掃碼下載APP
及時接收最新考試資訊及
備考信息
[摘 要]內部控制是現代企業(yè)管理架構的核心內容,是企業(yè)持續(xù)發(fā)展的制度保證。COSO報告提出了企業(yè)內部控制的總體框架,是全球企業(yè)內部控制理論的深化和實踐的最新發(fā)展,對中國企業(yè)內部控制機制的建設與完善具有重要的指導價值。
?。坳P鍵詞]企業(yè)管理;內部控制;COSO報告
內部控制是現代企業(yè)管理架構的構成部分,是企業(yè)持續(xù)發(fā)展的制度保證?,F代企業(yè)理論和管理實踐表明,企業(yè)一切管理工作,都是從建立和健全內部控制開始的;企業(yè)的一切活動,都無法游離于內部控制之外??梢哉f,“得控則強,失控則弱,無控則亂”。因此,內部控制在現代企業(yè)管理中居于戰(zhàn)略地位。
一、關于內部控制的內涵
長期以來,人們對內部控制有不同的認識,提出了各種各樣的觀點。例如“過程論”把內部控制定義為實現一組目標而提供合理保證的一種過程:“程序論”則認為內部控制是指基本的內部會計控制及風險管理政策及程序:“制度論”認為內部控制是企業(yè)為實現經營目標,根據經營環(huán)境變化,對企業(yè)經營與管理過程中的風險進行識別、評價和管理的制度安排、組織體系和控制措施:“系統則將內部控制定義為一種多要素構成的‘系統’”。另外,國內外還有“行為論”、“結果論”、“狀態(tài)(環(huán)境)論”、“綜合論”等其他觀點。這些觀點都是從不同立場或不同角度觀察內部控制的結果,從不同側面揭示了內部控制的某些特征。
那么,到底什么是內部控制呢?COSO報告將內部控制定義為:由一個企業(yè)的董事長、管理層和其他人員實現的過程,旨在為下列目標提供合理保證:經營的效果和效率;財務報告的可靠性;符合適用的法律和法規(guī)。
在這個定義中,有四個關鍵詞值得注意:目標(objectives)、人(personnel)、過程(process)、合理保證(reasonable assurance)。也就是說,內部控制以過程為導向;受人的因素影響;受目標的驅動;存在局限性,即內部控制所提供的是合理的保證而非絕對的保證??梢?,COSO報告對內部控制的定義具有豐富的內涵,同時具有科學的限定,這是截至目前最權威、最通用的內部控制定義。
二、內部控制的構成要素與整體框架
COSO報告提出了內部控制的五個構成要素,即所謂的“五點論”,它們分別是控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。
?。ㄒ唬┛刂骗h(huán)境(Control Environment)
起初人們只是將控制環(huán)境作為內部控制的外部因素來看待,但漸漸地人們認識到控制環(huán)境是內部控制的一個組成部分,是充分有效的內部控制體系得以建立和運行的基礎及保證,因而應該包含在企業(yè)內部控制的范圍內。
COSO報告則把控制環(huán)境作為內部控制系統的首要因素,認為控制環(huán)境是一個企業(yè)進行內部控制的氛圍,是其他控制成份的基礎。具體包括以下內容:(1)員工的誠實性和道德觀,如有無描述可接受的商業(yè)行為、利益沖突及道德行為標準的行為準則。(2)員工的勝任能力,如雇員是否能勝任質量管理的要求。(3)董事會或審計委員會,如董事會是否獨立于管理層。(4)管理哲學和經營方式,如管理層對人為操縱的或錯誤的記錄的態(tài)度。(5)組織結構,如信息是否到達合適的管理階層。(6)授予權利和責任的方式,如關鍵部門的經理的職責是否有充分規(guī)定。(6)人力資源政策和實施,如是否有關于雇傭、培訓、提升和獎勵雇員的政策。
仔細分析以上描述,控制環(huán)境可以歸納為兩大方面:一是“軟環(huán)境”:包括企業(yè)的管理哲學、控制文化(culture of controls)、風險意識、人的素質與品德等看不見、摸不著、卻在內部控制中起著決定性作用的無形因素構成的氛圍。二是“硬環(huán)境”:包括企業(yè)的所有權結構、法人治理結構、組織體系、權力分配等結構性因素。企業(yè)只有建立包括董事會、管理層等在內的完善的治理結構,以及科學合理的組織體系,并合理配置各層次、各方面的權責,內部控制系統才有所依托并得以運轉。可見,控制環(huán)境既是一個企業(yè)管理架構的組成部分,也是其內部控制系統的構成要素。控制環(huán)境確立了一個企業(yè)的基調,影響公司及人員的控制意識和導向。它是其他內部控制要素的基礎,提供規(guī)則和結構。只有打牢控制環(huán)境這個根基,企業(yè)內部控制系統的“大廈”才能建立起來并真正發(fā)揮作用。
?。ǘ╋L險評估(Risk Assessment)
風險控制對企業(yè)來說具有特別重要的意義,不僅是企業(yè)內部控制的主要目標,而且是企業(yè)內部控制的核心要素和軸心工作。
COSO報告認為,風險評估指管理層識別并采取相應行動來管理對經營、財務報告、合規(guī)性目標有影響的內部或外部風險,包括風險識別和風險分析。風險識別包括對外部因素(如技術發(fā)展、競爭、經濟變化)和內部因素(如員工素質、公司活動性質、信息系統處理的特點)進行檢查。風險分析涉及估計風險的重大程度、評價風險發(fā)生的可能性及考慮如何管理風險等。
需要特別強調的是:這里的要素是“風險評估”,而不是“風險管理”。在一般人眼里,內部控制就是風險管理。其實,兩者是不同的。COSO報告第一稿曾將包括風險管理在內的企業(yè)管理等眾多內容排除在內部控制之外(見表1),后來又不聲不響地將風險管理繞回到報告之中(1996年,COSO委員會發(fā)布的《金融衍生工具運用中的內部控制問題》中強調了運用內部控制對風險管理活動進行評價)。那么內部控制與風險管理之間是什么關系呢?其可以概括為:內部控制的動力源于風險防范并構成風險管理的必要環(huán)節(jié),但內部控制并不等同于風險管理,只能防范風險,不能轉嫁、承擔、化解或分散風險。
?。ㄈ┛刂苹顒樱–ontrol Activities)
控制活動是企業(yè)內部控制的實質性要素,是依托于控制環(huán)境進行的實際控制行為。COSO報告認為,控制活動指對所確認的風險采取必要的措施,以保證單位目標得以實現的政策和程序。在實踐中,控制活動形式多樣,可將其歸結為以下四類。
1. 業(yè)績評價,是指將實際業(yè)績與其他標準,如前期業(yè)績、預算和外部基準尺度進行比較;將不同系列的數據相聯系,如經營數據和財務數據,對功能或運行業(yè)績進行評價。這些評價活動對實現企業(yè)經營的效果和效率非常有用,但一般與財務報告的可靠性和公允性相關度不高。
2. 信息處理,指保證業(yè)務在信息系統中正確、完全和經授權處理的活動。信息處理控制可分為兩類:一般控制和應用控制。一般控制與信息系統設計和管理有關,如保證軟件完整的程序、信息處理時間表、系統文件和數據維護等;應用控制與個別數據在信息系統中處理的方式有關;如保證業(yè)務正確性和已授權的程序。
3. 實物控制,也稱為資產和記錄接近控制,這些控制活動包括實物安全控制、對計算機以及數據資料的接觸予以授權、定期盤點以及將控制數據予以對比。實物控制中防止資產被竊的程序與財務報告的可靠性有關,如在編制財務報告時,管理層僅僅依賴于永續(xù)存貨記錄,則存貨的接近控制與審計有關。
4. 職責分離,指將各種功能性職責分離,以防止單獨作業(yè)的雇員從事或隱藏不正常行為。一般來說,下面的職責應被分開:業(yè)務授權(管理功能)、業(yè)務執(zhí)行(保管職能)、業(yè)務記錄(會計職能)及對業(yè)績的獨立檢查(監(jiān)督職能)。理想狀態(tài)的職責分離是,沒有一個職員負責超過一個的職能。
?。ㄋ模┬畔⑴c溝通(Information and Communication)
信息與溝通,指為了使職員能執(zhí)行其職責,企業(yè)必須識別、捕捉、交流外部和內部信息。外部信息包括市場份額、法規(guī)要求和客戶投訴等信息。內部信息包括會計制度,即由管理當局建立的記錄和報告經濟業(yè)務和事項,維護資產、負債和業(yè)主權益的方法和記錄。有效的會計制度應是:(1)包括可以確認所有有效業(yè)務的方法和記錄;(2)序時詳細記錄業(yè)務以便于歸類,提供財務報告;(3)采用恰當的貨幣價值來計量業(yè)務;(4)確定業(yè)務發(fā)生時期以保證業(yè)務記錄于合理的會計期間,在財務報告中恰當披露業(yè)務。
溝通是使員工了解其職責,保持對財務報告的控制。它包括使員工了解在會計制度中他們的工作如何與他人相聯系,如何對上級報告例外情況。溝通的方式有政策手冊、財務報告手冊、備查簿,以及口頭交流或管理示例等。
有人曾質疑信息與溝通是否應作為內部控制中一個單獨的構成要素,例如加拿大CICA下屬的控制標準委員會(負責制定內部控制標準的機構,即COCO)就認為,信息與溝通應該整合到其他的部分中去,因此COCO沒有把其作為內部控制的構成要素。筆者認為,這種觀點不符合現代信息社會的普遍特征,沒有認識到現代企業(yè)運行中信息的重要性,尤其是與現代企業(yè)高度信息化、電子化的特征相矛盾。我們贊同COSO報告、巴塞爾委員會等的主流做法:把信息與溝通作為內部控制必要的、單獨的構成要素予以強調。
?。ㄎ澹┍O(jiān)控(Monitoring)
COSO報告認為,監(jiān)控指評價內部控制質量的過程,即對內部控制改革、運行及改進活動進行評價。包括內部審計和與單位外部人員、團體進行交流??梢?,監(jiān)控實際上是企業(yè)對內部控制實施效果進行評價的過程,是企業(yè)站在更高的整體的層面對其他控制要素的整合及調適,是獨立的、進一步的控制活動,因而是企業(yè)完整的內部控制系統必不可少的后續(xù)要素。
?。┱w框架(Whole Framework)
上述五大要素之間具有緊密的關系:控制環(huán)境是其他控制成份的基礎,在規(guī)劃控制活動時,必須對企業(yè)可能面臨的風險有細致的了解和評估;而風險評估和控制活動必須借助企業(yè)內部信息有效的溝通;最后,實施有效的監(jiān)控以保障內部控制的實施質量。五大要素實際上構成了內部控制的立體框架模式(如圖1所示)。
三、對COSO報告的評價
(一)COSO報告的理論貢獻
同以往的內部控制理論及研究成果相比,COSO報告提出了許多新的、有價值的觀點,代表了現代內部控制理論的最新成果和目前的最高水平。其貢獻歸納起來主要表現在以下12個方面。
1. 內部控制通用定義為相關團體提供了理解內部控制的共同基礎。COSO報告通過整合不同的內部控制觀念,接納多數性的觀點,建立了內部控制的通用定義,為各方提供了一種通用語言和溝通平臺,從而使內部控制的交流更有效果。
2. 內部控制整體框架論有助于改變內部控制雜散、機械的現象。COSO報告指出,內部控制是由五大部分組成的,而這五大部分緊密融入到企業(yè)的管理過程中,并形成了有機聯系的整體,所以,內部控制不再僅僅被看作是一項制度或一條條機械的規(guī)定,而是動態(tài)的過程和有序的系統,是一個有機的整體。
3. 強調內部控制是一個持續(xù)的“動態(tài)過程”。內部控制是對企業(yè)的整個經營管理活動進行監(jiān)督與控制的過程,企業(yè)的經營活動是永不停止的,企業(yè)的內部控制過程也因此不會停止。企業(yè)內部控制不是一項制度或一個機械的規(guī)定,企業(yè)經營管理環(huán)境的變化必然要求企業(yè)內部控制越來越趨于完善,內部控制是一個發(fā)現問題、解決問題、發(fā)現新問題、解決新問題的循環(huán)往復的過程。
4. 強調內部控制的三類目標。COSO報告單獨對內部控制的目標進行了解析和闡釋,將內部控制目標分為三類:與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業(yè)控制目標,有利于不同的人從不同的視角關注企業(yè)內部控制的不同方面,尤其是將內部控制觀念從財務報告這一傳統的、狹窄的、技術性的方面突破出來,大大拓展了內部控制的范疇。
5. 強調內部控制應該與企業(yè)的經營管理過程相結合。COSO報告認為,經營過程是指通過規(guī)劃、執(zhí)行及監(jiān)督等基本的管理過程對企業(yè)加以管理。這個過程由企業(yè)的某一個單位或部門進行,或由若干個單位或部門共同進行。內部控制是企業(yè)經營過程的一部分,與經營過程結合在一起,而不是凌駕于企業(yè)的基本活動之上,它使經營達到預期的效果,并監(jiān)督企業(yè)經營過程的持續(xù)進行。不過,內部控制只是管理的一種工具,并不能取代管理。
6. 強調內部控制中“人”的重要性。COSO報告特別強調,內部控制受企業(yè)的董事會、管理階層及其他員工影響,透過企業(yè)之內的人所做的行為及所說的話而完成。只有人才可能制定企業(yè)的目標,并設置控制的機制。反過來,內部控制影響著人的行動。
7. 強調“軟控制”的作用。相對于以前的內部控制研究成果而言,COSO報告更加強調“軟控制”的作用。軟控制主要是指那些屬于精神層面的事物,如高級管理階層的管理風格、管理哲學、企業(yè)文化和內部控制意識等。
8. 強調風險意識?,F代社會是一個充滿劇烈競爭的社會,每一個企業(yè)都面臨著成功的挑戰(zhàn)和失敗的風險,對風險的管理是現代企業(yè)的主旋律之一。風險影響著每個企業(yè)生存和發(fā)展的能力,也影響其在產業(yè)中的競爭力及在市場上的聲譽和形象。COSO報告指出,所有的企業(yè),不論其規(guī)模、結構、性質或產業(yè)是什么,其組織的不同層級都會遭遇風險,管理層須密切注意各層級的風險,并采取必要的管理措施。
9. 揉和了管理與控制的界限。在COSO報告中,控制已不再是管理的一部分,管理和控制的職能與界限已經模糊。
10. 明確對內部控制的“責任”。在世界內部控制發(fā)展史上,COSO報告第一次明確地闡述了內部控制的制定與實施的責任問題。該報告認為,不僅僅是董事會、管理人員和內部審計人員與內部控制有關,組織中的每一個人都在內部控制中擔當一定的角色,都對內部控制負有一定的責任。確立這種組織思想有利于將企業(yè)的所有員工團結一致,使其主動地維護及改善企業(yè)的內部控制,而不是與管理層相互對立,被動地執(zhí)行內部控制。值得注意的是,它指出外部團體如外部審計師、監(jiān)管組織等并不對企業(yè)內部控制負有責任。這有利于企業(yè)完善內部治理結構,從而真正地將內部控制落到實處。
11. 明確指出內部控制的“局限性”。COSO報告認為:不論設計及執(zhí)行有多么完善,內部控制都只能為管理層及董事會提供達成企業(yè)目標的合理保證,而不是絕對保證。而目標達成的可能性,尚受內部控制之先天條件所限制。內部控制的限制因素主要有:職員對與內部控制有關的決策的判斷可能有錯誤;職員可能出現差錯或錯誤;管理人員逾越內部控制是可能的;集體合謀或進行掩蓋可能導致控制失敗等。
12. 提出內部控制的成本與效益原則。COSO報告明確指出,內部控制要建立在成本與效益原則的基礎上。內部控制并不是要消除任何濫用職權的可能性,而是要創(chuàng)造一種為防范濫用職權而投入的成本與濫用職權的累計數額之比呈合理狀態(tài)(即經濟原則)的機制。因此,沒有不花錢的內部控制,也不存在完美無缺的內部控制。
總之,COSO報告在內部控制理論研究方面做出了巨大的貢獻,成為當今世界關于內部控制的主流觀點,被奉為經典和權威。在內部控制實務操作方面,則成為廣泛接受的標準和指南,具有普遍的應用價值。
(二)COSO報告的不足與完善
COSO報告承認,盡管它代表了集體研究的結晶并力求完善,但它同時也標志著內部控制觀念和實務上評估、創(chuàng)新、教育和研究的重要和全新的起點,而不應是終止。因此,內部控制理論研究和實務應用在內部控制整體框架的基礎上,有可能也應該進一步發(fā)展。
在肯定COSO報告價值的同時,我們也不應忽視一些不同的意見。比如,在COSO報告公布不久,美國審計總署(GAO)就曾對該報告的許多方面提出過批評,并指責這個框架有嚴重缺陷,其內部控制定義中缺乏保障資產的概念,還認為這個框架對內部控制重要性的強調不夠,喪失了改善內部控制監(jiān)督和評估的機會。此外,對COSO框架最具挑戰(zhàn)的來自其本身的概念基礎以及其他非會計執(zhí)業(yè)界制定的標準。COSO框架聲稱,并不是所有的管理責任都是內部控制的組成部分,因而將戰(zhàn)略計劃、目標設定、保持核心競爭力及董事會責任等要素排除在外。而許多公司的經營失敗很多是因經營戰(zhàn)略的失敗,公司不具有效的治理結構,經營業(yè)績明顯低于業(yè)界平均水平所引起。顯然,COSO框架對這些問題的關注是不夠的,它將注意力集中在如何對外披露與財務報告有關的內部控制上。
COSO報告發(fā)布后,在全球范圍產生了廣泛的影響,許多國家予以回應或予以承認。當今世界另外幾個主流內部控制報告如加拿大的COCO、英國的Cadbury報告、國際內部審計師協會(IIA)的SAC、信息系統審計與控制協會的(ISACA)的Cobit,以及巴塞爾銀行監(jiān)督委員會1998年發(fā)布的《銀行組織內部控制系統框架》都與COSO框架緊密相關。中國有關部門制定的內部控制標準,包括證監(jiān)會發(fā)布的《證券公司內部控制指引(2003)》、中國人民銀行發(fā)布的《商業(yè)銀行內部控制指引(2002)》、中國內部審計協會發(fā)布的《內部審計準則——內部控制(2003)》,其核心內容也與COSO報告一脈相承。
2001年底美國發(fā)生的“安然事件”等一系列財務丑聞,又一次讓內部控制成為關注的焦點。針對上述公司失敗事件,美國國會在2002年出臺了《薩班斯—奧克斯利法案》,該法案為公眾公司的外部審計師們創(chuàng)建了一個廣泛的、新的監(jiān)督體制,并將對財務報告的內部控制作為關注的具體內容。國會不僅要求管理層報告公司對財務報告的內部控制,而且要求外部審計師證實管理層報告的準確性。此外,美國證監(jiān)會SEC對該標準的認同等于從另外一個側面承認了COSO報告(此前SEC一直不采納)。這也表明COSO框架在2004年成為了美國的內部控制標準。這是COSO的重大勝利,是COSO每個成員機構多年的不懈努力的結果。
不過,COSO報告本身并不是完美無缺,畢竟,對內部控制的理解是在不斷演進的。隨著人們對內部控制越發(fā)熟悉,積累的經驗越多,他們對內部控制的理解就會隨時間而改變,而這或多或少取決于影響和決定內部控制的諸多力量。并且,不同的利益群體對內部控制的觀點存在不同的認識。例如,會計行業(yè)與非會計行業(yè)在關注內部控制的問題上是有重大差別的,如何將會計界的內部控制語言轉換為管理界的內部控制語言,仍是一個需要長期溝通和探索的問題。
參考文獻
?。?]馬廣奇。資本市場博弈論[M]。上海:上海財經大學出版社,2006.
?。?]史蒂文。J.魯特。超越COSO:強化公司治理的內部控制[M]。劉霄侖譯。北京:中信出版社,2004.
?。?]謝榮,劉華。證券公司內部控制系統研究[M]。北京:中國財政經濟出版社,2004.
?。?]吳水澎,邵賢弟,陳漢文。企業(yè)內部控制理論的發(fā)展與啟示[J]。會計研究,2000,(5)。
上一篇:淺議企業(yè)內部控制
Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有
京B2-20200959 京ICP備20012371號-7 出版物經營許可證 京公網安備 11010802044457號