企业内部控制的新进展
[摘 要]内部控制是现代企业管理架构的核心内容,是企业持续发展的制度保证。COSO报告提出了企业内部控制的总体框架,是全球企业内部控制理论的深化和实践的最新发展,对中国企业内部控制机制的建设与完善具有重要的指导价值。
[关键词]企业管理;内部控制;COSO报告
内部控制是现代企业管理架构的构成部分,是企业持续发展的制度保证。现代企业理论和管理实践表明,企业一切管理工作,都是从建立和健全内部控制开始的;企业的一切活动,都无法游离于内部控制之外。可以说,“得控则强,失控则弱,无控则乱”。因此,内部控制在现代企业管理中居于战略地位。
一、关于内部控制的内涵
长期以来,人们对内部控制有不同的认识,提出了各种各样的观点。例如“过程论”把内部控制定义为实现一组目标而提供合理保证的一种过程:“程序论”则认为内部控制是指基本的内部会计控制及风险管理政策及程序:“制度论”认为内部控制是企业为实现经营目标,根据经营环境变化,对企业经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施:“系统则将内部控制定义为一种多要素构成的‘系统’”。另外,国内外还有“行为论”、“结果论”、“状态(环境)论”、“综合论”等其他观点。这些观点都是从不同立场或不同角度观察内部控制的结果,从不同侧面揭示了内部控制的某些特征。
那么,到底什么是内部控制呢?COSO报告将内部控制定义为:由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:经营的效果和效率;财务报告的可靠性;符合适用的法律和法规。
在这个定义中,有四个关键词值得注意:目标(objectives)、人(personnel)、过程(process)、合理保证(reasonable assurance)。也就是说,内部控制以过程为导向;受人的因素影响;受目标的驱动;存在局限性,即内部控制所提供的是合理的保证而非绝对的保证。可见,COSO报告对内部控制的定义具有丰富的内涵,同时具有科学的限定,这是截至目前最权威、最通用的内部控制定义。
二、内部控制的构成要素与整体框架
COSO报告提出了内部控制的五个构成要素,即所谓的“五点论”,它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。
(一)控制环境(Control Environment)
起初人们只是将控制环境作为内部控制的外部因素来看待,但渐渐地人们认识到控制环境是内部控制的一个组成部分,是充分有效的内部控制体系得以建立和运行的基础及保证,因而应该包含在企业内部控制的范围内。
COSO报告则把控制环境作为内部控制系统的首要因素,认为控制环境是一个企业进行内部控制的氛围,是其他控制成份的基础。具体包括以下内容:(1)员工的诚实性和道德观,如有无描述可接受的商业行为、利益冲突及道德行为标准的行为准则。(2)员工的胜任能力,如雇员是否能胜任质量管理的要求。(3)董事会或审计委员会,如董事会是否独立于管理层。(4)管理哲学和经营方式,如管理层对人为操纵的或错误的记录的态度。(5)组织结构,如信息是否到达合适的管理阶层。(6)授予权利和责任的方式,如关键部门的经理的职责是否有充分规定。(6)人力资源政策和实施,如是否有关于雇佣、培训、提升和奖励雇员的政策。
仔细分析以上描述,控制环境可以归纳为两大方面:一是“软环境”:包括企业的管理哲学、控制文化(culture of controls)、风险意识、人的素质与品德等看不见、摸不着、却在内部控制中起着决定性作用的无形因素构成的氛围。二是“硬环境”:包括企业的所有权结构、法人治理结构、组织体系、权力分配等结构性因素。企业只有建立包括董事会、管理层等在内的完善的治理结构,以及科学合理的组织体系,并合理配置各层次、各方面的权责,内部控制系统才有所依托并得以运转。可见,控制环境既是一个企业管理架构的组成部分,也是其内部控制系统的构成要素。控制环境确立了一个企业的基调,影响公司及人员的控制意识和导向。它是其他内部控制要素的基础,提供规则和结构。只有打牢控制环境这个根基,企业内部控制系统的“大厦”才能建立起来并真正发挥作用。
(二)风险评估(Risk Assessment)
风险控制对企业来说具有特别重要的意义,不仅是企业内部控制的主要目标,而且是企业内部控制的核心要素和轴心工作。
COSO报告认为,风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险,包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性及考虑如何管理风险等。
需要特别强调的是:这里的要素是“风险评估”,而不是“风险管理”。在一般人眼里,内部控制就是风险管理。其实,两者是不同的。COSO报告第一稿曾将包括风险管理在内的企业管理等众多内容排除在内部控制之外(见表1),后来又不声不响地将风险管理绕回到报告之中(1996年,COSO委员会发布的《金融衍生工具运用中的内部控制问题》中强调了运用内部控制对风险管理活动进行评价)。那么内部控制与风险管理之间是什么关系呢?其可以概括为:内部控制的动力源于风险防范并构成风险管理的必要环节,但内部控制并不等同于风险管理,只能防范风险,不能转嫁、承担、化解或分散风险。
(三)控制活动(Control Activities)
控制活动是企业内部控制的实质性要素,是依托于控制环境进行的实际控制行为。COSO报告认为,控制活动指对所确认的风险采取必要的措施,以保证单位目标得以实现的政策和程序。在实践中,控制活动形式多样,可将其归结为以下四类。
1. 业绩评价,是指将实际业绩与其他标准,如前期业绩、预算和外部基准尺度进行比较;将不同系列的数据相联系,如经营数据和财务数据,对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用,但一般与财务报告的可靠性和公允性相关度不高。
2. 信息处理,指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类:一般控制和应用控制。一般控制与信息系统设计和管理有关,如保证软件完整的程序、信息处理时间表、系统文件和数据维护等;应用控制与个别数据在信息系统中处理的方式有关;如保证业务正确性和已授权的程序。
下一篇:内部控制:美国的发展及启示