论文部分内容阅读
【摘 要】 本文在分析内部控制的含义和构成要素的基础上,根据最新的内部控制研究成果——新COSO框架来分析我国企业内部控制的不足之处,并提出了具体的完善措施。
【关键词】 内部控制; COSO框架; 内部控制要素
我国企业在内部控制建设方面做得不科学、执行不力,其中存在很多问题亟需改善。比如像中国农业银行邯郸分行的盗取金库巨款买彩票、中国农行出现800亿坏账和中航油违规参与石油衍生品交易以致破产的教训不得不使我们重视我国企业内部控制的有效性。而国际上,尤其是美国在经历了安然、世通事件后,对于内部控制相关法律法规体系的建设较为严格和完善,可行性高。比如《萨-奥法案》和COSO框架的出台,值得国家在建立有关法规和企业内部建立相关制度时参照学习。本文拟借鉴新COSO的研究成果对中国企业内控存在的问题进行研究,以期帮助我国企业完善其内部控制,减少经营风险。
一、基于风险管理的内部控制框架
2004年,最新的COSO报告《内部控制——风险管理》将内部控制定义为:由一个企业的董事长,管理层和其他人员实现的过程,旨在为下列目标提供合理的保证:一是财务报告的可靠性;二是经营的效果和效率;三是符合适用的法律和法规;四是战略目标的达成。其中把内部控制要素扩展为:内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监督八个要素。内部环境是风险管理的外围和背景,是其他要素的基础,企业的内控环境要和其环境相适应,包括风险管理文化和风险偏好、诚信和企业文化、管理层、董事会等等。目标设定是风险管理的逻辑起点,无目标也就无所谓风险,风险的种类和程度大小决定于企业目标,要防范风险必须从企业目标分析入手,事项识别是对影响目标实现的因素和因素中暗含风险的分析。包括:经济因素、自然因素、社会因素、政治因素、技术因素等等。风险评估是对风险发生的可能性以及影响进行评估,对于发生可能性大而且影响大的风险实施重点管理,同时考虑各类风险的固有风险和剩余风险。风险反应是在风险评估的基础上,选择各类风险的应对措施。控制活动是风险管理的主干,是指风险反应落实的各项政策和程序,包括针对每种业务活动建立起来的清晰的授权体制,建立各项业务流程和运作标准,明确岗位职责,实施业绩评价等等。信息与沟通是风险管理的润滑剂,只有在组织内部顺畅的信息流动与顺利的沟通前提下,内控运作才会到位。监督是风险管理内控体系运作的保障。
上述八个要素是一个相互联系、综合作用的整体,存在顺承关系,互为支撑和依托。它们构成对处于变化中的环境做出动态反映的整体框架。如图1。
二、我国企业内部控制存在的问题
内部环境中存在的问题有公司治理结构不完善,企业文化落后,没有形成自己的独立文化(即使有,也没有形成良好的执行氛围),管理层风险意识淡薄;内部控制目标设定不合理,没有与企业风险偏好相一致,没有设置相应的风险容忍度;风险评估不到位,对风险认识的不足;风险反应相对滞后,偏重于事后控制;控制活动被局限于会计控制,忽视了对企业管理的控制作用;信息与沟通不畅,关注的沟通主要是通过综合、分类、记录、报告等方式进行的会计信息系统的沟通,未把管理系统包括进来;监督不到位,依靠外部监督现象严重,而忽视了自我监督、内部监督;重视上级监督下级,而忽视了平级监督和下级对上级的监督,缺乏所有者监督。
三、新COSO框架下加强我国企业内部控制建设的建议
(一)完善公司内部环境
1.完善公司治理结构。确立董事会核心地位董事长和总经理的分工既是公司治理中的权力制衡问题,也是内部控制中不相容职务相分离的问题。在新COSO框架下,董事会在企业风险管理方面扮演了更加重要的角色——负责总体责任,建立内部控制框架首先要在组织机构设置和人员机构配备方面做到董事长和总经理分设,避免人员重叠。董事会要发挥作用必须具备以下条件:一是要独立于管理层,不受其影响,任职人员应不在公司担任除董事以外的其他职务;二是能够有权聘用和解聘高级管理人员,而此高级管理人员并非董事会成员。
为了摆脱“大股东行政治理式控制”的问题,需要不断深化股权分置改革,实行股权多元化和适当国有股减持,比如在二级流通股市中采取配股或者送股的方式减持国有股。为减小股价大幅动荡,可以继续采取现在多数上市公司使用的限售上市流通的办法慢慢进行股权改革。而对于新上市的公司则应该要求在上市时就做到普通股全额上市。
独立董事应该是和所有者与经营者都没有关联的独立个体,必须有利于股东、董事会、总经理之间相互制衡机制的有效发挥,必须有一定监督作用,而不是为大股东服务。独立懂事的产生不应该由大股东或者经理来任命,重点要制定专门的制度或章程来规定独立董事的产生办法,明确独立董事的责任。其产生应该由中小股东、大股东以及债权人共同决定。比如:中国电信就制定了监事会议事规则,规定了独立董事产生的适当比例,明确了董事要适时获知敏感的信息,调查违规行为。
2.注重企业文化的培养和优化。现在很多国内企业已经注意到这个现象,明白自己的文化对公司的作用不仅仅是品牌形象,而且可以强有力地帮助公司的管理。比如四川置信,他们的管理层均不从外部招聘,而是自己从基层培养,让他们从一开始就认同置信的精英模式和管理理念。更多的公司是提出了自己的口号,以此凸显企业的宗旨。重视内部控制的企业文化,保持这种文化和制度,同时在现有文化基础上发挥员工的创新性,不仅有利于科学合理地制定和执行内部控制制度,还可以弥补内部控制制度的不足,使企业的内部控制始终处于有效状态。
我国企业的经营管理者应该注重对企业文化的培养与优化。企业在培养自身的文化时,应避免只注重内部和短期的企业文化,应保持一种健康的文化氛围,使其与公司的战略目标趋于一致。企业文化包括道德及行为标准以及如何在实务中沟通与强化该标准。企业文化的相对稳定性和企业内外部环境的不断变化,使得企业文化容易出现某些方面阻碍企业目标实现的问题。所以,应根据企业内外部环境的变化,对企业文化做出及时的修正。
3.提高人员的素质。不仅仅是文化素质的提高,道德素质也很重要,尤其是高层管理人员,他们的道德素质对企业是否可以正常发展起到关键作用。因为企业的决策都是由高层人员做出,他们更加关心自己的利益,道德素质不高时,可能会以牺牲企业利益来保全自身利益。同时他们的风险喜好程度决定企业承担风险的程度。只有提高各级人员的综合素质才能让风险审计水平走在前例,让内部控制更加完善,才能让员工更好地为企业服务。
4.增强管理者的风险意识。企业风险管理成功与否很大程度上依赖于管理层的风险意识。有的公司管理层比较激进,愿意承担更高的风险以追求更高的盈利回报,但是不要一味地追求高收益而忽视风险将带来的损失。企业管理者的经营理念应该是让企业不断发展,追求利益的同时减少承担的风险,所以其风险偏好应该是适应企业长远发展的。企业可以尝试建立风险文化,并深入到各个管理层次,让大家在风险文化的指导下进行自律管理,减少企业在风险中的损失。
(二)设定正确合理的目标
企业不仅要设定目标,还要评价这个目标是否符合企业发展的实际,是否符合企业风险喜好。只有知道了企业工作目标,才能识别控制环境的各个要素中哪些要素会带来风险,这些风险对企业整体而言是不是重要的,并针对那些产生风险的对企业影响大的要素采取控制活动。因此说,目标是风险评估的起点,设立了正确的目标就是找到了企业正确的起点。同时还要为目标设置相应的风险容忍度。
(三)正确地认识和评价风险,根据风险进行内控设计
突破内部控制只是会计控制的思想束缚,建立风险管理体制,更加重视风险控制,重视以风险为导向。可以成立风险评价委员会,分析和确认内控目标实现中的不利因素;定期实施风险评价,针对发现的风险及时查明原因,采取措施。
根据企业面临的风险进行内部控制系统设计非常重要,企业的内部控制能否发挥作用,必须考虑企业面临的风险的性质、范围、风险可量化程度与管理相关风险可获得的收益的对比。即关键是先认识风险;然后是制定规则。也正由于企业内部控制主要是根据企业各种风险,本着控制风险的需要和目的设计制定的,企业内部控制的目标和价值才能降低组织承受的风险。针对上市公司中较为严重的违规担保问题,企业自身应该建立担保评价体系,认清什么样的企业可以为之提供担保,提供多少担保,针对逾期担保应该采取什么措施来保护企业的利益等等。
(四)风险反应要及时
企业在日常经营活动中应当遇见风险,在风险发生之前根据企业自身的风险喜好程度和企业的风险承受能力,针对前期认识和评估到的风险,采用正确的风险反应措施防患于未然并及时做出反映,能够回避则回避风险,如果不能回避则看风险是否属于企业可以单独承受的,企业要决定如何接纳这些风险;如果面临的风险企业无法单独承受,则要做出共享风险或做出减少风险损失的反映,而不是在风险来临的时候才即时反应或者在风险造成损失后才补救,惩罚相关人员。
(五)关注管理控制活动
COSO报告中控制活动在原来控制程序的基础上,内涵更丰富,增加了绩效分析控制、信息处理控制等内容,这使控制活动的功能大大增强。内部控制中控制活动绝不仅仅是对会计系统的控制,企业管理同样需要控制活动。而我国企业目前还远远没有认识到这一点,甚至针对会计系统的控制活动,其表面化、肤浅化、流于形式的情况也非常严重。我国在完善企业内部控制时,应该关注控制活动的作用发挥,拓展其服务范围,彻底打破会计控制与管理控制在内部控制中的界限,使控制活动也能为管理控制服务。
(六)信息与沟通要素的完善
我国关于内部控制中信息与沟通的认识相对比较落后。由于我国长期以来一直把内部控制局限在内部会计控制的框架里,所以所谓的信息与沟通只是会计信息的沟通。企业控制制度能否生效,一个关键因素在于能否正确理解内部控制中的信息与沟通,并把恰当的信息,在恰当的时间通过恰当的渠道加以传递,并且,由于控制活动主要负责企业内部控制的实施,因此,信息与沟通系统应该建立在控制活动周围。必须对信息的收集和加工加以控制,以保证传递的信息具有恰当性。
一个企业,要想达到信息在企业内部有效、快速、准确地沟通的目标,就必须建立起有效的信息沟通渠道,并充分借助信息系统。有效的信息沟通渠道应是动态的、立体的、纵横交错的,而不应是平面的、静态的、单向链式的结构,是基层和高层,部门与部门,内部与外部之间互动的信息的沟通。
【参考文献】
[1] 苏平.运用COSO控制论原理加强会计内部控制建设[J].金融纵横,2007,(5).
[2] The COSO Model[N]. INTERNAL AUDITOR,2005,(4).
[3] 张宜霞.内部控制——基于企业本质的研究[M].中国财政经济出版社.
[4] 李静.美国COSO报告及其借鉴意义[J].财会月刊,2006,(6).
【关键词】 内部控制; COSO框架; 内部控制要素
我国企业在内部控制建设方面做得不科学、执行不力,其中存在很多问题亟需改善。比如像中国农业银行邯郸分行的盗取金库巨款买彩票、中国农行出现800亿坏账和中航油违规参与石油衍生品交易以致破产的教训不得不使我们重视我国企业内部控制的有效性。而国际上,尤其是美国在经历了安然、世通事件后,对于内部控制相关法律法规体系的建设较为严格和完善,可行性高。比如《萨-奥法案》和COSO框架的出台,值得国家在建立有关法规和企业内部建立相关制度时参照学习。本文拟借鉴新COSO的研究成果对中国企业内控存在的问题进行研究,以期帮助我国企业完善其内部控制,减少经营风险。
一、基于风险管理的内部控制框架
2004年,最新的COSO报告《内部控制——风险管理》将内部控制定义为:由一个企业的董事长,管理层和其他人员实现的过程,旨在为下列目标提供合理的保证:一是财务报告的可靠性;二是经营的效果和效率;三是符合适用的法律和法规;四是战略目标的达成。其中把内部控制要素扩展为:内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监督八个要素。内部环境是风险管理的外围和背景,是其他要素的基础,企业的内控环境要和其环境相适应,包括风险管理文化和风险偏好、诚信和企业文化、管理层、董事会等等。目标设定是风险管理的逻辑起点,无目标也就无所谓风险,风险的种类和程度大小决定于企业目标,要防范风险必须从企业目标分析入手,事项识别是对影响目标实现的因素和因素中暗含风险的分析。包括:经济因素、自然因素、社会因素、政治因素、技术因素等等。风险评估是对风险发生的可能性以及影响进行评估,对于发生可能性大而且影响大的风险实施重点管理,同时考虑各类风险的固有风险和剩余风险。风险反应是在风险评估的基础上,选择各类风险的应对措施。控制活动是风险管理的主干,是指风险反应落实的各项政策和程序,包括针对每种业务活动建立起来的清晰的授权体制,建立各项业务流程和运作标准,明确岗位职责,实施业绩评价等等。信息与沟通是风险管理的润滑剂,只有在组织内部顺畅的信息流动与顺利的沟通前提下,内控运作才会到位。监督是风险管理内控体系运作的保障。
上述八个要素是一个相互联系、综合作用的整体,存在顺承关系,互为支撑和依托。它们构成对处于变化中的环境做出动态反映的整体框架。如图1。
二、我国企业内部控制存在的问题
内部环境中存在的问题有公司治理结构不完善,企业文化落后,没有形成自己的独立文化(即使有,也没有形成良好的执行氛围),管理层风险意识淡薄;内部控制目标设定不合理,没有与企业风险偏好相一致,没有设置相应的风险容忍度;风险评估不到位,对风险认识的不足;风险反应相对滞后,偏重于事后控制;控制活动被局限于会计控制,忽视了对企业管理的控制作用;信息与沟通不畅,关注的沟通主要是通过综合、分类、记录、报告等方式进行的会计信息系统的沟通,未把管理系统包括进来;监督不到位,依靠外部监督现象严重,而忽视了自我监督、内部监督;重视上级监督下级,而忽视了平级监督和下级对上级的监督,缺乏所有者监督。
三、新COSO框架下加强我国企业内部控制建设的建议
(一)完善公司内部环境
1.完善公司治理结构。确立董事会核心地位董事长和总经理的分工既是公司治理中的权力制衡问题,也是内部控制中不相容职务相分离的问题。在新COSO框架下,董事会在企业风险管理方面扮演了更加重要的角色——负责总体责任,建立内部控制框架首先要在组织机构设置和人员机构配备方面做到董事长和总经理分设,避免人员重叠。董事会要发挥作用必须具备以下条件:一是要独立于管理层,不受其影响,任职人员应不在公司担任除董事以外的其他职务;二是能够有权聘用和解聘高级管理人员,而此高级管理人员并非董事会成员。
为了摆脱“大股东行政治理式控制”的问题,需要不断深化股权分置改革,实行股权多元化和适当国有股减持,比如在二级流通股市中采取配股或者送股的方式减持国有股。为减小股价大幅动荡,可以继续采取现在多数上市公司使用的限售上市流通的办法慢慢进行股权改革。而对于新上市的公司则应该要求在上市时就做到普通股全额上市。
独立董事应该是和所有者与经营者都没有关联的独立个体,必须有利于股东、董事会、总经理之间相互制衡机制的有效发挥,必须有一定监督作用,而不是为大股东服务。独立懂事的产生不应该由大股东或者经理来任命,重点要制定专门的制度或章程来规定独立董事的产生办法,明确独立董事的责任。其产生应该由中小股东、大股东以及债权人共同决定。比如:中国电信就制定了监事会议事规则,规定了独立董事产生的适当比例,明确了董事要适时获知敏感的信息,调查违规行为。
2.注重企业文化的培养和优化。现在很多国内企业已经注意到这个现象,明白自己的文化对公司的作用不仅仅是品牌形象,而且可以强有力地帮助公司的管理。比如四川置信,他们的管理层均不从外部招聘,而是自己从基层培养,让他们从一开始就认同置信的精英模式和管理理念。更多的公司是提出了自己的口号,以此凸显企业的宗旨。重视内部控制的企业文化,保持这种文化和制度,同时在现有文化基础上发挥员工的创新性,不仅有利于科学合理地制定和执行内部控制制度,还可以弥补内部控制制度的不足,使企业的内部控制始终处于有效状态。
我国企业的经营管理者应该注重对企业文化的培养与优化。企业在培养自身的文化时,应避免只注重内部和短期的企业文化,应保持一种健康的文化氛围,使其与公司的战略目标趋于一致。企业文化包括道德及行为标准以及如何在实务中沟通与强化该标准。企业文化的相对稳定性和企业内外部环境的不断变化,使得企业文化容易出现某些方面阻碍企业目标实现的问题。所以,应根据企业内外部环境的变化,对企业文化做出及时的修正。
3.提高人员的素质。不仅仅是文化素质的提高,道德素质也很重要,尤其是高层管理人员,他们的道德素质对企业是否可以正常发展起到关键作用。因为企业的决策都是由高层人员做出,他们更加关心自己的利益,道德素质不高时,可能会以牺牲企业利益来保全自身利益。同时他们的风险喜好程度决定企业承担风险的程度。只有提高各级人员的综合素质才能让风险审计水平走在前例,让内部控制更加完善,才能让员工更好地为企业服务。
4.增强管理者的风险意识。企业风险管理成功与否很大程度上依赖于管理层的风险意识。有的公司管理层比较激进,愿意承担更高的风险以追求更高的盈利回报,但是不要一味地追求高收益而忽视风险将带来的损失。企业管理者的经营理念应该是让企业不断发展,追求利益的同时减少承担的风险,所以其风险偏好应该是适应企业长远发展的。企业可以尝试建立风险文化,并深入到各个管理层次,让大家在风险文化的指导下进行自律管理,减少企业在风险中的损失。
(二)设定正确合理的目标
企业不仅要设定目标,还要评价这个目标是否符合企业发展的实际,是否符合企业风险喜好。只有知道了企业工作目标,才能识别控制环境的各个要素中哪些要素会带来风险,这些风险对企业整体而言是不是重要的,并针对那些产生风险的对企业影响大的要素采取控制活动。因此说,目标是风险评估的起点,设立了正确的目标就是找到了企业正确的起点。同时还要为目标设置相应的风险容忍度。
(三)正确地认识和评价风险,根据风险进行内控设计
突破内部控制只是会计控制的思想束缚,建立风险管理体制,更加重视风险控制,重视以风险为导向。可以成立风险评价委员会,分析和确认内控目标实现中的不利因素;定期实施风险评价,针对发现的风险及时查明原因,采取措施。
根据企业面临的风险进行内部控制系统设计非常重要,企业的内部控制能否发挥作用,必须考虑企业面临的风险的性质、范围、风险可量化程度与管理相关风险可获得的收益的对比。即关键是先认识风险;然后是制定规则。也正由于企业内部控制主要是根据企业各种风险,本着控制风险的需要和目的设计制定的,企业内部控制的目标和价值才能降低组织承受的风险。针对上市公司中较为严重的违规担保问题,企业自身应该建立担保评价体系,认清什么样的企业可以为之提供担保,提供多少担保,针对逾期担保应该采取什么措施来保护企业的利益等等。
(四)风险反应要及时
企业在日常经营活动中应当遇见风险,在风险发生之前根据企业自身的风险喜好程度和企业的风险承受能力,针对前期认识和评估到的风险,采用正确的风险反应措施防患于未然并及时做出反映,能够回避则回避风险,如果不能回避则看风险是否属于企业可以单独承受的,企业要决定如何接纳这些风险;如果面临的风险企业无法单独承受,则要做出共享风险或做出减少风险损失的反映,而不是在风险来临的时候才即时反应或者在风险造成损失后才补救,惩罚相关人员。
(五)关注管理控制活动
COSO报告中控制活动在原来控制程序的基础上,内涵更丰富,增加了绩效分析控制、信息处理控制等内容,这使控制活动的功能大大增强。内部控制中控制活动绝不仅仅是对会计系统的控制,企业管理同样需要控制活动。而我国企业目前还远远没有认识到这一点,甚至针对会计系统的控制活动,其表面化、肤浅化、流于形式的情况也非常严重。我国在完善企业内部控制时,应该关注控制活动的作用发挥,拓展其服务范围,彻底打破会计控制与管理控制在内部控制中的界限,使控制活动也能为管理控制服务。
(六)信息与沟通要素的完善
我国关于内部控制中信息与沟通的认识相对比较落后。由于我国长期以来一直把内部控制局限在内部会计控制的框架里,所以所谓的信息与沟通只是会计信息的沟通。企业控制制度能否生效,一个关键因素在于能否正确理解内部控制中的信息与沟通,并把恰当的信息,在恰当的时间通过恰当的渠道加以传递,并且,由于控制活动主要负责企业内部控制的实施,因此,信息与沟通系统应该建立在控制活动周围。必须对信息的收集和加工加以控制,以保证传递的信息具有恰当性。
一个企业,要想达到信息在企业内部有效、快速、准确地沟通的目标,就必须建立起有效的信息沟通渠道,并充分借助信息系统。有效的信息沟通渠道应是动态的、立体的、纵横交错的,而不应是平面的、静态的、单向链式的结构,是基层和高层,部门与部门,内部与外部之间互动的信息的沟通。
【参考文献】
[1] 苏平.运用COSO控制论原理加强会计内部控制建设[J].金融纵横,2007,(5).
[2] The COSO Model[N]. INTERNAL AUDITOR,2005,(4).
[3] 张宜霞.内部控制——基于企业本质的研究[M].中国财政经济出版社.
[4] 李静.美国COSO报告及其借鉴意义[J].财会月刊,2006,(6).