时间:2023-06-06 09:30:02
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇内部控制目标,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
(一)促进医院实现发展战略的目标 战略目标源于医院的使命和远景,战略目标在内部控制目标体系中是最高层次的,它反映了医院在一定时期内经营活动的方向和所要达到的水平,既可以是定性的,也可以是定量的,如竞争地位、患者服务、财力资源、业绩水平、发展速度等。医院的战略目标关系到医院未来的生存和发展,制定目标的过程是一个上下结合、集思广益的过程,医院必须在全面、认真地分析医院内部条件和外部环境的基础上,依据经营环境、竞争战略不同,确定相应战略目标。
(二)促进医院提高经营效率的目标 经营目标是指实现医院预期要达到的成果,通过内部控制使医院经营的效率与效果更加有效,以提高社会效益和经济效益。医院运用平衡计分卡将医院的经营目标转化成由财务、病人、内部流程、学习与成长四个部分组成的目标,落实为具体的行动,并提供短期与长期目标、财务与非财务措施、外部与内部绩效指标间的平衡,促进医院发展。
(三)促进医院经营管理合法的目标 合法目标是指通过内部控制使国家的有关法律法规和医院规章制度在医院经营活动中得到有效执行,使医院的各项经营活动置于国家法律法规允许的基本框架之下,在守法的基础上实现自身的发展。诚实守信、遵纪守法,是提升医院价值的基本前提,是实现经营目标的保证。
(四)促进医院维护资产安全的目标 资产目标是指通过内部控制提供医院资产安全、完整的制度保障,资产安全完整是医院可持续发展的物质基础。合理保证医院资产安全,提高资产管理效率,保证会计核算真实可靠,防止资产流失,提高资产使用效率,获得最大效益。
(五)促进医院提高报告质量的目标 报告目标是指通过内部控制合理保证医院信息的相关性和可靠性,以支持管理层的决策和对营运活动及业绩进行监控,有利于提升单位的诚信度和公信力,维护单位良好的声誉和形象。这里信息既包括财务信息,也包括非财务的其他经营活动方面的信息;既包括对内提供的信息,也包括对外提供的财务报告等方面的信息。
二、医院内部控制目标实现的原则
(一)合法性原则 内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则内部控制在层次上应当涵盖医院决策层、管理层和全体员工,在对象上应当覆盖医院各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则 内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则 内部控制应能够为内部控制目标的实现提供合理保证。医院全体员工应自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应能够得到及时纠正和处理。
(五)制衡性原则 医院的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。
(六)适应性原则内部控制应合理体现医院经营规模、业务范围与特点、风险状况以及所处具体环境等方面的要求,并随着医院外部环境的变化、医疗业务的调整、管理要求的提高等不断完善。
(七)成本效益原则 内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
三、医院内部控制目标实现的影响因素
(一)外部环境因素主要包括:一是国家财政拨款逐年趋减,大型医院逐利倾向明显。近年来财政拨款在大型医院收入中所占比重不足5%,医院为了维持生存与发展,以逐利为目标的经营行为愈演愈烈,导致医疗费用的增长超出社会公众的心理预期和经济承受能力。二是国家对医院监管力不足,国有资产经营风险加大。由于医疗资源分布不均匀,农村医疗设施落后,城市社区医疗卫生服务缺位,造成了大型医院病人人满为患的现象,刺激大部分大型医院兼并小医院、联合办院、跨区域成立医疗共同体、大型设备重复购置、双机运行等,这种盲目扩张势必会加大国有资产的经营风险。
(二)内部环境因素主要包括:一是组织机构重叠设置,财务管理功能弱化。不少大型医院普遍存在机构重叠、管理层次多和工作效率低等问题,特别是财务管理机构的重叠设置,影响了财务管理目标的明确性、财务制度的执行力,也影响了医院管理者的判断力,严重削弱了医院财务管理的职能。二是医院人事制度改革停滞不前,人才短缺与过剩、浪费与流失并存。只注重人才的引进,不重视管理的规划,不利于吸引、培养和使用人才。培训意识淡薄、培训资金缺乏以及没有具体的中长期培训计划,不利于人才素质系统的提高。 三是医院管理者风险意识薄弱,管理者综合素质有待提高。有些医院的管理者把内部控制狭隘地理解为是一种财务控制,而没有将内部控制上升到医院整体管理目标来考虑,使内部控制不能真正发挥其重要作用;有些医院的管理者认为实施内部控制成本昂贵以及收益隐性化、长期化,不愿意真正实施内部控制,致使不少医院内部控制流于形式;有些医院的管理者没有接受过专业培训就上岗,人为造就了不良管理行为。四是医院文化和诚实守信的价值体系没有形成。有的医院文化缺乏系统的理论指导,满足于提出某种口号;有的医院文化和具体的流程脱节,流程和理念脱节,不能将医院文化和理念落实、贯穿到每一个具体的流程中去,使得医院文化仅停留在表面上;有的医院文化过分理想化。在医院文化建设中提出一些不切实际甚至是超出医院能力范围的文化理念,以至员工缺乏务实的工作态度,进而影响医院的长远发展。
四、医院内部控制目标体系构建
(一)改善医院内部控制环境 内部控制环境主要反映决策层和工作人员对控制过程的态度、认识程度和实际行动,是内部控制目标的重要环节。一是不断优化医院外部环境,坚持依法执业,净化医疗市场;坚持公益性质,构建和谐医患关系;坚持正面引导,创造良好舆论环境。二是重视医院内部环境的建设,培养良好的医院文化氛围,提高员工的诚信程度和职业道德水平;建立切实可行的道德规范行为准则,优化内部控制环境,保证医院内部控制目标的有效实现。
(二)健全医院内部控制制度 医院要根据《医院会计制度》的有关规定,结合本单位的实际情况制订符合发展需要,与之相配套的医院内部会计控制制度,合理设置会计机构和会计岗位,配备合格会计人员。坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。所有从事会计工作的人员应当具有会计从业资格和相应的专业技术职称,定期培训、定期轮岗。
(三)强化医院全面预算管理 强化医院全面预算,一是更新观念,预算管理成为财务管理行为和理念,使财务预算的编制与执行成为一种规范。二是收入预算要科学、合理预测编制;支出预算要量入为出,分清轻重缓急。三是预算编制要细化,具有较强的操作性和可控性,便于执行、监督、协调和控制。四是及时分析评估,将预算执行情况与医院经营状况有机地联系在一起。
(四)完善医院成本核算体系 医院要实施内部控制,必须建立一套科学的成本核算体系。一是建立目标成本管理体系。医院运营中要严格执行目标成本,定期检查目标成本的达成情况。二是建立奖惩制度。根据各部门目标成本的落实情况进行奖罚。三是提高医院的资源利用率,降低医疗总成本,稳定病人诊疗费用,提高医院的经济效益和社会效益。
(五)加强医院人力资源管理医院内部控制目标的实现,要确立全过程全员的内部控制意识。一是要严把用人关,确保重要岗位人员的素质要求;二是多层次、全方位地加强各类人员的岗位培训,切实提高员工的业务素质和政治素质;三是加强职业道德教育,培养医院员工爱岗敬业精神,形成自检自律的工作态度;四是对部分重要岗位实行定期或不定期的转换制度,以便达到相互牵制、相互监督的目的。
(六)建立医院有效评价体系 医院应当结合内部控制制度建立与实施情况,定期对内部控制的有效性进行评价。一是健全性,健全内部控制制度,采取有效的控制措施,建立必要的检查监督机制。二是适应性,评价内控制度要符合医院的实际情况。三是一致性,评价内部控制制度与医院的总体目标要一致,各个控制环节紧密协作。四是成本效益性,评价内部控制制度要符合成本效益原则。
关键词 内部控制;目标导向;风险管理;价值创造
一、内部控制的发展与演进:目标与方法论
(一)内部控制的萌芽:与管理活动如影相随
内部控制理论的产生是近代的事情,但是,内部控制实务却源远流长,应该说,自古有之(石爱中,2006)。早在公元前3000多年前的美索不达米亚文化时期,人类社会的一系列活动中就体现出了带有本能意义的内部牵制。那时的管理基本上是建立在个人观察、判断和直观基础上的传统经验管理。尽管这种内部牵制的管理思想源远流长,但没有形成系统的管理理论,也不可能提出内部控制的概念。
在随后的一些管理活动中,也都非常明显地出现了内部控制的实践活动。例如。古埃及会计称为“书吏”,“其责任和权力都比较大,不仅负责事项的记录,而且还要负责对全部库存财产的监督”。而且,以“书吏”工作为基础,“在国库长官、国库出纳官、国库书吏及国库监督官之间初步建立了一种经济牵制关系,这些官员各司其事,又互相制约,并把控制重点放在支出方面”(郭道扬,1999)。
到了15世纪,资本主义得到初步发展。特别是工业革命后,企业管理理论得到了迅速的发展和完善,形成了涉及组织结构、职责分配、业务程序、内部审计等许多方面的控制体系。但是,尽管“内部控制在这期间已在管理实践中完成了其主体内容的塑造过程,但其各项构成要素和控制措施只是散见在企业各项管理制度、惯例和实务中”。管理者并没有从理论上进行总结,也没有提出内部控制的概念。
19世纪末,审计人员在改进审计方法的探索中,开始了对内部控制的研究。在审计介入内部控制理论的研究之前,作为现代内部控制雏形的内部牵制制度,其主要目的就是查错防弊,它是通过总结以往的经验、在实践的基础上逐渐形成的。基于提高审计效率和保证审计质量的需要。审计人员把内部控制从企业管理活动中抽象出来,赋予其目标和体系,从实践上升为理论,使之成为审计技术和程序的组成内容(张宜霞、舒惠好,2006)。
由此可见,内部控制的初衷并不是为审计服务的。它完全是从管理的角度出发的,应当是企业客观存在的东西。
(二)内部控制的发展:管理思想的忠实追随者
1949年。美国会计师协会所属审计程序委员会在其专门报告《内部控制:一个协调的系统要素及其对管理层和独立公共会计师的重要性》中首次对内部控制下了一个定义:“内部控制包括组织的计划和企业为了保护资产。检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采用的所有方法和措施”。该报告是从企业经营管理角度来定位内部控制的,从理论上给出了内部控制的广泛涵义。但是,它对财务报表审计中应对内部控制检查到什么程度,给注册会计师提供的指导却很少。使审计人员感到无所适从。审计人员认为,1949年的定义内容过于广泛,超出了他们评价被审计单位内部控制所承担的责任。迫于压力。为了满足审计人员在审计中的业务需要,AICPA所属的审计程序委员会于1953年10月颁布了《审计程序说明》第19号,并于1963年颁布了《审计程序公告第33号》,对内部控制的定义做了正式修改,大大缩小了注册会计师的责任范围。
与1949年的定义相比。这些定义过于消极,仅仅从财务审计当时的实际需要出发。范围过于狭窄,人为地限制了内部控制理论和实践的发展。然而,事与愿违。20世纪60年代以后,注册会计师的审计责任却进入了诉讼爆炸时期。审计界把内部控制的定义限制在一个较小的范围内,从表面上看是减轻了审计师的责任和工作量,但从更深层次来说,它恰恰增加了审计风险。
20世纪六七十年代以来,一系列财务失败和可疑商业行为,特别是80年代出现了主要是由金融机构破产引起的更为耸人听闻的财务失败事件,以至于1985年,由AICPA、AAA、FEI、IIA、IMA五个职业协会组成的团体另外建立了一个委员会。即全美反欺诈财务报告委员会(National Commission onFraudulent Financial Reporting)。该委员会通过对欺诈性财务报告案例的研究,发现50%是因为内部控制失效的缘故,指出薄弱的内部控制是许多欺诈性财务报告发生的主要原因。针对这种情况,该委员会成立了专门研究内部控制问题的机构――COSO委员会来制定关于内部控制定义及框架的指南。1992年,COSO了具有革命性的研究报告,即《内部控制――整体框架》,标志着内部控制迎来了历史的春天。
1992年COSO的《内部控制――整体框架》在一定程度上实现了审计技术导向内部控制与管理导向内部控制的整合,是对构建统一内部控制平台的第一次尝试。COSO报告提供了一个广泛的内部控制框架,成为迄今为止对内部控制最全面的论述。它在一定程度上突破了以往对内部控制仅从会计、审计方面进行研究的狭隘性,在内容上不再局限于会计控制,而是将其拓展到企业的管理以及企业的治理,从一个更高、更系统的角度给出了内部控制的一个框架体系(林钟高,2006)。该框架尽管得到广泛认可,但理论界与实务界还是认为存在缺陷,如对风险强调不够,使得内部控制与企业风险管理无法进行很好的结合(朱荣恩、贺欣,2003)。
为了适应21世纪商业环境发展对内部控制的要求以及风险管理的需要。COSO于2004年9月正式颁布了《企业风险管理――整体框架》。这一报告代表了内部控制理论的最新发展成果。COSO的2004年报告指出:“内部控制是企业风险管理的有机组成部分。企业风险管理包含内部控制,并形成一个(比内部控制)更为广泛的管理概念和工具”。因此,内部控制与风险管理之间的融合已是一种必然趋势,这种融合可理解为风险管理包含了内部控制,还可理解为企业风险管理框架就是企业内部控制的外在表现(严晖,2005)。风险管理框架在1992年整体框架的基础上又增加了三个内部控制要素:目标制定、事项识别、风险评估,同时把内部控制的目标定位提高到战略定位。这是内部控制史上的又一次飞跃。
(三)一个暂行结论:内部控制、管理活动与独立审计的价值相关性
综观内部控制的发展与演进可以发现:内部控制(内部牵制)的实践及思想雏形起源于早期的管理活动,并随着经济社会管理活动的发展而不断向前演进。伴随着资本主义的萌芽与发展,特别是工业革命以后。企业得到了前所未有的发展。这种发展导致了对企业经济活动进行鉴证的审计不断发展。审计人员在改进审计方法的探索中,开始了对内部控制的研究,把内部控制从企业管理的实践活动中抽象出来。赋予其目标和体系。使之从实践上升为理论,成为审计技术和程序的组成内容。理论化的内部控制大大促进了审计业务的发展。但 由于审计人员人为地把内部控制局限在一个较小的范围内。反而限制了内部控制实践和理论的发展。审计责任的诉讼爆炸及社会各界对内部控制的关注,又促使内部控制回归管理。内部控制的发展存在一个总的趋势,即目标越来越明确,范围越来越大,边界越来越清晰,内容越来越丰富,且有与管理逐步融合之势。这一系列内部控制目标与研究方法论的发展与演进过程,充分表现了其与管理活动及独立审计的价值相关性,如图1所示:
由以上论述可以看出内部控制目标及方法论的发展与演进过程,即:内部控制来源于管理,又回归到管理。这种回归不是简单的转圆圈式的回到出发点。而是一种螺旋上升式的发展,是对内部控制从实践到理论的提升与完善。这种回归如下页图2所示:
二、内部控制的目标体系:内在逻辑
进一步考察可知,关于内部控制目标体系的构建与完善,学术界有一些文献提出了设想。阎达五、杨有红(2001)从内部控制的目标和内容的演进进程的角度出发。论述了内部控制目标尽管呈多元化发展趋势,但概括起来主要涉及以下两点:一是合规经营,具体而言。就是保证企业依法组织经营活动。保证会计信息真实可靠、确保财产安全;二是效益性。即保证企业管理政策的贯彻实施和效益目标的实现。并在对内部控制目标的归纳基础上,认为内部控制体系的建设不只是企业自身的事情,它有着广泛的社会性。李兆华(2004)提出,应针对内部控制所参照的三项规则,将内部控制的目标划分为三类:经营目标、信息目标和规制目标。宋鑫(2004)则认为,确定公司内部控制目标时,应考虑治理机构层次以及健全的公司治理环境下内部控制的有效运行,分层次进行控制目标设计,以便最大限度地发挥内部控制效用。陈志斌(2005)通过对内部控制的发展历程分析发现。内部控制第一层次的目标仅仅是防弊纠错,保证财产物资的安全,保证会计信息的及时与真实;内部控制第二层次的目标是保障经营活动的合规合法性,保证法律法规的遵照执行;内部控制第三层次的目标是为提高单位的效益和效率服务;内部控制第四层次的目标提出要完善公司治理。要服务于公司创造价值。要保护单位中人的“安全”与价值。他又提出,内部控制的理想目标应该是把单位建成具有自我纠偏和自我超越功能的自觉组织和学习型组织。李连华(2005)在COSO风险管理框架的基础上。将内部控制目标理解为三大基本目标――会计信息真实可靠、企业资产安全和营运效率提高。并认为三大目标目前都没有得到很好的实现。林钟高(2006)将内部控制视为企业管理的一个有机组成部分。其目标也应当和企业的总目标一致,而且内部控制的目标应当有助于企业总目标的实现。是总目标的具体化。基于企业价值最大化的总目标,相应地,内部控制是由控制主体根据企业总体目标而建立的,目的已不再局限于传统的查弊和纠错,而是涉及到企业经营管理的各个方面,是参与企业经营的各利益相关者权益要求的实现途径,进而成为公司法人治理结构的具体体现,这与企业组织形式的演化及公司法人治理结构的发展相一致。
目前。针对内部控制目标的研究几乎都是在内部控制目标多元化的趋势下。分层次、分类别地对内部控制目标进行重构,以便科学、合理地指引内部控制有效运行,充分发挥内部控制的效用。通过上述观点不难发现,学术界在对多元化的内部控制目标进行划分时都遵循着某种趋势,即由初级需求不断发展为高级需求。由企业自身的管理需求不断发展为企业社会责任的保证。
在这种探寻内部控制目标体系的过程中存在某种内在逻辑:内部管理需求和外部审计监管需求。分析以上观点,并结合COSO内部控制及风险管理目标体系。笔者对内部控制目标重新进行了整合,使之能够满足内部管理需求和外部审计监管需求。其内在逻辑关系如图3所示:
根据图3分析如下:在1992年COSO内部控制的三大目标的基础上,结合2004年COSO风险管理增加的一个目标和对原有的几个目标的补充,笔者把内部控制目标重新整合为三大类,即战略目标、经营目标和合规性目标。由于财务等相关报告的编制是标准化的,而这些报告标准(包括会计法、会计准则等财务呈报相关法律)在我国本身就是政府法规的重要组成部分。公司只要在政府所颁布的会计法规或会计标准的界限内编制财务报告,就是遵循了法律法规,就是“合规”的。因而也是能够满足财务报告质量要求的。这样看来,COSO框架中被作为两项目标的“报告”与“合规”。在我国实际上是可以合并在“合规”项目之内的(李心合,2007)。基于此,笔者将内部控制目标整合为战略、经营和合规三大目标。
三、内部控制的目标导向:发展趋势
对内部控制的渊源进行追溯,对现状进行探讨,除了总结之外。更重要的是探求内部控制目标导向的发展趋势,发现存在的问题并提出对策,以实现内部控制的提升与完善。
在本文第二部分分析的基础上,重新整合的三大目标根据需求的不同,又可分为满足内部管理需求的战略目标、经营目标和满足外部审计监管需求的合规性目标。而这两种需求所引致的目标导向又是相互作用的。相辅相成的。
(一)内部管理需求对外部审计监管视角的作用
内部管理需求引致的目标包括战略目标和经营目标。战略目标的层次比其他目标更高,是与企业的远景或使命相关的高层次目标,其他目标是战略目标的具体化。风险管理框架在内部控制框架的基础上引入战略目标。说明内部管理不仅仅可确保短期经营的效率与效果。而且介入了企业长期战略(包括经营目标)的制定过程。
一个企业的战略管理是否正确、有效。不仅影响企业的日常经营,还会对反映企业经营成果的财务报告的可靠性产生直接影响。因此。审计师要有效地把握财务报告的错报风险,就必须从错报产生的源头着手,从战略系统观对企业经营风险进行分析、测试、评价和决策,并通过对企业保持和加强竞争优势的战略及其恰当性进行分析评价,才能从源头根本解决“合规”性问题,控制审计风险。从而系统地提高审计监管的科学性和有效性。
从相反的角度来看,长期以来。内部控制理论把关注重点放在对外公开的财务报告上,以防止财务报告舞弊案的发生。但事实是。财务报告舞弊的问题还是会经常发生。进一步探寻其中的原因可知,对外的财务报告是企业过去的经营成果的被动反映,一味强调审计监管导向的内部控制只能通过财务报告的约束作用间接作用于企业的经营活动。另外,在大多数情况下,财务舞弊是企业在企业战略、经营管理出现问题时所采取的“瞒天过海”策略。仅强调与财务报告相关的内部控制并不能防止企业战略、经营管理上的失败。“另一个毒瘤是。管理层经营失败而不可避免地导致股东价值下跌。原由就可能在于其糟糕的战略,无法保持核心竞争力,或竞争优势的销蚀”。
从以上正反两个方面可以推知,从内部管理需求的角度出发。强调对企业战略、经营目标的关注,不仅不会削弱外部审计监管视角的合规性,反而会从源头上抑制或避免“违规”的发生。
(二)外部审计监管需求对内部管理视角的作用
外部审计监管需求引致合规性目标。尽管人们对内部控制的管理导向日趋关注,但也不能忽略它在审计中的职能与作用。满足审计监管的合规性需求,就满足了广大投资者的需求。可以缓解信息不对称产生的一系列问题。有助于提高企业的外部形象与信誉,进而提升企业的整体价值。因此。COSO的内部控制和风险管理两个框架报告都保留了(财务)报告可靠性、法律法规遵循性两个“合规”性目标。
关于审计监管需求的内部控制可以维护市场的秩序和有效性。提高经营透明度,降低信息的不对称。基于此。各个国家和地区都在关注战略、经营风险管理的同时。对其在相关法律中做出了不同程度的要求。美国的SEC更是在SOX法案之后提出了“财务报告内部控制”的概念,更进一步明确了外部审计监管的不可或缺。
由此,可以得出结论:有效、科学、合理的内部控制目标应同时满足内部管理需求和外部审计监管需求。只有标本兼治,内外部相互促进。才能共同提升和完善内部控制。
【关键词】目标导向,上市公司,内部控制,平价指标,企业价值
1、引言
如何建构一套科学系统的指标体系及评价模型是一个企业在进行内部控制时所要考虑的一个核心问题,这是因为评价指标选取的优劣影响了评价结果的可靠性[1],而评价模型选取的好坏则直接影响到了企业整体内部控制的有效性[2-3]。对于上市公司而言,这种影响尤为突出。因为上市公司内部控制是一个复杂、广泛的问题,如何在企业内部控制时综合、全面、科学的进行指标选取及有效的评价建模,从而达到客观反映问题的要求和目的,是当前上市公司所普遍关注的问题。
就目前而言,国内外关于企业内部控制有效性评价指标的构建思路主要有两种:一种是基于内部控制五要素构建指标体系[4],一种是基于内部控制目标来构建[5]。主要区别在于评价主体和指标选取的不同。但无论是投资者、债权人等外部利益相关者,还是企业内部管理者,往往都会更关注内部控制目标的实现或实现水平的高低。因此,我们认为内部控制有效性可以被视为是对企业目标实现的保证程度[6],所以本文站在企业外部利益相关者角度,选择建立以目标为导向的内部控制有效性综合评价指标体系模型。首先,本文以企业内部控制目标为导向进行评价体系指标的选取,并对选取的指标进行数值预处理;其次,建立基于层次分析法(AHP)及主成分分析法(PCA)的上市公司内部控制有效性综合评价模型;最后,通过对深市A股主板上市公司的实证分析来证明文章所建立的上市公司内部控制综合评价体系的有效性。
2.评价体系指标的选取
2.1以目标为导向的内部控制评价指标建构
在引言部分,我们提出建立以内部控制目标为导向的内部控制有效性评价指标体系。然而,就内部控制的目标范畴而言,不同的国家、学者有不同的看法。COSO的《内部控制――整体框架》(1992)中,指出内部控制的目标是:经营效率和效果、财务报告的可靠性及适用法规的遵循性,后来又增加了战略目标这一项[7-9]。我国财政部颁布的《企业内部控制基本规范》(2008)中,将内部控制的总体目标概括为:“保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略”[10]。综上,我们大致可以将这一总目标可分解为战略目标、经营目标、报告目标、合规性目标和资产安全性等5个子目标[11]。本文也是基于这五个子目标来建立评价综合内部控制有效性评价指标。
2.2评价指标数值的选取与预处理
(1)指标的评价标准与评分方法
对于各个指标的评价标准与评分方法,文章做出如下规定:(1)定量指标以公司所公布年报中的数据为准。(2)定性指标分别规定如下:对财务报表的审计意见指标进行评分,如果是标准无保留审计意见,则该指标得分值为9分;如果是非标准无保留意见的审计报告,该指标得分为7分;如果注册会计师出具的是保留意见的审计报告时,得分为5分;无法表示意见,得分3分;否定意见,得分0分。
(2)指标数据的一致化处理
一般来说指标可分为四种类型:极大型指标、极小型指标、中间型指标以及区间型指标。如销售额、销售增长率等指标我们希望取值越大越好,这类指标就是极大型指标;而罚款数额、资产的盘亏等指标我们则希望越小越好,这类指标就是极小型指标;居中型指标我们则希望它不大不小居中最好,这类指标就是居中型,比如资产负债率指标;而区间型指标既不是越大越好,也不是越小越好,而是处在某个区间内为最好。这四种指标类型造成了指标间的不一致性,因此在进行综合评价之前,需要对指标类型做一致化处理。
本文中我们评价的是内部控制有效性,很显然有效性是越大越好。因此,我们都将各类型的指标都转化为极大型指标。
3.上市公司内部控制有效性综合评价模型的构建
3.1基于AHP的指标权重的确定与计算
以上所构建的指标体系从不同的侧面揭示了企业内部控制目标的实现水平,但各个指标对评价目标的重要性是不同的。为此,我们需要确定各个指标的权重系数。指标权重的确定受多个因素的影响,根据计算权重时所采用数据的来源可将其分为主观赋权法、客观赋权法、组合赋权法三种方法,不同的方法有其不同的适用性。综合考虑,本文采用层次分析法[15]确定指标的权重系数。
(6)在确定取前p个主成份后,构建综合评价向量Z=v1Z1+v2Z2+vpZp,即是对观测样本进行综合评价的最后得分。
对于报告目标、合规性目标、资产安全性目标这三个子指标,其所关联的指标较少,我们选用层次分析法进行综合评价,得出能够反映这三个目标实现程度的一个综合评价指数。
在得出内部控制有效性5个子指标分别的综合评价指数之后,将其按照AHP分析所得的权重加权汇总,即可得出上市公司内部控制整体有效性的一个综合指数(ICE)。根据这一评价指数综合反映了上市公司内部控制有效性目标的一个实现程度。
关键词:内部控制手册功能定位内容框架与运行机制
随着《企业内部控制基本规范》及其配套指引相继,如何有效执行基本规范及相关指引,完善公司风险管理和内部控制机制,业已成为公司治理工作的重要内容。内部控制手册作为一项已经被国际同行认可的有效工具和最佳实践成果,日益得到国内实务界关心和重视,为推进内部控制自我评价工作发挥了重要的作用。本文在总结企业内部控制手册建设工作的基础上,借鉴国际通用控制标准和最佳实践,从内部控制手册定位出发,重点介绍内部控制手册内容框架和运行机制,并提出内部控制手册建设若干建议,以飨读者。
一、内部控制手册建设的基础
1.内部控制手册建设的必要性
2008年6月28日,财政部等五部委联合《企业内部控制基本规范》和相关指引征求意见稿,并规定该规范于2009年7月1日率先在国内上市公司中执行。该基本规范不仅提出了企业建立健全内部控制五要素框架,而且要求企业应实施内部控制自我评价制度,并明确提出了“企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。”的要求。这在法律层面上给执行基本规范的企业在内部控制手册建设上提出了要求,也成为外部监管机构、资本市场评价上市公司是否规范内部控制建设的重要组成内容。
随着企业经营规模和业务的发展,健全内部控制,提高风险管理能力也是提升企业竞争力、提高股东价值的重要途径。为了有效推进内部控制自我评价工作,提升员工对内部控制的认知和执行程度,急需形成一套系统、规范,又具可操作性的内部控制手册,以强化内部控制标准化建设,有力提升内部控制水平,因此,内部控制手册的建设符合企业自身发展需要。
2.内部控制手册的功能定位
(1)提升员工内部控制知识和风险意识的学习平台。
(2)设计与执行公司内部控制架构、流程、关键控制活动和分解内部控制责任的操作指南。
(3)实施内部控制自我评估工作和内部控制审计工作的重要评价标准。
因此,内部控制手册的使用者比较广泛,无论是各级管理者,还是内部控制专业人员,甚至包括全体员工,都能从内部控制手册受益匪浅。但从内部控制手册的基本功能定位来看,内部控制手册的主要使用者还是公司管理层、内部控制流程负责人、内部控制自我评价人员和审计人员。
内部控制手册不同于企业日常管理制度和程序文件,它是从内部控制的视角审视企业内部控制架构和重要业务流程关键控制活动,其内容很难涵盖企业偶发或例外事项,以及超过内部控制目标范围的管理要求,因此,内部控制手册不能代替企业日常管理制度和程序文件,更不是简单的企业制度和程序文件的汇编。日常管理制度和程序文件除了内部控制点外,主要关注日常操作方面的具体步骤、方法和管理界面。而内部控制手册则主要从设定的内部控制目标出发,识别和记录业务流程的关键控制环节,提供内部控制评估的工具和方法,帮助管理层完善内部控制体系建设,而不是每个业务的具体步骤,更不是日常管理记录。
但是内部控制手册的控制活动多来源于日常管理制度和程序文件,且应与日常管理制度和程序文件中的控制内容保持一致。在日常管理制度和程序文件变更后,管理层应对内部控制手册中的相应内容进行复核和更新,以保持两者之间的一致性。
3.内部控制手册内容的原则
内部控制手册内容应以《企业内部控制基本规范》中内部控制五要素框架为纲领,以应用指引为具体指南,并参考《上市公司内部控制指引》的相关要求,结合国内外内部控制的最佳实践,按照企业综合管理体系要求编制而成,并遵循合规性、全面性、重要性、实用性等原则,其中:
(1)合规性原则。内部控制手册的内容应当与《企业内部控制基本规范》及相关指引和监管要求相符,实现企业内部控制目标,并保持与企业管理制度的一致性。
(2)全面性原则。内部控制手册的内容应当贯穿企业决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项,系统全面,结构清晰。
(3)重要性原则。内部控制手册的内容应当遵循风险导向原则,重点加强对重要业务事项和高风险领域的内部控制予以识别和控制,突出对关键控制点的控制。
(4)实用性原则。内部控制手册建设应当与企业经营管理体系相一致,融入业务流程,提高可操作性,增强指导和评价功能。
二、内部控制手册的内容
1.内部控制手册的内容框架
内部控制手册的内容框架目前没有统一的标准和要求,每个企业可以根据内部控制手册的功能定位和原则进行适当选择。参照国际通行做法,内部控制手册的内容一般包括内部控制理论、方法和相关法规的要求、企业内部控制整体架构和具体要求、企业层面和流程层面关键控制目标和控制活动及评价标准等内容,有的企业还进一步将内部控制要求分解到岗位和职责并提出适当的评价标准,以提高内部控制手册的指导性和可操作性。为此,本文在总结企业内部控制手册建设实践的基础上,创造性地将《企业内部控制基本规范》提出的内部环境、风险管理、控制活动、信息与沟通、监督等五要素架构转化为内部控制手册三层结构内容框架,供读者参考。其中,内部控制整体框架(图1)与内部控制手册内容框架(图2)对照如下:
(1)第一层面:企业层面。该层面重点介绍企业内部控制基调、整体架构和控制目标,并保证内部控制目标与企业发展战略相符。同时说明企业内部控制自评体系与目标、内部控制手册的分解思路和使用说明。该层面定位于对企业内部控制总体架构与运作机制及手册的安排说明,是内部控制手册第二层面和第三层面内容的基础。该层面的内容要件包括内部控制自我评价表等。
(2)第二层面:流程与控制。该层面是将企业层面的控制目标分解到流程与控制层面,是内部控制五要素中“控制活动”与具体内部控制目标的对应关系。该层面是内部控制手册的核心内容,起到承上启下的作用。其内容要件包括流程定义图、控制矩阵、流程图和流程描述等。
(3)第三层面:岗位控制要求。该层面是将流程与控制层面的控制目标分解到岗位,提出具体的岗位控制要求,是落实内部控制责任的工具。该层面的内容要件包括不相容职责表、RACI表等,其中RACI表是一种定义各岗位内部控制角色和应承担责任的分配表,内部控制角色一般可分为责任人、执行人、咨询人和说明人等四类。
2.内部控制手册内容要件举例
为了方便读者理解内部控制手册内容,本文举例介绍控制矩阵。
控制矩阵是一种以业务流程为脉络,以具体控制目标为先导,以关键控制活动为节点,着重关注控制目标和关键控制活动的关联性,以识别满足控制目标的关键控制活动并加以管理的工具。该工具是内部控制手册的核心要件,是内部控制评价的标准,也是审计检查的操作指南,多用于企业开展内部控制自我评价和审计检查工作。核心要素包括以下内容:
①控制目标。控制目标是指保证各子流程关键环节实现既定业务标准的目标,是企业内部控制整体目标的具体表现,一般可以按照合法合规性、信息真实性、资产安全性、效率与效果以及战略目标的实现为准绳,充分识别子流程存在的固有风险,设计具体的控制目标,使剩余风险降到可接受范围。其中,财务控制目标的设定可以借鉴国外SOX控制目标,信息系统控制目标的设定可以借鉴COBIT框架具体目标要求。在控制矩阵中控制目标是相对固化的,比较原则的,除非相关法律法规或者控制框架标准发生变化,一般无需对控制目标进行变更。
②控制活动。控制活动是指企业保证控制目标实现而建立的政策、程序和流程,一般为关键控制活动。关键控制活动是指为降低企业所面临的风险在经营过程中需要加以控制的关键活动,是与内部控制目标相对应的一项或数项主要的内部控制措施。正确并持续实行这些控制措施是保证控制目标实现的前提之一。
一个控制目标可能对应一个或多个控制活动,特别是当有些控制活动只能部分满足控制目标的时候,就需要多个控制活动从不同角度来实现控制目标。例如:要实现“及时处理所有发出的采购订单”这一控制目标,需要两个控制活动:合同信息系统自动连续编制合同号,以保证采购订单的完整性;业务人员各自在系统中查询和跟踪合同执行情况,以保证合同被及时处理。
同样,一个控制活动也可能实现一个或多个控制目标。例如:存货盘点这一控制活动可以完全或者部分满足不同的控制目标,即:存货是可以出售或使用的;所有已收受的存货都已记录;存货的接收已及时记录于适当期间;发货已及时记录于适当期间等控制目标。
控制矩阵中的控制活动应保证与对应控制目标的相关性,随着业务流程或者经营环境的改变,控制活动可能需要根据变化调整控制活动,并及时记录在控制矩阵中。对于控制活动的描述,应遵循4W1H原则,即说明“who,when,where,what和how”,做到语言精炼,明确。
③控制类型。控制类型可以分为手工控制和系统控制两类。手工控制指该控制活动是由人工来实施和完成的。系统控制指该控制活动是由计算机系统自动实施的,无需人员的干预和确认即可完成。
④业务发生频率。一般包括每年一次、每季一次、每月一次、每周一次、每天一次、每天多次、或按需发生等情况。
⑤控制活动所涉及的主要文档。一般包括相关制度、文件、单据、报告等资料的具体名称和索引编号,以便日后查找和检索。
⑥测试程序。测试程序是描述内部控制有效性测试的步骤。
三、内部控制手册建设与应用
内部控制手册的编制一般采用在企业主要业务流程梳理和评价的基础上,对照《企业内部控制基本规范》及其他相关规定,设定具体控制目标,按照内部控制手册内容框架要求编制而成。通常会以虚拟团队的组织方式,以项目管理的形式开展。为了提高内部控制手册的质量,应当在编制过程中加强质量控制。除项目团队采用多级复核外,更重要的是应当获取相关业务单元或部门对相关内容的确认,即流程负责人须对相关内部控制负责。
内部控制手册在经企业管理层审核后,按照文件管理程序,纳入企业综合管理体系正式,并充分考虑内容与使用者的相关性,设定内部控制手册的使用权限,加强保密性管理。
编制内部控制手册不是目的,而是手段,关键在于如何使用内部控制手册,内部控制手册通常会在企业内部控制自我评价工作中应用,内部控制自我评价人对照内部控制手册的控制标准和测试程序,检查内部控制是否按照设计要求正常运行,评价内部控制的有效性。审计人员也可以利用内部控制手册要求,检查内部控制的自我评价情况,并对内部控制合理性和有效性发表意见。
内部控制手册须根据企业实际业务环境的变化不断进行更新,应保持与企业管理制度、程序文件控制内容一致。通常内部控制手册的更新由各业务流程的负责人负责更新和确认,并提交企业相关部门存档。内部控制手册的更新工作可以结合内部控制自我评价工作一起完成。但必须明确的是内部控制手册的更新工作不是单个部门的事,更不是审计部门的事,而应与相关内部控制责任一致,由其流程负责人确认完成。
为了保证内部控制手册的有效性,审计部门可以定期对内部控制手册的更新情况进行检查,并评价内容的合理性。
四、内部控制手册建设若干建议
内部控制手册建设不仅是《企业内部控制基本规范》对上市企业提出的一项要求,而且也是上市企业自身推进和完善内部控制建设的一项重要工作。为了提高内部控制手册建设的水平,充分发挥其功能定位,本文在总结企业内部控制手册建设工作的基础上,提出以下三点建议,与读者分享。
1.内部控制手册建设应赢得企业各级管理层的重视,并负责和适当参与。内部控制手册的建设由于涉及面广,工作量大,标准要求高,没有企业各级管理层的重视和适当参与,即使编制成功,也可能是一种形式,不仅很难发挥其功能,而且会浪费很多资源。
2.内部控制手册建设宜采用项目管理形式组织实施。内部控制手册的建设是一项系统性工作,采用项目管理形式推进工作可以集中专业人力资源,工作目标更加明确,内容标准化和时间节点也更容易控制,从而有效保证内部控制手册建设能顺利完成。
3.内部控制手册建设应实施同步培训,以培养内部控制人才。内部控制手册是一种全新的工具,首先需要对参与内部控制手册建设的人员开展同步培训,保证内部控制手册编制的质量,同时采取多种形式面向企业全体员工介绍和宣传内部控制手册的内容和作用,提高员工对内部控制手册的认知程度,有助于对内部控制手册的正确使用。
参考文献:
[1]财政部等五部委.企业内部控制基本规范及相关指引(征求意见稿)
[2]IT governance institute.COBIT4.1
关键词:企业内部控制;控制制度;创新
企业内部控制是为了更好的保护其资产的安全和完整,内部控制贯穿于企业的所有活动中,只要有经济活动以及经营管理,就需要内部控制。内部控制的好坏,关系着企业经营的成败,为了保证企业内部控制制度更好的实行,需要对内部控制制度进行创新,在本文中我们对如何进行内科控制制度的创新进行研究分析。
一、企业内部控制制度的必要性
内部控制是企业管理的一种手段,将内部控制制度进行规范是企业有效治理的需求,企业治理是企业利益相关的人之间权利和责任的分配、平衡问题,只有企业内部控制环境好了,企业治理结构也会跟着得到一定的改善。我国当前企业的治理结构大多还是有内部人控制,董事会的作用没有得到真正的发挥,内部审计监督工作不到位等问题出现,虽然有些企业的管理者知道企业内部控制的重要性,但是为了利益,还是不重视内部控制的建设,甚至是故意忽略,所以将企业内部控制该有的效果和效率进行降低。某些企业的管理者使用权利让自己处在内部控制,企业进行的内部控制也只是一种形式,这样长此以往就会将企业内部控制环境破坏,最终是企业内部控制失败,无法进行。
企业内部控制是现代化管理中的重要组成部分,可以保证企业各项经济活动的顺利进行,保证企业财产的安全、完整,对会计记录的真实、可靠、准确、完整提供保证,将企业中的错误的策略进行纠正,实现企业的经营目标,并对企业的经营活动、经营风险等进行监督。企业生产经营中,为了实现经营目标,需要对生产经营中出现的各种风险进行有效的控制和预防,内部控制是企业管理的核心工作,也是防范企业风险最有效的手段,可以对企业风险进行有效地评估,加强企业经营中相对较弱部分的控制,保证国家的各种方针和财政政策可以在企业中很好的实行,保证企业物资的安全和完整,对企业会计信息的完整性和真实性也有很重要的作用。
企业进行内部控制,可以将企业的经济效益提升,内部控制可以有效的将企业的生产、经营、财政等各方面进行有效的结合,充分的发挥企业资源的整体作用。内部控制可以建立严密的监督、考核管理制度,真实的将企业的经营,工作人员的工作实绩反映出来。和企业实行的奖惩制度结合在一起,可以激发工作人员的工作激情,进而将企业的管理水平提升,并提升企业的经营效益。所以建立完善的内部控制制度,可以对企业资源进行有效的监督和控制,保证企业资产的完整和安全,推动企业实现经营目标。
二、我国企业内部控制发展现状
我们国家开始关注内部控制是在20世纪90年代,在最近几年我国先后颁布了企业内部控制的规范和法规,将我国企业内部控制制度进行完善,在1999年国家颁布的《会计法》中,明确指出,内部控制制度是以保证企业信息的完整、真实、合法而进行制定的,之后国家颁布的相关企业内部控制规范,是为了将会计信息的质量提升实现我国会计理论和世界会计理论接轨,虽然当前我国企业内部控制取得了一定的成绩,内部控制取得了一定的进步,但是我国企业内部控制和世界上发达国家的内部控制成绩相比,还是有很大差距的,整体分析,我国的内部控制还出现不完善的发展阶段。内部控制的不完善主要表现在:
1.我国企业的内部控制目标相对简单,而且趋于形式化。当前我国内部控制的目标主要是在纠错、查错、会计资料的真实合法性、业务活动的有效性等方面,这些目标和财务报告的可靠性、经营的有效率等COSO报告目标之间有较大的差距。内部控制目标的制定往往会从审计、会计的角度进行考虑,所以其关注的范围仅仅存在于企业作业层的控制,有的企业甚至将内控控制理解为内部牵制,没有对内部控制进行整体上的掌握和理解,其制定的内部控制目标也就相对简单、狭隘。一些对内部控制没有进行发展性的考虑,大多只对现有的条件的限制等进行考虑,只对企业内部控制的准则、条例等进行制定和修改,并没有真正的实行起来,只是一种形式。
2.我国企业内部会计控制制度不完整、控制力较弱。当前的内部会计控制主要是针对一些审计进行的,当前我国大多数企业进行的是的事中或者事后控制,对企业经营风险、财务风险等进行的事前控制相对较少,只有在出现问题时才会对企业的内部会计控制制度进行修订。当前我国的内部控制制度没有一个完整的规范进行参考,内部控制的合理性、完整性等都没有一个完整的标准体系,很多企业的内部控制制度相对缺失、监督力度不够等。
3.我国企业内部管理控制制度不规范、控制效率低。企业的内部管理控制和企业的治理两者之间有一定的关联,当前我国企业还没有形成规范的治理结构。大多数企业的管理机制是根据国有企业股份制进行改变的,企业出现内部人控制的现象,董事会、监事会等之间的权责分配不合理、不平衡,导致这种机制不能有效的进行,很多公司内部的决策权、执行权等权利都集中的一人身上,在没有对其进行约束时,政策的决策很大情况下带有随意性,这种内部管理制度使得企业管理效率降低。
三、我国企业内部控制制度的创新
根据以上我们分析的企业内部控制必要性和我国企业内部口控制的发展现状,我国企业内部控制制度想要创新就要符合内部控制制度的发展趋势,充分的考虑到内部控制制度的变化,所以我国企业内部控制制度的创新可以从以下几个方面进行:
1.企业内部控制目标的设定要有创新思路。企业内部控制目标是企业内部控制结构建立、监督、考核、评价等内部控制框架的参照物,在确定内部控制目标以后,内部控制的范围就会随着确定,进而为内部控制的内容设计、评价等体系的构成提供依据。当前我国内部控制目标和COSO目标之间的差距还是很大,我国内部控制目标的设定要以COSO报告为参考依据,制定出适合我国企业的,符合我国国情的特色内部控制目标。这个内部控制目标不仅要包含主导目标,还要涉及到多元化目标。可以将内部控制理解为企业治理结构中的一种措施或者是手段,该目标不仅要具有连续性,还要具有长远的发展性,为了保证内部控制目标的可操作和可评价性,需要将这个目标分成可计量和不可计量两种。可计量是由会计核算、结算等取得。
2.将企业内部控制制度框架进行创新。企业治理结构在内部控制建设中发挥着重要的作用,而内部控制在企业治理机构中占据内部监控的位置,将企业各个参与者之间的权责关系、权责分配进行合理的安排和才可以保证内部控制措施、程序的确定。内部控制制度的创新需要在有效的企业治理机构上进行,所以将企业治理结构的完善,是企业相关人员权责分配、均衡的焦点。企业的目标是追求更大的经济利益,所以在企业治理结构完善中加入和利益相关的结构,可以将企业治理结构多元化和合理化,将企业治理结构的有效性进行改进,为企业内部控制创造一个良好的环境。内部控制制度框架,以股东大会对内部控制目标的制定、效果评价等问题起到的控制作用,董事会在内部控制中的核心位置等基准制定相关的规则,实现内部控制目标,内部控制制度的框架对企业行为产生影响,并影响内部控制的实行执行效果。
3.进行信息化管理,实现内部控制制度创新。为了实现企业内部控制制度的有效实行,需要将企业信息及时的传送和反馈,并保证准确性和时效性,通过信息化管理手段,可以对企业资源进行整合,提高企业内部控制的效率并将企业内部控制程序进行优化。选择合适的企业资源计划软件系统,将企业的全部业务以及资源进行整合,通过信息管理系统实现企业每一个员工都可以快速的获取自己所需要的信息,例如电信业财务共享机制就实现了资源的整合以及共享。所谓财务共享机制就是在省公司成立一个财务共享服务中心,集合全省财务核算管理人材,集中地对全省的资金、财务核算、报表等进行统一处理工作,通过建立规范统一的财务核算业务处理全过程中各关键环节的职责分工和操作标准,防范会计稽核工作风险,提升会计基础核算的工作水平和会计信息质量,提高工作效率,提升整个内控工作的质量,从而更好地支撑公司经营管理及决策。在企业资源整合过程中,信息化管理将企业内部控制效率提升。因此内部控制就是发现问题、解决问题的循环过程。
四、小结
企业内部控制在企业管理中占有重要的位置,虽然我国内部控制制度目前并不完善,和发达国家相比较为落后,但是为了适应时代的发展,将企业内部控制制度创新,可以加快内部控制在我国企业中的执行,将企业管理水平提升,加快实现企业的经营目标和经济效益。
参考文献:
[1]郑秀妙 张文全:浅谈企业内部控制制度的完善[J].河北交通职业技术学院学报.2011(09):54-55.
[2]付 敏:浅谈企业内部控制制度的创新[J].经营管理者. 2013(01):28-29.
[3]庞彩玲:浅析企业内部会计控制制度创新[J].科技信息.2010(12):38-39.
[4]苏 丽:企业内部控制制度刍议[J].会计之友.2012(03):63-64.
一、我国企业内部控制标准体系的缺陷
(一)内部控制评价的主体不明确
现行的《审计准则》只要求注册会计师对企业与财务报告相关的内部控制进行评价,但仅通过注册会计师定期地对企业财务报告内部控制进行外部评价,已经不能满足企业内部管理和战略目标实现的要求。内部控制评价必须内部化。而内部化的评价主要是由内部审计实施的。也就是说,我国企业内部控制评价最终要由董事会中的内部审计委员会来实施,这是比较理想的。而实际上有相当一部分的企业没有正式的审计委员会,很多上市公司中虽设有专门的内部审计机构,但独立性不够,有的隶属于总经理,有的隶属于财务部门,内部审计职能很难真正实现。因此上市公司必须明确内部控制评价的主体定位问题。
(二)企业内部控制的范围窄
企业内部控制的范围窄可以从德勤的调查报告中体现。德勤在2009年5月统计分析了上交所353家披露了内部控制自我评估报告的公司,然后挑选了近40家沪深有代表性公司进行了重点访谈调查。参与调查的上市公司涉及房地产、航空与交通运输、金融业等行业。调查结果显示,82.35%的企业组织了内控梳理工作,35.29%的内部审计开始更加关注风险和控制,但是仅有17.65%的企业检查了其治理结构是否合理。由此可见,企业更加重视流程层面的控制活动,而忽视了内部控制这一重要基础,我国企业传统的“重管理轻治理”的现象依然无实质性改善,局限了内部控制的内容和范围,缺少与管理相结合的过程。
(三)内部控制评价的标准不统一
目前我国内部控制的评价实务中,内部控制系统一般是参照财政部颁布的《内部会计控制规范》系列进行的,内容主要是以企业的内部会计控制为主,同时兼顾与会计相关的控制。注册会计师内部控制审核业务是参照《内部控制审核指导意见》进行的。虽说审计署、财政部等各部门出台了关于内部控制评价方面的规范,应该说,这些规范对于推动企业加强内部控制建设起到了相当大的作用,但不容忽视的问题是相当多的企业或个人对内部控制评价缺乏应有的了解,对内部控制评价的一些核心和基本问题如“评价什么、如何评价”等缺乏清晰的认识;各监管部门对如何具体实施内部控制评价,如采用何种评价标准进行评价、评价什么内容、采用何种方法等尚不明确;各个企业之间,其各自的内部控制体系的有效性和完整性究竟如何,无法进行相互比较。由于缺乏一套完整的内部控制体系,造成内部控制的评价缺乏统一的标准。除了上述问题之外,我国内部控制评价还存在着评价方式单一、目标不明确等问题。
(四)内部控制评价、考核、监督机制不完善
我国许多企业根据有关规定制定了很多的内部控制条文,但多只注重制度的文字编写环节,将已制定的企业内部控制制度“印在纸上、挂在墙上”,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,遇到具体问题多强调灵活性,使内部控制制度流于形式,失去了应有的刚性和严肃性,严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等,同时企业内部控制制度执行情况评价、报告等也鲜有实施,其结果是存在制度却得不到执行。另外,由于审计、会计人员是单位经营者领导下的工作人员,其经济利益直接由单位经营者所掌握和决定,审计、会计人员无法真正行使监督职权,如果他们坚持原则,对单位的违法乱纪行为进行抵制,往往受到经营者和其他方面的阻力、刁难甚至打击报复,由于打击报复的手法往往比较隐蔽,且多有冠冕堂皇的理由,政府部门很难有行之有效的措施保障会计人员的权益。为了保护自己,审计、会计人员便不积极进行内容控制工作,内控的作用便无法发挥出来。
二、完善企业内部控制评价标准体系设计的建议
(一)构建内控评价体系
在构建内控评价体系的过程中,应据企业的特征,制定一套具有统一、公认和完善的既符合实际又具有可操作性的评价标准体系。可先从目标定位、内容范围以及设置方式等方面来综合考虑,既可以从企业管理与控制的目标入手,也可以从内部控制要素入手。但无论怎样,企业内部控制评价标准都可以分为一般标准和具体标准两部分,一般标准以具体标准为基础,同时也是具体标准的升华,二者相辅相成,缺一不可,共同构成一个完整的评价体系。
(二)制定企业内部控制评价体系
制定内部控制评价体系是进行内部控制评价的依据和前提。在对内部控制进行评价时,首先必须明确的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。笔者认为,考虑到内部控制的战略目标、经营目标和合法合规性目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标,可以针对内控的绩效目标选取相应的评价指标,并规定相应指标的合理标准来进行评价。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架中的要素来设定控制标准。即按企业内部控制项目分别设定评价标准,每一个项目都设计有一系列的具体评价标准。主要包括该项业务的内部控制环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流和监控方面,力争涵盖该项业务中可能存在的风险控制点。很重要的一点是无论选取何种内控评价标准,实务操作中均会涉及到选取的指标和权重的确定,其中选取的权重合理与否直接决定了内控评价的结果。但不可避免会存在权重确定的主观随意性,从而不能保证结果的精确性,因而应探讨更为合理的权重确定方法。
(三)选择、设计评价指标
在内部控制评价中,不仅要关心控制结果的好坏,而且要评估控制手段的优劣,这就产生了措施型指标和结果型指标选择的问题。措施型指标是指与各种控制手段相对应的评价指标,如岗位分离指标;而结果型指标是针对内部控制的实施效果制定的评价指标,如收入回收率。这两种类型的指标各有优缺点。措施型指标比较直观,它直接指向“合理控制手段实施与否”,没有实施就有失控可能,企业内部控制必然存在漏洞,但是其缺乏综合性,特别是由关键控制点产生的评价指标,它忽略了对次要控制手段的评价,一旦次要手段失控,就会给企业带来巨大损失。结果型指标正相反,其综合性很强,评价结果良好,无论控制手段实施如何,至少控制的目标达到了,但是不足点也很明显,一方面,此结果往往并非与内部控制工作质量一一对应,如收入回报率较低不仅取决于收费过程控制水平的高低,还会受到经济形势、客户经营状况等因素的影响;另一方面,即使评价结果良好,也仅能证明现在未发生问题。只有构建完善的内部控制体系,才能彻底保证以后也不会发生问题。因此,在评价指标设计过程中,应将措施型指标和结果型指标结合使用。
(四)正确界定内部控制评价的目标
企业日益认识到构建内部控制体系的目标,不但是要满足监管部门对于信息提供和披露方面的需求,更重要的是,内控制度要有助于企业战略目标、企业经营的效果和效率的实现。应该说内控制度的立足点之一是要通过制度化规范标准的构建来规范企业员工的行为,加强行为理性,提高企业的经济效益。由此立论,内部控制评价的目标应该是从内部控制的目标出发,对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评价,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。
[关键词] 企业内部控制理论 创新 评价 启示
美国COSO委员会于1992年提出并于 1994年修改的《内部控制――整体框架》中对内部控制的定义得到广泛的认可并沿用至今,其对内部控制定义的描述如下:内部控制是由企业董事会、经理阶层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的过程。在此基础上,自20世纪90年代以来,企业内部控制理论得到了较好的创新发展。
一、内部控制框架理论分析
COSO委员会的报告《内部控制――整体框架》提出,为了实现内部控制的有效性,需要五个方面的要素支持:控制环境,风险评估,控制活动,信息与沟通和监督。这五要素之间是不可分割相互联系的有机整体。
1.内部控制环境(control environment)。环境要素是推动企业发展的动力,是其他控制要素的基础,决定着内部控制的规则与结构,决定了组织的氛围,影响组织中人们的内控意识。它包括管理者的道德品行及经营管理理念、组织结构、董事会、人力资源资源政策与实务、企业文化等。
2.风险评估(risk appraisal)。风险评估指的是判别和分析企业在完成自身目标过程中的各种风险,从而为风险管理提供基础。它包括风险辨识和风险分析,风险辨识的内容涉及到:科技的发展、顾客的需求或预期改变、竞争、新颁法律或行政命令,天然灾害、经济环境改变、资讯系统处理的中断、所聘雇员的品质、训练方法及激励制度、经理人责任的改变、企业活动的性质、员工可接近资产的程度、董事会或监督委员会不够坚定或无效等。
3.内部控制活动(control activity)。企业必须制定具体的控制政策及程序并加以实行,以帮助管理层确保在进行风险评估和处理基础上其所采取的各种行动能使企业实现自身目标。内部控制活动就是指为保证目标得以实现而建立的各种政策和程序。控制活动贯穿于整个组织的各个层次和各部门,包括控制范围设定、授权、协调、业绩考核、资产安全保障以及职责划分等。
4.信息与沟通(information and communication)。信息与沟通是指以一定的形式和在一定的时间段内辨认、获得的,为员工在执行、管理和控制作业过程中所需的信息,以及信息的交换和传递。要想建立一个健全有效的内部控制系统,拥有一套完善的信息传递与沟通系统是不可少的。若组织内部的信息渠道不畅,内部控制的效果就会大打折扣。
5.监督(monitoring)。监督是指评估内部控制运作质量的过程,包括持续性监控活动和个别评估。这里的持续性监控活动是指营业过程中例行监督,包括管理人员的日常管理和监督以及职员执行职务时采取的其他行动。内部控制作用的发挥,有赖于建立起健全有效的内控系统,更有赖于其能够良好运行。为此,整个内部控制的过程必须得到恰当的监督,以便在必要时加以修正,这种监督活动的形式主要是审计监督。
二、COSO报告关于内部控制理论的创新与突破
与此前的内部控制理论相比,COSO报告中的内部控制整体框架理论有了新的变化,比如,内部控制理论结构有所改变,由原来的三分法变成五分法;提出了一个全新的风险评估的内容;称谓有所变化,原来的会计制度变成信息与沟通,原先的控制程序称为控制活动;要素间关系发生了变化,原来的结构并不强调其要素的联系,而现在则明确指出了要素之间的相互关系。
除了这些名称、结构上的变化,COSO报告关于内部控制框架的论述中在理论上的创新更多地体现在它包含了很多新的、有价值的观点。体现在以下几个方面:(1)强调内部控制应该是一个与企业的经营管理过程相结合的“动态过程”。(2)明确对“内部控制”的责任。(3)强调“人”的重要性。(4)强调“软控制”的作用。(5)强调风险意识。(6)揉和了管理与控制。(7)明确内部控制只能做到“合理”保证。
三、内部控制理论的新发展――企业全面风险管理(ERM)
COSO委员会于2004年9月29日正式《企业风险管理综合框架》(ERM-IF)并提出将以ERM取代内部控制综合框架(IC-IF),标志着内部控制理论与实践进入了整体框架的新阶段。ERM框架从内部控制的控制环境、风险评估、控制活动、信息与沟通、监督等五要素进行深化和拓展,将原有的风险评估一个要素发展为目标设定、事项识别、风险评估和风险反应等四个要素,从而将内控五要素发展为风险管理框架的八个要素。
1.ERM框架的三个维度
ERM框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有四个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。
2.全面风险管理与内部控制框架
从COSO的ERM框架和内部控制框架可以看出,全面风险管理与内部控制框架既相互联系又有重要差异。
从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定,事件识别和风险对策三个要素。因此,全面风险管理涵盖了内部控制。
从二者的实质内容看,两者存在以下两项重要差异:第一,两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。第二,两者对风险的定义和对策不一致。全面风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),因此,该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;内部控制框架没有区分风险和机会。而且由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法。因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
四、企业内部控制理论发展的几点启示
从COSO报告所定义的内部控制可以看出,一个企业为了实现其既定目标,应当在培育一种积极的内部控制环境的基础上,识别、衡量和评估经营管理活动中所涉及的各种突出风险点,针对风险点设置各种控制机制,并不断地对上述整个过程的适当性和有效性进行监督和评审,内部管理信息系统为整个过程提供条件。从内部控制理论的创新发展的过程中我们可以从中得到以下几点启示:
1.内部控制的“责任”及“软控制”的必要性。从内部控制的定义来看,对内部控制负有责任的不仅仅是管理人员、内部审计、董事会,企业的每一个员工对内部控制都负有责任。所有员工都应该主动遵守企业内部控制制度,团结一致,为实现企业的目标而维护内部控制。软控制主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。
2.内部控制应与企业经营管理过程结合起来。内部控制是经营活动的一部分,与经营过程相结合,模糊了管理与控制的界限,内部控制监督企业经营过程的持续进行,使经营达到预期效果。
3.风险意识在内部控制中占据重要地位。良好的内部控制可以防范企业的风险,合理地保证内控目标的实现。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,对风险的管理是现代企业的主旋律之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遭遇风险,管理阶层须密切注意各层级的风险,并采取必要的管理措施。
4.内部控制具有动态性。企业内部控制不是一项制度或一个机械的规定,而是对企业的整个经营管理过程进行监督与控制的过程,是不断地与经营过程、管理过程相摩擦控制过程。企业经营管理环境的变化必然要求企业内部控制越来越趋于完善,内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程,是不断修正和更新的动态过程。
5.内部控制需要有效的信息系统。一个良好的信息和沟通系统,可以使企业及时掌握营运状况和组织中发生的各种情况,及时为企业员工提供履行职责所需的各种信息,使企业的经营和管理流畅进行。有效的管理信息系统可以及时地提供各方所需要的信息,提供企业各部门管理控制生产、考核工作成果以及提供企业高层决策人员制定经营方针、制定规划、进行决策所需的会计和管理信息。企业的人员通过管理信息系统了解了企业目前的状况,才能对可能发生的异常状况及时做出反应,从而及时报告,以防止重大损失的发生。
6.内部控制目标的设定非常重要。内部控制目标的设定是管理过程的一个重要部分,虽然它不是内部控制的组成要素,但却是内部控制的先决条件。制定目标的过程不是控制活动,但其对内部控制的意义重大,直接影响到内部控制是否有存在的必要。企业控制目标的确定,有利于不同的人从不同的视角关注企业内部控制的不同方面。而且,不论内部控制设计及执行有多么完善,内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。
参考文献:
[1]Management Reports On Internal[J].Journal of Accountancy, Online Issuer(October),2008
[2]吴水澎 陈汉文 邵贤弟:企业内部控制理论的发展与启示[J].会计研究2000(5):1~8
[3]阎达五 杨有红:内部控制框架的构建[J].会计研究, 2003(2):9~14
关键词:内部控制 价值链 EVA 企业管理
一、引言
上世纪90年代,美国COSO委员会发表了迄今为止研究内部控制问题的经典文献――《内部控制整体框架》。2002年美国颁布的《萨班斯―奥克斯利法案》以及2004年COSO颁布的《企业风险管理――整体框架》进一步强化了内部控制的监督要求,这些举措引发全球对内部控制的关注。2008年6月我国财政部等五部委联合颁布了《企业内部控制基本规范》,2010年4月26日又颁布了《企业内部控制配套指引》,该指引要求上市公司对内部控制有效性进行自我评价并披露年度自我评价报告,由会计师事务所对内部控制的有效性进行有效审计。《企业内部控制基本规范》及其配套指引的,是我国企业内部控制制度建设的重大举措,标志着我国内部控制制度建设取得了重大进展。
近年来,企业在内部控制失败的案例屡屡出现,2013年,震惊全国的光大证券“816事件”,充分暴露出该公司忽略长远发展的短视行为及其内部控制存在的缺陷。价值管理是有效实施内部控制的一种方法,现阶段管理人员为追求短期效益,忽略价值管理在内部控制中的作用,严重损害了企业的长远发展。基于实现企业长远发展这一目标,本文从价值角度探讨如何完善内部控制,同时在内部控制的每个节点上都围绕目标展开生产经营活动。
二、基于价值管理的企业内部控制目标
企业的生存与发展是内部控制的最终目标,而企业的生存与发展则体现为EVA(Economic Value Added)的创造。EVA作为衡量和评价企业绩效的一个指标,可以用来评估企业内部控制实施的效果。本文把EVA作为企业内部控制的目标主要基于以下考虑:
首先,EVA能够评价内部控制的实施效果。作为衡量企业价值的指标,EVA是调整后的企业税后净营业利润减除企业全部资本成本后的余额,它反映了企业资产的盈利能力,可以作为一个衡量企业价值的指标来评价内部控制在企业中的实施效果。EVA对企业的资本成本考虑的比较周全,这也就要求内部控制要重视成本效益这一原则,使内部控制在实施的成本与预期效益之间进行权衡,即适当的成本实现有效的控制,从而有利于合理配置资源和提高资本使用效率。
其次,从股东的角度考虑。以EVA为目标的内部控制符合股东对企业价值管理的要求,即股东对内部控制实施实质的要求。企业的会计利润大于零并不代表企业保值或者实现增值,而减除掉企业资本成本后的EVA 能够比较恰当地反映企业真实的盈利状况,并且考虑了股权资本的成本,项目投资的净现值就能够代表股东财富的增加,这也就实现了项目净现值最大化与实现股东财富最大化等同。
再次,EVA不仅可以全面评价内部控制实施的效果,还能提高内部控制质量。EVA指标体系可以把对各部门的目标设定、绩效评价、激励机制和考核进行结合与分析,从而较为准确地传递各部门的业绩信息,它鼓励企业各部门的管理者在实施内部控制时像关心短期利润一样去关注公司的长远发展和长期价值的创造,例如科技创新、新产品的开发、人力资源的开发与管理、社会效益、环境保护等。总之,以EVA为核心的评价指标体系具有较强的综合评价功能,可以全面评价内部控制实施的效果。EVA可以反映企业价值是否增值,所以可以直接将内部控制与EVA挂钩,即以EVA作为企业内部控制的目标。
三、基于价值管理的企业内部控制手段
将价值链作为实施内部控制的一个载体,把内部控制与价值链相结合是完善内部控制的一个手段。价值链是一个将具有增值功能活动连接起来的链条,这些活动是产品从最初的原材料到最后到达顾客手中的整个过程。有的学者提出“分析价值链的最佳层次是业务单元,而非业务部门或公司整体”,相应地,实施内部控制的切入点正是价值链上的每一个小的业务单元,要全面完善内部控制,就需要将内部控制贯彻到价值链中去。这是基于如下两点考虑:一是内部控制和价值链管理的最终目标相同,即实现企业的价值增值,在业务活动层面,价值链上的活动构成了内部控制的对象。二是在体系构建层面,价值链管理中价值链的分析与优化与内部控制的设计与改进密切相关。
把价值链作为完善企业内部控制的手段,其原因主要有以下几点:
首先,价值链和内部控制的目标相同,都是实现企业的价值增值,即创造尽可能多的EVA。价值链和内部控制的管理范围都渗透到了企业生产和经营活动的每个方面。价值链上的价值活动构成了内部控制的对象,企业中的人、财、物和在企业经营管理过程中的所有活动构成了内部控制的客体。企业生产经营过程的各个环节中都存在价值的流动,而这些活动都在内部控制的控制范围之内,即内部控制与价值管理的范围渗透于企业的各个方面。
其次,价值链管理活动与内部控制对象之间的关系,决定了价值链管理活动构成内部控制在价值链管理上的特定对象。
再次,从内部控制的发展历程来看,内部牵制是内部控制最初的作用,随着市场的发展与竞争越来越激烈,企业如果想长远发展仅仅只维持好内部牵制还是远远不够的,此时内部控制则需要强调企业在运作程序或业务方面的控制,即需要将内部控制融入到价值链的各个活动中。
最后,随着现阶段企业在价值理论方面的研究不断发展,以及内部控制在范围上的扩大和在控制方法上的完善,内部控制理论极大地推动了价值理论的发展,加深了人们对企业价值的认识。企业价值是一种整体价值,它由管理系统、资源、未来发展机会、风险等因素所决定。内部控制是从多维度、多视角强调整体控制,在确保以现有资源获取最大企业价值上起着重要作用。可以说,内部控制与企业价值理论在日渐完善,并且内部控制的最终实施阶段成果与管理环境、组织形式和价值目标有紧密的关系。而且在二者最终目标上都是实现EVA。因此从理论上说,内部控制与价值链管理都是为实现企业目标而设计的两种管理方法,通过将两者进行整合,可以更好地实现企业价值增值的目标。
四、基于价值视角内部控制的完善措施
为更好地实现企业可持续发展,从价值管理的角度进一步完善内部控制要做好如下几点:
首先,明确企业的目标,并相应制定内部控制的目标。即要以实现企业的长期价值增值为目标,规避企业的短视行为。
其次,从价值方面完善企业内部控制。对采购、生产以及销售等环节加强监控,确保内部控制在企业价值链的各个环节得到有效实施。具体措施包括:(1)把价值链上的活动作为内部控制的实施控制对象;(2)将价值管理与内部控制在绩效方面挂钩;(3)对价值链进行全面分析,并以此来设计企业的内部控制;(4)在不断优化价值链的过程中相应改进内部控制,保证企业股东、管理者和其他利益相关者之间利益的有效均衡,并且把企业内外部各环节上的价值活动协调好,使价值链上的生产经营活动的运行更加顺畅,最终帮助企业价值最大化目标的达成。
再次,规范内部控制信息披露的内容。不能对公司内部控制存在的问题泛泛而谈,忽略了实质性内容,披露的内容应该更具有针对性。
最后,健全企业内部控制的监督机制。企业一切业务活动均要按照授权进行,持续监控和定期评价内部控制的有效性,保证企业的生产经营活动协调、有序、高效的进行,进而达到有效控制风险和防范舞弊的目的。
五、结束语
本文通过对内部控制在价值管理方面的缺陷分析,结合内部控制的目标以及对完善企业内部控制手段的分析,针对现阶段内部控制存在的不足,提出了从价值角度进一步完善企业内部控制的建议。在企业的生产运作过程中,应该将内部控制全面贯彻到企业价值链的所有活动中去,并且要加强内部控制在企业生产运作各个环节的执行力度。J
参考文献:
1.欧阳长青.基于价值导向的企业内部控制体系构建[J].中国集体经济,2013,(6):101-102.
2.刘春发,张其镇.基于价值链管理的内部控制构建探析[D].江西财经大学,2010.
3.财政部等.企业内部控制基本规范[M].北京:中国财政经济出版社,2010.
关键词:内部控制;内部控制评价;评价指标
企业内部控制评价标准体系是一种管理机制,规范着企业的经营管理活动,能提高企业的经营效率和抗风险能力,它不仅反映了企业法人治理结构和管理体制的需要,而且将企业发展的战略目标以及业绩的评价和激励都纳入其中。所以建立科学严格的内部控制评价体系,不仅是内部控制制度本身实施的要求,也是保证企业经营战略有效执行的基石。但当前我国企业内部控制评价主要是为审计服务的,无论是评价内容还是评价目标,都存在很大的局限性,制约了企业内部控制的有效执行。因此建立一套完善的、符合实际的、具有可操作性的企业内部控制评价体系势在必行。
一、我国企业内部控制标准体系的缺陷
(一)内部控制评价的主体不明确
现行的《审计准则》只要求注册会计师对企业与财务报告相关的内部控制进行评价,但仅通过注册会计师定期地对企业财务报告内部控制进行外部评价,已经不能满足企业内部管理和战略目标实现的要求。内部控制评价必须内部化。而内部化的评价主要是由内部审计实施的。也就是说,我国企业内部控制评价最终要由董事会中的内部审计委员会来实施,这是比较理想的。而实际上有相当一部分的企业没有正式的审计委员会,很多上市公司中虽设有专门的内部审计机构,但独立性不够,有的隶属于总经理,有的隶属于财务部门,内部审计职能很难真正实现。因此上市公司必须明确内部控制评价的主体定位问题。
(二)企业内部控制的范围窄
企业内部控制的范围窄可以从德勤的调查报告中体现。德勤在2009年5月统计分析了上交所353家披露了内部控制自我评估报告的公司,然后挑选了近40家沪深有代表性公司进行了重点访谈调查。参与调查的上市公司涉及房地产、航空与交通运输、金融业等行业。调查结果显示,82.35%的企业组织了内控梳理工作,35.29%的内部审计开始更加关注风险和控制,但是仅有17.65%的企业检查了其治理结构是否合理。由此可见,企业更加重视流程层面的控制活动,而忽视了内部控制这一重要基础,我国企业传统的“重管理轻治理”的现象依然无实质性改善,局限了内部控制的内容和范围,缺少与管理相结合的过程。
(三)内部控制评价的标准不统一
目前我国内部控制的评价实务中,内部控制系统一般是参照财政部颁布的《内部会计控制规范》系列进行的,内容主要是以企业的内部会计控制为主,同时兼顾与会计相关的控制。注册会计师内部控制审核业务是参照《内部控制审核指导意见》进行的。虽说审计署、财政部等各部门出台了关于内部控制评价方面的规范,应该说,这些规范对于推动企业加强内部控制建设起到了相当大的作用,但不容忽视的问题是相当多的企业或个人对内部控制评价缺乏应有的了解,对内部控制评价的一些核心和基本问题如“评价什么、如何评价”等缺乏清晰的认识;各监管部门对如何具体实施内部控制评价,如采用何种评价标准进行评价、评价什么内容、采用何种方法等尚不明确;各个企业之间,其各自的内部控制体系的有效性和完整性究竟如何,无法进行相互比较。由于缺乏一套完整的内部控制体系,造成内部控制的评价缺乏统一的标准。除了上述问题之外,我国内部控制评价还存在着评价方式单一、目标不明确等问题。
(四)内部控制评价、考核、监督机制不完善
我国许多企业根据有关规定制定了很多的内部控制条文,但多只注重制度的文字编写环节,将已制定的企业内部控制制度“印在纸上、挂在墙上”,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,遇到具体问题多强调灵活性,使内部控制制度流于形式,失去了应有的刚性和严肃性,严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等,同时企业内部控制制度执行情况评价、报告等也鲜有实施,其结果是存在制度却得不到执行。另外,由于审计、会计人员是单位经营者领导下的工作人员,其经济利益直接由单位经营者所掌握和决定,审计、会计人员无法真正行使监督职权,如果他们坚持原则,对单位的违法乱纪行为进行抵制,往往受到经营者和其他方面的阻力、刁难甚至打击报复,由于打击报复的手法往往比较隐蔽,且多有冠冕堂皇的理由,政府部门很难有行之有效的措施保障会计人员的权益。为了保护自己,审计、会计人员便不积极进行内容控制工作,内控的作用便无法发挥出来。
二、完善企业内部控制评价标准体系设计的建议
(一)构建内控评价体系
在构建内控评价体系的过程中,应据企业的特征,制定一套具有统一、公认和完善的既符合实际又具有可操作性的评价标准体系。可先从目标定位、内容范围以及设置方式等方面来综合考虑,既可以从企业管理与控制的目标入手,也可以从内部控制要素入手。但无论怎样,企业内部控制评价标准都可以分为一般标准和具体标准两部分,一般标准以具体标准为基础,同时也是具体标准的升华,二者相辅相成,缺一不可,共同构成一个完整的评价体系。
(二)制定企业内部控制评价体系
制定内部控制评价体系是进行内部控制评价的依据和前提。在对内部控制进行评价时,首先必须明确的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。笔者认为,考虑到内部控制的战略目标、经营目标和合法合规性目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标,可以针对内控的绩效目标选取相应的评价指标,并规定相应指标的合理标准来进行评价。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架中的要素来设定控制标准。即按企业内部控制项目分别设定评价标准,每一个项目都设计有一系列的具体评价标准。主要包括该项业务的内部控制环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流和监控方面,力争涵盖该项业务中可能存在的风险控制点。很重要的一点是无论选取何种内控评价标准,实务操作中均会涉及到选取的指标和权重的确定,其中选取的权重合理与否直接决定了内控评价的结果。但不可避免会存在权重确定的主观随意性,从而不能保证结果的精确性,因而应探讨更为合理的权重确定方法。
(三)选择、设计评价指标
在内部控制评价中,不仅要关心控制结果的好坏,而且要评估控制手段的优劣,这就产生了措施型指标和结果型指标选择的问题。措施型指标是指与各种控制手段相对应的评价指标,如岗位分离指标;而结果型指标是针对内部控制的实施效果制定的评价指标,如收入回收率。这两种类型的指标各有优缺点。措施型指标比较直观,它直接指向“合理控制手段实施与否”,没有实施就有失控可能,企业内部控制必然存在漏洞,但是其缺乏综合性,特别是由关键控制点产生的评价指标,它忽略了对次要控制手段的评价,一旦次要手段失控,就会给企业带来巨大损失。结果型指标正相反,其综合性很强,评价结果良好,无论控制手段实施如何,至少控制的目标达到了,但是不足点也很明显,一方面,此结果往往并非与内部控制工作质量一一对应,如收入回报率较低不仅取决于收费过程控制水平的高低,还会受到经济形势、客户经营状况等因素的影响;另一方面,即使评价结果良好,也仅能证明现在未发生问题。只有构建完善的内部控制体系,才能彻底保证以后也不会发生问题。因此,在评价指标设计过程中,应将措施型指标和结果型指标结合使用。
(四)正确界定内部控制评价的目标
企业日益认识到构建内部控制体系的目标,不但是要满足监管部门对于信息提供和披露方面的需求,更重要的是,内控制度要有助于企业战略目标、企业经营的效果和效率的实现。应该说内控制度的立足点之一是要通过制度化规范标准的构建来规范企业员工的行为,加强行为理性,提高企业的经济效益。由此立论,内部控制评价的目标应该是从内部控制的目标出发,对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评价,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。
(五)全员参与内部控制评价过程
COSO报告《内部控制——整体框架》认为,内部控制由控制环境、控制风险、控制活动、信息与沟通以及监控组成,是一个覆盖整个经济实体的系统,所有部门岗位都在其中充当着角色,董事会、管理人员、内部审计人员,以及组织中的每个人都对内部控制负有责任。这在内部控制发展史上第一次明确了内部控制“全员参与”的思想,在内部控制评价体系构建与实施过程中强调全员参与,对于增强员工内部控制的主动性、塑造优秀的企业文化、提高企业的经营管理效益等有着积极的意义。作为评价对象的内部控制系统包含多重目标,涉及企业多个层面和各项业务,可以说每一项作业和每一个员工都是控制的对象,仅仅依靠个别部门实施评价工作显然是不够的。而且,随着生产技术、信息技术和企业组织结构的不断发展,知识和信息在组织中呈现出向一线集中的趋势,使企业内部控制和内部控制评价的难度加大。企业的唯一选择就是转变思路,让更多的员工参与到“以自身为控制对象”的内部控制评价过程中。员工参与内部控制评价的方式,包括参与评价体系的构建过程和运用内控评价体系实施评估。员工的广泛参与,一方面有利于增强员工的风险管理和内部控制意识;另一方面有利于对企业和业务层面的各类风险进行更透彻的分析和评估,对控制政策和程序的完善性进行有效评价。
【参考文献】
[1]张维.对我国企业内部控制及其构建的思考[J].华商,2007-10-B.
[2]毛凤.关于完善内部控制评价机制的思考[J].时代经贸,2008-3-6.
一、内部控制本质
在1992年著名的COSO报告中,给出的内部控制定义为:内部控制是由企业董事会、经理阶层和其他员工共同设计和实施的,为营运的效率和效果、财务报告的可靠性、现有法律法规的遵循性等目标的达成而提供合理保证的过程。这一定义界定了内部控制的主体、目标,并明确将内部控制界定为一种过程,突破了以往对于内部控制在手段、措施以及政策层面的限定。但是,这一定义虽然说明了内部控制是什么,却没有解释内部控制的本质究竟是什么。内部控制的本质是内部控制理论研究的核心问题,是内部控制目标、框架等其他内部控制理论研究的基础。随着时间的推移与空间的变迁,内部控制的内容与形式有可能发生重大改变,而内部控制的本质将始终是这些改变发生的原始作用力,因此有必要先对内部控制的本质进行研究。
在已有的研究中,诸多学者对于内部控制的本质做出解释,但观点略有差异。林钟高和郑军(2007)认为内部控制的本质属性是一种持续均衡利益关系的契约装置,是企业内部各个控制主体之间为实现作为专业化结果的交换收益,是其财富最大化而作出的合约安排。张宜霞(2007)认为企业在不完备契约以及各参与主体效用最大化的选择之下之所以能够有效运转和发展,就在于企业内部的控制机制,因此在系统和整体效率视角下企业内部控制的本质就是弥补企业契约的不完备性,实现企业内部的均衡与有效运作。蔡吉甫(2006)从产权理论的研究视角出发,认为在现代企业不完全契约的特征下,内部控制实际上是为了弥补企业契约不完全性而产生的一个控制系统,是企业契约本质的实现机制。谢志华(2009)认为企业内部控制的本质由企业组织关系决定,由于企业组织关系中存在平等契约关系和科层等级关系,因此内部控制本质是在这种企业关系中的制衡与监督。虽然学者们对于内部控制本质的认识有所不同,但是在进行内部控制本质的研究中,却具有几个共同点:一是都是以企业的契约本质为研究基础;二是都认识到企业内部控制的产生与契约的不完全性具有密切关系。由于人类的有限理性、外部环境的复杂性及不确定性,以及信息的不对称性,现实中契约的不完全性是绝对的,因此企业实际上是一系列不完全契约的集合。根据科斯(1937)的理论,企业是为了节约市场中存在的交易费用、提高契约主体产权交易效率而存在。企业各利益相关主体在追求利益最大化的过程中,正是由于契约的不完全性,导致交易主体内部效率的损失,而旨在节约交易费用提升内部交易效率的机制就应运而生。事实上,内部控制的一个重要功能就是弥补了企业契约的不完全性,形成了节约交易费用的比较优势,有效地协调了企业契约主体的利益冲突,保证了企业的正常运作和发展(蔡吉甫,2007)。因此,内部控制的本质是弥补不完全契约的一组制度安排,目的在于节约交易成本和实现资源的有效配置。从这一本质来看,内部控制有着超越传统认识上的更为广泛的边界。根据内部控制的这一本质,其主体边界就包括了董事会、管理层以及企业员工,其客体边界则包括了企业中基于契约关系形成的一系列关系及组合,其组织边界也就是企业的契约边界,即企业的组织边界。
二、内部控制目标
企业契约的不完全性,使得内部控制成为弥补不完全契约的一组制度安排。基于这一本质,内部控制的目标首先与企业的目标是一致的。基于利益相关者理论,现代企业的目标发生重大变革,企业不再以实现股东财富最大化或公司价值最大化为目标,而是以实现全体利益相关者利益最大化为目标。内部控制作为弥补不完全契约的制度安排,首先服从于维护企业利益相关者利益最大化的目标。作为一组弥补契约不完全的制度安排,内部控制的目标还应包括为企业内契约的履行创造基础性条件。具体来说,这一目标即要求内部控制通过对企业的契约主体进行约束与控制,最大限度地维护企业契约主体交易的公平与效率、降低交易成本,对契约实现过程和结果提供合理保障,最终实现契约主体产权的保值与增值。从这一目标可以看出,内部控制的目标包含三个方面:一是要保证契约实施的效率,二是要保证契约交易的公平。保障契约实施的效率是内部控制的经济价值目标。内部控制通过制度安排对企业各交易主体之间的权利与义务进行界定,这一系列的规则约束了主体之间的交易关系,从而形成了对于契约不确定性与风险的控制,对契约交易双方进行利益的维护与监督,特别是对于组织内部资产专用易制定的制度安排将大为降低企业内部的交易费用(林钟高、郑军,2007)。保障契约的公平实施是内部控制的责任目标。内部控制制度安排是否实现了内部控制责任,取决于内部控制制度是否公正。制度公正指的是制度能够保证在此制度之下利益分配结果的公正。内部控制这一责任目标的实现,是实现内部控制经济目标的基础。在内部控制制度大力发展的制度环境中,秩序与效率的重要性逐渐趋于一致。内部控制制度安排的秩序即是制度安排原则与制度安排方式的公正性。
三、内部控制制度安排
内部控制的具体制度安排是企业内部控制实施的根本途径。蔡吉甫(2006)认为,现代企业契约的特别之处在于契约中包含了对专用性人力资本的使用。与非人力资本及其所有者可分离的产权特征相比,专用性人力资本的产权天然属于其所有者,且无法分离,非“激励”难以调动。由此决定了现代企业契约只能采用一种不完全契约,要素所有者为维护自己的权益,需要对委托产权进行控制。因此,内部控制的制度安排即是权利的配置过程。在企业的内部控制中,权利的配置包含两个层次。第一个层次是产权所有者对于人的控制,第二个层次即是经营者为履行受托经营责任而进行的控制。
郑石桥(2006)指出,内部控制机制的实现具有三种途径:一是契约方式,通过与管理者签订契约约束其机会主义行为,但由于这个契约一定是不完全的,因此,这一制度并不能有效解决管理者的机会主义行为问题;二是监督方法,通过制度安排对管理者进行监管,包括通过董事会、非执行大股东以及债权人等的监管制度;三是激励机制,即与管理者签订激励契约,这一契约将管理的利益与企业股东的利益进行关联,使得管理者在获取自身利益的同时能够考虑到股东的利益。在这些制度安排中,前两种具有大棒性质而后一种则具有胡萝卜性质。第一个层次的控制必须采用激励加约束的方式,通过董事会及其所属委员会、债权人等所实施的治理控制达成内部控制的目标。第二个层次的控制则表现为管理控制。其控制是以有效履行产权经营受托责任,实现产权经营的效率和效果性为目标,现实中常用的控制措施有会计控制、财务控制、内部审计控制和制度控制等(蔡吉甫,2006)。这两个相互管理的内部控制层次直接的关系形成,是以委托关系为基础,以要素所有者产权的受托责任为依据形成的。要素所有者居于委托关系中的委托地位,是产权主体,因此要素所有者处于内部控制的主体地位。而经营者在第一层级的制度安排中,属于客体地位,但在第二层级的控制中,由于其受托责任的履行,变成第二层控制的主体。因而,经营者处于内部控制体系的中心位置。内部控制制度安排的核心在于权利的配置,因此如何在要素所有者与经营者之间以及企业内部层级之间划分权利,是企业内部控制体系构建的关键。
四、内部控制信息披露
不完全契约存在的一个重要原因就是信息的不对称性,而信息不对称产生的直接原因就是契约双方行为的不可完全观察性。不完全契约视角下,内部控制的本质是弥补企业不完全契约的制度安排,而企业的内部控制信息披露,则是这些制度安排的其中之一。企业内部控制信息的披露一方面降低了企业内部契约主体与外部契约主体之间的信息不对称,另一方面,内部控制信息的披露能够增加对于企业管理者的约束,是监督其履行委托契约的重要制度安排,能够降低委托人与人间的成本。内部控制的信息披露应包含于企业内部控制的内涵之中。管理学以行为科学理论认为,企业进行自愿性信息披露的目的是,将能够代表公司核心能力的价值信息传递给投资者,能够增强投资者与管理层之间信息沟通,提升投资者对于公司潜在竞争力的了解,从而使其对于偶那个是的未来更具有信心(何卫东,2003)。从不完全契约的视角来看,内部控制信息披露本身就是弥补企业内部人与外部人契约不完全性的制度安排,而企业内部控制信息本身所包含的内容即是企业对于内部不完全契约弥补情况的信息。因此,企业内部控制信息的披露对于企业外部人来说具有双重信息属性,从两个层面向企业外部人传达了企业追求契约效率降低交易成本的目标。
内部控制信息披露包括强制信息披露与自愿信息披露。虽然内部控制信息披露能够缓解企业内外部人的信息不对称,传达企业价值信息,但内部控制的信息披露是具有披露成本的。从理论上来讲,基于成本收益原则,只有当内部控制信息披露收益大于披露成本的情况下,企业才会愿意自愿进行内部控制信息披露。美国《萨班斯法案》的颁布,被认为对公司的内部控制信息披露更具有强制性要求,与此同时,这一法案对于财务报告舞弊也有更强的抑制作用,但也为企业带来了较高的披露成本。我国上市公司内部控制信息的强制信息披露十分有限。2008年5月,财政部等六部委颁布《企业内部控制基本规范》,2010年4月颁布《企业内部控制配套指引》,它们共同构成了我国企业内部控制规范体系,并且这一规范将于2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到上海证券交易所、深圳证券交易所主板上市的公司施行。执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。由此可以推断,我国企业内部控制信息将在未来的法规强制披露要求下,进行更多的内部控制信息披露。这对于缓解我国资本市场信息不对称,维护资本市场秩序,降低上市公司委托成本将产生重大影响。
五、结束语
在不完全完全契约视角下研究企业的内部控制基本理论问题,提出了理论内部控制理论的新思路。在不完全契约视角下,内部控制本质上是弥补不完全契约的一组制度安排,其目标、制度、信息披露也都将围绕这一本质而进行。从不完全契约视角理解内部控制基础理论问题,对于进一步完善内部控制理论,指导内部控制实践具有一定的作用。
参考文献:
[1]蔡吉甫:《内部控制框架构建的产权理论研究》,《审计与经济研究》2006年第6期。
[2]蔡吉甫:《内部控制的制度经济学研究》,《中央财经大学学报》2007年第6期。
[3]何卫东:《上市公司自愿性信息披露的动机、策略和监管》,《深交所》2003年第1期。
[4]林钟高,郑军:《基于契约视角的企业内部控制研究》,《会计研究》2007年第10期。
[5]谢志华:《内部控制:本质与结构》,《会计研究》2009年第12期。
[6]杨雄胜:《内部控制的性质与目标:来自演化经济学的观点》,《会计研究》2006年第11期。
2001年以来,全球会计舞弊案件频发。人们对企业会计信息更加关注。在过去,是单纯通过报表审计关注结果,而在新情况下,则是既通过报表审计关注结果,又要通过构建和完善与财务报告相关的内部控制关注会计信息的生成过程。
一、内部控制理论新成果――COSO报告
从历史的角度来看,内部控制理论大致可以划分为内部牵制思想、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。到上世纪90年代,美国提出内部控制整体框架思想,这一思想成果集中体现在为国际理论与实务界共同推崇的COSO报告。COSO报告认为,内部控制是一个包括概念、要素和目标在内的理论框架。
(一)内部控制概念
对COSO内部控制概念可以从3个方面来理解:
1.内部控制是动态过程。内部控制是一个过程,是实现目标的手段,而不是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实际损失、或者使损失降低到最低限度的,贯穿于组织各项活动中的一系列行为或措施。环境影响内部控制,内部控制随环境变化而变化。
2.内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的影响,而不仅仅是简单地制定出一本制度手册或规章。单纯的规章制度只是一种机械的控制措施。组织虽然按照规章制度来运行,但人是具有个人目标、个人情感的能动性个体,他们可以在很大程度上影响规章制度的实施效率和效果。他们的行为可能受到其个人利益的驱使,也可能受其误解或抵触情绪的驱使。因此,内部控制必须建立在充分沟通的基础上。
3.内部控制提供的是合理保证。对管理层或董事会而言,内部控制提供的只是合理的保证,而不是绝对的保证。内部控制措施,无论设计得多么完美、运行得多么好,组织目标实现的可能性受到内部控制制度所固有的局限性影响,内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。
(二)内部控制要素
在对内部控制概念进行界定的基础上,该框架认为,一个完善的企业内部控制系统应该包括五类要素:
1.控制环境
控制环境提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:诚信的原则和道德价值观;评定员工的能力;董事会和审计委员会一一组成这两个机构须考虑的因素主要包括:成员的经验,相对于管理层的独立性,外部董事的比例;其成员参与管理的程度,所采取措施的适宜性,对管理层提出问题的深度和广度,他们与内部、外部审计人员的关系实质等;管理哲学和经营风格――主要考虑:对待和承担经营风险的方式,依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通,对财务报告的态度和所采取的措施,对信息处理以及会计功能、人员所持的态度,对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度等;组织结构――即公司活动提供计划、执行,控制和监督职能的整体框架;责任的分配与授权;人力资源政策及实务。
2.风险评估
每个企业都面临着来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。
3.控制活动
企业管理阶层辨识风险,继之应针对这种风险发出必要的指令。控制活动是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现。这主要包括:高层经理人员对企业绩效进行分析;直接部门管理;对信息处理的控制;实体控制;绩效指标的比较和分工。
4.信息与沟通
企业在其经营过程中,需按某种形式辨识、取得确切的信息并进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。
5.监控
内部控制系统需被持续监控。监控是由适当的人员,在适当及时的基础上,评估控制的设计和运作情况的过程。监督活动由持续监督和个别评估所组成,其可确保企业内部控制能持续有效的运作。
(三)内部控制目标
COSO报告认为,企业建立完善的内部控制体系,旨在达到以下三个目标:
1.经营的效率和效果;
2.财务报告真实、完整;
3.恰当地遵循了相关法律、法规。
二、COSO报告下的内部控制框架理论是否通用
同以往的内部控制理论及研究成果相比,COSO报告不管是《内部控制――总体框架》还是2004年10月增补扩充后的《企业风险管理――总体框架》,都提出了许多新的、有价值的观点。具体体现在:明确了内部控制的“责任主体”;强调内部控制应该与企业的经营管理过程相结合;强调内部控制是一个“动态过程”;强调“人”的重要性;强调“软控制”的作用;强调风险意识;强调管理与控制的界限等。
但是,值得注意的是,COSO报告下的内部控制框架对内部控制的定义及董事会作用的强调是符合美国股权高度分散这一企业所有权结构的。因为英美公司治理是典型的外部控制主导型公司治理模式。在这种模式下,分散的股东无法对公司决策施加有效的影响,从而形成了“弱股东,强管理”的格局。在这种情况下,单个股东难以对企业内部控制的设计、运行和监督产生实质性作用。为了避免内部人在管理企业过程中侵犯所有者利益,强调并通过立法的形式明确并规范以独立董事占多数席位的董事会在企业内部控制中的作用,加强对公司经理层的监督和约束,从而维护股东权益。而我国的公司治理结构“内部人控制”现象严重,控股股东“一股独大”,有些控股股东操纵上市公司的股东大会、董事会和监事会,使股东大会、董事会、监事会形同虚设,造成内部控制失效。因此,在研究中国企业内部控制问题时,应在COSO报告内部控制定义的基础上,视企业的具体情况强调和注重股东会尤其是控股大股东在企业内部控制体系中的作用。在这一基础上,运用COSO报告内部控制框架研究中国企业的内部控制现状与改进才会有更强的针对性和实际意义。
三、中国企业内部控制构建与完善框架
(一)加强法律法规等强制性来约束准则规范
应尽快加强有关企业内部控制方面的法制建设以及内部审计和独立审计等相关方面的行业准则的制定,为提高企业内控提供外部监督和指导。同时,建立和强化内部控制责任机制,加大企业相关违规成本,使得建立和完善内部控制体系成为企业的一种法律责任。目前,我国《审计法》和《独立审计准则》等对企业内部控制虽有论及,但都是从审计角度出发的,对企业而言并未形成内控整体框架;《会计法》也没有对企业内部控制提出具体可行的规定。在完善内部控制规范时,有条件地借鉴COSO理论精华,要注意从以下几个方面予以加强。
1.拓展内部控制的目标
COSO报告框架的内部控制目标包括经营目标、报告目标和合规性目标三个方面,而我国内部控制的目标仅局限于报告目标和合规性目标。我国应拓展内部控制的目标,由目前的报告目标、合规性目标向经营目标扩展,以激发企业对内部控制建设的关注和需求。
2.丰富内部控制的责任主体
2006年2月我国颁布的《独立审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》已将内部控制的责任主体向上扩展到治理层(董事会),向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中,丰富内部控制责任主体,由单一主体向多元主体发展。如前面所分析,值得注意的是COSO报告下的内部控制框架对内部控制的定义及董事会作用的强调是符合美国股权高度分散这一企业所有权结构的。而同时,笔者认为,在研究中国企业股东对内部控制的影响及作用时,必须要把股东划分为大股东和中小股东两个层次。因为在中国特有的经济背景下,上市公司的股权结构基本属于“一股独大”的情况,中小股东对企业的影响很小甚至没有,而大股东通过参与高层管理操纵内部控制的情况却非常普遍。在界定董事会对内部控制所富有的职责时,必须强化大股东层面对内部控制的责任与义务。
3.建立科学的内部控制规范体系
对于我国目前内部控制规范中存在的各种缺陷,有关部门应加快对内部控制规范的修订,甚至重新制定。考虑到我国的实际情况,可以建立内部控制基本规范和具体规范两个层次:基本规范应是一套类似于美国COSO报告那样的概念性的制度框架,具有强制力;具体规范可以是具有可操作性的规则,应是参照性的。有关部门应将内部控制规范的建设提到日程上,建立一套科学的内部控制规范体系,为企业的内部控制的自我评估和外部审计师的内部控制审计提供评价依据。关于这一点,在财政部2006年起草的《内部控制征求意见稿》中,已有所体现。
(二)证券监管机构的职责界定
企业尤其是上市公司一般只对外披露财务会计信息,人们关心的也是每股收益等数字。对于企业内部控制,人们常常疏忽。而独立审计人员则体会到信息的真实可靠,来源于企业内部控制,内部控制越好,其信息就越可靠,审计实质性测试就可相应减少;注册会计师在审计中虽然会对企业内控进行评审,但一般注重内部会计控制,并且由于审计的时间范围和技术的局限性,企业内控情况并不能充分了解和揭示;为了提高企业内控意识、提高其信息质量,企业有必要在进行内部控制自我评估后,向社会公开披露其内控信息。而在这一过程中,要使得企业内部控制披露机制真正发挥作用,就必须要界定好证券监管机构的相关职责。
(三)强化企业内部控制的自我完善
1.企业内部控制目标的定位与企业的发展战略相结合
按照COSO报告框架的要求,内部控制目标应该包括三个方面:经营的效率和效果、财务报告的可靠性以及相关法规的遵循性。笔者认为,企业在构建和完善内部控制时,必须结合自己发展所处阶段和内外部条件,按照SWOT分析法,将内部控制目标的确定与企业发展战略相适应,以使内部控制体系具有可操作性和针对性。
2.在统一的框架内构建和完善符合企业情况的内部控制体系
有了微观层面统一的内部控制规范和体系,企业要按照COSO框架中的五个要素,适当借助外部中介机构的力量,在对控制环境进行深入的调研与分析的基础上,构建适合自己企业情况的、具有可操作性的微观层面内部控制制度与体系。
(四)会计师事务所的外部监督
目前我国注册会计师接受委托执行的内部控制制度审核业务,参照的是中国注册会计师协会印发的《内部控制审核指导意见》,发表的是审核意见。建议将外部审计师对内部控制的评价确定为一项独立的强制性的审计业务,并研究制定内部控制审计准则,强化外部的内部控制审计制度,促使企业管理层对内部控制的落实和运行。
关键词:企业内部控制现状对策
现代市场经济的快速发展使得企业的竞争日益激烈。为了提高企业市场竞争力,现代企业必须从自身的管理水平提高出发,以管理水平的提高实现企业综合市场竞争力的提高。在企业管理工作中,内部控制是实现企业经营目标的重要工作、是保护企业资产与会计基础信息资料准确的关键、是企业实现经营活动目标而进行的一系列方法与措施。随着现代企业对市场环境认识的加深、对企业管理认识的加深,企业对内部控制工作的开展也积累了一定的经验。但是,受中小企业初期发展重点以及经营者理念影响,内部控制工作的开展存在很多的不足。笔者以多年工作经验为基础 ,以我国企业内部控制现状研究资料为重点,分析和论述了现代企业内部控制现状与对策。
1.关于企业内部控制的基础分析
在现代企业内部控制中,环境、会计、控制程序是内部控制的基本构成。按照其控制过程可以按照事前防范、事中控制和事后监督分为三步。在对现代企业内部控制有效执行的研究中可以看出,我国企业内部控制的执行中存在诸多的不足,进而造成内部控制效果不佳、控制目标不能达成等问题。在对这一现象的分析中可以看出,企业内部控制基础是影响企业内部控制的关键。完善的内部控制体系、有效的制度执行促进企业内部控制目标实现的基础,也是现代企业内部控制管理与实施的关键。笔者以相关文献的收集为基础进行了分析,其结果表明,现代企业内部控制工作的实施与企业内部控制基础有着重要的关联。内部控制基础决定了企业内部控制工作是否能够有效实施。
2.现代企业内部控制现状与对策分析
2.1现代企业内部控制现状分析
随着企业的发展以及市场竞争对企业需求的提高,现代企业对内部控制的认识日益加深。在这样的环境下,企业对内部控制工作现状分析以及对策制定成为了影响企业内部控制实施的关键。企业认识的偏差、内部控制管理架构问题是现代企业内部控制中普遍存在的问题之一。另外,内部控制制度缺乏指导能力、企业内部控制执行不力等也是造成企业内部控制工作达不到预期效果的重要原因。
现代企业内部控制工作开展中,受上述原因影响造成了企业缺乏足够的内部控制能力,进而影响了企业的经济利益。为了有效缓解企业内部控制能力不足引起的问题,现代企业应针对企业内部控制现状以及存在的问题进行相关体系的完善与强化。通过管理体系的完善、执行使企业的内部控制目标得以实现。
2.2针对企业内部控制现状与问题的对策
2.2.1强化企业内部控制认识,促进企业内部控制的有效实施
现代企业在内部控制上更加注重组织结构以及管控模式的强化,忽略了内控体系与管理体系的同步。另外,由于企业对内部控制认识的偏差也造成了内部控制开展不力等问题。针对这样的情况,现代企业在实施内部控制前需要对自身的认识进行纠正与强化。通过对内部控制认识的提高、注重内部控制与企业各项管理体系的有机融合实现企业内部控制的最终目的。
2.2.2以企业实际情况为基础完善内部控制体系
为了满足现代企业管理工作的需求、实现企业内部控制与企业实际情况的有机融合,现代企业应注重内部控制体系的完善。通过对企业实际管理体系、管理水平的分析与论证对内部控制体系进行再次的完善。以此使企业的内部控制体系能够与管理体系的完善、变化相适应,促进内部控制工作的开展。针对这样的情况,现代企业的内部控制体系应逐渐向动态方向发展。通过内部控制工作效果评价入手,分析企业内部控制管理体系以及执行过程中存在的问题,了解问题的同时对相关问题进行完善。通过这样的动态管理体系完善方式促进企业内部控制管理工作的开展与实施。
2.2.3强化内部控制的执行,实现企业内部控制管理目标
在现代企业的内部控制实施中,制度的执行是决定内部控制管理目标实现的关键。在我国企业的内部控制执行中,许多企业的内部控制流于形式。内部控制管理体系与管理制度不能得到有效地执行,进而使得内部控制目标难以实现。针对这样的问题,现代企业应注重内部控制执行与监督。通过企业经营者对内部控制认识的提高以及内部控制相关人员的完善,使企业内部控制能够得到有效地执行。为了使企业内部控制执行过程中,相关岗位人员能够根据岗位要求以及内部控制相关内容要求开展工作,现代企业还要加强内部控制的培训。通过内部控制制度、体系的培训使企业各岗位人员了解岗位工作所涉及的内部控制内容,促进企业内部控制的有效执行。
2.3以绩效考核与内部控制的联系促进内部控制工作的开展
针对企业内部控制开展中存在的问题,现代企业应注重内部控制与绩效考核的关联。以绩效考核为基础促进内部控制工作的开展。首先企业各部门、员工应对企业内部控制总体目标进行分解。将企业总体内部控制目标分解到各部门。在此基础上,各部门的各岗位员工以部门目标为基础进行岗位分解。通过这样的方式使企业各岗位人员能够了解自身岗位工作中与内部控制相关的内容。以此使企业员工在实际工作中严格按照内部控制要求进行工作。
同时,企业还应将绩效考核与内部控制相关联。以岗位内部控制目标、内容为基础对企业各岗位员工的工作进行绩效考核。通过对员工岗位内部控制内容执行的考核促进内部控制工作的开展。而且,企业绩效考核与内部控制的关联还能够及时发现企业内部控制工作中存在的不足,辅助企业内部控制体系进行完善,促进企业内部控制的有效开展。
3.加强企业内部控制基本原则的分析,促进内部控制工作的开展
在现代企业的内部控制工作中,管理体系的建立、制度的完善以及有效地实行是决定内部控制实施的关键。而这一系列工作中必须遵循企业内部控制的基本原则,以此保障内部控制的有效实施、保障内部控制目标的实现。在现代企业内部控制相关工作中,应以内部控制的基本原则为基础指导内部控制管理体系、制度以及相关执行工作。以基本原则的有效遵守实现内部控制目标。
4.注重企业财务人员素质的培养,促进企业内部控制工作的开展
在内部控制工作的实施中,财务管理部门的职能确定了其在内部控制管理体系中的重要作用。现代企业应针对财务管理对内部控制的影响强化财务人员素质。通过明确财务管理部门的职责、强化财务管理部门在内部控制管理中的重要性、强化企业财务人员素质培养等工作促进企业财务管理部门在内部控制管理体系中的中心地位,以此促进企业内部控制工作的有效开展。
结论:现代企业内部控制的有效实施已经成为影响企业综合市场竞争力的重要因素之一。现代企业应加强自身对内部控制的认识,以内部控制管理理念的更新、企业经营者认识的提高促进内部控制工作的有效开展。根据现代企业内部控制存在的问题对企业内控体系、制度等进行完善。在此基础上进行人员培训以及意识强化。从多方面入手,构建完善、符合企业实际情况的、全员参与的内部控制管理体系与架构,促进企业综合市场竞争力的提高。
参考文献:
