中国企业内部控制研究综述,本文主要内容关键词为:企业内部论文,中国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、研究背景 发生在21世纪初期的两大财务弊案——世界通讯(WorldCom)和安然(Enron Corporation)财务舞弊案,使两大行业巨头瞬间崩塌,严重打击了投资者的信心。2002年,美国政府和国会为了提高上市公司披露信息的准确性和可靠性,扭转美国资本市场的不利形势,通过了《萨班斯一奥克斯利法案》,试图重建投资者对资本市场的信心。 世界通讯和安然事件后,补救方案的实施带来了传统内部控制理论的变革,传统的内部控制理念被全面风险管理所代替。2004年,COSO(The Committee of Sponsoring Organizations of the National Commission of Fraudulent Financial Repoting)发布了《企业风险管理整合框架》(Enterprise Risk Management Framework,ERM),将风险管理理念引入内部控制体系的框架内,强化了监督及评估,进一步完善了企业内部控制流程,同时,新的框架还通过引入风险容忍以及风险偏好等概念,在纵向上拓展了企业内部控制的内涵,从而将其提升到新的战略高度。 与此同时,由于内部控制缺陷而导致的负面案例在中国也不断出现,比如,2004年的“中航油事件”,2008年的“三鹿奶粉恶性事件”,2011年的“齐鲁银行事件”以及“双汇瘦肉精事件”等。这些事件深刻的表明了中国企业内部控制体系极其不完善,尚存在着严重的缺陷。这一系列事件都表明,加速构建中国内部控制体系时不我待! 2008年6月,财政部联合证监会、审计署、银监会、保监会发布了《企业内部控制基本规范》①2010年4月,又颁布了《企业内部控制配套指引》②。这一系列法律法规的出台,体现出我国的内部控制发展已经由传统的内控体系过渡到了全面风险控制的新体系。这个时期,中国的学术界围绕内部控制问题也涌现出大量的研究文献,取得了诸多研究成果。 本研究对中国内部控制基本理论、相关概念,以及内部控制评价体系等文献进行了梳理,力图从多个视角考察中国的企业内部控制问题,从而实现对我国内部控制研究现状的整体认识,为今后相关的理论研究提供参考。 二、我国企业内部控制的理论研究 (一)内部控制的相关概念 1.内部控制与风险管理。1992年,COSO内部框架将内部控制定义为“一个过程”,该过程的实施受到公司董事会、管理层以及其他人员的权力制约,而控制的目的,是增强财务报告的可靠性以及法律法规的遵从性,使得企业经营更加富有成效。该界定将企业内部控制划分为控制环境、风险评估、控制活动、信息与沟通、监督五要素。2004年,COSO风险框架在内控控制框架的基础上对风险管理做出了进一步的界定,即风险管理是由董事会、管理层以及其他员工负责执行的,通过对企业潜在的风险进行识别和评估,将可能出现的风险控制在合理的水平,从而实现公司经营和发展目标。新的框架将风险管理分成了内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督等八要素。 随着现代企业的发展,基于COSO框架的最新发展,可以认为风险管理是企业内部控制的发展与不断完善,更能满足企业的发展需求。对于内部控制与风险管理的关系,我国学者主要有三种认识。(1)内部控制是风险管理的一部分,内部控制是风险管理的基础以及重要组成部分。内部控制存在的必要性是解决企业决策经营中出现的常规风险,而风险管理则针对企业运行中可能遇到的外来冲击,也就是说难以及时有效预测的非常规性风险。毋庸置疑,内部控制是风险管理框架中不能割裂的部分;(2)内部控制包含风险管理。加拿大CICA报告认为,控制的两个根本目的是风险评估和风险管理,包括了风险的确认及其规避。而企业内部控制的重要目的之一,就是要对企业经营活动中可能出现的风险进行控制,从而使企业在正常的轨道运行,实现企业经济目标,并实现可持续发展;(3)内部控制与风险管理并没有本质区别,两者之间的包含关系是根据企业风险管理和内部控制的整体框架结构来确定的。COSO风险管理框架从风险控制的目标说明风险管理实施将要达到的状态;而内部控制框架侧重通过对控制方式的应用和选择,将风险控制在可控范围之内。因此,内部控制的核心是对风险的控制,风险控制的核心是对风险的管理,内部控制和风险管理仅是风险控制的两种不同语义表达,二者在本质上并不存在差别。 2.内部控制与公司治理。李维安(2000)认为,由股东大会、董事会、监事会及管理层所构成公司治理结构,从狭义上看,是一种所有者对经营管理层的监督与制衡机制,属于公司内部治理结构,其产生于所有权和经营权的分离;更广义的层面上来看,公司治理还包括了外部治理结构,主要是协调外部利益相关者,如政府、雇员、证券市场等主体之间的利益关系。 实际上,现有学者大都认为,公司治理是内部控制的环境要素之一,是内部控制的前提条件。这种观点源于COSO《内部控制:整体框架》中对于控制环境外延的界定,把董事会以及董事会对待内部控制的态度当做控制环境的组成部分。而董事会同时又是公司治理结构的核心,因此,很多研究以此为研究的基点,将公司治理作为内部控制的环境要素。阎达五(2001)认为,所谓内部控制是管理者为实现企业管理目标而构建的一套规则,基于这套规则的实施程序与公司治理紧密关联,实际上,二者是不可分割的系统性的整体,内部控制与公司治理是内部管理监控系统与制度环境的关系。公司治理结构恰似内部控制的基础,如果忽视对公司治理结构的构建,则难以实现会计信息的真实性,健全的会计制度将会是一种奢谈。程新生(2004)认为,公司治理是源头结构,内部控制仅仅是中间机制。源头治理结构的委托-代理关系的变动,则将会导致企业内部控制发生根本性变革。 也有学者将内部控制与公司治理看成是一种嵌套关系,互相交织重叠。内部控制与治理结构之间存在很强的相似性,健全的治理结构成为实现内部控制有效性的必要条件,而内部控制的发展也促进了治理结构的建立。缺乏系统内部控制机制的条件下,公司治理也就失去了制衡利益相关者的工具,将形同虚设。内部控制如同大厦的根基,是构建公司治理架构的基础设施。公司治理与内部控制在主体、目标、内容等方面具有诸多联系,比如,在内容方面,公司治理包括了股东、董事会、管理层及其相互之间的权利制衡;而内部控制涵括了董事会、管理层以及其他员工之间的多层委托-代理关系。从这个角度来看,内部控制与公司治理是“我中有你,你中有我”的嵌套关系。王普松(2004)基于委托-代理视角,认为治理与内部控制的并不存在本质上的差异,两者均是一种制度安排,而这种安排的目的旨在解决公司内部的委托-代理问题,从而降低成本。这种安排对于提高经营活动的效率,达成公司管理目标具有重要价值。 3.内部控制、风险管理和公司治理的整合。内部控制、公司治理和风险管理三者其实是相互关联的整体系统。李维安等(2013)基于战略管理观的理论分析与关系框架,提出内部控制实际上包括了三个维度,即治理结构控制、管理层控制以及作业层控制,并以董事会为控制主体,其目标是对公司治理风险的管控。从该角度来看,内部控制和风险管理本质上是一致的。因此,三者的目标一致,即通过保证资产安全、财务报告完整、企业经营有效来促进企业战略目标的实现。三个层次的控制内容构成一个完整的系统,内部控制通过对风险的全面控制而实现整体的目标和效率,共同服务于企业经济发展。 4.研究评述。不同学者对于三者之间关系的讨论,本质是对企业内部控制边界和核心本质的讨论。有学者认为内部控制包括了治理结构、经营管理层和作业层的控制,也有学者研究认为内部控制仅仅只是对经营管理层和作业层的控制。显然,不同的概念规定了内部控制不同的研究范围和控制目标。无论将内部控制作为风险管理的一种手段,还是将两者同等对待,其核心都是通过制度设计与实施,确保企业经济利益,进而实现企业的可持续发展,两者的本质是一致的。 (二)内部控制的理论研究视角 内部控制经历了较长时期的发展,从萌芽阶段的内部牵制开始,经历企业内部管理阶段,再演变为控制结构,基本形成以COSO委员会发布的内部控制整合框架为中心的新的框架体系。随着世界各国企业不断涌现的财务或管理问题,以COSO内部控制整合框架为依据,各国相应提出了一系列风险控制标准。美国、日本、加拿大等发达经济体相继制定了新的企业内部控制标准。2004年,COSO委员会提出了企业风险管理整合框架。至此,内部控制理论已经形成了以COSO委员会发布的内部控制和企业风险管理整合框架为中心的新架构。2008年,中国在借鉴COSO报告的基础上,提出了企业控制规范的五个基本要素,即内部环境、风险评估、控制活动、信息与沟通、监督。学者基于理论发展,从不同视角对企业内部控制的内容和范围做出了解释。 1.内部控制与外部审计的关系研究。很多学者基于外部审计的视角,理解内部控制,即在风险基础审计模式下,如何评估固有风险和控制风险,即评估方法问题。从风险控制的角度来看,内部控制是为了使组织按照既定的目标运行,使可能出现的偏差和风险控制在合理的范围内,从而实现企业资产的安全性、预期目标的完成等。外部审计主要是为了保证组织的健全和进行有效评价,披露企业组织经营管理中存在的风险,以实现组织的发展目标。内部控制与外部审计之间存在着密切的逻辑关系,两者的产生以及演变,具有高度的耦合性,并且,内部控制是在审计目标定位主导的框架下发展演变的。企业内部控制制度的建设和执行情况,对企业的经济发展计划和目标、财务报告质量、企业会计制度规范等都会产生影响。在企业内部控制信息披露不充分的情况下,会影响外部审计对企业经营管理的评价,甚至会影响企业遵循法律法规情况。财务控制的有效性是影响企业合理经营的核心,内部控制要以财务控制为着眼点,建立有效的财务控制评估机制。石本仁(2002)则从会计在公司治理中的作用出发,认为内部控制的检查和评价是公司内部审计的重要途径,从而保证了企业目标的顺利实现。因此,内部控制也是衡量企业经营效率的间接途径,成为内部审计有效性的指标之一。 2.企业管理与内部控制的关系研究。基于外部审计视角对内部控制的评估,以企业财务报告为主线,能够确保信息的真实性和企业资产的安全,但并不能真正满足企业战略目标的需要。对财务审计导致了被动的自我控制,出现财务报告舞弊等现象严重。这种现象的直接原因在于企业乐于从会计或财务审计的视角,而长期忽视管理控制,抛开了企业发展的战略目标。COSO框架也指出,内部控制是董事层、管理层以及操作层的员工为实现企业战略目标提供有效保障的过程,从管理者的视角来看,内部控制实质上是具有控制功能的管理活动,旨在实现企业报告的可靠性、资产的安全性、经营的高效率性以及发展的战略前瞻性等目标;从委托代理的角度来看,内部控制是约束经营者作业层人员和操作人员之间的委托-代理关系,包括了组织权责控制、员工素质控制、财务报告控制以及内部审计控制等活动。 基于企业战略管理的视角,内部控制的本质是企业战略定位和实施对企业战略的有效控制,进而服务于企业经营目标和战略目标的一种机制。对应于三个管理层次,企业也存在着三种控制形式,即战略控制、管理控制以及作业控制,从这个角度上看,内部控制作为战略管理的一种策略,隶属于企业管理大系统中的一个子系统。古淑萍(2011)基于新制度经济学的视角,较为充分地论证了内部控制与企业管理的关系,她认为企业内部控制实质上是围绕管理经营目标而设计和运行的动态过程,是一系列具有控制职能管理活动的有机融合。 3.人本控制的内部控制研究。企业组织是一个经济系统,内部控制的本质是为了维护企业组织相关利益者的利益关系而存在的,它要求把相关者控制在既定的规则内。林钟高等(2007)基于契约理论的视角,认为内部控制可以视为一种契约关系,这种契约关系是企业内部各个理性的要素主体之间围绕利益分配而建立的一种约束机制,旨在实现调动参与企业经营的多方之间的积极性,满足参与企业经营活动中的各方利益,从而保障企业内部经营管理活动的有序开展。因此内部控制的本质可以看成是一种持续均衡利益关系的契约配置,并且,这种契约关系必须要以公正为基础,追求各个利益主体在利益分配过程中可以得到公平对待。并将企业中各个层次的人的主体因素作为内部控制的核心。在对内部控制应用指引的控制研究中,腾晓梅(2011)提出,出于满足企业战略控制需求的目标,必须要在内部控制中加入对企业成员的绩效考核指引,综合考评成员的业务能力和素质能力。从这个角度来看,将人作为内部控制框架中的内容之一提出,实则也是对企业人本管理这一概念的延伸。内部控制需要把人作为首要因素,实现与“人本管理”的结合。王海兵等(2011)创造性地提出了“人本内部控制”的概念,把“人”作为内部控制的核心,并倡导建立以利益相关者为导向、以社会责任管控为中心,实现以经济利益相关者为核心的人本内部控制框架体系。 4.关于内部控制研究视角的评述。中国内部控制研究的发展进程,从介绍和描述国外有关企业内部控制的理论成果,结合中国特有的社会背景和管理方式转变为对中国企业内控实际情况的探讨。在对COSO框架借鉴的基础上,我国的内部控制从原先的基于财务和会计安全的外部审计,转向到基于企业管理的角度分析和探讨内部控制对企业经营管理的作用。企业内部控制系统通过对企业内部风险信息的收集、评估,并采取应对方案,使得企业具有更为完善的治理结构,从而使得企业得以更加稳健的发展。但在人本经济时代,利益相关者的社会责任风险成为内部控制新的风险来源。企业内部控制框架延伸到人本控制,既是企业管理理念的升华,也是内部控制发展的趋势和方向。 三、我国企业内部控制评估体系构建 (一)评价指标体系构建 内部控制的最终目的是使企业按照预定的目标和秩序有效运转,而控制的有效与否需要进行合理评价并做出判断。越来越多的研究从理论或实践出发,通过指标体系的选择、评价方法的应用以及评价体系的构建,对内部控制评价进行了分析和探讨。从本质上讲,内部控制评价属于由多要素构成的具有整体目的性和内在联系性的体系,涵盖了评价主体、客体、目标、指标、标准、方法以及报告等具体内容,各要素之间共同促进内控制度的不断完善。因此,对内控制度各要素的评析,成为研究的重点。内部控制指标体系的构建就是在企业总的战略目标的基础上,围绕内部控制的各个要素,拓展其内涵和外延,进行具体讨论。 1.围绕内部控制要素的指标体系构建。如何有效评估企业内部控制制度?构建客观的参照准则是必须的。中国借鉴COSO的框架,结合企业目标,构建了系列评估指标体系,并形成独立的内部控制标准。在企业总体目标的基础上,王素莲(2006)从控制环境、风险评估机制、控制活动、信息与沟通、监督等五个控制要素出发,采用达标、基本达标以及没有达标三个维度依次进行测量,从而初步构建起企业内部控制的评价体系。在进一步的研究中,围绕内部控制的各个具体的内容进行细分,明确每个要素所对应的具体指标。王煜宇(2005)在控制环境方面,构建了诚信度、员工能力、董事会和审计委员会等7个二级指标;在风险评估方面,构建了企业可持续经营能力等4个二级指标;在内部管理控制方面,构建了分析和检查企业经营业绩等6个二级指标;在内部会计控制方面,构建了销售收款会计控制等14个指标;在质量控制方面,构建了持续的监督活动等4个二级指标。骆良彬(2008)根据企业目标层,将控制环境、风险评估、控制活动、信息与沟通、监督作为一级指标,同时,对各个要素构建相应的二级指标,并在二级指标的基础上,构建了三级指标,形成了由35个具体指标组成的评价体系,并利用这一体系对上市公司控制质量进行全面评估。 内部控制要素可以全面反映内部控制的有效性,但难以揭示控制的过程,内部控制只是实现目标的必要条件而非充分条件。ERM框架是内部控制理论的最高成就,在极大程度上衔接了风险管理规范和内部控制制度。根据ERM框架关于风险管理要素的规定,在分析中石油、国家电网等多家企业内部控制的基础上,陈关亭(2013)构建了包括8项一级指标,即ERM框架要素,36项二级指标与180项三级指标的评价体系。 2.围绕企业内部控制目标构建的评价指标体系。内部控制的发展由最开始的外部审计控制,逐渐发展为企业战略管理。根据企业发展的目标,从管理的视角出发,韩传模等(2009)构造了递阶层次模型结构指标体系,分为目标层、准则层以及措施层3个层次,分别对应五级指标体系和14个具体指标。张先治(2011)根据企业目标,构建了战略目标、财务可靠性等四个维度的目标层指标、十维度的准则层及61项具体评价指标,并将整个指标体系的评价分值作为结果指标层,作为衡量内部控制的基本参数。为了确保上市企业管理目标的有效实现,王宏等(2011)在企业内部控制框架的基础上,从战略、经营、报告、合规、资产安全五个维度构建了基本指数,每个基本指数又分为具体的指数变量,并将内部控制缺陷作为修正指标,结合企业的控制目标,构建了上市公司完善的内部控制指标体系,这个指标体系可用在对特定上市企业的分析。 3.评述。内部控制的根本目的在于使企业经济活动按照预定的规则运行,实现企业经济利益和社会责任的最大化。指标体系的构建,实现了内部控制由理论向实践的过渡,这一工作将内部控制变得具体,具有可操作性,同时,也为内部控制的评估做出了基础。如何构建科学的指标体系,成为内部控制是否有效的关键。内部控制指标的构建须要遵循几个原则,一是明确内部控制的范围,也就是确定评估指标构建的边界;二是明确内部控制的目标,实现内部控制与企业实际经济活动相对应;三是明确内部控制的内容,以便对内部控制实施可操作化处理。现有研究主要围绕内部控制的要素内容以及目标,忽视了对内部控制范围的确定。无论怎样界定内部控制的边界,内部控制的具体内容和目标都必须要在界定的范围内进行设计与构建,基于企业系统的整体发展观念,构建合适的评估体系。 (二)我国企业内部控制评价方法 合理的评价方法是开展评价的重要工具。评价方法类似于某种测量仪器,通过对内部控制系统的可操作性、合理性进行测度,从而实现内部控制既定的目标,服务于企业建设和发展。在当前的评估方法中,主要是采用定性和定量两种方法对内控体系进行评价。定性评价主要是围绕内控要素以及内控目标,对每个要素所对应的相关方面进行大致评判,以确定是否符合预设的目标。定性评价具有很强的主观性,与受评者本身有很大的影响,难以准确反映企业内控情况,且缺乏对企业内部控制系统和整体的评价。而定量评价则以其相对可断、科学、可测量等特征成为了内控评价的主要方法。层次分析方法在内部控制评价体系中的广泛应用,使评估模式从定性走向了定量。 韩传模等(2009)基于企业内部控制目标,采用AHP系统工程方法,通过构建目标维、控制要素维和组织维的三维解析结构,进而两两对比基础指标之间的相对值,建立判断矩阵,求解不同层次间的序向量,构建了有效评价内部控制的评分标准。张先治(2011)等在AHP的基础上,采用指标赋值确定权重,比照企业内控结果的标准,明确了利用AHP进行企业内控评价的方式和步骤。 AHP适合于指标结构相对简单,各指标之间的权重关系较为确定的情况。对于指标体系复杂、难以定量化操作以及不易精确测量的评估系统,则适合在在简单AHP的基础上,利用模糊综合评价法构建了内控评价模型。陈关亭(2013)基于COSO框架,根据调查问卷确定了内控评价指标权重,在层次分析的基础上,针对内控评价体系因素多、难以定量、不宜精确测量的特点,利用模糊综合评价法构建了内部控制综合模糊评价模型。并以北京某上市公司作为具体的实例,合理评判了在模糊环境下多指标体系的内控系统,并在对比AHP的基础上,进一步提升了企业内控评价结果的有效性。 简单AHP方法和模糊评价法均需要对两两指标之间相对重要性进行评判,模糊评价法更具有准确性和科学性。这两种方法融合了定性和定量分析,是广泛应用的技术方法。但两者都存在着共同的问题,即两种方法始终需要参评人员对指标之间的相对重要性给出判断,需要接受专家或是某方面的意志,因此,评价的结果仍然具有很强的主观性。内部控制系统评价数学方法的引进,在一定程度上填补了层次分析方法客观性的欠缺,保证评价分析系统的准确性和完整性。王立勇(2004)突破了传统对内部控制的定性研究,通过构建数学模型,探讨了企业管理层运用可靠性理论提高内控系统设计和评价的效果的可行性。他通过建立可靠图框架和结构函数,构建可靠性模型进行敏感度分析,进而解释可靠性模型的结果。朱卫东等(2005)则借助BP神经网络评价模型,构建了内部控制的43项评价指标,以企业内部控制评价对象的特征数据作为神经网络的输入向量,求取问题的解,为了增强结论的可靠性,作者进一步进行了实证研究,这些尝试为内部控制建设的决策提供了依据。 (三)评述 企业指标体系的构建与评价,最终需要通过有效性来进行检验。企业内部控制的有效性是达成企业相关目标的有力保障。有效的内部控制,是将企业的相关可能出现的风险控制在合理的范围,这个范围的大小根据企业不同的目标而有所差异。评价内部控制是否有效,可以从评价结果的可靠性、对评价的成本与收益的权衡来展开。在对企业内部控制的实际评估中,需要把握的不仅仅是指标构建的全面性与合理性,更要加强对内部控股评估的成本效益进行衡量。无论如何,任何控制行为下的成本支付大于实际的经济收益都是不可接受的。 四、研究展望 (一)基于系统观念的内部控制评估体系构建 企业是一个经济系统,各个相关主体各司其职,各个环节紧密衔接,这是企业经济目标实现的重要保障。内部控制指标体系的构建,应该以整体战略观念为基本出发点,建立针对企业系统的评估框架体系。中国企业的财务审计制度、信息披露制度以及内部监督机制等,都是内部控制的关键部分。真正的弊端在于缺乏系统的内部控制观念,各个利益主体仅仅追求自我的利益,而忽视企业整体利益以及企业需要承担的社会责任。在今后的发展中,完善的内部评估体系的建立必须要有系统观念,充分考虑每个利益主体的角色约束关系,并作为内部控制评价的依据。 (二)内部控制评估方法 内部控制评估方法的定量化发展比内部控制评估更具有科学性,尤其是AHP分析方法的应用,通过指标构建与权重赋值,实现了定性指标与定量分析方法的结合。但是在利用AHP分析(模糊综合评判分析法)和应用中,能够实现对控制结果和状态的评估,但缺乏对结果可靠性的验证,以及缺乏在评价过程中的成本收益衡量。在目前AHP分析方法相对成熟的基础上,可以进一步引进更为客观的数学分析方法,通过计算系统可靠度来判断控制的效果,并在控制成本的基础之上,综合评定控制的效果。 ①财政部等五部委关于印发《企业内部控制基本规范》的通知[EB/OL].http://www.gov.cn/zwgk/2008-07/02/content_1033585.htm.2008-07-02-2015-01-12. ②财政部等五部委发布《企业内部控制配套指引》[EB/OL].http://wwwgov.cn/gzdt/2010-04/26/content_1592930.htm,2010-04-26-2015-01-12.标签:内部控制论文; 风险管理论文; coso论文; 企业内部控制评价指引论文; 企业内部控制与风险管理论文; 内控体系建设论文; 管理控制论文; 内部控制缺陷论文; 内控管理论文; 公司治理理论论文; 系统评价论文; 风险评价论文; 风险内控论文; ahp论文;