论文部分内容阅读
随着社会主义市场经济体制改革的深化和现代企业制度的逐步完善,加强企业内部控制显得尤为重要。但是,我国企业内部控制框架还没有完全建立起来,对此研究的学者、专家也有不同的观点和看法。笔者根据我国企业改革目标和实际国情。并借鉴美国COSO报告的思想理念,试从确立企业内部控制的目标和完善企业内部控制的组成要素两个方面分析如何建立我国企业内部控制框架。
一、COSO报告——内部控制整体框架理论
虽然内部控制的理论研究在我国尚处于初建阶段,尚未正式提出权威性的内部控制概念及内部控制标准体系,对内部控制的完整性、合理性及有效性更是缺乏一个公认的标准,但其在国际上却经过漫长的形成与发展历程日渐完善,并成熟于“内部控制整体框架”思想。
内部控制整体框架思想是由隶属于美国国会的反对虚假财务报告委员会下属的发起组织委员会COSO委员会提出的。1992年9月,COSO委员会发布了指导内部控制实践的纲领性文件《内部控制——整体框架》,也称COSO报告,并于1994年进行了修改。这份报告堪称为内部控制发展史上的重要里程碑,它为关注内部控制的各方提供了一个普遍认可、内涵与外延统一的内部控制概念框架和评价方法。COSO报告指出,“内部控制是一个由企业董事会、管理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法律的遵循性等目标的达成提供合理保证的过程。”该内部控制概念在一定程度上突破了内部控制仅从会计、审计角度研究的狭隘性,扩展到企业管理以及企业的治理,从一个更高、更系统的角度给出了内部控制一个框架体系。该报告认为,内部控制整体框架由3项目标和5大要素构成。
内部控制的目标包括合理地确保:(1)经营的效率和有效性:(2)财务报告的可靠性;(3)对适用法规的遵循。这三大目标满足不同的需要,以便有利于不同的人从不同的角度关注企业内部控制的不同方面,同时也说明了内部控制是用来取得多种互相区分而又紧密联系的目标。内部控制目标的提出为企业提供了比较一致的标准,以便各企业能够评价其控制系统和决定如何加强控制。
内部控制的5大要素包括:(1)控制环境(Control Envi-ronment);(2)风险评估(Risk Appraisal);(3)控制活动(ControlActivity);(4)信息与沟通(Information and Communication);(5)监控(Monitoring)。
COSO报告所提出的3大目标和5大要素是紧密相联的,内部控制的要素为保证企业目标的实现奠定了可靠的基础,两者共同构成了内部控制系统的整体框架。这个框架是以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体、监督与控制为保证的。
二、我国企业内部控制框架的建立
COSO报告的理论对建立我国企业内部控制框架起了非常好的启发和借鉴作用。我国企业内部控制框架的建立,应以前瞻性和务实性原则为指导,把西方先进的内部控制理论与我国的实际情况结合起来,只有这样,建立起来的内部控制框架才能既解决现实问题,又能引导企业向更好、更高的管理方向努力和发展。
(一)确立企业内部控制的目标
保证企业目标的实现是企业建立内部控制的出发点和归宿点。因此,构建企业内部控制整体框架体系首先必须确立内部控制的目标。内部控制的目标应该能合理地确保:
1、实现企业经营的效率和效果。经营的效率是根据实际产出与实际投入而言的,经营的效果是根据实际产出与预期计划的产出比较而言的。企业要达到这一目标需涉及与此有关的社会的各个方面,特别是与企业经营有关的社会文化等“软环境”,涉及到企业经营过程的详细分析,同时也涉及到确定经营效果的考核和经营业绩的评价指标体系问题。例如一些表面上看来不是财务上的风险也要加以考虑,如防止涉及法律诉讼、避免公众形象受损或在公众中处于窘迫的境地,虽然起初的影响好像与财务无关,但这些风险最终可能会对财务产生影响。所以在内部控制中增加非财务目标,其目的亦是为了更好地实现企业利益的最大化。
2、保证财务报告可靠性与企业遵循法律、法规。在市场经济条件下,参与市场行为的现代企业形成了以经营者为一方和以投资人、债权人、企业职工等为另一方的委托与受托关系。受托人是企业的代表,而委托人则表现为企业外部的利害关系集团。企业的外部关系集团都有资源对企业投入,他们理所当然地关心企业的产出——除保值外还应增值。企业只有经营有利,投资人、债权人和企业职工才可能获得预期的报酬并期待企业继续发展。在所有权与经营权分离的现代企业中,对外信息的提供与使用也是分离的,企业外部关系集团并不能随时查询、了解企业的财务状况和经营绩效。于是在企业财务信息的供给与需求之间便出现了矛盾,解决矛盾的办法通常是由法律、条例等做出企业必须定期对外提供财务报告的规定。这些规定带有强制性,因为它反映了在市场经济条件下,在现代企业中委托人与受托人权责对等关系的内在需求:资源所有者赋予经营者自主使用和处置投入企业资源的权力;经营者则承担向委托人(外部集团)定期报告受托责任履行情况的义务。因此,内部控制的目标还应包括保证财务报告的可靠性和保证企业法律、法规的遵循性。
(二)完善企业内部控制要素
内部控制的要素是构成企业内部控制的内容,是实现内部控制目标的基础,要实现内部控制的目标,必须完善内部控制的各个构成要素。
1、完善企业内部控制环境。控制环境强调“软控制”的作用,即精神层面的作用,如管理风格、管理理念、经营哲学等。它支撑着整个内部控制框架,是推动内部控制工作的发动机。因此,要构建企业内部控制框架,首先必须完善控制环境,包括完善公司治理结构、提高管理者的素质和品德、确定科学合理的组织结构与权责体系分派体系、形成健康积极的企业文化、制定务实有效的人力资源政策等。
2、全面评估企业的风险。一切影响企业目标实现的因素都是风险,每个企业都会面临来自内部和外部的不同风险。这些内外部风险都将影响到企业内部控制的效率和效果,不分析风险而想实现有效的控制是不可能的。评估风险就是分析和辨识实现所定目标可能发生的风险。在经济管理环境发生改变时,风险最容易发生,因此,企业应特别加强对环境改变时的事务管理,谨慎注意可能发生的变化及其后果,并采取必要的管理措施。国外常用的“SWOT”的风险分析方法,是一种综合考虑企业内部条件和外部环境的各种因素,进行系统评价,从而选择最佳经营战略的方法,即企业应该对内分析自身的优势和劣势、长处和短处:对外分析外界的机会与威胁,考虑自己的生存机遇,并根据企业内外部环境的风险变化采取相应的有效对策。这里,S是指企业内部优势 (Strengths),W是指企业内部劣势(Weaknesses),O是指企业外部环境的机会(Opportunities),T是指企业外部环境的威胁(Threats)。只有在生存环境调至相对平稳的情况下,企业内部控制才能达到预期效果。
3、设立良好的控制活动。辨识风险之后。企业应针对这种风险发出必要的指令,对所涉及的风险采取必要的防范以减少损失。控制活动是为了确保企业的指令得以有效实施而制定的各种政策和程序,是企业日常工作不可分割的部分。控制活动的制定过程是复杂细致的过程,包括科学适当的交易授权控制、流畅合理的业务程序控制、完整及时的业务记录控制、严密适用的财产安全控制等。
4、加强信息沟通与交流。企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部控制的一项重要要素。信息沟通与交流存在于企业所有经营管理活动中,使员工得以搜集和交换为开展经营管理和进行控制等活动所需要的信息。如果说组织结构是企业的骨骼系统。那么信息系统就是企业的神经系统。信息是企业保持与外部环境联系的中介,企业内部分工、部门和权限划分、工作评价、关系协调等都要依靠信息沟通。可以说,一个好的信息系统可以使企业及时掌握其经营状况和感受外界环境的变化,其整体性能的优劣直接影响到内部控制的效率和效果。这就要求企业要搜集可靠、及时、有用的信息,并建立有效的内部沟通和外部沟通渠道。
5、加强企业的内部监控。企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动实现的。因此,要确保内控制度能够被切实地执行且执行效果良好、内部控制能够随时适应新情况,内部控制就必须被监督、控制,企业的内部审计部门则担当着这种任务。
内部审计是一种独立的、客观公正的、并能够提出指导性建议的行为,以使企业能够创造更多的价值,并提高其运作能力。它通过采用一套系统严谨的方法对风险进行估量,并提高风险管理、控制与监督的有效性,最终帮助企业达到预期的目标。由于内审部门的独立性和应有的权威性,加上其组织系统的垂直性。赋予了该部门行使对内部控制进行再监督和再评价的特殊重要职能。内部审计机构的职责除了审核企业会计账目之外,还包括稽查、评价内部控制制度是否完善和企业内部各组织机构执行指定职能的效率,并向企业最高管理层提出建议和报告。也可以说,内部审计部门的作用在于对一个单位的内部控制加以系统检查和评估,提交审计报告,以协助各级管理部门有效地履行其职责。同时。内部审计部门和内部审计师还应帮助企业进行“软控制”环境的营造,成为内部控制过程设计的顾问。美国内控专家迈克尔,海默曾说,“内部审计师的使用将从简单的‘我们实施审计’向‘我们帮助创建一些制度,以期达到组织成功所需要的内部控制水平’的方向发展”。
(作者单位:西北民族大学经济管理学院)
一、COSO报告——内部控制整体框架理论
虽然内部控制的理论研究在我国尚处于初建阶段,尚未正式提出权威性的内部控制概念及内部控制标准体系,对内部控制的完整性、合理性及有效性更是缺乏一个公认的标准,但其在国际上却经过漫长的形成与发展历程日渐完善,并成熟于“内部控制整体框架”思想。
内部控制整体框架思想是由隶属于美国国会的反对虚假财务报告委员会下属的发起组织委员会COSO委员会提出的。1992年9月,COSO委员会发布了指导内部控制实践的纲领性文件《内部控制——整体框架》,也称COSO报告,并于1994年进行了修改。这份报告堪称为内部控制发展史上的重要里程碑,它为关注内部控制的各方提供了一个普遍认可、内涵与外延统一的内部控制概念框架和评价方法。COSO报告指出,“内部控制是一个由企业董事会、管理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法律的遵循性等目标的达成提供合理保证的过程。”该内部控制概念在一定程度上突破了内部控制仅从会计、审计角度研究的狭隘性,扩展到企业管理以及企业的治理,从一个更高、更系统的角度给出了内部控制一个框架体系。该报告认为,内部控制整体框架由3项目标和5大要素构成。
内部控制的目标包括合理地确保:(1)经营的效率和有效性:(2)财务报告的可靠性;(3)对适用法规的遵循。这三大目标满足不同的需要,以便有利于不同的人从不同的角度关注企业内部控制的不同方面,同时也说明了内部控制是用来取得多种互相区分而又紧密联系的目标。内部控制目标的提出为企业提供了比较一致的标准,以便各企业能够评价其控制系统和决定如何加强控制。
内部控制的5大要素包括:(1)控制环境(Control Envi-ronment);(2)风险评估(Risk Appraisal);(3)控制活动(ControlActivity);(4)信息与沟通(Information and Communication);(5)监控(Monitoring)。
COSO报告所提出的3大目标和5大要素是紧密相联的,内部控制的要素为保证企业目标的实现奠定了可靠的基础,两者共同构成了内部控制系统的整体框架。这个框架是以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体、监督与控制为保证的。
二、我国企业内部控制框架的建立
COSO报告的理论对建立我国企业内部控制框架起了非常好的启发和借鉴作用。我国企业内部控制框架的建立,应以前瞻性和务实性原则为指导,把西方先进的内部控制理论与我国的实际情况结合起来,只有这样,建立起来的内部控制框架才能既解决现实问题,又能引导企业向更好、更高的管理方向努力和发展。
(一)确立企业内部控制的目标
保证企业目标的实现是企业建立内部控制的出发点和归宿点。因此,构建企业内部控制整体框架体系首先必须确立内部控制的目标。内部控制的目标应该能合理地确保:
1、实现企业经营的效率和效果。经营的效率是根据实际产出与实际投入而言的,经营的效果是根据实际产出与预期计划的产出比较而言的。企业要达到这一目标需涉及与此有关的社会的各个方面,特别是与企业经营有关的社会文化等“软环境”,涉及到企业经营过程的详细分析,同时也涉及到确定经营效果的考核和经营业绩的评价指标体系问题。例如一些表面上看来不是财务上的风险也要加以考虑,如防止涉及法律诉讼、避免公众形象受损或在公众中处于窘迫的境地,虽然起初的影响好像与财务无关,但这些风险最终可能会对财务产生影响。所以在内部控制中增加非财务目标,其目的亦是为了更好地实现企业利益的最大化。
2、保证财务报告可靠性与企业遵循法律、法规。在市场经济条件下,参与市场行为的现代企业形成了以经营者为一方和以投资人、债权人、企业职工等为另一方的委托与受托关系。受托人是企业的代表,而委托人则表现为企业外部的利害关系集团。企业的外部关系集团都有资源对企业投入,他们理所当然地关心企业的产出——除保值外还应增值。企业只有经营有利,投资人、债权人和企业职工才可能获得预期的报酬并期待企业继续发展。在所有权与经营权分离的现代企业中,对外信息的提供与使用也是分离的,企业外部关系集团并不能随时查询、了解企业的财务状况和经营绩效。于是在企业财务信息的供给与需求之间便出现了矛盾,解决矛盾的办法通常是由法律、条例等做出企业必须定期对外提供财务报告的规定。这些规定带有强制性,因为它反映了在市场经济条件下,在现代企业中委托人与受托人权责对等关系的内在需求:资源所有者赋予经营者自主使用和处置投入企业资源的权力;经营者则承担向委托人(外部集团)定期报告受托责任履行情况的义务。因此,内部控制的目标还应包括保证财务报告的可靠性和保证企业法律、法规的遵循性。
(二)完善企业内部控制要素
内部控制的要素是构成企业内部控制的内容,是实现内部控制目标的基础,要实现内部控制的目标,必须完善内部控制的各个构成要素。
1、完善企业内部控制环境。控制环境强调“软控制”的作用,即精神层面的作用,如管理风格、管理理念、经营哲学等。它支撑着整个内部控制框架,是推动内部控制工作的发动机。因此,要构建企业内部控制框架,首先必须完善控制环境,包括完善公司治理结构、提高管理者的素质和品德、确定科学合理的组织结构与权责体系分派体系、形成健康积极的企业文化、制定务实有效的人力资源政策等。
2、全面评估企业的风险。一切影响企业目标实现的因素都是风险,每个企业都会面临来自内部和外部的不同风险。这些内外部风险都将影响到企业内部控制的效率和效果,不分析风险而想实现有效的控制是不可能的。评估风险就是分析和辨识实现所定目标可能发生的风险。在经济管理环境发生改变时,风险最容易发生,因此,企业应特别加强对环境改变时的事务管理,谨慎注意可能发生的变化及其后果,并采取必要的管理措施。国外常用的“SWOT”的风险分析方法,是一种综合考虑企业内部条件和外部环境的各种因素,进行系统评价,从而选择最佳经营战略的方法,即企业应该对内分析自身的优势和劣势、长处和短处:对外分析外界的机会与威胁,考虑自己的生存机遇,并根据企业内外部环境的风险变化采取相应的有效对策。这里,S是指企业内部优势 (Strengths),W是指企业内部劣势(Weaknesses),O是指企业外部环境的机会(Opportunities),T是指企业外部环境的威胁(Threats)。只有在生存环境调至相对平稳的情况下,企业内部控制才能达到预期效果。
3、设立良好的控制活动。辨识风险之后。企业应针对这种风险发出必要的指令,对所涉及的风险采取必要的防范以减少损失。控制活动是为了确保企业的指令得以有效实施而制定的各种政策和程序,是企业日常工作不可分割的部分。控制活动的制定过程是复杂细致的过程,包括科学适当的交易授权控制、流畅合理的业务程序控制、完整及时的业务记录控制、严密适用的财产安全控制等。
4、加强信息沟通与交流。企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部控制的一项重要要素。信息沟通与交流存在于企业所有经营管理活动中,使员工得以搜集和交换为开展经营管理和进行控制等活动所需要的信息。如果说组织结构是企业的骨骼系统。那么信息系统就是企业的神经系统。信息是企业保持与外部环境联系的中介,企业内部分工、部门和权限划分、工作评价、关系协调等都要依靠信息沟通。可以说,一个好的信息系统可以使企业及时掌握其经营状况和感受外界环境的变化,其整体性能的优劣直接影响到内部控制的效率和效果。这就要求企业要搜集可靠、及时、有用的信息,并建立有效的内部沟通和外部沟通渠道。
5、加强企业的内部监控。企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动实现的。因此,要确保内控制度能够被切实地执行且执行效果良好、内部控制能够随时适应新情况,内部控制就必须被监督、控制,企业的内部审计部门则担当着这种任务。
内部审计是一种独立的、客观公正的、并能够提出指导性建议的行为,以使企业能够创造更多的价值,并提高其运作能力。它通过采用一套系统严谨的方法对风险进行估量,并提高风险管理、控制与监督的有效性,最终帮助企业达到预期的目标。由于内审部门的独立性和应有的权威性,加上其组织系统的垂直性。赋予了该部门行使对内部控制进行再监督和再评价的特殊重要职能。内部审计机构的职责除了审核企业会计账目之外,还包括稽查、评价内部控制制度是否完善和企业内部各组织机构执行指定职能的效率,并向企业最高管理层提出建议和报告。也可以说,内部审计部门的作用在于对一个单位的内部控制加以系统检查和评估,提交审计报告,以协助各级管理部门有效地履行其职责。同时。内部审计部门和内部审计师还应帮助企业进行“软控制”环境的营造,成为内部控制过程设计的顾问。美国内控专家迈克尔,海默曾说,“内部审计师的使用将从简单的‘我们实施审计’向‘我们帮助创建一些制度,以期达到组织成功所需要的内部控制水平’的方向发展”。
(作者单位:西北民族大学经济管理学院)