在美國次貸危機的影響下,全球經濟進入了百年的寒冬,一批批企業的倒閉暴露出企業管理的種種問題。雖然這些企業的倒閉原因不盡一致,但最根本的原因都一樣:風險意識淡薄,內部控制形同虛設。此時,如不思考如何建立和規范企業的風險管理體系,加強企業的內部控制,那么,將有更多的企業倒下。上海市組織部、國資委也于本月向社會征集外部董事、外派監事,為市管國企完善公司治理結構,強化內部控制打下良好基礎。本文在回顧內部控制理論沿革及其內涵,分析現階段我國企業內部控制的現狀及存在的主要問題的基礎上,借鑒國際先進的內部控制理論及經驗,結合我國的國情,從智力支持、法規建設、制度安排和監督機制等四個方面提出內部控制在我國運用的12點建議。
一、內部控制的理論沿革及內涵
內部控制作為一項管理技術,是隨著經濟社會的發展而發展的,其內涵也是隨著社會的發展的不斷演化。回顧內部控制發展史,主要有內部牽制、內部會計控制和管理控制、內部控制結構、內部控制――整體框架和風險管理――總體框架等五個階段。
1、內部牽制階段
作為內部控制的最初形式,早在古羅馬時期就有了“雙人記賬制”等內部牽制思想。但正式提出內部牽制概念的是L.R.Dicksee于1905年提出的。1930年George E.Bennett在此基礎上對內部牽制概念作了進一步發展,認為內部牽制是賬戶和程序組成的協作系統,這一系統使員工在從事本身工作時獨立地對其他員工工作進行連續性檢查以確定其舞弊的可能性。
2、內部會計控制和管理控制階段
1934年美國《證券交易法》,首先提出了內部會計控制( Internal Accounting Control System)概念。1949年,美國會計師協會(AICPA)下屬的審計程序委員會(CAP)在《內部控制:一種協調制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中,對內部控制作了權威性定義。1958 年10月該委員會發布的《審計程序公告第 29號》對內部控制定義重新進行表述,將內部控制劃分為會計控制和管理控制。1972 年,AICPA下屬美國審計準則委員會(ASB)發布其第1號公告(SAS No . l),對管理控制和會計控制提出了今天廣為人知的定義:一、內部會計控制是由組織計劃以及與保護資產和保證財務資料可靠性有關的程序和記錄構成。會計控制旨在保證:經濟業務得到適當的授權;經濟業務的記錄遵循適當的標準;接觸資產受到適當的限制;資產得到適當的盤查;二、內部管理控制包括但不限于組織計劃以及與管理部門授權辦理經濟業務的決策過程有關的程序及其記錄。這種授權活動是管理部門的職責,它直接與管理部門執行該組織的經營目標有關,是對經濟業務進行會計控制的起點。
3、內部控制結構階段
1988年4月,AICPA發布《審計準則公告第55號》(SAS NO.55),規定從1990年1月起以該公告取代SAS NO.1。該公告首次以“內部控制結構(Internal Control Structure)”的提法替代了“內部控制”的提法,正式將內部控制環境納入內部控制范疇,并不再區分會計控制和管理控制。該公告可視為內部控制理論研究的一個突破性成果。公告中內部控制結構是指為了對實現特定公司目標提供合理保證而建立的一系列政策和程序構成的有機總體,包括控制環境、會計系統、控制程序三個要素。
4、內部控制――整體框架階段
1992年,美國反對虛假財務報告委員會所屬的內部控制專門研究委員會發起機構委員會(COSO)發布報告,即《內部控制———整體框架》(Internal Control — Integrated Framework),也稱COSO報告。不久AICPA全面接受了COSO報告的內容,于1995年據以發布了《審計準則公告第78號》(SAS NO.78),并自1997年1月起取代了SAS NO.55。COSO報告中把內部控制定義為:“內部控制是由企業董事會、管理當局和其他員工實施的,為保證財務報告的可靠性、經營的效率效果以及現行法規的遵循等目標達成而提供合理保證的過程”。COSO 報告指出:內部控制是一個過程,受企業董事會、管理當局和其他員工影響,旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。報告認為內部控制整體架構主要由控制環境、風險評估、控制活動、信息與溝通、監督五項要素構成。
5、風險管理―總體框架
2004 年9 月COSO頒布了《 企業風險管理―總體框架》 ( Enterprise Risk Management - Integrated Framework)新報告,提出了內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息、與溝通、監控八個相互聯系的內部控制要素。新報告標志著內部控制進入風險管理―總體框架階段,強調企業全體員工共同參與的全面內部控制,旨在對企業內部風險實施管理和戰略制定而建立的事前風險管理內部控制制度。
從內部控制理論的發展歷程可以看出:內部控制目標的多重化發展。由最初的防弊糾錯、保護資財發展到能使公司提高經營效率和效果,由單純遵循管理政策發展到對相關法律法規及公司規章的遵守。隨公司規模的擴大,董事會與經理層不可能做到事必躬親,公司經營的有效性須有良好的內部控制做保證。同時與公司有關的各種法規也日趨完善,公司的順利運行必須在守法經營的前提下才能實現。由最初的只重視會計控制發展到會計控制及管理控制并重,進而形成了內部控制的整體框架,更突出了對風險的重視。公司的內部控制應輻射所有重要的方面,是一種全方位、寬領域的控制。內部控制應合理保證提供的財務、管理及其他信息的準確及時性,各種信息又有助于對現有控制的分析評價,內部控制不是一個僵化的模型,而是要通過不斷的評價、溝通等逐漸完善。
二、我國內部控制現狀及存在的問題:
(一)現狀
從理論研究及相關法規看:雖然我國早在西周就有了實施了分權控制方法和交互考核制度等內部控制的思想,但由于封建主義的長期統治,內部控制一直沒有得到發展,直到1997年5月中國人民銀行頒布了《加強金融機構內部控制的指導原則》開始,內部控制才得以在我國發展。之后,財政部、證監會、國資委、中注協、上海證券交易所、深圳證券交易所等部門相繼出臺了內部控制規范。2006年7月15日,經國務院批準,由財政部牽頭發起,證監會、審計署、銀監會、保監會等五部門共同參與組成的“企業內部控制標準委員會”在北京正式成立。2007年3月,該委員會發布了內部控制基本規范和17個具體規范的征求意見稿,并于2008年5月發布了正式的基本規范,目前還沒有具體規范。2008年6月,該委員會發布《企業內部控制評價指引》《企業內部控制應用指引》和《企業內部控制鑒證指引》三項指引的征求意見稿。
從實務應用看:在我國,對內部控制要求較多的是上市公司,但從實際情況看,上市公司的內部控制也不容樂觀。據《滬市上市公司2007年內部控制報告分析》顯示,滬市共有146家上市公司出具了公司內部控制報告,占滬市披露2007年年度報告上市公司總數的17%,上市公司披露內部控制報告及其審核意見的數量較少。
(二)存在的主要問題
從上面分析,我們可以看出,我國內部控制研究起步比較晚,雖然已加大研究力度,內部控制體系建設已取得一定的成果。但由于長期的封建思想影響,人們對內部控制、公司治理等理論認識不夠,加上內部控制體系尚未完善,缺乏相關的內部控制人才,所以內部控制在我國的發展應用還存在不少問題:
1、管理和控制理念淡薄
長期以來,由于受計劃經濟和傳統管理思想、方法、手段的影響,內部監督流于形式,對于幾乎屬于“引進”而來的內部控制的理論缺乏認識,尤其對于中小企業來講幾乎處于陌生狀態。究其原因,主要有三個方面:一是大多數企業經營管理者對內部控制制度的理論知識學習不夠,知識掌握不多,認識跟不上這項制度的發展要求。二是大多數企業對內控制度的建立和實施重視不足,即便制訂了一些相關制度但基本上為會計管理或財務管理的部門性制度,甚至與業務脫離,屬于內部會計控制概念;另外,內控制度在內容上存在片面性、零散性,不具科學性和系統性。三是缺少內部控制專業人才,在內部控制理論研究較晚,控制思想淡薄的中國,沒有形成一批了解內部控制的專業人才。因此企業要真正發揮內部控制的作用,也很難找到合適的內部控制專業人才,從而影響了內部控制在我國的發展。
2、理論研究相對滯后
我國目前對內部控制理論的研究大多停留在介紹和借鑒消化西方比較先進的內部控制理論階段。雖然財政部、人民銀行、證監會等有關管理部門都對不同行業進行了內部控制有關問題的規范,企業內部控制委員會也在著力研究開發一套實用的內部控制標準體系。但總的看來,既融合國際先進經驗、又體現自主創新、適合我國企業經營特點和管理要求的理論研究和實踐成果較少。
3、內部控制法規政出多門
目前,我國內部控制法規的一個特點是政出多門,財政部、證監會、中注協、國資委、人民銀行、上交所、深交所等部門都出臺了自己的內部控制相關文件,各管各的,沒有一個統一的標準。而且往往一個企業要遵守兩個或兩個以上的文件,從而造成企業無所適從,無法制定出適合企業情況的有執行力的內部控制制度。目前我國內部控制相關的文件如下:
序號 時 間 發布部門 文件名 備注
1 1997年5月 中國人民銀行 《關于加強金融機構內部控制的指導原則》 這是我國第一個關于內部控制的行政規定。
2 1999年6月 證監會 《關于上市公司做好各項資產減值準備等有關事項的通知》 要求上市公司建立內部控制
3 2000年11月 證監會 《公開發行證券公司信息披露編報規則》 要求商業銀行、保險公司、證券公司必須建立健全內部控制,并對內部控制的完整性、合理性和有效性做出說明。
4 2000年7月 全國人大 《會計法》 首次以法律的形式對企業的內部控制做出相應的規定,將其納入企業內部會計監督制度。
5 2001年2月 證監會 《證券公司內部控制指引》 要求證券公司健全內部控制機制,完善內部控制,以規范公司經營行為;要求證券公司應當按照指引的要求,建立運行高效,制定科學合理、切實有效的內部控制。
6 2001年6月――2004年7月 財政部 《內部會計控制規范一基本規范(試行)》和《內部會計控制規范一貨幣資金(試行)》等11個具體規范 內部會計控制概念
7 2002年2月 中注協 《內部控制審核指導意見》 第一個關于內控審核的文件
8 2005年10月 證監會、國務院 《關于提高上市公司質量意見》 由證監會發布,并由國務院首次就上市公司工作批轉發布該文件。
9 2006年5月 深交所 《上市公司內部控制指引(征求意見稿)》 揭開了中國上市公司內部控制體系制度建設的序幕。
10 2006年5月 證監會 《首次公開發行股票并上市管理辦法》 第29條規定,發行人要CPA出具無保留的內部控制報告,證監會首次對上市公司內部控制提出具體要求。
11 2006年6月 上交所 《上海證券交易所上市公司內部控制指引》 強制要求上市公司在年度報告發布的同時披露年度內部控制自我評估報告,開始前所未有地關注公司治理,強調內部審計的重要性。
12 2006年6月 國資委 《中央企業全面風險管理指引》
13 2006年9月 深交所 《上市公司內部控制指引》 規定2007年6月30日前,深市主板上市公司均要按要求披露內部控制制度的制定和實施情況。
14 2007年3月 內控委員會 《企業內部控制基本規范(征求意見稿)》及17項具體規范的征求意見稿 邁出了內部控制體系建設的第一步
15 2008年5月 財政部等五部門 《企業內部控制基本規范》 自2009年7月1日起在上市公司范圍內施行,鼓勵非上市的大中型企業執行。
16 2008年6月 內控委員會、中注協 《企業內部控制評價指引(征求意見稿)》、《企業內部控制應用指引(征求意見稿)》和《企業內部控制鑒證指引(征求意見稿)》
雖然今年五部門共同出臺了內部控制基本規范,在內部控制體系建設上邁開了一大步,但該基本規范未對是否取消之前的相關文件作出說明。所以,只能是給本來就政出多門的內部控制增加了一個規范文件,內部控制更不具可操作性。如工商銀行等國有上市銀行,要同時遵守上述近10個文件。而且,這些文件涉及的是金融業等特殊行業、上市公司。對在我國國民經濟中占很大比重的中小企業等非上市公司并未涉及。
4、企業的控制環境不理想
在我國,目前作為控制環境重要環節的公司法人治理和企業文化建設都存在不盡人意之處。首先,公司法人治理結構不完善,我國剛從計劃經濟向市場經濟轉軌,在對企業的改制過程中,運作不太規范,公司治理結構被扭曲。國有股一股獨大,股東大會流于形式,監事會的權力虛置,董事會發揮不了應有的作用,導致內部控制效用難以得到有效的發揮。其次,企業文化的培育忽視了管理控制。很多企業雖然越來越重視對企業文化的培育,但往往過多地關注企業的形象設計、品牌設計、公司口號、產品推廣等,從而忽視了企業的管理和控制理念。
5、企業內部控制機制不健全
我國一些企業的管理層內部控制意識淡薄,相關制度殘缺不全;有的企業雖有內控制度,卻有章不循,只是將已訂立的企業內部控制制度印成手冊、文件,以應付有關部門的檢查和監督,遇到具體問題隨意性很強,使內部控制制度流于形式。很多企業想當然地認為,制定出一套有關部門或主管單位所要求具備的制度規范以應付檢察工作就是建立了企業的內部控制制度;認為內部控制制度只是防止錯誤和舞弊的書面規矩,分工體系和審批授權就是內部控制制度。
6、缺乏有效的監督和自評估機制。
內部控制的監督有內部監督和外部監督。首先,內部監督得不到執行。目前我國承擔企業內部監督職能的是內部審計機構。但我國企業存在內部審計機構不健全、審計范圍受限,以及審計機構缺乏權威性和獨立性等問題,這些問題都很大程序影響了內部控制在我國的發展。機構不健全表現在很多企業沒有設立內部審計機構,在設立內部審計機構的企業中,其地位也得不到保證,如部分股份制公司董事會下面未設立審計委員會,內審機構直接對總經理負責,缺乏獨立性和權威性。審計范圍有限主要表現在大多數企業的內審機構所從事的審計業務是財務審計,而對管理審計涉及很少。其次,外部監督乏力。外部監督有政府監督和社會監督。目前,各政府職能部門之間的監督功能交叉,再加上缺乏橫向信息溝通,難以形成有效的監督合力。有的職能部門對企業睜一只眼,閉一只眼,監管流于形式。甚至有些政府監督機構基于地方利益考慮,怕暴露問題,影響企業發展。有的執法部門不能堅持原則和依法辦事,甚至摻雜一些部門利益,該查處的不查處,該罰的不罰,結果導致了監督的弱化。另外,我國的社會審計制度不完善,沒有形成公平競爭的機制,審計服務市場處理買方市場,部分社會審計機構即便是查出問題了,也往往避重就輕,甚至出具虛假的審計報告,至于涉及企業內部控制制度的問題,更是輕描淡寫,不了了之。
我國企業普遍缺少對內部控制的自評估機構。作為內部控制制度的重要組成部分,自我評估是保證內部控制持續有效的重要機制、是組織監督和評估內部控制系統的主要工具,它將運行和維持內部控制的主要責任賦予公司管理層,同時使員工和內部審計與管理層一道承擔對內部控制評估的責任。這使以往由內部審計對控制的充分性及有效性進行獨立驗證發展到全新的階段,即通過設計、規劃和運行內部控制自我評估程序,由組織整體對管理控制和治理負責。
三、對我國內部控制的建議
1、 加強研究、宣傳和教育,為內部控制提供智力支持
首先,加強對內部控制的理論研究,為內部控制提供理論基礎。
由于我國目前對內部控制理論的研究大多停留在介紹和借鑒消化西方比較先進的內部控制理論階段,而我國的企業與西方千差萬別,借鑒的東西往往缺乏操作性。因此,我們只有加大理論研究力度,在借鑒的基礎上開發出適合我國國情的內部控制理論和評價標準體系,才能為內部控制提供有力的理論基礎,更好地指導企業內部控制實務,發揮內部控制在企業管理中的作用。
其次,加強內部控制的理論教育,為內部控制提供專業人才
縱觀我國的高等教育系統,從大專、本科到研究生教育,都沒有把內部控制作為一門課程來設置;注冊會計師教育也沒有足夠重視內部控制,在注冊會計師考試指定教材中只是簡單介紹了內部控制的理論,并在審計實務方面穿插了一些內部控制符合性測試的內容,這些遠遠不能滿足注冊會計師對企業內部控制鑒證并發表意見的要求。因此要在我國企業中推行內部控制建設,首先要從加強內部控制方面的理論教育人手。筆者建議在高等教育中,有條件的院校可以設置“內部控制”課程,內容復蓋到理論、實務兩方面,為內部控制提供一支理論功底強、有一定操作力的專業人才。同時,在注冊會計師教育中也應注重內部控制的相關內容,為提高社會審計機構對內部控制的監督能力。
再次,加強宣傳教育,為內部控制營造良好的輿論氛圍和社會環境
內部控制作為一項在公司內部運行的管理制度,其建立和執行不但需要公司董事及管理層的重視,更需要全公司所有員工的重視。只有強化風險意識,在全社會形成全方位、寬領域的控制觀念,使全社會理解內部控制的相關知識,優化內部控制的環境,才能使內部控制得到更好的執行。財政部副部長、企業內部審計標準委員會主席王軍同志在《企業內部控制基本規范》的發布會上強調,基本規范發布后,下階段要重點抓好六方面的工作,其中第二方面就是“著力加強宣傳培訓,為貫徹實施基本規范營造良好的輿論氛圍和社會環境”。
最后,加強從業人員的后續培訓,為內部控制提供持續動力
內部控制環境、控制手段是隨著社會的發展而發展,只有不斷加強內部控制人員的后續培訓教育,才能保證內部控制從業人員保持足夠的專業勝任能力,提高內部控制的執行力,揭示企業在財務及管理方面存在的問題。同時,組建培訓團隊,對公司員工進行講解程序、條理和法則的培訓等,為實施內部控制體系的推廣打下基礎。
2、 完善、統一法規體系,為內部控制提供法律基礎
建立完善內部控制法規體系,為內部控制提供法規保證
鑒于目前我國內部控制法規體系存在的政出多門,沒有一個統一的體系的問題,建議有關部門加快協調,加快建立統一的內部控制法規體系,提高內部控制的可操作性,為內部控制提供法規保證。五部門已出臺的《企業內部控制規范――基本規范》規定,該規范在2009年7月1日起在上市公司執行,但目前具體的規范還在往求意見過程中。假如現在出臺所有的具體規范,留給企業的時間也只有半年,難度比較大。所以應加快具體規范的出臺,為企業制定一個完整、有效、可執行的內部控制爭取寶貴的時間。同時,應加快研究國度,出臺適用中小非上市企業的內部控制規范,從而在全社會推行內部控制。
建立內部控制評價標準體系,為內部控制提供操作指南
盡管我國在逐步完善內部控制體系,但缺乏相應的內部控制評價標準體系,實務過程中難以操作。建立內部控制標準體系已經成為一項國際慣例,最具影響力的當屬美國COSO委員會于2004年提出的風險管理――總體框架公告。美國注冊會計師協會認為該報告的提出,具有劃時代的意義,其作用如同早期的公認會計原則,其未來在管理界的地位也如今日的公認會計原則一樣。正如美國注冊會計師協會所預想的,COSO報告很快受到了廣泛的認可,很多國家及各專業團體仿效COSO對內部控制進行了重新研究,并采納其最新理念,發布了自己的文告,形成了自己的內部控制評價標準體系。我們也應該加大對COSO報告的研究,結合我國企業情況,形成適合我國企業的內部控制評價標準體系,為企業建立內部控制制度、對內部控制進行自我評估和改進其內部控制提供依據,為各方人士的溝通與理解提供統一的基礎,從而提高內部控制的可操作性。
3、 優化制度安排,為內部控制提供制度保證
首先,完善內部公司治理,為內部控制提供了制度基礎和保障。
科學的公司治理結構是內部控制的制度基礎,公司治理結構的好壞已成為影響內部控制制度是否發揮作用的一大因素。我們要著力研究目前我國公司治理中存在的國有股一股獨大,股東大會流于形式,監事會的權力虛置,董事會發揮不了應有的作用等問題,從而為內部控制提供良好的制度保證。我們很高興地發現,在改善公司治理中,我國已取得了一定的成果,如企業股份制改制、引入獨立董事制度、獨立董事人才庫等。上海市組織部、國資委為了完善國有企業的公司治理,還在近日向社會公開征聘市管國有企業外部董事、外派監事的工作,建立外部董事、外派監事人才庫。
其次,建立內部控制自評估制度,保證內部控制持續有效
企業不定期或定期地對自己的內部控制系統進行有效性及實施效率效果進行評估,以期能更好地達成內部控制的目標。控制自我評估可由管理部門和職員共同進行,用結構化的方法開展評估活動,密切關注業務的過程和控制的成效,了解缺陷的位置以及可能引致的后果,然后自我采取行動改進,確保內部控制持續有效。
最后,建立良好的信息溝通系統,為內部控制執行提供溝通渠道
信息系統承擔著向企業內部管理層、各級部門主管、其他相關人員,以及企業外部有關部門和人員提供信息的重任。信息系統已成為現代企業管理不可或缺的部分,隨著IT技術的發展和應用,其作用越來越重要。通過建立一個統一、高效、開放的信息溝通系統,可以使員工清楚地理解企業的內部控制制度,明確其所承擔的職責和任務;同時可以使企業及時收集到相關的外部和內部信息,并通過分類、整理,及時提供給有關部門及人員,使信息在有關部門和人員之間有效地溝通,以提高企業內部控制效率和效果。
4、 加強監督力度,為內部控制提供約束機制和外在動力
加強政府的監督,督促企業不斷完善內部控制制度
在我國目前的情況下,政府監督對促進企業不斷完善內部控制制度具有很強的約束力,我們要強化監督,推動內部控制制度的建立和完善。主要有如下:一是財政、稅務、審計等部門要合理分工,注意加強彼此間的信息交流,形成有效監督合力。二是加大和完善監管系統。按照《會計法》等有關法律和相應的內部控制法規為法律尺度,監督企業內部控制的建立和執行情況。同時,還要加大立法、執法力度,對于不按規定建立并執行內部控制制度的,規定相應的法律責任,并嚴格按規定對不按規定建立和執行內部控制制度的企業負責人給行政或其它形式的處罰。
強化內部審計地位,為內部控制提供自我約束機制
要從地位上保證內部審計的獨立性,保障其充分獨立性,以更好的對內部控制進行評價。目前內部審計的領導體制主要有以下幾種:隸屬于董事會;隸屬于總經理;隸屬于財務負責人;隸屬于監事會。理論上講,內部審計隸屬于最高權利機構其獨立性最能得到保證,但股東大會是非常設機構,所以合理的選擇是隸屬于董事會,受董事會的直接領導,與公司經理層相對獨立,涉及到經理層的審計事項直接匯報給董事會。由于董事會是決策機構,對內部審計所反映的問題和提出的建議能及時采取措施。
加強社會監督力度,為內部控制提供外在動力
社會監督主要有社會審計中介的監督和新聞媒體的監督。首先建議有關部門應加強對會計師事務所的管理,抓好對注冊會計師執業質量的監管,使得注冊會計師更為謹慎執業,保持其執業的規范性和獨立性,使注冊會計師的社會監督職責到位。其次,充分發揮新聞媒體作用,監督企業行為。對企業在內部控制制度的建立和執行上出現的問題予以曝光,從而強化新聞媒體的監督作用。
