[內容摘要]全球性會計丑聞,中國新會計法的實施及內部控制一系列規范的出臺,引起了人們對內部控制問題的廣泛關注。本文從企業內部控制體系的層次殘缺、要素殘缺、風險觀念殘缺入手,借鑒新的COSO報告,結合有關的典型案例分析了我國企業內部控制制度不能發揮預期作用的原因,提出將公司內部治理結構納入內部控制體系之中,修補其層次殘缺;健全內部控制體系要素,修補其要素殘缺;建設企業風險文化,修補其風險觀念殘缺。
[關鍵詞]內部控制體系;層次殘缺;要素殘缺;風險觀念殘缺
一、問題的提出
2004年12月,內蒙古自治區檢察院對內蒙古伊利實業股份有限公司董事長鄭俊懷等5名高管人員的經濟問題正式進行立案調查,其主要原因是鄭俊懷等人在2000年和2001年間未經董事會同意,先后挪用1591萬元和1400萬元,分別給了呼和浩特華世商貿有限公司和啟元有限公司用于經營,事后得知:華世商貿公司是伊利公司的第五大股東,是由鄭俊懷等人以親屬名義注冊的私人企業;而啟元公司企業法人就是董事長鄭俊懷。幾乎與此同時,中國航油集團唯一的海外公司—中國航油(新加坡)股份有限公司因石油衍生產品交易,總計虧損5.54億美元,凈資產不過1.45億美元的中航油(新加坡)因之嚴重資不抵債不得不向新加坡最高法院申請破產保護。還有家電巨頭四川長虹在其合作伙伴美國APEX家電進口公司拖欠國內多家公司的巨額欠款情況下,還與其簽訂了巨額賒銷合同,結果因其拖欠4.6億美元巨款而遭受巨大壞賬損失。[1]這些重大事件給我們以強烈震撼:從董事會到經理層、業務層,各個層次都不同程度地出現了重大問題,給企業造成重大損失,甚至導致了企業的崩潰。我們不禁要問:我們的企業到底出了什么問題?對此問題,不同的人有不同的解答:有人認為這主要與公司治理機制不完善有關,也有人認為這主要與企業的內部控制制度未得到有效執行有關。隨著新的COSO報告的公布和我國新《公司法》的實施,我們對此問題在前人的基礎上有了一些新的見解。我們認為這些重大事件的發生與企業內部控制體系殘缺或不完善密切相關,為避免此類事件的再度發生,修補企業內部控制殘缺已經成為當務之急。
二、新COSO報告和我國內部控制體系的殘缺
內部控制對企業目標的實現具有重大影響,正日益受到各國政府的重視。在世界范圍內有關企業內部控制的規范已經陸續頒布和實施。
在國外,1992年COSO委員會公布了COSO報告,并在1994年進行了修改。2004年年底,該委員會針對國際企業界頻繁發生的高層管理人員舞弊現象,結合美國2002年頒布的《薩班斯—奧克斯利法案》的相關要求廢除了沿用很久的傳統企業內部控制報告,頒布了一個概念全新的報告,即《企業風險管理—總體框架》(Enterprise Risk Management,ERM)。該報告明確提出了企業的終極目標是增加利益相關者價值,并在內部控制的內涵、目標、要素等方面有了顯著的變化。該報告在對內部控制的定義中明確了以下內容:(1)是一個過程;(2)被人影響;(3)應用于戰略制定;(4)貫穿整個企業的所有層級和單位;(5)旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險;(6)合理保證;(7)為了實現各類目標。內部控制要實現的目標主要有四類:戰略目標,經營目標,報告目標和遵循性目標,其中報告目標不再僅局限于對外公布的財務報告,而擴展為企業的所有對內和對外的報告(包括財務報告和非財務報告)。另外新報告還新增了目標制定、事項識別、風險反應三個要素,修改了控制環境要素,將內部控制要素由5個發展為8個即內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控。[2]由此我們可以看出,新的COSO報告以風險為導向,以增加利益相關者價值為終極目標,以戰略目標為重點發展了內部控制理論,是內控發展史上的一次飛躍,在許多方面值得我國借鑒。
在國內,證監會于2000年11月發布了《公開發行證券公司信息披露編報規則》,要求公開發行證券的商業銀行、保險公司、證券公司建立健全內部控制制度,其招股說明書正文應專設一部分說明內部控制制度的完整性、合理性和有效性;財政部從2001年6月開始陸續頒布實施內部會計控制規范,以指導企業制定適合自身業務特點和管理要求的內部控制制度。但是,實際控制效果到底如何呢?我們認為并不樂觀。頻繁發生的財務丑聞事件證明目前的內部控制制度連最基本的目標即會計信息真實性都沒有實現;我國最早統一實行內部控制制度的銀行成為攜款外逃的重災區;一些上市公司雖然規模較大,內部控制制度相對健全,但是同樣也存在著制造虛假會計信息,侵吞企業資產,損害中小股東利益等行為。上述這些現象的存在和頻繁發生,與內部控制的目標顯然是背道相弛的。[3]我們不得不反思我們現有的內部控制制度出了什么問題,為什么其基本的目標都不能實現?在對新COSO報告基本精神探究的基礎上,我們認為內部控制體系的殘缺或不完善是其癥結所在。如果企業內部控制體系殘缺或不完善,管理者的權力受不到有力的約束,他們將有可能以法律和契約預想不到的方式不正當地行使法律和契約以正當目的賦予給他們的權力,使公司成為違背公平和正義的工具,那么前文所述種種情況的出現,也就在所難免。
2006年1月1日,新修訂的《公司法》開始實施。新《公司法》著眼于協調好公司、股東、董事、監事、經理等利益主體以及職工、供應商、債權人、消費者、社區等諸多利益相關者之間的關系,在許多方面取得了突破,受到了各界的廣泛贊譽,開啟了我國公司自治的時代。首先,新《公司法》強調公司應兼顧股東權利和社會責任。公司不能僅以實現股東權益最大化為唯一目標,還應適度考慮股東利益之外的其他各種社會利益(具體包括職工利益,供應商利益,債權人利益,消費者利益,社區利益等),承擔社會責任。盡管股東權益的提高與社會責任的承擔是否存在關聯性還有待于進一步研究,但從各國的情況看,“股東至上”理論已經逐步被拋棄,各國已經逐步認同“利益相關者”理論,開始趨向于強調企業的社會責任,以實現利益相關者價值最大化,我國當然也不例外。在這一點上,新《公司法》與新COSO報告達成了共識。其次,新《公司法》減少了國家對公司組織和活動的干預,賦予公司更多的“契約自由”,順應了市場經濟的發展趨勢。再次,新《公司法》還對公司治理結構進行了完善,強化了內部制約機制,強化了股東(尤其是中小股東)權利的保障機制,確立了濫用股東權利責任追究與法人人格否定機制,強化了監事制度,提出了上市公司設立獨立董事的要求。[4]新《公司法》與新COSO報告制定理念上的一致性以及公司自治性的增強,使得公司可以借助新COSO報告提供的《企業風險管理框架—總體框架》在法律法規許可的范圍內合理、有效地行使自治權利,實現相關利益者價值最大化的目標。并且新《公司法》規定的內部治理結構也可以統一在這個框架之內,成為企業內部控制體系的有機組成部分。但是如果內部控制體系不完善或者出現殘缺,則會影響企業預期目標的實現,甚至給企業造成重大損失,因為這時企業可能由于出現資金、人員失控現象,早已不能把風險控制在可以承受的范圍之內,已經喪失了對風險事件的預防和反應能力,甚至早已異化為管理層謀取個人私利的工具。
這里有個問題必須明確即公司治理與內部控制體系究竟是什么關系?雖然人們對該問題有著諸多不同的看法,但都不約同地認為兩者存在密切聯系,相輔相成,不可分割。我們對此有不同的看法,我們認為:公司的內部治理包含于內部控制體系之中,而公司的外部治理構成了內部控制體系的環境。首先,公司內部治理主體依靠契約結合在一起組成了各方的利益共同體—企業,隨著所有權和經營權的分離,為了求得企業的生存和發展,公司內部各治理主體產生了建立有效的內部治理結構的需求,而這實際上是公司內部治理主體對權利進行合理配置,實現企業價值最大化的需求。而內部控制體系正是通過適當的權利配置,形成權利主體間的互相監督和約束,為實現企業價值最大化的目標服務。我們所定義的內部控制體系所作用的權利主體更加廣泛,不再局限于公司的內部治理主體,而是擴展到了公司的利益相關者。因此,公司內部治理結構自然統一在企業的內部控制體系之中。其次,公司的外部治理主要由資本市場、經理人市場、產品和服務市場等組成,這些市場獨立于企業之外,是企業運作的環境基礎,當然就獨立于企業內部控制體系之外,成為其發揮作用的環境因素。
簡言之,上述重大事件的發生與企業內部控制體系殘缺密切相關。這些企業將本應是多層次的內部控制體系簡化為僅僅服務于經營目標的內部控制制度,將建立“法治企業”的目標,降低為建立“法制企業”的目標,淡化了對管理者權力的監督和約束,使得內部控制體系出現了一系列的殘缺點,為風險事項的發生埋下了隱患。對照新的COSO報告,我國目前的企業內部控制體系主要存在著層次殘缺,要素殘缺,風險觀念殘缺等三個方面的殘缺。首先,公司內部治理結構未被納入內部控制體系之中,存在著層次殘缺。伊利股份有限公司高級管理人員的問題凸顯了企業內部控制體系的這一方面的殘缺,集中表現為企業內部治理結構不完善和不合理。董事會、獨立董事、監事會成為擺設,連“查錯防弊”的功能都沒有發揮,更不要說“興利”、“增值”和實現利益相關者價值最大化了。其次,內部控制體系要素不健全,存在著要素殘缺。中航油巨虧事件中,集團公司對經理層監督不力,對經理層偏離戰略目標的行為絲毫沒有察覺,結果播下了中航油巨虧的種子。該事件集中體現了企業內部控制體系的要素殘缺,新COSO報告規定的信息與溝通和監控兩大要素蹤跡難覓,集團公司與經理層之間形成嚴重的信息不對稱,監控控活動根本無從談起。再次,忽視企業風險文化建設,存在著風險觀念殘缺。長虹巨虧事件從對經營風險防范不力的角度暴露出我國企業內部控制體系的先天不足:不以風險為導向,對重大經營風險事項控制失效,存在著風險觀念殘缺。
更一般地說,企業內部控制體系的殘缺影響了內部控制體系的有效性,妨礙了內部控制體系功能的發揮,對企業目標的實現產生了重大的不利影響。對內部控制體系的殘缺進行修補已經成為當務之急。這不僅是實現利益相關者價值最大化的內在要求,也是《公司法》等相關法律法規的基本要求,更是社會現實的迫切要求。
三、內部控制體系殘缺的修補
(一)將公司內部治理結構納入內部控制體系之中,修補其層次殘缺
內部控制體系是一個多層次的控制體系,任何一個層次的殘缺都會影響其整體功能的發揮。公司內部治理結構在內部控制體系中處于較高層次,制約著較低層次內部控制制度的建設,是不可或缺的。公司的內部治理結構主要解決股東大會、董事會、監事會和經理層的控制、監督和激勵問題,即所有權、監督權和控制權三權分離與制衡問題,其目標是保證公司決策權行使的合理性和有效性,因此我們應從源頭抓起,在內部控制體系的視野中完善公司內部治理結構,建立以公司治理和管理為導向的內部控制體系。如前文所述,我國新《公司法》已經從法律層面對這一較高層次的內部控制制度進行了完善,但如何把這一要求落到實處,切實發揮它應有的作用,避免出現股東大會、董事會、監事會空殼化,大股東操縱,總經理獨裁等不合理現象,需要企業根據自己的實際情況來逐步解決。鑒于這一層次內部控制的重要性,企業對這一層次內部控制的有關規定應按照新《公司法》的要求,并結合自身實際情況明確而詳細地寫入公司的章程之中,通過公司這一“根本大法”的權威,有意識地去維護,避免其遭到自然侵犯的威脅。在這方面新的COSO報無疑為我們提供了一個可資借鑒的框架。我們可以通過落實其定義的8個要素,樹立風險觀念,著眼于戰略目標的實現來增強該層次內部控制的可操作性和動態有效性,并為較低層次內部控制制度發揮作用奠定基礎。
(二)健全內部控制體系要素,修補其要素殘缺
目前,很多企業都有比較“漂亮”的內部控制制度,但是這些制度僅僅停留在紙面上,由于其信息與溝通和監控要素的欠缺,往往是“好看不好用”,根本形不成一個在現實中發揮作用、自我持續調整改善的內部控制體系,中航油公司就是一個典型。因此,我們應從這兩個要素入手,修補內部控制體系的要素殘缺。
第一,加強信息流動與溝通。信息流動與溝通要素是內部控制體系的基礎設施,對內部控制體系功能的發揮至關重要。有效信息是實現權利優化配置的基礎,一個良好的內部控制體系必須解決好信息保障問題。計算機網絡的普及,大大提高了人們的信息溝通能力,企業為了更好的應對內部及外部情況的變化,紛紛建立起基于信息技術的管理信息系統。盡管這些管理信息系統還有待于進一步完善,但是卻為企業有關部門的決策提供了必不可少的信息保障,提高了決策的科學性。內部控制體系信息與溝通要素的引入,應學習這方面的先進經驗,著眼于建立具有“實時反映”和“信息集成共享”功能的內部控制體系信息系統。這一信息系統與企業原先的管理信息系統并不是水火不容的關系,而是你中有我、我中有你的關系。除了各自的專用信息之外,兩大信息系統可以并且應當共享信息,以避免企業信息成本的無效增長。內部控制體系信息系統應具備良好的信息收集、信息加工和處理、信息存儲能力,為企業內部控制主體權利的互相監督與約束及其合理配置提供有效信息,最大限度地緩解信息不對稱問題。
第二,加強全方位的監控。信息與溝通要素的引入,促使企業建立完善的內部控制體系信息系統,為實現全方位的監控提供了信息保障,除此之外還應建立相應的監控組織,提供實現全方位監控的組織保障。目前審計署、內部審計協會正在積極推進我國內部審計事業的發展,其中內部審計機構建設是其重要內容。內部控制體系的監控組織建設因此沒有必要另起爐灶,完全可以通過將監控職能賦予內部審計機構的辦法,將其納入內部控制體系之中,變為內部控制體系的監控組織。另外,內部審計的性質及其功能也為其組織機構融入內部控制體系,發揮監控職能提供了可能。內部審計機構實施有關的審計活動,對公司治理結構的合理性和有效性,風險管理的合理性和有效性,經濟政策、措施的執行及其效果,經濟合同、計劃的合理性及可靠性,企業經營、投資、籌資、財務等方面重要風險存在的可能性及其后果,企業采購、生產、銷售等各個經營環節的合理性、有效性以及人事政策實施效果等各個方面進行內部控制審計,并對企業的內部控制體系進行自我評價,為進一步完善內部控制體系提供指引。由于公司治理結構這一較高層次的內部控制對整個內部控制體系的有效運行起關鍵性作用,企業通過內審機構自我評價,其獨立性會受到質疑和影響,因此可以考慮將這一任務外包,交給處于超然獨立地位的會計師事務所來完成。總之,企業要通過自我評價和外部評價相結合的方式來實現對內部控制體系的全方位監控。
(三)建設企業的風險文化,修補其風險觀念殘缺
企業的文化就如同一個人的靈魂,是企業各項工作的基礎,更是企業內部控制體系建設的“土壤”。企業文化可以使集體成員形成共識,促使大家朝共同方向努力,從而增強企業防御風險的能力。企業文化的建設已經日益受到各方的重視。新的COSO報告也將控制環境要素改為內部環境要素,確立了企業的風險文化。其確定的內部環境要素主要包括:風險管理哲學和風險偏好;員工誠實性和道德觀以及企業的經營環境。但是,一個良好的企業風險文化并不是自發形成的,它的形成需要管理者的引導和全體成員廣泛參與。企業的風險文化應得到全體成員的廣泛認同,并深入到各個管理層次。上到董事會、監事會、總經理,下至車間、班組、普通員工都應受到企業風險文化的熏陶,在風險文化的指導下進行自律管理,自覺地按風險文化所確立的基本原則做好自己的本職工作。通過這種多層次、全方位的滲透,使企業的風險文化不僅僅是停留在紙面上,而是真正內化為企業的自覺行動,增強企業抵御風險的能力。
(四)推動內部控制體系的持續改進或優化
企業的外部環境處在不斷變化之中,顧客需求會不斷變化,新的競爭威脅與機會會不斷出現,資本市場也是瞬息萬變。企業自身只有隨著外部環境的變化隨時做出調整,才能立于不敗之地,如果一味僵化、墨守成規,只能被市場所淘汰。同樣,內部控制體系作為企業的“免疫系統”[5],也應針對出現的新情況、新問題,及時做出相應調整,在動態中實現持續改進或優化,服務于相關利益者價值最大化的目標。為此,我們需要引入競爭機制,通過資本市場、經理人市場、產品和服務市場、人才市場等各種市場對各個層次內部控制主體形成一種外部壓力和內部壓力,促使其擯棄僵化的思維方式,習慣于變革和創新,使企業的內部控制體系實現持續改進或優化,經受得住不斷變化的內外部環境的考驗。當然,良好的信息交流與溝通和有效的監控,也會保障這一目標的實現。
綜上所述,我國目前的企業內部控制體系存在一系列的殘缺點,影響了其正常功能地發揮。為此,我們應對這些殘缺點進行修補。另外,本文主要從“防弊”的角度對內部控制體系殘缺及其修補進行了探討,限于篇幅和精力,未從“興利”和“增值”的角度對其進行探討,我們下一步在強調內部控制體系“防弊”功能的基礎上更應重視其“興利”和“增值”功能,并加強這一方面內部控制體系建設的研究。
主要參考文獻:
[1]金彧昉,李若山,徐明磊.COSO報告下的內部控制新發展[J].會計研究,2005(2).
[2]陳秧秧.COSO-企業風險管理綜合框架簡介[J].財會通訊(綜合),2005(2).
[3]李連華.公司治理與內部控制的鏈接與互動[J].會計研究,2005(2).
[4]李金澤,劉楠.《公司法》修改的十大亮點[J].中國金融,2006(4).
[5]楊雄勝,夏俊.打造企業免疫系統[J].新理財,2003(8).
The Thinking about the Incompleteness and Repairing
of the Enterprise Internal Control System
Abstract: The accounting scandals inundation all over the world,the implementation of Chinese new accounting law,and the ordination of sequential internal control criterion have aroused broad concern on internal control.This article starts with the gradation incompleteness,element incompleteness and risk concept incompleteness,using new COSO report,connecting typical cases concerned,analyses the causes that the enterprise internal control of our country cannot succeed.At last,we put forward some proposals perfecting the enterprise internal control system of our country.We should bring internal administering structure of companies into the enterprise internal control system in order to repair its gradation incompleteness,perfect its element to repair its element incompleteness,and construct the risk culture of the enterprise to repair its risk concept incompleteness.
Key words: the Internal Control System;Gradation Incompleteness;Element Incompleteness;Risk Concept Incompleteness
作者:王沖 文章來源:西北農林科技大學經濟管理學院
