时间:2020-03-19 作者:刘国峰 (作者单位:河北农业大学商学院)
[大]
[中]
[小]
摘要:
《企业内部控制基本规范》和《企业内部控制配套指引》的发布标志着我国企业内部控制规范体系已经基本建成,并将成为全面提升我国企业经营管理水平和风险防范能力的重要举措。然而,调查发现,我国有些上市公司在实施企业内部控制规范体系过程中,虽然根据企业内部控制规范标准并结合自身的经营特点和管理要求设计了内部控制制度,但其执行效果却不尽如人意。赵立新、胡为民(2011)在对我国沪、深两市1267家上市公司执行企业内部控制情况进行调查后发现:有92%的上市公司对企业内部控制建设的重要性有认识;有80%的上市公司重视企业内部控制建设;但有59%的上市公司的企业内部控制却没有实现预期的执行效果。缘何企业制定内部控制制度容易,而有效实施却很难呢?毋庸置疑,问题的关键在于企业的管理者。那么,企业管理者又是出于何种考虑来做出具体抉择呢?
一、企业内部控制的功能差异与目标融合
纵观国内外有关文献,从企业内部控制的起源和功能来看,可以将其分为两类,一类是作为管理方法的内部控制,另一类则是作为审计方法的内部控制。
1911年,泰罗的《科学管理的原理》问世,使管理控制成为系统化的知识并替代了传统的经验法则,进而使企业生产...
《企业内部控制基本规范》和《企业内部控制配套指引》的发布标志着我国企业内部控制规范体系已经基本建成,并将成为全面提升我国企业经营管理水平和风险防范能力的重要举措。然而,调查发现,我国有些上市公司在实施企业内部控制规范体系过程中,虽然根据企业内部控制规范标准并结合自身的经营特点和管理要求设计了内部控制制度,但其执行效果却不尽如人意。赵立新、胡为民(2011)在对我国沪、深两市1267家上市公司执行企业内部控制情况进行调查后发现:有92%的上市公司对企业内部控制建设的重要性有认识;有80%的上市公司重视企业内部控制建设;但有59%的上市公司的企业内部控制却没有实现预期的执行效果。缘何企业制定内部控制制度容易,而有效实施却很难呢?毋庸置疑,问题的关键在于企业的管理者。那么,企业管理者又是出于何种考虑来做出具体抉择呢?
一、企业内部控制的功能差异与目标融合
纵观国内外有关文献,从企业内部控制的起源和功能来看,可以将其分为两类,一类是作为管理方法的内部控制,另一类则是作为审计方法的内部控制。
1911年,泰罗的《科学管理的原理》问世,使管理控制成为系统化的知识并替代了传统的经验法则,进而使企业生产效率得到大幅度提高。20世纪中期,许多学者开始从控制论和系统论的角度来研究和扩展管理控制理论,尤其是目标管理理论的提出使管理控制理论得以创新和发展。20世纪90年代以来,随着管理信息系统的发展,流程再造和价值链等概念再次丰富了管理控制理论(李心合,2007)。与此同时,作为审计方法的内部控制起源于以职责分工为特征的“内部牵制”并得到不断发展。1949年美国公共会计师协会(AICPA)将内部控制定义为:“包括在组织内部采用的以保证资产安全性、核查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施为目的的计划以及所有与之相协调的方法和措施。”1958年美国会计程序委员会(CAP)提出内部控制包括会计控制和管理控制两部分并强调“独立审计师主要考虑与会计有关的控制”。1992年,美国COSO委员会发表的《内部控制——整合框架》成为研究作为审计方法的内部控制的经典文献。
值得说明的是,作为审计方法的内部控制与作为管理方法的内部控制在功能上存在着很大的差异。作为审计方法的内部控制的首要功能是维护财务报告的可靠性。按照2004年COSO报告的解释,当作为审计方法的内部控制的目标和管理者的目标发生冲突时,强调“有效的企业风险管理对企业呈报目标和遵循性目标的实现提供合理保证程度优于战略目标和经营目标。”然而,作为管理方法的内部控制在功能上是服从企业价值创造的。企业价值最大化已经成为当今企业的主要经营目标,以价值创造为基础或核心已经成为企业管理当局实施管理控制的首要任务,谋求企业价值最大化的目标定位也已经被理论界和实务界普遍认可。作为管理方法的内部控制正是通过有效地获取和利用企业的各种资源来实现企业的价值创造(李心合,2007)。
目前,我国的企业内部控制规范体系已经完成了由“企业内部会计控制”向“企业内部控制”的转型,其实质是作为审计方法的内部控制向两类内部控制同时并存的过渡。我国《企业内部控制基本规范》第三条第二款规定,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实、完整,提高经营效率和效果,促进企业实现发展战略。这正是作为审计方法的内部控制和作为管理方法的内部控制两种功能的集中体现,其中,“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实、完整”更加倾向于作为审计方法的内部控制,必须通过风险防范得以实现,并且风险防范投入的资源越多,就越有利于上述目标的达成;而“提高经营效率和效果,促进企业实现发展战略”则侧重于作为管理方法的内部控制,必须通过企业价值创造得以实现。进一步研究发现,在通常情况下,上述两类目标是一致的,即企业通过内部控制防范各种风险,从风险评估到采取相应的控制措施,最终实现“企业经营管理合法合规、资产安全、财务报告及相关信息真实、完整”的目标,同时也有利于企业实现“提高经营效率和效果,促进企业实现发展战略”的目标,两者并不矛盾;但有时上述两类目标也存在着冲突,冲突的主要原因是对企业风险的过分关注和过分麻木都有可能会损害企业价值创造。也就是说,如果企业在制定和实施企业内部控制制度过程中,对企业风险表现得过分麻木就会出现内控缺失,对企业风险表现得过分关注就会出现内控过度,两者都将给企业的价值创造带来不利影响。我国企业内部控制规范的目标要求企业在执行内部控制时必须对风险防范和价值创造进行综合考虑,并且风险防范要服务于价值创造。
二、企业内部控制风险防范和价值创造的关系
众所周知,一个企业的存在主要是为利益相关者提供价值。同时,企业在创造价值过程中都要面临来自企业内外部的各种风险。可以说,有风险并不可怕,可怕的是没有风险意识,不能准确地识别风险,不能采取恰当、有效的风险应对策略。现实中,风险有时会增加企业价值,有时会破坏企业价值,因此企业的管理者总是要在价值创造和风险防范之间做出最优平衡,尤其是在企业内部控制执行中,这一点表现得非常突出,即企业在内部控制执行过程中总是要对执行成本和预期收益做出比较和选择(如图所示)。
在企业内部控制实施过程中,风险防范主要是由风险评估和控制活动两个关键要素组成的。风险评估是指企业要及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略,具体包括目标设定、风险识别、风险分析和风险应对。控制活动是指企业要根据风险评估结果,采用相应的控制措施,将风险控制在可承受范围之内,具体包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制。这里的风险承受度是指企业能够承担的风险限度,泛指各方面风险承受能力和水平。当前,我国大多数上市公司的内部控制规范体系构建的主要内容是侧重风险防范的。在实际工作中,要使内部控制中的风险防范功能得以发挥,就必然要支付相应的执行成本,并且,执行成本的投入量与风险大小呈负相关,即在风险防范控制方面投入的人力和财力越多,控制的效果会越好,风险降低得越多,企业的风险会越小;然而,企业的经营风险与企业的预期收益在一定条件下却呈正相关,也就是说,有时候企业内部控制化解了风险也破坏了价值。如图所示,在企业执行内部控制过程中,OA阶段表示企业内部控制首次执行期间,AB阶段表示企业内部控制良性运行期间,BT阶段表示企业内部控制过度运行期间。假设随着时间的推移,企业用在风险防范上的执行成本不断增加,内部控制在运行过程中的风险防范和价值创造关系如表所示。
三、风险防范和价值创造在内控运行中的体现
首先,内控缺失阶段(OA阶段)。企业执行内部控制就会不可避免地在首次执行期间发生直接遵循成本以及其他成本。直接遵循成本具体包括因企业原来没有内部控制体系而需要新建、企业虽然有内部控制体系却未能得到妥善维护而需要完善、因企业对国家出台的内部控制规范体系做出的规定不够了解而需要举行全员培训、因企业内部控制建设工作计划或设计不够科学等原因造成的重复工作或浪费、因企业内部控制所需的财务和时间计划不足而出现重新测试、改善和布点循环、因缺乏内部控制文档及储存流程、因外包、审计和咨询费用的提高以及软件和信息系统的一次性投入等原因导致的相关成本的发生。除直接的遵循成本之外,企业执行内部控制还存在着间接成本,比如因转移了管理者的注意力使得运转效率下降、影响公司竞争力等。在这个阶段,随着企业对风险控制投入的不断加大,内部控制体系不断完善,企业风险会逐渐降低,企业因实施内部控制而带来的预期收益会不断增加,但收益仍然会低于成本。如果企业管理者此时过分关注短期利益得失,对风险反映迟钝,可能会削弱其实施内部控制的动力,最终使企业内部控制流于形式,甚至在企业关键业务环节出现内控缺失的问题。
其次,内控适度阶段(AB阶段)。在后续年度里,由于企业已经建立了有效的内部控制框架并得到运行,不再像首次执行那样需要建立很多控制点、更改流程或业务活动,由于企业员工的熟悉程度不断提高,从而减少了对时间或人员的需求,时间压力得到释放,咨询费用也会降低。同时,随着新的内控规范习惯的逐渐形成,原来因实施新的内部控制规范而产生的在员工之间、部门之间以及企业与客户之间的不适应或抵触情绪逐渐消失,由此而产生的摩擦成本也逐步降低直至消失。此时,企业因执行内部控制规范使资源重整进而使企业经济效益得到提高。尽管迄今为止理论界和实务界尚不能精确计量企业的利润总额中到底有多少是属于因实施企业内部控制而带来的,尽管内部控制似乎是一个与成功无缘而只与失败相伴的管理制度(杨雄胜,2006),但企业的管理者总是能从别的企业(同行或竞争对手)的失败教训中认识到自己企业实施内部控制的重大价值。在这个阶段,企业的内部控制预期收益远大于执行成本,体现为适度状态。如果在风险防范方面继续加大投入,企业就会因风险降低而破坏收益直至收益低于成本。可以说,这一阶段中的企业风险都在企业的风险承受度之内。
最后,内控过度阶段(BT阶段)。如果企业管理者过分关注风险,以企业风险最小化为出发点,不断通过强化企业内部控制来加大风险防范力度,将使企业的内部控制进入过度阶段,并将会从两个方面对企业价值创造产生不利影响:一方面会贻误商业机会。面对商业竞争,捕捉商业机会对企业发展来说是至关重要的,但这并不是说就不需要控制。问题是一个成功的企业需要在捕捉机会与控制风险之间进行权衡,很显然,风险最小化并不是权衡的出发点或原则。另一方面对风险最小化的追求需要设计一套复杂、烦琐的控制程序以便将错误和舞弊控制在最小的限度内,这会导致企业决策和行动速度缓慢,企业对市场的反应速度和能力下降,从而引发企业失败。现实中,人们对内控问题所引起的企业失败的关注其实并不全面,人们往往注重内控缺乏而忽视内控过度问题,其实内控过度问题很常见(Michael Jensen,2004)。它与内控缺失产生的原因的区别就在于,内控缺失往往是因为企业低估自己所面临的风险,而内控过度则是因为企业高估自己所面临的风险。
据调查,目前我国沪、深两市有86%的上市公司对自身的企业内部控制水平表示满意,79%的上市公司认为“因内部控制失效导致的经营失败不会发生在本公司”,但有95%的上市公司认为“因内部控制失效导致的经营失败会发生在其他公司”。这种对自身内部控制水平的“高估”和对其他公司内部控制水平的“低估”充分体现了我国上市公司管理者对内部控制风险的认识存在严重的偏差(赵立新,胡为民;2011)。也正因为这样,我国一些上市公司的管理者在执行内部控制制度时缺乏内在动力,致使企业内部控制规范体系的构建仅仅停留在制度设计阶段而不能真正有效实施,造成企业的内部控制制度连篇累牍、形同虚设,企业关键业务环节却控制缺失。因此,当前在我国上市企业实施内部控制就非常有必要借助法律手段约束和行政手段检查,通过外部压力来促使企业实现内部控制的有效实施。
综上所述,企业内部控制的制定和实施是一个动态演进的过程,企业内部控制的目标是风险防范和价值创造二者的有机结合,并最终服务于企业价值创造。作为“理性人”的企业管理者,在执行企业内部控制时必然要权衡由此项活动而产生的成本和收益,当认为预期收益大于成本时,就会重视企业内部控制建设,反之,则会懈怠或放弃。企业的管理者能否对执行企业内部控制而产生的执行成本和预期收益进行合理的权衡,关键在于对企业所面临的风险的正确认识和科学评估。因此,增强企业管理者的风险防范意识,提高企业对风险的识别和评估水平,是保证企业内部控制有效实施的重要途径。■
[本文系河北省软科学研究计划项目《基于COSO框架的企业内部控制运行成本和预期效益均衡研究》(项目编号:114572129)的阶段性研究成果]
责任编辑 李斐然
相关推荐