时间:2020-05-20 作者:刘桂英 于增彪 龚道道 (作者单位:河北大学 清华大学)
[大]
[中]
[小]
摘要:
我国《(会计法》表明,抑制或者消除经济贪渎最强有力的工具之一是建立健全内控制度。由美国会计职业团体组成的委员会(英文缩写COSO)1992年发布的《内部控制整体框架》报告(简称1992年COSO报告)和2004年发布的《全面风险管理整体框架》报告(简称2004年COSO报告)已经成为我国有关部门和大中型企业制定国家、行业或企业自身内控制度的参照系,对我国内控制度理论和实务的影响广泛而深刻。但必须指出的是,1992年COSO报告强调内控制度,2004年COSO报告强调风险管理,从前者演变到后者的关键在于战略。据我们检索的文献和对石油、银行、制造业典型企业内控制度的分析表明:我国内控理论和内控实务上恰恰忽略了战略问题,进而在内控制度的设计和执行过程中就不可能自觉地贯彻战略。笔者认为,一家企业的内控制度如果脱离该企业的战略,很有可能对该企业经营产生负面效果。因此,理清内控制度、风险管理和战略之间的关系,并将战略贯彻在内...
我国《(会计法》表明,抑制或者消除经济贪渎最强有力的工具之一是建立健全内控制度。由美国会计职业团体组成的委员会(英文缩写COSO)1992年发布的《内部控制整体框架》报告(简称1992年COSO报告)和2004年发布的《全面风险管理整体框架》报告(简称2004年COSO报告)已经成为我国有关部门和大中型企业制定国家、行业或企业自身内控制度的参照系,对我国内控制度理论和实务的影响广泛而深刻。但必须指出的是,1992年COSO报告强调内控制度,2004年COSO报告强调风险管理,从前者演变到后者的关键在于战略。据我们检索的文献和对石油、银行、制造业典型企业内控制度的分析表明:我国内控理论和内控实务上恰恰忽略了战略问题,进而在内控制度的设计和执行过程中就不可能自觉地贯彻战略。笔者认为,一家企业的内控制度如果脱离该企业的战略,很有可能对该企业经营产生负面效果。因此,理清内控制度、风险管理和战略之间的关系,并将战略贯彻在内控制度的设计和执行过程中,是我国理论和实务界当前急需解决的问题。
一、内控、风险与战略具有内在联系
1992年COSO报告的主要贡献在于重新界定了内控制度,即由五个要素(控制环境、风险评估、控制活动、信息和沟通、监控),三项目标(保障经营效率和效果、财务报告可靠性与合法合规性)和一套由董事会、各级经理及其他组织成员制定或实行、并合乎理性地保障目标实现的程序所组成的有机整体。2004年COSO报告的主要贡献,首先在于重新界定了风险管理,即由目标、要素和组织三个维度组成的有机整体。组织维度包括子公司、经营单位、分部和整个企业(中国化的说法则是高层、中层和基层),要素维度包括目标确定、事件辨别、控制环境、风险评估、风险应对、控制活动、信息和沟通、监控八个要素,目标维度包括战略、经营、报告和合法合规性四项。其次在于界定了风险与机会。根据2004年COSO报告,企业经营过程由一系列事件构成,其中有些事件对战略实现的影响是积极的,有些则是消极的,那些对战略具有积极影响的事件称为机会,那些对战略产生消极影响的事件则称为风险。而风险管理的内容之一就是防范和化解消极事件、催生和保障积极事件的程序。与1992年COSO报告相比,2004年COSO报告具有革命的性质。它使内控制度所依存的组织更加复杂;在目标维度中不仅增加了战略,而且将财务报告目标扩展为所有信息的报告目标;在要素维度中增加三个要素(目标确定、事件辨认和风险应对),将五要素的内控制度框架扩展为八要素的风险管理框架。其结果,不仅使风险管理涵盖了内控制度,而且将传统上属于审计或财务会计的内控制度与管理会计甚至整个企业管理相互贯通、相互融合起来。
另一方面,就1992年COSO报告看,内控制度的最终目标是控制风险,至于保障经营效率和效果、财务报告可靠性和合法合规性三项目标,只是实现风险控制的中间环节。当然,1992年COSO报告没有涉及战略是一个严重缺陷,其造成的后果就是无法按照报告直接界定和控制风险,无法实现内控制度的最终目标。如果想避免这些不良后果,就必须引进战略。
按照哈佛大学卡普兰教授的说法,战略通常是指一家企业所具有的长期性和整体性的目标,其基本内容是企业的客户、股东或利益相关者的需要以及满足这些需要的方式。2004年COSO报告将风险管理框架设计成为由目标、要素和组织三个维度组成的“魔方”。在整个风险管理框架中,战略居于主导地位。通过要素维度中的目标确定,战略不仅转换为经营、报告和合法合规性三项短期的可操作性目标,而且贯彻到事件辨别、控制环境、风险评估、风险应对、控制活动、信息和沟通、监控七个要素之中。一言以蔽之,战略、风险管理和内控制度之间具有内在联系。所谓2004年COSO报告是1992年COSO报告的“豪华版”,其实质就是用2004年COSO报告取代1992年COSO报告。换句话说,仅仅按照五要素制定的内控制度,其有效性是值得怀疑的。
二、内控制度的设计和执行必须而且能够贯彻战略
我们曾参与一家石油企业、一家银行企业和一家汽车零部件制造企业的内控制度的设计和评估。从这三家企业的情况看,三家均未将战略融入内控制度,其中两家的内控制度主要是关于如何实现财务报告和合法合规性目标的程序,而另一家的内控制度则扩展到经营,但依然仅仅是程序而已。
无论从1992年还是2004年的COSO报告中都能发现,一套行之有效且具有操作性的内控制度至少应包括程序和目标两项内容。只有程序而无目标,其实质还是用财务会计内控或审计内控的传统观念来看待现代的、更多的包括最新管理理念的内控,结果,不仅理论上失之严谨,而且在实践上也颇具戏剧化。我们参与设计内控制度的那家汽车零部件制造企业为了强化内控制度的执行过程,一开始就试图将子公司内控制度评价的分值与该子公司经理的奖惩挂钩,但很快就发现,内控制度分值高的子公司效益差,而内控制度分值低的子公司反而效益好。显然,问题出在内控制度的评价范围只包括保障目标实现的程序,而忽略了这些目标的完成情况。
那么,如何将战略贯彻到内控制度的目标和程序之中,也就是说,如何通过内控制度的目标和程序设计贯彻战略呢?
我们认为,有关内控制度目标通常表现为当事人的业绩指标,反映当事人的工作结果,按照目标所进行的控制在国外文献中被称为结果控制(ResultControl)。有关内控制度程序也可以作为当事人的业绩指标,反映当事人的工作过程,而按照程序所进行的控制在国外文献中则称为过程控制或行动控制(ActionControl)。我们知道,20世纪80年代以后管理领域最重要的创新,一是卡普兰和诺顿的平衡记分卡,二是哈默与哈林顿的业务流程再造/改进。我们发现,平衡记分卡除了作为业绩指标设置的依据之外,还是将长期性和总体性战略转化为短期性和局部性业绩指标的工具,也就说,利用平衡记分卡设计内控制度目标,就可以从一个方面将战略贯彻到内控制度设计和执行过程之中。而业务流程再造/改进由于其中流程优化阶段通常以企业的客户、股东或利益相关者的需要为标准,因而将战略导入流程、导入当事人的工作程序,换句话说,利用流程再造/改进设计内控制度程序,也可从另一个方面将战略贯彻到内控制度设计和执行过程之中。
值得注意的是,前面提到的三家企业的内控制度都包括有大量的流程,是否意味着他们在程序设计中贯彻了战略呢?答案是否定的。贯彻战略是一个自觉的过程,其具体做法包括绘制流程和优化流程两个步骤。绘制流程图最常用的有观察法、访谈法、串连图板法、作业投入产出法,还有比较贴近工程技术的方法诸如工艺视图、流程系统视图和企业流程信息图等。优化流程的方法至少有12种,即剔除官僚主义、剔除重复、增值评估、简化、缩减周期时间、错误预防、升级、语言简洁、标准化、建立供应伙伴关系、全面改进、自动化或者机械化等。这些优化方法都直接或间接地以客户、股东或利益相关者的需要为标准,从而将战略“嵌入”内控程序之中。平衡记分卡作为将战略转化为短期性和局部性业绩指标的工具,其使用步骤有二:一是按照平衡记分卡中每类指标下给出的目的(Objectives)、指标(Measures)、指标值(Targets)和(实现指标值的)措施(Initiatives)四个概念的顺序进行转化,并编制出内容完整、适合整个公司的平衡记分卡。亨格瑞(CharlesT.Horngren)等人在其《成本会计》中为此提供了具体实例。二是将整个公司的平衡记分卡按照组织层级向纵向、按照组织单横向细化,最终使每个层级、每个单位甚至个人都有一张与组织结构的上下左右相互联系的平衡记分卡,相关案例在中美文献中都可查阅。但必须指出,平衡记分卡的中文文献中大多错译了目的、指标、指标值和措施四个概念,使得平衡记分卡不可理喻。另外,中化集团公司采用先编制三年战略规划、再编制年度经营计划、最后编制预算和确定非财务指标,从而建立起以全面预算为核心的集团公司内控管理系统,其中也巧妙地将战略导入到预算和其他年度指标之中。
三、内控制度建设需要国家与企业分工合作
我国1999年修订的《会计法》中有关会计监督的规定在很大程度上可以看作为实现财务报告和合法合规性目标的内控制度程序的规定。正是因为如此,财政部嗣后发布了《内部会计控制规范》基本规范和具体规范。但是,有两点值得企业注意:一是单独的内部会计控制是否有效。从1992年和2004年的COSO报告看,答案是否定的;二是企业战略并非单纯竞争战略,还有生存战略和发展战略等,而且竞争战略在不同企业也有不同的内容,甚至可以说一家企业一种战略,一家企业按照自己的战略所设计和执行的内控制度数量可以达到成百上千个,是否有能力、有资源、有时间为每一家或每一类企业都设计具体的内控制度,答案也应该是否定的。
但是,企业内控制度是具有共同性的,因此,内控制度的制定和执行并不完全是企业自己的事情。从美国的经验看,在社会层面上需要三类机构:一类是像COSO一样的准学术性权威机构,其职能是针对现实的问题对已有的文献和经验进行梳理、评价和提升,为企业内控制度的建设、评价和改进提供框架、参照系或指南;另一类是像美国国会一样的立法机构,其职能是为企业是否和如何建立透明、可稽核的内控制度等提供法律基础(诸如《萨班斯一奥克斯利法案》中的404条款);第三类是像美国证券交易委员会一样的行政权威机构,其职能是就内控制度的实施制定政策或细则。我国1999年修订的《会计法》尽管仅限于财务报告目标、外延明显偏窄,需要进一步修订,但已经为我国企业内控制度建设提供了法源。我们认为,财政部应该是内控制度社会层面上的学术和行政权威机构并履行这两类机构的职能,因为内控制度不是会计控制,但有关保障财务报告目标实现的内控制度和经营目标中的财务业绩指标,在整个企业内控制度中仍然居于首要地位。且我国会计准则的制定权属于财政部,而不像美国那样属于具有民间性质的财务会计准则委员会。此外,我国除上市公司之外还有依然在国民经济中占主导地位的许多国有集团公司,财政部已经有以《会计法》监管和制定内控制度的经验,因此财政部比证监会和国资委更适合履行这种职能。就目前企业和社会实际需要看,财政部应优先做好两件事:一是制定内控制度监管政策和监管方式;二是制定内控制度和风险管理指南,重点界定内控制度或风险管理框架的定义和标准,指明内控制度设计和执行的方法等。至于其余工作,可由企业根据财政部规定和自身实际需要自行完成。
责任编辑 林燕
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号