论文部分内容阅读
【摘要】在金融危机的背景下,企业内部控制日益成为理论界和实务界关注的热点。通过对内部控制发展脉络进行梳理,并对内部控制的最新发展进行深入探讨,结合我国的实际情况,对内部控制发展的启示作用进行分析和提炼,以求有助于我国企业内部控制水平的进一步提高。
【关键词】内部控制 控制框架 公司治理
在社会经济运行过程中,内部控制无疑是一个永恒的话题。在内部控制漫长的发展过程中,内部控制历经了萌芽、初步成型、发展、成熟、深化等诸多阶段,内部控制的概念、范围和内容也发生了重大变化。对内部控制发展脉络进行梳理,并在此基础上对内部控制的最新发展进行分析、总结和提炼,将有助于我们对包括内部控制检查与评价在内的内部控制要素的认识更加系统和深入,也有利于我国企业内部控制的实施。
内部控制的发展阶段
根据不同划分标准,内部控制的发展阶段可以有不同的划分。从内部控制发展的主要推动力角度,可以将内部控制的发展划分为如下阶段:基于企业内部管理的需要的阶段(20世纪40年代前)、基于审计的阶段(20世纪40年代至90年代初)、基于公司治理的阶段(20世纪90年代至今)。其中,基于审计的阶段和基于公司治理阶段又可根据内部控制的涵义和内容的变化细分为若干分阶段。上述阶段的划分列示如表1:
内部控制的最新发展:内部控制框架的深化
以COSO和COCO为代表的内部控制框架标志着内部控制理论已进入成熟和稳定发展的阶段。进入21世纪以来,为了更好地促进企业的内部控制建设,各国在内部控制框架理论的基础上对内部控制领域的文件和实务进行审视,并与时俱进地对内部控制框架进行了发展和深化,取得了丰硕的成果。归纳起来,主要成果如下:
以风险管理为导向的内部控制框架。在前述COSO和COCO内部控制框架中,风险的识别、评估及应对都是重要的内部控制要素或控制标准。随着经济发展,企业迫切需要一种控制框架来帮助企业对风险进行有效的控制和管理。
鉴于此背景,经过几年的研究和酝酿,2004年COSO委员会正式发布了《企业风险管理—整体框架》的报告(以下简称COSOERM)。与1992年COSO内部控制框架相比,COSOERM框架以风险管理为主线对内部控制框架作了进一步的发展,它的正式发布意味着,公司治理层对内部控制的构建及其效果的评价应当采取一种基于风险导向的方法。
加强对财务报告内部控制有效性评价的外部监管。反思丑闻产生的根源,内部控制失效无疑难辞其咎。为了重建投资者对美国上市公司及资本市场的信心,该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出了《萨班斯—奥克斯利法案》(简称萨奥法案,下同)。
针对公司内部控制失效进而导致管理层欺诈这一问题,法案专门做了相关规定,这些规定主要体现在三百零二条款和四百零四条款中。三百零二条款强化了公司管理层对财务报告的责任,主要内容有:要求公司首要官员及首席财务官在季度/年度报告中签字保证财务报告的可靠性和公允性,并承担包括刑事责任在内的法律责任;公司管理层对于内部控制的建立和维持负责,并对信息披露过程中控制的有效性进行评估;强调财务人员的正直和财务报告系统控制的完整性。四百零四条款则从法律上要求管理层必须对公司内部控制的有效性进行评价。
内部控制框架中的监督检查要素的进一步深化和CSA内部评估工具的兴起。针对公司丑闻事件所暴露出来的内部控制有效性欠缺的问题,COSO委员会也进行了反思和专门的对策研究。他们对内部控制框架中的监督检查要素进行了深化,于2007年发布了《内部控制监督检查指南》讨论稿。该指南明确了进行有效监督检查的两个基本原则,归纳分析了影响监督检查有效实施的三个主要影响因素,从机制建设层面和方法层面为有效实施内部控制检查提供了具体指引。
在对内部控制进行内部监督和评价的工具层面,一种新兴的内部控制评估方法,即内部控制自我评估(Control Self-Assessment,CSA)也得到了很大的发展。从本质上看,CSA是一个动态有机过程,它能够帮助公司股东识别出所面临的风险,适时监测处理风险的内控制度,以及评价或评估内控制度的适当性。CSA突出的作用和非凡的效果已得到理论界、企业界、审计界的认可,已成长为主流的审计和内部控制建设及评估的工具。
信息与相关技术的内部控制得到了重视和发展。当今社会已是信息社会,信息技术的应用已遍布企业经营和管理的环节,也是内部控制所要面对的一个控制环境。在COSO内部控制框架中,所有的组成要素,特别是风险评估、控制活动和信息与沟通,都要考虑信息技术的应用所带来的挑战和机遇。1996年,美国审计和控制基金会发布了名为《信息与相关技术的控制目标》(COBIT)的公告,该公告提供了一种能使管理者将控制要求、技术问题与业务风险联系起来的IT治理框架,对信息技术环境下内部控制的建设及评估提供了指导。2005年底发布了COBIT的第四版公告,强调法规的遵从性,帮助组织提升从IT获得的价值,使IT操作与商务运营相结合,并支持在IT治理方面的持续改进。
内部控制发展的启示
从内部控制的发展阶段的划分及其最新发展,可以得出如下启示:
公司治理(包括企业内部管理,下同)、独立审计和政府推动是推动内部控制发展的三驾马车。在这三个主要推动力中,公司治理的需要是内生的、持久的、根本的推动力。因此,内部控制的理论研究与实务开展应首先立足于提高公司治理、改进企业管理水平以更好的实现组织的目标和降低风险的需要,同时兼顾独立审计界降低审计成本、合理界定审计责任的需求,而政府在对内部控制进行立法要求时,应着眼于引导企业认识到组织的发展和目标实现需要一个良好的内部控制体系,进而能够自觉地结合企业的实际情况进行适合自身的内部控制体系建设;在具体立法条款设置时,宜采用原则导向,而非规则导向,因为过于具体的规则,将可能使企业将内部控制建设视为一项被动遵从的事项,而非是企业实现组织目标、谋求更好发展的一个必不可少的机制和过程。
基于风险导向的内部控制成为内部控制的发展主流。自从2004年COSO委员会发布ERM公告正式确立风险管理内部控制框架以来,世界主要国家和地区都纷纷发布公告加以响应,认为将内部控制与风险管理相融合,建立基于风险导向的内部控制框架是企业有效应对所面临风险以提高公司治理水平进而为组织目标的实现提供合理保证的有效途径。同时,基于风险导向的理念还为内部控制建设和持续改进提供了一种科学、有效的方法,如最近兴起的控制自我评估(CSA)就是基于风险识别、评估和应对基础之上的。
内部控制有效性的监督检查和外部评价是当前内部控制建设的重点。目前,针对财务报告内部控制的外部评价体系已经基本成型,但是需要注意的是,外部评价的效果需要有企业内部控制的内部检查与评价作为支撑,两者必须协同发展,如果只强调外部评价而忽视企业内部控制的内部检查与评价,则可能会导致企业内部控制的评价因缺乏坚实的支撑基础而流于形式。(作者单位:首都经济贸易大学会计学院)
【关键词】内部控制 控制框架 公司治理
在社会经济运行过程中,内部控制无疑是一个永恒的话题。在内部控制漫长的发展过程中,内部控制历经了萌芽、初步成型、发展、成熟、深化等诸多阶段,内部控制的概念、范围和内容也发生了重大变化。对内部控制发展脉络进行梳理,并在此基础上对内部控制的最新发展进行分析、总结和提炼,将有助于我们对包括内部控制检查与评价在内的内部控制要素的认识更加系统和深入,也有利于我国企业内部控制的实施。
内部控制的发展阶段
根据不同划分标准,内部控制的发展阶段可以有不同的划分。从内部控制发展的主要推动力角度,可以将内部控制的发展划分为如下阶段:基于企业内部管理的需要的阶段(20世纪40年代前)、基于审计的阶段(20世纪40年代至90年代初)、基于公司治理的阶段(20世纪90年代至今)。其中,基于审计的阶段和基于公司治理阶段又可根据内部控制的涵义和内容的变化细分为若干分阶段。上述阶段的划分列示如表1:
内部控制的最新发展:内部控制框架的深化
以COSO和COCO为代表的内部控制框架标志着内部控制理论已进入成熟和稳定发展的阶段。进入21世纪以来,为了更好地促进企业的内部控制建设,各国在内部控制框架理论的基础上对内部控制领域的文件和实务进行审视,并与时俱进地对内部控制框架进行了发展和深化,取得了丰硕的成果。归纳起来,主要成果如下:
以风险管理为导向的内部控制框架。在前述COSO和COCO内部控制框架中,风险的识别、评估及应对都是重要的内部控制要素或控制标准。随着经济发展,企业迫切需要一种控制框架来帮助企业对风险进行有效的控制和管理。
鉴于此背景,经过几年的研究和酝酿,2004年COSO委员会正式发布了《企业风险管理—整体框架》的报告(以下简称COSOERM)。与1992年COSO内部控制框架相比,COSOERM框架以风险管理为主线对内部控制框架作了进一步的发展,它的正式发布意味着,公司治理层对内部控制的构建及其效果的评价应当采取一种基于风险导向的方法。
加强对财务报告内部控制有效性评价的外部监管。反思丑闻产生的根源,内部控制失效无疑难辞其咎。为了重建投资者对美国上市公司及资本市场的信心,该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出了《萨班斯—奥克斯利法案》(简称萨奥法案,下同)。
针对公司内部控制失效进而导致管理层欺诈这一问题,法案专门做了相关规定,这些规定主要体现在三百零二条款和四百零四条款中。三百零二条款强化了公司管理层对财务报告的责任,主要内容有:要求公司首要官员及首席财务官在季度/年度报告中签字保证财务报告的可靠性和公允性,并承担包括刑事责任在内的法律责任;公司管理层对于内部控制的建立和维持负责,并对信息披露过程中控制的有效性进行评估;强调财务人员的正直和财务报告系统控制的完整性。四百零四条款则从法律上要求管理层必须对公司内部控制的有效性进行评价。
内部控制框架中的监督检查要素的进一步深化和CSA内部评估工具的兴起。针对公司丑闻事件所暴露出来的内部控制有效性欠缺的问题,COSO委员会也进行了反思和专门的对策研究。他们对内部控制框架中的监督检查要素进行了深化,于2007年发布了《内部控制监督检查指南》讨论稿。该指南明确了进行有效监督检查的两个基本原则,归纳分析了影响监督检查有效实施的三个主要影响因素,从机制建设层面和方法层面为有效实施内部控制检查提供了具体指引。
在对内部控制进行内部监督和评价的工具层面,一种新兴的内部控制评估方法,即内部控制自我评估(Control Self-Assessment,CSA)也得到了很大的发展。从本质上看,CSA是一个动态有机过程,它能够帮助公司股东识别出所面临的风险,适时监测处理风险的内控制度,以及评价或评估内控制度的适当性。CSA突出的作用和非凡的效果已得到理论界、企业界、审计界的认可,已成长为主流的审计和内部控制建设及评估的工具。
信息与相关技术的内部控制得到了重视和发展。当今社会已是信息社会,信息技术的应用已遍布企业经营和管理的环节,也是内部控制所要面对的一个控制环境。在COSO内部控制框架中,所有的组成要素,特别是风险评估、控制活动和信息与沟通,都要考虑信息技术的应用所带来的挑战和机遇。1996年,美国审计和控制基金会发布了名为《信息与相关技术的控制目标》(COBIT)的公告,该公告提供了一种能使管理者将控制要求、技术问题与业务风险联系起来的IT治理框架,对信息技术环境下内部控制的建设及评估提供了指导。2005年底发布了COBIT的第四版公告,强调法规的遵从性,帮助组织提升从IT获得的价值,使IT操作与商务运营相结合,并支持在IT治理方面的持续改进。
内部控制发展的启示
从内部控制的发展阶段的划分及其最新发展,可以得出如下启示:
公司治理(包括企业内部管理,下同)、独立审计和政府推动是推动内部控制发展的三驾马车。在这三个主要推动力中,公司治理的需要是内生的、持久的、根本的推动力。因此,内部控制的理论研究与实务开展应首先立足于提高公司治理、改进企业管理水平以更好的实现组织的目标和降低风险的需要,同时兼顾独立审计界降低审计成本、合理界定审计责任的需求,而政府在对内部控制进行立法要求时,应着眼于引导企业认识到组织的发展和目标实现需要一个良好的内部控制体系,进而能够自觉地结合企业的实际情况进行适合自身的内部控制体系建设;在具体立法条款设置时,宜采用原则导向,而非规则导向,因为过于具体的规则,将可能使企业将内部控制建设视为一项被动遵从的事项,而非是企业实现组织目标、谋求更好发展的一个必不可少的机制和过程。
基于风险导向的内部控制成为内部控制的发展主流。自从2004年COSO委员会发布ERM公告正式确立风险管理内部控制框架以来,世界主要国家和地区都纷纷发布公告加以响应,认为将内部控制与风险管理相融合,建立基于风险导向的内部控制框架是企业有效应对所面临风险以提高公司治理水平进而为组织目标的实现提供合理保证的有效途径。同时,基于风险导向的理念还为内部控制建设和持续改进提供了一种科学、有效的方法,如最近兴起的控制自我评估(CSA)就是基于风险识别、评估和应对基础之上的。
内部控制有效性的监督检查和外部评价是当前内部控制建设的重点。目前,针对财务报告内部控制的外部评价体系已经基本成型,但是需要注意的是,外部评价的效果需要有企业内部控制的内部检查与评价作为支撑,两者必须协同发展,如果只强调外部评价而忽视企业内部控制的内部检查与评价,则可能会导致企业内部控制的评价因缺乏坚实的支撑基础而流于形式。(作者单位:首都经济贸易大学会计学院)