內(nèi)部控制是現(xiàn)代企業(yè)管理架構的構成部分,是企業(yè)持續(xù)發(fā)展的制度保證，

企業(yè)內(nèi)部控制的新進展

。現(xiàn)代企業(yè)理論和管理實踐表明,企業(yè)一切管理工作,都是從建立和健全內(nèi)部控制開始的;企業(yè)的一切活動,都無法游離于內(nèi)部控制之外。可以說,“得控則強,失控則弱,無控則亂”。因此,內(nèi)部控制在現(xiàn)代企業(yè)管理中居于戰(zhàn)略地位。

    一、關于內(nèi)部控制的內(nèi)涵

    長期以來,人們對內(nèi)部控制有不同的認識,提出了各種各樣的觀點。例如“過程論”把內(nèi)部控制定義為實現(xiàn)一組目標而提供合理保證的一種過程;“程序論”則認為內(nèi)部控制是指基本的內(nèi)部會計控制及風險管理政策及程序;“制度論”認為內(nèi)部控制是企業(yè)為實現(xiàn)經(jīng)營目標,根據(jù)經(jīng)營環(huán)境變化,對企業(yè)經(jīng)營與管理過程中的風險進行識別、評價和管理的制度安排、組織體系和控制措施;“系統(tǒng)則將內(nèi)部控制定義為一種多要素構成的“系統(tǒng)”。另外,國內(nèi)外還有“行為論”、“結果論”、“狀態(tài)(環(huán)境)論”、“綜合論”等其他觀點。這些觀點都是從不同立場或不同角度觀察內(nèi)部控制的結果,從不同側(cè)面揭示了內(nèi)部控制的某些特征。

    那么,到底什么是內(nèi)部控制呢?COSO報告將內(nèi)部控制定義為:由一個企業(yè)的董事長、管理層和其他人員實現(xiàn)的過程,旨在為下列目標提供合理保證:經(jīng)營的效果和效率;財務報告的可靠性;符合適用的法律和法規(guī)。

    在這個定義中,有四個關鍵詞值得注意:目標(objectives)、人(personnel)、過程(process)、合理保證(reasonable assurance)。也就是說,內(nèi)部控制以過程為導向;受人的因素影響;受目標的驅(qū)動;存在局限性,即內(nèi)部控制所提供的是合理的保證而非絕對的保證�？梢�,COSO報告對內(nèi)部控制的定義具有豐富的內(nèi)涵,同時具有科學的限定,這是截至目前最權威、最通用的內(nèi)部控制定義。

    二、內(nèi)部控制的構成要素與整體框架

    COSO報告提出了內(nèi)部控制的五個構成要素,即所謂的“五點論”,它們分別是控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。

    (一)控制環(huán)境(Control Environment)

    起初人們只是將控制環(huán)境作為內(nèi)部控制的外部因素來看待,但漸漸地人們認識到控制環(huán)境是內(nèi)部控制的一個組成部分,是充分有效的內(nèi)部控制體系得以建立和運行的基礎及保證,因而應該包含在企業(yè)內(nèi)部控制的范圍內(nèi)。

    COSO報告則把控制環(huán)境作為內(nèi)部控制系統(tǒng)的首要因素,認為控制環(huán)境是一個企業(yè)進行內(nèi)部控制的氛圍,是其他控制成份的基礎。具體包括以下內(nèi)容:(1)員工的誠實性和道德觀,如有無描述可接受的商業(yè)行為、利益沖突及道德行為標準的行為準則。(2)員工的勝任能力,如雇員是否能勝任質(zhì)量管理的要求。(3)董事會或?qū)徲嬑瘑T會,如董事會是否獨立于管理層。(4)管理哲學和經(jīng)營方式,如管理層對人為操縱的或錯誤的記錄的態(tài)度。(5)組織結構,如信息是否到達合適的管理階層。(6)授予權利和責任的方式,如關鍵部門的經(jīng)理的職責是否有充分規(guī)定。(6)人力資源政策和實施,如是否有關于雇傭、培訓、提升和獎勵雇員的政策。

    仔細分析以上描述,控制環(huán)境可以歸納為兩大方面:一是“軟環(huán)境”:包括企業(yè)的管理哲學、控制文化(culture of controls)、風險意識、人的素質(zhì)與品德等看不見、摸不著、卻在內(nèi)部控制中起著決定性作用的無形因素構成的氛圍。二是“硬環(huán)境”:包括企業(yè)的所有權結構、法人治理結構、組織體系、權力分配等結構性因素。企業(yè)只有建立包括董事會、管理層等在內(nèi)的完善的治理結構,以及科學合理的組織體系,并合理配置各層次、各方面的權責,內(nèi)部控制系統(tǒng)才有所依托并得以運轉(zhuǎn)�？梢�,控制環(huán)境既是一個企業(yè)管理架構的組成部分,也是其內(nèi)部控制系統(tǒng)的構成要素�？刂骗h(huán)境確立了一個企業(yè)的基調(diào),影響公司及人員的控制意識和導向。它是其他內(nèi)部控制要素的基礎,提供規(guī)則和結構。只有打牢控制環(huán)境這個根基,企業(yè)內(nèi)部控制系統(tǒng)的“大廈”才能建立起來并真正發(fā)揮作用。

    (二)風險評估(Risk Assessment)

    風險控制對企業(yè)來說具有特別重要的意義,不僅是企業(yè)內(nèi)部控制的主要目標,而且是企業(yè)內(nèi)部控制的核心要素和軸心工作。

    COSO報告認為,風險評估指管理層識別并采取相應行動來管理對經(jīng)營、財務報告、合規(guī)性目標有影響的內(nèi)部或外部風險,包括風險識別和風險分析。風險識別包括對外部因素(如技術發(fā)展、競爭、經(jīng)濟變化)和內(nèi)部因素(如員工素質(zhì)、公司活動性質(zhì)、信息系統(tǒng)處理的特點)進行檢查。風險分析涉及估計風險的重大程度、評價風險發(fā)生的可能性及考慮如何管理風險等。

    需要特別強調(diào)的是:這里的要素是“風險評估”,而不是“風險管理”。在一般人眼里,內(nèi)部控制就是風險管理。其實,兩者是不同的。COSO報告第一稿曾將包括風險管理在內(nèi)的企業(yè)管理等眾多內(nèi)容排除在內(nèi)部控制之外(見表1),后來又不聲不響地將風險管理繞回到報告之中(1996年,COSO委員會發(fā)布的《金融衍生工具運用中的內(nèi)部控制問題》中強調(diào)了運用內(nèi)部控制對風險管理活動進行評價)。那么內(nèi)部控制與風險管理之間是什么關系呢?其可以概括為:內(nèi)部控制的動力源于風險防范并構成風險管理的必要環(huán)節(jié),但內(nèi)部控制并不等同于風險管理,只能防范風險,不能轉(zhuǎn)嫁、承擔、化解或分散風險。

   

    三)控制活動(Control Activities)

    控制活動是企業(yè)內(nèi)部控制的實質(zhì)性要素,是依托于控制環(huán)境進行的實際控制行為。COSO報告認為,控制活動指對所確認的風險采取必要的措施,以保證單位目標得以實現(xiàn)的政策和程序。在實踐中,控制活動形式多樣,可將其歸結為以下四類。

    1. 業(yè)績評價,是指將實際業(yè)績與其他標準,如前期業(yè)績、預算和外部基準尺度進行比較;將不同系列的數(shù)據(jù)相聯(lián)系,如經(jīng)營數(shù)據(jù)和財務數(shù)據(jù),對功能或運行業(yè)績進行評價。這些評價活動對實現(xiàn)企業(yè)經(jīng)營的效果和效率非常有用,但一般與財務報告的可靠性和公允性相關度不高。

    2. 信息處理,指保證業(yè)務在信息系統(tǒng)中正確、完全和經(jīng)授權處理的活動。信息處理控制可分為兩類:一般控制和應用控制。一般控制與信息系統(tǒng)設計和管理有關,如保證軟件完整的程序、信息處理時間表、系統(tǒng)文件和數(shù)據(jù)維護等;應用控制與個別數(shù)據(jù)在信息系統(tǒng)中處理的方式有關;如保證業(yè)務正確性和已授權的程序。

    3. 實物控制,也稱為資產(chǎn)和記錄接近控制,這些控制活動包括實物安全控制、對計算機以及數(shù)據(jù)資料的接觸予以授權、定期盤點以及將控制數(shù)據(jù)予以對比。實物控制中防止資產(chǎn)被竊的程序與財務報告的可靠性有關,如在編制財務報告時,管理層僅僅依賴于永續(xù)存貨記錄,則存貨的接近控制與審計有關。

    4. 職責分離,指將各種功能性職責分離,以防止單獨作業(yè)的雇員從事或隱藏不正常行為。一般來說,下面的職責應被分開:業(yè)務授權(管理功能)、業(yè)務執(zhí)行(保管職能)、業(yè)務記錄(會計職能)及對業(yè)績的獨立檢查(監(jiān)督職能)。理想狀態(tài)的職責分離是,沒有一個職員負責超過一個的職能。

    (四)信息與溝通(Information and Communication)

    信息與溝通,指為了使職員能執(zhí)行其職責,企業(yè)必須識別、捕捉、交流外部和內(nèi)部信息。外部信息包括市場份額、法規(guī)要求和客戶投訴等信息。內(nèi)部信息包括會計制度,即由管理當局建立的記錄和報告經(jīng)濟業(yè)務和事項,維護資產(chǎn)、負債和業(yè)主權益的方法和記錄。有效的會計制度應是:(1)包括可以確認所有有效業(yè)務的方法和記錄;(2)序時詳細記錄業(yè)務以便于歸類,提供財務報告;(3)采用恰當?shù)呢泿艃r值來計量業(yè)務;(4)確定業(yè)務發(fā)生時期以保證業(yè)務記錄于合理的會計期間,在財務報告中恰當披露業(yè)務。

    溝通是使員工了解其職責,保持對財務報告的控制。它包括使員工了解在會計制度中他們的工作如何與他人相聯(lián)系,如何對上級報告例外情況。溝通的方式有政策手冊、財務報告手冊、備查簿,以及口頭交流或管理示例等。

    有人曾質(zhì)疑信息與溝通是否應作為內(nèi)部控制中一個單獨的構成要素,例如加拿大CICA下屬的控制標準委員會(負責制定內(nèi)部控制標準的機構,即COCO)就認為,信息與溝通應該整合到其他的部分中去,因此COCO沒有把其作為內(nèi)部控制的構成要素。筆者認為,這種觀點不符合現(xiàn)代信息社會的普遍特征,沒有認識到現(xiàn)代企業(yè)運行中信息的重要性,尤其是與現(xiàn)代企業(yè)高度信息化、電子化的特征相矛盾。我們贊同COSO報告、巴塞爾委員會等的主流做法:把信息與溝通作為內(nèi)部控制必要的、單獨的構成要素予以強調(diào)。

    (五)監(jiān)控(Monitoring)

    COSO報告認為,監(jiān)控指評價內(nèi)部控制質(zhì)量的過程,即對內(nèi)部控制改革、運行及改進活動進行評價，

管理資料

《企業(yè)內(nèi)部控制的新進展》(http://www.lotusphilosophies.com)。包括內(nèi)部審計和與單位外部人員、團體進行交流�？梢�,監(jiān)控實際上是企業(yè)對內(nèi)部控制實施效果進行評價的過程,是企業(yè)站在更高的整體的層面對其他控制要素的整合及調(diào)適,是獨立的、進一步的控制活動,因而是企業(yè)完整的內(nèi)部控制系統(tǒng)必不可少的后續(xù)要素。

    (六)整體框架(Whole Framework)

    上述五大要素之間具有緊密的關系:控制環(huán)境是其他控制成份的基礎,在規(guī)劃控制活動時,必須對企業(yè)可能面臨的風險有細致的了解和評估;而風險評估和控制活動必須借助企業(yè)內(nèi)部信息有效的溝通;最后,實施有效的監(jiān)控以保障內(nèi)部控制的實施質(zhì)量。五大要素實際上構成了內(nèi)部控制的立體框架模式(如圖1所示)。

   

    三、對COSO報告的評價

    (一)COSO報告的理論貢獻

    同以往的內(nèi)部控制理論及研究成果相比,COSO報告提出了許多新的、有價值的觀點,代表了現(xiàn)代內(nèi)部控制理論的最新成果和目前的最高水平。其貢獻歸納起來主要表現(xiàn)在以下12個方面。

    1. 內(nèi)部控制通用定義為相關團體提供了理解內(nèi)部控制的共同基礎。COSO報告通過整合不同的內(nèi)部控制觀念,接納多數(shù)性的觀點,建立了內(nèi)部控制的通用定義,為各方提供了一種通用語言和溝通平臺,從而使內(nèi)部控制的交流更有效果。

    2. 內(nèi)部控制整體框架論有助于改變內(nèi)部控制雜散、機械的現(xiàn)象。COSO報告指出,內(nèi)部控制是由五大部分組成的,而這五大部分緊密融入到企業(yè)的管理過程中,并形成了有機聯(lián)系的整體,所以,內(nèi)部控制不再僅僅被看作是一項制度或一條條機械的規(guī)定,而是動態(tài)的過程和有序的系統(tǒng),是一個有機的整體。

    3. 強調(diào)內(nèi)部控制是一個持續(xù)的“動態(tài)過程”。內(nèi)部控制是對企業(yè)的整個經(jīng)營管理活動進行監(jiān)督與控制的過程,企業(yè)的經(jīng)營活動是永不停止的,企業(yè)的內(nèi)部控制過程也因此不會停止。企業(yè)內(nèi)部控制不是一項制度或一個機械的規(guī)定,企業(yè)經(jīng)營管理環(huán)境的變化必然要求企業(yè)內(nèi)部控制越來越趨于完善,內(nèi)部控制是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復的過程。

    4. 強調(diào)內(nèi)部控制的三類目標。COSO報告單獨對內(nèi)部控制的目標進行了解析和闡釋,將內(nèi)部控制目標分為三類:與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業(yè)控制目標,有利于不同的人從不同的視角關注企業(yè)內(nèi)部控制的不同方面,尤其是將內(nèi)部控制觀念從財務報告這一傳統(tǒng)的、狹窄的、技術性的方面突破出來,大大拓展了內(nèi)部控制的范疇。

    5. 強調(diào)內(nèi)部控制應該與企業(yè)的經(jīng)營管理過程相結合。COSO報告認為,經(jīng)營過程是指通過規(guī)劃、執(zhí)行及監(jiān)督等基本的管理過程對企業(yè)加以管理。這個過程由企業(yè)的某一個單位或部門進行,或由若干個單位或部門共同進行。內(nèi)部控制是企業(yè)經(jīng)營過程的一部分,與經(jīng)營過程結合在一起,而不是凌駕于企業(yè)的基本活動之上,它使經(jīng)營達到預期的效果,并監(jiān)督企業(yè)經(jīng)營過程的持續(xù)進行。不過,內(nèi)部控制只是管理的一種工具,并不能取代管理。

    6. 強調(diào)內(nèi)部控制中“人”的重要性。COSO報告特別強調(diào),內(nèi)部控制受企業(yè)的董事會、管理階層及其他員工影響,透過企業(yè)之內(nèi)的人所做的行為及所說的話而完成。只有人才可能制定企業(yè)的目標,并設置控制的機制。反過來,內(nèi)部控制影響著人的行動。

    7. 強調(diào)“軟控制”的作用。相對于以前的內(nèi)部控制研究成果而言,COSO報告更加強調(diào)“軟控制”的作用。軟控制主要是指那些屬于精神層面的事物,如高級管理階層的管理風格、管理哲學、企業(yè)文化和內(nèi)部控制意識等。

    8. 強調(diào)風險意識�，F(xiàn)代社會是一個充滿劇烈競爭的社會,每一個企業(yè)都面臨著成功的挑戰(zhàn)和失敗的風險,對風險的管理是現(xiàn)代企業(yè)的主旋律之一。風險影響著每個企業(yè)生存和發(fā)展的能力,也影響其在產(chǎn)業(yè)中的競爭力及在市場上的聲譽和形象。COSO報告指出,所有的企業(yè),不論其規(guī)模、結構、性質(zhì)或產(chǎn)業(yè)是什么,其組織的不同層級都會遭遇風險,管理層須密切注意各層級的風險,并采取必要的管理措施。

    9. 揉和了管理與控制的界限。在COSO報告中,控制已不再是管理的一部分,管理和控制的職能與界限已經(jīng)模糊。

    10. 明確對內(nèi)部控制的“責任”。在世界內(nèi)部控制發(fā)展史上,COSO報告第一次明確地闡述了內(nèi)部控制的制定與實施的責任問題。該報告認為,不僅僅是董事會、管理人員和內(nèi)部審計人員與內(nèi)部控制有關,組織中的每一個人都在內(nèi)部控制中擔當一定的角色,都對內(nèi)部控制負有一定的責任。確立這種組織思想有利于將企業(yè)的所有員工團結一致,使其主動地維護及改善企業(yè)的內(nèi)部控制,而不是與管理層相互對立,被動地執(zhí)行內(nèi)部控制。值得注意的是,它指出外部團體如外部審計師、監(jiān)管組織等并不對企業(yè)內(nèi)部控制負有責任。這有利于企業(yè)完善內(nèi)部治理結構,從而真正地將內(nèi)部控制落到實處。

    11. 明確指出內(nèi)部控制的“局限性”。COSO報告認為:不論設計及執(zhí)行有多么完善,內(nèi)部控制都只能為管理層及董事會提供達成企業(yè)目標的合理保證,而不是絕對保證。而目標達成的可能性,尚受內(nèi)部控制之先天條件所限制。內(nèi)部控制的限制因素主要有:職員對與內(nèi)部控制有關的決策的判斷可能有錯誤;職員可能出現(xiàn)差錯或錯誤;管理人員逾越內(nèi)部控制是可能的;集體合謀或進行掩蓋可能導致控制失敗等。

    12. 提出內(nèi)部控制的成本與效益原則。COSO報告明確指出,內(nèi)部控制要建立在成本與效益原則的基礎上。內(nèi)部控制并不是要消除任何濫用職權的可能性,而是要創(chuàng)造一種為防范濫用職權而投入的成本與濫用職權的累計數(shù)額之比呈合理狀態(tài)(即經(jīng)濟原則)的機制。因此,沒有不花錢的內(nèi)部控制,也不存在完美無缺的內(nèi)部控制。

    總之,COSO報告在內(nèi)部控制理論研究方面做出了巨大的貢獻,成為當今世界關于內(nèi)部控制的主流觀點,被奉為經(jīng)典和權威。在內(nèi)部控制實務操作方面,則成為廣泛接受的標準和指南,具有普遍的應用價值。

    (二)COSO報告的不足與完善

    COSO報告承認,盡管它代表了集體研究的結晶并力求完善,但它同時也標志著內(nèi)部控制觀念和實務上評估、創(chuàng)新、教育和研究的重要和全新的起點,而不應是終止。因此,內(nèi)部控制理論研究和實務應用在內(nèi)部控制整體框架的基礎上,有可能也應該進一步發(fā)展。

    在肯定COSO報告價值的同時,我們也不應忽視一些不同的意見。比如,在COSO報告公布不久,美國審計總署(GAO)就曾對該報告的許多方面提出過批評,并指責這個框架有嚴重缺陷,其內(nèi)部控制定義中缺乏保障資產(chǎn)的概念,還認為這個框架對內(nèi)部控制重要性的強調(diào)不夠,喪失了改善內(nèi)部控制監(jiān)督和評估的機會。此外,對COSO框架最具挑戰(zhàn)的來自其本身的概念基礎以及其他非會計執(zhí)業(yè)界制定的標準。COSO框架聲稱,并不是所有的管理責任都是內(nèi)部控制的組成部分,因而將戰(zhàn)略計劃、目標設定、保持核心競爭力及董事會責任等要素排除在外。而許多公司的經(jīng)營失敗很多是因經(jīng)營戰(zhàn)略的失敗,公司不具有效的治理結構,經(jīng)營業(yè)績明顯低于業(yè)界平均水平所引起。顯然,COSO框架對這些問題的關注是不夠的,它將注意力集中在如何對外披露與財務報告有關的內(nèi)部控制上。

    COSO報告發(fā)布后,在全球范圍產(chǎn)生了廣泛的影響,許多國家予以回應或予以承認。當今世界另外幾個主流內(nèi)部控制報告如加拿大的COCO、英國的Cadbury報告、國際內(nèi)部審計師協(xié)會(IIA)的SAC、信息系統(tǒng)審計與控制協(xié)會的(ISACA)的Cobit,以及巴塞爾銀行監(jiān)督委員會1998年發(fā)布的《銀行組織內(nèi)部控制系統(tǒng)框架》都與COSO框架緊密相關。中國有關部門制定的內(nèi)部控制標準,包括證監(jiān)會發(fā)布的《證券公司內(nèi)部控制指引(2003)》、中國人民銀行發(fā)布的《商業(yè)銀行內(nèi)部控制指引(2002)》、中國內(nèi)部審計協(xié)會發(fā)布的《內(nèi)部審計準則——內(nèi)部控制(2003)》,其核心內(nèi)容也與COSO報告一脈相承。

    2001年底美國發(fā)生的“安然事件”等一系列財務丑聞,又一次讓內(nèi)部控制成為關注的焦點。針對上述公司失敗事件,美國國會在2002年出臺了《薩班斯—奧克斯利法案》,該法案為公眾公司的外部審計師們創(chuàng)建了一個廣泛的、新的監(jiān)督體制,并將對財務報告的內(nèi)部控制作為關注的具體內(nèi)容。國會不僅要求管理層報告公司對財務報告的內(nèi)部控制,而且要求外部審計師證實管理層報告的準確性。此外,美國證監(jiān)會SEC對該標準的認同等于從另外一個側(cè)面承認了COSO報告(此前SEC一直不采納)。這也表明COSO框架在2004年成為了美國的內(nèi)部控制標準。這是COSO的重大勝利,是COSO每個成員機構多年的不懈努力的結果。

    不過,COSO報告本身并不是完美無缺,畢竟,對內(nèi)部控制的理解是在不斷演進的。隨著人們對內(nèi)部控制越發(fā)熟悉,積累的經(jīng)驗越多,他們對內(nèi)部控制的理解就會隨時間而改變,而這或多或少取決于影響和決定內(nèi)部控制的諸多力量。并且,不同的利益群體對內(nèi)部控制的觀點存在不同的認識。例如,會計行業(yè)與非會計行業(yè)在關注內(nèi)部控制的問題上是有重大差別的,如何將會計界的內(nèi)部控制語言轉(zhuǎn)換為管理界的內(nèi)部控制語言,仍是一個需要長期溝通和探索的問題。