【摘要】《企业内部控制基本规范》的出台对于维持和促进我国资本市场的生机和活力具有重要意义,本文阐述了《企业内部控制基本规范》制定和出台的背景,结合基本规范的内容,重点探讨了基本规范的四个特点;认为基本规范满足了不同主体对内部控制的需求,形成了内部控制的理论结构;最后从制度变迁的角度和对后续问题的关注谈了三点思考。
【关键词】内部控制;基本规范;特点表2-1:基本规范与COSO报告、ERM框架对比表
|
对比项目 |
企业内部控制基本规范 |
COSO报告 |
ERM框架 |
|
定义 |
由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程 | 内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证 | (1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿 整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。 |
|
目标 |
合理保证企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略 | 经营的效果和效率 财务报告的可靠性 法律法规的遵循性 | 战略目标、经营目标、报告目标和遵循性目标 将报告目标扩展为企业所有对 内和对外的报告 ERM的终极目标为增加利益相 关者的价值 |
|
要素 |
内部环境、风险评估、控制活动、信息与沟通、内部监督 | 控制环境、风险评估、控制活动、信息和沟通、监督 | 内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控 |
在COSO报告之前,内部控制目标具体表现为经营效率和效果、报告的可靠性和资产的安全性。COSO报告认为,资产的安全性目标主要从属于经营与报告目标。不断出现的企业舞弊与失败案件表明,经营活动的合法合规性显然是组织目标实现的前提,组织内部必须要有相应的控制程序,确保组织行为不违背相关的法律和规制,以避免违法违规给利益相关者的价值带来损害。COSO报告因此发展了合规性风险控制目标,并将资产实物风险控制目标融入经营风险控制和报告风险控制目标。ERM框架针对COSO报告对企业战略管理方面关注不够的缺陷,目标制定中增加了“战略目标”,使企业在追求短期利益的同时,从战略高度关注企业的长远目标和可持续发展。该目标的层次比COSO报告的三个目标更高。
基本规范从组织最根本的目标出发,又充分考虑投资者、债权人、管理者的要求从系统的要求出发 ,以提高企业战略管理和自我引导能力为目的,判断现有的内部控制方法、控制对象与控制目标是否相容,它们之间存在的对应关系,这些目标的不同层面,每个层面作用的特定控制要素,相应的配套措施;考虑了哪些目标层面的可控性更强,哪些目标层面受其他系统的影响更多等;具有循序渐进、适合国情的特点。 基本规范目标最终定位于企业的发展战略的实现,发展战略的实现需要进行战略思维,这就需要考虑:企业对其前景做了哪些瞻望;使命是什么,核心竞争力是什么;有哪些机遇可以利用;怎样运用新技术加强竞争力;需要考虑哪些相关的经济因素;从竞争中能期望什么;从监管环境中能获取哪些好处;能否通过来取合并、合资及合作等方式取得战略优势等等,正如史蒂文·鲁特认为,保持使企业发现、利用机遇的能力和保持企业的反应能力——对意外风险与机遇的反应和适应能力,以及根据不确切的信息做出决定的能力,这对企业的持续经营能力以及其能否取得成功至关重要,因为这种控制显得更有意义,董事会和高级管理人员应将更多的时间和精力花费在利用机遇方而,而利用机遇也正是那些前景瞻望、战略规划、战术、行动、创新方案、项目和目标所要达到的主要目的。 (三)统筹构建内部控制的要素,有机融合国际上的先进经验,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。笔者认为这个框架主要有如下两方面特点: 1、该框架有效的整合了公司治理结构、内部控制与风险管理的关系,将三者最终归结为风险控制 目前我国内部控制存在的突出问题在于:尽管制定了看似完善的内部控制,由于公司治理结构存在缺陷,对公司实际控制人缺乏必要制约,管理层任意超越内部控制,最终导致内部控制成为一纸空文;在战略及经营目标实现方面的风险控制严重缺失。很多案例折射出我国企业内部控制的现状和对内部控制认识的差距,近年来国内外发生的一系列重大内部控制和风险管理失败的案例为我国企业敲响了警钟:完善公司治理,建立风险导向的内部控制,提高内部控制的效率和效果已刻不容缓。 基本规范第十一条就规定:企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。公司治理结构是内部环境的重要因素,同时还明确规定了董事会和审计委员会对内部控制的职责。 阎达五 (2001)就认为公司治理是内部环境的要素之一,而风险管理包含内部控制;黄世忠(2001)提出,如果不强化公司治理结构的基础建设,要建立、健全内部控制以确保会计信息的真实、完整只能是奢谈。公司如果不强化治理结构的基础建设,就很难有效地进行风险管理。实际上公司治理不完善或无效,本身就是一种风险。公司治理的目标是要保证各层次的受托者不得背离委托者,这里的背离包括侵吞财物、信息欺诈;另一目标也是要保证各层次的受托者理性地决策,这里的理性决策首先要求受托者不得逆向选择,也要求在识别企业各种风险的基础上做出正确的战略选择和经营决策。所以不难看出,企业内部控制的目标拓展和控制层次提升的趋势与公司治理的目标和治理层次具有几乎完全拟合的特征,公司治理本质上仍然是为了控制风险,只是这种风险控制是基于新出现的公司组织层次,以及这些层次所要进行的行为选择所决定的。 ERM框架指出内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个更为广泛的管理概念和工具框架直接凸显风险管理。对风险的控制不仅面向过去,而且也面向未来,使得风险管理不仅贯穿于作业层次,也贯穿于管理层次;不仅贯穿于战术层次,也贯穿于战略层次;不仅贯穿于执行层次,也贯穿于决策层次;是涉及到企业全要素、全过程、全层次的风险控制。 基本规范也凸显了风险管理与内部控制的密切联系,规定企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估;应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度;应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险;应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略;应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制;应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。所以,内部控制本质上是解决组织内部代理问题、实现组织目标的一种内部风险控制机制。 当然,内部控制不同于风险管理,风险管理的首要工作是风险计划,风险控制是在风险计划既定的前提下所开展的各种控制活动;风险控制除了包括内部风险控制之外,还包括外部风险控制。 综上所述,无论是内部控制、公司治理还是风险管理,都是为了控制企业可能面临的各种风险而产生的,伴随企业由自然人企业向公司制企业过渡,企业的组织层次发生变化,相应的风险控制也由员工层次向经理层、董事会以至股东大会转换,风险控制也由内部控制发展为公司治理;并且在企业较高层次,其主要的职责是经营决策,所以公司治理更多地关注决策理性,也就是决策非理性的风险;早期企业面临的主要风险是财物侵吞和信息欺诈风险,风险控制的主要任务是保证财产安全和信息真实,而现代企业财物的安全控制体系和信息体系不断地建立健全,企业面临的主要风险已转变为市场竞争风险,所以风险控制就更加关注战略风险和经营风险。从这个意义出发内部控制、公司治理、风险管理都属于企业管理的范畴,它们都是为了进行风险控制。 2、基本规范的内部控制五要素框架体现了“价值创造导向” COSO报告和ERM框架都是财务报告导向的,但财务报告舞弊的问题还在经常发生,因此对股东利益和社会公众利益的考虑还需要关注内部控制的价值方面,因为相对于虚假财务报告而言,价值创造的业绩不佳更容易导致企业失败;与财务报告质量相比,与价值创造相关的商业战略及其有效实施更应成为内部控制关注的重点;决定公司命运的主要也不是虚假财务报告而是公司业绩,在公司内部CEO是最关键的制定和实施内部控制的主体, CEO更关注的还是通过有效的内部控制来增加公司的价值创造;同时商业环境的变化促使公司更关注价值创造。基本规范的内部控制五要素框架体现了“价值创造导向”,具体表现在以下方面: (1)风险识别与应对作为价值驱动因素被纳入框架,风险分担和风险承受等概念在价值导向型内部控制框架中的意义重大。风险分担是鼓励企业积极地面对风险,而不是追求将风险最小化至无害水平;基本规范规定:企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。风险偏好是企业在向相关者提供价值的过程中所愿意承受的风险水平,通常与企业战略相关联,是与企业经营目标(增长)和财务目标(报酬)相平衡的可接受风险。企业在制定内部控制战略目标时,应该确定和选择一个与战略目标相一致的风险偏好。风险承受是相对于目标的实现而言所能接受的偏离程度,风险承受能够被计量,为了捕捉商业机会,需要管理者积极地面对风险,愿意并有技巧地接受风险。很显然,这其中涵盖了与价值创造活动有关的政策、程序和方法。 (2)信息与沟通要素被价值导向框架继续沿用了,信息范围的界定与控制目标是一致的,从价值创造的视角看,信息的范围包括了来自内部和外部的所有与管理相关的财务与非财务的信息,并且都是建立在对之有效分析的基础上。框架还特别强调了与利益相关者的信息沟通。基本规范在描述信息及沟通要素时,关注了管理信息系统的作用,因为有效的信息及沟通要借助于一体化的、共享的信息平台。同时还规定企业应当建立反舞弊机制、举报投诉制度和举报人保护制度。 (3)基本规范的框架强调了绩效评价与激励,这是对控制标准(包括所制定的目标和预算、风险承受水平等)的实施结果在信息传递与反馈的基础上进行的评价,并根据评价结果进行奖励或惩罚。绩效评价是衡量控制目标的实现程度,体现以结果为导向的管理。绩效评价是综合性的,既有财务指标又有非财务指标,并与控制目标相结合;基本规范规定的激励的内容是宽泛的,既包括物质激励又包括非物质激励,其中重要是职务激励。 (4)同其他程序一样,内部监督程序的设计和运行也必须本着达到既定目标的原则,基本规范规定,企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。 框架的内部监督涉及众多利益相关群体,虽然股东是十分明显的利益相关者,然而让他们参与到内部审计监督程序当中却并不现实;同样,董事会的地位虽然重要,也不必广泛地参与其中。CEO和总裁,可能会不同程度地参与这一程序,而CF0、财务总监和内部审计则是主要的参与者,同时还需要其他高级管理人员的适当介入。基本规范对内部审计提出了更高的要求:对内部控制的有效性进行监督检查;内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。这无疑是拓展了内部审计的责权、保证了企业全面风险管理体系的正常运行、建立了风险管理的后续评价和持续改进机制。企业内部审计部门在独立于经营管理层、对董事会直接负责的基础上,扩展了其责权,通过持续的监控活动、个别评价,或者二者的结合,实现对风险管理的评价,并对发现的问题及时采取措施优化,以完善全面风险管理体系的后续评价和持续的改进机制。内部审计是重点关注各个风险管理构成要素是否能够在风险管理体系中正常运行、业务流程是否能够满足防范风险的需要,各种量化管理的内部模型是否有效等,促进风险管理体系不断改进。
内部控制监督程序的有效性取决于各利益相关群体的参与以及相互影响的程度。而使众多的利益相关群体保持适度的相互影响是一项颇具挑战性的工作。主要参与方的态度必须改变,理解和接受风险所必需的公开交流是十分必要的,从而形成一种有益于积累知识的环境,知识在这里是指理解内部控制的概念、对资源的需求程度、应具备的能力以及伴随的风险。 上述表明,框架考虑了战略导向和风险导向的管理要求,企业的控制标准主要的是通过战略和预算、风险承受等体现出来,执行与成效衡量可具体化为控制活动、信息与沟通、绩效评价与激励三项要素,内部监督可视为纠正偏差所采取的行动之一,而所有这些要素都是以内部环境为基础的;所以价值创造导向的内部控制是以企业价值创造为主要目的、以可接受的风险水平为出发点、以管理信息系统为平台、体现控制全过程的一个开放型系统。 (四)基本规范提出了切实可行的内部控制实施机制 基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,披露年度自我评价报告,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制,落实内控责任主体和严格问责和实施严厉的奖惩机制的特点。三、基本规范满足了不同主体对内部控制的需求,形成了内部控制的理论结构 注册会计师、企业管理者、企业的投资者和潜在的投资者、外部监管者以及更多的利益相关者如供应商代理商债权人等不仅关注企业的财务报表,更关注企业的经营运作,他们也就自然产生了对内部控制的需求,基本规范的发布满足了他们对内部控制的需求。 注册会计师是内部控制理论研究的发起者和推动者,他们主要是为了提高审计的效率,降低审计的成本,关注企业的内部控制中与财务报表审计有关的部分;企业管理者是企业的实际经营者,他们需要一整套有效控制所辖资源的制度、程序和方法,以有效的使用企业的各种资源,实现企业的经营目标和战略目标。很明显,他们首先关注的并不是对外财务报表的可靠性和准确性,而是帮助他们提高经营效率和经济效益,实现企业的经营目标,乃至战略目标的内部控制;由于所有权和经营权的分离,职业经理人的出现,企业的投资者和潜在的投资者更希望在企业内部有一套能够有效约束和激励经理人、保护其投资和收益的机制,同样,潜在的投资者除了希望通过可靠的财务报表了解企业的财务状况外,也更希望通过了解企业的内部存在的这种投资保护机制,来分析企业的管理水平和盈利能力,估计投资风险的大小,做出自己的投资决策;外部监管者希望通过企业内部控制促进其监管目标的实现,使企业遵守法律法规,维护投资者和国家的利益,保持良好的市场秩序,等等。 通过基本规范的内容和前面对基本规范特点的归纳总结,我们不难看出,基本规范基本满足了不同主体对内部控制的需求;不仅如此,基本规范形成了一个能够统领各视角内部控制的更广阔视野、更大范围的内部控制的逻辑结构,这个逻辑结构是“目标→原则→要素→概念结构→实施机制”,是将目标置于理论体系的最高端,然后按照实现该目标的需要来推导、演绎出各个理论要素,并根据各个理论要素之间的逻辑关系排列它们之间的结构与顺序,从而形成的一个完整的理论体系。需要补充说明的是基本规范提出了合理确定内部控制的原则,要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则,这也是它的一个特点所在。 四、三点思考 (一)基本规范的出台是一种强制性的制度变迁 以政府机构、实务界为研究主体,以调查分析、总结归纳为基本研究方法,通过对中国企业内部控制管理实践的调查研究,筛选和总结出较好的管理惯例,形成内部控制规范——我国沿着这条路线所进行的研究活动已经开展多年,并且取得了一些研究成果。2006年财政部发起成立了企业内部控制标准委员会,广泛凝聚一批各方面的专家学者,旨在为推进我国企业内部控制建设提供政策咨询。通过两年的努力,要基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制。 从《内部会计控制规范——基本规范》到如今的基本规范,是由政府机构所发起的制度变迁,这多与各种社会危机或外在压力直接相关。其中,危机的表现较为明显。政府机构发起制度变迁的成本低于民间组织,因为政府具有诺斯所认为的“暴力优势”,它可将各种制度轻易地推行下去。同时,政府机构可以轻易地取得规范制定所需的各种人力、物力等资源。但是,政府机构本身不能获取提供了某项制度的收益,因为从理论上,政府机构日常运行耗费的是全社会的资源,理应以全社会利益最大化为目标,它所发起制度变迁带来的制度收益当然就归社会所有。而政府机构的“收益”就是政绩和良好的社会评价。所以,正如王军副部长强调的:制定和完善我国企业内部控制标准体系,是新形势下会计管理工作贯彻落实科学发展观、走长期可持续发展道路的必然要求,是促进经济健康运行、规范资本市场秩序、完善现代企业制度的现实需要,是完善我国会计法规制度、推动中国会计走向国际市场的正确选择。 但是,管制权力又是一项十分珍贵的资源,且具有供给刚性。政府机构会利用其暴力优势,不断扩张其管制范围,增加其管制权力。所以,“必须处理好内控标准体系与现行监管规则的关系,即解决内控标准体系的协调性问题。需要始终把握一个基本尺度:内控标准体系与已经出台的有关内控监管规则之间不是替代关系,而是一种相互联系、相互协调、相互促进的和谐互动关系。内控标准体系能否得到有效实施,监管部门的推动和配套监管措施的支撑十分关键。财政部会同有关部门出台内控标准,并非表明‘仅此一家’。不同监管对象的关注点、侧重点不同,有关内部控制的具体监管要求可以、也应当有所差别,但对内部控制的基本标准或政策底线,应力求一致,否则很难自圆其说,也无法给企业一个满意的交代。” (二)内部控制的知识存量与制度变迁的关系 拉坦认为,如果没有社会科学知识的进步,对新制度设计(假定这是必须的话),必须要通过大量的“试错”过程来进行。尽管社会科学知识的进步并不能保证每次制度创新的尝试一定会成功,但这毕竟减少了“试错”的次数,极大地降低了设计新制度安排的成本。一般而言,设计一项制度安排,所需的知识准备,除了特定制度安排之外.多为社会科学知识,包括经济、法律、商业组织等等。因此,社会科学知识的进步,将在相当程度上能降低制度设计和创新的成本,从而能促进制度变迁的发生。或者说,对制度理解的知识的进步,能增加制度变迁的供给,尽管增加的量不会正好等于知识进步的量(这可以理解为制度的供给弹性)。拉坦还认为,社会知识进步对制度变迁供给的促进作用,是通过对意识形态的影响来实现的。在一个意识形态和宗教影响较弱、民主化、公开化程度较高的国家,对社会科学知识的依赖性要高得多。
我国经过多年的理论研究和探索,在内部控制领域已经取得了一定的研究成就,涌现出不少具有理论见地或者具有较大应用价值的研究成果。这些为普及我国的内部控制管理,提高人们的内部控制管理意识奠定了较为坚实的基础,同时也为我国制定内部控制规范做了较好的理论铺垫。
内部控制的知识存量(包括关于内部控制的知识)在相当程度上决定了制度变迁(包括基本规范制订)的方式与内容;内部控制知识的进步,将会推动原有制度的修订和新制度变迁的发生(如内部控制规范的制定或原有规范的修订)。现有的知识存量,如COSO报告和ERM框架以及我国的理论与实践的经验总结,能提供一个有关制度环境、各种可能的制度安排及其功效的详尽、透彻的知识,这将为制度创新集团提供一个有效的依据,为其进行制度创新决策、特别是具体选择何种制度安排时提供帮助。这种帮助和影响,可以是直接的也可以是间接的,知识存量通过对制度制定组织和(或)执行主体思想的潜移默化影响,来引导其制度选择,制定内部控制规范。这是科学研究影响制度变迁的主要作用方式,也就是制度变迁的“路径依赖”。 (三)后续关注的问题 基本规范发布实施后,笔者认为要关注以下一些问题: 第一,如何做好基本规范实施的准备工作,如何加强宣传培训、研究制定具体实施办法,总结在实施过程中会出现哪些问题,应该分析原因并找到解决的对策; 第二,《企业内部控制评价指引》(征求意见稿)、《企业内部控制应用指引》(征求意见稿)和《企业内部控制鉴证指引》(征求意见稿)被征求意见并实施后如何进行具体的实务操作; 第三,如何健全内控规范体系,如何不断完善以法制为推动、以企业实施为主体、以政府监管和社会评价为保障、以各方面积极参与为促进的内控实施机制; 第四,基本规范在上市公司实施后,对公司的利益相关者产生了怎样的影响,他们会有怎样的行动,对不同利益集团的行动预期需要进行规范和实证方面的研究,从而得出有益的结论; 第五,要研究分析内控规范的实施与新会计准则、审计准则的实施以及信息化建设之间的互动关系和配套机制、措施,以促进资本市场的健康良性发展; 限于本文的主题和篇幅,笔者未能围绕上述思考的问题展开详细的讨论,因此,从制度经济学、组织理论、管理学经典理论、公共经济、公共治理学、法学等角度对这些问题的深入探讨可能会成为今后的研究方向。
参考文献
[1]《企业内部控制基本规范》发布会暨首届企业内部控制高层论坛在京举行. http://www.casc.gov.cn/nkbz [2]《企业内部控制基本规范》.http://www.casc.gov.cn/nkbz [3]统筹规划、深入研究、加快推进企业内部控制标准体系建设——财政部副部长王军在企业内部控制标准委员会第三次全体会议上的讲话. http://www.casc.gov.cn/nkbz [4]朱荣恩,贺欣. 2003.内部控制框架的新发展:企业风险管理框架——COSO委员会新报告《企业风险管理框架》简介.审计研究,6:11-15 [5]刘明辉,张宜霞.2002.内部控制的经济学思考.会计研究,8:54-56 [6]吴水澎,陈汉文,邵贤弟.2000.企业内部控制理论的发展与启示.会计研究,5:2-8 [7]李连华.2005.公司治理与内部控制的衔接与互动.会计研究,2:64-69 [8]张砚,杨雄胜. 2007.内部控制理论研究的回顾与展望.审计研究,1:37-42 [9](美)史蒂文·鲁特著.付涛译.2004.超越COSO:加强公司治理的内部控制.北京:清华大学出版社 [10]谢志华. 2007.内部控制、公司治理、风险管理:关系与整合.会计研究,10:37-45 [11]丁友刚,胡兴国. 2007.内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进.会计研究,12:51-54 [12]李心合.2007.内部控制:从财务报告导向到价值创造导向.会计研究,4:54-60 [13]吴水澎.2007.萨班斯法案、COSO风险管理综合框架及其启示.财会学习,2:23-27 [14]陈志斌,何忠莲. 2007.内部控制执行机制分析框架构建.会计研究,10:46-52 [15]科斯,阿尔钦,诺斯等著.2006.财产权利与制度变迁.上海:上海人民出版社