長期以來,我國的內部控制研究主要側重于會計和審計領域,研究成果主要服務于審計程序與方法的應用、審計成本的節約、審計效率的提高和審計風險的控制。受西方內部控制研究關注點轉移以及近幾年來公司丑聞的啟發,進入新千年后,我國在內部控制理論研究方面,無論是內控研究的切入點、研究的視野,還是研究成果的運用,都取得了令人矚目的成就。
多年來,楊有紅教授專注于內部控制領域的研究,他提出的觀點對社會各界都起到了指導意義。現如今,他提倡將內部控制的研究應該從服務于審計的研究轉變成以公司治理與公司管理為切入點的研究。為此,本報特邀楊有紅教授暢談公司治理中的內部控制系統。
楊教授認為,內部控制是由企業董事會、經理階層和全體員工共同實施的一系列程序和政策。從古埃及金庫管理的內部牽制發展到今天由控制環境、風險評估、控制措施、監督與糾偏、信息溝通與反饋五大要素交織而成的內部控制整體框架經歷了漫長的歷史,但內部控制思想的核心仍然是不相容職務的分離。內部控制從過去的查錯糾弊理念轉為防錯糾弊以后,勢必要以風險評估和防范為導向,也就是說,在風險評估的基礎上設置控制關鍵點并建立控制程序;為了使內部控制既能起到防錯糾弊的作用又有助于企業運行效率的提高,必須由管理哲學與理念、企業文化、組織機構為其提供環境基礎,并以信息溝通與反饋為其提供保障;為保證建立在不相容職務分離基礎上的控制程序與措施得到切實的貫徹實施,必須有科學的監督機制。
一、環境評估
環境是一個企業文化特征、組織結構特征、行為方式的綜合。它包括高層領導的管理哲學與經營理念、員工的誠實和職業道德、員工的勝任能力、人力資源的政策與實務、董事會及監事會的參與、企業的組織結構、權責分派體系等。
很多時候,人們將內部控制理解為是人和人之間缺乏信任不得已而為之的措施,實際上內部控制的一個很重要的思想就是對事不對人,對崗位不對人。要想使內部控制制度更有效地實施,員工的心態是至關重要的。
企業組織機構的完善也很重要,如何通過組織機構的設立保證做到不相容職務相分離、分級授權和監督是值得研究的。
內部控制表面上看是限制人的權利,實際上是保護人的措施,使人遠離犯罪。內部控制制度真正實施的阻力相當大。任何一個企業,如果人心理不順,再好的制度也達不到有力的效果。
公司治理結構的好壞應包括在這一要素當中。公司治理是促使內部控制有效運行的基石,是內部控制實施的制度環境,而內部控制在公司治理中擔當的就是內部管理監控的角色,是為公司治理服務的。
二、目標的確立
每個企業都有明確的目標。在這里為企業總結四個目標:
一是戰略目標,企業的戰略制定要科學。
二是保證財務報告的真實可靠。
三是保證企業的管理制度、政策法規不折不扣地貫徹實施。
最后則是公司營運的效率和效果。
“如果企業實現了這些目標,相信企業已經達到了最高境界。但是中國的企業很難達到這四個目標,對于這方面的研究,還有很長的路要走。”楊有紅說。
企業在建立系統初期,到底以哪幾個目標為指導,需要企業做出自身判斷,哪一階段適合哪種目標,完全可以做選擇。
公司內部控制的目標實現需要以完善的公司治理結構為基礎、為前提。同樣,公司治理結構效能的發揮又取決于公司內部控制的好壞,需要以內部控制為手段。
三、風險確認與風險分析
通常說建立內部控制的目的是為了查錯糾弊,但是查錯糾弊又從某種程度上降低了內部控制的價值。查錯,有錯才會查;糾弊,有弊才會糾。
內部控制只能為避免錯誤和舞弊提供“合理”的保證,而不能提供“有效”的保證,不僅僅因為非故意原因導致錯誤陳述或遺漏,還由于錯誤和舞弊不僅僅是內控原因造成的,還可能是由于公司治理的問題產生的。
所以,為了避免犯錯誤而不是發生錯誤之后再去查,內部控制就應該做到事前控制。按照這個思想建立內部控制,就應該引入風險管理導向,事前評估管理流程,企業哪些地方容易出問題,找出風險關鍵點,把每個風險關鍵點作為主要控制點,然后設計出內部控制的流程。只有這樣做,這項制度才能事前有效地規避風險,而不是說等風險變成了現實再去查。
四、建立控制措施
真正的內部控制,要做到和公司治理相對接,就不僅是一套執行系統,而是要延伸到戰略,因為公司治理就是從戰略開始的。
對于企業而言,戰略制定過程中也需要有監控措施。就是說必須要有事前的調研機制,方案設計、方案評估、問卷機制,通過這套機制保證戰略制定是科學的。從風險整合觀看待整個企業設計一套控制制度,這樣才是做到了和公司治理的完美結合。
對所確認的風險采取必要措施,以保證單位目標實現的政策和程序。它包括業績評價、信息處理控制、實物控制、職務分離等。
內部控制系統局限性的克服不僅依靠系統本身的完善,還信賴于公司治理與內部控制兩者間的無縫對接。公司治理與內部控制都產生于委托代理問題,但兩者委托代理的層次是不同的。兩者思想上同源性與產生背景的差異性是對接的基礎,公司治理規范的創新是實施對接的途徑。公司治理規范的創新主要包括以下內容:公司治理規范必須對內部控制機制的構建提出基本要求;從公司治理機制構建的角度為董事會在內控中的核心地位提供保證;將監事會做實,為內部控制制度的實施保駕護航;建立反向制衡機制。
五、信息溝通與反潰
內部控制制度要求做到不相容職務相分離,要求分級授權控制,而對于保證公司營運的效率與效果、財務報告的真實可靠、相關法令和規章的貫徹實行這三大目標而言,內部控制只能提供“合理的保證”而非“有效的保證”,如果企業內部控制制度設計不夠完善,就很容易出現“扯皮”的現象,因此要保證信息溝通。
在COSO報告的信息與溝通部分和監督部分,要求各內控執行主體在經營中要相互監督,有權拒絕明顯違法的事項并通過信息溝通反映經營管理中的不適當行為。在解決了董事會成員和經理層得高度重合、董事長與總經理交叉任職的基礎上,在治理機制設計上啟用反向制衡程序對杜絕大股東侵占中小股東合法利益、實際控制人通過犧牲公司利益來實現個人利益顯得十分必要。
六、監督
無論是風險導向的控制還是內部控制,監督都是必不可少的,只是二者的監督方式不同。如果從風險導向的角度,那么就從風險規劃去監督。如果內部控制很難實施,那么監督體系也起不到監督的作用。
中國的公司有監事會、董事會、審計委員會、審計部,看起來很全,一級監督一級,天衣無縫,實際上卻是“紙老虎”。
監事會是代表股東大會監督董事會,審計委員會代表董事會監督總經理,審計部是站在總經理的角度監督員工。實際上中國的監督機制效率很差,監事會既沒有監督的權利又沒有監督的能力,審計委員會有監督的能力和權利沒有時間,審計部有能力有時間但沒有權利、權威。
理順監督體系,還有很多問題值得研究。
按照COSO委員會的報告,內部控制框架由控制環境、風險評估、控制活動、信息溝通、監督五部分構成。上述框架是內部控制的理想框架。就我國目前企業管理的現狀看,建立和完善內部控制中一步到位地完全達到這一框架的要求是不太可能的。因此,我們應該抓住關健因素,有步驟、分重點地構建內部控制體系。
最后,楊教授談到,之所以研究站在公司治理和公司管理的角度去看待內部控制,是受到了美國的影響。美國COSO《內部控制———總體框架》向《企業風險管理———整體框架》演進體現了將原來的執行風險控制轉化為戰略制定風險控制和執行風險控制的相結合,但是它始終沒有脫離為會計、審計服務的烙印,將內部控制作為一個相對獨立的閉環系統的框框。
“當然,美國COSO風險管理框架的某些思想是值得我們學習和借鑒的。在那里就提到,做任何事情首先要定目標,目標定下來以后,才知道怎么去做。目標是你的期望,期望不同,你的管理方法可能就不一樣。在管理學上,風險就是目標執行過程中的不確定因素。這是對我的第一點啟發。”楊教授如是說。
第二點啟發就是它提到風險組合觀。風險組合觀在企業當中的作用是很重要的。如果將內部控制推廣到公司治理和公司管理中,它要是能被廣泛使用,必須要有一種觀念,那就是風險組合觀。盡管每個人考慮專業風險的角度不同,但是每個人都要在公司目標的角度去看待風險,將這些風險綜合起來,有的風險可以相互抵消,有的風險可以疊加,最終確定這種風險到底是什么樣的風險。風險組合觀對于建立風險導向的內部控制很有借鑒意義。
“假如說風險導向控制是科學的,是不是這套制度一經實施,所有的企業都會成功呢?”楊教授提出了疑問。
