美國COSO委員會(Committee of Sponsoring Organizations of the Tread-way Commission)提出的COSO報告將內部控制的理論和實踐都向前推進了一大步,對我國企業完善內部控制有廣泛而深刻的借鑒價值。
一、COSO報告內部框架綜述
進入20世紀90年代后,受信息產業和高風險行業迅速發展的影響,內部控制的研究也進入了一個新的階段。1992年,美國的COSO報告重新界定了內部控制的概念及其包含的要素,報告中對內部控制進行了定義,認為內部控制是指企業董事會、經理以及其他員工為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循三項目標而提供合理保證的過程。該報告首次把內部控制從原來的平面結構發展為立體框架模式,代表著國際上在內部控制方面的最高研究水平。
1996年美國注冊會計師協會在COSO報告的基礎上,將內部控制定義為“由一個企業的董事會、管理層和其他人員實現的過程,旨在為下列目標提供合理保證:財務報告的可靠性;經營的效果和效率;符合適用的法律和法規。”該準則將內部控制劃分為五個要素,即控制環境、風險評估、控制活動、信息與溝通、監控。這是迄今對內部控制概念最完善的定義,也是對內部控制研究的又一次飛躍。
(一)控制環境
控制環境是指對建立、加強或削弱特定政策、程序及其效率產生影響的各種因素。它包括:員工的誠實性和道德觀,如有無描述可接受的商業行為,利益沖突,道德行為標準的行為準則;員工的勝任能力,如雇員是否能勝任質量管理要求;董事會或審計委員會;管理理念和經營方式,如管理層對人為操縱或錯誤記錄的態度;組織結構,如信息是否達到合適的管理層;授予權利和責任的方式,關鍵管理部門的職責是否有充分規定;人力資源政策和實施,如是否有關于雇傭、培訓、提升和獎勵雇員的政策等。
控制環境決定了一個組織的氣氛,影響該組織中人們的內控意識,因此,它是整個內部控制框架的基礎。
(二)風險評估
風險評估是指管理層識別和分析對經營、財務報告、符合性目標有影響的內部或外部風險,包括風險識別和風險分析。風險識別包括對外部因素(如技術發展、競爭、經濟變化)和內部因素(如員工素質、公司活動性質、信息系統處理的特點)進行檢查。風險分析涉及估計風險的重大程度、評價風險發生的可能性、考慮如何管理風險等。
(三)控制活動
控制活動是指對所確認的風險采取必要的措施,以保證單位目標得以實現的政策和程序。控制活動貫穿于整個組織的各個層次和各個部門。如對經營的效率和效果進行業績評價;為保證業務信息的真實可靠而進行的信息處理控制;為保證資產的安全完整而進行的實物控制;為減少錯誤或舞弊等而進行的職責分離等。
(四)信息與溝通
信息與溝通是指企業內部各部門的人員必須能夠取得他們在執行、管理和控制企業過程中所需的信息,并交換這些信息。信息系統提供包括經營、財務等方面信息的報告,作為經營和控制企業的依據。信息系統不僅要處理企業內部的有關信息,還要提供與企業制定決策有關的外部信息。溝通包括使員工了解其職責,保持對財務報告的控制。
(五)監控
監控是指評價內部控制質量的進程,即對內部控制運行及改進活動的評價。包括內部審計和與單位外部人員、團體進行交流,以保證內部控制按設計執行并隨環境的變化而改進。
上述五個因素是一個相互聯系、綜合作用的整體,它們構成對處于變化中的環境做出動態反映的整體框架。內部控制框架的定義比內部控制結構的定義更加完善。從內容上看,內部控制框架在控制環境中增強了對全體員工的誠實、職業道德和勝任能力的要求,添加了風險評估這一新的控制要素,將會計系統改為信息與溝通以擴大單位信息系統方法和記錄的內涵。從結構上看,內部控制框架闡明了各項控制要素之間的相互關系:控制環境是其他控制要素的基礎;規劃控制活動要以風險評估為依據;風險評估和控制活動要以信息與溝通為載體;內部控制的設計和執行必須受到有效的監控。與以往的內部控制理論相比,COSO報告更強調對企業進行動態控制。COSO報告的提出使內部控制理論研究達到了一個新的層次,進入了內部控制整體框架階段,并推動了整個內部控制實務界的發展。
二、對國有企業內部控制建設的啟示
(一)重視內部環境
控制環境不僅影響企業內部控制的貫徹和執行,也影響企業經營目標、整體戰略目標的實現。良好的內部控制環境能保證內部控制措施的實施,促進有效的企業內部控制體系的建立。而目前,我國大多數國有企業內部環境不夠完善。如企業治理不完善,董事會、監事會、經理層之間沒有形成相互制衡的制約機制,內部人控制現象較為突出。因此,國有企業應該加強對內部環境的重視。
1、加強董事會建設。加強企業內部控制建設,首先應加強董事會的建設,應完善現有董事會結構以充分發揮其監督、制衡和決策作用。企業的董事長和總經理應由不同人員擔任,企業應適當增加外部董事。董事會可下設審計、薪酬委員會等獨立委員會。此外,還應增強監事會的監督權,尤其是對企業重大的經營活動的監督權。監事會成員應熟悉企業經營情況,應有明確的職責范圍。
2、深入開展企業文化建設。企業文化往往是現存的一種無形的力量,影響企業成員的思維方式和行為方式,它具有一種很強的凝聚力。能否培育自己的文化并發揮其作用,將決定企業在21世紀的生存能力。由此可見,企業文化在也不可避免地影響著企業的內部控制。企業在培養自身文化時,應保持一種健康的文化氛圍,使企業文化與企業戰略目標趨于一致。企業文化的規劃要貼近企業實際,與企業員工的生活和工作息息相關,讓企業文化不斷地在員工中灌輸和強化,最終被員工所理解與接受,并轉化為員工行動努力的方向和自我的價值取向。
3、健全組織結構。企業經營的目的在于實現其整體目標。企業組織結構建設直接影響到企業的經營成果及內部控制效果。企業內部的權責分配體系以及建立適當的溝通渠道是構建組織結構的重要方面。因此良好的組織必須以執行工作計劃為使命,并具有清晰的權責分配,流暢的溝通渠道以及有效的協調與合作體系。
4、完善人力資源管理。良好的人力資源政策,有助于企業員工的綜合素質的提高,對貫徹執行企業內部控制制度有很大的幫助。因此,為了穩定企業人力資源,企業應建立相應的激勵和約束機制,將員工的利益與企業的利益緊密聯系在一起。具體地說:第一,企業應激活選任機制,完善的招聘與選拔制度,科學設崗,嚴格考核,在競爭中優化企業人員結構,做到人盡其才,才盡其用。第二,制訂科學的績效考核制度,績效考核的結果要與獎金分配、崗位調整、職務晉升、培訓教育掛鉤,對員工考核的指標首先是員工為企業做出的工作業績;其次是工作能力;再次是員工的發展。三個方面是統一的,共同目的是員工的發展和企業價值的共同體現。第三,完善培訓制度。培訓工作應充分考慮企業發展需要和個人發展計劃,建立起合理的培訓流程、多樣化的培訓方法,加強培訓后的跟蹤措施以確保培訓取得實際效果。通過對管理人員的培訓,提高他們的業務能力,以減少在績效評估中人為的偏差;通過對員工的培訓,有助于員工自身素質和能力的提高,激發員工的創造力和潛能,提高員工對企業的忠誠度。
(二)建立和完善風險評估系統
隨著市場經濟的不斷深化、全球經濟一體化進程的加快,企業面臨的風險也越來越多。受計劃經濟的影響,國有企業在風險意識淡薄,很多國有企業僅僅從某項業務、某個部門的角度考慮風險。隨著社會經濟的不斷發展,很多企業開始意識到應加強企業的全面風險管理。為加強風險控制,企業可以建立董事會管理下的風險管理委員會,負責對企業進行全面的風險控制,通過對風險程度的評估,即使發現影響工作目標的主要風險,以便采取有效的控制措施,保證目標的實現,借以提高企業適應環境變化的能力。
在實際工作中,企業可以借鑒國外先進經驗,運用現代科技手段,建立覆蓋企業經營全過程的風險管理信息系統,以順暢信息溝通渠道。運用風險組織流程、風險計量模型等手段,通過進行內部分析、研討與訪談、過程流動分析等技術,量化風險指標,建立全面風險管理預警系統。
(三)設立良好的控制活動
內部控制活動在實務中的應用,重點是要加強企業業務程序的內部控制,從業務程序中入手設計內部控制有利于加速提高企業內部控制整體水準。
企業應在構建合理的業務循環模型基礎上,分析該業務在運行中可能出現的錯誤和舞弊。同時應尋找企業內部控制關鍵控制點,由于關鍵控制點可以從總體上透視企業生產經營的各個環節,因此,明確內部控制關鍵控制點可以促進企業經營流程的合理化和正規化。
(四)優化信息與溝通體系
企業的信息系統不僅是企業內部控制建設的一個重要方面,同時也是企業內部控制的一項要素,因此國有企業應建立設良好的集團化、網絡化、一體化的管理信息系統。這一系統一方面要能夠按照內部控制系統的需要識別使用者的信息需求,最大程度地做到企業內部控制信息的實時傳遞,使員工明確其所承擔的責任,并及時取得和交換在執行任務、管理和控制企業經營過程中所需的信息,另一方面要全面及時地收集政府機關、客戶、競爭對手以及其他利益相關者的信息,并及時準確地傳遞給企業決策層。流暢的信息,可以使企業內部控制系統運行時及時發現薄弱環節,并做出風險反應,提高內部控制的效率和效果。
(五)充分發揮內部審計的作用
再完善的制度,也需要監督實施。企業內部控制制度出臺后,企業應要求各部門對照內部控制標準開展自我評估,通過自我評估可以初步檢查出內部控制的薄弱環節。在此基礎上,通過企業內部審計部門進行再監督。內部審計采取系統化、規范化的方法來對風險管理、控制及治理程序進行評估和改善,從而幫助企業實現目標。因此,企業有必要建立和完善內部審計制度,拓展內部審計的責權。企業內部審計部門要在保持獨立性的基礎上,擴展其責權,通過持續的監控活動、個別評價等,實現對風險導向內部控制體系的評價,并對發現的問題及時采取改進措施,以強化企業的風險管理,降低損失。
參考文獻:
1、劉軍勇.中國企業文化的國際化[J].企業文明,2006(7).
2、王玉琳,王凈凈.論企業文化的整體性與個體的自適應性[J].系統科學學報,2007(10).
3、金鍵.以目標管理實現績效考核[J].中國人力資源開發,2000(6).
4、張建國,徐偉.組織績效管理[M].清華大學出版社,2002.
5、張慶龍,彭志國,陳新環.企業內部審計指南[M].中國時代經濟出版社,2007.
