本次国际金融危机后,建立健全企业内部控制更加引起世界范围内包括政府监管部门、企业界和学术界等有关方面的极大关注。当前,适逢财政部等五部委联合发布企业内部控制规范体系,在全社会掀起了一股深入贯彻实施企业内部控制规范的新浪潮。本章围绕如何全面把握内部控制的本质、如何理解和运用内部控制五要素强化内部控制建设进行讨论,以期推动我国企业内部控制建设迈上新台阶。
本书总论部分详细地阐述了内部控制的演变历史。从中我们可以了解到,内部控制无论作为一个学科基本概念还是作为单位(企业)提升管理的一个重要手段,其优化和升级的过程,凸显出人们对内部控制本质认识的提高和相关实践的深入。但是,我们依然可以发现,即使是当下,由于角度不同,人们对内部控制本质的理解和认识还存在一些差异,有必要在此作更全面而深入的讨论。
《企业内部控制基本规范》将“内部控制”定义为“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”给企业内部控制下定义的过程,既是一个理念推导的过程,更是全面调研、总结和思想碰撞的过程。人们需要从多个维度去分析判断,才能对企业内部控制概念求得全面理解。
一、“控制”和“内部”的含义
“内部控制”作为一个名词,可以看成是“内部”和“控制”两者构成。“内部”本身的含义是“存在于或位于某个事物的边界或表面以内”。要理解“企业内部控制”概念,自然要将其中所指“某个事物”对应到“企业”。这个意义上讲,企业内部控制的边界,就在“企业范围以内”。从人力资源的角度分析,“董事会、监事会、经理层和全体员工”都是企业内部控制应该“控”的对象;从业务事项角度分析,企业所从事的任何业务及其相关事项都是企业内部控制应作用的对象;从区域分布角度分析,企业分布在不同国家或地区的分部也是“受控”对象,等等。总之,企业内部控制应横向到“内部”的边,纵向到“内部”的界,做到全覆盖。
“控制”本身可以定义为“施加、限制或指引影响;指导或管理的权力或权威;对经营活动的指引、监管和协调;用于监管或指导一个系统运行的一种机制”;或者“朝着一个既定目标的有意识的影响。”相比较而言,后一种定义更集中关注最终结果。它至少传达了两层含义:(1)为实现控制,必定要先确定目标,没有目标的所谓控制没有任何意义;(2)控制涉及影响某个人或某件事,比如某企业的董事、经理,或影响某个业务单元乃至整个企业,其目的是朝着目标前进。概言之,控制概念的基础是确定目标,并采取行动以实现目标。行动可能涉及指引、指导、限制、监管或管理。但为了实现控制,就必须试图实现特定的目标。
二、内部控制作为“一个过程”
在现代企业内部控制的意境下,内部控制不再是简单意义上的所谓“制度”,从而容易让人们贴在墙上、装订在手册中;也不是游离于企业经营活动之上东西,从而容易与企业经营管理活动形成“两张皮”;更不是政府监管部门或行业组织强加给企业的外部指令,从而容易让企业“上有政策、下有对策”。那么,企业内部控制是什么呢?它是一个过程,是渗透到企业的经营管理活动中的一系列行为,是“嵌入其中”而非“置于其上”。事实上,无论是我国企业的内部控制实践,还是其他国家企业内部控制建设经验,都一再表明:当内部控制体系嵌入企业的构架之中并成为企业本体的、不可分割的一部分时,内部控制最为有效。
理解“嵌入式”内部控制理念对企业内部控制实践很有启发。例如,在开发信息系统时,不要去谋求建设一个独立于企业业务系统之外的所谓“内部控制信息系统”。又比如,对于众多的内部控制以外的标准,比如ISO系列标准,都可以设法通过健全内部控制来实现突破。
三、内部控制的作用不能过分夸大
内部控制能够做什么?内部控制可以帮助企业实现其业绩和盈利目标,防止资源损失;有利于保证财务报告可靠性;有助于保证企业符合适用的法律法规,避免对其声誉造成损害或产生其他不良后果……总之,企业内部控制可以帮助企业达到其想“去”的地方,并避开途中的隐患和意外。但是,也不能因此就夸大内部控制的功能,认为它无所不能。
事实上,即使有效的内部控制,也仅仅只能“有助于”、“帮助”企业实现这些控制目标。它可以向企业管理层提供有关企业在实现其目标方面取得的进展或缺乏进展的信息。但内部控制不可能将一个素质差的经理变成一个讲诚信、重道德、有能力的经理。再者,政府宏观政策、竞争者的优势或国内外经济金融环境的变化,可能会超出管理层的控制范围。比如,本次国际金融危机对世界经济的强烈冲击。由此说明,“内部控制能够确保企业成功”是一个假命题。类似地,“内部控制可以确保财务报告的可靠性以及遵循法律法规”也是一个假命题。原因在于,内部控制体系无论设计和运行得多么好,都只能就企业目标的实现向管理层和董事会提供合理而非绝对的保证。目标实现的可能性受到所有内部控制体系都存在的固有局限的影响。即,决策中的判断可能是错误的,可能会由于简单的误差或错误而发生故障。此外,控制可能会由于两人或多人的串通以及管理层拥有凌驾于内部控制体系之上的能力而被规避。另一个限制因素是内部控制体系设计不能不考虑成本效益因素,需要在成本与效益之间求得适当的平衡。
简言之,企业内部控制可以帮助企业实现其目标,但不能将其当作万验之灵药。
四、内部控制的目标
通常,目标被人们称作行动的目的。就企业内部控制而言,前已述及,没有目标的控制没有任何意义。因此,当我们讨论内部控制时,必须“心中”设定目标。理论上讲,企业目标可以简单地划分为两个层次,即战略目标和其他目标。这种划分的意义在于,战略目标应当看作是企业目标的最高层次,是企业全体同仁应该努力去追求的。当战略目标确定后,可以确定其他目标。一般而言,从企业内部控制角度看,此处所指的其他目标包括经营目标、报告目标和遵循目标。但是,我国《企业内部控制基本规范》还列出了一个目标,即“资产安全”目标。对此,至少可从以下方面来理解:(1)早期内部控制追求重要目标之一就包括合理保证企业资产安全;(2)在我国现实情况下,如何合理保证企业资产安全仍然是投资者及其他社会大众甚至政府监管部门所关心的,在内部控制目标中将其单列有其现实意义;(3)各个内部控制目标之间始终存在“交集”,并不是互为完全独立,因此,只要绝大多数人认为必须,资产安全目标是可以也是应当独立出来的;(4)美国SEC在实施SOX法案404条款时仍强调资产安全的重要性。
更深一步理解我国《企业内部控制基本规范》所设立的内部控制目标(即发展战略目标、经营效率和效果目标、资产安全目标、财务报告及相关信息真实完整目标和合法合规目标,“五目标”),还应该把握以下几个方面:
1.“五目标”的内涵及其层次性。(1)发展战略目标,是促进企业实现发展战略的目标,是内部控制的最高目标,也是终极目标。该目标的确定需要与企业的使命(愿景、存在的目的)相一致。企业的使命,是指企业存在的目的,向人们传达该企业向社会提供什么样的产品或服务。只有企业的使命或愿景确立了,才能制订企业的战略目标、确定战略。(2)经营效率和效果目标与企业资源利用的有效性与效率有关,是通过一系列的控制手段和方法,有助于提高企业内部控制经营效率和效果,是战略目标以下较为重要的内部控制目标。经营效率和效果目标,需要符合特定企业自身、行业和企业运行的经济环境特点,需要符合现实与市场需求,需要有明确的绩效衡量指标。经营的效率与效果目标明确,且与各项子目标有机衔接,是企业运营成功的基本前提和重要保证。反之,经营的效率与效果目标不明确或不成熟,势必造成企业资源浪费,甚至步入经营失败的境地。(3)资产安全目标是防止资产流失,维护资产的安全。该目标强调防止或及时发现未经授权取得、使用或处置企业的资产。资产安全的目标还包括提高资产的使用效能。(4)财务报告及相关信息真实完整目标既与企业内部报告有关也与外部报告有关,既涉及财务数据也涉及非财务数据(如产品质量报告等),但主要与编制可靠的、公开的财务报表有关。该目标意在合理保证包括财务报告在内的对内或对外信息的真实、完整、准确。(5)经营管理合法合规目标与企业适用的法律法规有关,意在合理保证企业经营活动符合国家法律、法规的要求。该目标强调企业的经营行为必须符合适用的法律法规,是内部控制最基础的目标。
2.“五目标”的相互关联性。企业内部控制的五个目标中,发展战略目标统领其他目标,其他四个目标是服从服务于发展战略目标的。然而,资产安全目标、财务报告及相关信息真实完整目标、实现经营效率和效果目标、经营管理合法合规目标等四个目标,并不是完全独立的。比如,对某项资产安全的控制,既直接涉及资产安全目标,又可能涉及效率和效果目标,还可能涉及财务报告及其相关信息真实完整目标。其次,这四个目标之间不存在严格的“先后顺序”排列问题。
3.“五目标”的可实现性。企业内部控制的五个目标中,可实现性略有不同。有些目标的实现具有很大的确定性。比如,财务报告及其相关信息真实完整目标的可实现性就是如此。有外部监管机构强制实现会计准则,有诚信正直的企业管理层的推动,加之独立审计师依法依规开展审计,企业的财务报告及相关信息真实完整目标是可以实现的。企业经营管理合法合规目标也存在类似情况。但是,也有一些目标的实现存在较大不确定性。比如,经营的效率和效果目标的可实现性就是如此。某企业特定的投资回报率、市场份额或引进新的产品生产线等经营子目标是否能够实现,主动权并不完全掌握在企业手中。即使有效的内部控制,有时也难以防止错误的判断或决策,也不能阻止可能造成企业无法实现经营目标的外部事项。又比如发展战略目标,其实现也不是企业完全可控的。某个企业可能按既定的目标和规划进行生产经营,甚至比竞争对手做得还略好一些,但它还会受到国家宏观经济政策调整、汇率波动、境外政治局势动荡、通货膨胀等难以准确预期且不可控因素的严重影响和冲击。即使企业在制定发展战略目标、经营效率和效果目标考虑到了其中的某些因素,可能减小上述事件的影响程度,却仍不能保证目标的实现。概括地讲,对这些目标而言,企业内部控制体系只能就董事会和管理层及时了解该企业内部控制目标实现的程度提供合理保证。
五、内部控制的要素
(一)内部控制要素的形成
内部控制要素是如何形成的?让我们先考察财务舞弊案。综合分析国内外企业财务舞弊案,不难发现这样一个现象,即财务舞弊往往表现在财务处理的细节。比如,对不符合收入确认的销售事项确认销售收入,本应在资产负债表内确认的融资(负债)却“漂泊”或“游离”在表外等。如果只看表面而不深究其中的根源,人们会容易下一个结论,即发生财务舞弊的企业在会计核算流程上出了问题,应予纠正。然而,在绝大多数情况下,即使优化了会计核算流程,类似的财务舞弊依然会发生。美国“安然”事件就足以说明这一点。当我们把目光延展开来投向一桩桩矿难,也不难发现问题的真正根源似乎不限于在安全生产操作上出了问题。这些财务舞弊现象或安全生产案例,带给我们的深度思考是什么?主要是企业的“内部环境”出了问题。由此引发人们对内部控制更全面、深入的思考。要促进企业目标的实现,既要有适合的业务管理制度,还要有规范的流程,更要有一个良好的促进制度和流程顺畅运转的环境基础。如果再往深思考,要有科学的、符合企业实现情况的制度并让其有效执行,还需要将实现目标过程的风险摸清楚、管理好,还需要有一个良好的信息沟通渠道,还需要强化监督检查等。这些似乎自然而然地融合于企业经管管理过程。从内部控制角度将其加以概括和完善,就形成了内部控制“五要素”,即内部环境、风险评估、控制活动、信息与沟通、内部监督。概言之,企业内部控制包括五个相互关联的构成要素;它们来自管理层经营企业的方式,贯穿于管理过程之始终。
(二)内部控制要素数量
内部控制要素数量应为多少才合适?理论上讲,企业内部控制要素数量的多少主要取决于以下因素:(1)内部控制过程的跨度;(2)各要素之间的独立性;(3)各要素本身细化程度。从内部控制过程的跨度看,基于业务流程,着力于经营管理风险控制,深究于企业最高管理层的理念、态度和能力等。一路“看过来”,内部控制至少要涉及业务控制程序、控制措施、控制目标、风险评估与分析、风险管理策略、公司治理、组织架构、诚信与道德、胜任能力、企业文化、信息系统、沟通等要素。而从要素之间的独立性看,这些要素之间多有重复或交叉之处。再者,从各要素本身的细化程度看,有些要素“粗”一些,如公司治理等;有些要素“细”一点,如控制措施等。综合考虑这些因素,并本着“清晰过程、适度概括、相互独立”的原则,内部控制要素通常有两种归纳方法。第一种方法是:内部环境(含公司治理、组织架构、企业文化、诚信与道德、胜任能力等)、目标设定、事项识别(主要指风险事件)、风险评估(含风险分析)、风险应对、控制活动(含控制程序和控制政策)、信息与沟通、内部监督等,即“内部控制八要素”。第二种方法是:内部环境、风险评估(含目标设定、事项识别、风险分析、风险应对)、控制活动、信息与沟通、内部监督等,即“内部控制五要素”。我国企业内部控制规范体系采用的是第二种归纳方法。它们的基本含义和作用如下:
1.内部环境。内部环境决定了企业的基调,直接影响董事会及企业员工的控制意识,包括诚信、道德价值观和胜任能力,以及他们在经营活动中所处的环境。内部环境提供了内部控制的基本规则和构架,是其他四要素的基础,更是企业所有活动赖以存在的基础,在“潜移默化”之中影响企业的发展。
2.风险评估。每个企业都面临诸多来自内部和外部的有待评估的风险,贯穿于企业所有的经营活动中。建立对这些风险的识别、筛选、管理的机制,使组织协调一致的运行。
3.控制活动。控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于对管理层确认的风险采取必要的措施加以管理,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。
4.信息和沟通。为了确保控制目标的实现,所有活动的信息必须被确认、捕获并以一定形式及时传递,以便使董事会、监事会、经理层和员工获取真实可靠的信息以正确地履行职责。
5.内部监督。内部监督是对内部控制系统本身的监督,即对该系统有效性进行评估的全过程。内部监督有利于内部控制系统的完善,使之随着情况的需要而变化。
企业内部控制五要素的确立,不仅为建立健全企业内部控制提供了指引,同时也给企业内部控制自我评价指明了方向。判断企业内部控制是否有效,必须从内部控制五要素分别评价,综合得出结论。
(三)内部控制要素之间的关系
企业内部控制作为一个管理过程,表明内部控制体系是一个动态机制。例如,风险评估不仅影响控制活动,还可能表明有必要重新考虑信息与沟通,或企业的内部监督。从这个意义上讲,内部控制并不是一个构成要素仅仅影响下一个构成要素的系列过程。相反,它是一个几乎任何一个构成要素都能够且可能影响其他构成要素的多方向的往复的过程。总之,内部控制各要素之间,既相互独立又相互联系,形成一个有机统一体,并对不断变化的环境中自动作出反应。
内部控制体系的动态机制进一步解读图可以看出:
1.内部环境提供了员工开展活动和履行控制责任的氛围。它充当其他构成要素的基础。在这个环境内,管理层评估实现特定目标的风险。实施控制活动是为了帮助确保管理层应对风险的指令得以贯彻执行。同时,相关的信息被获取并在组织内沟通。整个过程都受到监控,并在必要的情形下进行修正。换句话说,内部环境是基础,风险评估是主线,控制活动是手段,信息沟通是条件,内部监督是对以上每个环节的监控,并加以改进和完善。
2.内部控制要素之间相互影响,“你中有我”、“我中有你”。比如内部环境,需要风险评估,从而采取控制活动,加强信息沟通和内部监督;又如,风险评估也需要内部环境作为基础,获取充分的信息并有效沟通和相应的内部监督,最终落实到控制活动。同时,内部控制与企业的经营行为紧密相连,因基本的商业动机而存在。
(四)内部控制要素与目标之间的关系
目标与构成要素之间有着直接的关系。目标是企业努力争取实现的东西,构成要素则代表着要实现这些目标需要什么。所有内部控制构成要素都与每一类目标相联系,所示。每个构成要素都“贯穿”并适用于所有内部控制目标。与此同时,内部控制与整个企业相关,或与它的某一部分相关。这种关系可以用第三维度来表示。它代表子公司、分部或其他业务单元,或者职能部门,或者诸如购买、生产、营销等其他活动。
内部控制如果成为企业内部构架的核心部分和基本理念,将会发挥最大的效用。这时内部控制可以最大限度地支持控制目标,避免不必要的成本,并对环境的变化迅速作出反应。
六、内部控制的责任归属
董事会对建立健全和有效实施内部控制负最终责任。这是因为,企业要持续发展,满足股东、债权人以及政府监管部门的要求,就必须以发展战略为中心、不断地提高经营效率和效果,保证资产安全、财务报告及相关信息的真实完整,符合国家法律法规规定。这些都是董事会义不容辞的责任,也正是内部控制的目标。因此,健全内部控制,应首先由董事会负责。监事会或审计委员会作为重要的监督部门,也应在内部监督方面充分发挥作用,特别是在发生经理层凌驾于内部控制之上的情况下,应给予充分的关注和反映。经理层负责具体实施董事会关于建立健全内部控制的要求。