时间:2020-08-14 作者:白华 作者简介:白华,暨南大学管理学院会计学系教授; 李艺 李艺,暨南大学管理学院会计学系硕士研究生。
[大]
[中]
[小]
摘要:
基金项目:广东省人文社科重大项目(2016W2004);暨南大学项目(JDZX09)
《小企业内部控制规范(试行)》(下称《小企业内控规范》)于2018年1月正式实施。该规范从合规性目标出发,指出了小企业内部控制建设中需要重点关注的九大领域,明确了将内部控制与企业管理体系进行融合的建设要求。但笔者认为,按照控制环境、风险评估、控制活动、信息与沟通、监督等五要素并不能建设内部控制体系,这导致其内部控制体系与企业管理体系的融合性建设要求难以落到实处。而在内部控制建设中,效益性目标和合规性目标也难以分离,仅强调合规性目标会导致小企业仅出于合规的目的建设内部控制,致使小企业内部控制建设流于形式。本文尝试对五要素之间的关系作出新的解释,并提出《小企业内控规范》的改进建议。
一、内部控制要素之间的关系
《小企业内控规范》共四章四十条,分别为总则(第一至七条)、内部控制建立与实施(第八至二十七条)、内部控制监督(第二十八至三十五条)、附则(第三十六条至四十条)等。第一章第六条指出,按照五要素建立与实施内部控制是总体要求。那么,五要素之间是何关系?按照五要素能否建设内部控制体系?
第二章对此做出了...
基金项目:广东省人文社科重大项目(2016W2004);暨南大学项目(JDZX09)
《小企业内部控制规范(试行)》(下称《小企业内控规范》)于2018年1月正式实施。该规范从合规性目标出发,指出了小企业内部控制建设中需要重点关注的九大领域,明确了将内部控制与企业管理体系进行融合的建设要求。但笔者认为,按照控制环境、风险评估、控制活动、信息与沟通、监督等五要素并不能建设内部控制体系,这导致其内部控制体系与企业管理体系的融合性建设要求难以落到实处。而在内部控制建设中,效益性目标和合规性目标也难以分离,仅强调合规性目标会导致小企业仅出于合规的目的建设内部控制,致使小企业内部控制建设流于形式。本文尝试对五要素之间的关系作出新的解释,并提出《小企业内控规范》的改进建议。
一、内部控制要素之间的关系
《小企业内控规范》共四章四十条,分别为总则(第一至七条)、内部控制建立与实施(第八至二十七条)、内部控制监督(第二十八至三十五条)、附则(第三十六条至四十条)等。第一章第六条指出,按照五要素建立与实施内部控制是总体要求。那么,五要素之间是何关系?按照五要素能否建设内部控制体系?
第二章对此做出了解释。第二章的标题为“内部控制建立与实施”,从中可看出五要素的运行模式。该章第八条规定:“小企业应当围绕控制目标,以风险为导向确定内部控制建设的领域,设计科学合理的控制活动或对现有控制活动进行梳理、完善和优化,确保内部控制体系能够持续有效运行。”可结合第二章其余各条对第八条具体理解如下:(1)确定内部控制建设的管理领域要围绕控制目标,要有助于控制目标的实现(第九条、第十条)。(2)确定内部控制建设的管理领域要以风险为导向,分轻重缓急(第十一条、第十二条、第十三条)。(3)控制活动的设计和优化要基于风险的识别、评估,并与风险应对策略相适应(第十四条)。(4)控制活动所针对的对象是内部控制建设的管理领域(第十五条)。(5)设计和优化控制活动时,采取的控制措施一般包括不相容岗位相分离控制、内部授权审批控制、会计控制、财产保护控制、单据控制等(第十六条——二十三条)。(6)控制活动要与企业管理体系融合(第二十四条)。(7)识别、评估和应对风险时,需要收集和沟通信息(第二十五条、第二十七条)。(8)控制活动的设计和实施需要有控制环境作为基础(第二十六条)(财政部,2017)。
综合起来看,可将第二章各条的观点表述为:在控制环境的基础上,通过设定控制目标,收集和沟通信息,识别、评估和应对影响控制目标实现的内外部风险因素,针对高风险的管理领域,采取与企业管理体系融合的控制活动,以防范和化解风险。
这就表明,第二章第八条所述内部控制体系的“持续有效运行”强调的是五要素共同发挥作用,作用的结果是针对高风险的管理领域建立和实施了控制活动。照此理解,《小企业内控规范》是将五要素视为一套方法体系。
若视为方法体系,五要素就只能作为一个整体共同作用于控制对象之上,不能割裂开分门别类地建设。此时,五要素本身并不能构成内部控制体系,只有将针对控制对象所采取的控制活动排列有序,才能构建起内部控制体系。也就是说,据此构建的内部控制体系在形式上是看不到五个要素的,只能看到控制活动。从《小企业内控规范》来看,其第十五条所述需要建设的管理领域,包括资金管理、重要资产管理(包括核心技术)、债务与担保业务管理、税费管理、成本费用管理、合同管理、重要客户和供应商管理、关键岗位人员管理、信息技术管理,等等,就是控制对象。五要素发挥作用的对象就是这些需要建设的管理领域,其发挥作用的方式是,无论是针对资产管理还是合同、信息技术管理等,都需要五要素共同发挥作用,方可识别、评估和应对实现控制目标的风险,作用的结果是针对这些控制对象建立和实施了控制活动。因此,通过运用这套方法,最终能看到的只有控制活动,也只有控制活动能够付诸实施。那么,只有针对各类控制活动才能构建起内部控制体系。而五要素系统本身只是一套方法,不可能据此构建起内部控制体系(白华,2015)。
五要素系统由美国反虚假财务报告委员会的发起组织委员会(下称COSO)提出。1992年,COSO发布《内部控制——整合框架》,指出内部控制体系由控制环境、风险评估、控制活动、信息与沟通、监督等五要素构成。此后,按照五要素建设内部控制体系的观点在世界范围内得到广泛认同。2013年,COSO对《内部控制——整合框架》进行了修订。但是,修订版的报告并没有实质性的变化,只是对五要素系统进行一些修补。主要表现在:将财务报告目标拓展为报告目标;从五要素中提炼出了17条原则;强调了舞弊风险的防范;重申了五要素应该作为一个整体持续有效地运行。可结合新旧两份COSO报告对内部控制体系运行方式的描述,了解《小企业内控规范》有关五要素规定的由来。
COSO(1992)指出:“控制环境提供了开展控制活动和履行责任的氛围,是其余四个要素的基础。在控制环境下,管理层获取并沟通信息,评估实现目标的风险,实施控制活动以确保应对风险的指令得到执行。同时,整个过程都受到监督。”COSO(1992)还指出:“不仅风险评估影响控制环境和控制活动,而且信息与沟通或监督活动也需要重新考虑。因此,在内部控制体系中,不是一个要素影响下一个要素的线性过程,而是各要素之间相互影响的整体过程。”COSO(2013)也有大体相同的两段表述。
可以看出,COSO对内部控制体系运行方式的描述正是说明了五要素系统是一套方法,五要素只能作为一个整体运行,而不能割裂开来分别实施并建设内部控制体系。但由于COSO明确指出内部控制体系由五要素构成,这就不可避免地产生了认识误区。
受COSO影响,《小企业内控规范》也强调了五要素的持续有效运行,要求小企业按照五要素建设内部控制体系。这就在企业管理体系之外,人为地构建了一个本不存在的内部控制体系,使得内部控制体系难以融入管理体系之中。
二、内部控制体系与企业管理体系之间的关系
那么,内部控制体系该如何构建?如何实现内部控制体系与企业管理体系的融合?
顺着将五要素视为一套方法体系的思路,或可找到合理的解释。在方法体系下,作为有机整体的五要素是共同作用于控制对象之上的,作用的结果是建立和实施了控制活动。那么,在管理中形之于外的,能看得见的就是控制活动。以销售活动为例,为实现销售管理的目标,也要将五要素共同作用于销售活动之上,作用的结果是制定和实施了一系列销售控制活动,譬如制定计划、接受订单、审核信用、签订合同、发运货物、收回货款、考核评价、监督检查等。如果要管理销售活动,就只能通过这一系列的控制活动来实施。可见,销售活动中的不同管理环节都是控制活动,这表明控制活动就是管理的外在表现形式。推而广之,在企业管理中,针对任何管理领域或控制对象采取五要素这一方法体系后,最终付诸实施的都是控制活动。企业管理的过程就是不断地搜集和沟通信息,并识别、评估和应对影响企业目标实现的内外部各种风险因素的过程,这个过程周而复始、循环往复,但最终形之于外的只有控制活动。监督活动本质上也是控制活动,是对控制活动的再控制,它也是一个收集信息、评估风险,并采取控制活动的过程。而控制环境也是控制活动,是控制活动中具有基础性作用的控制活动,如企业文化、发展战略、社会责任、人力资源、组织架构、制度建设等。只是因为这一类控制活动在企业管理中能对其他控制活动产生普遍影响,才将其称为控制环境,其本质上仍是控制活动(白华,2018)。
这套方法体系中的五个要素可分为两类,其一是过程类要素;其二是结果类要素。过程类要素包括信息与沟通、风险评估,这两个要素周而复始、循环往复运行,最终建立和实施了控制活动。结果类要素包括控制环境、控制活动、监督活动,这三个要素本质上都是控制活动,是过程类要素运行的结果。只有针对控制活动(含控制环境、监督活动)所构建的体系才是管理中运行的真正的内部控制体系。在企业管理中只有此一体系,而无其它体系存在。因此,管控合一,企业管理体系就是内部控制体系(白华,2018)。
而《小企业内控规范》对监督活动的规定也能为本文的观点提供佐证。“第三章内部控制监督”共八条(二十八条至三十五条)。从这八条中可以看出,内部控制的五个要素是共同作用于监督活动的。第二十八条提出对内部控制的建立与实施情况进行日常监督和定期评价(控制活动)。需要指出的是,对于监督活动而言,其采取的控制活动就是日常监督和定期评价,或二者的组合。第二十九条规定了胜任能力要求和内部审计机构的设置(控制环境)。第三十条提出了监督中需要重点关注的情形(信息与沟通、风险评估)。第三十一条规定了日常监督的要求(控制活动)。第三十二条、三十三条、三十四条分别规定了年度内部控制定期评价、报告和审计的要求(控制活动)。第三十五条规定了对监督结果的考核要求(控制环境中的问责制)。可见,《小企业内控规范》也是将五要素作为一套方法,提出了监督中需要实施的日常监督和定期评价的要求。
《小企业内控规范》没有认识到,只有针对控制对象(如战略、采购、生产、销售、成本、合同、税费等),将其排列有序,才能构建起内部控制体系,而五要素系统只是一套方法体系。若方法体系也可称为内部控制体系,则企业要运行两套内部控制体系,其结果一定是按照五要素建立的所谓内部控制体系被束之高阁。当前,我国不少企业内部控制建设流于形式,其中一个重要的原因就是,以为按照COSO五要素可以建设内部控制体系。
三、小企业内部控制规范的改进
从管控融合的视角,将五要素视为一套方法体系,按照内部控制体系和企业管理体系一体化建设的思路,可提出《小企业内控规范》的改进建议。
(一)明确内部控制体系就是企业管理体系
内部控制难以融入企业管理之中,企业仅在形式上满足内部控制监管要求,是当前企业内部控制建设中面临的突出问题。《小企业内控规范》要求将内部控制与企业管理体系进行融合,就是试图解决这一问题。但由于五要素构成的内部控制体系看起来可以自成体系,这就使得内部控制体系难以实现与企业管理体系的融合。只有明确指出,五要素体系只是一套方法体系,管理与控制是融为一体的,内部控制体系与企业管理体系事实上是同一个体系,才能真正解决其融合问题,才能将内部控制建设变成小企业自觉的行动。建议:(1)将《小企业内控规范》第六条“小企业建立与实施内部控制应当遵循下列总体要求”改为“小企业建立与实施内部控制应当遵循下列方法”。(2)将第二章第二十四条提前到第一章,并将其修改为:“内部控制体系与管理体系具有内在一致性,小企业加强管理体系建设的表现形式就是加强内部控制建设”。
(二)进一步拓展小企业内部控制的目标
《小企业内控规范》第四条规定:“小企业内部控制的目标是合理保证小企业经营管理合法合规、资金资产安全和财务报告信息真实完整可靠。”这表明,小企业内部控制的目标定位于合规目标,而没有考虑经营的效率效果目标。这一做法借鉴了《财务报告内部控制——较小型公众公司指南》(COSO,2006),但并不适当。首先,确定内部控制目标时,不需要将经营的效率和效果目标排除在外。小企业在管理中首先考虑的是效益性目标,其内部控制建设中面临的最大问题是,小企业为了追求效益性目标而不考虑合规性目标,所以强调合规性目标的重要性不需要排除效益性目标。其次,片面强调合规性目标并不可行。在内部控制领域,之所以有财务报告目标和财务报告内部控制,是从限制注册会计师的责任范围、有利于注册会计师行业发展的角度提出来的概念,而从企业管理的角度看并无所谓财务报告内部控制之说。内部控制是一个有机整体,企业无论大小都是针对不同管理领域,评估风险,制定和实施控制活动。在这些控制活动中,哪些是为了实现合规性目标,难以区分(白华,2015)。
为此笔者建议对小企业内部控制目标做出全面规定。目标上的限制会导致效益性目标和合规性目标的割裂,也可能导致小企业仅出于应对合规监管要求才建设内部控制,不利于《小企业内控规范》的贯彻实施。
(三)明确小企业控制环境的内容和特点
《小企业内控规范》在第六条第(一)款(诚信、发展战略)、第十七条(不相容岗位相分离)、第十八条(授权审批)、第二十三条(制度建设)、第二十六条(胜任能力、人力资源管理)、第二十九条(胜任能力、岗位设置)、第三十五条(问责制)等条款中,论及控制环境。并对小企业控制环境的特点有所考虑,如第十七条指出:“因资源限制等原因无法实现不相容岗位相分离的,小企业应当采取抽查交易文档、定期资产盘点等替代性控制措施”;第二十三条指出:“有条件的小企业可以采用内部控制手册等书面形式来明确内部控制措施”;第二十九指出:“具备条件的小企业,可以设立内部审计部门(岗位)或通过内部审计业务外包来提高内部控制监督的独立性和质量”。但是,这些条文对小企业控制环境包含的内容和特点的规定比较零散,特点还不够突出。
为此笔者建议:(1)设专章规范小企业控制环境。控制环境是企业内部控制建设和实施的基础,不能仅在相关条文中隐含提及。(2)明确小企业控制环境的内容。小企业控制环境包括企业文化、发展战略、社会责任、人力资源管理、组织架构、权责分配、问责制、制度建设等(COSO,2013)。这些内容与大企业并无不同,只是具有自身特点。(3)明确小企业控制环境的特点。从企业文化来看,小企业负责人主要以身体力行的方式体现其管理理念和经营风格,并以此引导和培养企业文化,较少通过制度建设来培育;从发展战略来看,主要体现为中长期的财务指标;从社会责任来看,主要体现为满足社会责任方面的监管要求;从人力资源管理来看,主要体现为人力资源管理部门可能与一般行政管理、法务、后勤等部门合署办公,缺乏人力资源长远规划,员工整体素质不高等;从组织架构看,主要体现为以直线型和直线职能型组织结构为主,职能部门相对较少等;从权责分配看,主要表现为一人多岗,不相容岗位难以有效分离等;从问责制看,主要表现为以业绩为基础的短期激励;从制度建设来看,主要表现为成文的制度较少。
(四)体现小企业控制活动的特点
《小企业内控规范》对控制活动的规定颇有新意。第十五条规定了小企业建立与实施内部控制应当重点关注的九大管理领域。第十六条规定:“内部控制措施一般包括不相容岗位相分离控制、内部授权审批控制、会计控制、财产保护控制、单据控制等。”这两条分别规定了管理领域和控制措施。相比较而言,COSO(2006)的《财务报告内部控制——较小型公众公司指南》仅对控制措施作出规定,没有论及具体的管理领域。《小企业内控规范》的规定使得小企业内部控制建设有了明确的抓手,可将控制措施要运用于九大管理领域之中。即便如此,仍有进一步改进的必要。
为此笔者建议:(1)进一步明确管理领域和控制措施之间的关系。(2)解释选择九大管理领域的理由。(3)针对九大管理领域提出规范化、制度化建设要求,要求小企业留下交易轨迹,避免出现片面追求效益性而忽视合规性的情况。(4)对预算管理、全面质量管理等控制活动作出规定。可指出,小企业预算管理以财务预算为主;全面质量管理与ISO9000整合实施,并重点在进销存环节中运用。
(五)突出小企业监督活动的特点
《小企业内控规范》对监督活动的规定过于原则,小企业的特点体现得不够充分。为此笔者建议:(1)明确小企业的监督以事后监督为主。控制活动一般在业务流程之中实施,而监督活动则在业务流程完成后实施,所以,监督活动一般都是事后才开展的活动。但大企业可能会将事后的监督活动嵌入业务流程中,使之成为业务流程的一个部分,从而使得监督活动在事前事中就可实施。而小企业资源有限,职责分工不够充分,很难做到事前事中的监督,只能以事后的监督为主。(2)明确职能部门在日常监督中要发挥更大的作用。小企业受资源所限较少设立风险管理部门和审计部门,此时监督职责就只能更多地通过职能部门来履行。财务部门可在合同会签、凭证审核、资金收支、账务处理、财务指标预警等方面对需要关注的重点管理领域进行日常监督。经营管理部门可借助采购、生产、销售等业务的统计信息进行日常监督,人事部门可借助薪酬统计信息进行日常监督。通过日常监督,可发现小企业在业务流程办理中可能存在的违规违法问题,可以起到补偿性控制作用。(3)明确小企业负责人应该更多地发挥监督作用。相比于大企业,小企业负责人会更多地参与业务活动,这本身就具有监督的性质。(4)需要修改“定期评价”的说法。《小企业内控规范》将监督方法分为“日常监督”和“定期评价”两类,但用“定期评价”的说法并不适当,因为“日常监督”就有“定期评价”之意,可借鉴《企业内部控制基本规范》,采用“专项监督”的说法(财政部,2008)。
责任编辑 张璐怡
相关推荐