论文部分内容阅读
[摘 要] 只有坚持正确的受托责任观,才能抓住内部控制的关键。本文认为,内部控制本质上是对受托责任履行风险的控制,并初步建立起基于受托责任的内部控制框架。
[关键词] 受托责任;内部控制;风险管理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 01 . 017
[中图分类号]F239.2 [文献标识码]A[文章编号]1673 - 0194(2010)01- 0040 - 04
一、受托责任观
受托责任起源于职责分工,本质上是一种经济关系。在这种关系中,一方是委托人,另一方是受托人,委托人将财产授予受托人经营管理,受托人接受托付后即应承担所托付的责任,这种责任就是受托责任。在受托关系中,委托人希望受托人能够诚实地、积极地履行受托责任,而受托人也应按委托人要求诚实地、积极地履行受托责任。
受托责任广泛存在于企业的各个方面。从外部关系来看,在现代经济条件下,财产所有者自己经营不如委托给职业经理人,职业经理人自己无足够财产,如果不去管理他人的资产,经营才能得不到发挥,也就无法创造财富,因此财产所有者将财产的经营权授予经理人,从而形成外部受托责任。从内部关系来看,由于企业规模不断扩大,组织结构更加复杂,以及环境的高度不确定性,企业为了作出及时灵活的反应,对各个层次的部门进行更多的授权,从而形成内部受托责任。
受托责任通过一系列的契约合同确立,在程序上是一个双方不断博弈的过程,并随着社会经济的发展不断丰富。从总体上分析,其基本内容包括行为责任和报告责任两个方面。行为责任是指按照合法性、经济性、效率性、效果性等要求管理受托资源;报告责任是指如实向委托方报告和说明履行受托责任的过程及其结果的义务。如果未能履行受托责任,就会产生履行风险。履行风险按是否故意可分为错误风险和道德风险。错误是无意的,如决策失误和执行不当。道德风险是指由于利益不一致、信息不对称而产生的。道德风险在会计领域的典型表现就是舞弊风险。舞弊是使用欺骗手段的故意行为,从舞弊主体分类可分为员工舞弊和管理层舞弊,从受托责任环节分类可分为行为舞弊和报告舞弊,这些错误和舞弊都可能导致受托责任得不到有效履行。
因此,理论上委托方和受托方地位是平等的,有着互助合作的美好愿望,但是,现实中由于所处环境不同而有所差异。为了保证受托责任的有效履行,人们设计了各种不同的制度安排,诸如会计和审计制度。会计是向委托方提供关于企业财务状况、经营成果和现金流量的信息,以利于评价受托方履行受托责任情况并进行相应的决策。由于财务报告可能存在错误或舞弊,需要注册会计师对企业财务报告的真实性和公允性进行审计,旨在客观、公正地反映受托方履行受托责任情况。
因此,受托责任概念为理解企业内部和外部关系提供了依据,也为会计和审计发展提供了有力支撑。杨时展指出:随着社会的发展,受托责任逐步大众化,受托责任的内容越来越充实,对受托责任的监督越来越严密。
二、基于受托责任的内部控制发展轨迹分析
内部控制理论的发展经过了一个漫长的时期,大致可分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架与风险管理整体框架等不同的发展阶段。
(一)内部牵制阶段
内部控制历史悠久,在奴隶社会、封建社会和早期的资本主义社会,内部控制的具体形式是内部牵制。《柯氏会计词典》将内部牵制定义为:“以提高有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。”其机制是处理一项业务或记录时要求职责分离和相互制约。因此,最初的内部控制思想主要是控制个人和部门层次的简单的错误风险和舞弊风险。
(二)内部控制制度阶段
20世纪40年代末至70年代,内部控制开始受到审计师的重视。1949年,美国会计师协会(AIA)审计程序委员会在《内部控制,一种协调制度要素及其对管理当局和注册会计师的重要性 》报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有协调的方法和措施,旨在保护企业的财产,检查会计信息的准确性,提高经营效率,推进企业坚持执行既定的管理政策。”
1958年, 美国会计师协会审计程序委员会发布第29号审计程序公报《独立审计人员评价内部控制的范围》,进一步将内部控制分为两类,即会计控制和管理控制。前者与受托财务责任有关,目标是保护企业的资产,检查会计数据的准确性;后者与受托管理责任有关,目标在于提高经营效率,促使有关人员遵守既定的管理方针。
(三)内部控制结构阶段
20世纪80年代,受系统论、控制论等理论的影响,西方学术界提出了内部控制结构的概念。
1988年,美国注册会计师协会(AICPA)在其发布的第55号审计准则公告《会计报表审计中对内部控制结构的关注》中首次采用内部控制结构取代了原来的内部控制概念。公告认为:“内部控制结构包括为合理保证实现公司的具体目标而建立的一系列政策和程序。”内部控制结构由控制环境、会计制度、控制程序3个要素组成。
在内部控制结构阶段,其主要变化是提出了控制环境的概念。控制环境包括管理者的经济理念和风格、组织结构、董事会及委员会的职能、确认权责的方法、监督方法、外部关系等,反映了董事会、经理层、其他人员对内部控制的态度、认识和行动。企业中的每一个人都对内部控制负有责任,即受托控制责任,通过合理的授权和责任,可以充分发挥部门和人员的积极性。
(四)内部控制整体框架阶段
1992年,COSO发布了《内部控制——整体框架》,主要内容为:①定义:内部控制被宽泛地定义为一个由董事会、管理层和其他人员实施的、旨在为实现控制目标提供合理保证的过程。定义中包括了“合理保证”等基本概念。②目标:经营的效率性和效果性;财务报告的可靠性;符合适用的法律和法规。③要素:控制环境;风险评估;控制活动;信息与沟通;监督。
在内部控制整体框架阶段,其主要变化是强调了风险意识。所有的企业,不论其规模、机构、性质或产业是什么,其组织的不同层级都会遭遇风险,企业必须对风险采取必要的控制行动。无风险的控制只会增加控制成本,影响管理的灵活性;反之,对重大风险失去控制,必然会导致企业经营失败。
2001年美国发生的安然事件等一系列财务丑闻,又一次让内部控制成为关注的焦点。面对日益猖獗的舞弊行为,2002年美国国会通过了《萨班斯—奥克斯利法案》,法案强化了管理层的控制责任,强化了对内部控制的外部监督,并赋予了严厉的法律责任。内部控制不仅是内部管理和注册会计师审计的需要,而且成为股东、监管层和社会公众的需要,会计、内部控制、审计成为履行受托报告责任的三驾马车。
(五)风险管理整体框架阶段
2004年,COSO根据新的研究成果,发布了《风险管理——整体框架》,其主要内容为:①定义:风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。②目标:战略目标——高层次目标,与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规目标——符合适用的法律和法规。对于控制目标,COSO委员会认为,因为报告目标与合规目标在企业的控制范围之内,所以可以期望风险管理为实现这些目标提供合理保证。但是,战略目标和经营目标的实现取决于外部环境,对于这些目标,企业风险管理能够合理地保证管理当局和董事会及时地了解实现目标的程度。③要素:内部环境;目标设定;事项识别;风险评估;风险应对;控制活动;信息与沟通;监督。
对于内部控制和风险管理的关系,COSO委员会认为,内部控制是企业风险管理不可分割的一部分。风险管理框架涵盖了内部控制,从而构建了一个更强有力的概念和管理工具。由于《内部控制——整体框架》经受了时间考验,并且成为现行规则、法规和法律的基础,因此《内部控制——整体框架》对内部控制的定义和框架依然有效。虽然《内部控制——整合框架》中只有一部分被《风险管理——整体框架》所引用,但是作为参考文献形式整体上融进了《风险管理——整体框架》。
在风险管理整体框架阶段,其主要变化为:①用风险管理代替内部控制,并增加了与风险相关要素,这也体现了内部控制的本质和发展趋势。②在目标上增加了战略目标。一方面,随着社会经济环境急剧变革,市场竞争日趋激烈,企业经营失败不断发生,而经营失败在很大程度上是由于战略失败造成的;另一方面,经营失败常常导致财务报告舞弊,因此,对战略风险的控制是对现实状况的必然反映。
总之,从内部控制发展轨迹可以看出,内部控制目标和受托责任目标具有一致性,受托责任存在履行风险,如错误风险、舞弊风险等,需要一种风险防范工具,内部控制一直扮演着这样的角色,因此,内部控制本质上是对受托责任履行风险的控制。
三、基于受托责任的内部控制框架设计
以受托责任为基础,结合COSO控制框架,笔者认为:内部控制是一个系统,它由一个企业的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响受托责任的潜在事项、管理风险以使其在企业的风险容量之内,为受托责任的实现提供合理保证。依据上述概念,初步建立起新的内部控制框架。
(一)目 标
(1)本质目标:内部控制的本质目标是对受托责任履行风险的控制系统。
(2)一般目标:在不同的发展阶段,受托责任不同,内部控制又形成不同的一般目标。当前环境下的一般目标分为两类:一类是对外部受托责任履行风险的控制,主要包括战略风险和报告风险的控制;另一类是对内部受托责任履行风险的控制,主要包括对经营风险和遵循风险的控制。
(3)具体目标:在一般目标下,根据不同层次的业务流程设计具体控制目标,如采购活动风险控制、投资活动及特殊交易的风险控制等。
(二)子系统
在一般目标下,内部控制系统可分为外部受托责任控制系统和内部受托责任控制系统两个子系统。外部受托责任控制系统是对外部受托责任履行风险的控制;内部受托责任控制系统是对内部受托责任履行风险的控制。在两个子系统中,各自存在着相应的目标、层次和要素,在两个子系统之间,本质目标一致,相互联系,相互影响。
(三)层次和要素
子系统包含5个层次,有的层次可进一步细分为要素。具体结构如下:
1. 控制环境层次
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。其中,治理职能和外部受托责任相关,管理职能和内部受托责任相关,管理层在治理层的监督下,营造并保持诚实守信和合乎道德的文化,建立防止或发现并纠正错误和舞弊的内部控制。
控制环境设定了内部控制的基调,内容包括6个方面:①对诚信和道德价值观念的沟通和落实。②对胜任能力的重视。③治理层的参与程度。④管理层的理念和经营风格。⑤组织结构及职权与责任的分配。⑥人力资源政策与实务。控制环境从受托责任意识、受托责任的分配、受托责任的激励机制等方面,为有效实施内部控制奠定了基础,同时,也形成了一种新型的受托责任,即受托控制责任。
2. 风险控制层次
风险控制层次由目标设定、事项识别、风险评估、风险应对、控制活动5个要素构成。
(1)目标设定:由于要针对不同的目标分析其相应的风险,因此目标的制定自然成为风险管理流程的首要步骤。
(2)事项识别:识别影响企业目标实现的各种潜在事项,有积极影响的潜在事项代表机会,有消极影响的潜在事项代表风险。
(3)风险评估:评估风险的重要性和发生的可能性,并以此作为决定风险应对的依据。风险评估应立足于固有风险和剩余风险,综合考虑风险之间的相互影响。
(4)风险应对:包括回避、承受、降低或者分担风险4类方案,比较不同方案的潜在影响,并在企业风险容忍度范围内,作出风险应对方案的选择。
(5)控制活动:制定和执行政策与程序以确保风险应对得以有效实施。
3.信息与沟通层次
信息与沟通层次由信息和沟通两个要素构成。
美国数学家、信息论的创始人香农认为:“信息是用来消除随机不定性的东西。”因此,必须以一定的格式和时间间隔进行确认、捕捉和传递来自于企业内部和外部的相关信息,以保证企业的员工能够履行相应的受托责任和控制措施。沟通也是广义上的沟通,不但包括企业内部的沟通,还包括与企业外部相关方的有效沟通,如股东、客户、供应商、政府监管部门等。
目前企业都注重信息化建设,但是路径选择非常重要,包括载体和方向,具体体现在以下方面:①明确各自的角色和职责,建立开放、立体、动态的受托责任链,在受托责任链的基础上形成内部控制链系统。②建立有效的信息沟通机制,与内部控制相关的信息及时地被获取、加工、报告,并在内部控制链系统中向下、平行和向上传递。③组织各种内部控制交流会和讨论会及自我评估,及时向委托方报告受托责任及相应受托控制责任的履行情况。
4.监测、评价和鉴证层次
COSO《风险管理——整体框架》的第五个要素是“Monitoring”,经常被翻译为“监督”或“监控”。通过COSO对“Monitoring”的解释,笔者认为翻译为“监测”比较贴切,即监测内部控制运行的有效性。
在本层次,除了日常的持续监测外,还应当发挥审计职能。内部审计是内部控制的重要组成部分,内部审计师被誉为“内控专家”,内部审计不参与经营管理活动,能够独立评价各部门控制履行情况。根据《萨班斯—奥克斯利法案》和SEC要求,美国公众公司会计监督委员会(PCAOB)发布了第5号审计准则——《与财务报表审计相结合的财务报告内部控制审计》,内部控制审计成为注册会计师的一项重要鉴证业务。
5. 法律责任
违背受托责任,必然要承担法律责任。
对于错误行为,可以通过监测发现,及时采取纠正措施。但对于舞弊行为,如同伙合谋、管理层越权,由于行为隐蔽,一般很难发现,因此COSO认为内部控制存在固有局限性,只能提供合理的保证。但是,舞弊行为经常突如其来,防不胜防,不但给投资者带来了巨大损失,而且扰乱了整个市场经济秩序。
安然事件等一系列舞弊事件,向人们敲响了警钟。因此,为了弥补内部控制技术缺陷,世界各国纷纷完善法律制度,惩治舞弊行为,维护投资者和社会公众利益。
四、结束语
构建内部控制理论框架的目的不仅仅是指导一个组织如何设计其内部控制制度,更重要的是要提高一个组织对内部控制理论的认识,从而能更自觉、主动和积极地落实内部控制,实现内部控制的规范化、制度化。只有坚持正确的受托责任观,才能抓住内部控制的关键。
随着内部控制的重要性增加,内部控制已经突破了企业“内部”的范畴,成为一种受托社会责任,因此,应该采用一个内外兼顾的广义控制概念,在此基础上进一步完善控制整体框架。此外,随着受托责任内容的丰富和各类风险的加剧,内部控制也逐渐演进为一种受托责任,即受托控制责任,相对于传统的受托财务责任、受托管理责任,受托控制责任应如何规范,也是一个尚待解决的问题。
主要参考文献
[1]石爱中,胡继荣.审计研究[M].北京:经济科学出版社,2002.
[2]徐政旦,等.审计研究前沿[M].上海:上海财经大学出版社,2002 .
[3]朱荣恩,贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究,2003(6).
[4]COSO. InternalControl——IntegratedFramework[S].1992.
[5]COSO. EnterpriseRiskManagement ——IntegratedFramework[S].2004.
[关键词] 受托责任;内部控制;风险管理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 01 . 017
[中图分类号]F239.2 [文献标识码]A[文章编号]1673 - 0194(2010)01- 0040 - 04
一、受托责任观
受托责任起源于职责分工,本质上是一种经济关系。在这种关系中,一方是委托人,另一方是受托人,委托人将财产授予受托人经营管理,受托人接受托付后即应承担所托付的责任,这种责任就是受托责任。在受托关系中,委托人希望受托人能够诚实地、积极地履行受托责任,而受托人也应按委托人要求诚实地、积极地履行受托责任。
受托责任广泛存在于企业的各个方面。从外部关系来看,在现代经济条件下,财产所有者自己经营不如委托给职业经理人,职业经理人自己无足够财产,如果不去管理他人的资产,经营才能得不到发挥,也就无法创造财富,因此财产所有者将财产的经营权授予经理人,从而形成外部受托责任。从内部关系来看,由于企业规模不断扩大,组织结构更加复杂,以及环境的高度不确定性,企业为了作出及时灵活的反应,对各个层次的部门进行更多的授权,从而形成内部受托责任。
受托责任通过一系列的契约合同确立,在程序上是一个双方不断博弈的过程,并随着社会经济的发展不断丰富。从总体上分析,其基本内容包括行为责任和报告责任两个方面。行为责任是指按照合法性、经济性、效率性、效果性等要求管理受托资源;报告责任是指如实向委托方报告和说明履行受托责任的过程及其结果的义务。如果未能履行受托责任,就会产生履行风险。履行风险按是否故意可分为错误风险和道德风险。错误是无意的,如决策失误和执行不当。道德风险是指由于利益不一致、信息不对称而产生的。道德风险在会计领域的典型表现就是舞弊风险。舞弊是使用欺骗手段的故意行为,从舞弊主体分类可分为员工舞弊和管理层舞弊,从受托责任环节分类可分为行为舞弊和报告舞弊,这些错误和舞弊都可能导致受托责任得不到有效履行。
因此,理论上委托方和受托方地位是平等的,有着互助合作的美好愿望,但是,现实中由于所处环境不同而有所差异。为了保证受托责任的有效履行,人们设计了各种不同的制度安排,诸如会计和审计制度。会计是向委托方提供关于企业财务状况、经营成果和现金流量的信息,以利于评价受托方履行受托责任情况并进行相应的决策。由于财务报告可能存在错误或舞弊,需要注册会计师对企业财务报告的真实性和公允性进行审计,旨在客观、公正地反映受托方履行受托责任情况。
因此,受托责任概念为理解企业内部和外部关系提供了依据,也为会计和审计发展提供了有力支撑。杨时展指出:随着社会的发展,受托责任逐步大众化,受托责任的内容越来越充实,对受托责任的监督越来越严密。
二、基于受托责任的内部控制发展轨迹分析
内部控制理论的发展经过了一个漫长的时期,大致可分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架与风险管理整体框架等不同的发展阶段。
(一)内部牵制阶段
内部控制历史悠久,在奴隶社会、封建社会和早期的资本主义社会,内部控制的具体形式是内部牵制。《柯氏会计词典》将内部牵制定义为:“以提高有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。”其机制是处理一项业务或记录时要求职责分离和相互制约。因此,最初的内部控制思想主要是控制个人和部门层次的简单的错误风险和舞弊风险。
(二)内部控制制度阶段
20世纪40年代末至70年代,内部控制开始受到审计师的重视。1949年,美国会计师协会(AIA)审计程序委员会在《内部控制,一种协调制度要素及其对管理当局和注册会计师的重要性 》报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有协调的方法和措施,旨在保护企业的财产,检查会计信息的准确性,提高经营效率,推进企业坚持执行既定的管理政策。”
1958年, 美国会计师协会审计程序委员会发布第29号审计程序公报《独立审计人员评价内部控制的范围》,进一步将内部控制分为两类,即会计控制和管理控制。前者与受托财务责任有关,目标是保护企业的资产,检查会计数据的准确性;后者与受托管理责任有关,目标在于提高经营效率,促使有关人员遵守既定的管理方针。
(三)内部控制结构阶段
20世纪80年代,受系统论、控制论等理论的影响,西方学术界提出了内部控制结构的概念。
1988年,美国注册会计师协会(AICPA)在其发布的第55号审计准则公告《会计报表审计中对内部控制结构的关注》中首次采用内部控制结构取代了原来的内部控制概念。公告认为:“内部控制结构包括为合理保证实现公司的具体目标而建立的一系列政策和程序。”内部控制结构由控制环境、会计制度、控制程序3个要素组成。
在内部控制结构阶段,其主要变化是提出了控制环境的概念。控制环境包括管理者的经济理念和风格、组织结构、董事会及委员会的职能、确认权责的方法、监督方法、外部关系等,反映了董事会、经理层、其他人员对内部控制的态度、认识和行动。企业中的每一个人都对内部控制负有责任,即受托控制责任,通过合理的授权和责任,可以充分发挥部门和人员的积极性。
(四)内部控制整体框架阶段
1992年,COSO发布了《内部控制——整体框架》,主要内容为:①定义:内部控制被宽泛地定义为一个由董事会、管理层和其他人员实施的、旨在为实现控制目标提供合理保证的过程。定义中包括了“合理保证”等基本概念。②目标:经营的效率性和效果性;财务报告的可靠性;符合适用的法律和法规。③要素:控制环境;风险评估;控制活动;信息与沟通;监督。
在内部控制整体框架阶段,其主要变化是强调了风险意识。所有的企业,不论其规模、机构、性质或产业是什么,其组织的不同层级都会遭遇风险,企业必须对风险采取必要的控制行动。无风险的控制只会增加控制成本,影响管理的灵活性;反之,对重大风险失去控制,必然会导致企业经营失败。
2001年美国发生的安然事件等一系列财务丑闻,又一次让内部控制成为关注的焦点。面对日益猖獗的舞弊行为,2002年美国国会通过了《萨班斯—奥克斯利法案》,法案强化了管理层的控制责任,强化了对内部控制的外部监督,并赋予了严厉的法律责任。内部控制不仅是内部管理和注册会计师审计的需要,而且成为股东、监管层和社会公众的需要,会计、内部控制、审计成为履行受托报告责任的三驾马车。
(五)风险管理整体框架阶段
2004年,COSO根据新的研究成果,发布了《风险管理——整体框架》,其主要内容为:①定义:风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。②目标:战略目标——高层次目标,与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规目标——符合适用的法律和法规。对于控制目标,COSO委员会认为,因为报告目标与合规目标在企业的控制范围之内,所以可以期望风险管理为实现这些目标提供合理保证。但是,战略目标和经营目标的实现取决于外部环境,对于这些目标,企业风险管理能够合理地保证管理当局和董事会及时地了解实现目标的程度。③要素:内部环境;目标设定;事项识别;风险评估;风险应对;控制活动;信息与沟通;监督。
对于内部控制和风险管理的关系,COSO委员会认为,内部控制是企业风险管理不可分割的一部分。风险管理框架涵盖了内部控制,从而构建了一个更强有力的概念和管理工具。由于《内部控制——整体框架》经受了时间考验,并且成为现行规则、法规和法律的基础,因此《内部控制——整体框架》对内部控制的定义和框架依然有效。虽然《内部控制——整合框架》中只有一部分被《风险管理——整体框架》所引用,但是作为参考文献形式整体上融进了《风险管理——整体框架》。
在风险管理整体框架阶段,其主要变化为:①用风险管理代替内部控制,并增加了与风险相关要素,这也体现了内部控制的本质和发展趋势。②在目标上增加了战略目标。一方面,随着社会经济环境急剧变革,市场竞争日趋激烈,企业经营失败不断发生,而经营失败在很大程度上是由于战略失败造成的;另一方面,经营失败常常导致财务报告舞弊,因此,对战略风险的控制是对现实状况的必然反映。
总之,从内部控制发展轨迹可以看出,内部控制目标和受托责任目标具有一致性,受托责任存在履行风险,如错误风险、舞弊风险等,需要一种风险防范工具,内部控制一直扮演着这样的角色,因此,内部控制本质上是对受托责任履行风险的控制。
三、基于受托责任的内部控制框架设计
以受托责任为基础,结合COSO控制框架,笔者认为:内部控制是一个系统,它由一个企业的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响受托责任的潜在事项、管理风险以使其在企业的风险容量之内,为受托责任的实现提供合理保证。依据上述概念,初步建立起新的内部控制框架。
(一)目 标
(1)本质目标:内部控制的本质目标是对受托责任履行风险的控制系统。
(2)一般目标:在不同的发展阶段,受托责任不同,内部控制又形成不同的一般目标。当前环境下的一般目标分为两类:一类是对外部受托责任履行风险的控制,主要包括战略风险和报告风险的控制;另一类是对内部受托责任履行风险的控制,主要包括对经营风险和遵循风险的控制。
(3)具体目标:在一般目标下,根据不同层次的业务流程设计具体控制目标,如采购活动风险控制、投资活动及特殊交易的风险控制等。
(二)子系统
在一般目标下,内部控制系统可分为外部受托责任控制系统和内部受托责任控制系统两个子系统。外部受托责任控制系统是对外部受托责任履行风险的控制;内部受托责任控制系统是对内部受托责任履行风险的控制。在两个子系统中,各自存在着相应的目标、层次和要素,在两个子系统之间,本质目标一致,相互联系,相互影响。
(三)层次和要素
子系统包含5个层次,有的层次可进一步细分为要素。具体结构如下:
1. 控制环境层次
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。其中,治理职能和外部受托责任相关,管理职能和内部受托责任相关,管理层在治理层的监督下,营造并保持诚实守信和合乎道德的文化,建立防止或发现并纠正错误和舞弊的内部控制。
控制环境设定了内部控制的基调,内容包括6个方面:①对诚信和道德价值观念的沟通和落实。②对胜任能力的重视。③治理层的参与程度。④管理层的理念和经营风格。⑤组织结构及职权与责任的分配。⑥人力资源政策与实务。控制环境从受托责任意识、受托责任的分配、受托责任的激励机制等方面,为有效实施内部控制奠定了基础,同时,也形成了一种新型的受托责任,即受托控制责任。
2. 风险控制层次
风险控制层次由目标设定、事项识别、风险评估、风险应对、控制活动5个要素构成。
(1)目标设定:由于要针对不同的目标分析其相应的风险,因此目标的制定自然成为风险管理流程的首要步骤。
(2)事项识别:识别影响企业目标实现的各种潜在事项,有积极影响的潜在事项代表机会,有消极影响的潜在事项代表风险。
(3)风险评估:评估风险的重要性和发生的可能性,并以此作为决定风险应对的依据。风险评估应立足于固有风险和剩余风险,综合考虑风险之间的相互影响。
(4)风险应对:包括回避、承受、降低或者分担风险4类方案,比较不同方案的潜在影响,并在企业风险容忍度范围内,作出风险应对方案的选择。
(5)控制活动:制定和执行政策与程序以确保风险应对得以有效实施。
3.信息与沟通层次
信息与沟通层次由信息和沟通两个要素构成。
美国数学家、信息论的创始人香农认为:“信息是用来消除随机不定性的东西。”因此,必须以一定的格式和时间间隔进行确认、捕捉和传递来自于企业内部和外部的相关信息,以保证企业的员工能够履行相应的受托责任和控制措施。沟通也是广义上的沟通,不但包括企业内部的沟通,还包括与企业外部相关方的有效沟通,如股东、客户、供应商、政府监管部门等。
目前企业都注重信息化建设,但是路径选择非常重要,包括载体和方向,具体体现在以下方面:①明确各自的角色和职责,建立开放、立体、动态的受托责任链,在受托责任链的基础上形成内部控制链系统。②建立有效的信息沟通机制,与内部控制相关的信息及时地被获取、加工、报告,并在内部控制链系统中向下、平行和向上传递。③组织各种内部控制交流会和讨论会及自我评估,及时向委托方报告受托责任及相应受托控制责任的履行情况。
4.监测、评价和鉴证层次
COSO《风险管理——整体框架》的第五个要素是“Monitoring”,经常被翻译为“监督”或“监控”。通过COSO对“Monitoring”的解释,笔者认为翻译为“监测”比较贴切,即监测内部控制运行的有效性。
在本层次,除了日常的持续监测外,还应当发挥审计职能。内部审计是内部控制的重要组成部分,内部审计师被誉为“内控专家”,内部审计不参与经营管理活动,能够独立评价各部门控制履行情况。根据《萨班斯—奥克斯利法案》和SEC要求,美国公众公司会计监督委员会(PCAOB)发布了第5号审计准则——《与财务报表审计相结合的财务报告内部控制审计》,内部控制审计成为注册会计师的一项重要鉴证业务。
5. 法律责任
违背受托责任,必然要承担法律责任。
对于错误行为,可以通过监测发现,及时采取纠正措施。但对于舞弊行为,如同伙合谋、管理层越权,由于行为隐蔽,一般很难发现,因此COSO认为内部控制存在固有局限性,只能提供合理的保证。但是,舞弊行为经常突如其来,防不胜防,不但给投资者带来了巨大损失,而且扰乱了整个市场经济秩序。
安然事件等一系列舞弊事件,向人们敲响了警钟。因此,为了弥补内部控制技术缺陷,世界各国纷纷完善法律制度,惩治舞弊行为,维护投资者和社会公众利益。
四、结束语
构建内部控制理论框架的目的不仅仅是指导一个组织如何设计其内部控制制度,更重要的是要提高一个组织对内部控制理论的认识,从而能更自觉、主动和积极地落实内部控制,实现内部控制的规范化、制度化。只有坚持正确的受托责任观,才能抓住内部控制的关键。
随着内部控制的重要性增加,内部控制已经突破了企业“内部”的范畴,成为一种受托社会责任,因此,应该采用一个内外兼顾的广义控制概念,在此基础上进一步完善控制整体框架。此外,随着受托责任内容的丰富和各类风险的加剧,内部控制也逐渐演进为一种受托责任,即受托控制责任,相对于传统的受托财务责任、受托管理责任,受托控制责任应如何规范,也是一个尚待解决的问题。
主要参考文献
[1]石爱中,胡继荣.审计研究[M].北京:经济科学出版社,2002.
[2]徐政旦,等.审计研究前沿[M].上海:上海财经大学出版社,2002 .
[3]朱荣恩,贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究,2003(6).
[4]COSO. InternalControl——IntegratedFramework[S].1992.
[5]COSO. EnterpriseRiskManagement ——IntegratedFramework[S].2004.