关注我国企业内部控制
“公司的失败都是由内部控制的失败引起的。”这一断言也许略显绝对,但事实表明,企业经营失败和财务信息失实等情况在很大程度上都可归结为企业内部控制制度的缺陷或失效。
根据美国《内部审计》杂发表志的一份调查报告,自1986年2月起至1990年11月止已发现的114例欺诈案件,多数与虚假会计信息及内部控制不健全有关。另外,根据KPMG对美国3000家大中型公司的调查,舞弊有52%是通过内部控制发现的,有47%是通过内部审计检查发现的。可见,内部控制对于防止财务报告舞弊意义重大。不仅如此,建立并有效执行企业内部控制制度,对于保证会计信息质量,保护企业资产的安全完整,增强企业风险防御能力,保护投资者合法权益,进而促进资本市场有效运行,有着非常重要的意义。
基于此,在注册会计师行业领军人才第四期培训班举办期间,北京国家会计学院专门组织全体学员就我国内部控制建设与发展这一专题进行深入研讨。——编者
内控不是制度汇编
内部控制作为一种管理方法或管理工具的形式,是提高企业核心竞争力的重要手段。但企业发展的市场、供应商、客户以及竞争对手等要靠外部控制,良好的内部控制能提供把握外部机会的能力。
■李宗义
所谓内部控制,是在内部牵制的基础上,由企业管理人员在经营管理实践中创造、并经审计人员理论总结而逐步完善的自我监督和自行调整体系。内部控制理论的发展大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同阶段。
内部牵制理念以账目间的相互核对为主要内容并实施岗位分离,这在早期被认为是确保所有账目正确无误的一种理想方法。
内部控制制度理念认为内部控制应分为内部会计控制和内部管理控制(或称内部业务控制)两部分,前者在于报告企业资产、检查会计数据的准确性和可靠性;后者在于提高经营效率、促使有关人员遵守既定的管理方针。
20世纪80年代提出了内部控制结构的理念。认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”,并且明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面。
20世纪90年代,美国又提出了内部控制整体框架的理念,并将各种对内部控制的认识串联起来。1992年,财务报告委员会附属的内部控制专门研究委员会发起机构委员会(简称COSO委员会)发布报告《内部控制———整体框架》,也称COSO报告。不久美国注册会计师协会全面接受了COSO报告的内容,
COSO报告定义内部控制是由企业董事会、经理阶层和其他员工制定和实施的,为达到经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等三个目标而提供合理保证的过程。它认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监控五大要素构成。这“三个目标”和“五大要素”各自含有丰富的内容,又相辅相成,共同构成了COSO报告内部控制的整体框架说,统一了人们对内部控制的认识,并为评价内部控制系统提供了一套完整的评价标准。
我国在进行内部控制建设时必须要明确两个问题:
其一,内部控制不是简单的制度汇编,搞内部控制建设也就不是编内控制度,更不是照搬别人现存的制度。别人成功的制度,不能根本上解决自身的问题,原因在于每一个企业的内在机制和环境不同,所以照搬制度只能解决形式上的问题。
其二,内部控制也不能包治百病。内部控制作为一种管理方法或管理工具的形式,它的目标从保证资产的安全、完整,过度到保证财务报告的可靠性、法律法规的遵循性,再到提高企业经营的效率和效果,这是提高企业核心竞争力的重要手段;当然,企业发展还有很多外在的因素,如市场、供应商、客户以及竞争对手等,这些要靠外部控制,所以也不是“一控就灵”,但良好的内部控制能增进把握外部机会的能力。
内控建设的四要素
没有相应胜任能力的人员通常无法正确行使赋予其的控制职能,从而影响内部控制功能的正常发挥。因此,企业内部人员的素质评估和岗位匹配也是内控设计必经的程序之一。
■潘晓姿
我从具体实施的环节谈谈我的建议。企业在建设内部控制的过程中,应该做到:
第一,内控设计应以控制流程(业务循环)为单位,而不是以部门为单位。一个控制流程往往涉及多个部门,若以部门为内部控制单位,容易人为割裂各个控制环节,影响各个部门在整个控制流程上的协同发挥,则很可能使得整个流程出现纰漏或失控。
第二,详细设计时要先确定控制目标,通过识别和分析控制风险(任何可能影响企业实现某一目标的事项)确定控制点,再根据实际情况选择控制措施。风险识别和分析是连结控制目标和控制点及控制措施的纽带。没有风险评判过程,将使控制点的确定和控制措施的选择陷入盲目或武断。
第三,内控设计时应考虑企业内部行使控制职能的人员素质与岗位相适应。无相应胜任能力的人员通常无法正确行使赋予其的控制职能,从而影响内部控制功能的正常发挥。因此,企业内部人员的素质评估和岗位匹配也是内控设计必经的程序之一。
第四,在确定控制点和选择具体控制措施时,应注意保持控制环节之间的相互牵制。一项完整的经济业务活动,必须经过具有互相制约关系的两个或两个以上的控制环节方能完成。横向至少由彼此独立的两个部门或人员办理以使该部门或人员的工作受另一个部门或人员的监督;纵向至少经过互不隶属的两个或两个以上的岗位或环节。另外业务流程中的各岗位和环节应协调同步,避免只管牵制错弊而不顾工作效率的机械设计,做到既相互牵制,又相互协调,从而在保证质量及提高效率的前提下完成经营目标。
采他山之石得十个结论
内部控制是对企业的整个经营管理活动进行监督与控制的过程。企业的经营活动是永不停止的,企业的内部控制过程也不会停止。内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复过程。
■葛徐
认真研究国际先进经验是搞好我国内控建设的一个重要手段,根据COSO委员会发布的《内部控制-整体框架》报告以及此后对该报告的修订,我们可以得出十个有价值的观点及结论:
明确内部控制的“团队责任”。COSO报告认为,内部控制的制定与实施,不仅仅是管理人员、内部审计或董事会,组织中的每一个人都对内部控制负有责任。贯彻这种思想有利于将企业的全体员工捆绑在一起,促使其主动维护及改善企业的内部控制,而不是和管理阶层对立,被动地执行内部控制。
强调内部控制与企业经营管理过程相结合。COSO报告认为,经营过程是指通过规划、执行及监督等基本的管理流程对企业加以管理。这个过程由组织的某一个单位或部门进行,或由若干个单位或部门共同进行。内部控制是企业经营过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上。它使经营达到预期效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不取代管理。
强调内部控制是一个“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程。企业的经营活动是永不停止的,企业的内部控制过程也不会停止。企业内部控制是一项制度或一个机械的规定,企业经营管理环境的变化必然要求企业内部控制越来越趋于完善。内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复过程。
强调“人”的重要性。COSO报告特别强调,内部控制受企业的董事会、管理阶层及其他员工影响,透过企业内人的行为及语言而完成。只有人才可能制定企业目标,并设置控制机制。反过来,内部控制也影响着人的行为。
强调“软控制”的作用。相对于以前关于内部控制的研究结果,COSO报告更强调“软控制”,主要指属于精神层面的管理要素,包括高层管理人员的管理风格、管理哲学、企业文化、内部控制意识等。
强调风险意识。现代社会充满激烈竞争,每一个企业都面临着成功的挑战和失败的风险,风险管理是现代企业的主旋律之一。风险影响着每个企业生存和发展,也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出,所有企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遭遇风险。管理阶层需密切注意各层级的风险,并采取必要的管理措施。
融合了管理与控制的边界。COSO报告认为,控制已不再是管理的一部分,管理和控制的职能与界限已经模糊。
强调内部控制的分类及目标。COSO报告单独对内部控制的目标进行了分解和阐释。目标的设定是管理过程的一个重要部分,虽然它不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。制定目标的过程不是控制活动,但其对内部控制的意义重大,直接影响到内部控制是否有存在的必要。COSO报告将内部控制目标分为三类:与运营有关的目标、与财务报告有关的目标以及与合规性有关的目标。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面。
明确指出内部控制只能做到“合理”保证。COSO报告认为:不论设计及执行有多么完善,内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。而目标达成的可能性,受内部控制的先天条件所限制。
成本与效益原则。COSO报告认为,内部控制要建立在成本与效益原则的基础上。内部控制并不是要消除任何滥用职权的可能性,而是要达到一种为防范滥用职权而实施控制的投入与滥用职权的危害成本之间平衡的机制。
以上这些内控建设的理念、原则、方法对我国内控建设同样具有重要的借鉴意义。
内控的显著作用
建立完善内部控制制度,也是中国企业进入国际资本市场的前提。截至2007年3月,中国境外上市公司共有747家。我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度,以适应上市地的监管要求。
■王俊英
2006年7月财政部联合相关部门成立了企业内部控制标准委员会,着手建设中国企业内部控制标准体系。同时,证监会、国资委、上交所、深交所、银监会、保监会等单位也纷纷着手内部控制标准的制定及研究工作。之所以我国企业内部控制建设被置于一个空前的高度,根本原因在于它在现代经济生活中发挥着多方面的重要作用:
其一,进入国际资本市场融资的前提。建立完善内部控制制度,也是中国企业进入国际资本市场的前提。以萨班斯法案为代表,许多国家开始通过立法强化企业内部控制,内部控制日益成为企业进入资本市场的“入门证”和“通行证”。改革开放以来,随着经济发展水平及实力逐步增强,越来越多的中国企业进入世界资本市场。截至2007年3月,中国境外上市公司共有747家。我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度,以适应上市地的监管要求。
其二,促进企业的有效经营。健全有效的内部控制,可以利用会计、统计、业务等各部门的制度规划及有关报告,把企业的生产、营销、财务等各部门及其工作结合在一起,各部门密切配合,充分发挥整体作用,以顺利达到企业的经营目标。同时,严密的监督与考核,能真实反映工作实绩,再配合合理的奖惩制度,便能激发员工的工作热情及潜能,从而促进整个企业经营效率的提高。
其三,保证会计信息的真实性和准确性。内部控制的目标要求经济信息和财务报告的可靠性。有效健全的内部控制制度可以保证会计信息的确认、计量、记录和报告如实地反映企业生产经营活动的实际,并及时发现和纠正各种错弊,从而保证会计信息的真实性和正确性。使企业提供的会计信息能够如实、及时地反映企业财务状况、经营成果和现金流量。正确可靠的会计信息也是企业管理者了解过去、控制目前、预测未来、改进和完善内部控制制度的必要依据。
其四,有效防范企业经营风险。我国目前大部分企业风险意识不强,只凭管理者的感觉盲目决策,造成大量的失败教训。在企业的生产经营活动中,企业要达到生存发展的目标,就必须对各类风险进行有效的预防和控制,内部控制作为企业管理的中枢环节,是防范企业风险最为行之有效的一种手段。它通过对企业风险的有效评估,不断加强对企业经营风险薄弱环节的控制,把企业的各种风险消灭在萌芽之中,是企业风险防范的一种最佳方法。
并不完美的现状
对内部控制制度建立和实施的重要性认识不足;公司法人治理结构不完善;企业内部控制和监督不力;风险评估不足、风险意识薄弱等是我国企业内部控制存在的主要问题。
■郑德伦
目前,我国理论界和实务界对内部控制的认识还没有形成很一致的意见。许多学者和企业对内部控制的认识还停留在内部牵制和内部控制阶段,还有很多人认为内部控制就是内部监督,而企业大多把内部控制看作是一堆堆的手册、各种文件和制度,也有的企业把内部成本控制、内部资产安全控制等视为内部控制。
目前我国企业的内部控制主要存在以下问题:
第一,对内部控制制度建立和实施的重要性认识不足。
我国内部控制制度的建立起步较晚,企业过去又长期处在计划经济中,导致对内部控制制度的建立和实施的重要性认识不足,部分单位经营者不愿建立和完善内部控制制度,或者自己不能认真遵守并监督全体员工遵守内部控制制度,而热衷于通过随意性强的行政命令来管理企业。即便是制定了一些相关制度,大多也停留在表面,这是目前部分企业管理水平不高,效益低下的原因之一。
第二,公司法人治理结构不完善。
我国企业目前存在“一股独大”现象,股东大会、监事会作用有限,甚至形同虚设,严重影响互相监督、制约的体制。内部人控制的现象没有得到根本的转变。
目前,大部分企业在形式上都建立了股东会、董事会和监事会三位一体的治理架构,但很难说这种治理结构充分发挥了其应该发挥的作用。股东“只问收获不问稼穑”的现象比较常见,股东不仅未成为商业银行经营的内控压力,反倒可能是商业银行追逐短期利益的助跑员。而行政力量在我国商业银行中的影响,则进一步消解了股东及股东会的作用,进而导致独董不独、董事“不懂事”、监事不能发挥监督作用等治理问题。治理结构的局限使商业银行缺乏由切身利益主体贯彻下去的内控意愿,内控建设缺乏强劲的推动力和监督力。
第三,企业内部控制和监督不力。
目前相当一部分企业对建立内部监督不够重视,内部监督体系残缺不全、有关内容不够合理或流于形式,失去了应有的刚性和严肃性。很多企业的内部审计并没能真正履行其应有的职能。
其表现一是,现行的内部审计主要是在行政干预基础上发展起来的,带有很浓厚的行政命令色彩,而这种过多依靠行政干预建立起来的内部审计机构很难受到企业重视。
二是,目前对内审部门独立性不够,只是服务于企业负责人。这就造成内部审计既不能监督上司,也不能监督同级,基于以上内部审计无法在地位上实现超然独立,其工作范围大大受限,也很难赢得威信。
三是,重审计监督,轻服务建设。在实际中内部审计部门往往忽视了防错防弊这一职能,过分强调查错纠弊,阻碍了内部审计发挥作用。
第四,风险评估不足、风险意识薄弱。
企业的经营活动无不与环境变化和生存风险相联系。在诸多风险中,大多数企业最主要的风险是营运风险。但不管是什么风险,企业都应该建立可以辨认、分析和管理风险的机制,并确认高风险领域,以加强管理,但我国企业缺乏的就是这种机制,往往出现盲目扩张等风险。
风险管理的入口
单纯依赖会计控制已难以应对企业的市场风险,会计控制必须向风险控制发展。我国企业要加强风险管理,首先从内部控制入手,而通过立法的形式加以强化,将推动我国企业的内部控制体系的建设。
■姚刚
内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。随着市场经济的发展和企业环境的变化,单纯依赖会计控制已难以应对企业的市场风险,会计控制必须向风险控制发展。我国企业要加强风险管理,首先从内部控制入手,而通过立法的形式加以强化,将推动我国企业的内部控制体系的建设。我国企业在内部控制建设中应该注意处理好如下几个问题:
第一,处理好现有管理制度和新的内控体系之间的关系。内控体系是从风险管理的角度对现有的企业管理体系进行梳理和完善,因此,上市公司内控体系建设不是全盘否定现有的管理制度,更多的是按照风险管理的思路,补充和完善现有的管理体系,使其更加体系化。
第二,内部控制仅仅是财务部门的事情,与其他部门无关?这是一个比较普遍的误区。由于企业的所有业务操作最终都会在财务信息中体现,所以财务部门是内控的核心部门,但这并不表示内控仅仅是财务部门的事情,与其他部门无关。从COSO框架以及我国已经发布的内控标准或指引中关于内控的定义我们可以看出,内控是公司董事会、管理层和全体员工共同参与的一项活动,每一个人都对内部控制负有责任并受到内部控制的影响。从内控涉及的业务层面看,内控涉及到公司各业务环节层面。由此可以看出,内控建设需要企业的全员参与,是全体员工的共同责任,而不仅仅是财务部门的事情。
第三,内部控制要控制到多细,是不是越具体越好?有人主张内部控制应该事无巨细,都一一在内控管理文件中进行规范,导致了内控制度出现繁琐、形式化的倾向。这违背了内控建设提高经营的效果和效率目标的要求,没有结合企业的实际经营管理需要,也不符合可操作性、成本效益原则。我们认为:在内控的建设过程中,设计者应该对企业进行深入全面的了解,在原有企业经营管理的基础上优化业务流程、控制风险,重点对重要业务流程和重要风险进行控制,区分企业风险顺序和重要程度进行设计,不能脱离企业的实际,搞成繁文缛节。
第四,如何利用外部智慧?有人主张全部交由外部机构操办,这样简单、高效、可以解决自身不好解决的问题,相对成本也低;也有的人主张全部由内部人员设计,这样熟悉情况、自己设计的自己执行也好。其实,这些优点都是作为建设内部控制的企业所希望达到的,方法就是:建立外部专家和企业内部专家结合的联合工作团队。企业作为内部控制的主体,充分了解自身的实际情况和目标,这为内部控制建设提供一个合理、可行、有效的基础。而中介机构作为参与企业内部控制建设外部人员,可以充分发挥其专业经验和作为内部控制评估机构的优势,可以保证内部控制建设的专业标准。因此建立外部专家和企业内部专家共同工作的联合团队是建设有效的内部控制的必经之路。
