内部会计控制若干理念剖析
财政部发布的《内部会计控制规范——基本规范(试行)》已经于2001年6月起施行了,要真正发挥内部控制系统的效用,首先需要设计和执行的人员特别是管理层全面正确地认识内部控制。对内控的认识和观念影响着人们对内控的态度,而态度又决定着行为。如果认识不清,甚至存在不当观念,则经他们设计和执行的内部控制以及作为其重要内容的内部会计控制都很难真正有效。本文对此略加剖析,并对内部会计控制的有效实施提出一些建议。
一、内部控制的内涵与外延
内部控制理论在经过了“内部牵制”、“内部控制系统”和“内部控制结构”等发展阶段之后,如今又进一步发展到了“一体化框架”阶段。美国Treadway委员会的发起组织组成的委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,简称COSO)在经过多年研究之后于1992年9月发布并于1994年修订了一份研究报告:《内部控制——一体化框架》(InternalControl-IntegratedFramework)。该报告首次把内部控制从原来的平面结构发展为立体框架模式,代表着国际上在内部控制方面的最高研究水平。此后发布的其他一些有关内部控制的报告(如加拿大的COCO,英国的Cadbury,南非的King,法国的Vienot,等等)均以COSO的报告为模本。我国的《内部会计控制规范》和巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也是以COSO的报告为基础的。但我国大部分企业管理层甚至许多内审人员对内部控制的内涵与外延的理解还停留在内部牵制阶段,认为内部控制就是“职责分工、岗位分离、授权授信、内部审计等”,与国际水平还有相当的差距。
我国一些学者介绍过COSO对内部控制的定义。这里,试就其原文作一推敲。COSO的定义是这样说的,“Internalcontrolisaprocess,effectedbyanentity‘sboardofdirectors,managementandotherpersonnel,……”。对于其中的关键词之一“effected”,国内学者一般把它译成“受……影响的”或“由……实施的”。这样翻译可能是不够达意的,不利于读者特别是实务工作者正确理解。实际上,“effect”在这里的意思应该是“使生效”,COSO在解释其含义时进一步指出它包含“devise”(设计)和“maintain”(维持)两个层面。为了中文的表达方便,我们可以不用“使生效”,而采取细化表述的方式。根据COSO报告的精神,我们还可以进一步区分董事会、管理当局和其他员工在内控设计与执行中的不同角色。所以,内部控制可以理解为:“由管理当局设计(devised),董事会核准,董事会、管理当局和其他员工共同实施(maintained)的,旨在为实现组织目标(包括经营的效率与效果目标;财务报告可靠性目标;相关法律法规的遵循性目标等)提供合理保证的一个过程(process)”。可见,内部控制是为了达到目的的一个过程,但它本身不是目的;它帮助实现的是多种既互相区分而又紧密联系和相互重叠的目标;它由人实施并影响着人们的行为,组织内的所有人员对内控都有相应的责任;而且,内部控制为企业管理层只能提供合理的保证,而不是绝对的保证。
在外延方面,COSO认为内部控制系统包括五个组成要素:控制环境、风险评估、控制活动、信息与沟通、监控。其中风险评估和信息与沟通是传统内控理论所没有的,对控制环境之重要性的强调也是前所未有的,监控的具体含义也得到了拓展。这五个要素相互联系,共同构成一个如图1所示的立体框架。显然,这个内控“宝塔”透射给我们这样的一层含义:为了实现其目标,一个企业应当在培育一种积极的内部控制环境的基础上,识别、衡量和评估经营管理活动中所涉及的各种突出风险点(当然,这些风险点不是固定不变的);然后针对这些风险点设置各种控制机制,并不断地对上述整个过程的适当性和有效性进行监督与评审;内部管理信息系统则为这整个过程提供方便。这些要素形成了一个有机的动态的系统。
实务界目前对内部控制外延认识的不足除了没能从系统论的角度认识它们外,最重要的还在于对控制环境的认识极不到位。首先,必须清醒地认识到,控制环境(controlenvironment)并不是内部控制系统赖以存在的内外部环境,即不是内部控制的环境(environmentforinternalcontrol)。它本身就是内部控制的一个组成部分,是整个内控框架的基础,它塑造组织的控制文化,影响员工的控制意识。虽然它看起来似乎有点“虚”,但它极其重要。它支撑着整个内部控制框架,是推动控制工作的发动机;它奠定组织的风纪和结构,并涉及到所有活动的核心——人,特别是人的控制觉悟,还反映企业各级管理层对内部控制的要求。巴塞尔委员会在谈到控制环境中的控制文化时指出:“虽然具有一种强有力的控制文化不能保证一个组织达到它的目的,但是如果缺乏这样的一种文化,就会有较大的可能造成错误的失察和不当行为的发生。”在我国的现实中,管理层的监控并不是没有,而是远远没有强调到某种“控制文化”的程度。
在整个内控框架中,如果说控制环境是“务虚”的话,至少从风险评估开始就应当是实实在在的了。每个组织所面临的风险都是与其特定的存在环境相联系的,如果没有根据实际情况同时从企业整体与个别作业层次全面有效地甄别和评估其所面!临的内部和外部风险,相应的控制机制就很可能是从书本或其他组织的文件中抄抄补补而来,既可能残缺不全,也可能因脱离实际而难以实施,从而成为一种“印在纸上,挂在墙上”的东西。只有风险评估做好了,控制活动才能有的放矢。
另外,人们对“信息与沟通”和“监控”这两大内容的认识也没有达到现代内控原理的要求。比如,不注重信息的收集与加工,只注重与外部的沟通和内部的顺流(自上而下)沟通,而不注重或忽视组织内部的横向沟通和逆流沟通。监控则经常被等同于内部审计,实际上监控分为持续性监控(ongoingmonitoring)及间歇性评估(separateevaluation)两种。持续性监控活动是经营过程中的例行监督行为,包括管理层的日常管理与监控,以及员工在执行任务时所采取的行动。即使是间歇性评估,也未必都由内部审计人员来进行,包括管理层在内的其他人员也可以实施这种再监控。
二、内部控制与管理和风险管理的关系
由于内部控制的内涵和外延发生了较大的变化,最近我们在调查中还注意到两种具有普遍性的说法。有的认为内部控制的范围被过分扩大了,简直涵盖了管理的所有范围,也有的认为内部控制涵盖了风险管理。事实上,并非所有的管理活动都是内控活动,也并不是说非内控性的活动就都不重要了。比如,设定目标的决策就是一种很重要的管理责任,但它不是内控,只是为内控提供了前提条件。同样,许多管理方面的决策和一般性活动也并不都代表内控。当然,我们也必须注意到,内控是管理中至关重要的部分,内控的重要职能之一就是监控目标的设定与实现过程。
内部控制与风险管理有很浓的重叠与共通之处。内部控制系统就是直接针对企业各种风险的,内控的目标和风险管理也是相通的,因为风险管理的目标也是“为了帮助组织提供经营的效率与效果”。但是,风险管理与内部控制都有其各自明确的内涵与外延。巴塞尔委员会指出:风险管理不同于内控之处在于,典型的风险管理比较关注特定业务的战略的评审,旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。另一方面,虽然内部控制中的信息与沟通也需要进行风险管理,但它本身可以不理解为风险管理。所以,我们可以粗略地把内部控制、管理和风险管理的关系直观勾勒如图2所示。
三、内部控制的其他不当观念
除上述理解偏差外,我们在调查中还注意到其他一些有关内部控制的不当观念。以下是典型的几种:
首先,有人认为内部控制的完善程度是与规章制度的多少成正比的。实际上,虽然书面的规章制度是内部控制的一种必要表现形式,但内控系统的设计还应当包括其他很多内容。而且,员工价值观、职业道德与胜任能力,以及管理层的表率与监控等方面可能比书面的规章制度更为重要。再者,即使企业有足够的规章制度,若是在未能充分考虑其自身特性与需要的情况下抄袭而来,那也无济于事。
其次,有人认为内部控制导致大量规章要遵守,一堆表格要填,许多章要盖,既滋生官僚作风,又缺乏效率和人性。不可否认,为了达到内部控制的目标,规章、表格和公章是必要的。它们在特定情况下可能会影响工作速度,但决不应当把它们与官僚作风、缺乏效率和缺乏人性等划上等号。如果没有这些东西,可能更缺乏效率,更滋生官僚作风,更缺乏人性,尤其是在一些庞大的企业集团中。一般来说,判断一个企业内部控制是否适当,须视以下因素而定:企业的规模、组织的设计、组织层级的数目、授权的方式与程度、须留存的书面记录、工作的性质及复杂性、管理者与员工的职业道德和工作能力等。
第三,在内部控制的责任归属方面,许多人认为应主要由内审部门承担。事实上,内部控制不仅首先不是,而且主要不是内部审计部门的责任。既然内部控制的目的在于帮助企业实现其各种目标,那么负责企业经营的管理当局便理所当然地成了内部控制的主要负责人。他们不仅应负设计及执行内部控制之责,而且应负评估内控设计是否适当及其执行是否有效之责。正如巴塞尔委员会所指出:“董事会应当负责:了解主要经营风险,确定这些风险的可接受水平,并确保高级管理层采取必要步骤识别、衡量、监督和控制风险;审批组织结构安排;确保高级管理层持续评审内控系统的有效性。在确保建立并保持充分有效的内控系统方面,董事会负有最终责任。”
第四,对于内部控制与舞弊防范的关系方面,有人认为,国外内部控制很健全的企业也不能完全避免舞弊:说明内部控制也难以达到其目的。这种观念的错误表现在两个方面:一方面在于对内部控制的目标认识不足;另一方面则在于对内控保障程度的误解。内部控制的主要目的是帮助企业实现其目标。COSO的报告中没有专门提到“保障资产安全”这一目标,而在内控的经营性目标中兼具兴利与防弊两个方面,其中防弊方面包含了保障资产安全这一子目标,而保障资产安全目标又包括防止员工舞弊、防止本公司资产被盗和其他目标。可见,内部控制的主要目标在于兴利,防止员工舞弊只是次要目标,我们不应过分强调防弊目标而忽略兴利目标,更不能说内部控制只是为了防止舞弊。
四、对内部会计控制有效实施的几点启示
鉴于目前普遍存在的对内部控制认识的上述不足,我们认为,为了内部会计控制得以有效实施,目前应加强以下四方面工作:
1.大力加强研究和宣传教育工作。不仅学术界应当加强这方面的研究并把它本土化,实务界也应当努力研究与实践。立法部门、财政部和证监会等部门应不断加强和改进这方面的宏观制度建设。而且,应当抓住我国加入WTO后企业急迫提升管理水平的良好契机,极力加强对实务界特别是企业高层管理人员的内部控制基本理念,特别是“软控制”(soficontrol)方面的教育。
2.针对人们对控制环境认识的不足,必须最大限度地强调高级领导层的控制责任(tuneatthetop)。首先,董事会应充分理解公司的主要风险,正确设定风险的可接受水平并定期督导,建立独立的审计委员会帮助董事会行使这方面的职责。其次,高级管理层应负责组织制定识别、衡量、监督和控制风险的程序,制定有效的内控政策,监督评审内控的充分性和有效性。另外,应当大力提倡和营造一种积极的“控制文化”。一方面,董事会和高级管理层应负责促进在道德和诚实品质方面的高标准,向各级人员强调和说明内控的重要性,并在机构中逐步形成一种遵循与完善内部控制的氛围;另一方面,企业中的所有员工都需要理解他们在内控程序中的作用,并在程序中充分发挥他们的作用。
3.改变对信息与沟通的错误认识。应当强调收集和挖掘各种与决策相关信息的重要性,加强对信息系统的安全保护和独立的监督评审,防止突发事件,特别是要有效地控制电子信息系统和信息技术的使用。另外,还要建立有效的交流渠道,确保相关信息的正确传达。
4.加强监督评审活动并强调缺陷的纠正。企业经营管理人员应不断地而不是时有时无地在日常工作中监督评审企业内控的总体效果和主要风险;内审部门应对内控系统定期进行独立、有效和全面的评价,并及时将结果特别是所发现的内控缺陷向高级领导层直接报告。同时,考虑到传统的内控评价方法在软控制方面的不适应性,可以考虑逐步引进内部控制自我评价(controlself-assessment)技术(将另文介绍),以帮助不断提升控制环境。
您所在的位置: