时间:2023-06-06 09:30:02
(一)传统理论对内部控制目标认识的局限性
内部控制目标,是决定内部控制运行方式和方向的关键,也是认识内部控制基本理论的出发点。从内部控制理论的沿革过程来看,内部控制概念大体经过了内部会计控制、内部控制、内部控制结构和内部控制成分等几个主要阶段。纵览这些理论,可将内部控制目标的要义归纳如下:
1、经济、高效地实现组织的目标;
2、按管理当局一般的或特殊的授权进行业务活动;
3、保障资产的安全与信息的完整性;
4、防止和发现舞弊与错误;
5、保证财务报告的质量并及时提供可靠的财务信息。
尽管传统理论关于内部控制目标的这些认识几乎体现了内部控制的所有动机,但随着组织外部环境的不断变迁和组织管理水平的精益求精,人们对内部控制目标的已有认识显然存在着一定的不足和局限性。主要表现在:
1、会计中关于资产的概念排斥了一些重要的经济资源,如人力资源及其信息。要达到组织的目标,必然要对这类资源加以保护,并进行合理的开发利用,否则,人的能力和知识也会被破坏或流失到其他组织中去。同时,信息也有可能被偷窃、滥用和收买,因此,只注重信息的完整性而忽视其安全性同样是片面的。
2、传统理论强调会计信息的准确性和可靠性,但因为会计信息系统也应收集许多非财务信息,所以内部控制需要保证所有与决策相关的数据和信息都是准确和可靠的。
3、传统理论只强调了经营效率,忽视了作为衡量一个组织业绩的经济性和有效性的重要性。效率是对投入与产出关系的计量(有效的经营在生产过程中以最低的消耗生产产品),经济性衡量投入的成本(经济的经营以低成本生产出质量合格的产品),有效性涉及到与目标相应的实际结果。
4、传统理论隐含地强调了内部控制的消极作用,即只强调用以阻止和防范不必要行为的特定政策和程序,而忽视了内部控制既“防止”又“激励”的双重功能。“控制”并非简单而机械的“限制”,要确保内部控制的效果,内部控制一定是一个组织激励员工实现组织目标的有效机制。
上述这些认识的偏差和局限性,是导致内部控制在组织中实施效果不佳的重要原因。因此,进一步拓展内部控制的内涵,重新认识和界定内部控制目标就显得尤为重要。
(二)内部控制目标的重新界定
从内部控制理论的发展过程来看,现代组织中的内部控制目标已不是传统意义上的查错和纠弊,而是涉及到组织管理的方方面面,呈现出多元化、纵深化的趋势。
1、确保组织目标的有效实现。任何组织都有其特定的目标,要有效实现组织的目标,就必须及时对那些构成组织的资源(财产、人力、知识、信息等)进行合理的组织、整合与利用,这就意味着这些资源要处于控制之下或在一定的控制之中运营。如果一个组织未能实现其目标,那么该组织在从事自身活动时,一定是忽视了资源的整合作用,忽视了经济性和效率性的重要性。一家医院有优秀的医生、能干的工作人员和先进的设备,但如果这些条件没有充分用于医疗,这家医院是没有效率的。例如,如果病人因为医院不良的饮食而不能使患者痊愈,这家医院就没有实现其目标。因为内部控制系统的目标就是直接促进组织目标的实现。所以,所有的组织活动和控制行为必须以促进实现组织的最高目标为依据。
2、服从政策、程序、规则和法律法规。为了协调组织的资源和行为以实现组织的目标,管理者将制定政策、计划和程序,并以此来监督运行并适时做出必要的调整。另一方面,组织还必须服从由社会通过政府制定的法律法规、职业道德规则以及利益集团之间的竞争因素等所施加的外部控制。内部控制如果不能充分考虑这些外部限制因素,就会威胁组织的生存。因此,内部控制系统必须保证遵循各项相关的法律法规和规则。
3、经济且有效地利用组织资源。因为所有的组织都是在一个资源有限的环境中运作,一个组织实现其目标的能力取决于能否充分地利用现有的资源,制定和设计内部控制必须根据能否保证以最低廉的成本取得高质量的资源(经济性)和防止不必要的多余的工作和浪费(效率)。例如,一个组织能够经济地取得人力资源,但可能因缺乏必要的训练和不合适的生产计划而使得工作效率很低。管理者必须建立政策和程序来提高运作的经济性和效率,并建立运作标准来对行动进行监督。
4、确保信息的质量。除了建立组织的目标并沟通政策、计划和方法外,管理者还需利用相关、可靠和及时的信息来控制组织的行为。事实上,控制和信息是密不可分的,决策导向的信息受制于内部控制,没有完备的内部控制便不能保证信息的质量。也就是说,管理者需要利用信息来监督和控制组织行为,同时,决策信息系统特别是会计信息系统也依赖于内部控制系统来确保提供相关、可靠和及时的信息。否则,管理者的决策就有可能给组织造成不可弥补的损失。因此,内部控制系统必须与确保数据收集、处理和报告的正确性的控制相联系。
5、有效保护组织的资源。资源的稀缺性客观上要求组织通过有效的内部控制系统确保其安全和完整。如果资源不可靠、损坏或丢失,组织实现其目标的能力就会受到影响。保护各种有形与无形的资源,一是确保这些资源不被损害和流失,二是要求确保对资产的合理使用和必要的维护。
在现代社会,信息作为一种特殊的资源,其遗失、损坏和失窃也会影响组织的竞争力和运作能力。因此,一个组织的数据库必须防止非授权的接触和使用。
人力资源是组织获得竞争力的根本性财富,高素质的员工队伍是一个组织行动能力的“放大器”。一个组织的员工队伍代表了组织在培训、技能和知识上的大量投资,其作用是难以替代的。因此,工作环境,尤其是内部控制环境不仅要有助于他们的身心健康,而且要培养其对组织的忠诚。
(三)内部控制目标的实现途径
影响内部控制目标实现的制约因素错综复杂。但通过系统研究和归纳,我们可得出有效实现内部控制目标的途径。
1、适应外部控制环境,改善内部控制环境。控制环境包括组织的外部环境和内部环境,为实现组织的最高目标,内部控制必须谨慎设计以适应环境。
就外部控制环境而言,正如前面所讨论的,组织必须服从于社会通过法律和法规、职业道德规则、不同利益集团之间的竞争等表现出的一系列要求,尽管管理者不能轻易地对外部环境施加影响,但为使内部控制能有效运行,管理者一定要建立一个内部控制系统来确认和满足组织的外部环境要求。例如,顾客的需求便是一个越来越重要的外部要求。人们正在寻求通过管理技术如全面质量管理不断改善整个运行过程这一原理,明确要求内部控制要包括严格的质量保证和监督方法,以满足组织外部要求。
组织的内部控制环境是指那些可由管理者自身主观努力而设计和决定的影响因素。如组织形式、组织结构、组织形象、员工行为、资源规模与结构等,这众多的因素又影响和决定着组织的组织文化。组织文化涉及员工对组织运行方式的集体感受,对组织如何处事的共识。因为组织文化既反映又影响员工的态度与行为,如果组织文化是有益的,那么控制一定要有利于这种文化。在一个组织中,如果其文化氛围是官僚和墨守成规的,员工就倾向于遵从“本本主义”的行为方式;相反,在以顾客为导向的文化中,“什么事都有可能发生”便会盛行。以顾客需求定位的组织文化鼓励创造和革新,而前者对此是否定的。由于建立科学的内部控制目标与方法对培养主动性和革新文化又不失机械的限制,所以,组织文化对内部控制具有重要意义。
2、员工的积极性是决定内部控制运行的行为因素。了解控制对人的行为的影响,对内部控制的有效运行至关重要。为实现控制目标,我们必须认识到人们的正常需求,并尽可能减少不正常的行为发生。具体而言,就是在充分重视和尊重员工在内部控制中的作用的同时,强调员工的积极性。
与早期的等级结构相比,现代组织更富有弹性,并鼓励员工更多地参与管理。即使在最简单的组织中,相互作用的组织结构也要求有共同的目标和指导,以通过战略、战术决策和操作控制过程来实现这些目标。尽管控制的目的是调节组织行为以实现组织目标,但这不只是简单地减少那些阻碍实现目标的行为。为了防止和解决问题,内部控制系统一定要激励那些对实现组织目标有积极作用的行为。因为内部控制本来就具备“激励那些对实现组织目标有积极作用的活动;防止那些威胁组织目标实现的行为”的双重功能。
尽管“控制”一词通常与限制行动联系在一起,但是,如果要保持竞争力,现代组织一定不能僵死和缺乏弹性。面对放松管制、不断增长的竞争,生机勃勃的金融市场,飞速发展的技术创新及流动的、充满希望的劳动力,现代组织需要比以往更加敏锐和富有活力。尽管政策和程序是维持可靠的系统和保证前后一致的行动所必须的,但如果这些程序和制度过于压抑和拘束人,一旦出现问题,员工便无力解决。因此,组织应当努力培育一种奖励职员、鼓励创新、正直可靠的控制环境。
当然,控制也会因员工的不理解、马虎、疲劳而丧失效率,同时,控制也可能因员工的不理解或不认同而产生敌意并采取消极的态度,这些不测事件和行为都会对组织目标构成威胁。所以,一个健康的内部控制系统应当既能推动对实现组织目标有贡献的积极行为,同时也能防止危害行为和事件的发生。
3、控制成本是衡量控制效益的关键因素。控制只有在经济上可行或处于有关健康、安全等类似的“至高无上”的观念的考虑才能得以实施。任何控制行为均会产生成本,控制成本包括控制自身的有形成本、由于实施控制而造成的机会和时间的丧失以及员工对控制的反感和不满所造成的损失等。在内部控制的设计和运行中,一定要将这些成本与不实施控制而产生的不测事件、错误、低效率和舞弊使组织受到损失的风险联系在一起进行权衡。一般来说,潜在的损失是单一事件的价值、事件发生次数及事件所造成风险的函数。潜在损失将明显随着其价值或在组织中的重要性而增加;一种似乎是微不足道的错误或低效率会因为频繁出现而变得严重;某些资产(如现金)的性质使其较其他资产更容易受舞弊、滥用和破坏的损害。
对一个组织而言,需要清楚地判断潜在损失的风险,并予以量化,以便设计和实施成本效益控制程序。以控制为目的的风险评价,直接集中于风险的性质和可靠性,以及采用相应控制的可行性和成本。风险评价可以采用结构风险分析模式评价组织的整体风险或某项业务的单独风险。
遵循成本效益原则的另一个重要方面,就是将内部控制不留痕迹地融入组织管理的每个方面。我们应尽力避免将内部控制视为一种独立的、辅助的部分。其理由是将控制融入组织的整个管理体系之中,能明显地降低控制成本,并产生良好的控制效益。
(四)内部控制运行的威胁因素
内部控制的威胁因素是指那些普遍存在的妨碍内部控制目标实现的消极现象。即使一个设计科学的内部控制系统,也可能因忽视内部控制运行的威胁因素而使其难以发挥作用。因此,我们必须充分认识并正视这些威胁因素。
1、管理者不够正直。内部控制主要是为了使诚实人能保持诚实,并不能有效防范管理者的道德风险。在一个组织中,管理层(又称白领阶层)如果不能很好地遵守道德规范将会严重干扰控制系统的有效运行。
2、合谋。对不相容的岗位和职务,即使采取职责分开的控制手段,如果员工们企图共串通和欺诈的话,控制所防范的风险和不测事件仍会发生。
3、利益冲突。对组织而言,利益冲突,特别是高级管理人员与组织利益的冲突,会对控制系统构成显著的威胁。
一、内部控制目标概述
COSO委员会颁布的内部控制框架堪称内部控制的典范,加拿大、英国等国的内部控制指南均以其为标杆。COSO内部控制框架提出了三个目标:第一是经营的效率和效果,即企业经营的运作、盈利目标的完成和公司资源的安全性。第二是财务报告的可靠性,即对外公布的各种财务报表和财务数据的真实可靠。第三是法律法规的遵循性,即企业一切的活动必须符合法律法规。针对内部控制目标,美国审计总署(GAO)提出了批评,COSO控制框架设想的管理报告没有充分提出与资产保护有关的控制,因此将不能充分满足要求。尽管COSO委员会认为其对内部控制的定义是适当的,但还是于1994年了增补。
2008年6月28日,由我国财政部、证监会、审计署、银监会、保监会等五部委联合成立的企业内部控制标准委员会,正式颁布了《企业内部控制基本规范》(以下简称基本规范)。《基本规范》界定了内部控制的内涵,指出内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。《基本规范》规范了我国企业内部控制的目标,内部控制目标包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
可以看出当前无论是美国的COSO控制框架,还是我国的内部控制基本规范,都是站在注册会计师的立场,从监管者的角度设计,忽视各方目标的差异,只是简单的将各个目标放在同一水平,导致各方的意志和需求并没有得到充分的体现。这一现象从当前企业内部控制建设中只是注重遵循性便可窥见一斑。
二、内部控制目标设置
第一,内部控制目标应与企业目标一致。实践中企业面临三个基本问题:生产什么与生产多少、如何生产和为谁生产。这三个基本问题要得到解决,就必然需要考虑企业的资源条件、技术条件、市场条件和制度规范等因素,进行合理安排和筹划,那么企业通过适当的手段与方式获取和使用一定的资源,实现其目标的过程其实就是所谓的“资源合理配置过程”。资源是稀缺的,且资源的相对稀缺性会随着时间的变化而变化,企业只有实现资源的动态优化配置,才能实现可持续发展。实现企业可持续发展的主要支持之一便是建立基于资源优化配置的内部控制系统。从企业所有者到管理者,再至普通职员都是理性人。由于这些人的自身偏好不同,通常会表现出各种各样的欲望,但资源(如时间、技术和货币资金等)的稀缺性使他们无法任意满足自身所有欲望或偏好,因此,每个理性人在追求自身效用最大化过程中,就不可避免地产生“搭便车”或败德行为。这就需要企业设置一种制度规范,对人行为进行监管,保证业务活动的正常运行,最终实现企业目标,这便产生了控制。“控制存在的根源是受托责任的需要,控制是对受托责任的控制,没有受托责任就无所谓控制。”(王光远,2007)因此,内部控制的目标也就是要帮助企业实现资源的优化配置。
第二,控制的根本是为企业管理服务。内部控制是企业内客观存在的,是为企业资源配置目标服务的,正因如此,注册会计师利用其提高审计效率才有意义。Chapman和Anderson在分析内部审计新定义时,指出内部审计新定义表明对控制的认识不应近局限于对程序和过程的遵循,控制是一种风险管理的方式,其目的在于保证企业目标的实现。因此,控制只有立足于企业自身,充分考虑企业资源配置的目标,与企业管理实践相吻合,才能真正发挥作用。而控制也不再仅仅是防弊查错,而是向推动与促进企业资源优化配置目标的实现,从“消极防守”转向“积极出击”。
第三,各方的需求导致控制要以资源优化配置为目标。企业所有者、管理者、外部监管者和外部审计师由于身处地位不同,视角各异,因此对内部控制也有不同的认识和需求。无论各方需求如何,内部控制是对企业的控制,是为企业实现资源优化配置而服务的,它既不是单纯只为股东服务,也不只为管理者和外部监管者服务,更加不是为外部审计师服务。不管从哪个视角分析讨论内部控制,都应基于企业资源优化配置这个根基,这些不同的视角和需求是内部控制的各个层面,而要想协调和整合好这些层面,则只能立足于内部控制服务于企业资源优化配置的本质。
总之,内部控制是实现企业目标的必要条件,是企业目标达成的助推器,由此,内部控制目标应与企业目标保持一致性。现代企业根本目标就是优化配置资源,实现资本保值增值,因此,内部控制应基于企业资源优化配置。
三、内部控制目标体系层级
第一,经营的效率效果是内部控制的核心目标。企业高管层作为股东和利益相关者的受托人,要想卸除受托责任,必然要努力实现资源的优化配置,优化配置的一个重要表现便是经营活动的效率性和效果性。而作为确保受托责任有效履行的机制,控制也必然要着重于经营活动的效率效果。无论是法约尔还是孔茨都将控制作为管理的重要内容。COSO委员会也提出,内部控制是一个过程,是管理活动的一部分。控制是与经营活动结合在一起的,而并非凌驾于企业基本活动之上,控制只有嵌入企业经营活动中,才能有效发挥作用。Anthony(1964)也指出,控制可以看做是企业为了应对资源依赖性,确保有效率和效果的获取和利用资源。因此,控制最重要的目标是使经营活动达到预期目的,即经营活动的效率效果。
第二,财务报告可靠性是内部控制的重要目标。无论是理论界还是实务界均认为,通过在经济业务过程中采取程序控制、流程控制、检查、复核等措施,能够将经济业务与会计处理相联系,相互制约、相互监督,从而防止错误与舞弊的出现。大多数国家便是由于财务报告可靠性的原因,要求企业必须建立健全内部控制制度,如1977年美国《反国外贿赂法》就要求,每个企业都应当建立内部控制,以保证财务报告的可靠性。通过内部控制,各部门和人员之间通过相互审查、核对和制衡,可以避免一个人控制交易的全部环节,从而防止舞弊行为,减少虚假财务报告的发生。
财务报告可靠性的目标层级要低于经营活动效率效果目标的层级。一般来说,出现舞弊的企业肯定是无法实现经营活动的效率效果,因为舞弊就必然会导致资源的浪费。当年红极一时的“郑百文”便是一个典型的例子。另一方面,若企业达到资源优化配置,实现经济性、效率性和效果性,很少也没必要编制虚假财务报告。即使出现虚假报告,其所带来的损失也是有限的,通常不是最大损失,“虚假的财务报告通常也不是企业失败的主要原因”(李心合,2007)。但若企业经营不善,业绩不佳则更容易导致企业失败,因此,与财务报告可靠性相比,企业战略的有效实施以及资源的优化配置,更应成为内部控制关注的重点。
摘要:财务管理的目标与内部控制的目标是一致的,是相辅相承的,内部控制的实施是为财务管理目标的实现保驾护航的。
关键词:内部控制 财务管理 目标统一
2008年6月28日,国家财政部、证监会、审计署、银监会、保监会联合的我国第一部《企业内部控制规范》,于2009年7月1日起首先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。基本规范将内部控制定义为:“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”借鉴coso框架,基本规范将内部控制的目标归纳为五个方面:①合理保证企业经营管理合法合规;②合理保证企业资产安全;③合理保证企业财务报告及相关信息真实完整;④提高经营效率和效果;⑤促进企业实现发展战略。企业财务管理的目标是企业财务管理活动所希望的结果,它是评价企业理财活动是否合理有效的基本标准。投资者建立企业的重要目的,在于创造尽可能多的财富。这种财富首先表现为企业的价值。因此,企业价值最大化就成为企业财务管理的首选目标。可以看出,财务管理的目标与内部控制的目标是一致的,是相辅相承的,内部控制的实施是为财务管理目标的实现保驾护航的。下面从几个方面加以分析:
内部控制的第一个目标:合理保证企业经营管理合法合规。企业的经营活动必须在法律规定的空间内,才能享受法律上和制度上的保护,逾越法律的发展是不长久的,也是不符合企业价值最大化的目标的,为了更好的提升企业的价值,内部控制要求单位必须将发展置于国家法律法规允许的基本框架之下,在守法的基础上实现自身的发展。诚实守信、尊纪守法,从外部大环境上规范企业的发展。如要按期足额交纳税款,提供的会计资料应该真实完整等等。
内部控制的第二个目标:合理保证企业资产安全。资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题,是单位可持续发展的物质基础。良好的内部控制,应当为资产安全提供扎实的制度保障。具体指要建立财产清查盘点制度,主要包括:①财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。对重要的文件资料,应当留有备份,以便在遭受意外损失或毁坏时重新恢复,这在计算机处理条件下尤为重要。②定期盘点和账实核对。它是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致,可能说明资产管理上出现错误、浪费、损失或其他不正常现象,应当分析原因、查明责任、完善管理制度。③限制接近。它是指严格限制未经授权的人员对资产的直接接触,只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下,对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员的直接接触。企业的生产经营过程,劳动者需要对生产资料进行加工才能使价值得以转移和创造新价值,企业的价值才能在商品周而复始的循环中得以上升,所以内部控制要求资产安全完整的财务管理目标实现的有力保证。
内部控制的第三个目标:合理保证企业财务报告及相关信息真实完整。可靠的信息报告能够为单位管理层提供适合其既定目的的准确而完整的信息、支持管理层的决策和对营运活动及业绩的监控;同时,保证对外披露的信息报告的真实完整,有利于提升单位的诚信度和公信力,维护单位良好的声誉和形象。企业的经营是基于关系,投资者对公司治理层的选择和考核都建立在会计信息的基础上。无论是大股东还是主要依赖于所占股份比例投票的中小股东,会计信息都是其实现对经营者有效控制的工具。会计作为一个信息系统,对内能够向管理层提供经营管理的诸多信息,对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币主量的经济业务进行记录、归集、分类、编报等而进行的控制。其内容主要包括:①依法设置会计机构,配备会计从业人员。②建立会计工作的岗位责任制,对会计人员进行合理分工,使之相互监督和制约。③按照规定取得和填制原始凭证。④设计良好的凭证格式。⑤对凭证进行连续编号。⑥规定合理的凭证传递程序。⑦明确凭证的装订和保管手续责任。⑧合理设置账户,登记会计账簿,进行复式记账。⑨按照《会计法》和国家统一的会计准则制度的要求编制、报送、保管财务报告。所以健全的内部控制有利于保护投资者和其他利益相关者的利益。符合财务管理目标的要求。
内部控制的第四个目标:提高经营效率和效果。企业的的价值就是市场价值,是企业所能创造的预计未来现金流量的现值,现金流量的现值以资金的时间价值为基础对现金流量进行折现计算得出的,所以企业价值的提升是与时间有关联的,内部控制目标要求企业提高经营效率和效果,简洁明了的指出的企业的发展要考虑资金的时间价值和风险价值,以及对企业资产增值保值的要求。
企业应结合自身所处的特定的经营、行业和经济环境,通过健全有效的内部控制,不断提高营运活动的盈利能力和管理效率。从总体来看,内部控制就是给企业建立一套免疫系统,从而使企业能够持续经营。财务管理的目标和内部控制的目标都是企业价值最大化,而只有企业价值最大化,利益各方的利益才能都得以提升。因此,内部控制建立与实施绝不会影响和制约公司治理层的权力自主与能力发挥,而只会帮助企业的经营活动更具合理化,保证管理决策的贯彻,合理的避免或减少风险或损失,从而潜在的提高企业的经济效益。
内部控制的第五个目标:促进企业实现发展战略。这是内部控制的终极目标。它要求单位将近期利益与长远利益结合起来,在单位经营管理中努力做出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。有利于克服企业管理层追求当前利益的短期行为,也有利于社会资源的合理配置,社会资金通常流向企业价值最大化或股东财富最大化的企业或行业,有利于实现社会效益最大化,如此形成良性循环,所以内部控制的实施为企业的长远发展铺砖垫瓦、堵漏塞洞。
1995年2月27日,世界上有着233年历史的巴林银行垮了,原因就是董事会的一个错误决策,由于巴林新加坡分行的经理利森,通过做期货买卖,为巴林银行带来了巨大的效益。董事会赋于了利森可以先斩后奏的权力,利森做了风险很大的被称作“套汇”的衍生金融商品交易,期望利用不同地区交易市场上的差价获利。在已购进70亿美元的日本日经股票指数期货后,利森又在日本债券和短期利率合同期货市场上作价值约200亿美元的空头交易。不幸的是,日经指数并未按照利森的想法走,在1995年1月就降到了18500点以下,在此点位下,每下降一点,就损失200美元。利森又试图通过大量买进的方法促使日经指数上升,但都失败了。随着日经指数的进一步下跌,利森越亏越多,眼睁睁看着10亿美元化为乌有。问题的关键在于没有严格执行授权审批控制,公司应当根据经股东大会批准的年度投资计划,按照职责分工和审批权限,对投资项目进行决策审批。重大的投资项目,应当根据公司章程及相应权限报经股东大会或董事会批准。公司也可以设立投资审查委员会或者类似机构,对达到一定标准的投资项目进行初审。本例中,利森对外投资没有经过集体审批,不相容岗位没有分离,也没有监督机构,最终导致了巴林银行的倒闭。没有严格的内部控制体系,公司的持续经营都不能维持,更不用谈价值最大化了。
财务管理和内部控制的最终目标都统一到企业价值最大化上来,财务管理是从企业理财的角度,来衡量财务管理工作的是否合理有效,而内部控制涵盖单位内部的各项经济业务活动,遵循企业经营合法合规,内部机构设置既相互牵制,又协调配合,最大程度的降低成本,提高人员素质,做到高效率运作,低成本支出,同时建立风险评估机制,信息沟通机制和监督机制,高级管理部门重视内部控制的态度有助于会计系统和控制程序发挥最大的效力。任何内部控制体系的建立与存亡均取决于高级管理层,如果高级管理层采取强硬立场,对违反经营政策和内部控制制度的任何偏差决不容忍,那么整个公司将在这种气氛中生存发展。管理部门的态度将影响到会计人员和其他部门的工作态度,使企业在各个方面都能良性发展,获取最大的经济效益。
根据《企业内部控制规范—基本规范》的规定,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。笔者认为,时刻铭记组织的控制目标,组织企业内外部各项资源努力达成目标,并根据内外部各种环境影响变化适时调整,才能确保目标的实现。铭记组织的控制目标是第一要务,如果过于调整微观方面的种种措施,忽视目标的重要性,则有些舍本逐末。下面笔者将通过几个案例分析明确控制目标的重要性。
一、未能明确控制目标的失败案例
2011 年7月23日晚,D301 次动车组列车在温州的双屿路段与前行的D3115次动车组列车发生追尾事故,后车四节车厢从高架桥上坠下,共造成40 人死亡,约200人受伤。2011年12月28日,国务院召开常务会议,认定该起事故为一起设计缺陷、把关不严、应急处置不力等因素造成的责任事故,原铁道部部长、总工程师负事故主要责任。
铁路作为一项重要的基础设施项目,安全、快速地将旅客、货物运达指定的地点是其天然目标。其中安全的重要性远远大于速度,但从种种迹象来看,铁道部在思想和行动上没有将“安全”视为首要的控制目标,从而酿下惨剧。首先,在十一五期间,中国高铁项目建设大干快上,4 年修建近万公里,动车和高铁上马过快,合格的司机、管理调度能力、技术储备、应急处理经验不足;其次,高铁一再提速,甚至在外方卖给铁道部设备的合同上明确写着最高运营速度是300 公里,但铁道部强行跑出350 公里的时速,盲目挑战速度纪录,对安全可靠的重视严重不足。再次,中国普遍存在忽视技术要求,存在盲目为某种政治需要赶工期的问题;最后,铁道部长期政企不分,始终保持着政企合一、政监合一、政资合一的体制,决策权、投资权、管理权集于一体,铁道部高层领导一方面将高铁工程视为政绩,另一方面抓住种种机会贪污受贿,忽视安全问题自然是可以预想的。可以说,目标设置错误,是7·23 高铁事故形成的主要原因。
汶川地震中北川金库救援的案例同样也存在着控制目标错误的问题。5月16 日是汶川地震发生后的第4天,此时全面救援刚刚展开未久,或许尚有众多无辜生命在废墟中苦苦待援,很多被毁的道路尚待疏通,许多危险隐患还未排除,而第二炮兵工程技术总队官兵花了整整6 天2 夜的宝贵时间用于挖出金库,置生命于何地!何况金库中的人民币、美元还深藏在需要用电焊枪才能割开的保险柜和铁皮柜中,晚几日救援又何妨?置救人的首要目标于不顾而先救钱,不论其实施过程如何艰辛,不断具体控制措施多么妥当,都无法赢得民众的掌声,不论其控制过程如何完善,一切成绩都显得黯然失色!
二、围绕控制目标的成功案例
苏宁电器近两年来的成功转型可以视为是始终围绕控制目标的一个成功典型范例。根据苏宁集团官网介绍,苏宁电器的目标是:誓言“成为中国沃尔玛”,苏宁电器将始终以“打造民族商业品牌”为使命,持续创新发展,矢志成为中国最优秀的连锁服务品牌!作为一家成功的家电连锁销售企业,苏宁电器一直以成功地控制家电销售渠道,合理、无偿占用上游企业资金,低成本采购并收取高额进场费用而著称。但在网络购物快速扩张、实体店运行成本急速增长的时代,苏宁电器原有的增长模式已逐步为市场所淘汰,近几年苏宁已出现单位面积销售收入、单店利润下滑的迹象。从2010 年起,公司开始关注网上销售,并不断调整战略。
2010 年1 月25 日,苏宁电器旗下电子商务平台苏宁易购网正式升级上线,将组建1000 人的B2C 专业运营团队,把苏宁易购建成符合互联网经济的独立运营体系;形成以自主采购、独立销售、共享物流服务为特点的运营机制;以商品销售和为消费者服务为主,同时将与实体店面充分协同。苏宁电器董事长张近东表示:“电子商务只是实体店的必须补充而非替代关系”;
2011 年2 月23 日苏宁电器在南京了以电子商务发展为重点的2011 年整体发展规划。据了解,苏宁电器2011年对苏宁易购实施了大幅度的调整,将其设立为由上市公司控股的独立的运营体系,以公司化方式运作,与实体连锁零售业务平行,并设定了全年销售规模翻两番的目标。
2011 年下半年,苏宁不仅调整了苏宁易购的团队,而且做出了重点投入苏宁易购的决定,前期苏宁在广州、南京等12个城市完成了实体门店物流体系的建设,接下来还要在全国60多个城市完成自己的物流布局。2011 年年底,苏宁公布了上市后第四次定向增发方案,苏宁董事长张近东自己掏出35亿元,总募资金将达到55亿元,主要用于易购IT系统升级和物流基地建设。2013 年2 月19 日晚,苏宁电器发公告宣布拟将公司名称变更为“苏宁云商集团股份有限公司”,以更好的与企业经营范围和商业模式相适应,转型云服务模式。苏宁云商认为“未来中国的零售模式将是‘店商+ 电商+零售服务商’,我们称之为‘云商’模式。
随着电商市场的发展,苏宁电器发现,京东、天猫(原淘宝商城)是远比国美更为可怕的竞争对手,2011年京东商城实现销售收入309 亿元,较2010 年增长200%,远远高于家电市场的增幅。京东的业务模式远较苏宁电器收取进场费、延期支付供应商货款的苏宁实体店模式更受供应商欢迎。在严峻的形势下,苏宁电器能够根据自身业务目标,不断调整发展战略,将网上销售由补充地位调整到平行地位,再调整到零售版图的中心,从中我们看到苏宁云商业务模式、战略重心变化后控制目标的不变,使我们对苏宁的未来仍能够充满信心。
作为一家全球知名的电商企业掌门人,2010 年7月阿里巴巴集团董事局主席马云与网商交流时提出阿里巴巴的3 个理想:“为1000 万企业生存,为全世界1亿人创造就业机会,为10 亿人提供网上消费平台。”创业以来,阿里巴巴一直秉承着客户第一、团队合作、拥抱变化、诚信、激情、敬业六大价值观。阿里巴巴的迅速发展始终围绕着其企业理想和价值观。但随着阿里巴巴、淘宝、天猫商城、聚划算等业务量的迅速扩张,具体负责与商家接洽的普通员工(俗称“店小二”)掌握的资源相对越来越值钱,而大幅扩张的组织架构和不断涌入的新员工也稀释着阿里集团的价值观和企业文化。近几年来,阿里巴巴一直为诚信所困扰,从B2B 公司上千家涉嫌欺诈的“中国供应商”,到聚划算、淘宝店小二种种腐败行为,对阿里巴巴的声誉和形象、价值观甚至阿里巴巴的生存都提出了挑战。可喜的是,阿里巴巴正视了这一挑战,并采取种种措施应对腐败危机。2010 年下半年,阿里集团成立廉政部,由阿里集团创始人之一价值观总监蒋芳担任负责人。2011 年2 月阿里巴巴壮士断腕,时任B2B 公司CEO 卫哲及COO 李旭晖因“中国供应商”涉嫌欺诈事件引咎辞职。2011 年下半年起,阿里巴巴陆续辞退获取非法利益的员工,部分员工被刑拘和批捕。2012 年5 月阿里对外公布了首批因不正当行为被永久关店并进入司法程序的网商名单。同月,向社会公开举报邮箱,并由专人负责跟进,并严格保密举报人的信息。业界观察人士说,在当前的商业环境中,由企业主导的内部反腐行动并向社会公众完全透明化,淘宝是最早的个案之一,这将会为中国商业环境的整体净化探索出一个可行路径。
其实对于阿里巴巴而言,能够始终明确自身的企业目标,并主动应对影响企业目标的威胁,采取积极而有效的措施,这就是内部控制上的最大成功。如果企业漠视公司目标受到的威胁,仅仅沉迷于阿里巴巴、淘宝等电商业务的虚假繁华,其后果是不可想象的。
[关键词]内部会计控制 目标构造机理 层次划分及其设计
实行现代企业制度,加强企业内部会计控制,是企业管理科学的重要内容之一。正确合理地构造企业内部会计控制目标,特别是按照公司治理结构中权责关系及内部会计控制目标的内容进行分层设计,则是实现企业内部会计控制需要解决的重要问题之一。
一、企业内部会计控制目标的构造
现代企业制度其实质是指以企业所有权和经营管理权相分离、经营管理权和监督权相制衡为主的各种权利相互制约、相互依存的一种企业管理制度安排,在这个多元利益主体结构中,企业内部会计控制既包括 “会计控制”,又包括 “对会计的控制”,从财政部《内部会计控制基本规范》(征求意见稿)第五条“单位负责人对本单位内部控制的建立健全及有效实施负责”等规定来看,也显然包括“对会计的控制”。企业不同利害关系者对企业的权力和经济利益要求及其所承担责任的不同,实施会计控制的目的也就不同,因此,企业内部权责结构决定企业内部会计控制目标。当然,我们在研究企业内部会计控制各种目标的差异时,并不否认企业内部会计控制的总体目标具有相同之处,即加强企业内部经济管理,提高企业经济效益,这是企业利害关系各方之利益的共同所在,因此,它是协调企业内部会计控制各具体目标不对等、不一致甚至相互对立和矛盾的基本点和根本依据。
在现代企业利害关系者群体中,起核心作用的是企业所有者和经营管理者两大集团。按照这一原理企业内部会计控制目标可以分为所有者目标和经营管理者目标两大目标群。企业所有者最关心的是其投入企业资本的安全性和收益性,要求实现其资本保值、增值目标,他们期望获得真实、可靠的会计信息,据此客观评价企业的经营成果、正确估价企业的财务状况以便进行正确的投资决策,这一目标的实现必须依靠有效的、高质量的会计控制作保证。因此,企业所有者内部会计控制的主要目标是规范企业会计行为,保证会计资料真实,完整,提高会计信息质量。真实、完整、相关、及时的会计信息是所有者了解、查证受托经营者是否诚实、可靠,是否尽职尽责履行其受托职责的基本依据,所有者通过会计信息可以及时了解企业的财务状况和经营情况,通过对会计信息的分析能够了解掌握其资本的安全性、收益性和对企业长远发展的影响因素,从而实施对企业经营管理活动及经营管理者的必要干预和控制。企业经营管理者最关心的是如何加强企业内部经营管理,全面履行其受托经管责任、实现企业经济效益最大化,确保企业经营管理目标的实现。企业经营者要实现这些目标,没有会计控制是不可想象的,因此,企业经营管理者实施对会计的控制并通过会计控制所要达到的目标主要是:建立和完善符合现代经济管理要求的内部管理组织结构,形成科学的决策机制,热行机制和监督机制,确保企业经营管理目标的实现;建立行之有效的风险控制机制,强化风险管理;确保企业各项业务活动的健康运行;堵塞漏洞、“消除隐患,防止并及时发现和纠正各种欺诈、舞弊行为”保护企业财产的安全完整;及时向企业所有者提供为企业所有者接受的财务报告及其它会计信息,以解脱其受托责任。
二、企业内部会计控制目标按公司治理结构层次划分及其设计
按照企业治理结构原理,上述企业所有者和经营管理者内部会计控制目标,还应具体划分为股东、股东会、董事会、监事会、经理、财会经理、内部审计等若干层次具体的实施内部会计控制的目标。股东作为企业资本的出资者和股份的持有人享有所有权和股东权,在内部会计控制上拥有审查财务账簿和股东大会决议以及监督公司经营管理的权利;股东大会是公司的最高法定权利机关,享有决议权、听取报告权和查核权,股东大会可以查核董事会所造具的财务会计报告,查核监事对这些财务会计报告及账册审核后所提出的报告。可见,股东及股东会实施内部会计控制的主要目的是要求企业管理当局提供真实、完整、有用的会计报告及其它会计信息,监督管理当局的经营管理行为,做出正确的投资及管理决策。董事会对内管理公司事务、对外代表公司同第三者进行交易活动的法定必备的业务执行机关,对业务执行起决策作用,它接受股东的委托,负责公司的战略和资产经营,监督和制约经营主要决策,董事及董事会实施内部会计控制的目标主要是保证计划、投资方案、财务预决算方案、利润分配方案等的科学公平合理、公司内部管理机构设置合理、制定高效可行的公司基本管理制度等。企业经理人员由董事会委任,是企业的人,具体负责企业经营管理的日常工作,主要包括协助董事会制定企业战略并负责具体实施,如制定企业长短期计划;制定、建议并实施企业财务总战略;制定并实施有关企业预算和管理控制程序,确保企业管理者能够掌握正确信息,以明确目标、做出决策、监督绩效;具体管理企业的劳动人事、生产经营、市场营销以及财务事项。从此不难看出,企业经理的内部会计控制目标主要是建立和完善符合现代经营管理要求的内部经营管理组织机构;建立经营风险控制系统;堵塞漏洞、消除隐患、保护企业财产安全完整;保证会计资料真实完整;及时提供会计信息;确保国家有关法律、法规和企业内部规章制度的贯彻执行;提高企业经济效益;等。监事有公司创立会或股东大会选任并对股东大会负责,它是对董事和经理班子行使监督职能的机关或个人;监事会是对董事会、董事和经理人员等管理人员行使监督职能的机关,其主要职权是对公司普通业务的监察和财务会计监察,因此,监事及监事会实施企业内部会计控制的主要目的是对企业经营管理决策、日常经营管理活动及行为、财务会计工作及会计资料实施监督,保证会计信息真实完整,确保股东及股东大会目标的实现。按照《公司法》及《会计法》的有关规定,单位财务负责人 (或主管财务的副总经理)与其他副总经理一样由总经理提名、由董事会聘任或者解聘,单位财务负责人报酬事项由董事会决定,显然,财务负责人既要对总经理负责,又要对董事会负责,但最终或主要是对董事会负责,因而企业财务负责人实施内部会计控制的目标主要是实现董事会的内部会计控制目标并接受监事会的监督。以此类推,企业会计人员及会计机构实施内部会计控制的主要目标是认真实施会计监督、履行自身职责、(在正常的、不违规的前提下)对财务负责人负责。内部审计是企业内部会计控制的基本内容和方式,在我国内部审计主要是对所在单位的主要负责人负责,对企业总经理或董事会负责,内部审计的主要目标是对内部控制制度执行情况进行检查,监督单位内部的各项规定的落实和执行情况,了解执行中存在的问题,及时反馈,促进单位领导及时改进工作,完善制度。在我国内部审计的建制上,目前存在的突出问题是内部审计身份及目标的定位问题,即为准服务对谁负责?世界多数国家公司的监控机制,主要有单轨制和双轨制两种。采用单轨制的国家如美国、英国、新加坡等,其股份有限公司机构设置主要有股东会和董事会两者,在董事会内分设一个或数个委员会,其中具有直接监督责任的是审计委员会,其主要职责是监控公司内部控制的结构、审查内部稽查部门、推荐公司签证会计师、审查公司年度内控计划、核阅公司财务报告等;采用双轨制的国家如德国、日本等,其股份有限公司机构设置主要有股东会、董事会和监察人 (即监事会)三者,而其监控的主要机制是董事会负责业务的经营,监察人负责监督董事会业务的执行。我国公司治理结构即属后者。在双轨制的公司治理结构下,内部审计设置是隶属于股东会、还是董事会、监事会、总经理呢?如果隶属股东会,那么其职能则与监事会职能相重复;如果隶属总经理,那么董事会势必需另设内部审计机构,因此,笔者持在董事会下设置内部审计机构的意见,这样能够形成相互制约、相互联系的严密内控系统,即股东会通过监事会对董事会实施内控,董事会通过内部审计对总经理及其它管理者实施内控。此外还需要指出的是,会计监督寓于会计核算之中,因此,明确企业内部会计机构及会计人员的内部会计控制具体目标也是十分重要的,按照分权制约原则,企业内部会计机构及会计人员应对企业会计负责人负责,对企业所发生的日常经济业务和会计事项实施内部会计控制。按照社会审计的基本职责来看,聘请、委托注册会计师的权利及有关事项应有企业监事会负责,以保证社会审计发挥维持社会经济秩序和促使强化企业内部会计控制职能的作用。
按照约束与激励原理,在确定企业内部会计控制约束目标的同时,明确激励目标也是内部会计控制的必要内容。确立企业内部会计控制激励目标的基本原则应是约束与激励相一致,即谁约束谁激励。在美国股份公司治理结构中,通常在董事会下设审计委员会的同时,设置提名委员会和报酬委员会,分别负责提出企业各级管理人员任免和报酬方案,报请董事会研究确定 (主要管理人员的提名及报酬应报请股东会研究确定)。美国做法值得借鉴。
三、企业内部会计控制目标按其内容层次划分及其设计
企业内部会计控制目标按其内容层次来划分大致如下:内控制度科学合理、查错防弊及时准确、财产安全完整、业务活动健康运行、风险控制系统有效、会计资料真实完整、会计信息及时有用、管理制度健全完善、管理效率真实高效、国家法规贯彻执行、经济效益不断提高、职业道德完善升华等,这些内部会计控制目标呈相互联系、相互依存的递进层次关系,通常表现为前者是后者的基础和条件。
建立健全企业内部会计控制制度是实施企业内部会计控制的首要的基本内控目标,包括约束制度和激励制度两个基本部分,企业应按照《会计法》、《公司法》等法律法规的要求,建立健全企业内部会计控制的规章制度,包括股东会、董事会、监事会、经理及其以下各基层管理和业务经管部门及人员的内控权限、职责义务范围、履行方法及其奖惩内容、办法等各项内容都应以科学合理的制度形式固定下来,尤其是各部门及经办人员的内控目标及具体内容应具体详尽、科学合理适当。查错防弊及时准确是实施企业内部会计控制的基本目标之一,应是企业内部各管理阶层、各管理部门的会计控制目标,但是各管理阶层及管理部门的具体查错防弊的具体目标、具体方法及措施却是不尽相同的,如对货币资金收支和保管业务过程中的查错防弊,应有财会部门协助企业管理当局制定相应的授权批准程序、办理货币资金业务的不相容岗位必需分离、。相关机构及人员应当相互制约、加强款项收付的稽核等相关的规章制度,各资金使用部门应严格遵守授权与批准程序及权限范围的规定,会计部门及人员应严格履行审查监督职责。保证财产安全完整,既是财产经管和使用部门及人员的内控目标,又是财会部门的内控职责,还是企业出资者及管理当局的内部会计控制目标。因为,从会计基本原理来看,企业资产的安全完整包含着资本的安全完整,资产是资本赖以存在的自然形态,资产还是对企业未来经济效益有用的经济资源,实现资本保值增值也有赖于资产的安全完整,它要求企业会计在稳健等会计原则基础上遵循会计职业道德,在尽可能防范和抵御未来资产风险的基础上,从事会计核算及监督工作,在制定各项投资及其它经营决策时要充分考虑投资及其它决策的风险因素。可见,财产安全完整既是自然物质和权力形态的安全完整,更是财产价值形态的安全完整,因此,财产安全完整是企业各部门的共同内控目标和职责。促使并保证企业业务活动健康运行是企业内部会计控制的基本目标之一,所谓业务活动健康运行应是指各项业务活动内容合理合法、符合企业整体业务目标要求和效益大于成本原则,业务风险在可预见的控制范围之内,开办业务活动的手段与方法科学正当、无违法违纪行为,业务活动效果具有可持续发展的效益性和前瞻性,业务活动运行程序明确顺畅、快捷、高效率,业务经办部门及人员责任心强、积极性高等的运行状态,可见,业务活动健康运行这一内控目标涵盖了得笺具体的控制目标。风险控制系统有效目标的主要内容应包括企业可能面临的风险种类、内容、风险程度、风险发生及其防范部门,风险评估机制健全,防范规避风险措施得当,风险信息反馈灵敏准确,防范风险能够令行禁止,防范风险的奖惩制度严明等。会计资料真实完整既是企业内部会计控制的基本目标,又是企业内部会计控制的基本的、非常重要的手段,会计正是通过真实完整的会计资料的记录、汇总、报告等手段实现其对企业经管责任落实、对企业财产及经济业务活动进行监督管理职能的。从大的方面讲,会计工作与业务经办活动是两项不相容职务和工作,会计是对业务活动进行控制的基本方式和手段,这是会计存在并取得发展的最基本的动因。美国会计史学家迈克尔·查特菲尔德在其 《会计思想史》著作中指出:“私人财富的积累导致了受托责任会计的产生。这种会计不仅应保护物质财产的安全,而且应证明管理这些财产的人是否适当地履行了他们的职责。调查受托者的诚实性和可靠性的需要,使内部控制成为所有古代簿记制度的主要特征。”这充分地说明了会计及会计资料与内部控制之间的内在联系,揭示了会计及会计资料的内部控制本质。会计信息及时有用是在会计资料真实完整及前述各个目标实现的基础上,企业内部会计控制应进一步达到的基本目标之一。所谓 “信息”是指有用的消息相资料,会计信息是指对企业利害关系者进行管理及经营决策有用的会计资料,从内部会计控制的层次内容来看,会计资料真实完整主要是单位负责人、会计部门及人员的基本内控职责,会计资料能否进一步成为会计信息这主要是股东、股东会、监事会等的内控职责,也就是说会计资料是否有用要根据使用者的目的和标准来判断,忽视会计资料与会计信息的质量及目标的区别,只能混淆内控中的不同职责与任务,所以《会计法》将会计资料的真实完整作为其基本立法宗旨之一,并明确单位负责人对会计资料的真实完整负责是科学合理的,是一大进步,因此,这里将会计资料真实完整和会计信息及时有用作为两个层次的内控目标是有现实及理论意义的。管理制度健全完善是指除内部会计控制制度之外的其它各项企业管理制度应健全完善,实施企业内部会计控制除督促企业建立健全企业内部会计控制制度以外,还应督促企业建立健全与内控制度协调一致的企业内部的各项管理规章制度,并确保这些规章制度贯彻执行。管理效率真实高效这一目标一方面要求内部会计控制制度应保证真实反映企业管理效率情况,另一方面要求内部会计控制制度不能过于繁琐,不讲效率,同时又要保持适度的控制与被控制者之间的博弈空间,以便不断完善内部会计控制制度。保证国家法规制度贯彻执行不仅是社会审计、国家政府有关部门对企业内部会计控制实施 “再控制”的目标之一,而且还是国家以所有者和国家宏观管理者的身份实施经济管理的基本目标和要求,这是我国会计监督体系的重要组成部分和特色之一。当然,这里也包括通过内部会计控制监督国家法规制度在企业内部的贯彻执行。促使经济效益不断提高是整个经济管理的基本目标,也是企业内部会计控制的目标,这是实施企业内部会计控制,确保单位经济管理目标实现的总体要求,也是企业内部会计控制好坏的最终标准。当然,我们也不能否认有时会存在企业内部会计控制做得很好,但是由于其它原因而使企业经济效益并不好的情况,也就是说企业内部会计控制好并不是说企业效益就一定好。会计职业道德完善升华是指在实施企业内部会计控制的过程中,通过“它控”和“自控”,促使职业会计人进一步树立并增强正确的会计职业良心和职业责任感,进而达到会计职业道德不断完善与升华的一种状态。从某种意义上而言,内部会计控制的过程,也是会计职业道德的自律过程。因而,就职业会计人而言,能够促使其会计职业道德的不断完善与升华,是实施企业内部会计控制的最高尚之目标和精神境界。
主要参考文献
一、企业发展战略目标在内部控制目标体系中处于主导地位
《企业内部控制基本规范》第三条明确,“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略”。在这个体系中,各个目标被称为:遵循目标、资产安全目标、报告目标、营运目标和发展战略目标。尽管这五个目标在空间的排列上仅有前后之分,但其在内部控制体系中的地位和作用却并非简单并列或各不相干。内控目标是一个完整的目标体系,发展战略是企业在现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划,因而企业发展战略目标在内部控制目标体系中处于主导地位。当战略目标正确并能作为指引企业健康发展的方向时,其余的“遵循目标、资产安全目标、报告目标、营运目标”才显得有意义,才能起到围护和保证战略目标实现的作用;反之,如果企业的发展战略目标是错误的,或者说开始时是正确的,后来却因未能随着市场变化而适时调整时,这些遵循等目标的意义会大打折扣。
企业发展战略是企业在发展过程中具有全局性、长远性、基本性特征的发展谋略,是企业发展中长期计划的灵魂与纲领,在已经进入战略制胜时代的背景下,企业应该十分重视自身的发展战略管理,主动把握好整个企业发展的未来。然而在不少企业里,却未能科学地进行战略制定与实施,在发展战略制定上,只听“风声”,不看风险,只懂得战略扩张,不懂在某些情况下还应实行战略紧缩,因此往往事与愿违,以失败而告终。早一点的是明知冶炼行业已经出现生产能力过剩的情况下,却还要不顾一切地发展大型炼钢企业;近一点的如某家在行业中已经颇有声望的快递企业,却因为求得更快发展,个别领导人在未经董事会讨论的情况下,侥幸一搏,兼并了另一家负有4000多万元债务的快递企业,导致出现支付危机,连自身也未能逃过倒闭的命运。《解读企业内控指引之发展战略》说得好,“什么都可以出错,战略不能出错;什么都可以失败,战略不能失败。战略的失败是最彻底的失败!”
企业发展战略可以分为两个层次,第一是制定,第二是实践。发展战略的科学制定果然重要,但战略目标的实施也很重要。如果企业在实施“遵循目标、资产安全目标、报告目标、营运目标”中出现了失误,也会对战略目标的实现带来消极影响,甚至带来有着决定意义的负面影响,招致所谓的“一着不慎,满盘皆输”。
二、合理保证经营管理合法合规是实现战略目标的首要依托
科学的发展战略,必须通过合法合规的经营管理来实现。然而,违法违规的经营管理,已经成为当前导致战略失败的主要因素。如常在日常生活中看到或从媒体中听到的产品造假事件,产品使用有毒添加剂事件等,结果必然因为损害消费者利益而受到严厉处理。在这些企业里,由于手段不合法、不合规,因此也无从谈什么战略目标。因此,“企业内部控制基本规范”将“合理保证企业经营管理合法合规”,放在目标的第一位置。
随着市我国经济融入全球的情况下,无论是在国内或是在国外,在经济活动中越来越讲究合法合规,对法制的要求也越来越严。因此,《企业内部控制应用指引第4号——社会责任》将“安全生产措施不到位,责任不落实,可能导致企业发生安全事故;产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产;环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业;促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。”列为企业应当履行社会责任方面的四大风险,并要求企业应当重视履行社会责任,实现健康和谐发展。为此,企业一定要严守法律底线,确保自身的经营管理合法合规,有效规避违法违纪风险。如果这一条掌握不好,所谓的提高经营效率效果和促进战略发展目标的实现,必将是一句空话。
三、保证资产安全是确保企业战略目标实现的另一重要目标
企业资产是企业开展生产经营活动、实现战略目标的重要物质基础,是实现战略目标的“兵员”,所谓
的资产损失,也就是“损兵折将”,对实现战略目标十分不利。因此,保证资产安全是确保企业战略目标实现的另一重要目标。现实中,企业资产损失可以分为经营性损失和非正常性损失。经营性损失可以再分为日常经营中发http://wWw.LWlm.Com生的亏损和在资本运作中失误而产生的损失。非正常性损失的范围则更广,除因违反国家法律法规,可能遭受外部处罚带来的经济损失,因重大差错、舞弊、欺诈而导致的资产损失正在成为影响企业资产安全的主要因素。
企业在日常生产经营中,如果因为存货业务未经适当审批或超越授权审批,使采购批量、采购时点不合理,可能导致积压,或因保管不善导致存货损坏、变质、浪费等,都会给企业带来或大或小的损失。因此,企业必须建立健全内部控制制度,对实物资产的采购、保管、领用实施严格的内部审批、检查、盘点等工作,还应十分强调不准无关人员接触财产等,以此作为保证资产安全的重要内容来控制。
企业应该将保证资产安全的重点放在保证货币资产安全和资本运作上。
随着经济全球化进程的日益加快,一些腐败犯罪的跨国化趋势越来越突出。贪官的外逃和引渡,已经成为近些年来社会关注度比较高的话题。据报道,2012年3月11日,最高人民检察院检察长曹建明向十一届全国人大五次会议报告工作时指出,“加强反腐败国际司法合作,完善境内外追赃追逃机制,会同有关部门追缴赃款赃物计77.9亿元,抓获在逃职务犯罪嫌疑人1631人。”那么,还有多少“在逃职务犯罪嫌疑人”携带多少亿元的资金外逃没有抓回来?全国人大代表赵林中说得好,“贪官外逃篱笆尤需扎紧。一些贪官抱着‘捞了就跑,跑了就了’的心理,聚敛财产,先在海外安家,再把资产转移,最终择机出逃,给国家带来巨大财产损失。”由此可见,在这些人所属的单位里,对货币资金的管理根本没有什么控制可言,待到问题发生,上下都会“大吃一惊”。
不可讳言,企业领导层应该懂得利用资本经营手段促进企业发展的重要意义,并深谙资本经营之道,不要成为只能办一些实业而不懂得资本经营的企业家。要充分利用资本经营在市场上抢占先机,使自己立于不败之地,或者也可以聘用内行人才来做好这一工作。但是,资本经营同时也是一把双刃剑,搞得不好,企业遭受的损失可以使原来不错的企业一夜瘫痪。 为此,必须慎重对待资本经营。应该充分认识到资本经营是相对于生产经营来讲的,资本经营要以生产经营为基础,企业应该首先搞好本身的生产经营,才有可能去搞好资本经营。然而,在我国的一些企业中,资本经营理念受到严重扭曲,不少企业企图一夜致富,便脱离生产经营而热衷于将主要精力和财力投入资本经营,结果往往http://wWw.LWlm.Com是事与愿违,资本经营失败连同原有的实体经济也变得荡然无存,此时,更无“企业战略目标”可言。因此,要严防上文所述的某快递公司个别人在未经董事会讨论的情况下,不惜甘冒风险,侥幸一搏进行兼并,结果连本来经营较好的母公司也一并倒台这样严重事件的出现。因此,要通过内部控制手段,对重大的资本经营,规定要经过一定的审批程序才能进行,尽力将其限制在可控的范围之内。只有这样,方能有效地规避风险,确保企业战略目标的实现。
四、合理保证财务报告及相关信息真实完整,有利于促进企业战略目标的顺利实现 为此,企业要顺利实现战略目标,绝不能依靠弄虚作假来达到,而是要十分注重信誉对自身生存和发展的重大意义。要懂得市场信誉来之不易,而要毁掉一个企业的信誉可能只在一瞬之间。具有远见卓识的企业家们,应该懂得此中利弊,应视企业信誉为企业的生命,并以此来培养企业文化。不但企业领导层要十分珍惜,而且企业的每一个员工都要懂得并践行之。
五、提高经营效率和效果,不断取得实现战略目标的阶段性成果
关键词:企业组织目标内部控制风险管理
一、内部控制与全面风险管理的相关概念
(一)内部控制
所谓内部控制是指经济单位及各组织在经济活动中所建立起的一种互相制约的业务组织形式及职责分工制度。可以说内部控制是一个过程,该过程受着企业组织内部各个人员的影响,其目的是为了优化经营管理,提升企业的经营效益。内部控制的要素共分为控制环境、风险评估、控制活动以及信息与沟通和监督等五个,如下图1所示。
(二)全面风险管理
所谓风险管理是指在一个存在风险的环境中,如何将风险降至最低的管理过程,该过程包括了对风险因素的评估、度量以及制定应变策略等。理想的风险管理是一个将优先次序排好的过程中,其中可能引起最大损失以及最可能发生的事情进行优先处理。但是实际情况中,排列优先次序的过程相对比较困难,因为风险与其发生的可能性并没有一定的规律可循。由此可见,风险管理需要整个公司所有人员的共同执行与参与。风险管理要求包括内部环境、目标制定、事件识别、风险评估、风险反应以及控制活动、监督和信息与沟通等八个。其如下图2所示。
二、内部控制与风险管理的异同
(一)重视内部控制与风险管理的相关性
企业内部控制和风险管理的相关性体现在以下几个方面:
第一,内部控制及风险管理都是指过程化的管理,相对而言内部控制呈现出动态管理的特点,它促使企业经营朝向既定的组织目标而努力,但是它又不是组织目标的一部分,而是促使目标达成的手段,内部控制各要素对其产生直接的影响。全面风险管理同样是一个过程,但是其相对内部控制而言,从某种意义上表现出一种静态性,即其贯穿于企业的各项业务活动中,管理过程的各方面均有风险管理各要素的渗透。
第二,影响内部控制及风险管理的因素相同,企业组织架构中各个层次的人员,诸如董事会、管理层或者其它的相关人员,他们的互相影响和作用会对内部控制产生直接的影响,它不但包含了内部控制政策及相关的控制表单,各层次人员的作用也包含在内。此外,在控制过程中,每个成员不仅是被控制的对象,也会是实行控制的控制者。而对于风险管理而言,其整个过程也强调人的参与,它与整个企业的所有相关人员均有着密切的关系,而企业管理者在进行风险管理时要有一个宏观架构方面的风险组合观念。
第三,内部控制和风险管理的手段相同。无论是内部控制还是风险管理,均是通过风险评估来实现对应的管理目标。企业在实行内部控制的过程中,风险评估是其中必不可少的一部分,它的主要作对是对影响目标实现的各种不确定因素加以辨别,从而再针对风险管理的方法做出决定。控制与风险是两个密切相关的概念,而企业要提升其内部控制的效率及加强内部控制的效果,最主要的就是要进行环境控制及风险评估。企业在进行风险评估的过程中,通常要经过风险辨识、风险分析及应对控制等各个环节。同样,在风险管理中一样要先确定出组只目标,在剩余及固有的基础上评估风险,对其影响企业目标实现的程度做出分析与判断,并以此为基础进行风险管事,从而为企业合理的配置管理资源提供更为合理的依据。
第四,内部控制与风险管理的目的相同。无论是内部控制还是风险管理,其最终的目的都是保证企业组织目标的顺利实现。因为内部控制本身有一定的限制,比如成本控制、人为错误或者管理越权等等,所以内部控制只可为企业管理提供相应的保证,但无法做到绝对保证。而风险管理同样也是为了识别对企业经营目标会产生影响的因素,并有针对性的加以管理,以促使企业可以在经济预算合量的基础上,判断出其风险偏好。
(二)内部控制与风险管理的差异
内部控制风险管理的差异表现在两点:
其一,内部控制与风险管理的侧重点不同。相对而言,内部控制更加侧重于制度层面,其通过制定规章制度促使各层人员遵守制度来规避风险;而风险管理的侧重面更体现在交易层面,即其规避风险的手段为市场化的自由竞争或者市场交易等。通常而言,内部控制的目的是提高会计信息的真实性及资金的安全性,其核心是会计控制。内部控制通常仅限于财务部门及其要关部门,在企业管理过程或者整体的经营系统层面,内部控制只是管理职能中的一项。而全面风险管理则更加侧重于在特定的业务中,与战略选择及经营决策有关的风险和收益的比较,比如利率风险、汇率风险管理以及银行授信管理等等,可以说在整个管理过程中均渗透着风险管理。由此可见,风险管理是内部控制在技术与市场条件下的自然延伸,内部控制是风险管理的前提与基础,而风险管理中包括了内部控制。
其二,内部控制及风险管理所涉及到的风险的范围不同。内部控制过程中,经营管理活动既要对内部风险做出评估,又要评估外部的风险。内部控制的过程涉及到整个公司所面对的、并且公司内部各相关人员所经营的各类外部及内部风险。而风险在实际的企业运营过程中却是客观存在的,相对于内部控制而言,风险管理与其最大的不同就是对特定业务的战略评审更为关注,其主要目的是通过对不同公司业务领域内风险和报酬间的比较,实现收益最大化的企业经营目标。
三、内部控制与风险管理的有效整合
(一)内部控制要服务于企业经营者的目标
所谓控制就是控制者对受控者的一种能动作用,受控者根据控制者的作用而进行相应的行动,从而实现系统目标。尽管设定内部控制目标不属于内部控制的组成要素,但是它是实施内部控制的前提,促进内部控制的关键条件,属于过程管理中的一个重要组成部分。内部控制目标的制定对内部控制而言,意义重大,其对是否有必要存在内部控制有着决定性的作用。一个完善的内部控制对企业经营目标的实现有着直接的影响,它帮助企业经营者实现其预定经营目标。管理目标包括合理的资源配置、科学的决策、最低的成本控制、最优的质量管理以及利润最大化。在企业组织目标中,该五个具体的管理目标是互相联系、互相支持的:企业设施配置的关键就是资源配置;而企业经营的方向性是由管理决策来决定的;产品成本目标是实现利润最大化的重要条件之一;质量管理目标则是保证企业永续经营的必备条件;而财务目标即利润最大化,是企业经营的源动力,也是其它目标综合作用的最终成果。只有实现了这五个目标,才能够保证企业整个经营管理目标的实现。
(二)内部控制对实现组织目标的间接作用
因为内部控制制度所体现的是控制主体即企业经营者的意志,因此如果控制主体不同,其内部控制的目标必然不同。内部控制目标还要按照企业的法人治理结构的不同层次进行具体的细分,将内部控制目标层层落实到各级单位及部门。企业各层次相关人员进行内部控制的主要目标就是降低经营风险,减少虚假会计信息,保证管理者的经营目标可以顺利实现。但是企业管理中必然存在激励机制,管理者的目标与企业组织目标不得背道而驰,其最终的目标仍是为了实现企业组织目标而服务。一个有效的内部控制机制不但可以实现企业资源利用率最大化,有效的降低成本,还能够促进企业向着良性化的方向发展。随着市场经济的不断发展,人们的经济意识也在不断的提高,企业所处的经营环境的不确定性也越来越高,企业契约的不完备性就随之增强,因此各企业经营者对内部控制的研究越来越重视,以期能够通过合理的内部控制消除不完备契约所导致的逆向选择及道德风险,最终促企经营目标得以顺利实现。
(三)全面风险管理概念可以取代一般性的风险管理
我们可以用全面风险管理的概念取代企业经营过程中的一般性的风险管理。全面风险管理概念中提出,无论哪种类型的企业均或多或少面临着各种不确定性,来自于各方面的风险与机遇是并存的。而对于企业的经营管理者来说,最大的挑战是在企业为各利益相关者创造价值的过程中,对企业承受伴随价值增加而来的风险的能力。企业的全面风险管理机制的有效性越高,管理者对不确定的风险及机遇的处理能力就越高,从而使得企业创造价值的能力得到最大程度的提升。
(四)全面风险管理中企业目标与各要素间的关系
在全面风险管理概念中,企业目标分为战略、经营以及呈报与合规等四类,其所反映的是企业的不同层面的不同需求,针对企业各层次人员确定其相应的责任。而上文中也提到全面风险管理的要素包括模块,这些要素最终的目的就是服务于企业的四类目标,无论企业中的哪个层次均要通过这模块对各自的企业目标进行全面风险管理。全面风险管理并非绝对意义上的单循环步骤,而是一个重复性的、多向性的过程,在这个过程中,每个要素均会对其它要素产生影响,并且受其它要素的影响,即每个风险管理组成要素是和四类目标互相纵横交错的。因此风险管理目标与其各要素之间存在着直接的联系,即目标是企业努力的方向,而风险管理要素则是实现这一目标所必须的条件。
此外,风险管理的各个要素还是评价企业风险管理水平的标准。企业风险管理的构成及目标不仅是建立健全企业风险管理过程的基本依据,也是对其有效性做出评价的标准。评价企业风险管理的有效性,要看全面风险管理的八个构成要素是否同时存在,其运行是否有效。而且在不同的主体中,风险管理各个要素的具体运行也是各不相同的。
(五)利用全面风险管理评价企业目标实现的程度
针对全面风险管理的八个要素,及其在企业经营管理中是否发挥了有效的作用,我们可以以此为依据判断企业目标实现的程度,所以从这个意义上来讲,全面风险管理的要素就是评价企业目标的实现程度的标准。如果企业的风险管理体系这八个要素并存且能够正常发挥作用,证明该企业基本上没有太大的缺陷存在,风险管理方面也能够将其控制在一定的范围内。不过不同的企业风险管理各要素发挥作用的程度也各不相同,并且也不是绝对的,一些企业即使全部具备了所有的要素,但是也无法绝对保证可以实现企业经营目标,这是由于风险管理自身存在着无法克服的局限性,这些局限性体现在人员决策判断失误、控制制度的建立受着成本管理的约束、一些人为的简单错误造成风险管理的中断、企业内部人员互相勾结使得内部控制制度失效或者管理者凌驾于控制制度之上等各方面,正是这些局限性使得企业经营管理者无法绝对保证可以百分百实现企业目标。
参考文献:
[1]郑小荣,王美英.内部控制法制化的理论依据――法律特征与实践影响[J].当代财经,2010(4)
[2]郑小荣.试论内部控制法制化的三大弊端[J].财会研究,2010(18)
[3]王美英,郑小荣.对内部控制审计与财务报表审计整合的思考[J].财务与会计,2010(7)
[4]孟杰.基于全面风险管理的企业内部控制实施探讨[J].财经界,2009(11)
【关键词】 内部控制; 内部控制评价; 评价指标
企业内部控制评价标准体系是一种管理机制,规范着企业的经营管理活动,能提高企业的经营效率和抗风险能力,它不仅反映了企业法人治理结构和管理体制的需要,而且将企业发展的战略目标以及业绩的评价和激励都纳入其中。所以建立科学严格的内部控制评价体系,不仅是内部控制制度本身实施的要求,也是保证企业经营战略有效执行的基石。但当前我国企业内部控制评价主要是为审计服务的,无论是评价内容还是评价目标,都存在很大的局限性,制约了企业内部控制的有效执行。因此建立一套完善的、符合实际的、具有可操作性的企业内部控制评价体系势在必行。
一、我国企业内部控制标准体系的缺陷
(一)内部控制评价的主体不明确
现行的《审计准则》只要求注册会计师对企业与财务报告相关的内部控制进行评价,但仅通过注册会计师定期地对企业财务报告内部控制进行外部评价,已经不能满足企业内部管理和战略目标实现的要求。内部控制评价必须内部化。而内部化的评价主要是由内部审计实施的。也就是说,我国企业内部控制评价最终要由董事会中的内部审计委员会来实施,这是比较理想的。而实际上有相当一部分的企业没有正式的审计委员会,很多上市公司中虽设有专门的内部审计机构,但独立性不够,有的隶属于总经理,有的隶属于财务部门,内部审计职能很难真正实现。因此上市公司必须明确内部控制评价的主体定位问题。
(二)企业内部控制的范围窄
企业内部控制的范围窄可以从德勤的调查报告中体现。德勤在2009年5月统计分析了上交所353家披露了内部控制自我评估报告的公司,然后挑选了近40家沪深有代表性公司进行了重点访谈调查。参与调查的上市公司涉及房地产、航空与交通运输、金融业等行业。调查结果显示,82.35%的企业组织了内控梳理工作,35.29%的内部审计开始更加关注风险和控制,但是仅有17.65%的企业检查了其治理结构是否合理。由此可见,企业更加重视流程层面的控制活动,而忽视了内部控制这一重要基础,我国企业传统的“重管理轻治理”的现象依然无实质性改善,局限了内部控制的内容和范围,缺少与管理相结合的过程。
(三)内部控制评价的标准不统一
目前我国内部控制的评价实务中,内部控制系统一般是参照财政部颁布的《内部会计控制规范》系列进行的,内容主要是以企业的内部会计控制为主,同时兼顾与会计相关的控制。注册会计师内部控制审核业务是参照《内部控制审核指导意见》进行的。虽说审计署、财政部等各部门出台了关于内部控制评价方面的规范,应该说,这些规范对于推动企业加强内部控制建设起到了相当大的作用,但不容忽视的问题是相当多的企业或个人对内部控制评价缺乏应有的了解,对内部控制评价的一些核心和基本问题如“评价什么、如何评价”等缺乏清晰的认识;各监管部门对如何具体实施内部控制评价,如采用何种评价标准进行评价、评价什么内容、采用何种方法等尚不明确;各个企业之间,其各自的内部控制体系的有效性和完整性究竟如何,无法进行相互比较。由于缺乏一套完整的内部控制体系,造成内部控制的评价缺乏统一的标准。除了上述问题之外,我国内部控制评价还存在着评价方式单一、目标不明确等问题。
(四)内部控制评价、考核、监督机制不完善
我国许多企业根据有关规定制定了很多的内部控制条文,但多只注重制度的文字编写环节,将已制定的企业内部控制制度“印在纸上、挂在墙上”,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,遇到具体问题多强调灵活性,使内部控制制度流于形式,失去了应有的刚性和严肃性,严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等,同时企业内部控制制度执行情况评价、报告等也鲜有实施,其结果是存在制度却得不到执行。另外,由于审计、会计人员是单位经营者领导下的工作人员,其经济利益直接由单位经营者所掌握和决定,审计、会计人员无法真正行使监督职权,如果他们坚持原则,对单位的违法乱纪行为进行抵制,往往受到经营者和其他方面的阻力、刁难甚至打击报复,由于打击报复的手法往往比较隐蔽,且多有冠冕堂皇的理由,政府部门很难有行之有效的措施保障会计人员的权益。为了保护自己,审计、会计人员便不积极进行内容控制工作,内控的作用便无法发挥出来。
二、完善企业内部控制评价标准体系设计的建议
(一)构建内控评价体系
在构建内控评价体系的过程中,应据企业的特征,制定一套具有统一、公认和完善的既符合实际又具有可操作性的评价标准体系。可先从目标定位、内容范围以及设置方式等方面来综合考虑,既可以从企业管理与控制的目标入手,也可以从内部控制要素入手。但无论怎样,企业内部控制评价标准都可以分为一般标准和具体标准两部分,一般标准以具体标准为基础,同时也是具体标准的升华,二者相辅相成,缺一不可,共同构成一个完整的评价体系。
(二)制定企业内部控制评价体系
制定内部控制评价体系是进行内部控制评价的依据和前提。在对内部控制进行评价时,首先必须明确的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。笔者认为,考虑到内部控制的战略目标、经营目标和合法合规性目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标,可以针对内控的绩效目标选取相应的评价指标,并规定相应指标的合理标准来进行评价。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架中的要素来设定控制标准。即按企业内部控制项目分别设定评价标准,每一个项目都设计有一系列的具体评价标准。主要包括该项业务的内部控制环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流和监控方面,力争涵盖该项业务中可能存在的风险控制点。很重要的一点是无论选取何种内控评价标准,实务操作中均会涉及到选取的指标和权重的确定,其中选取的权重合理与否直接决定了内控评价的结果。但不可避免会存在权重确定的主观随意性,从而不能保证结果的精确性,因而应探讨更为合理的权重确定方法。
(三)选择、设计评价指标
在内部控制评价中,不仅要关心控制结果的好坏,而且要评估控制手段的优劣,这就产生了措施型指标和结果型指标选择的问题。措施型指标是指与各种控制手段相对应的评价指标,如岗位分离指标;而结果型指标是针对内部控制的实施效果制定的评价指标,如收入回收率。这两种类型的指标各有优缺点。措施型指标比较直观,它直接指向“合理控制手段实施与否”,没有实施就有失控可能,企业内部控制必然存在漏洞,但是其缺乏综合性,特别是由关键控制点产生的评价指标,它忽略了对次要控制手段的评价,一旦次要手段失控,就会给企业带来巨大损失。结果型指标正相反,其综合性很强,评价结果良好,无论控制手段实施如何,至少控制的目标达到了,但是不足点也很明显,一方面,此结果往往并非与内部控制工作质量一一对应,如收入回报率较低不仅取决于收费过程控制水平的高低,还会受到经济形势、客户经营状况等因素的影响;另一方面,即使评价结果良好,也仅能证明现在未发生问题。只有构建完善的内部控制体系,才能彻底保证以后也不会发生问题。因此,在评价指标设计过程中,应将措施型指标和结果型指标结合使用。
(四)正确界定内部控制评价的目标
企业日益认识到构建内部控制体系的目标,不但是要满足监管部门对于信息提供和披露方面的需求,更重要的是,内控制度要有助于企业战略目标、企业经营的效果和效率的实现。应该说内控制度的立足点之一是要通过制度化规范标准的构建来规范企业员工的行为,加强行为理性,提高企业的经济效益。由此立论,内部控制评价的目标应该是从内部控制的目标出发,对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评价,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。
(五)全员参与内部控制评价过程
COSO报告《内部控制――整体框架》认为,内部控制由控制环境、控制风险、控制活动、信息与沟通以及监控组成,是一个覆盖整个经济实体的系统,所有部门岗位都在其中充当着角色,董事会、管理人员、内部审计人员,以及组织中的每个人都对内部控制负有责任。这在内部控制发展史上第一次明确了内部控制“全员参与”的思想,在内部控制评价体系构建与实施过程中强调全员参与,对于增强员工内部控制的主动性、塑造优秀的企业文化、提高企业的经营管理效益等有着积极的意义。作为评价对象的内部控制系统包含多重目标,涉及企业多个层面和各项业务,可以说每一项作业和每一个员工都是控制的对象,仅仅依靠个别部门实施评价工作显然是不够的。而且,随着生产技术、信息技术和企业组织结构的不断发展,知识和信息在组织中呈现出向一线集中的趋势,使企业内部控制和内部控制评价的难度加大。企业的唯一选择就是转变思路,让更多的员工参与到“以自身为控制对象”的内部控制评价过程中。员工参与内部控制评价的方式,包括参与评价体系的构建过程和运用内控评价体系实施评估。员工的广泛参与,一方面有利于增强员工的风险管理和内部控制意识;另一方面有利于对企业和业务层面的各类风险进行更透彻的分析和评估,对控制政策和程序的完善性进行有效评价。
【参考文献】
[1] 张维.对我国企业内部控制及其构建的思考[J].华商,2007-10-B.
[2] 毛凤.关于完善内部控制评价机制的思考[J].时代经贸,2008-3-6 .
[3] 赵东方,张莉.基于执行的内部控制评价体系构建之探讨[J].中国注册会计师,2005(4).
[4] 张建儒,王凌,胡福生,王为夏.企业内部控制评价模型的构建与运用[J].财会通讯-理财版,2007(3).
一、引言
我国《企业内部控制基本规范》(以下简称《基本规范》)及其配套指引的,标志着我国企业内部控制框架已经基本建立。从内部控制发展过程来看,如何实施内部控制将成为今后一段时间内理论和实务的热点。内部控制是一个由设计、实施、评价、整改构成的动态过程,内部控制评价是内部控制系统发挥作用的关键。2010年,我国财政部等五部委联合《内部控制评价指引》(以下简称《评价指引》),从制度层面对企业开展内部控制评价提供了依据和标准,但是对于企业开展内部控制评价有关的评价主体、评价内容、评价指标、评价标准和评价方法等相关的可操作性问题有待进一步探讨。
英美等发达国家对内部控制的研究较早,关于内部控制评价,主要是构建内部控制框架和建立数学评价模型。我国对内部控制的研究和实践起步比较晚,近几年,国内学者对内部控制评价进行了大量研究,形成一定的研究成果。陈汉文(2008)指出了有效的内部控制应该具备的特征,并对详细评价法和风险基础评价两种内部控制评价方法进行了分析;骆良彬(2008)采用AHP建立了内部控制评价的模糊数学模型;杨洁(2011)运用工程学中的PDCA循环理论,按计划、执行、检查、改进构建了内部控制评价指标,确立了综合评价内部控制有效性的方法和模型;张兆国、张旺峰、杨清香(2011)以内部控制的五个目标为导向,构建了内部控制评价体系,并运用上市公司数据对评价体系的有效性进行了检验;张先治、戴文涛(2011)结合我国的制度环境,构建了由董事会内部控制评价、注册会计师内部控制审计、政府监管部门内部控制评价组成的三位一体评价模式,按内部控制目标构建了内部控制评价指标体系。
国内学者对内部控制的研究,主要是针对上市公司,基于对外披露目的。从内部控制的发展与演进过程可以看出,按照评价目的不同,可以把内部控制评价分为:财务报告审计目的的内部控制评价、完善目的的内部控制评价、披露目的的内部控制评价、内部控制审计目的的内部控制评价,内部控制的评价目的不同,其评价模式应该有一定的差异。我国企业内部控制建设处于探索并逐步完善的阶段,更多的企业评价内部控制的目的不是为了审计或对外披露,而是不断改进、完善内部控制。本文从完善内部控制角度对内部控制评价进行研究。
二、内部控制评价的内涵
内部控制评价就是对内部控制的有效性进行评价。何为“内部控制的有效性”?国内外并没有一个统一的概念。美国COSO认为,内部控制系统如果能够合理地保证经济实体的经营目标得到实现、财务报表可靠、遵守相关法律法规,则是有效的。加拿大COCO认为,有效控制取决于内部控制系统能在多大程度上合理保证企业目标的实现。我国《评价指引》认为内部控制的有效性包括设计的有效性和执行的有效性,设计有效是指实现控制目标所需要的内部控制要素都存在并且设计恰当,执行有效是指现有内部控制按照规定程序得到正确执行。陈汉文(2008)认为:“内部控制的有效性是指内部控制为相关目标的实现提供的保证程度或水平,有效性不同的内部控制可以提供不同程度的保证。”由此可以看出,国内外的研究成果主要侧重于内部控制能否合理地保证控制目标的实现,若内部控制能够合理保证目标的实现,则有效,反之,内部控制是无效的。
内部控制评价,是评价主体依据一定的评价标准对企业一定时期内部控制合理保证控制目标的实现程度或水平而进行的评价活动。内部控制的评价需要解决五个问题:“谁进行评价?”“评价内容(含评价指标)是什么?”“评价的标准是什么?”“采取什么方法进行评价?”“结果如何?”不同的评价目的,对以上几个问题的回答也就有所不同。
三、基于完善目的的企业内部控制评价体系
(一)评价主体
我国《评价指引》第二条对内部控制评价的描述是:企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。由此可以看出,《评价指引》主要是满足企业对外披露内部控制评价报告的要求,把企业决策层,即董事会或类似权力机构作为内部控制的评价主体。
内部控制的评价目的不同,其评价主体应该有一定差异,如:审计目的的内部控制评价,其评价主体是外部审计部门。基于完善目的的内部控制评价,其评价主体应该是包括董事会和管理层在内的全体员工。首先,内部控制是一个复杂系统,目标多样化,牵涉部门和人员多,《基本规范》明确指出,内部控制的参与者应该是企业董事会、管理层和全体员工,在评价中,由全体员工参与,容易收集到真实而充分的证据,保证评价结果的客观性。其次,从完善内部控制角度来看,内部控制评价目的是了解企业内部控制状况,找出内部控制存在的薄弱环节,改进和优化内部控制系统,促进企业的可持续发展,全体员工参与可以不断提升员工对内部控制的认识,增强员工的主人翁意识,不断优化内部控制环境,最终建立起完善的内部控制。内部控制评价作为一项管理工作,需要划分一定的层次。在评价主体中,董事会领导内部控制评价,是评价的责任主体;管理层组织内部控制评价;各部门的基层人员具体执行内部控制的评价。
(二)评价内容
我国《评价指引》要求企业根据《基本规范》以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,确定内部控制评价的具体内容,我国上市公司的内部控制评价报告也是围绕五要素展开的。基于完善目的的内部控制评价,其评价内容应该围绕五要素展开,同时要考虑我国企业内部控制的整体建设情况。我国企业内部控制建设处于初级阶段,内部控制的突出问题表现在控制活动设计不完善,或者没有得到很好的执行。从长远来看,企业应该切实改善内部控制环境,但从当前看,评价和建设的重点应该放在控制活动和手段上,特别要关注企业重点风险领域和环节、以前年度出现问题的领域。我国《企业内部控制应用指引》(以下简称《应用指引》)的出台,为内部控制建设提供了可操作的标准,该指引共18项,可分为内部环境指引、控制活动指引和控制手段指引三类。从完善内部控制来说,其评价可以按内部环境、控制活动和控制手段来开展。
(三)评价指标
评价指标是内部控制评价内容的细化,是内部控制评价的核心。从完善内部控制目的来说,评价指标可以结合相关规范,根据自己企业的实际情况建立评价指标,本文结合《基本规范》、《应用指引》和《评价指引》,给出适合于一般企业的评价指标。
从国内学者的研究来看,在指标的设置上有两种做法,一种是按内部控制要素或业务流程设置,另外一种是按控制目标来设置。按要素或业务流程来评价,比较直观,可以说明企业内部控制设计和运行情况,但是缺乏综合性,各要素或业务环节有效,不能说明内部控制整体有效,也不能说明是否达到控制目标;按控制目标来设计,综合性强,能够说明企业最终的经营情况,但企业的经营受很多因素的影响,如:整个经济形势、客户经营状况等,企业经营状况好,不一定内部控制就完美无缺,相反的,也不能说明内部控制存在问题。企业只有构建完善的内部控制,才能合理保证企业目标实现。因此,本文认为基于完善目的的内部控制评价指标应包括两类,一类是过程型指标,另外一类是结果型指标。
1.过程型指标
过程型指标,是反映内部控制设计是否完善,是否得到执行的指标。学者的研究较多的是按内部控制五要素设计,这种评价把内部控制看成一个整体,有利于评价内部控制整体有效性。但就像前文中分析的一样,我国内部控制建设处于初级阶段,人们对内部控制的认识不够深入,内部控制的突出问题表现在控制活动中,按五要素进行评价比较抽象,不便于操作,也不便于发现各控制环节存在的问题。我国《应用指引》分为内部环境、控制活动、控制手段三类,企业内部控制也往往以制度形式体现在业务流程中。因此,评价指标按内部环境、控制活动、控制手段设置,更具有适用性和可操作性。
企业内部控制环境是对企业建立和执行控制政策和程序产生影响的各种因素的总称,包括企业组织结构、发展战略、人力资源政策、企业文化、企业社会责任。控制活动是企业在对风险进行评估后,为了将风险控制在可承受范围之内所采取的各种控制措施。在实际工作中,企业的各种控制措施都体现在各项业务中,企业的业务环节一般包括:资金活动、采购活动、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告。控制手段是内部控制的“工具”,涉及企业整体业务和管理,包括:全面预算、合同管理、内部信息传递和信息系统。
内部控制过程有效性的指标由内部环境、控制活动、控制手段一级指标构成,对一级指标又进一步分解,形成18个二级指标(如表1)。这样的指标体系和企业实际的控制制度相吻合,便于对照检查内部控制存在的问题,指标设置有一定的灵活性,企业可以根据情况对二级指标进行增删,若企业没有担保业务、业务外包,可以不要该项指标。
2.结果型指标
结果型指标是反映内部控制设计和执行效果的指标。对于结果型指标,可以按业务环节设置,如对销售环节,可以设置销售额、货款收回率等指标,这种设置方法有利于详细考察部门业绩、分析内部控制存在的问题,但有些业务环节不容易找到指标,且某些指标不是某个业务环节可以控制的。因此,反映结果的指标,围绕内部控制目标设计更合理。我国企业内部控制目标包括经营的效率和效果、法律法规的遵循性、资产的安全性及财务报告的可靠性。
经营的效率和效果是企业建立和健全内部控制最直接的目标,可以通过企业常用的反映偿债能力、资产管理能力、盈利能力及企业成长能力的财务指标来反映;法律法规的遵循性是考察企业是否遵守国家的相关法律法规,用一定时期企业被相关部门罚款的数额和次数来反映;资产的安全性是我国企业内部控制基础的目标,可以通过各类资产的盘亏和毁损数来反映,另外,资产减值损失在一定程度上也反映了资产的减少;报告目标是反映企业是否遵循会计准则的要求,财务报告的编制有无故意或非故意的重大错报,甚至舞弊行为,可以通过重大差错的更正数、重大会计舞弊行为和重大不符合会计准则的行为来考察。
根据上面的分析,构建了4个反映控制结果的一级指标,对一级指标进一步分析,形成16个二级指标(如表2)。
(四)评价标准
评价指标是指对企业内部控制系统的哪些方面进行评价,评价标准是判断企业内部控制是否有效的基准。
对于过程型指标,只能定性描述其标准。各项二级指标,企业可以按照《应用指引》和企业实际,确定主要风险点,进一步明确指标内涵和观测点,便于相关人员做出判断。设计和执行情况可以分为很好、较好、一般、较差、很差五个档次(或者三个档次),每个档次确定一个分值的权重区间,评价人员根据实际情况,给出不同的分数。由于二级指标较多,限于篇幅,本文以一般企业都有的对于企业非常重要的销售业务为例进行说明。销售业务的风险主要是:销售政策和策略不当,市场预测不准确,销售渠道管理不当,导致销售不畅、库存积压;客户信用管理不到位,结算方式选择不当等,可能导致销售款项不能收回或遭受欺诈;销售过程存在舞弊行为,可能导致企业利益受损。根据以上主要风险点,设计销售业务内部控制观测点(如表3)。
对于结果型指标,给出二级指标计算方法或确定方法(如表2),以预算数、行业数或历史数评价作为标准,实际数与标准数比较后,赋予一定的分值,和过程型指标一样,分值也设置一定的区间。
(五)评价方法
评价方法是解决如何评价的问题,即采用一定的方法运用评价指标和评价标准,获得内部控制有效性水平。很多学者使用模糊数学和层次分析法,通过建立数学模型来对内部控制有效性进行评价,这种方法的评价过程科学,评价结果准确,但是相对比较复杂,一般企业由于人员素质等多种原因,难以实施。针对这种情况,采用多因素加权平均法是一种比较理想的选择。
企业把过程型指标和结果型指标的满分都设定为100分,然后层层分解,各二级指标都赋予一定的分值。在对内部控制评价时根据实际情况,得出二级指标的得分。以销售业务为例(如表3),假设企业设定的销售业务的分值为10分,每个观测点分值为2分,评价人员根据实际情况和权重给出了各观测点的得分,则销售业务的总得分为7.6分(为各观测点得分之和)。各二级指标得分之和就是所属一级指标得分,对一级指标进行汇总,就是过程型指标和结果型指标的总分。
把内部控制评价总分得分设为S,在上述评价指标中,反映过程的指标得分设为P,比重设为a,反映结果的指标得分为C,则某企业内部控制总得分用计算式表示为:
S=P*a+(1-a)*C
其中:a介于0%~100%之间,可以由企业组织有关专家讨论后确定。若确定为70%,即表示过程评价占70%,结果评价占30%。
P=■pi; C=■ci
计算出的结果可以分为五档:S≥90,内部控制设计合理,非常有效;80≤S
基金项目:国家社会科学基金重大招标项目“完善国有控股金融机构公司治理研究”(10zd&035);国家社会科学基金项目“企业内部控制综合评价模型与中国上市公司内部控制质量研究”(12BGL032);教育部博士研究生学术新人奖资助
作者简介:戴文涛(1971-),男,江苏丰县人,高级统计师,高级会计师,博士后,主要从事内部控制、公司理财等方面的研究。E-mail:
王 茜(1981-),女,吉林四平人,博士研究生,主要从事财务管理、内部控制等方面的研究。
谭有超(1982-),男,山东德州人,博士研究生,主要从事公司治理与公司财务研究。
摘 要:企业内部控制评价概念框架涉及企业内部控制评价的最基本概念和理论要素,这些概念和理论要素界定了企业内部控制评价研究对象的性质、功能和范围,指导着实务层面上的技术方法和制度建设。鉴于现有成果仅仅研究了企业内部控制评价概念框架的某一方面,有必要以内部控制评价的本质属性作为逻辑起点,研究企业内部控制评价的环境、主体、客体、目标、方法、规范及其它们之间的逻辑关系,从而建立起一个完整的企业内部控制评价概念框架。
关键词:企业内部控制评价;概念框架;逻辑起点;理论要素
中图分类号:F275 文献标识码:A 文章编号:1000-176X(2013)02-0115-08
一、问题的提出
内部控制是现代企业极为重要的一项内部治理机制,担负着纠错防弊、预防和降低企业内部风险、保证组织健康发展的重要职能。本世纪初,美国频发的安然、世通等一系列知名公司的财务舞弊事件导致前总统布什于2002年7月30日紧急签署了被誉为自富兰克林·罗斯福总统时代以来“最彻底的公司改革法案”——萨班斯-奥克斯利法案(Sarbanes-Oxley Act of 2002,简称SOX法案)。该法案的103、302、304条款是针对上市公司内部控制的,它要求公司的管理层对财务报告内部控制有效性进行评价,注册会计师对企业财务报告内部控制进行审计,并将评价结果对外披露。为执行SOX法案,美国Treadway委员会重新审视了1994年的内部控制整体框架存在的问题,并于2004年9月正式《企业风险管理——整合框架》。企业风险管理整合框架涵盖了原来的内部控制整体框架,风险管理的引入,拓展和细化了内部控制[1]。
新的内部控制框架的被公认为是内部控制理论研究的最高成就。然而,雷曼、美林等一些自称或被外部审计鉴证为拥有“健全的内部控制”或“完善的风险管理”的大公司在2008年的金融危机中纷纷破产或被收购,这不仅对内部控制理论形成了巨大的挑战,也使公司风险行为成为学术界、实务界以及政府监管部门关注的焦点[2]。公司内部治理机制的一个基本目标是监管公司的经营政策和财务决策,来保护投资者的利益;风险承担导致的公司价值损失以及当前危机的发生,已经被许多人视为公司内部治理机制的失灵[3-4-5]。从表面看,美国一些知名公司破产或被收购源于次贷危机、监管机构渎职以及政策失误等外部因素,但深层次的原因在于公司内部控制、风险管理机制形同虚设,内部控制信息披露徒具形式。在这样的背景下,公司内部控制质量引起世人强烈关注,从而引发了国外学者展开了新一轮的内部控制评价方法研究。
在我国,随着 “蓝田股份”、“银广厦”、“郑百文”、“中信泰富”和“中航油”等一系列财务舞弊和内控失效事件的频频发生,公司内部控制也成为社会各界尤其是政府监管部门日益关注的问题。借鉴美国COSO内部控制五要素框架形式,同时在内容上体现其风险管理八要素框架实质,我国财政部等五部委在2008年6月28日联合了《企业内部控制基本规范》(简称《基本规范》),并随后了18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》(简称《配套指引》)。《基本规范》连同《配套指引》,共同构建了中国企业内部控制规范体系[6]。
为解决《基本规范》及其配套指引的落地生根问题,我国学者也展开了内部控制评价的相关研究。陈汉文和张宜霞[7]、张龙平等[8]、朱荣恩[9]、杨有红和李宇立[10]、刘明辉[11]、吴秋生和杨瑞平[12]研究了内部控制有效性评价、内部控制审计准则、审计鉴证、内部控制缺陷的识别以及内部控制评价整合等理论问题。杨雄胜[13]、上海市内部审计协会课题组[14]基于案例研究了中国企业内部控制评价制度的现实模式、企业内部控制自我评价。骆良彬和王河流[15]、韩传模和汪士果[16]、王海林[17]、李小燕和田也壮[18]对内部控制评价数学模型、评价指标体系和内部财务控制有效性标准体系进行了探讨;厦门大学内控指数课题组[19]、戴文涛[20]、王宏等[21]、张兆国等[22]基于内部控制要素、内部控制目标实现程度构建了企业内部控制指数。张先治和戴文涛根据我国内部控制内外部监督评价体系目标,结合国内外企业内部控制评价理论和实践状况,构建了中国企业内部控制评价系统[23]。
企业内部控制评价概念框架在内部控制评价研究中处于根基地位,规定着企业内部控制评价研究对象的性质、功能、范围以及实务层面上的技术方法和制度建设。科学地构建企业内部控制评价概念框架对于内部控制评价理论发展和应用研究有着十分重要的意义,但上述内部控制评价研究成果仅仅研究了企业内部控制评价概念框架的某一方面,并没有建立起一个科学、系统的内部控制评价概念框架。基于此,本文在已有研究成果的基础上,对企业内部控制评价概念框架逻辑起点、包含的内容及其逻辑关系进行研究。
二、企业内部控制评价概念框架的逻辑起点
企业内部控制评价概念框架涉及内部控制评价研究的最基本的概念和理论要素,这些概念和理论要素并不是简单地堆砌,而是按照一定的逻辑关系连接成一个具有整体性、系统性和有序性的基本理论结构,决定着企业内部控制评价研究对象的性质、功能和范围。要建立起企业内部控制评价概念框架,其首要问题就是要从诸多基本概念或理论要素中选择一个能够充当构建企业内部控制评价概念框架的逻辑起点。那么,哪一个基本概念或理论要素可以充当企业内部控制评价概念框架的逻辑起点呢?
参照内部控制评价的相关学科如内部控制、公司理财、财务会计的概念框架都是目标起点的做法,国内很多学者认为企业内部控制评价概念框架的逻辑起点是内部控制评价目标。但问题是,内部控制、西方财务学、财务会计概念框架真的把目标作为起点了吗?
首先,看一看内部控制概念框架。美国COSO的内部控制报告分为四个部分,第一部分 “管理层总结”,是对内部控制总体构架的高度总结,是针对总裁、高级管理人员、董事会成员、律师和监管当局而写的;第二部分“总体架构”,对内部控制进行定义,阐述其构成要素,为管理层、董事会及他人提供评估内部控制有效性的准则;第三部分“外部团体报告”,是附件,对那些已经或准备公开披露其对编制财务报表进行内部控制的企业提供指导;第四部分“评估工具”,提供对内部控制系统进行评估的有用资料。我们一般所说的COSO内部控制整体框架主要指总报告的第二部分内容,该部分共分八章,包括定义、控制环境、风险评估、控制活动、信息与沟通、监控等,有研究者如赵顺娣和陈留平将其概括为“一个定义、三个目标、五个要素”[24]。我国五部委联合的《基本规范》第三条首先对内部控制进行定义,指出内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,然后阐释内部控制目标,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。由此可见,COSO的内部控制整体框架和我国的《基本规范》并不是以目标作为起点,而是在对内部控制进行定义(即确定内部控制的性质)的基础上,才最终确定内部控制目标。
其次,看一看公司理财概念框架。李心合认为,从形式上看,西方财务学的起点选择都是目标概念,但是一个值得关注但被忽视的现象是,很少有财务学教科书在阐释目标函数之前不首先对“公司财务”进行“定性”[25]。在研究了美国学者Eugene与Michael合著的《财务管理理论与实践》、William的《财务管理实务》、Stephen等的《公司理财基础》、英国学者PeterAtrill的《财务管理基础》后,李心合指出,西方财务管理学教科书从来都是“性质或本质起点论”,所谓的目标起点论只是国内学者对西方财务学理论的一种不恰当的归纳和认识[25]。
最后,看一看财务会计概念框架。国际会计准则理事会(IASB)的编报财务报表框架和美国财务会计准则委员会(FASB)的财务会计概念框架是国际公认的财务报告概念框架。由于双方意识到消除各自概念框架差异的重要性,2002年10月,IASB与FASB签署“诺沃克协议”致力于会计准则国际趋同,并将建立“联合概念框架”项目列入其趋同计划中。之后,经过六年的精心研究、讨论和反复征求意见,双方终于在确立“决策有用性”为主导的财务报告目标观的基础上,确定了有用财务信息质量特征的新层次结构(见表1所示),并于2010年9月28日正式了自2004年以来合作开展的共同概念框架联合项目(简称“联合概念框架”)第一阶段的成果“目标和质量特征”。作为财务报告概念基础和质量要求的两章框架,总体上说,是有着显著改进和提高的高质量框架文献,是编报企业财务报告基础概念的新篇章[26]。这给了人们一种认识:似乎概念框架的逻辑起点应该是目标。这种认识实际上是一种误解。IASB与FASB的概念公告尽管在阐释形式上“是以目标作为研究起点”,然而事实上,对财务会计的“定性”始终都是“定位”(目标)的前提。如果FASB不是把会计定义为一个经济信息系统, “一项为决策提供经济信息的服务活动”,就不可能有目标概念的“决策有用性”的观点,从这个意义上,财务会计的性质和作用仍是财务会计的前提或基石,是概念框架中高于目标概念的实质上的研究起点[25]。
一项事物,在没有对它“定性”(本质)之前,是不可能有所谓的 “目标”定位的[25]。因此,企业内部控制评价概念框架的逻辑起点应是企业内部控制评价本质。
表1联合概念框架中的有用财务
信息质量特征层次结构
三、企业内部控制评价概念框架内容及其逻辑关系
企业内部控制评价概念框架应该包括哪些基本概念或理论要素,并不取决于人们的主观臆断,而是取决于内部控制评价实践的一般性质(即本质)和要素结构。李心合、张兆国等、杨清香等认为,概念框架主要包括本质、对象、主体、目标、方法、规范(标准)和环境。基于上述观点,下面阐释一下内部控制评价概念框架内容及其逻辑关系[25-27-28]。
1.企业内部控制评价本质——企业内部控制评价是什么
在过去的理论研究和实际操作中,为了一定的实践目的而进行的内部控制评价最为典型,也最为常见。如早期的基于审计目的的内部控制评价、基于企业战略的控制自我评价(Control Self-Assessment,简称CSA)。这种基于实践目的的内部控制评价具有很强的针对性,其本质是作为审计人员和企业的一种审计方法和管理手段而存在,是现代企业内部控制评价的一个测度环节,为具体的实践目标服务。
将企业内部控制评价作为实践中的一个环节来认识,确实可以有效地指导实践。但这种认识往往存在较大的局限性,这就给构建一般的企业内部控制评价概念框架带来了巨大困难,甚至会出现较大的分歧和争议。原因是针对企业内部控制评价本质的认识不同,就会出现完全不同的内部控制概念框架和实践体系。因此,要构建一个一般的内部控制评价概念框架就必须撇开具体的评价实践活动,上升到企业经济本质的高度。按照现代企业理论,企业的经济性质是一个企业与其利益相关者制定的关系契约集合,只要企业同其利益相关者能够建立一个较为合理的契约,并能够有效地加以履行,企业的经营目标就必然能够实现,即企业的经营目标保证了企业与其利益相关者制定的关系契约得以有效的制定和执行。但是由于人的有限理性、信息不对称以及投机倾向的客观存在,使得企业同利益相关者之间最优契约的建立和履行常常存在较大的交易成本。为降低企业同其利益相关者之间的信息不对称,减少企业利益相关者的有限理性和投机倾向给企业经营带来的危害,进而保证各利益相关者能够制定和履行最优契约,保证企业的可持续发展,就必须通过有效的内部控制信息披露。
因此,从经济学的角度看,企业内部控制评价的目的是满足企业利益相关者在制定和履行契约时对企业经营、资产安全和法规遵守等方面的信息需求,企业内部控制评价的本质是一种信息披露形式,它不直接作用于企业的经营活动,仅仅是企业各个利益相关者的决策支持系统。
2.企业内部控制评价环境——在何种制度安排下实施评价
对任何事物进行评价总要基于一定的制度环境。企业内部控制评价环境是指实施内部控制评价所基于的制度安排。由于各国企业制度背景、法律环境、公司治理状况和资本市场发展水平存在着较大差异,所以企业内部控制评价环境存在着显著的不一致。美国基于其企业制度主要形式是公司制、股权较分散、公司法只存在于州的层面、公司治理及资本市场较为完善等特点,建立了“管理层财务报告内部控制有效性评价+注册会计师对管理层财务报告内部控制有效性发表意见+注册会计师对财务报告内部控制进行审计”这样一种制度安排,其目的是通过财务报告内部控制评价强制要求确保财务报告的可靠性,维护市场秩序和市场的有效性。与美国的企业内部控制评价制度安排不同,英国根据其实行自由企业制度、机构投资者持股比重较大以及独特的内部控制法律框架等因素,建立了“董事会内部控制有效性评价+注册会计师对董事会内部控制声明进行审查” 这样一种制度安排,企业内部控制评价范围不仅包括财务报告内部控制,而且涵盖了所有类型的控制,尤其是强调了企业内部控制与企业风险的关系,主要目的是满足企业经营管理需要。
中国存在的特殊制度环境如股权结构较特殊、投资者法律保护不健全、资本市场发展不完善、公司治理机制有缺陷等一方面使得中国不可能完全照搬美国或英国的内部控制评价制度安排,另一方面也决定了中国企业内部控制评价的视角也必须是规制或监管。按照财政部等五部委的《基本规范》及其配套指引的相关规定,结合我国提出的企业内部控制制度体系建立目标,即“通过三至五年的努力,基本建立以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系”,我们认为,张先治和戴文涛提出的“董事会内部控制评价+注册会计师财务报告内部控制审计+政府监管部门(或非盈利性机构)内部控制综合评价”模式是较适合我国制度环境的内部控制评价制度安排[23]。
3.企业内部控制评价主体——企业内部控制评价由谁来实施
从现实情况看,企业内部控制评价主体有谁来担当,这似乎是一个已经解决的问题,因为不论是美国的内部控制法律法规,还是我国五部委的《配套指引》,都规定公司管理层或董事会对企业财务报告内部控制的有效性进行自我评价、注册会计师对财务报告内部控制的有效性进行审计。按照内部控制法律法规的相关规定(不论是美国的还是中国的),董事会(或管理层)和注册会计师确实是企业内部控制评价主体,但必须明确的是,董事会(或管理层)和注册会计师仅仅是企业内部控制内部评价主体。内部控制五要素及其范围主要是基于企业管理者的自我评估模型需要而归纳出(Thomas,1993),企业董事会按照内控五要素进行评价,注册会计师对企业内部控制的有效性发表审计意见,其评价目的主要是满足企业自身评估需要,从评价的过程和目的看,他们都是内部控制内部评价主体。
企业内部控制评价活动按照评价主体的不同可以分为两类:一类是内部评价主体进行的评价活动,另一类是外部评价主体进行的评价活动。在将内部控制评价本质确定为一种信息披露形式、并不直接作用于企业的经营活动、仅仅是企业各个利益相关者决策支持系统的情况下,企业内部控制评价主体主要是指内部控制外部评价主体,而且最好由独立的第三方如政府监管部门和外部评价机构(比如科研机构或类似于美国的标普、穆迪和惠誉等评级机构)组成。在我国,政府监管部门要对企业施行内部控制规范体系的情况进行监督检查[6],要建立以“政府监管部门为主导的,各企业、会计师事务所和中介机构等共同参与的内外部监督评价体系”,所以,我国内部控制评价外部评价主体主要是政府监管部门或外部非营利性机构(比如科研机构)。
在我国,注册会计师不能充当主要的外部评价主体由于以下三种原因:(1)按照《审计指引》,注册会计师仅对企业财务报告内部控制有效性进行评价,而对内部控制审计过程中注意到的非财务报告内部控制重大缺陷是在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这在一定程度上降低了注册会计师的责任,有可能导致注册会计师对企业非财务报告内部控制缺陷重视不够,忽视影响内部控制目标实现的其他重要控制活动的评价(即注册会计师内部控制评价范围不包括企业所有重要的控制)。(2)注册会计师的内部控制评价缺乏综合性。企业内部控制影响因素较多,要对企业内部控制质量作出独立、客观和公正的评价,并指导利益相关者进行决策,就不能仅由注册会计师对企业财务报告内部控制状况作出定性评价,而应当建立一套反映企业内部控制评价本质特征和目标要求的评价指标体系,然后利用科学的方法对评价指标体系的评价结果进行综合,以便对企业内部控制状况进行对比和分析。(3)会计师事务所具有公共性和企业性双重属性。它一方面为股东、 债权人和潜在投资者等提供企业审计报告 ,承担着重大的社会责任;另一方面又是独立经营、自负盈亏的企业。这就使其难以完全保持公正性。
4.企业内部控制评价客体——企业内部控制评价什么
在实务界和理论界看来,在美国COSO内部控制整体框架逐渐获得公众认可、越来越多的美国公司按照内部控制五要素评价企业内部控制状况和我国的《企业内部控制评价指引》和《企业内部控制审计指引》已经正式的情况下,按照《企业内部控制评价指引》和《企业内部控制审计指引》,企业董事会或类似权力机构要围绕内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要素对内部控制的有效性进行全面评价,注册会计师要在实施审计的基础上对内部控制的有效性发表意见。内部控制五要素是董事会(或管理层)和注册会计师的评价对象、是内部控制评价的客体是无需再探讨的问题,但实际上并非如此。内部控制五要素及其范围主要是基于企业管理者的自我评估模型需要而归纳出,评价结果主要满足企业自身的经营管理需要。所以,在内部控制评价本质被界定为一种信息披露形式、并不直接作用于企业的经营活动、仅仅是企业各个利益相关者决策支持系统以及内部控制评价主体主要由政府监管部门或外部非营利性机构(比如科研机构)组成的情况下,将内部控制五要素作为内部控制评价对象显然是不合适的。企业实施内部控制的目的是合理保证内部控制目标的实现,企业内部控制的有效性源自企业内部控制目标的实现程度,内部控制的有效性应当是内部控制为内部控制有关目标提供合理保证的程度和水平;有效的内部控制是为企业内部控制目标的实现提供合理保证的内部控制[7]。因此,企业内部控制评价是对企业内部控制的有效性进行的评价活动,更进一步地,就是指内部控制评价主体根据一定的内部控制评价标准对企业在一定时期内(通常是一个财务年度)的内部控制合理保证内部控制目标的实现程度或水平所进行的评价活动[23],内部控制评价的客体是企业内部控制目标的实现程度和水平。
5.企业内部控制评价目标——企业内部控制评价要达到什么目标
任何一种概念框架都有目标,如财务概念框架、内部控制概念框架和公司财务概念框架,内部控制评价概念框架也不例外。内部控制评价是对企业内部控制进行的评价活动,是对企业内部控制的再控制,所以,内部控制评价目标应当与内部控制目标相适应,内部控制评价目标的确定应当依据内部控制目标。
美国的COSO把内部控制界定为合理保证财务报告的可靠性、经营活动的效率、效果以及法律法规的遵循等三个目标的实现,我国的《基本规范》为企业内部控制规定了五个方面的目标,即合规性目标、安全目标、报告目标、经营目标和战略目标。但是我们认为:企业目标是企业的最高目标或终极目标,不管是COSO的企业风险管理四目标,还是中国的内部控制五目标,都应当与企业目标相一致。为此,企业内部控制目标应分为整体目标(或基本目标)和具体目标两个层次,以解决和企业目标的协调问题。
当今企业是在一个经济全球化、市场竞争日趋激烈的环境中经营,风险是每一个企业面临的最大危险,生存即企业可持续是企业最基本的需求,其次是发展和盈利。发展是企业可持续的重要保证,而盈利则是企业的最根本目的。按照一般公认的观点:企业目标是企业价值最大化,所以企业内部控制的整体目标(或基本目标)是实现企业的可持续发展和企业价值的最大化。在该目标下,可以将其细分为保证财务报告的真实可靠,防止错误和舞弊的发生;加强企业的经营管理,提高经营的效率和效果;保障企业资产的安全和完整;遵守现行的法律和法规以及促进企业战略目标的实现等具体目标。
企业内部控制评价是对企业内部控制活动的再控制,其目标要与内部控制目标相适应,在企业内部控制整体目标(或基本目标)确定为实现企业的可持续发展和企业价值最大化的情况下,内部控制评价目标就是降低或规避企业风险、增加企业价值。
6.企业内部控制评价方法——如何实施企业内部控制评价
对企业内部控制状况进行评价,并要保证评价结果的可接受性,就必须选择科学、有效的评价方法。企业内部控制评价方法按照评价结果表现形式的不同可以分为两类:一类是定性评价方法,另一类是定量评价方法。
定性评价方法与内部控制评价程序(或步骤)相联系,通常根据评价步骤的不同又可选择不同的评价方法。内部控制评价步骤一般包括调查了解、健全性测试、符合性测试和综合评价四个阶段。在制度调查阶段,可供选择的评价方法主要有查阅法、询问法、观察法和调查表法等;在健全性测试阶段,通常使用记述法(文字说明法)、调查表法和流程图法等评价方法;在符合性测试阶段,证据检查法、穿行试验法和实地观察法等是常用的评价方法,而在综合评价阶段,对比分析法、资料汇总法、逐项列举法等较为常用。
定量评价方法是在一套反映企业内部控制评价本质特征和目标要求的评价指标体系基础上,通过一定的评价模型,将企业内部控制状况评价结果转化成一个具体分值(通常称作内部控制指数)的评价方法。定量评价方法按照权数产生方法的不同大致可以分为两类,即主观法和客观法。所谓主观法,即根据经验和重要程度人为给出权数大小,再对指标进行综合评价。主观定权的方法有层次分析法、综合评分法、功效系数法、指数加权法和模糊评价法等。所谓客观法,即根据指标自身的作用和影响确定权数再进行综合评价。这类方法有熵值法、主成分分析法、变异系数法、聚类分析、判别分析等多元统计分析方法。由于上述综合评价方法各有所长,人们往往根据评价指标性质和评价目的选择配合使用。将层次分析法(即AHP方法)与模糊综合评价方法相结合构造多层模糊综合评价模型是一种综合运用两种方法优点的科学方法,非常适合企业内部控制综合量化评价。
7.企业内部控制评价规范——企业内部控制评价标准
对企业内部控制状况进行评价,还必须要有一定的的评价规范(或评价标准),没有评价标准,企业内部控制质量就无法判断。美国的COSO委员会在其《内部控制整体框架》不久,就提出了判断内部控制有效性的三项标准,即公司董事会和管理层了解经营目标的实现程度;公布的财务报告的编制是可靠的;使用的法律法规得到了遵循。随后,加拿大的CoCo委员会、英格兰和威尔士特许会计师协会、最高审计机关国际组织、我国的《基本规范》等纷纷推出了自己的内部控制评价标准。但总的来说,这些标准过于原则和抽象化(虽然加拿大的CoCo制定了用于评价各项内部控制目标的20条具体标准),还不能有效地指导内部控制评价实践。
内部控制评价方法有定性评价方法和定量评价方法,与之相对应,内部控制评价标准也存在定性评价标准和定量评价标准。定性评价标准是对评价对象做出定性结论的价值判断标准,可分为一般标准和具体标准。内部控制评价的一般标准是应用于内部控制评价的各个方面的标准,是企业内部控制系统整体运行应遵循和达到的目标;内部控制评价具体标准是应用于内部控制评价具体方面的标准,是具体的内部控制系统运行应遵循和达到的目标。内部控制评价一般标准和具体标准之间存在密切的关系,内部控制评价具体标准是一般标准的基础,一般标准是具体标准的升华。
关键词:内部控制 评价体系 发展现状 构建
一、我国企业内部控制评价体系的发展现状
内部控制评价是对企业内部控制系统的设计和执行的有效性进行调查、测试、分析和评价的活动。它是内部控制中必要的系统性活动,是内部控制设计、实施、评价、反馈、改进等连续的动态过程。它能有效提升内部控制环境,做到全员参与内部控制;监督内部控制的执行情况,提高内部控制效果。
20世纪80年代末至90年代初,随着内部控制的发展,内部控制在实施过程中暴露出较多的局限性。于是内部控制评价鉴于自身的优点,在我国逐渐受到专业人员的关注,但此时的内部控制评价还只是作为一种审计方式,企业自身并没有对内部控制评价过于关注。90年代后期以来,我国政府开始重视内控评价的规范化建设,审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范,各政府主管部门也在积极推动企业内部控制建设,以指导企业制定适合业务特点和管理要求的内控制度。虽然这些规范对于推动企业加强内部控制建设起到了相当大的作用,但总体而言,我国内部控制的规范体系尚未建立,内部控制评价方面也存在不少问题。
(一) 内部控制评价主体不明确
现行的《审计准则》只要求注册会计师对与企业财务报告相关的内部控制进行评价,由注册会计师定期通过外部评价来完成。但随着经济发展,这已经不能满足企业内部管理和战略目标实现的要求,内部控制评价应该内部化,即由董事会中的内部审计委员会来实施。而实际上有相当一部分的企业没有正式的审计委员会。很多上市公司中虽设有专门的内部审计机构,但缺乏独立性,有的隶属于总经理,有的隶属于财务部门,内部审计职能很难真正实现。
(二)内部控制评价标准不统一
目前,企业内部控制系统一般是参照财政部颁布的《内部会计控制规范》系列进行的,注册会计师内部控制审核业务是参照《内部控制审核指导意见》进行的。审计署、财政部等各部门出台的关于内部控制评价方面的规范对于推动企业加强内部控制建设起到了相当大的作用,但对如何具体实施内部控制评价尚未明确规定,再加上有相当多的企业对内部控制评价一些核心和基本问题缺乏清晰的认识,便导致各个企业对于内部控制评价效果无法进行横向比较。总之,由于缺乏一套完整的内部控制体系,造成内部控制的评价缺乏统一的标准。
(三)内部控制评价目标不清晰
我国企业内部控制的主要目的仍主要局限在保证业务活动的有效运行,保证会计资料真实、合法与资产的安全和完整方面,从其本质上来说基本上处于内部会计控制阶段。内部控制的现状导致内部控制评价大都站在报表审计的角度上,对报表数据的公允性和真实性测试和评价,没有将内部控制评价内容扩展到公司治理及公司战略规划的动力方面,导致评价主体内容发生偏离。
(四)内部控制评价缺乏综合性
目前,我国内部控制评价的内容主要是对与财务报表相关联的内部控制制度进行评价,对其他要素的评价尤其是对企业内部控制环境不够重视,这种做法没有使企业管理与内部控制目标相匹配,会导致内部控制评价的不全面,有时甚至会导致错误的结论。
二、构建企业内部控制评价体系的措施
(一)以风险管理理念为纲
风险管理始终是内部控制的核心问题,我们在构建内部控制评价体系时,也应该以风险管理理念为基础,通过风险导向的内部控制评价、分析、揭示关键性的风险点并确定重点评价领域和环节,这样既可以抓住内部控制的关键问题,也可以提高内部控制评价的效率和效果,并可在一定程度上节约内部控制评价的成本。
(二)正确界定内部控制评价的目标
原有的内控评价目标大都从审计角度出发,考核企业所制定和执行的内控制度能否达到可靠性、合法性、经营效率和效果。而在实际操作中,其侧重点更多的是关注于可靠性和合法性,相比较而言,经营效率和效果在内控评价中受到的关注则很少。随着人们对内部控制认识的逐渐深入和企业实际发展的需要,构建内部控制体系的目标不仅要满足监管部门对于信息提供和披露方面的需求,更要有助于企业战略目标以及企业经营的效果和效率的实现。因此,内部控制评价的目标应该是从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。
(三)结合企业实际,确定内部控制评价标准和方法
实际操作中,有以下几种内控评价标准模式:(1)coso报告中的5个要素标准, 即将内控项目按coso 5个要素进行细分,再按照coso中每一要素的必要条款确定评价标准;(2)采用一般标准和具体标准作为评价标准,其中的一般标准主要指内控制度的完整性、合理性和有效性;具体标准由内部控制要素评价标准和作业层级评价标准两部分组成;(3)结果评价标准和过程评价标准,其中结果评价标准主要是指考核内控目标的达到程度,而过程评价标准主要指内控执行过程中的有效程度如何。
内控项目评价的方法多种多样,企业在选择构建内控评价系统方法时,应结合自身情况,选择合适的方法。
(四)全员参与内控评价过程
全员参与内控评价过程是内部控制发展的必然趋势。首先,作为评价对象的内部控制系统包含多重目标,涉及企业多个层面和各项业务,仅仅依靠个别部门实施评价工作不仅增大了该部门的工作量,其质量也难以得到保障。其次,随着生产技术、信息技术和组织结构的不断演化,知识和信息在组织中呈现向一线集中的趋势,这使得控制和评价的难度都在加大。再次,通过全员参与的形式,可以增强员工的风险管理和内部控制意识,进而在企业内部形成有利于内部控制的良好环境。
三、结束语
我国关于企业内部控制评价体系的研究起步较晚,无论是在理论还是实践方面,都存在许多缺陷需要不断弥补。我们在构建企业内部控制评价体系时,应当充分借鉴国外的经验,弄清评价目标、评价主体、评价方式、评价标准、评价程序等内容,并结合企业自身情况,构建切实可行的评价体系。唯有如此,评价体系才能真正发挥作用,规范内部控制的执行,促进企业战略目标的实现。
参考文献:
[1] 陈吉东,如何实施内部控制的自我评估[j].财会月刊(理论),2007,(12):84-86
[2] 陈志斌,陆瑶.内控规范制定机制研究[j].会计研究,2008,(4):62-69
什么是内部控制?理论界存在各种观点。由于表述众多,本文仅选择几个权威定义进行分析。
1949年,美国会计师协会的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的发起组织委员会(COSO)报告《内部控制-整体框架》(即“COSO报告”)。该报告将内部控制定义为:是受企业董事会、管理当局和其他职员的影响,目的在于取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。
我国1997年开始实施的《独立审计具体准则第九号-内部控制与审计风险》的定义是:“内部控制是被审计单位为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。”
上述三个定义具有几个共同特点:一是都将内部控制解释为一种政策或程序(过程);二是都在定义中说明了内部控制的目标;三是都是从审计的角度做出的定义。笔者认为,这些定义普遍存在以下几个缺陷:
1、定义出发点过于狭隘。控制是一个应用非常广泛的概念,有生产控制、人口控制、经济控制、军事控制等,从不同的角度(学科)出发,会给出不同的控制概念。虽然内部控制与审计存在密切的联系,但是,不论从内部控制的产生,还是内部控制的现实需要来看,内部控制都应该属于管理范畴。“可以肯定地说,内部控制最初是在组织中内生的,而不是外力(外部管制、规范的要求;审计)催生的。”(方红星,2002)并且,我国建立内部控制制度,制定《内部会计控制规范》的直接目的也不是为了审计需要,而是提高会计信息质量,加强单位内部管理的迫切要求。过去,由于一直把内部控制与审计相联系,企业对建立内部控制制度缺乏积极性,甚至产生抵触心理,这在一定程度上阻碍了内部控制的建立和实施。如果我们从管理学的角度重新认识内部控制,把它作为单位内部管理的手段和方法,相信内部控制必然会得到各单位的高度重视,从而自觉地加强内部控制制度的建设。
2、没有明确内部控制的主体和客体。任何一种控制系统,都既应该有施控主体,也应该有受控对象(客体)。一般认为,内部控制的客体是人、财、物及其在经营过程中所形成的一系列组合关系和组合形式。这一点几乎没有争论。存在争论的主要是内部控制的主体问题,第一种观点认为,内部控制主体是单位经营者。但是,经营者如何界定,又存在五种观点:①包括董事长、总经理;②包括董事会成员、总经理班子;③包括董事会成员、总经理班子、党员班子;④包括董事会成员、总经理班子、党委班子、监事会成员;⑤包括董事会成员、总经理班子、党委班子、监事会成员、工会主席。第二种观点认为,单位内部经营管理者和广大职工群众在内的所有员工都构成内部控制的主体,单位中每一个员工既是内部控制的主体,同时又是内部控制的客体(课题组,2001);第三种观点认为,内部控制主体既包括所有者(股东),也包括经营者,分为两个层次(阎达五、宋建波,2002)。但有的学者将董事会纳入所有者范畴,有的学者则将董事会作为经营者;第四种观点认为,内部控制主体包括股东、经营者、管理者和职工四个层次(郑石桥等,2000)。
笔者认为,要正确认识内部控制的主体,首先必须区分单位内部控制主体和单位外部控制主体。我们可以借鉴财务会计(外部会计)和管理会计(内部会计)的划分方法,股东(或股东大会)属于会计信息的外部使用者,只能作为单位外部的控制主体。股东、监事会、董事会和经理之间的相互关系,通过公司治理结构加以解决。不能混淆公司治理结构和内部控制的关系,不能把内部控制的范围无限扩大化。监事会作为股东监督企业的代表,属于外部监督,也不应纳入单位内部控制主体。董事会虽然是所有者的代表,但同时也是企业的经营者,是企业的法人权力机构和法人代表机构,因此董事会应该作为重要的内部控制主体。另外,企业的经理人、管理者和广大职工也都是内部控制主体。一般认为控制仅指上级对下级的控制,这其实是误解。控制是相互的,上级控制下级,下级(职工)也可以控制上级(经营者和管理者)。中国企业提倡的民主理财、群众监督就是一种很好的、以职工作为控制主体的内部控制方式。
3、忽视了控制主体不同,内部控制目标存在差异的客观现实。内部控制是控制主体意志的体现,控制主体不同,控制目标也会有所不同。并且,控制目标还要受到内部控制环境的影响和制约,即使控制主体相同,控制环境发生变化,内部控制目标也会发生相应改变。例如以董事会作为控制主体的内部目标和以一般职工作为控制主体的控制目标显然是不同的。在目前所流行的内部控制定义中,都把内部控制目标固定地、不分控制主体地加以笼统表述,似不科学。
综上分析,笔者将内部控制定义为:内部控制是在一定的环境下,单位内部控制主体为了达到其特定目标所采用的一系列的管理程序和方法。
二、内部控制的目标
目前会计界对内部控制目标的研究缺乏针对性。一般都在内部控制的定义中对内部控制目标加以笼统阐述。在现代企业中,内部控制主体包括董事会、经理人、管理者和广大职工。内部控制目标应该针对控制主体不同存在差异。
1、以董事会为主体的内部控制目标。在公司治理结构中,董事会既是股东代表,也是企业的经营决策者,因此,其内部控制的目标既包括对外目标,也包括对内目标,对外目标是实现股东利益最大化(如英国和美国)或利益相关者利益最大化(如日本、德国)。对内目标是保证公司经营的有效性和合法性、保护公司财产安全、保证会计信息的真实和完整。
由于董事会的双重身份,两个目标时常会发生冲突,董事会在内部控制结构中就显得尤为重要。然而,目前董事会在很大程度上掌握在“内部人”手中,经营者实质上控制了董事会,作为股东代表的控制目标很难实现,损害广大股东的利益也就不足为奇,因此应该对董事会的职责和人员组成进行改革。
2、以经理人为主体的内部控制目标。经理人受聘于董事会,是经营执行者,是法人之人。因此,其内部控制的主要目标就是完成董事会的各项受托责任,包括:保证公司经营的有效性和合法性、保护公司财产安全、保证会计信息的真实和完整。该内容与董事会的内部控制目标基本一致。
3、以管理者为主体的内部控制目标。管理者是企业内部各个责任中心的负责人,是经营者的受托人。其内部控制的目标主要是完成各项责任目标。
4、以职工为主体的内部控制目标。职工是企业中委托关系的最后一层,其内部控制的主要目标就是完成其岗位责任。
总之,内部控制体系由上述四个层次共同构成。在四个层次中,以董事会为主体的内部控制处于最高层次,同时,由于董事会是企业的法人代表机构,董事会的内部控制目标代表着企业的内部控制目标,也是其他控制主体的直接或终极控制目标。
三、内部控制的基本假设
目前会计界尚未提出内部控制假设这一命题。笔者认为,内部控制是建立在一定假设基础之上的,这些假设包括单位实体假设、可控假设、复杂人性假设和不串通假设。离开了这些假设,内部控制就不能存在。
(一)控制实体假设
控制实体是指内部控制为之服务的特定单位或部门。控制实体假设是对内部控制活动的空间范围所作的限定。它要求内部控制应当以特定单位或部门的人、财、物及其在经营过程中所形成的一系列组合关系和组合形式进行控制。控制实体由于控制主体的不同而不同,可以是企事业单位,也可以是单位内部某个部门。
(二)可控性假设
内部控制是控制主体对控制客体所实施的控制。相对于控制主体而言,控制客体必须是可以控制的。否则,内部控制将形同虚设。在确定各级控制主体的控制范围时,只有主体能够控制的对象,才能够纳入内部控制体系。各项内部控制制度都是在这一前提的基础上建立起来的。
(三)人性假设
内部控制的实质是对人进行约束和激励的一种机制。这种机制必须建立在对人性假设的基础之上。人性假设就是关于人的本质是什么的假设。1965年,薛恩(E.H.Sein)将此前关于人性方面的观点归为三类,即理性—经济人假设、社会人假设、自我实现假设。薛恩在分析了这些人性假设理论之后提出复杂人性假设,他认为,人性是复杂的,人们的需要与潜在欲望是多种多样的,而且这些需要会随着各种条件的变动而不断改变。
(四)不串通假设
内部控制的核心是内部牵制,即不相容职务恰当分离。这样可以避免或减少一人单独从事和隐瞒不合规行为的机会。但是,如果两个或更多的人串通舞弊,则可以逃避控制,使内部控制形同虚设。这既是内部控制的局限之一,也是其建立的基本前提或假设。离开了这一假设,内部控制(特别是内部牵制)根本无法建立。
四、内部控制的基本原则
