- 行业资讯
- 华廷新闻
- 员工动态
推荐语:
内控体系建设,无论对上市公司还是准备首发上市公司都是非常重要的。2017年10月新发审建立以来,很多首发上市公司被否都有内控体系未能有效建立或执行不到位的原因。内控体系是由国外总结提出,推广至我国的。应当说,中国特色的内控体系如何建立,如何有效运行,并未从根本上得到解决。加强内控体系建设,是华廷金融研究院的重点课题之一。今天高兴地看到,董力宾认真研读美国COSO委员会最新修订的《企业风险管理——整合框架》一书,介绍了国外最新的内控体系动向,并结合我国资本市场现状,提出了中国内控体系存在的缺陷和对策建议,为华廷金融研究院这一课题研究作出了开拓性的探索,为此予以推荐。
——李燕生
引言
《企业风险管理——整合框架》(2017年修订版)是由美国COSO委员(The Committee of Sponsoring Organisations of the Treadway Commission)会编写,中国学者方红星、王宏翻译的内部控制研究领域最新框架报告文件。COSO委员会和COSO框架的由来和发展在我之前的学习园地中详细地描述过,这里不做赘述。
为什么要一而再再而三地讨论COSO的框架?原因有三:其一,COSO框架一经提出便成为内部控制领域的标杆,不仅理论上规范了现代内部控制,并且通过美国企业的应用证明了其实践价值;其二,COSO框架会根据资本市场形势的变化和现代企业的发展程度相应做出改变,可以说紧跟时代潮流。《企业风险管理——整合框架》便是2000年以后的升级版本,其每年还会对内容进行修订;其三,COSO框架对其他国家建设自身内部控制制度起到指导性作用,包括中国在内的众多国家建设内控制度时均参照COSO框架。因此无论对内部控制深入理解,还是为企业进行内部控制服务,对COSO框架的研究是不可避免的。
背景及主要内容
《企业风险管理——整合框架》提出背景
2001年年底以来,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,重创了美国资本市场,同时也集中暴露了美国公司在内部控制上存在的问题,由此导致美国《萨班尼斯——奥克斯利法案》(Sarbanes-Oxley Act)。该法案明确了公司管理者CEO及财务主管CFO在内部控制中的直接责任,及其将承担的经济与形式后果,大幅度提高了对会计舞弊的处罚力度;强化了内部审计、外部审计及审计监管。此次立法是美国资本市场制度的一次重大进步,也使人们对内部控制的重要性有了更深刻的认识。
在《萨班尼斯——奥克利斯法案》出台的背景下,2004年年底,COSO委员会废除了沿用很久的企业内部控制报告(1994年),颁布了全新的《企业风险管理——整合框架》(简称ERM框架)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上,还是在要素方面,均有相当大的突破。
1994年的COSO框架提出的是内部控制五要素:控制环境、风险评估、控制活动、信息和沟通、监督。而ERM框架对原有的五要素进行深化和拓展,形成更为全面的八要素。具体变化如下:
ERM框架引入风险偏好和风险文化,将“控制环境”扩展为“内部环境”;
前后两个框架都强调对风险的评估,但ERM框架建议更加透彻地看待风险,即综合考虑固有风险和剩余风险;
原框架仅提出三个目标,因此“信息与沟通”中信息仅指与这三个目标相关的信息。ERM框架涵盖了与组织各个阶层、各类目标相关的信息;
ERM框架在原先风险识别的基础上,提出应对风险和机会加以区分,并引入风险偏好、风险容量等概念。
图:COSO内部控制框架(左)与ERM框架(右)
《企业风险管理——整合框架》主要内容
这篇报告内容以描述、讲解ERM框架的构成为主。首先对基本名词下了定义,其次详尽阐述框架中的八要素,最后明确应用框架时的各方职责、存在缺陷和报告的适用人群,详细内容见下表:
章节 | 内容摘要 |
1.定义 |
|
2.内部环境 | Ø 内部环境是企业风险管理中其他构成要素的基础,影响组织中人员的风险意识; Ø 内部环境主要包括风险管理理念,企业主体的风险容量,董事会的监督,主体人员的诚信、道德价值观和胜任能力,以及管理层分配权力和职责、组织和开发其员工的方式; Ø 风险管理理念通过管理层在经营过程中的每一件事情体现,应该为所有员工所信奉和理解。 |
3.目标设定 | Ø 目标设定是事项识别、风险评估和风险应对的前提,是所有行动的方向保障; Ø 战略目标是高层次的目标,战略的制定过程需要应用风险管理技术,以保证企业主体完成使命/愿景; Ø 相关目标包括经营目标、报告目标和合规目标,是与战略目标相协调的具体目标,并贯穿于整个企业组织中。 |
4.事项识别 | Ø 企业主体运营中会受内外部因素影响,从而产生潜在事项,管理层需要对此一一识别; Ø 潜在事项会带来正面或负面两种影响,正面代表机会,管理层可以反馈到战略和目标的设定过程中,负面代表风险,管理层应及时评估、应对; Ø 潜在事项往往不会独立发生,事项之间存在相互依赖性,管理层掌握事项识别技术,正确判断机会或风险尤为重要。 |
5.风险评估 | Ø 风险评估使主体能够考虑潜在事项影响目标实现的程度; Ø 可能性和影响是对事项进行评估时,管理层必须考虑的两个角度; Ø 评估方法应将定性和定量相结合,同时应个别或分类考察整个企业主体中潜在的事项的影响; Ø 评估时需关注固有风险和应对滞后的剩余风险。 |
6.风险应对 | Ø 风险应对方法主要有:回避、降低、分担和承受; Ø 在考虑应对的过程中,管理层评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对; Ø 管理层识别所有可能存在的机会,从主体范围或组合的角度去认识风险,以确定总体声誉风险是否在主体的风险容量之内。 |
7.控制活动 | Ø 控制活动时帮助确保管理层的风险应对得以实施的政策和程序; Ø 控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构; Ø 控制活动的主要类型有:高层审核,直接的职能或活动管理,信息处理,事务控制,业绩指标和职责分离。 |
8.信息与沟通 | Ø 每个企业都要识别和获取与管理该主体相关的涉及外部、内部事项和活动的广泛的信息;信息是保证员工能履行企业风险管理和其他职责的形式的重要纽带; Ø 企业需要设计和搭建自己的信息系统,以便为管理风险和作出与目标相关的之情的决策提供信息; Ø 有效的内部沟通出现在组织中向下、平行和向上的流动中,使所有人了解自己在企业风险管理中的职责,同时企业应具备与外部方面(客户、供应商、监管者、股东等)沟通的方法。 |
9.监控 | Ø 企业管理层需要随时对风险管理的构成要素的存在和运行进行监控和评估; Ø 监控方式可以通过持续监控活动、专门评价或两者相结合来完成; Ø 持续监控发生在管理活动的正常进程中;专门评价的范围和频率取决于对风险的评估和持续监控程序的有效性; Ø 时刻关注风险管理中出现的缺陷,必要时报告给高级管理层和董事会。 |
10.职能与责任 | Ø 企业内部主体人员中首席执行官负有最终的责任。其他管理人员支持风险管理理念,并且在各自的职责范围内根据风险容限去管理风险。董事会提供对风险管理的监督。首席财务官对财务报表负有主要责任,并且影响公司报告系统的设计、执行和监控。内部审计师负责评价企业风险管理有效性,并提出改进意见; Ø 外部人员如外部审计师、立法和监管者、外包服务提供者、新闻媒体等主要为企业提供有用信息,对风险管理并不承担责任。 |
11.企业风险管理的局限 | Ø 有效的企业风险管理只能向管理层和董事会提供有关主体目标实现的合理保证; Ø 目标的实现受到所有管理过程中固有的局限的影响,如人为判断的缺点,员工的不可控因素,串通行为,管理层凌驾行为等。 |
12.该做些什么 | Ø 董事会成员应与高级管理层讨论主体企业风险管理的状况,并提供必要的监督; Ø 建议首席执行官与首席财务官一起评估主体的企业风险管理能力;、 Ø 管理人员和其他员工应考虑如何按照框架履行企业风险管理职责; Ø 监管者可参照框架针对监督主体建立期望; Ø 专业财务管理方面的组织可根据框架考量自身的准则和指南; Ø 教育机构可针对框架进行学术研究和分析,并融入大学课程中。 |
《企业风险管理——整合框架》的特色
A. 抛弃了以财务方向为主导的内部控制,确立了风险管理在企业运营中的地位,并融合了内部控制与公司治理的理念,突出企业作为一个主体如何考虑风险、反映其价值观并影响其文化和经营风格。如,将企业报告扩展为“内部报告和外部报告”、“财务报告和非财务报告”;将“财务报告的可靠性”发展为“非财务报告的可靠性”。
B. 延展了独立董事的重要性,指出为了使企业风险管理有效,董事会中必须有至少占多数的独立外部董事。
C. 强调企业在处理数据时,应对来自过去、现在和潜在的未来事项的数据进行全面关注。历史性数据使企业得以对照目标、计划和期望来追踪世纪的业绩,并提供关于主体在不同的条件下的过去期间的表现方面的信息。现在或当前状况下的数据提供了重要的补充信息,而有关潜在的未来事项的数据和基本要素使信息分析更加完善。此外,保证这些数据正常沟通的报告途径或渠道是企业风险管理不可或缺的部分。
D. 新增加了风险经理的角色。风险经理除了需要和其他管理人员一样, 在自己的职责范围内建立起风险管理外, 还要帮助其他经理人报告企业风险信息。而内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革风险管理。这就扩大了相关管理层人员的职责范围与权利界限。
对《企业风险管理——整合框架》的延伸
中国、美国、加拿大、英国内部控制体系
由于中国的现代内部控制体系发展时间较短,不仅理论研究较为发散,并且在企业内的运用并不成熟。虽然中国内控体系的基础建设很大程度上也借鉴了美国COSO框架,但COSO的理念并不完全适用于中国的情况,致使一些根本缺陷并没有得到改善。因此为了能发现中国建设内控体系出现的根本问题,同时也为完善内控体系提出建议,向发达国家借鉴学习是值得的。其中美、加、英三国在内部控制的建设上处在世界前沿,三国各自运用的内部控制体系也是目前全世界最权威、最受关注和最实用的。
中国《上海、深圳证券交易所上市公司内部控制指引》
为推动和指导上市公司建立健全内部控制制度,提高公司风向管理水平,保护投资者的合法权益,上海、深圳两大中国证券交易所在2006年先后出台内部控制指引。两个指引很大程度上借鉴了COSO的ERM框架,在个别表述上有所不同,但实质内容是一样的。《上交所内部控制指引》指出内部控制是上市公司为了保证搞那个死战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。同时,公司内部控制制度应力求全面、完整,至少在以下层面作出安排:(1)公司层面;(2)公司下属部门及附属公司层面;(3)公司各业务环节层面。《深交所内部控制指引》指出内部控制是指上市公司董事会、监事会、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程:(1)遵守国家法律、法规、规章及其他相关规定;(2)提高该公司经营效益及效率;(3)保障公司资产的安全;(4)确保公司信息披露的真实、准确、完整和公平。
《上海、深圳证券交易所上市公司内部控制指引》的要素
两个指引认为公司的内部控制应充分考虑一下要素:(1)内部环境;(2)目标设定;(3)事项识别;(4)风险评估;(5)风险对策;(6)控制活动;(7)信息与沟通;(8)检查监督。这八要素与COSO的《企业风险管理——整合框架》中的八要素完全一致,其主要内容也大抵相同,因此这里不再赘述。
《上海、深圳证券交易所上市公司内部控制指引》的特色
两份内部指引最大的特色是对企业经营的控制活动进行了详细的说明和规范。深交所将重点关注的控制活动分为六种:对控股子公司的管理控制、关联交易的内部控制、对外担保的内部控制、募集资金使用的内部控制、重大投资的内部控制、信息披露的内部控制。每一种活动都作了详尽说明,并提出相应的控制方法。
上交所先将企业可控制的经营活动列为十个环节:销货及收款环节、采购及付款环节、生产环节、固定资产管理环节、货币资金管理环节、关联交易环节、担保与融资环节、投资环节、研发环节和人事管理环节。上交所提出的专项风险活动除了对控股子公司的管理控制外,还有金融衍生品交易的内部控制。
此外,由于借鉴了ERM框架的缘故,中国两大证券交易所的内部控制指引继承了ERM框架的优点和特色,但个别部分有所区别,详细在下文分析。
加拿大《COCO内部控制框架》
1992年加拿大特许会计师协会(CICA)成立了控制基准委员会(The Canadian Criteria of Control Board,简称COCO委员会),该委员会的主要使命是发布有关内部控制系统设计、评估和报告的指导性文件。1995年10月,COCO委员会正式发布了内部控制框架性文件——《控制指南》(Guidance on Control,也称COCO内部控制框架)。COCO内部控制框架在一定程度上借鉴了美国的COSO框架(早期版本),同时也提出了有别于COSO框架的先进观点。
概念上,COCO框架将“内部控制”扩展到“控制”,定义为“是一个企业中的要素集合体,包括资源、系统、过程、文化、架构和任务等,这些要素结合在一起,支持达成该企业的目标”。在构成要素方面,COCO框架选取了目的(Purpose)、承诺(Commitment)、能力(Capability)、监控和学习(Monitoring and Learning)四点为核心构成要素。其中目的是对企业发展方向的描述,它包括企业的战略目标、企业愿景、风险和机遇、经营方针、短期计划、业绩目标及其评价指标等;承诺是对对企业特质的描述,它涉及到企业的文化观念、价值观、道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等;能力是指企业相对于给定任务的胜任程度,它涉及到知识、技能和工具、信息及信息的传递、协调和控制活动;监控和学习则着眼于企业的发展,它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序以及对控制有效性的评估。
四要素的关系如下图所示:
COCO框架将企业员工视为“控制”的核心,认为员工在执行企业所指派的任务时,将以他们对企业目的的理解为指南,并以其能力(包括所拥有的信息、资源、技能、工具等)作为支撑。员工的承诺或者对企业的忠诚是员工在长期内充分发挥自己能力和保持最优努力水平的保证。此外,员工必须对自身的工作业绩和外部环境进行监控以便及时采取适当的后续行动,并在调整自身行动以适应环境变化的过程中学会更好地完成工作。
COCO框架的原则
报告中根据四个构成要素的目的制定了一共20条原则,详细如下表所示:
要素 | 标准内容 |
目的 | Ø 企业需要设定各种目标,其中制定战略计划的责任归属于董事会。目标的确立有助于企业全体对工作加深理解; Ø 目标设定时,企业应基于当前发展需求来考察将面临的内外部风险,并及时作出调整; Ø 企业应明确在实现目标和风险管理过程中每个管理人员和员工的权责利范围; Ø 企业应制定相关的计划并向企业员工有效地传递关于这些计划的信息。此外,目标和计划应当包括可计量的业绩目标及其评价指标。 |
承诺 | Ø 企业上下应确立并遵循统一的道德标准,这是维护良好内部环境的基础; Ø 企业的人力资源政策与实务应与组织道德价值观及目标达成一致性; Ø 企业应清楚界定权力、职责与其应负责人并与组织目标一致,并能由适当的人完成决策。同时企业内团体或个人必须有对工作结果承担责任的意识; Ø 企业内部需要培养出相互信任的氛围,以促进员工之间的信息交流,激发他们完成目标的动力。 |
能力 | Ø 企业员工的专业知识和技能是完成目标的保障; Ø 企业内部应通过内部传达、协商资源分配、协调行动、风险和机会信息传递等信息沟通手段支持组织价值观; Ø 企业应充分、及时地识别并向员工传递相关的信息咨询,以便企业员工能够执行其职责; Ø 企业内部不同部门之间的决策和行动应当相互协调; Ø 控制作业的设计应为组织不可分割的一部分,并考虑到组织目标、达成这些目标所面临的风险以及控制元素之间的关联性。 |
监控和学习 | Ø 企业应监督外部与内部环境以获得资讯,这些资讯可能发出需要重新评估组织目标或控制的信号; Ø 对企业的经营业绩进行监控和企业战略计划中确定的业绩目标及相关的指标进行比较。再根据比较结果对企业组织目标和相关指标进行修正; Ø 应该定期对确立企业目标所依赖的假设重新进行审视; Ø 当企业目标发生变化或发现内部控制缺陷时,应对企业的信息需求以及相关的信息系统实行重新评估; Ø 企业应当建立并切实执行追踪调查制度以确保发生的偏差得到纠止或已对偏差采取了适当的行动; Ø 管理层应当定期对内部控制的有效性进行评估,并把评估的结果反馈给对各项控制负责的人员。 |
COCO框架的特色:
A. COCO框架定义的“内部控制”范围更广,其《控制指南》的目的在于“为企业设计、评估、报告内部控制系统以及相关的公司治理事宜提供指导”,而不是对企业内部控制的最低法定要求。COCO框架的最重要的贡献是第一次明确区分了基于独立审计的内部控制观和基于公司治理的内部控制观。在此之前,内部控制的概念的发展一直由会计职业界所主导,内部控制范围的限定主要是为了满足独立审计对公司内部控制制度评价的需要以及对独立审计责任界定的要求。
B. COCO框架模糊了内部控制与管理活动之间的界限。内部控制为管理目标的实现提供了合理的保证,内部控制活动也成为管理活动不可或缺的组成部分,对企业的管理活动进行评价,首先应对内部控制进行评价。
C. COCO框架认为内部控制应着眼于未来,即控制的重点在于防范未来时期内对企业实现其目标可能产生重大影响的风险事件的发生。它强调有效的内部控制应保证企业和控制人员在面对可预期的风险时有足够的应变能力,内部控制不能、也无需完全消除企业实现其目标的风险。框架中没有把风险评估列为单独的控制要素,是因为风险评估贯穿内部控制的整个过程和所有层面,在某种意义上两者相互等同。
英国《Turnbull报告》
自20世纪末,英国政府和一些组织致力于结合完善公司治理,加强对内部控制的研究。起初伦敦股票交易所发布了“联合准则”和“上市规则”旨在规范公司治理法则和披露内部控制情况,但这两者仅提出了原则性的要求,并又没提供建设内部控制的具体方法和模式。因此伦敦股票交易所委托英国特许会计师协会成立了以Nigel Turnbull先生为主席,由董事长、总经理、部门经理、外部审计人员、企业员工以及大学教授组成的委员会,就如何帮助英国上市公司建立健全内部控制的要求进行研究。1999年9月,该委员会发布了一份系统指导企业建立内部控制的报告——《内部控制框架报告》,由于是在Turnbull先生的领导下完成的,同时为跟别国报告文件区分,所以一般称为《Turnbull报告》。这份报告对分散在英国法律、法规中涉及内部控制的规定进行了归纳和整理,立足英国的法律环境和公司治理特点,建立了具有原则导向性、风险导向性、框架指引性的内部控制指南。
Turnbull委员会起草内部控制指引过程中坚持了以下原则:一是与企业的经营管理和企业文化紧密结合,促进企业经营战略目标的实现;二是注重实用性,便于企业执行,内部控制要与复杂和不断变化的企业内外部环境保持相关性, 能控制风险;三是内部控制信息能够向投资者清晰披露。Turnbull报告认为内部控制要实现以下目标:发现并控制企业风险,保护企业资产,明确和落实责任;提高会计信息质量, 防止财务欺诈;遵循法律规章。Turnbull报告涉及的内部控制范围广泛, 包括经营管理、遵循法律、风险控制、人力资源等, 财务控制仅仅是其中的一个部分。同时报告指出内部控制不能消除风险,只能控制风险的强度和广度;在极端条件下,已有内部控制也会失灵,要根据新的情况建立新的内部控制。
Turnbull报告的四要素
Turnbull报告提出了“四要素 ”论 , 即控制环境 、 控制活动、 信息与沟通、 监督检查四部分 。各部分主要内容为:
要素 | 主要内容 |
控制环境 | Ø 董事会是实施内部控制的主要责任主体。董事会有责任构建一套涉及财务会计、经营管理、遵循法律、 风险控制的内部控制机制,并负责监督内部控制机制的有效性; Ø 董事会对公司内部控制体系至少每年检查一次并向股东报告,报告采用“遵循与解释”的方式,以便股东大会作出评价; Ø 董事会构建内部控制时应考虑:1.公司风险存在于何处,有何特点;2.是可承受的风险水平;3.重大风险发生的可能性;4.减少重大事故并妥善处理的能力;5.构建和运行内部控制的成本; Ø 管理层负有实施董事会关于风险与控制政策的职责。管理层应当识别、评价公司所面临的风险以供董事会考虑, 并且设计、运作和监督适合的内部控制系统来实施董事会的政策; Ø 所有的工作人员都对内部控制负有责任。为了完成此责任,所有员工应具备必要的知识、技能、信息及权限,以建立、运作与监督内部控制系统 。所有员工要不断增强对企业及其目标、 所在行业与市场以及面临风险的理解。 |
控制活动 | Ø 公司应识别风险并划分风险等级; Ø 公司实施控制措施要与企业文化、员工价值观、激励机制相适应;对管理层任职时的各项承诺进行检查;明确界定责任人、授权人、员工的责任和权利; Ø 公司应对管理层提交的内部控制情况进行经常性审核,在此基础上作出年度评估。 |
信息与沟通 | Ø 企业应建立快速将识别出的内部控制缺陷或弱点及改正措施向管理层报告的机制; Ø 董事长要根据管理层提供的各种报告与管理层定期就内部控制问题进行沟通, 及时发现存在的风险。 |
监控 | Ø 公司董事会负责评估内部控制执行情况。董事会应根据公司经营目标、 业务特点、风险大小制定年度内部控制评估计划,该计划要保持连续性并有所侧重。 Ø 董事会的年度评估应着重考虑:与上一次的年度评估相比, 重大风险的性质及范围的变化,以及公司对业务和外部环境变化的反应能力;内部审计职能和其他保障职能工作的范围与质量;管理层与董事会或相关委员会沟通监督结果的范围与频率;年内被识别的重大缺陷与弱点给公司财务绩效和公司发展造成的不良影响;公司对外报告流程的有效性。 |
Turnbull报告的特色
A. Turnbull指出内部控制系统包括公司的政策、过程、任务、行为和其他方面,综合在一起就可以:1.通过使公司能够对重大的商业风险、经营风险、财务风险、遵循风险和其他实现公司木必到的风险作出拾到的反应而促进其有效经营,包括保护资产不受滥用、不受损失和欺诈,并确保责任的确认和管理;2.有助于确保内部和外部报告质量。这需要维持能从组织内外产生时、相关和可靠信息的适当的记录和过程。3.有助于确保遵守相关法律和规章制度,也有助于遵守与商业道德有高管的内部政策。内部控制系统反映了包括组织结构在内的控制环境,并包括控制活动、信息与沟通过程、监督内部控制系统持续有效性的过程。
B. Turnbull报告规定,董事会应对公司内部控制的有效性进行复核,总结进行复核所使用的程序,并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程,董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。Turnbull报告还孤立董事会在年报中提供额外的信息,以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见,英国对用惯公司内部控制的报告和披露方面的要求并未放松,但对内部控制有效性进行报告的规定却日趋减弱。
C. Turnbull报告认为内部控制与风险管理是近乎等同的概念,公司经营的目标、内部控制组织和环境处于不断变化之中,其面临的风险也在不断变化,一个健全的内部控制制度依赖于对公司所面临风险性质和程度的全面、综合评价。内部控制的目的是管理和控制风险而非减少风险。不难看出,Turnbull报告推进了内部控制定义的发展,时期从传统的内部财务控制的狭窄范围内摆脱出来,强调通过战略参与为公司创造价值,这些又标志着风险导向内部控制时代的来临。
四国内部控制体系比较
通过对中、美、加、英的内部控制体系、框架进行描述,下面将从七个方面对这四种体系、框架进行对比:
中国 | 美国 | 加拿大 | 英国 | |
内部控制概念 | 基本与美国的一致,上交所定义为“一种活动”,深交所定义为“一个过程” | 强调风险管理理念,认为企业实现有效的风险管理,便是实现内部控制 | 将“内部控制”扩展为“控制”,是企业中的要素集合体 | 认为内部控制与风险管理近乎等同,是企业政策、过程、任务、行为等方面的综合 |
框架要素 | 内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息与沟通、检查监督 | 内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控 | 目的、承诺、能力、监控和学习 | 控制环境、控制活动、信息与沟通、监控 |
侧重点 | 侧重操作性 | 侧重操作性 | 侧重原则性 | 侧重操作性 |
内部控制参与者 | 董事会与管理层主导,但也强调全员参与 | 管理层为参与主体,尤其突出风险经理的重要性 | 重视员工的作用,强调通过沟通让员工真正理解和参与内部控制 | 董事会及公司高层是内部控制参与主体 |
对风险、机遇的认识 | 强调企业识别风险,并采取措施,对机遇判断没有关注 | 关注潜在事项,明确区分正面影响的为机会,负面影响的为风险 | 同时关注风险和机遇,更强调对机遇的把握 | 对风险进行等级划分,区分大小,未关注机遇 |
对控制活动的认识 | 对控制活动重点关注,尤其是对控股子公司、关联交易等活动着重控制 | 重视控制活动,企业应对控制活动进行分类,并和风险应对相结合 | 将控制活动作为纽带,不单独提 | 将对风险的识别、评估、处理融入到控制活动中 |
对监控的认识 | 董事会及管理层对内部控制进行监督,同时设立专门监督职能部门对日常控制活动进行监督 | 管理层对贯穿企业经营的控制活动进行监控和评估,必要时向上汇报风险管理中出现的缺陷 | 企业应同时监督外部与内部环境,以获得实时资讯;管理层的监督还包括经营成果,根据结果对负责人及时反馈 | 董事会负责评估和监督内部控制执行情况 |
从上表中可以看出:A. 美国在内部控制框架方面起到了绝对指导性的作用,其他三国多多少少都有借鉴;B. 加拿大对内部控制的认识最为独特,无论是其理念,还是要素设置,都自成一派。重视员工的思想为内部控制的实践打开了新思路。C. 英国的框架较为简单,核心理念是董事会控制公司一切。与其他三国相比,最易实施。D. 中国对美国的借鉴比较成功,同时也具备了自身的特色。但对“风险管理”的认识还不及美国。
中国内部控制体系存在的缺陷
从上表的四国内部控制体系对比中不难看出,中国在建设自身内部控制体系的道路上并没有偏离轨道。虽然起步较晚,但对于先进的内部控制框架(ERM框架)理解很透彻很全面。但是单纯的比较内部控制体系并不能分出优劣,从而解决问题。因此,找出中国内部控制体系中存在的根源性缺陷才是重中之重。
近几年来,由于中国企业在海外上市的不在少数,使得国际会计公司对中国上市企业内部控制现状有了较为深入地认识,虽然他们的看法和意见未必完全准确,但对于理解和思考中国内部控制缺陷具有一定参考价值。通过资料搜集,具有代表性的是德勤、毕马威、普华永道三大会计公司,具体如下:
德勤会计公司
德勤认为中国企业在内部控制方面普遍存在的问题有:1.对于内部控制的理念没有得到一些经理人的认同,许多经理人重收入、利润、业绩,轻内部控制;同时在建立内空中存在误区,还存在以始为终、盲人摸象甚至对牛弹琴等现象;一些企业的管理层在实施内控中未承担应有的职责;一些企业过于强调控制成本,忽视控制带来的利益。2.一些企业根据一般公认会计原则编制财务报表的能力不强,在编制财务报表时过分依赖外部审计师。3.东西方的文化差异导致对内部控制的理解出现偏差,中国往往以对人员的管理为重点,西方往往以对流程和基础设施的管理为主,由此造成控制流程缺乏规范,有大量的制度、办法,但缺乏系统性的执行体系,导致“变通”事项多等问题。4.受法不责众思想的影响,在内控测试时出现许多问题,从深层次看,监督检查机制不足,惩罚机制还不到位。5.总公司对分、子公司的控制存在问题。6.内部审计和审计委员会的独立性与能力不足。7.内控建设只关注流程层面,而忽视公司层面的控制和信息系统的控制。
毕马威会计公司
毕马威认为中国在执行内部控制存在的问题是:1.控制环境和监控等要素存在较大的薄弱环节,比如高管道德与素质、内部审计功能发挥等;2.缺乏风险评价体系;3.信息沟通存在不畅的情况,比如缺乏与基层的沟通、新业务出现后财务介入滞后等;4.缺乏足够数量掌握内部控制建设和实施经营的人员;5.不同地区的单位组织机构建设和内控程序差异较大,导致记录和评估工作量巨大;6. 评估和测试工作标准不清晰造成工作人员在操作时不一致。
普华永道会计公司
普华永道针对赴美上市的中国企业在建设内部控制时的障碍罗列了20条:1.无效的审计委员会;2.缺乏由高级管理层推动的全公司范围内的内部控制管理程序;3. 缺乏反舞弊和举报机制;4.会计政策和程序过时、不一致,没有完整记录或者缺乏沟通;5.针对非常规、非系统性的特殊交易的账务处理的控制不完善;6.缺乏正式的风险管理程序;7.缺乏有效运行并记录完整的公司层面控制;8.财务报告和信息披露编制流程是小;9.对分支机构的控制无效;10.缺乏对信息系统的有效控制;11.缺乏对在财务报告中使用终端用户应用程序和数据的控制;12.董事会和审计委员会对风险和控制的理解不充分;13.无效的内部审计;14.缺乏正式的对财务结账流程的控制和监督;15.不能对外部业务流程控制进行评价和测试;16.缺乏完整全面的文档记录;17.缺乏控制执行的证据;18.公司内控评价工作人员缺乏专业知识和经营;19.管理层内控评价范围不充分;20.测试流程、程序不充分。
值得一提的是,三大会计公司的观点已经有六、七年之久。直到现在,有些问题得到了充分改善,有些问题直到现在依然停留在部分中国上市企业之中。抛开旁枝末节和零碎的问题,中国上市企业执行内部控制还存在四大基本缺陷:
一、 控制环境不合理
在我国企业中,一些企业领导对于内部控制的重视程度不足。在高度集权的企业,领导习惯于一个人说了算。内部控制的执行很可能会影响领导的权力和威信,降低领导的工作效率,基于这种情况,企业执行内部控制只能是走形式了。而在一些中小企业中,有些领导尚未对内部控制予以高度重视,导致内部控制制度不健全,内部控制执行效率低下,没有覆盖所有的部门和人员,没有渗透到企业各个业务领域和各个操作环节,使企业工作秩序混乱、核算不实,造成会计信息失真。
受到企业环境的影响,部分企业缺乏创新精神。内部控制应该随着时代的发展、企业经营状况的变更而进一步发展和制定。但有的企业墨守成规,其内部控制一成不变,导致内部控制缺乏时代性、适应性。倘若企业不能够及时根据外部环境和经济状况不断修订内部控制,那必定会导致企业内部控制制度不完善、内部控制功能不健全,严重影响企业的管理效率。从国家制定的企业内部控制基本规范来看,基本包括了企业日常各种经营活动。但这些基本规范是否符合每个企业的实际情况,执行方法、程序是否谨慎规范,以及能否起到预期的管理作用这些都有待进一步考证。
二、 风险评估不被重视
风险评估就是分析和辨认实现锁定目标可能发生的风险,具体包括:目标、风险、环境变化后的管理。风险评估不可能带来一劳永逸的结果,它是一个循环往复的过程。风险评估对于处于动荡变化环境中的企业尤为重要。而我国部分企业却对风险因素认识不足,经营理念仍然比较落后,缺乏全面有效的风险提示、风险评估机制。随着改革开放的不断深入,我国企业在飞速发展的同时也面临着巨大的经营风险。忽视风险提示将会给企业带来巨大的损失。我国部分企业尤其是国有企业过分重视企业规模的扩大,忽视了经营状况和资金周转的实际情况,增加了企业的经营风险;而许多金融机构为了在竞争环境中占据有利地位,变相提高利率,形成恶性竞争,对其中的金融风险缺乏慎重考虑、长远规划。
三、 控制活动落实不足
企业的控制活动是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等,控制活动在企业各个层级内都会出现。控制活动总是与企业的目标相联系,企业经营的复杂性、企业的发展历史和企业文化以及企业经营活动的性质和范围,都会对企业的控制活动产生影响。
在某些企业中,企业根本不重视职务分离,为了减少聘请人员开支,由出纳担任会计,记账人员和查账人员往往是同一人。这样的岗位设置往往导致会计人员监守自盗,企业的资金风险增加,严重影响企业资金运转。有的企业缺乏透明的采购过程,采购付款环节中存在大量违规行为:虚开发票、销售代表索取回扣、暗箱操作等。这些行为导致企业采购物资价格过高,质量较差,影响资金使用效率。企业在预算控制方面也存在浪费严重的现象。由于部门负责人对管理费用等有审批权,但有些企业并未指定具体的开支范围,导致企业资金浪费严重。2016年我国上市公司披露的内部控制缺陷中,资产管理类和资金活动类重大缺陷最为突出,分别占13.25%和12.41%。另外有些企业乱摊成本现象十分严重,将管理费用、工会经费等也计入生产成本,随意分配费用。部分企业的会计人员专业知识欠缺,缺乏成本控制方面的经验,造成核算错误,导致企业成本费用不详尽,不能为企业带来生产经营决策有效的信息,更不能根据生产实际情况为企业带来合理的改进建议。
四、 监督机制不完善
内部控制监督就是监督内部控制运行效率,是保证内部控制体系有效运行和逐步完善的重要措施。企业在运营过程中,总会或多或少出现问题,为此需要对企业进行监督,发现不足甚至缺陷,完善内部控制制度。纵观我国现有的各类企业,尤其是中小企业,缺乏有效的监督机制是较为普遍的现象。监督分为内部监督和外部监督,内部监督是指企业内部对领导及员工行为的监督。2016年某市内部审计调查情况调研报告指出,在接受调研和访问的803家企业中,区属单位中只有9%设立了专职内审机构;在调查的4718名专职内审人员中,研究生及以上学历者仅有69人,高学历内审人员明显偏少。有些企业虽然有内部审计,但却形同虚设。一些企业的业务经办人员、财会人员甚至领导干部利用监督不力的漏洞,大量收受贿赂,大肆侵吞公款,利用虚假发票非法占有企业资金等。外部监督包括政府监督和社会监督。然而这两项监督交错复杂,有时又相互推卸责任,组织间的横向沟通不顺畅,很难形成强大有效的外部监督体系。而且国家法律对我国企业的内部控制执行情况缺乏必要的奖惩制度。目前,我国尚未出台有关内部控制法定责任的法律,相关管理部门以及法律法规对企业内部控制的法律责任规定模棱两可,监管部门缺乏对企业内部控制制度实施情况的检查与考核,而且也没有建立惩罚制度和有效激励机制。这些情况导致了内部控制制度松散,内部控制报告失真,内部控制制度形同虚设。
改善中国企业内部控制的建议
根据中国企业实施内部控制的缺陷,借鉴国外先进内控框架,为解决问题、完善体系,可以提出以下建议:
一、搭建良好的内部环境
1.建立有效的董事会
(1)董事会成员需具备相当程度的管理、技术和其他专长,以及履行监督职责所需要的思维方式;
(2)引入足够数量的独立董事
(3)董事会成员必须高度参与、执行内部控制
(4)董事会有义务向企业全体传播风险意识
(5)董事会有承担内部控制失效的责任
2.优化企业结构
(1)企业各部门间需权责分明、沟通顺畅、协调合作
(2)企业各部门需充分理解管理层制定的战略目标
3.加强人力资源建设
(1)进行员工培训,灌输内部控制理念和风险意识
(2)重视员工在内部控制中的作用
(3)建立完善的员工奖惩制度
(4)培养员工对企业忠诚度
二、建立有效的风险评估机制
1.培养或聘请专业风险管理人员
2.建设企业自身风险管理队伍,培养全员风险意识
3.根据企业自身情况,架构风险地图,并依据风险项评级
4.根据潜在事项属性,清晰分辨风险和机遇
5.根据已知风险或机遇,及时调整策略
三、重视控制活动,提高控制效率
1.确保控制活动中的审核、信息处理、直接管理、业绩指标评估、职责分离是真实有效的
2.对易引发风险的控制活动额外关注
3.培养一线员工的风险应对能力
4.建立多种沟通方式,使企业上、中、下三层均能及时传递有效信息
四、完善监督机制
1.内部审计与外部审计缺一不可,相互配合
2.建立、培养自身监督检查队伍,设立各项控制监督人员
3.实时监控经营活动,定期对业绩和业绩指标进行对比、修正
4.保证监督人员与管理层的互通顺畅
结语
对于内部控制,目前的我仅仅是初窥门径。理论知识能作为基础,但企业在实际操作中又是一番新天地。而内部控制这一理念是在不断进化的,随着经济形势和企业结构的变化,内部控制的地位不断攀升。它能进化到什么程度,值得持续关注和研究。