內部控制理論概述
內部控制首先是在企業內部牽制制度的基礎上發展起來的,而后隨著財務丑聞和經營失敗,內部控制理論不斷得到相關部門的重視而得以發展完善。美國特雷德威委員會的調查顯示,近50%的財務舞弊案件是由于或部分地由于內部控制失敗造成的。大量違規事件的發生,促使美國COSO委員會于2004年出臺了COSO文件的升級版本《企業風險管理—整合框架》,在內涵構成上拓展、延伸為企業風險管理的八要素:目標設定、內部環境、風險確認、風險評估、風險管理策略選擇、控制活動、信息溝通和檢查監督。我國相關部門也相繼出臺了一系列文件來幫助企業規范和建立內部控制體系,然而企業的內控體系建設并不完備。德勤公司2008年的統計結果顯示,我國超過半數(56%)的126家受訪公司尚未建立內部控制機制或其內控機制仍未完善。
從內部控制概念的演進過程可以看出,伴隨著新問題和新的財務失敗案件的出現,內部控制的概念也隨之不斷得到補充和擴展,從最初的會計控制到會計控制和管理控制并行,再到后來的三要素內部控制概念。同時,內部控制的構成要素也經歷了 三要素、五要素的演進,最終內部控制本身也擴展成為操作風險管理的八要素概念。這種概念的演進一方面使得內部控制涵蓋的內容更加全面,但另一方面,這種范疇的逐步擴大逐漸模糊了內部控制與公司治理、內部控制與風險管理的界限,增大了企業構建內部控制體系的難度,也在一定程度上降低了其現實指導意義。
企業內部控制存在的問題
調查統計顯示,近50%的財務舞弊案件都是由于或部分地由于內部控制的失敗引起的,那么企業精心設計的內部控制為什么會不起作用呢?本文認為主要有以下三方面的原因:
(一)外力作用導致的內部控制失效
企業的內控機制是在一定的環境下發揮作用的,企業的內部控制環境主要包括產權制度、治理結構、組織制度和企業文化等。當企業的內部控制有效運行依賴的環境不存在時,設計再完善的內控機制也無法發揮作用。縱觀一些大案的發生,并不是這些企業或機構沒有建立內控機制或者機制不完善,恰恰是因為缺乏保證內控機制正常運行的環境,即在治理結構、企業文化及產權制度等方面存在問題。因此,內部控制的建設應該與公司治理、企業文化等建設相輔相成,在脫離內控環境的情況下談內控建設是沒有意義的。
(二)內控體系的不完備性
內部控制體系建設在給企業帶來效益的同時也會產生相應的內部控制成本,因此,企業應該遵循成本—效益原則,找到最佳的內部控制點。內部控制的效益體現在有效的內部控制可以降低風險的發生以保證業務的順利進行和決策目標的實現上。內部控制的成本包括直接成本和間接成本:直接成本包括各種檢查費用和有關人員工資等;間接成本指因實施內部控制而造成的各種損失,如人員增加、業務制約以及業務范圍限制等造成的效率損失。一般說來,在內部控制建設初期,制度的從無到有、從不成熟到逐步成熟會使內部控制的邊際效益遞增,此時內控建設造成的業務限制以及業務范圍限制等效率損失也相對較低。然而到達一定程度后,內部控制的再建設主要表現為細小環節上的完善,此時內控假設的邊際效益是遞減的,而業務限制等帶來的效率損失與前期相比則會表現出較大幅度的上揚,因而其邊際成本是遞增的。對內部控制的直接成本而言,檢查費用和有關人員工資等直接成本與內控建設程度存在正的線性相關關系。內控機制邊際成本、邊際收益曲線(見圖1)。從圖1可以看出,內部控制的邊際收益曲線(MR)是凸的,其邊際成本曲線(MC)則是凹的。因此,根據成本—收益原則,最佳內部控制點位于A點,即邊際成本與邊際收益的交點處。當企業的內控機制建設程度位于A點左方時,表明此時企業的內控機制尚不夠成熟,沒有覆蓋到關鍵的風險控制點;當企業的內控機制建設程度位于A點右方時,表明企業內控建設過度,不再符合效益最大化的原則。 在實際操作中,企業很難定量地測度內部控制的邊際成本和邊際收益,因而清晰的定位最佳控制點A是不現實的,而且隨著企業內部和外部環境條件的變化,最佳控制點也會隨之發生變化。鑒于關鍵風險點的內控收益一般會大于其內控成本,因此判斷一個企業內控體系是否完備的重要條件就是看其是否覆蓋了關鍵的風險點,對大多數企業或機構特別是國內的企業而言,其內控機制尚不完善,遠沒有到達A點的程度,因此當務之急仍是盡快建立起有效的內控機制。
(三)理論假設的不滿足
內部控制體系建立在一系列假設的基礎上,當這些基本假設得不到滿足的情況下,內部控制體系的有效性就失去了依托。羅伯特•西蒙斯認為,內部控制系統包括以下七個假設,即:Ⅰ每個人都有固有的道德缺陷;Ⅱ有效的內部控制能夠對舞弊行為產生威懾力;Ⅲ獨立的個人能夠識別并報告他所發現的異常情況;Ⅳ共謀的可能性很低;Ⅴ員工會把關于控制的缺陷和異常情況反饋給管理層;Ⅵ在業績目標和產生的正確信息之間不存在固有的矛盾;Ⅶ記錄和文件是行為和交易的證明。
假設Ⅰ指出了內部控制的必要性,如果人們都能夠按照道德規則做事,企業決策目標的實現就無須依賴內控機制的保障,從而也就沒有建立內控制度的必要。假設Ⅱ指出了內部控制發揮作用的前提,當內部控制在制度層面和執行層面脫節時,內部控制就失去了其應有的威懾力。假設Ⅲ和Ⅴ在現實中的不成立也是內控失效的一個重要原因。許多大案在案發前都有數年的風險積累過程,在此期間也都存在著一些異常情況,不過由于員工沒有及時地將異常現象反饋給管理層,使得信息溝通機制中斷,這種風險最終變成了損失,使內控機制形同虛設。假設Ⅳ是內部牽制制度的原理,當共謀發生時,按照相互牽制原則設定的一些制度和流程也就失去了意義。當假設Ⅵ不成立時,人們往往傾向于為了保證業績目標的實現而不惜犧牲內控,使得內控機制失效。例如,據美國證券交易委員會2008年7月8日發布的一項調查報告稱,在給高風險次貸金融產品進行評級時,美國三大信用評級機構均存在違反內部程序的行為。在相對固化的業務操作流程中,下一步業務的開展往往依賴于上一步的交易記錄,并且可以有效地防止舞弊事件的發生,但是如果假設Ⅶ不再滿足,即記錄和文件不真實,那么這種固化的流程設計就失去了其最初的功能。
從上面的分析可以看出,內部控制制度的設計往往基于一些理想的假設,但是現實畢竟是復雜的,現實和假設的不符就成為內部控制無效的重要緣由。
加強企業內部控制體系建設的建議
(一)正視內控環境的重要性且增強全員風險管理意識
內部控制作為企業操作風險管理的關鍵環節,要在一定的環境中發揮作用,同時也是企業全體員工共同參與的一項動態工程。然而仍有些管理人員認為內控體系不過是一套書面制度而已,沒有將內部控制看作是操作風險管理體系的有機組成部分,對內控環境的重視程度不足,使得內控體系的建設不能結合風險管理環境的實際情況,起不到控制作用。另外,內部控制需要全體員工的配合才能發揮作用,因此只有形成良好的風險管理文化氛圍,爭取做到全員自覺履行內控制度,全員自覺監督內控的執行,才能夠使內控系統順利執行。
(二)建立有利于控制風險的激勵機制和嚴格的問責機制
就目前情況來看,我國企業在內控假設方面存在的問題主要表現在缺乏有利于風險控制的激勵機制和嚴格的問責機制。對下級部門的激勵機制偏重于利潤和規模等指標而忽視內部控制和風險管理,下級部門在業績目標的驅動下,往往忽視信息的重要性(假設Ⅵ),使得違規經營的情況普遍存在,經濟案件頻頻發生。加上問責機制過于寬松,使得大多數獲得盈利或未造成實際損失的違規行為得不到嚴厲的懲罰,也在一定程度上助長了經營者的投機心理,大大降低了內控體系的權威性。因此,企業應建立有利于控制風險的激勵機制和嚴格的問責機制,盡可能滿足內控假設,使內部控制體系在企業操作風險管理中發揮其應有的作用。
(三)定期進行完備性檢驗以動態完善內控體系
內控制度的建立和完善是一個動態過程,企業應依據成本—收益原則定期進行內控體系的完備性檢驗,及時彌補經營過程中暴露出來的制度空白并修改制度缺陷。各企業都要適時根據其業務發展和環境變化不斷修改完善內控制度,根據新業務及功能衍生的特點,提前對原有的各項業務管理辦法、業務操作流程在進行排查風險環節的基礎上重新梳理,開展業務流程再造,使內控系統得到實時更新,并強化崗位監督,保證內部控制體系的完備性。
(四)建立企業內部控制評價體系
內部控制評價應該從內部控制環境的完善性、內部控制體系的完備性和內部控制理論假設的滿足程度三個方面進行。
1.內部控制環境的評價。一般企業的內部控制環境主要包括治理結構、管理哲學及經營風格、組織結構、董事會、經營者素質和職業道德、企業文化、權責分派體系以及人力資源政策及實務等方面。對內部控制環境的評價應該從以下幾個方面進行:產權制度評價、治理結構評價、組織結構評價、經營制度評價、管理哲學及經營風格評價、經營者素質和職業道德評價、企業文化評價、人力資源政策及實務評價等。
2.內部控制的完備性評價。內部控制的完備性評價包括兩層含義:一方面是評價內部控制對企業各項業務的覆蓋程度;另一方面是評價內部控制對其所覆蓋業務的具體操作環節的控制程度。內部控制應該包括:現金控制、借貸資金風險的控制、采購業務的風險控制、生產流程的控制、產品營銷風險控制、會計系統的控制、計算機業務系統的控制等。
3.內部控制的結果評價。結果評價是對內部控制主要目標實現程度的評價,通過內部控制目標的實現程度反過來檢驗內部控制體系存在的問題。企業內部控制的目標主要有合法合規性經營,將各種風險控制在規定的范圍內;確保自身發展戰略和經營目標的全面實施以及確保有利于查錯防弊、堵塞漏洞、消除隱患從而保證業務穩健運行等。在內控結果評價過程中,需要注意的是,內控結果與目標的偏差往往是多個環節上多個因素共同作用的結果,因此通過內部控制的結果評價反映出來的問題可能既有內控環境上的,內控完備性上的,也有內控假設方面的,應該從結果出發,反過來找原因。
參考文獻:
1.Treadway Commission, Report of the National Commission on Fraudulent Financial Reporting.The National Commission on Fraudulent Financing Reporting,1987
2.COSO. Applying COSO’s Enterprise Risk Management Integrated Framework,2004
3.Robert Simons. Levers of Control: How Managers Use Innovative Control Systems to Drive Strategic Renewal. Harvard Business School Press, Jan.,1994
4.潘琰,鄭仙萍.論內部控制理論之構建:關于內部控制基本假設的探討[J].會計研究,2008(3)
