摘要:COSO委员会发布的内部控制整体框架是目前世界上广泛采用的内部控制理论,然而它的财务会计,审计导向在实际工作中带来许多问题。怎样克服传统概念存在的缺陷?建立一个有效率的框架实现最佳运行效果?本文提出了建立治理型内部控制框架的设计思路,即建立一个组织维度、项目维度、作业维度的三维内部控制框架。然后将国外一种新的评价方法一内部控制自我评估(CSA)应用到三维立体控制框架。突破了传统内部审计的局限性。通过经验丰富的引导员,将董事,经理,员工聚集起来,一起讨论内部控制日常工作中存在的问题及解决的方法。它不仅减少审计部门开支,更让董事会及管理层明确自己在内部控制中的责任。
关键词:COSO 内部控制 三维立体框架 自我评估
在企业内部建立一个基本的控制框架,作为管理层评估内部控制的基准,这是企业发展到一定程度在管理方面的必然要求,它受外部环境和企业内部环境的巨大影响。从外部环境来讲,会计执业界的有COSO这种制度安排,还有不同的利益群体对内部控制的观点存在不同的认识。如何将会计界的内部控制语言转换为管理界的内部控制语言,形成共识框架体系仍是一个需要长期探索的问题。从内部环境来说,公司治理、价值创造、风险和机会、管制、企业文化、技术发展及受托责任等各方面创造了不同内部控制文化,使得每个企业都有自己的控制特色。但内部控制的目标必须和企业谋求生存和价值创造机会的努力,减少相应的风险相一致,内部控制的实现必须以组织为依托,内部控制的具体环节是作业。所以,本文提出建立三维立体内控制度的思路,实践中有一定指导意义。
一、内部控制三维立体框架设计的基本思路
(一)吸收COSO框架的合理内核,借鉴其他内部控制观点 目前内部控制主流框架是三个目标,五个要素构成的COSO框架;内部控制包括管理控制;是产生于委托代理管理下的一种授权体系与责任体系,与公司治理相互联系,相互影响;目前内部控制的薄弱环节是在于董事会一经理层的治理控制,同时内部控制是一种简洁、理性作业标准等。故在内部控制三维设计上不仅考虑财务会计,审计导向,而且融入前已形成的内部控制概念再认识的思想。
(二)内部公司治理与内部控制的目标整合 现代企业存在双元控制主体:董事会与经理层。由于委托代理关系,以及合约的不完备,信息的不对称,其在企业内控目标的重点上存在差异。作为所有者,其内部控制设计重点在于如何进行契约设计和制度设计,以减少信息不对称,克服内部人控制现象;而经营者的控制目标则是如何履行受托经营责任,实现资产的保值、增值及法规的遵循性。怎样整合这个环节两个方面的目标,达到企业兴利与妨弊的最终目的,是在治理型内部控制框架设计中要考虑的主要问题。
(三)确立以董事会为内部控制框架核心的地位 董事会对内部控制系统的建立、修订、执行和监督承担不可推卸的法律责任。原因在于:在公司治理结构层次中,对于董事会而言,企业内部控制能通过“不丧失控制的授权”来保证公司有效运行,完成公司目标;内部控制是董事会抑制管理人员发生道德风险和逆向选择,保证法律、公司政策及董事会决议切实贯彻实施的手段;内部控制及其信息的流动有助于解决信息不对称,保证会计信息真实可靠,而确保信息质量是董事会不可推卸的责任。2002年《萨班斯――奥克利法案》及SEC和NYSE随后指出制定的一系列管制规则要求上市公司加强公司治理与内部控制,也指出董事会对内部控制的核心地位。
(四)结合控制要素、企业治理结构、组织结构、经营模式 不同的公司治理环境下,公司治理的模式是不一样的。在美国,经理层有绝对优势的情况下,公司治理很大程度上通过外部治理,即市场控制为基本路径;而德日公司,则是公司与金融机构相互结合,公司治理主要以内部治理为主。中国公司治理中往往一股独大,公司治理者与内部控制者高度一致性,通过组织控制为主要路径。不同的治理模式模式在组织结构上呈现差异,控制路径上故而不同。
(五)引入学习与持续改进思想 由于环境的变化,过去曾经令人满意的控制制度,今天对于企业而言可能已经过时。因此,环境的变化意味着企业必须不断地改变与完善其控制方法。学习与持续改进的思想从积极的方面影响着内部控制目标的实现。
二、内部控制三维立体框架设计
(一)组织维度 现代企业是一个具有若干层级的组织,由股东大会、董事会、监事会、经理层及下属员工组成,构成了一个纵向框架,是现代企业内部控制框架的硬件基础。硬件框架建设问题其实就是公司治理结构的建设问题,设计中以双元控制主体控制总目标为导向,对公司治理的各个层次进行分层目标设计。股东大会是公司最高法定权利机关,控制目标就是要求管理当局提供真实、完整、有用的信息,监督管理当局的经营行为,做出正确的投资和管理决策。董事会接受股东的委托,其内部控制目标主要是保证计划、投资方案、财务预决算方案,利润分配方案等的科学公平,公司内部管理机构设置合理等。总经理接受董事会委托,是公司执行层次,具体负责企业的日常经营工作。各事业部经理由总经理使命,协助总经理制订企业长短期方针,制订建立财务总战略,制订并实施有关企业预决算和管理控制程序。确保掌握信息。监事会与内审部门是公司的监督部门:内审部门主要对董事会和总经理负责,对其以下层次的控制工作执行情况进行检查,监督规定落实与执行情况;监事会则对公司董事和经理进行监督,确保股东的利益。组织维度设计是以目标为导向的,权责的分配过程。因此企业内部控制目标的定位应与企业的发展战略相结合,并要把握其动态性、层次性、全面性的特征。控制目标的动态性要求企业内部控制目标应随环境的变化而变化,实行跟踪控制。控制目标的层次性要求企业内部控制目标应针对不同的治理结构层次与内容进行分解,做到各司其职、分而治之。控制目标的全面性要求企业内部控制的多个目标之间做好协调,达到整体控制效果的最优。此外需要考虑以下一些问题:控制制度的设计因单位的经营特点与规模而异;董事会为控制框架的核心;推行职务不兼容制度,杜绝高级管理人员交叉任职;实行“约束+激励”的原则。
(二)部门维度 部门是组织的构成单元,形成了组织的各个层次。当组织维度的控制框架建设好以后,需要的是将分层设计目标落实到各个部门,进行部门维度的内部控制设计。部门控制设计主要分两部分:部门职能设计和项目控制设计。在部门职能设计上要明确各个部门的部门控制目标,工作职责、内部结构、岗位设置、岗位职责、部门权限、人员安排、职责划分。设计时注意部门与部门之间职位不重叠,各经办人员科学分工与相互牵制。项目是部门的基本业务活动,如采购活动、人事管理、成本控制、市场营销、销售管理、财务审批权限等等。对于项目维度设计,应识别部门经常性项目,分析项目所行使的功能,所要达到的目的。引人流程再造的思想,对于已辩识出项目,分析其对过程成本及收益的影响,从企业整体出发,考虑与其它项目匹配,进行合并、组合、重整、废弃不增值作业,强化增值环节,并以建模的方式将其文档化并作为标准流程推广并实施。涉及多个部门的项目必须考虑所 需跨越的组织维度与部门维度,可能面临的风险,责任的划分,信息沟通情况,确立关键控制点。注重项目的防御性控制设计与补偿性控制设计。
(三)作业维度 一个项目的运营过程是一系列作业组成。作业是由活动构成,这些活动的组成方式和顺序将影响过程的效率与效果。作业不存在独立性,往往一个作业的输出通常是下一作业的输入。作业维度的内部控制是整个立体控制框架的控制基础,它的控制的效率与效果往往上溯影响项目的运行,部门目标的实现,甚至整个企业控制的大局。作业维度的内部控制设计可以引入适时制(JIT),作业管理,作业链,价值链,供应链等最新管理办法,使作业维度的内部控制成为优化、简捷,理性的作业标准。然后采取程式定位原则,设立岗位赋予责权限,规定作业操作规程与处理手续,明确纪律规则与检查标准,以使责权利相结合。从作业控制的实质来看,主要目标有两个:一是从外部顾客的角度出发,尽量通过作业为顾客提供更多的价值(价值指顾客就企业提供给他们的产品或服务所愿意支付的金额),二是从企业自身角度出发,尽量从顾客提供的价值来获取更多的利润。为实现上述两个目标,企业管理必须深入到作业水平,进行作业分析。作业分析具体包括如下步骤:首先,分析哪些作业是增值的,哪些作业是不增值的。生产工艺流程中的各项作业一般都是增值作业。不增值作业指对增加顾客价值没有贡献,或者凡经消除而不会降低产品价值的作业。管理者应尽可能减少这部分作业。其次,分析重要性作业。企业的作业通常多达几十种,甚至上百种、上千种,对这些作业一一进行分析是不必要的,因为不符合成本效益原则。根据重要性原则,只能对那些相对于顾客价值和企业价值而言比较重要的作业进行分析。最后,把企业的作业同其他企业类似的作业进行对比。因为增值的作业并不意味着有效和最佳,通过与其他企业先进水平的作业进行比较,可以判断某项作业或企业整个价值链是否有效,寻求改进的机会。
(四)组织、部门、作业维度内控的关系 部门内部的项目与作业人员构成二维框架,多项目形成的信息流、资金流、物流、人员流在组织维度与部门维度间流动,进而形成组织、部门、作业维度的立体控制框架,这个框架中,体现的是委托与代理,控制与被控制,牵制与被牵制的关系,每个层级,每个单位,每个人员都与内控有关,都参与内控活动,拥有相关职责。另外,这个三维立体内控制度体现了以下特点见(图1)。
三、内部控制三维立体框架设计和运行应关注的重要因素
(一)组织维度实现公司治理与内部控制的对接 现代企业内部控制新发展是治理型内部控制,实践中考虑实现内部公司治理与内部控制的对接。对接的基础是思想的同源性一委托代理关系;对按途经是以组织机构为依托。内部控制系统是由代理人设计的,充分体现了管理者的管理意志和意图,而代理人的目标函数与委托人的目标函数是不一致的。为保证多级委托代理链组成的公司运行能够维护所有股东的平等地位和权利。承担对股东的诚信义务。公司治理规范中必须提出对内部控制构建的基本要求,从而保证内部控制目标与公司治理目标的高度一致性。没有公司治理作后盾,内部控制系统的不断完善将失去动力。事实上,各国有关公司治理的法规和准则中都对内部控制做出了基本要求。如美国内部控制制度发展到三要素构成的结构和五要素构成的框架,与美国《反海外腐败法》(Foreign Corrupt Practices Act,FCPA)的颁布与完善是分不开的。该法除了禁止各种形式的行贿和具有可疑行贿的行为之外,还要求在证券交易委员会管辖下的每一家公司都建立内部控制制度,并详细规定:美国公司有责任保证其海外下属公司妥善保存财务报表和记录,并建立和实施内部监控制度、不得非法向外国政府公职人员或国际公共组织官员支付财物,即使海外下属公司在母公司不知情的情况下发生与上述有关的不适当行为,母公司也不能免责。2002年,中国证监会颁布了《上市公司治理准则》,从六个方面做出了公司治理的规范:平等对待所有股东,保护股东合法权益;强化董事的诚信与勤勉义务;发挥监事会的监督作用;建立健全绩效评价与激励约束机制;保障利益相关者的合法权利;强化信息披露,增加公司透明度。上述六个方面的要求需要通过科学严密的内部控制系统来保障,但该准则却并没有涉及内部控制方面的内容,这使得该准则自诞生之日起便带有明显的缺陷。
(二)通过公司治理机制构建的角度为董事会在内控中的核心地位提供保证 公司的董事会是联结出资者和经营者的桥梁,为股权资本出资者和经理人员的职业合同提供了合理的保障。尽管在契约未预见的事项发生的情况下,出资者可以利用剩余控制权做出决策,但由于基于股权分散的事实产生的投资者行使剩余控制权的高额成本以及信息不对称,行使控制权的重心客观上要求落在董事会肩上。内部控制是董事会抑制管理人员在搜取短期盈利机会中机会主义倾向,保证法律、公司政策及董事会决议切实贯彻实施的措施;内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可靠的重要手段,而确保信息质量是董事会不可推卸的责任。董事会在内部控制中的核心地位是通过公司治理结构和机制的安排来实现的。(1)完善董事会构建机制,将董事会建成能真正独立行使权利和承担责任的机构。总结近几年公司控制结构变迁的特点,针对大股东一股独大或公司最终控制人试图通过一致行动、差额投票权、多重塔式持股、交叉持股等手段控制公司而有可能出现侵犯中小股东权益、损害公司长远利益的现象,优化董事提名机制、董事会形成机制以及董事责任追究与免责机制,使董事会真正成为公司治理链中的一个独立履行权利、承担责任的机构。(2)从人员配置上割断董事与经理层的脐带,保证董事会成员的相对独立性。董事会的作用在于选聘高管人员、考评并更换不称职的管理者、行使决策权并代表股东监督经理层。如果董事与经理人员高度重叠,董事会与经理层的分设完全是为了应付法律,而未体现公司治理法规所体现的制衡机制。人员重叠的结果必然是裁判员兼运动员,经理人员自己监督自己、自己评价自己、自己考核自己,董事会与经理层的制衡就名存实亡。董事会成员独立于经理层才能为董事会成为内部控制框架的制定者、监督者和最高执行者,发挥董事会在内部控制中的核心作用提供权责划分的保证。(3)强化董事会专业委员会职能以及决策与监督程序,为董事会核心作用的发挥提供信息与技术支持。人员的独立性只为董事会在内部控制中核心地位的发挥提供必要条件而非充分条件。董事们不可能像经理人员一样掌握有关公司运作方面的详细信息,信息不对称为经理层实质上“控制”董事会的决策和监督提供了温床。如果能发挥战略委员会和审计委员会的决策与监督职能,并在程序上规定需要由董事会决策的项目必须事先由战略委员会从国家产业政策、项目市场前景进行科学论证并由审计委员会对财务效益、现金流风险进行评估,在此基础上由董事会做出项目取舍决策,董事会在决策和监督中的主导作用才能得到发挥。安然事件后,《萨班斯一一奥克利法案》(Sarbanes--OxleyAct)首先明确了审计 委员会成员的独立性,并重新界定了委员会的职责。法案规定审计委员会成员除了获得作为发行人董事会、审计委员会或其他委员会成员的报酬外,不可以从该发行人接受其他任何报酬,而且该成员不能是发行人或其分支机构的关联人员。法案赋予了审计委员会更多的权力:法案要求由审计委员会负责聘请、付酬并监督发行人的外部审计人员,解除原先管理层行使此项权力;外部审计人员将不再向管理层报告,而是直接向审计委员会报告,在外部审计人员和管理层之间形成隔离层,以减少管理层收买外部审计人员的可能;审计人员除了向审计委员会呈送审计报告外,还应向委员会汇报公司使用的重要情况,通过此举扩大审计委员会的信息来源,减少信息不对称发生的可能;最后,当委员会认为对于履行职责必要时,还可以聘请独立顾问和其他方面顾问,能够摆脱管理层和外部审计的影响。
(三)通过公司治理机制设计为内部控制制度的实施保驾护航 内部控制的重要要素之一是“监督与纠偏”,在“控制环境”这一要素中,也要求建立与内控相应的监督机构。在以董事会为核心的内部控制框架中,董事会下包括审计委员会在内的专业委员会的建立以及经理层下属的审计部在对内部控制制度运行过程的监督和效果评价方面的作用越来越明显。但监事会对处于内部控制核心地位的董事会的监督却长期弱化。这一问题的解决有赖于监事会功能的强化,基本思路是在监事会成员中引入利益相关者,并做好独立董事与监事之间的功能区分与协调。
(四)三维立体内部控制框架实行过程动态控制 整个内控体系建设过程是一个不断地分析、比较、选优、确定、改进的过程。是否真正合理、有效、科学,需要不断在运行中测试。这里介绍二种基本方法:方法一是以部门为基础,测试部门的结构,岗位设置,功能、权限、业务,与其他部门的衔接等是否完成相应功能,管理上是否效率,是否有遗漏环节,方法二是以项目为主,按项目的流程进行测试,观察项目涉及的部门是否完成其职责,过程中的关键控制点是否把握等,测试完成后把握测试结果决定内部控制制度是进行修订。
(五)制度控制和活动控制的文件化 制度控制是内部控制系统的典型控制机制。现代企业内部控制以制度进行控制,实际工作中形成控制文件。控制的依据和执行情况的载体就是文件。它可以分三个层次:第一个层次是公司内部控制手册,它完善了企业的控制目标、控制方针、控制原则、控制架构,各个层次的职责,是统领全局的控制大纲。企业的基本制度就在此体现;第二个层次是部门手册,由职位手册与项目文件组成:职位手册所确是各个部门的控制职责,内部安排,职责与权限;项目文件对控制的项目流程建模并标准化。部门手册包括了管理制度和业务规范;第三层次是规定具体作业操作规范(如工作说明书)和日常控制工作记录表单。这三个层次文件将控制制度、需要的控制活动形成文件,作为控制任务的执行,记录、考核、评价的依据。文件体系的控制权把握上:组织维度控制权由公司总部把握;部门手册由部门经理把握;作业规范与支持性表单随作业放于关键项目控制部门把握。控制文件的策划具体见(图2)。
四、结论与建议
(一)结论 本文在内部控制理论的历史文献和中国内部控制理论研究的基础上,借鉴了当今世界上非财务会计,审计人士对内部控制的理解,提出了在COSO框架基础上扩大控制概念的理解。根据新制度经济学理论和公司治理理论,认为现代企业的内部控制是实现内部公司治理的一个制度控制体系安排,体现的是授权与责任,实践中包括管理控制,控制的基础环节是作业控制,控制的对象是偏离公司战略与经营目标的风险。在企业内部建立一个基本的控制框架,作为管理层评估内部控制的基准。这是企业发展到一定程度在管理方面的必然要求,COSO框架只是一个指导性原则,没有说明怎样应用和怎样评审的问题。根据现代企业的特点和前面对内部控制的认识,本文将会计界的内部控制语言与管理界的内部控制语言整合,形成一个共识框架体系――三维立体控制框架,与财务报表相关的内部控制只是整个控制框架的一部分。框架的组织维度建设着重公司战略目标的分解与相应管理权责分解,针对控制董事会一经理层的薄弱环节,提出了加强内部公司治理的控制建设:确立董事会在内部控制框架的核心地位,加强各委员会建设。框架的部门维度建设上主要是项目流程的控制,相应的授权与职责分离、岗位安排、引入流程再造思想,减少不增值作业。作业维度控制是内部控制的最低层控制环节,这个维度强化的是作业标准和技术要求,实现标准作业管理。这个内部控制框架体系符合现代企业公司制的特点,在内部控制概念及方法上能够统一会计界与管理界的观点。
(二)建议 现代控制理论了推动内部控制评价体系的变革,因此,本文给出以下建议:针对内部控制的新认识,对三维立体控制框架的评审可以借鉴《萨班斯――奥克斯利法案》出台后美国会计职业界的控制评价操作指南:计划、控制框架有效性评价、执行有效性评价、评估和报告。通过这个过程将内部控制框架中的制度性缺陷和执行性缺陷找出来,实施持续改进。同时加强内部审计与控制自我评估(CSA)两项职能。内部审计实施的是传统的控制评价和监督的职能,作为一个常规性评价在内部控制系统中作用,且关注的重点是与财务报告内部控制环节。而内部控制自我评估扩大了控制主体:将董事会(治理层次)、经理层(管理层)、员工(作业层)集合起来讨论与之相关的内部控制。集思广益,更宜控制风险,提高效率;扩大了控制范围:控制不仅仅是财务会计控制,而且包括与实现企业目标的一切环节;控制更灵活:不是常规性问卷调查和符合性测试,引入了以目标为基础的、以控制为基础的、以流程为基础的、以风险为基础的引导会议法。控制效率更高:不仅有利与硬控制评价,更有利于评价软控制,CSA是一种较好适合现代企业三维控制体系的评估方法。
(编辑 聂慧丽)