时间:2020-05-20 作者:陈关亭 (作者单位:清华大学会计研究所)
[大]
[中]
[小]
摘要:
长期以来,尤其是安然公司等一系列企业丑闻和失败事件爆发之后,关于内部控制的研究和立法行动深受国际社会的重视和关注,我国也概莫能外,新《会计法》和财政部、证监会、国资委等部门先后通过的法律或制度规范都要求企业建立健全内部控制。但调研发现,我国企业内部控制理论和实务同现代国际先进水平相比仍存在差距。笔者重点谈谈我国企业内部控制的不足及其改进建议。
一、现代内部控制的发展及其特征
1、当前国际上具有重要影响的内部控制理论和法律规范
(1)《内部控制——整体框架》(Internal Control-In-tegrated Framework,简称ICIF)。为了整合不同的内部控制观念和定义,并提出一套共同可用的内部控制参考标准,美国反对虚假财务报告委员会下属的发起机构委员会(COSO)于1992年提出本框架,并应美国审计总署(GAO)要求在1994年将有关保障资产安全的控制增补到对外报告中。ICIF的核心内容是将内部控制的目标概括为合理保证经济活动的效率性和效果性、财务报告可靠性和法律法规的遵循性,将控制要素由控制环境、会计系统和...
长期以来,尤其是安然公司等一系列企业丑闻和失败事件爆发之后,关于内部控制的研究和立法行动深受国际社会的重视和关注,我国也概莫能外,新《会计法》和财政部、证监会、国资委等部门先后通过的法律或制度规范都要求企业建立健全内部控制。但调研发现,我国企业内部控制理论和实务同现代国际先进水平相比仍存在差距。笔者重点谈谈我国企业内部控制的不足及其改进建议。
一、现代内部控制的发展及其特征
1、当前国际上具有重要影响的内部控制理论和法律规范
(1)《内部控制——整体框架》(Internal Control-In-tegrated Framework,简称ICIF)。为了整合不同的内部控制观念和定义,并提出一套共同可用的内部控制参考标准,美国反对虚假财务报告委员会下属的发起机构委员会(COSO)于1992年提出本框架,并应美国审计总署(GAO)要求在1994年将有关保障资产安全的控制增补到对外报告中。ICIF的核心内容是将内部控制的目标概括为合理保证经济活动的效率性和效果性、财务报告可靠性和法律法规的遵循性,将控制要素由控制环境、会计系统和控制程序,拓展为控制环境、风险评估、控制活动、信息与沟通、监督五项要素,并提出了对应五项控制要素的评估工具。其中与财会人员相关的控制,主要表现为以财产物资安全性、财务报告可靠性、会计与财务法规遵循性为目标的会计控制集合。ICIF目前已成为世界通行的内部控制权威文献,并被国际和各国审计准则制定机构,银行监管机构和数千家企业用作构建和评价内部控制的标准,成为美国SEC惟一推荐使用和SOX法案第404条款“最终细则”明确认可的内部控制框架。
(2)《萨班斯-奥克斯利法案》(The Sarbanes-O×ley Act,简称SOX)。2001年安然破产后,凯马特、环球电讯、世界通信公司等一批企业巨擘纷纷被揭露存在财务舞弊,诚信危机震撼了美国社会。为了提高上市公司信息披露的可靠性,保护投资者利益,重建资本市场的公众信心和秩序,2002年7月美国国会通过了本法案。其中涉及内部控制的条款,均与财会人员密切相关,其主要是第302条“公司对财务报告的责任”、第404条“管理层对内部控制的评价”和第906条“公司对财务报告的责任”中,尤其是第404条款规定上市公司必须在年报中包含内部控制报告,说明管理层对建立和保持一套完整的财务报告内部控制结构和程序所承担的责任,披露管理层对截止到最近财务年度期末公司内部控制体系及程序有效性的评价,并由为上市公司编制或出具审计报告的注册会计师事务所验证并报告管理层所做的内控评估。根据上述法案,美国证券交易委员会(SEC)在2002年和2003年分别发布了《最终规则:公司季报和年报中披露信息的保证》和《最终规则:管理层对财务报告内部控制的报告》,作为实施SOX法案302和404条款的具体准则;2004年美国上市公司会计监管委员会(PCAOB)发布了《第2号审计准则——与财务报表审计协同进行的对财务报告内部控制的审计》,继之经SEC批准成为审计师对财务报告内部控制进行审计的法律依据。SOX及其相关规则的内部控制规定,标志着在上市公司建立、评价和报告与财务报告相关的内部控制,已由自愿行为提升为法律强制行为。
(3)《企业风险管理——整体框架》(Enterprise Risk Management-Integrated Framework,简称ERMIF)。为了响应投资者、公司员工和其他利益相关者对风险管理的关注,以及在理论上整合内部控制和风险管理的关系,COSO开发并于2004年9月正式发布了该框架,框架中约60%的内容来源于ICIF,但并未取代ICIF,目前两个框架并行存在。根据本框架,财会人员应该从战略、经营、报告和法律遵循目标出发,鉴别和评估财会工作中的潜在风险,根据风险严重程度、发生可能性和成本效益原则,做出规避、降低、共担和接受的风险反应方案,通过控制活动、信息和沟通、监督予以具体控制,并协调同风险管理部门的关系。
2、内部控制的发展特征和趋势
(1)风险控制导向。ICIF首次增加了风险评估因素,以通过辨析和评估潜在风险而确定控制实施的具体对象,ERMIF继承和发展了ICIF的风险控制导向,将风险评估的子要素分拆并提升为目标制定、事项识别、风险评估、风险反应,标志着内部控制由过去面向经营管理过程的控制转为面向企业潜在风险的控制,也表明了现代内部控制以潜在风险为控制对象的发展趋势。对于财会人员来说,主要需要预防和控制本单位各层次的财务风险和会计信息披露风险。
(2)整体框架模式。ICIF和ERMIF均以整体框架的模式,分别高度地概括了内部控制和风险管理的概念、原则、目标、要素等一般特征,提出了由目标、要素和业务组成的三维整体框架,为不同企业组织、监管部门和中介机构建立、评价和审计内部控制或制定内部控制规则提供了参考标准。对于财会人员来说,主要是依据本框架建立、实施和维护本单位的会计控制系统和财务风险管理制度,并以此为标准评价和保证其健全性、符合性和有效性。
(3)强制应用规定。SOX法案首次以立法形式要求在美国上市的公司必须建立,维持、评价和报告内部控制,美国证券交易委员会(SEC)最终准则、美国上市公司会计监管委员会(PCAOB)审计准则解释和细化了上述法律条款,表明内部控制在实务中已被提升到强制性应用的高度,并预示着世界范围内采取类似内部控制立法浪潮的到来。对于财会人员来说,主要是依据这些法律规定履行其与财务报告有关的内部控制责任,并最终保证财务报告的可靠性。
(4)全面内部控制。随着控制目标由财务报告和财产保护扩展为经济活动的效率性、效果性、财务报告可靠性和对法律法规遵循性,并在ERMIF中进一步拓展为更加广泛的战略、效益、报告和遵循目标,内部控制要素和范围相应超出了“会计系统”和“会计控制”范围,内部控制主体和客体也扩展为企业董事会、管理层和其他所有员工,并覆盖企业内部的所有经营管理活动,广义的全面风险控制取代了狭义的会计控制。对于财会人员来说,除主要以财务风险为对象、以会计控制为手段外,关键是实现同全面风险管理的无缝对接。
二、我国企业内部控制的理论缺陷
通过对现代内部控制的研究我们发现,我国企业内部控制存在下列缺陷:
1、缺乏通用性的内部控制框架和标准。我国至今没有形成类似ICIF或ERMIF的通用性内部控制框架,由此产生的问题:一是财政部、证监会、银监会、中注协、审计署等不同部门和行业系统制订的内部控制指引、规范、准则,各成一体、互不统一,或者直接套用ICIF、ERMIF的内容,致使相关各方无所适从,在解决冲突时不能寻求到公认的一般标准;二是上述内部控制指引、规范、准则多数只适用于特定行业系统或专业范围,除此之外的众多单位组织,在设计和评价内部控制时缺乏直接依据和参考标准。而完全照搬ICIF或ERMI,除了通常意义上的不适合国情外,已经被中国石油天然气股份有限公司、国华电力有限责任公司等多家公司在内部控制实践中证明为不可行。
2、缺乏可操作性的内部控制评价工具。中注协、审计署、中国内审协会和银监会等分别制定了内部控制评审准则,但由于我国目前没有通用的内部控制评价工具,直接导致内部控制评价缺乏科学性、规范性和可操作性,进而增加了评价工作的实施难度、资源投入的主观随意性、结论不可靠性,这也是我国内部控制基础审计难以推广的重要原因。
3、尚未整合内部控制和风险管理的关系。2005年上海证券交易所《上市公司内部控制制度指引》吸收了ERMIF的部分内容,但就更多的理论文献和管理制度而言,我国理论界和制度制订者尚未充分认识,至少是没有实际完成内部控制和企业风险管理的理论整合和制度整合。在见诸于世的相关文献和规则制度中,内部控制和风险管理往往被作为两个彼此割裂的概念和理论体系。
4、局限于会计控制或财务报告内部控制范围。我国新《会计法》、《内部会计控制规范》等法律规范,基本将内部控制局限于会计控制范围;《独立审计具体准则——内部控制与审计风险》、《内部审计具体准则——内部控制审计》、《审计机关内部控制测评准则》以及《内部控制审核指导意见》等审计准则,则将评价范围限定为与财务报告相关的内部控制。这固然与部门立法的传统陋习、行政部门的职能范围和财务报表审计的目的手段相关,但内部控制范围不是根据立法陋习或者部门职责确定的,并且单纯评价与财务报告相关的内部控制也难以保证实质性审计的可靠性和效率性。现代内部控制范围从狭义会计控制发展为全面风险控制的历史规律,昭示我们应该走出只关注会计控制、会计系统或者与财务报告相关的内部控制的误区。
5、没有强制要求独立评价和公开披露内部控制。目前,证监会仅仅对上市商业银行和证券公司管理层的内部控制评价提出了明确规定,并要求聘请会计师事务所对其内部控制进行评价,出具内部控制评审报告。但对于众多的其他上市公司,证监会没有对其内部控制有效性评价和对外披露提出强制性规定,立法机构也没有像SOX法案那样以法律形式提出强制进行内部控制自我评价、独立审计和公开报告的要求。
三、我国企业内部控制的实务缺陷
2000~2005年期间,笔者先后实地调研了我国20家企业的内部控制设计和执行情况,并按照ICIF评估工具,采用Likert五点评分法(即根据符合程度采用5分制评定分值,从1至5分别代表:极不符合、较不符合、基本符合,比较符合和完全符合),针对控制环境、风险评估、控制活动、信息与沟通、监督要素实施了具体评价。评价结果,汇总如下表。
1、从样本企业总体内控情况看,只有3家企业(其中2家为在美国上市的公司,为适应SOX法案已按照ICIF进行了内控重塑,1家企业制定了内部控制手册)的评价分值位于[3,4)区间,即基本符合COSO内控标准(占15%),而其余17家企业(占85%)均在3分以下。在17家不合格企业中,极不符合者为4家,占20%;较不符合者为13家,占65%。总体内控系统的合格率仅为15%,均值只有2.49,没有一家企业的总体控制系统达到4分,说明我国绝大多数企业的内部控制系统处于设计不健全或者执行不严格状态。导致这种状况的原因固然很多,但不容否认,我国内部控制理论误区和制度滞后是其中的主要原因。
2、从内部控制构成要素来看,监督、风险评估的合格率最低,只有3家企业的分值位于[3,4)区间以上,并且均值分别居于后两位(2.07、2.51):控制环境、控制活动的合格率较低,分别为20%和30%:信息与沟通的合格率稍高,但也仅为35%。所有单项要素和总体系统的均值都低于中值,说明样本企业内部控制薄弱不是由某一个要素引起的,而是每个要素都存在不同程度的缺陷。究其直接原因,仍然是我国内部控制的理论误区和制度滞后,导致这些企业在管理实践中自发形成的内控系统或者根据我国会计控制规范所制定的内控系统,同COSO要素不相匹配。
3、从内部控制具体缺陷看,前十项为:一是管理制度缺控制。企业各种形式的管理制度尽管很多,但往往是出自不同部门、定于不同年代,存在若干重复+冲突和盲区,尤其是其内容缺少COSO五项控制要素。二是软性环境被忽视。在控制环境要素中,操守和价值观、管理方法和经营风格等影响人们控制理念的子要素往往被忽视或没有溶入公司文化之中。三是公司治理不合格。内部董事、外部董事、独立董事比例失调,总经理兼任董事长等问题比较突出。四是不相容职务未分离。主要是授权、执行、保管、记录和检查职务分离不彻底,甚至存在钱、账、物兼管等问题。五是潜在风险不辨析。没有根据风险因素定期辨析企业存在的各项风险,或者不分析其严重程度和发生可能性,或者没有及时更新企业的风险信息库。六是业务流程无要点。主要是没有制定书面控制流程,或者没有设置其中的控制点和关键控制点。七是控制政策不健全。没有形成控制政策同控制要点、潜在风险和控制目标的有机联系,尤其是控制措施、手续、办法和指标不能有效防范或控制企业的潜在风险。八是信息沟通不通畅。忽视搜集供应商、顾客偏好、竞争者情报等外部信息,在内部信息中预算编制、绩效考核信息不对称,销售、采购、投资等信息交流不及时。九是监督评价不到位。董事会和监事会对管理层监督缺乏力度,内部审计人员很少开展针对内部控制的评价。十是既定控制不执行。某些控制政策和制度,写在纸上,贴在墙上,而不落实到行动上,或者只要求中低层员工执行,而CEO等管理高层则可以随时逾越。
四、结论和建议
尽管20家企业的样本规模不够充分,但从中发现的内部控制问题却具有典型意义。针对上述缺陷,笔者认为在我国内部控制建设中,应该借鉴ICIF、ERMIF、SOX,结合我国企业风险特征和管理特征,建立健全“以内部环境为基础,以潜在风险为导向,以管理高层为重点,以控制要素为内容,以控制模式为形式,以业务循环为落脚点,并以外部监管为接口的自律性内部控制机制”。为此,建议研究下列关键问题。
1、提升基于企业风险的内部控制理论体系。重点整合内部控制同风险管理、公司治理、流程再造等的关系,界定内部控制的边界及其外邻接口,然后确立符合我国企业管理特征的内部控制目标、要素、方法、范围和实施主体等基本理论,以形成同企业风险管理相衔接并相对独立的新型内部控制理论体系。
2、确立基于我国国情的一般性内部控制框架。重点是根据上述基于企业风险的内部控制理论,结合我国企业的风险特征和管理特征,分析国内外现有的内部控制框架和规范等,提出高度概括的内部控制定义框架、目标框架和要素框架,为内部控制设计和评价提供统一的依据、标准和语言。
3、设计基于业务循环的一般性内部控制模式。重点是针对项目研发、采购、生产、工资、销售、筹资、投资、担保、货币资金、实物资产、工程项目等典型业务循环的共性特征,制定由控制环境、控制目标、潜在风险、控制流程、控制要点、控制政策、控制载体组成的一般性内部控制模式,本模式在形式上为内部控制流程图并配合内部控制政策表。
4、提出内部控制评价工具和综合评价模型。重点是提出分别针对内部控制要素、业务循环控制模式的评估要点及工具;设定内部控制各项要素及其子要素的权重,最终根据控制要素和权重,提出内部控制评价的综合模型。
5、完成强制性建立、评价、报告内部控制的立法。主要是借鉴SOX法案,通过立法形式强制要求上市公司和国有企业建立、维持、评价和披露其内部控制。
(本文为国家自然科学基金
《网络环境下的企业内部控制设计》的阶段成果)
责任编辑 林燕
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号