【摘要】本文通過對現有內部控制最新成果COSO理論的述評,研究中國企業內部控制構建與完善框架。
2001年以來,全球會計舞弊案件頻發。人們對企業會計信息更加關注。在過去,是單純通過報表審計關注結果,而在新情況下,則是既通過報表審計關注結果,又要通過構建和完善與財務報告相關的內部控制關注會計信息的生成過程。
一、內部控制理論新成果——COSO報告
從歷史的角度來看,內部控制理論大致可以劃分為內部牽制思想、內部控制制度、內部控制結構與內部控制整體框架等幾個不同的階段。到上世紀90年代,美國提出內部控制整體框架思想,這一思想成果集中體現在為國際理論與實務界共同推崇的COSO報告。COSO報告認為,內部控制是一個包括概念、要素和目標在內的理論框架。
(一)內部控制概念
對COSO內部控制概念可以從3個方面來理解:
1.內部控制是動態過程。內部控制是一個過程,是實現目標的手段,而不是結果本身。組織目標是由組織的宗旨決定的。它包括具體目標和實現目標的效率。內部控制是防止那些可能影響組織目標有效率地實現的風險因素造成實際損失、或者使損失降低到最低限度的,貫穿于組織各項活動中的一系列行為或措施。環境影響內部控制,內部控制隨環境變化而變化。
2.內部控制受人員溝通程度的影響。內部控制受到組織內各層次人員的影響,而不僅僅是簡單地制定出一本制度手冊或規章。單純的規章制度只是一種機械的控制措施。組織雖然按照規章制度來運行,但人是具有個人目標、個人情感的能動性個體,他們可以在很大程度上影響規章制度的實施效率和效果。他們的行為可能受到其個人利益的驅使,也可能受其誤解或抵觸情緒的驅使。因此,內部控制必須建立在充分溝通的基礎上。
3.內部控制提供的是合理保證。對管理層或董事會而言,內部控制提供的只是合理的保證,而不是絕對的保證。內部控制措施,無論設計得多么完美、運行得多么好,組織目標實現的可能性受到內部控制制度所固有的局限性影響,內部控制也僅能為董事會和管理部門實現組織目標提供合理的保證。
(二)內部控制要素
在對內部控制概念進行界定的基礎上,該框架認為,一個完善的企業內部控制系統應該包括五類要素:
1.控制環境
控制環境提供企業紀律與架構,塑造企業文化,并影響企業員工的控制意識,是所有其它內部控制組成要素的基礎。控制環境的因素具體包括:誠信的原則和道德價值觀;評定員工的能力;董事會和審計委員會一一組成這兩個機構須考慮的因素主要包括:成員的經驗,相對于管理層的獨立性,外部董事的比例;其成員參與管理的程度,所采取措施的適宜性,對管理層提出問題的深度和廣度,他們與內部、外部審計人員的關系實質等;管理哲學和經營風格——主要考慮:對待和承擔經營風險的方式,依靠文件化的政策、業績指標以及報告體系等與關鍵經理人員溝通,對財務報告的態度和所采取的措施,對信息處理以及會計功能、人員所持的態度,對現有可選擇的會計準則和會計數值估計所持有的謹慎或冒進態度等;組織結構——即公司活動提供計劃、執行,控制和監督職能的整體框架;責任的分配與授權;人力資源政策及實務。
2.風險評估
每個企業都面臨著來自內部和外部的不同風險,這些風險都必須加以評估。評估風險的先決條件是制定目標。風險評估就是分析和辨認實現所定目標可能發生的風險。
3.控制活動
企業管理階層辨識風險,繼之應針對這種風險發出必要的指令。控制活動是確保管理階層的指令得以執行的政策及程序,如核準、授權、驗證、調節、復核營業績效、保障資產安全及職務分工等。控制活動在企業內的各個階層和職能之間都會出現。這主要包括:高層經理人員對企業績效進行分析;直接部門管理;對信息處理的控制;實體控制;績效指標的比較和分工。
4.信息與溝通
企業在其經營過程中,需按某種形式辨識、取得確切的信息并進行溝通,以使員工能夠履行其責任。信息系統不僅處理企業內部所產生的信息,同時也處理與外部的事項、活動及環境等有關的信息。企業所有員工必須從最高管理階層清楚地獲取承擔控制責任的信息,而且必須有向上級部門溝通重要信息的方法,并對外界顧客、供應商、政府主管機關和股東等做有效的溝通。
5.監控
內部控制系統需被持續監控。監控是由適當的人員,在適當及時的基礎上,評估控制的設計和運作情況的過程。監督活動由持續監督和個別評估所組成,其可確保企業內部控制能持續有效的運作。
(三)內部控制目標
COSO報告認為,企業建立完善的內部控制體系,旨在達到以下三個目標:
1.經營的效率和效果;
2.財務報告真實、完整;
3.恰當地遵循了相關法律、法規。
二、COSO報告下的內部控制框架理論是否通用
同以往的內部控制理論及研究成果相比,COSO報告不管是《內部控制——總體框架》還是2004年10月增補擴充后的《企業風險管理——總體框架》,都提出了許多新的、有價值的觀點。具體體現在:明確了內部控制的“責任主體”;強調內部控制應該與企業的經營管理過程相結合;強調內部控制是一個“動態過程”;強調“人”的重要性;強調“軟控制”的作用;強調風險意識;強調管理與控制的界限等。
但是,值得注意的是,COSO報告下的內部控制框架對內部控制的定義及董事會作用的強調是符合美國股權高度分散這一企業所有權結構的。因為英美公司治理是典型的外部控制主導型公司治理模式。在這種模式下,分散的股東無法對公司決策施加有效的影響,從而形成了“弱股東,強管理”的格局。在這種情況下,單個股東難以對企業內部控制的設計、運行和監督產生實質性作用。為了避免內部人在管理企業過程中侵犯所有者利益,強調并通過立法的形式明確并規范以獨立董事占多數席位的董事會在企業內部控制中的作用,加強對公司經理層的監督和約束,從而維護股東權益。而我國的公司治理結構“內部人控制”現象嚴重,控股股東“一股獨大”,有些控股股東操縱上市公司的股東大會、董事會和監事會,使股東大會、董事會、監事會形同虛設,造成內部控制失效。因此,在研究中國企業內部控制問題時,應在COSO報告內部控制定義的基礎上,視企業的具體情況強調和注重股東會尤其是控股大股東在企業內部控制體系中的作用。在這一基礎上,運用COSO報告內部控制框架研究中國企業的內部控制現狀與改進才會有更強的針對性和實際意義。
三、中國企業內部控制構建與完善框架
(一)加強法律法規等強制性來約束準則規范
應盡快加強有關企業內部控制方面的法制建設以及內部審計和獨立審計等相關方面的行業準則的制定,為提高企業內控提供外部監督和指導。同時,建立和強化內部控制責任機制,加大企業相關違規成本,使得建立和完善內部控制體系成為企業的一種法律責任。目前,我國《審計法》和《獨立審計準則》等對企業內部控制雖有論及,但都是從審計角度出發的,對企業而言并未形成內控整體框架;《會計法》也沒有對企業內部控制提出具體可行的規定。在完善內部控制規范時,有條件地借鑒COSO理論精華,要注意從以下幾個方面予以加強。
1.拓展內部控制的目標
COSO報告框架的內部控制目標包括經營目標、報告目標和合規性目標三個方面,而我國內部控制的目標僅局限于報告目標和合規性目標。我國應拓展內部控制的目標,由目前的報告目標、合規性目標向經營目標擴展,以激發企業對內部控制建設的關注和需求。
本文原文
2.豐富內部控制的責任主體
2006年2月我國頒布的《獨立審計準則第1211號——了解被審計單位及其環境并評估重大錯報風險》已將內部控制的責任主體向上擴展到治理層(董事會),向下擴展到其他員工。應將這種理念運用到我國內部控制基本規范中,豐富內部控制責任主體,由單一主體向多元主體發展。如前面所分析,值得注意的是COSO報告下的內部控制框架對內部控制的定義及董事會作用的強調是符合美國股權高度分散這一企業所有權結構的。而同時,筆者認為,在研究中國企業股東對內部控制的影響及作用時,必須要把股東劃分為大股東和中小股東兩個層次。因為在中國特有的經濟背景下,上市公司的股權結構基本屬于“一股獨大”的情況,中小股東對企業的影響很小甚至沒有,而大股東通過參與高層管理操縱內部控制的情況卻非常普遍。在界定董事會對內部控制所富有的職責時,必須強化大股東層面對內部控制的責任與義務。
3.建立科學的內部控制規范體系
對于我國目前內部控制規范中存在的各種缺陷,有關部門應加快對內部控制規范的修訂,甚至重新制定。考慮到我國的實際情況,可以建立內部控制基本規范和具體規范兩個層次:基本規范應是一套類似于美國COSO報告那樣的概念性的制度框架,具有強制力;具體規范可以是具有可操作性的規則,應是參照性的。有關部門應將內部控制規范的建設提到日程上,建立一套科學的內部控制規范體系,為企業的內部控制的自我評估和外部審計師的內部控制審計提供評價依據。關于這一點,在財政部2006年起草的《內部控制征求意見稿》中,已有所體現。
(二)證券監管機構的職責界定
企業尤其是上市公司一般只對外披露財務會計信息,人們關心的也是每股收益等數字。對于企業內部控制,人們常常疏忽。而獨立審計人員則體會到信息的真實可靠,來源于企業內部控制,內部控制越好,其信息就越可靠,審計實質性測試就可相應減少;注冊會計師在審計中雖然會對企業內控進行評審,但一般注重內部會計控制,并且由于審計的時間范圍和技術的局限性,企業內控情況并不能充分了解和揭示;為了提高企業內控意識、提高其信息質量,企業有必要在進行內部控制自我評估后,向社會公開披露其內控信息。而在這一過程中,要使得企業內部控制披露機制真正發揮作用,就必須要界定好證券監管機構的相關職責。
(三)強化企業內部控制的自我完善
1.企業內部控制目標的定位與企業的發展戰略相結合
按照COSO報告框架的要求,內部控制目標應該包括三個方面:經營的效率和效果、財務報告的可靠性以及相關法規的遵循性。筆者認為,企業在構建和完善內部控制時,必須結合自己發展所處階段和內外部條件,按照SWOT分析法,將內部控制目標的確定與企業發展戰略相適應,以使內部控制體系具有可操作性和針對性。
2.在統一的框架內構建和完善符合企業情況的內部控制體系
有了微觀層面統一的內部控制規范和體系,企業要按照COSO框架中的五個要素,適當借助外部中介機構的力量,在對控制環境進行深入的調研與分析的基礎上,構建適合自己企業情況的、具有可操作性的微觀層面內部控制制度與體系。
(四)會計師事務所的外部監督
目前我國注冊會計師接受委托執行的內部控制制度審核業務,參照的是中國注冊會計師協會印發的《內部控制審核指導意見》,發表的是審核意見。建議將外部審計師對內部控制的評價確定為一項獨立的強制性的審計業務,并研究制定內部控制審計準則,強化外部的內部控制審計制度,促使企業管理層對內部控制的落實和運行。
筆者認為,在借鑒COSO報告內部控制理論時,必須考慮到“拿來”理論產生的環境與土壤,充分考慮中國企業的產生背景與實際情況。在此基礎上,構建宏觀層面的內部控制規范體系和微觀層面的內部控制實施框架才是切實可行的。
