企业内部控制创新发展

美国COSO委员会于1992年提出并于1994年修改的《内部控制——整体框架》中对内部控制的定义得到广泛的认可并沿用至今,其对内部控制定义的描述如下:内部控制是由企业董事会、经理阶层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的过程。在此基础上,自20世纪90年代以来,企业内部控制理论得到了较好的创新发展。

一、内部控制框架理论分析

COSO委员会的报告《内部控制——整体框架》提出,为了实现内部控制的有效性,需要五个方面的要素支持:控制环境,风险评估,控制活动,信息与沟通和监督。这五要素之间是不可分割相互联系的有机整体。

1.内部控制环境(controlenvironment)。环境要素是推动企业发展的动力,是其他控制要素的基础,决定着内部控制的规则与结构,决定了组织的氛围,影响组织中人们的内控意识。它包括管理者的道德品行及经营管理理念、组织结构、董事会、人力资源资源政策与实务、企业文化等。

2.风险评估(riskappraisal)。风险评估指的是判别和分析企业在完成自身目标过程中的各种风险,从而为风险管理提供基础。它包括风险辨识和风险分析,风险辨识的内容涉及到:科技的发展、顾客的需求或预期改变、竞争、新颁法律或行政命令,天然灾害、经济环境改变、资讯系统处理的中断、所聘雇员的品质、训练方法及激励制度、经理人责任的改变、企业活动的性质、员工可接近资产的程度、董事会或监督委员会不够坚定或无效等。

3.内部控制活动(controlactivity)。企业必须制定具体的控制政策及程序并加以实行,以帮助管理层确保在进行风险评估和处理基础上其所采取的各种行动能使企业实现自身目标。内部控制活动就是指为保证目标得以实现而建立的各种政策和程序。控制活动贯穿于整个组织的各个层次和各部门,包括控制范围设定、授权、协调、业绩考核、资产安全保障以及职责划分等。

4.信息与沟通(informationandcommunication)。信息与沟通是指以一定的形式和在一定的时间段内辨认、获得的,为员工在执行、管理和控制作业过程中所需的信息,以及信息的交换和传递。要想建立一个健全有效的内部控制系统,拥有一套完善的信息传递与沟通系统是不可少的。若组织内部的信息渠道不畅,内部控制的效果就会大打折扣。

5.监督(monitoring)。监督是指评估内部控制运作质量的过程,包括持续性监控活动和个别评估。这里的持续性监控活动是指营业过程中例行监督,包括管理人员的日常管理和监督以及职员执行职务时采取的其他行动。内部控制作用的发挥,有赖于建立起健全有效的内控系统,更有赖于其能够良好运行。为此,整个内部控制的过程必须得到恰当的监督,以便在必要时加以修正,这种监督活动的形式主要是审计监督。

二、COSO报告关于内部控制理论的创新与突破

与此前的内部控制理论相比,COSO报告中的内部控制整体框架理论有了新的变化,比如,内部控制理论结构有所改变,由原来的三分法变成五分法;提出了一个全新的风险评估的内容;称谓有所变化,原来的会计制度变成信息与沟通,原先的控制程序称为控制活动;要素间关系发生了变化,原来的结构并不强调其要素的联系,而现在则明确指出了要素之间的相互关系。

除了这些名称、结构上的变化,COSO报告关于内部控制框架的论述中在理论上的创新更多地体现在它包含了很多新的、有价值的观点。体现在以下几个方面:(1)强调内部控制应该是一个与企业的经营管理过程相结合的“动态过程”。(2)明确对“内部控制”的责任。(3)强调“人”的重要性。(4)强调“软控制”的作用。(5)强调风险意识。(6)揉和了管理与控制。(7)明确内部控制只能做到“合理”保证。

三、内部控制理论的新发展——企业全面风险管理(ERM)

COSO委员会于2004年9月29日正式《企业风险管理综合框架》(ERM-IF)并提出将以ERM取代内部控制综合框架(IC-IF),标志着内部控制理论与实践进入了整体框架的新阶段。ERM框架从内部控制的控制环境、风险评估、控制活动、信息与沟通、监督等五要素进行深化和拓展,将原有的风险评估一个要素发展为目标设定、事项识别、风险评估和风险反应等四个要素,从而将内控五要素发展为风险管理框架的八个要素。

1.ERM框架的三个维度

ERM框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有四个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。

2.全面风险管理与内部控制框架

从COSO的ERM框架和内部控制框架可以看出,全面风险管理与内部控制框架既相互联系又有重要差异。

从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定,事件识别和风险对策三个要素。因此,全面风险管理涵盖了内部控制。

从二者的实质内容看,两者存在以下两项重要差异:第一,两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。第二,两者对风险的定义和对策不一致。全面风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),因此,该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;内部控制框架没有区分风险和机会。而且由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法。因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。

四、企业内部控制理论发展的几点启示

从COSO报告所定义的内部控制可以看出,一个企业为了实现其既定目标,应当在培育一种积极的内部控制环境的基础上,识别、衡量和评估经营管理活动中所涉及的各种突出风险点,针对风险点设置各种控制机制,并不断地对上述整个过程的适当性和有效性进行监督和评审,内部管理信息系统为整个过程提供条件。从内部控制理论的创新发展的过程中我们可以从中得到以下几点启示:

1.内部控制的“责任”及“软控制”的必要性。从内部控制的定义来看,对内部控制负有责任的不仅仅是管理人员、内部审计、董事会,企业的每一个员工对内部控制都负有责任。所有员工都应该主动遵守企业内部控制制度,团结一致,为实现企业的目标而维护内部控制。软控制主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。

2.内部控制应与企业经营管理过程结合起来。内部控制是经营活动的一部分,与经营过程相结合,模糊了管理与控制的界限,内部控制监督企业经营过程的持续进行,使经营达到预期效果。

3.风险意识在内部控制中占据重要地位。良好的内部控制可以防范企业的风险,合理地保证内控目标的实现。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,对风险的管理是现代企业的主旋律之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遭遇风险,管理阶层须密切注意各层级的风险,并采取必要的管理措施。

4.内部控制具有动态性。企业内部控制不是一项制度或一个机械的规定,而是对企业的整个经营管理过程进行监督与控制的过程,是不断地与经营过程、管理过程相摩擦控制过程。企业经营管理环境的变化必然要求企业内部控制越来越趋于完善,内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程,是不断修正和更新的动态过程。

5.内部控制需要有效的信息系统。一个良好的信息和沟通系统,可以使企业及时掌握营运状况和组织中发生的各种情况,及时为企业员工提供履行职责所需的各种信息,使企业的经营和管理流畅进行。有效的管理信息系统可以及时地提供各方所需要的信息,提供企业各部门管理控制生产、考核工作成果以及提供企业高层决策人员制定经营方针、制定规划、进行决策所需的会计和管理信息。企业的人员通过管理信息系统了解了企业目前的状况,才能对可能发生的异常状况及时做出反应,从而及时报告,以防止重大损失的发生。

6.内部控制目标的设定非常重要。内部控制目标的设定是管理过程的一个重要部分,虽然它不是内部控制的组成要素,但却是内部控制的先决条件。制定目标的过程不是控制活动,但其对内部控制的意义重大,直接影响到内部控制是否有存在的必要。企业控制目标的确定,有利于不同的人从不同的视角关注企业内部控制的不同方面。而且,不论内部控制设计及执行有多么完善,内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。