試論現代企業內部控制制度
內容提要:強化企業的內部控制已經成為發達國家治理公司的重要手段,在國際上的研究已日漸成熟。本文從國際內控理論研究的不同發展階段對企業內部控制的不同認識出發,幫助人們深刻理解內部控制的內涵;通過對目前我國企業內部控制存在問題的分析,論述建立和完善企業內部控制的緊迫性和必要性;按照國際先進內控模式——COSO報告關于內控系統的整體框架要求,從控制環境、風險評估、控制活動、信息與交流和監督評審五個方面入手,提出本人對建立健全我國企業內部控制制度的幾點淺見。
內部控制制度是社會經濟發展到一定階段的產物,是現代企業管理的重要手段。我們知道,有關企業經營的失敗、會計信息失真、違法經營等情況在很大程度上都可以歸結為企業內部控制制度的缺失或失效,諸如我國巨人集團的倒塌。鄭州亞細亞的衰敗,震驚中外的瓊民源、銀廣廈事件的發生,乃至美國安然公司的破產等等這些現象,無不與企業內部控制制度有著一定的關系。因此,完善企業內部控制制度,保證會計信息質量,對于完善公司治理結構和信息披露制度,保護投資者合法權益,并保證資本市場有效運行,有著非常重要的意義。本文擬對此進行初步的探討。
一、 內部控制的理論發展
內部控制具有其科學的定義和豐富的內容,只有深刻理解內控的內涵才能明確如何強化內控。縱觀歷史上對內部控制的理論研究大致上分為四個階段:
(一)內部牽制階段
內部牽制這個概念最早于1905年由L.R.Dicksee提出,他認為,內部牽制由三個要素構成:
職責分工、會計記錄、人員輪換。當時的內部牽制是基于以下兩個基本設想:1、二個或以上的人或部門無意識地犯同樣錯誤的機會是很小的;2、二個或以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。實踐證明這些設想是合理的,內部牽制機制確實有效地減少了錯誤和舞弊行為,因此在現代內部控制理論中,內部牽制仍占有重要的地位,成為有關組織機構控制、職務分離控制
的基礎。
(二)內部控制階段
1949年,美國會計師協會的
審計程序委員會在《內部控制,一種協調制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中,對內部控制首次作了權威性定義:“內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施。這些方法和措施都用于保護企業的財產,檢查會計信息的準確性,提高經營效率,推動企業堅持執行既定的管理政策。1958年10月該委員會發布的《審計程序公告第29號》對內部控制定義重新進行表述,并將內部控制劃分為會計控制和管理控制。
(三)內部控制結構階段
1988年美國
注冊會計師協會發布《審計準則公告第55號》,提出了“內部控制結構”是為了對實現特定公司目標提供合理保證而建立的一系列政策和程序構成的有機總體,包括控制環境、會計系統及控制程序三個部分。《審計準則公告第55號》從1990年1月起實行,自此,《審計程序公告第29號》中將內部控制劃分為內部管理控制和內部會計控制的提法也被“內部控制結構”所取代。
(四)一體化控制階段
八十年代以來,虛假財務報表時有發生。為此,美國成立了“反虛假財務報告委員會”,下設專門致力于內部控制研究的“發起組織委員會”,簡稱COSO。COSO于1992年提出了題為“內部控制——整體框架”的研究報告,這就是著名的COSO報告。審計準則委員會于1995年發布了《審計準則公告第78號》,全面接受了COSO報告的觀點,并自1997年1月起生效。新準則將內部控制定義為:“由一個企業的董事長、管理層和其他人員實現的過程,旨在為下列三大目標提供合理保證:1、經營的效果和效率(操作性目標);2、財務報告的可靠性(信息性目標);3、符合適用的法律和”法規(遵從性目標)”。這三大目標既能滿足不同的需要,又相互交叉。是一種“全部控制論”的概念。在COSO報告中,認為內部控制涵蓋了企業內部五大組成部分的豐富內容:控制環境、風險評估、控制活動、信息與交流和監督評審。這五大組成部分與前述三大目標有機地相結合,構成了內部控制的完整體系。COS0報告旨在為各行各業提出這一思路的。我國的企業工作者很有必要適應形勢,轉變觀念,從內控的三大目標出發,去考察本單位上述五大組成部分的各個方面,看是否建立了健全的內控制度,而且看這些制度是否得以認真貫徹實施。
二、現行企業.內部控制中存在的主要問題
(一)對內控認識不足
改革開放二十多年來,對于國有企業,只是一味地批評計劃經濟制度管理得太嚴太死,因此在改革中十分重視經濟權利的下放,然而,卻淡漠了經濟活動內部的至關重要的控制機構,甚至連國有企業多年來積累的內部控制經驗也都給放掉了。事實上,并非所有企業都只是靠宏觀體制的改革才能發展的,關鍵是企業微觀領域的改革不能滯后于宏觀體制的改革,這也許正是為什么有的企業的在改革中充滿了生機,而有的企業卻被市場所淘汰的原因所在。目前一些企業特別是有些國有企業對內部控制的認識存在兩種傾向值得注意:一是一部分人習慣于甚至滿足于傳統的經營管理方式,認為只要能夠規范化操作就行,不必考慮是否先進。二是雖然大家意識到改革的必要性,但是容易片面強調改革組織結構的重要性,忽視了控制方式的跟進和強化。這就使公司的改革同微觀治理機制相脫離。不論是維持傳統的經營管理方式,還是片面以改革取代控制的觀念,對企業的發展都是不利的,這些認識上的偏差都將阻礙著企業內控的發展和完善。
(二)產權關系不明
產權制度改革是公
司法人治理結構的核心,而規范的公司法人治理結構,關鍵要看董事會能否充分發揮作用。但在我國現階段,公司的法人治理結構不夠完善,甚至是有形無實,尤其體現在董事會這一重要機構沒有發揮應用的職能。有不少國有企業在改革過程中,一味地“放權讓利”,致使原廠長負責制的領導班子現在既是經理層又進入董事會,董事會成員和經理成員高度重疊,致使國有單位產權主體缺位、權責不清,加強內部控制的受益主體模糊。根據有關抽樣資料
統計,在上市公司的董事會成員中,100%為內部董事的公司占有效樣本數的22.1%,50%以上為內部董事的公司占有效樣本數的78.2%,董事長和總經理一人兼任的公司占總樣本的47.7%,由此可見,公司董事會在很大程度上掌握在內部人手中。而應該作為所有者產權代表的董事會,既不能充當所有者的“守護神”,又不能代表所有者對經營者進行監督。這種責權不分的公司治理結構,導致所有者對經營者不能實施控制,作為代表公司股東的控制主體——董事會也就形同虛設。
(三)人員素質不齊
“水至清則無魚”,內控制度加強了,貪污舞弊、侵吞資產、弄虛作假容易了,那些私心重、想“撈一把”的法人代表以及某些員工就不那么愿意了。還有一些法制觀念淡薄的國有企業的法人代表,“嚴以律人,寬以待己”,只喜歡約束別人的“內控制度”,而討厭約束自己的內控制度。也有一些國企或私企法人代表的業務素質較低,根本不懂內控制度為何物,當然也就談不上加強內控制度建設了。讓思想和業務素質很低的人去管理企業,又如何能搞好內控建設呢?
(四)監督機制不全
目前有很多企業監督評審主要依靠內審部門來實現,而有些企業的內審部門隸屬于財務部門,與財務部同屬一人領導,內部審計在形式上就缺乏應有的獨立性。另外,在內審的職能上,很多企業的內部審計工作僅僅是審核會計帳目,而在內部稽查、評價內部控制制度是否完善和企業內各組織機構執行指定職能的效率等方面,卻未能充分發揮應有的作用。
三、 現代企業內部控制制度的框架設計
按照COS0內控理論,結合我國現行企業內部控制中存在的主要問題,我認為,構建現代企業內部控制體系可以從五個方面入手,即
(一)完善企業的控制環境
任何企業的控制活動都存在于一定的控制環境之中,控制環境的好壞直接影響到企業內部控制的貫徹和執行以及企業經營目標及整體戰略目標的實現。控制環境中的要素有價值觀、組織結構、控制目標、員工能力、激勵與誘導機構、管理哲學與經營風格、規章制度和人事政策等等。主要的問題是管理層要充分說明內控的完整性;公司要有積極的控制環境,使整個組織中的員工具有控制覺悟和自覺的控制態度,特別是高級管理層要積極地進行控制;員工的能力與其責任要相匹配。控制環境中的要素很多,對對于企業來說,不是短時間內就能改變的。要改善企業內部控制環境,我想首先要做好如下幾項工作: 1、加快現代企業產權制度改革。真正實現產權明晰、權責清楚、管理科學、政企分開的現代企業制度,從產權制度上保證內部控制制度有效建立。
2、要有明確的內部控制主體和控制目標。控制主體解決了由誰進行內部控制的問題,而控制目標則解決了為什么要進行控制的問題。我們知道,企業內部由四種經濟主體所組成,相應地,企業內部也有四種控制主體,即股東、經營者、管理者和普通員工,這四種控制主體都有各自的控制目標,股東的目標是財富最大化、財產安全、能獲得如實報告;經營者的目標是實現既定的經營目標、不斷增加經營效益;管理者的目標是完成責任目標、資產安全、獲得業務運行的真實報告。只有在控制主體及其控制目標明確情況下,才能實施有效控制。
3、要有先進的管理控制方法和高素質的管理人才。管理控制方法作為管理當局對其他人的授權使用情況直接控制和整個公司活動實行監督的一種方法,包括很多內容:如,制定企業各項管理制度、編制各項計劃、業績與計劃考評、調查與糾正偏離期望值的差異等,這些方法對于不同規模和不同復雜程度的企業均十分重要。要具有先進的管理控制方法,還需輔以積極的人事政策,要能培養和引進一批具有高素質、掌握先進的管理方法的人才隊伍,來改善企業的經營管理觀念、方式和風格,培養全體員工良好的道德觀、價值觀和全員控制意識,從而形成一個特定的企業文化氛圍。
(二)進行全面的風險評估
控制環境中包括的要素很多,但考慮成本效益原則,并不是所有的要素都有采取內部控制的價值,只需針對那些具有風險并且會影響有關控制目標實現的可控要素進行控制。在風險評估中可以采用如下的風險管理模型:
工作目標-風險評估-控制風險的措施
工作目標是風險評估的起點,是控制環境中的要素,只有明確工作目標,才能識別控制環境的各個要素中,哪些要素存在影響工作目標實現的風險,通過對風險程度的評估,采取積極有效的控制措施,保證其工作目標的實現。下面以財務部為例,按照風險管理模式對財務部可能存在的風險進行評估。
1、財務部的工作目標。財務部屬于企業的管理層,其工作目標是為董事會和經理層提供及時、準確、完整的財務報告。
2、風險評估。為了能夠達到財務部的工作目標,在分析控制環境中的各個要素時就可能發現:
(1)人員素質不高,不能按照
會計法規做事。
(2)越權管理,讓不該做某事的人做了事,如,出納既做現金賬又負責支付現金; 而應該做事的人卻不能在正確的時間里去做事,如總賬會計到月底還不能完成上個月的會計報表。
(3)信息系統發生錯誤,從而提供了不正確的數據。 由此可見,控制環境因素中人員和信息系統可能成為引起財務報告不及時、不準確、不完整的風險要素,因此,財務部應該對這兩個關鍵控制點的風險程度進行評估,以便在下一環節中采取有效的控制措施。
(三)設立良好的控制活動
控制活動是確保管理階層的指令得以實現的政策和程序。控制活動出現在整個企業內的各個階層與各種職能部門,涉及的控制對象包括人、財、物、產、供、銷等各個方面,而控制措施是針對各關鍵控制點而制定的,因此,企業在制定控制活動時關鍵就是要抓住關鍵控制點。仍以財務部為例,對可能影響到財務部工作目標實現的人員和信息系統這兩個關鍵控制點實施控制。
1、針對人員的控制活動
(1)職責分離
財務部應按照職責分離原則劃分各個人的工作,特別是一些不相容職務要實行嚴格分離。如,記錄現金收入和支出的人員不應負責調節銀行賬戶;出納人員的稽核、會計檔案保管和收入、支出、費用、債權債務帳目的登記工作的
崗位不能由一人負責;在手工會計系統中,登記應收賬款的總賬和登記顧客明細帳的崗位應該分離等。通過職責分離可以有效降低控制風險,比如:將處理現金支出交易同調節銀行帳戶崗位分離,可以降低不記錄支票付款的風險;將資產保管和資產會計記錄崗位分離,可以降低盜竊的風險等。
(2)工作流程
明確每個崗位的職責,使每一個人的工作能自動地相互檢查另一個人或更多人的工作,從而達到相互牽制的目的。為了實現這一目標,財務部應為每一個崗位設計工作流程圖,工作流程圖中明確規定每個人應該做什么、如何做、何時做以及正確進行工作的結果等。工作流程圖將管理的過程進行了標準化,也就是說:要能夠達到讓不同的人按照工作流程圖去做同樣的工作,得到的工作結果將是相同的。
(3)票據與記錄控制
票據是證明交易發生和交易的價格、性質及條件的證據。實行票據保管、收款與會計記錄人員的崗位分離;對所有票據(包括發票、支票、收據、工時記錄等)進行預先連續編號,在此制度下,所有作廢的票據都要妥善保存,對已經使用的票據能夠有會計人員進行定期銷號,并及時與票據保管人員進行核對,以防止交易漏記或重復記錄現象,保證全部收入、結算款項等能夠及時準確入賬。
(4)資產接觸與記錄使用
資產接觸與記錄使用主要是指限制接近資產和接近重要記錄,以保證資產和記錄的安全。保護資產和記錄安全的重要措施是采用實物防護措施。比如,將存貨存入倉庫以防偷盜,如果這一倉庫由勝任的職工管理,還能夠減少存貨的殘損;對憑證和記錄進行實物安全保護,能夠有效降低由于憑證和記錄的丟失而重新建立所需支付的成本,而且如果要是應收賬款的主要檔案被毀,則恐怕難以彌補。因此,為了防止這些損失,支付一些成本對資產和記錄實施必要的保護還是十分必要的。
(5)績效考評
財務部定期舉行績效考評會議,作為對財務部工作目標完成情況的事后控制,不僅可以總結一定時期的工作成果,同時也是發現問題、改進工作的過程。通過績效考評,配合一些必要的獎懲措施,將整個財務部的工作目標與個人工作目標緊密地聯系在一起,財務部的工作目標將通過個人工作目標的實現而達到,即整個團隊的成功才是整個部門或公司的成功。 (6)獨立稽核人都有可能由于偶然疏忽發生錯誤,為了避免此類錯誤的發生,每一個人完成的工作將由與此工作沒有直接關系的另一個人或部門進行驗證、審核。比如,手工發票、工資計算表、成本計算單等的正確性審核;銀行存款余額調節表、現金盤點表、存貨盤點表等與會計記錄的比較,都對防止會計差錯的發生有利。
2、針對信息系統的控制活動
信息系統已成為現代企業管理不可或缺的部分,隨著
電子商務的發展,信息系統的作用越來越重要。在信息系統的日常使用中,主要通過權限控制、數據錄入/輸出控制、手工憑證的控制等方式進行。
(四)建立廣泛的信息與交流
信息與交流,就是向企業內各級主管部門(人員)、其他相關人員,以及企業外的有關部門(人員)及時提供信息,通過信息交流,使企業內部的員工能夠清楚地了解企業的內部控制制度,知道其所承擔的責任,并及時取得和交換他們在執行、管理和控制企業經營過程中所需的信息。在信息方面,要注意內部信息和外部信息的搜集和整理;在交流方面也要注意內部和外部信息的交流渠道和方式;在信息技術的發展中注意控制信息系統。要建立一個廣泛而有效的信息與交流系統,應該遵循以下原則:
1、一個有效的內控系統需要充分的和全面的內部財務、經營和遵從方面的數據,以及關于外部市場與決策相關的事件和條件的信息。這些信息應當可靠、及時、可獲,并能以前后一致的形式規范地提供使用。
2、有效的內控需要建立可靠的信息系統,涵蓋公司的全部重要活動。
3、有效的內控系統需要有效的交流渠道,確保所有員工充分理解和堅持現行政策和程序,影響他們的職責,并確保其他的相關信息傳達到應被傳達到的人員。
(五)加強內部控制的監督與評審
監督與評審是經營管理部門對內控的管理監督和內審監察部門對內控的再監督與再評價活動的總稱。要確保內部控制制度被切實地執行且執行的效果良好,內部控制過程就必須被施以恰當的監督。監督是一種隨著時間的推移而評估制度執行質量的過程。監督評審可以是持續性的或分別單獨的,也可以是兩者結合起來進行的。主要應關注監督評審程序的合理性、對內控缺陷的報告和對政策程序的調整等等。在監督評審活動和缺陷的糾正方面應當遵循下述原則:
1、應當不斷地在日常工作中監督評審內控的總體效果。對主要風險的監督評審應當是公司日常活動的一部分。
2、對內控系統應當進行有效和全面的內部審計。內審要獨立進行,配備稱職和得力的人員,應得到適合的培訓,內審作為內控系統監督評審的一部分,應當向董事會或其審計委員會直接報告工作。
3、不論是經營層或是其他控制人員發現了內控的缺陷,都應當及時地向適當的管理層報告,并使其得到果斷處理,要樹立全員控制意識,幫助企業更有效地實現預期控制目標,促進企業控制環境的建立,為改進內控制度提供建設性建議,實現組織預期達到的內控水平。
(責任編輯:中大編輯)