理是內部控制的發展方向。
我們可以看出,ISO9000:2000與COSO整體框架是從不同的角度落實對企業管理活動,包括生產、銷售等管理指令實現、制度執行過程的控制和監督。它們都強調過程方法,提倡持續改進,并通過持續改進形成一個閉環,以提高管理的效率。它們還都突出了最高管理者的作用,要求最高管理者身體力行。它們都是全員參與的管理活動的一部分,都是從總體到局部、從流程到關鍵點實施全面的、全過程的控制與監督,其作用都有一定的局限性(“幫助企業”或“合理保證”)。但ISO9000:2000立足于顧客滿意,偏重于產品的實現過程,因此它對企業的硬件設施(如資源提供、基礎工程)有較高的要求。ISO9000:2000只是一個流程圖,反映流程關系,不是以控制風險為目標去實現應該達到的控制活動。而COSO整體框架則重視為企業的“經營效果及效率、財務報表的可靠性、遵循相關法律法規”整體控制目標提供“合理的保證”,它在注重控制活動、監督、風險評估的同時,更重視控制環境、信息與溝通的作用。
近年來,我國的內部控制規范進行了一系列的改革,正在努力探索有中國特色、適應國際慣例的方式方法。但是,內部控制標準建設是一個系統工程。我們要充分認識到內部控制標準建設對企業安全的重要性,根據內部控制的歷史演變及其最新的研究成果及未來的發展趨勢,適當借鑒歐美發達國家的有益經驗,并結合我國的實際情況,不斷建立健全我國的內部控制規范,建立科學合理有效的內部控制體系,增加企業的安全性。
