第 2 章 企业内部控制理论研究
本章主要对企业内部控制的历史发展、企业内部控制的整体框架,以及中国企业内部控制现状等相关理论知识进行了阐述与介绍。
2.1 企业内部控制历史发展
企业内部控制理论最初诞生于美国,且在理论研究成果方面也属美国最为权威。因此,接下来,本文在探讨企业内部控制历史发展的过程当中,选取了美国的内部控制历史发展为主要研究基线。
第一阶段,20 世纪 40 年代:企业内部控制理论的萌芽阶段。
20 世纪 40 年代,企业内部控制开始在美国萌芽,但是并未形成统一的专业术语,而是被人们习惯性地称之为“内部牵制”。这一时期的内部控制主要特点为明确企业职责分工,从而避免某一部门或个人单独控制业务权利,进而通过企业内部各个部门或者个体发挥职能,来实现企业交叉检查或者控制的目的。在这种企业内部牵制理念不断形成与发展的背景下,会计记录等新型管理手段开始诞生,成为现代企业内部控制理论的早期思想形态,并在现代企业内部理论形成与发展过程中占据重要位置[15-17]。
第二阶段,20 世纪 40 年代末至 70 年代初,企业内部控制理论的形成阶段。
在形成阶段,“内部控制”的概念被正式提出,其主要包含管理控制与会计控制两个方面,同时也呈现出双面发展的特点,这为后期企业内部控制理论的发展奠定了一定的理论基础[18-20]。
1949 年,美国注册会计师协会以报告的形式对企业内部控制进行了权威界定,指出其不仅包含了内部会计控制与财务控制等传统内容,同时也包含了成本控制、预算控制、经营报告、培训计划等内容,以有效保障企业内部各部门制定与落实各项制度。1953 年 10 月,美国注册会计师协会又对内部控制进行了进一步细分,主要其分为内部管理与内部会计两个控制内容。1972 年,内部会计与内部管理控制两者又被重新进行表述,且明确了内部控制的具体分类,从而有利于指导企业进行内部控制建设。这一时期的内部控制理论发展主要由审计行业推动,因而在发展过程当中不可避免地带有审计特色,且该时期的企业内部控制虽然呈现出双向发展特点,忽视了内部环境在内部控制建设当中的重要性,但是也为后期企业内部控制理论的进一步完善起到了良好的过渡性作用。
第三阶段,20 世纪 70 年代至 90 年代,企业内部控制理论的发展阶段。
发展到这个时期,内部控制理论得到了进一步演化,形成了内部控制结构,这是在发现内部控制理论存在缺陷,大量国际间贿赂及公司假账等问题的情况下,美国注册会计师协会为了弥补该理论存在的漏洞与缺陷而形成的。因此,为了有效解决内部控制理论存在的缺陷与漏洞,有效加强该理论对企业实践的知道,美国注册会计师协会推出了企业内部控制结构,并明确指出该结构包含了内部控制环境、内部会计制度及内部控制程序这三个方面的内容[21-24]。
第四个阶段,20 世纪 90 年代至今,企业内部控制理论的成熟阶段。
这一时期的企业内部控制理论渐趋成熟与稳定,其不仅仅追求审计便利的目的,同时也开支关注利益关联者的相关合法权益,并逐步融合了企业内部控制框架与风险管理框架,强调两者在实际操作过程当中的具体应用[25-27]。
1992 年,美国 COSO 委员会针对企业内部控制框架提出了一份专题报告,并在世界范围内获得一致认可、借鉴及引用,其首次将风险评估纳入了企业内部控制范畴,凸显企业风险管理的重要性,从而在进一步明确企业内部控制责任的基础上,融合企业管理与内部控制的双重功效,并一起具有新颖性与实用性的思想与理念,影响了企业管理、财务会计及审计等多个领域[28]。
目前,企业内部控制最具权威性的概念,为 1992 年 COSO 委员会的相关界定,即“内部控制是由企业的董事会、管理当局和其他员工实施的,为达成经营活动的效果和效率、财务报表的可靠性、相关法律法规的遵守性等目标提供合理保证的过程。”这一企业内部控制概念经历了一段漫长的演变历程,并成为当今世界各国一致认可的界定。2.2 企业内部控制的目标和要素。。
企业内部控制作为企业实现其战略目标的一种手段,在企业内部管理监控系统中发挥着举足轻重的作用。企业管理者应该制定适合于本企业的内部控制制度,切实保证内部控制制度的有效运行,更好地加强企业管理,提高企业的经济效益。因此对企业内部控制目标的设定依据内部控制整体框架要素的分析就尤为重要。
2.2.1 内部控制目标
内部控制目标,是决定内部控制运行方式和方法的关键,也是认识内部控制基本理论的出发点。内部控制理论在发展过程中,内涵和外延都在不断扩大,相应的内部控制目标也在与时俱进。
目前,理论界对内部控制的目标有着不同的表述,而比较有代表性的主要有以下几种[29, 30]。
第一,1986 年世界最高审计机关组织颁布的《世界最高审计机关组织内部控制准则》中规定,内部控制的目标有:一是保护资源,以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而遭致损失;二是配合组织任务,使各项作业均能有条不紊,且更经济有效的运行,并提高产品和服务的质量;三是遵循法律、规章及各项管理作业规定;四是提供值得信赖的财务和管理资料,并能适时恰当地披露有关资料。
第二,1992 年 COSO 发布的《内部控制—整体框架》将内部控制目标总结为:经营的效率效果目标、财务报告目标和合法合规的性目标。
第三,1996 年美国财务会计准则委员会经内部控制的目标表述为如下五项:一是信息的可靠性和完整性;二是遵守政策、计划、程序、法律和规章;三是保证资产安全;四是经济有效的使用资产;五是实现既定的经营计划。
第四,2004 年 COSO 发布的《企业风险管理—整合框架》将内部控制目标表述为战略目标、报告目标、经营目标、合规性目标等四大目标。这一表述与《内部控制—整体框架》中关于内部控制目标的表述相比,增加了一类新的目标—战略目标,这说明内部控制已经上升到战略的高度,人们开始从战略层次来预防和控制风险。
第五,2008 年,我国财政部等五部委在《企业内部控制基本规范》中对内部控制的目标阐述为:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果,促进企业实现发展战略。
发展至今,内部控制目标已是一个派生于企业整体目标的目标体系。该体系不是静止的,而是动态的。随着企业目标以及经济社会环境的不断发展,现代组织中的内部控制目标已经不是传统意义上的查错和纠弊,而是涉及到组织的方方面面,呈现出多元化、纵深化的趋势。
例如,从《内部控制—整合框架》的三目标到《企业风险管理—整合框架》的四目标,其中有两个目标(经营目标和合规性目标)的定义是完全相同的,后者还将前者的“财务报告目标”扩展为“报告目标”。内部控制整合框架中的财务报告目标仅限于企业对外正式公布的财务报告,而企业风险管理整合框架中报告目标的范畴却要宽泛得多,该目标几乎包括了企业编制的所有报告,既有内部报告也有外部报告,报告内容既有财务信息也有非财务信息。不仅如此,企业风险管理整合框架在内部控制整合框架的基础上还增加了一个新的目标—战略目标。战略目标是比其他三个目标更高的目标,是其他三个目标的终极目标,其他三个最终都要保证战略目标的实现。这样,企业的目标不再是相互分离的单个目标的组合,而是以战略目标位统帅的有机整体。
总体而言,企业内部控制目标具有严格的层次性和严密的逻辑想,并且处于不同层级的目标在逻辑上具有明确的先后关系。内部控制第一层次的目标是防弊纠错,保证财产物资的安全,保证会计信息的及时与真实;第二层次的目标是保证经营活动的合理合法,保证法律法规的遵照执行;第三层次的目标是为了提高组织效益和效率服务;第四层次的目标是完善公司治理,帮组公司创造价值。现有的内部控制目标体系都可以列入这四个目标层系之中。
2.2.2 内部控制要素分析
内部控制要素的划分,其实就是内部控制系统如何进行分割的问题。内部控制理论不断发展的过程中,内部控制的要素也在不断的发展和完善。
2004 年,美国 COSO 委员会发布的《企业风险管理—整合框架》在《内部控制—整合框架》的基础上将内部控制划分为八个要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督[31]。
内部环境,是其他风险管理要素的基础,它由《内部控制—整合框架》要素中的控制环境演变而来,但包换更为丰富的内容,如风险文化和风险偏好、管理哲学和经营风险、权利和责任分配、实践操守和价值观等。它强调,企业管理层对待风险的态度至关重要,是企业风险管理的基调。企业风险管理应该是企业生存和发展的需要,而不是单纯的为满足外界的需要,企业应形成一种“言必称风险”的良好风险管理氛围。
目标设定,要求企业进行风险管理必须先有目标,然后才能通过识别影响目标实现的潜在事项识别风险。企业的目标可以分为四类,即:战略目标、经营目标、报告目标和合规目标。企业这些目标既相互区别,又相互交叉,可以明确不同的需要。企业风险管理整合框架认为目标的设立是风险管理的首要任务,企业风险管理整合框架要求管理人员能适当地设定目标,并且使选择的目标符合企业的发展战略,并与其风险偏好相一致。
事项识别,指识别影响事件的内外部因素。识别风险旨在抓住机遇,或者在风险评估和应对阶段弥补风险对企业的影响。企业风险管理整合框架将影响企业目标实现的事项分为正面影响和负面影响的事项,将可能有“负面影响”的事项称为“风险”,而将可能有“正面影响”的事项称为“机会”。企业管理当局应采用一系列技术,识别并区分哪些是风险,哪些是机会,对风险要控制,对机会要把握。通过对事项的识别能使企业的目标始终不被偏离,使企业沿着既定目标健康、顺利地发展。
风险评估,是决定如何管理风险的基础,风险得到识别后,就需要对风险进行分析评估,这样,管理层就能根据被识别风险的重要程度来进行规划和组织,并采取减弱风险影响的行动来管理风险。风险评估可根据不同的风险目标确定相应风险评估方法,主要是定量分析和定性分析相结合的方法。风险应对,指在评估了相关风险之后,所做出的控制、转移、补偿风险的各种应对策略和措施。通常将风险对策分为规避风险、减少风险、共担风险和接受风险等。企业应在兼顾风险承受度和成本效益原则的前提下,考虑每个方案如何影响事件发生的可能性和对企业目标的影响程度,来设计和执行风险应对方案。COSO 认为,有效的风险管理,能使管理者的选择将企业风险发生的可能性和影响程度都限制在风险的承受度内。
控制活动,指有助于保证风险应对方案得到执行的相关政策和程序。管理当局应对企业所有系统进行控制,包括对信息系统的控制。
信息与沟通,指对来自企业内部和外部的信息必须以一定的格式和时间间隔进行捕捉、确认和传递,以保证企业的员工能够执行各自的职责。广义的沟通包括企业内自上而下、自下而上及横向沟通,还包括相关信息在企业外部相关方与企业之间的有效沟通和交换,为企业风险管理的运行提供重要信息。
监督,作为评估企业风险管理质量过程的一个部分,即评估风险管理要素的内容和运行质量的过程。该过程包括持续监督、个别评估或者两者的结合。
企业风险管理的八个要素是一个有机整体。风险管理不是一个直线的过程,而是一个多元化的相互作用的过程。各要素之间的关系是:内部环境是企业风险管理的基础,为企业风险管理其他要素的运行提供了平台和组织机构;企业目标的制定,是风险管理的起点,是其他步骤的驱动力量;在企业目标已定的前提下,企业需要对影响目标实现的风险事件进行识别,进而对风险事件进行风险评估,风险评估促使风险应对、影响控制活动;信息与沟通和监督贯穿于企业风险管理的全过程,并且可对其他各个组成要素进行修正。
纵观内部控制理论的发展,其各阶段新要素的出现并非偶然,企业的管理变革和外部环境的变化对内部控制理论的成熟及其要素的发展都起到了推动的作用。企业及其他经济组织只有把握了规律,才能通过有效的内部控制达到既定目标。
2.3 中国企业内部控制现状
目前,我国企业内部控制正处于建设阶段,且对于企业内部控制概念的认识,重要性程度的认知,企业内部控制框架的理解,以及如何构建符合企业发展需求的内部控制体系等都有待于进一步提高[32]。现阶段,我国企业内部控制体系建设工作,有效借鉴与吸收了西方发达国家的企业内部控制成果及经验,但这些吸收与借鉴都必须在引进的基础上进行本土化,必须符合我国当前社会主义市场经济的发展现状,必须适应我国企业内部经营管理的发展特点与需求,满足企业内部控制保障资产安全及资源配置合理的需求,从而有效应对企业在经营管理过程中可能面临的各项风险,并及时采取相应措施进行预防与规避,保障企业能够实现自身的可持续发展战略,在激烈的市场竞争当中持续稳定地发展。
我国的企业内部控制现状与企业自身经历的发展历程,其所处的内外经营环境,以及企业内部自身设定与应用的管理体制密切相关,且在很大程度上受到这些内外因素的双重影响[33]。但是,尽管目前我国企业内部控制已经经历了一段时间的发展,并且有效吸收与借鉴了西方发达国家的企业内部控制理论及经验,其仍然存在一些值得进一步予以完善与加强的薄弱环节,其主要表现在企业内部控制建设与执行主体在责任方面明确性不足;内部控制建设驱动力不够;各项内部控制制度较为分散,衔接性不强;企业文化的限制与制约;企业内部管理手段与工具有限等。这些问题的存在大大影响了我国企业内部控制的有效发展,降低了我国企业内部控制的最终成效,从而影响了企业在社会主义市场经济发展当中的市场竞争力与长远生命力。
目前,根据我国现有企业内部控制发展现状,我国企业当下已经构建了内部控制体系与制度,但是,从根本上来说,国内企业所建立的企业内部控制制度在健全性与完善度方面,以及在与企业发展需求之间的适应性与匹配度方面,还呈现出参差不齐的发展特点,且直接影响到企业内部控制制度与体系能否有效应用到时间当中,及其自身实际制度功效的有效发挥[34, 35]。因此,结合我国当前的企业内部控制发展现状,结合国内外内部控制建设的发展经验及具体框架,笔者认为,还必须对企业内部控制建设进行更深层次的研究与探索,以摸索出符合我国企业实际发展需求的企业内部控制制度,构建符合我国企业内部控制实际发展需求的内部控制体系。