时间:2021-01-06 作者:陈利花 本刊记者
[大]
[中]
[小]
摘要:
2009年4月26日,由中国会计学会内部控制专业委员会主办、北京工商大学商学院承办的“内部控制与风险管理论坛”在北京举行。来自财政部会计司、中国会计学会、国内各大高校、大型企业的代表100多人参加了本次论坛。论坛开幕式由北京国家会计学院院长、内部控制专业委员会主任委员高一斌主持。参会代表就企业内部控制的理论和实务问题进行了深入研讨和经验交流。此次论坛有破有立,为探寻内部控制标准体系与风险管理之道指明了方向。
我国内控标准体系的最新进展
内部控制与风险管理是当前理论界与实务界的热门话题。为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,2008年6月财政部等五部委联合发布了《内部控制基本规范》(以下简称基本规范)和三个配套指引(《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,以下分别简称应用指引、评价指引和审计指引)征求意见稿,财政部会计司司长刘玉廷在论坛上就我国企业内部控制标准体系建设的进展情况做了介绍。刘司长指出,...
2009年4月26日,由中国会计学会内部控制专业委员会主办、北京工商大学商学院承办的“内部控制与风险管理论坛”在北京举行。来自财政部会计司、中国会计学会、国内各大高校、大型企业的代表100多人参加了本次论坛。论坛开幕式由北京国家会计学院院长、内部控制专业委员会主任委员高一斌主持。参会代表就企业内部控制的理论和实务问题进行了深入研讨和经验交流。此次论坛有破有立,为探寻内部控制标准体系与风险管理之道指明了方向。
我国内控标准体系的最新进展
内部控制与风险管理是当前理论界与实务界的热门话题。为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,2008年6月财政部等五部委联合发布了《内部控制基本规范》(以下简称基本规范)和三个配套指引(《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,以下分别简称应用指引、评价指引和审计指引)征求意见稿,财政部会计司司长刘玉廷在论坛上就我国企业内部控制标准体系建设的进展情况做了介绍。刘司长指出,基本规范发布后在国际上反响比较大,总体评价很好。基本规范借鉴了美国COSO报告和欧盟等好的做法和经验,同时也结合了中国实际且有很多创新,但基本规范只是个原则和框架,因此确定了三套指引作为配套,其中,应用指引主要是围绕企业的,内容从公司治理、控制环境开始到流程、控制点,覆盖了企业经营管理的全过程;评价指引要求企业实施内部控制时要进行自我评价,企业管理层特别是董事会要每年或定期对内部控制的设计和运行情况进行评价,年度终了要出具内部控制自我评价报告;审计指引是指在企业应用了应用指引、进行自我评价后,要由注册会计师和具有证券资格的会计师事务所对企业内控的应用、设计和运行以及自我评价情况单独出具审计意见,这是一项重要的制度安排。基本规范加上配套的三套指引就是中国的企业内控标准体系,其中基本规范明确了内控的目标,规定了内控的原则及要素,同时围绕要素作了相关的安排和规范,而三个配套指引则主要解决操作性的问题。
刘司长表示,目前应用指引、评价指引和审计指引已进入会签阶段,正在会签的三套指引较之前的征求意见稿作了重大调整。首先,应用指引由原来的18个项目增加到21个,即在原来基础上增加了担保、财务报告控制、业务外包这三个与企业实际关系密切的项目。其次,评价指引比之前充实很多,包含了内部控制自我评价报告的格式、目录、工作底稿以及如何评价。第三,审计指引中明确规定会计师事务所对企业财务报告进行审计的同时可以对其内部控制进行审计,但不允许既为企业设计内控制度,又对其内控进行审计。第四,基本规范的执行时间和范围也作了调整。执行时间从2009年7月1日推迟到2010年1月1日,企业要到2010年年底出具内部控制自我评价报告。同时考虑到创业板公司规模较小,而执行成本较高,故目前拟定于在境外上市公司中先行执行,同时,鼓励其他企业自愿执行。因为境外上市公司的报告中有一部分是对内部控制的报告,比较容易单独出具。
理清关系 认清内部控制与风险管理
从我国企业的内部控制实践来看,上市公司对内部控制理论的理解,尤其是基本规范和相关指引的应用方面还存在一些误区,因此有必要理清相应的关系,树立正确的理念,以更好地推进内部控制理论和实务的健康发展。北京工商大学副校长谢志华认为,企业是一组契约的集合,而且需要四个主体提供四种要素才能运转并产生经济效益,即所有者提供物质要素,经营者提供决策要素,员工提供执行要素,政府提供环境要素。四个主体所提供的四种要素的稀缺程度不同,与要素提供者之间的关系也不同。无论存在何种差异,这四个主体在签订设立合约时的地位是平等的契约关系,但一旦企业进入运行状态,就必须建立科层组织,形成科层的等级关系,通过自上而下的指令来确保决策的全面执行。因此,平等的契约关系和科层的等级关系决定了企业内部控制的本质及其结构。其中,契约关系所形成的企业内部控制的本质是制衡,科层关系所形成的内部控制的本质是监督。据此,内部控制的结构就自然表现为由制衡和监督决定的两种内部控制结构。一般来说,当企业相关利益主体和企业内部各分工主体的利益被侵蚀时,应以制衡的方式形成内部控制,而当企业不同层次主体确定的责任目标不能被实现时,应以监督方式形成内部控制。
上海财经大学教授朱荣恩认为,企业做好内部控制要正确处理好六方面的关系:一是正确认识内部控制五要素之间的内在联系。控制环境是内部控制的基础,风险评估是内部控制的依据,控制活动是实现控制目标的手段,信息沟通是载体,监控是内部控制目标的保证。二是正确理解内部控制的要素、目标及实施主体的关系。它们之间是相互融合的,任何一个目标的实现都需要所有的实施主体共同努力,并体现在每个要素的构成里。三是正确理解内部控制与风险管理的关系。内部控制与风险管理并非平行的关系,内部控制是风险管理的重要组成部分,而风险管理则是内部控制的发展和延续。四是正确理解内部控制五要素与应用指引的对应关系。内部控制是一个整体框架,包括要素、目标和实施主体,因此其落地生根也不仅仅是要素与应用指引的对应,而应该是整个理论框架与各个业务进行融合的结果。五是正确理解内部控制与企业管理制度的关系。从本质上讲,内部控制是框架、要素、成分,而企业管理制度则是直接面对企业具体业务的。因此不应简单地把制度转入内控,而应把内控的要素、成分嵌入到企业的日常管理要求之中。六是正确认识IT平台在内部控制中的应用问题。IT平台并非是实施内部控制的必备条件,一些内部控制的要素、内容、控制活动甚至无需借助IT平台也能实现。
清华大学教授陈关亭也提出几个问题供大家思考。一是风险管理与管理到底是什么关系。陈教授认为,风险管理和机会管理构成了企业管理的全部,风险管理虽不能直接创造价值,但能避免减少损失,从而间接创造价值,所以风险管理在企业管理中起辅助作用。现在的管理应既重视机会管理又重视风险管理,将风险管理融入到管理之中,渗透到业务之中。二是风险管理和内部控制到底是什么关系。陈教授认为,内部控制提升一步就是风险管理,反过来说,风险管理应该取代内部控制,因为一个企业只能有一套系统,不可能既有风险管理系统又有内部控制系统。三是内部控制究竟能否保证财务报告的可靠。从理论上说,内部控制有效能够保证财务报告可靠,但现实中虚假财务报告大量存在,因而企业也有可能会去超越内部控制。四是公司层面的控制和业务层面的控制能否贯通。陈教授认为,两者不仅能够贯通并且应该贯通。
企业权力的源泉在于股东,企业内部控制是否应该考虑股东层面的因素并将其融入其中?对此,中山大学教授魏明海认为,目前的基本规范仍有些薄弱环节,如对股权交易和股东权利方面的内部控制很少,没有斩断大股东与经理层之间的合谋,也难以限制股东之间的合谋。魏教授认为可以通过三方面来约束股东合谋:一是可以加强对股东股权交易的内控,包括交易方面和信息披露方面的监管,这些因素会影响企业价值。二是更加关注股东权益保护的内部控制,强化甚至增加股东权益保护比如信息披露内部交易、股利分配方面的内部控制。三是基本规范和具体规范中应该融入善意行使控制权方面的内容,因为善意行使控制权是处理股东关系的很重要的一个法律精神。
审视现状 建立健全内部控制
北京国家会计学院教授郑洪涛从内部控制目标实现、规范遵循、具体方法、组织体系和监督检查五个方面对我国企业内部控制的实施现状做了全面的调查。调查显示,目前内部控制在我国企业中的应用效果并不十分理想,但企业具有开展内部控制建设的积极性;基本的、传统的内部控制方法如职务分离控制、授权审批控制和会计系统控制在企业中已得到较好的运用,先进的、非传统的内部控制方法如绩效考评控制等仍有待进一步推广运用,并且重点内部控制方法如预算控制等仍需给予特别关注;内部控制的重大决策权掌握在管理层的企业比例高达55%,而内部控制的日常管理仍然停留在比较传统的模式,主要由内部审计部进行或由财务部和内部审计部联合进行;内部控制监督检查主要由内部审计部来实施,并且内部审计机构的独立性和权威性有所提高。
徐州工程机械集团有限公司总会计师吴江龙认为,企业内部控制规范的建立与实施必须要借助一个“载体”,这个载体就是企业的财务工程体系。企业的财务工程体系与企业的内部控制规范密切相关。首先,内部控制的五大要素在财务工程体系中均有明确的反映,如财务工程体系中的远景目标、合理的财务组织结构、财务经营管理者的素质和权利定位等均反映的是“控制环境”;财务工程体系中管理工具之风险评估与预警与内部控制中的“风险评估”并无实质上的差异;财务工程体系中的科学管理工具和有效的管理程序(如预算管理、财务会计报告体系、平衡计分卡管理、企业ERP等)反映的均是基本规范中的“控制活动”;财务工程体系中的财务会计信息报告、企业ERP信息系统、企业OA办公信息系统等同时也反映的是基本规范中的“信息与沟通”;财务工程体系中的内部审计反映的是基本规范中的“监督”。其次,财务工程体系以企业的各种业务运营为基础,分别从企业战略、策略和运营层面建立了全面、完整的经济循环业务流程,如投资、研发与试制、采购、制造和销售等具体业务循环流程。这些流程涵盖企业经营管理的各个方面、环节,是企业内部控制的主要内容。因此,借助于财务工程来实施内部控制可以起到事半功倍的效果。
中国神华能源股份有限公司内控审计部总经理李国忠也谈了其所在企业内控体系的建设与完善情况。中国神华借鉴国际先进经验,在理论和实践上探索出一条适合公司企情的内部控制体系建设模式,即以风险管理为导向的内部控制体系,该体系从风险评估入手确认需重点管控的重大风险,针对确定的风险再造风险管控流程,开展年度检讨、实施管理改进,以内控为基础向全面风险管理提升。同时中国神华在建设以风险管理为导向的内部控制体系过程中也深切感到,内控与风险管理是企业的免疫系统,内控与风险管理工作是否有效事关企业的成败。
完善标准 助力内部控制评价及鉴证
北京工商大学商学院院长杨有红对我国2007年沪市上市公司内部控制自我评价情况做了介绍。他指出,2006年沪市上市公司中只有30家公司公布了内部控制自我评价报告,占所有沪市上市公司的3.5%,2007年沪市上市公司中有144家公布了内部控制自我评价报告,占比上升到16.7%。这些公司基本上都是依据基本规范和上海证券交易所的《上市公司内部控制指引》这两个标准来评价的。杨教授分析指出,虽然出具自我评价报告的公司出现会计差错更正、被出具非标准无保留意见和受证监会处罚的很少,但在评价方面还存在一些问题,如评价依据缺乏统一性、自我评价意识不强、评价成本过高等。因此,在评价目标的选择方面应强调强制性和鼓励性相统一,同时应细化有效性评价的标准,提高标准的可操作性。另外,还应将经济性纳入评价标准,强调有效性与经济性的统一。
针对目前内部控制评价标准不统一、评价方法较少等问题,天津财经大学汪士果提出了“基于AHP的企业内部控制模糊综合评价”的解决思路,认为引进系统工程方法AHP和模糊评价方法可以实现由定性到定量、由局部到综合的转变,提高评估的系统性和科学性,而且能够分别从控制目标、风险要素、流程控制等多角度对内部控制进行评价,既能评价内控措施整体有效性,又能够分别进行健全性和遵循度评价。
北京工商大学商学院教授王斌认为,股东风险控制的期望需通过外部审计额外增加的“风险提示服务”来满足,由此外部审计被赋予了其应有的社会价值;而经营者风险管理则需要通过重新界定内部审计职责(流程导向的内部控制检查与财务审计、内部风险评估和关键风险因素的确定、出具风险管理报告)来规范,由此内部审计被赋予了其应有的组织价值。另外,王教授还认为,内部审计人员不仅需要更新观念,而且需要提高知识和技能,如此才能更好地实现经营者的风险管理目标。
时至今日,国内外上市公司纷纷建立起审计委员会对公司经营状况及内部控制进行审计,但中央民族大学管理学院教授李书锋认为,目前我国上市公司虽基本设立了审计委员会,但上市公司对股民的“掏空”行为以及公众投资者缺乏话语权和强大的监管保护等问题依然存在,因此新兴的审计委员会该如何设置,才能保障其行使职权时遵守成立目的和独立性,审计委员会是否又是另一个形同虚设的“监事会”;在我国股权改革以及公司治理结构不完善的情况下,完全照搬国外把审计委员会设置在董事会下面,是否有利于其监管目的的发挥,是否能保证其维护中小股东在内的弱势群体利益,仍然值得进一步研究和探讨。
相关推荐