新监管时代企业内部控制建设中的几个关键问题,本文主要内容关键词为:几个论文,内部控制论文,关键论文,时代论文,建设中论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
面对监管环境中日益严格的内部控制评价和信息披露要求,企业不断上涨的审计费用和耗时耗力的巨大工作量,内部控制被誉为让人头痛的“紧箍咒”,甚至让我国企业对赴美上市望而却步。而在我国的深沪两地上市公司中,一方面,年报、中报、IPO申请文件等各项信息披露中,传递的多是流于形式又嚼而无味的内控信息,不能从实质上满足信息使用者的需求;另一方面,企业对良好的内部控制有着强烈的内生需求,常常可能面对由于内部控制失效而突然响起的“地雷”对企业发展带来的严重伤害。内部控制,我们追求的目标到底是什么?本文拟对内部控制认识和执行中存在的一些问题,做进一步的辨析和讨论。
一、内部控制最根本的目标不是满足监管机构的要求
近年来,讨论企业内部控制,几乎都会提及SOX法案涉及内部控制的302条款和404条款,以及我国证券监管机构发布的一系列信息披露准则要求,企业在内控建设中也多以规范要求为参照标准,似乎内部控制的目标更多表现为是在满足监管机构的要求。
我们可以看看COSO报告(反舞弊性财务报告委员会的发起组织——COSO委员会,于1992年提出《内部控制——整体框架》报告,该报告是国际内部控制理论发展的一个里程碑)对内部控制的定义:“内部控制是指企业董事会、经理以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循三项目标而提供合理保证的过程”。根据定义可知,内部控制的控制目标是财务报告的可靠性、经营活动的效率和效果以及相关法律法规的遵循性三项。
控制目标之一:财务报告的可靠性
财务报告是会计信息的重要和集中体现,财务报告的可靠性,就是财务报告所反映的信息应当是真实、可核实和中立的,也就是独立、客观、真实地反映经济活动。证券及相关监管机构,不断地针对上市公司的内部控制制订规章制度,提高和加强内部控制信息披露的要求,都是为了促进企业建立完善的内部控制系统,能够在一定程度上保证公司所提供财务报告的透明可靠性。例如,SOX法案404条款规定,“管理层必须在公司年度报告中对内部控制进行报告,包括:管理层有责任建立和维持充分的内部控制结构和财务报告程序的声明:在公司最近的财务年度期末,对公司内部控制结构和财务报告程序的有效性进行评价。同时,为上市公司提供审计业务的会计师事务所必须就管理层对财务报告相关的内部控制评估进行鉴证,并提供报告”;美国公众公司会计监督委员会(PCAOB)2007年5月发布,7月美国证监会(SEC)批准的将取代2004年第二号审计准则的《审计准则第五号:与财务报告相结合的内部控制审计》,也都是围绕财务报告可靠性的目标,要求审计师就内部控制明确发表意见。
控制目标之二:经营活动的效率和效果
在管理学上,效率的含义是do the things right,即正确地做事情,它往往与费用、速度、资源、流程等相关联;效果的含义是Do the right things,即做正确的事情,它往往与结果、成败、正误等相关联。将合理保证经营活动的效率和效果作为内部控制的一个目标,意味着内部控制应当为经营活动提供保证,即有了内部控制机制存在和发挥作用,会有利于一个组织在一定环境下选择正确的方法做正确的事情,也就是不偏离企业目标,不走歪路。此外,就经营活动与管理活动的关系而言,事实上管理活动(如计划、组织、领导、控制)是附加在经营活动之上的,或者说经营活动的过程中伴随着管理活动。COSO强调内部控制的控制目标是合理保证经营活动的效率和效果,也正是通过管理活动来实现这一目标的,因为控制就是管理的基本职能之一,所有的控制活动就是管理活动的重要内容。在COSO报告中,控制环境、风险评估、控制活动、信息与沟通、监督五项控制要素已经全部渗透在经营管理活动之中,共同服务于企业总体目标,管理和控制的方法、职能的界限已经逐渐模糊。这与内部控制概念的历史演化趋势也是相一致的。
控制目标之三:相关法律法规的遵循性
合法经营与依法经营始终是组织持续生存与发展的基本条件。完善的内部控制体系可以有效预防员工舞弊或组织舞弊,保护利益相关者的利益。这里的法律法规是一个相对宽泛的称呼,事实上,任何一个组织运行都有其必须遵循的规则,包括组织所处环境的一般与特殊的外部法律法规,以及组织为维护自身正常运行而制定的内部规章制度——“内部法律法规”。而遵循的意思就是依其行事,不可违背。它包含实质遵循和形式遵循两层含义。内部控制要保证法律法规的遵循性,是建立在内部控制机制有效发挥作用的基础之上的,否则,一个形同摆设的“稻草人”面对“破坏分子”所能起的作用是非常有限的。
上述分析可以看出,内部控制的目标本身就具有多元性,而无论是SOX法案还是我国的信息披露要求、内部控制基本规范以及各项具体规范,都是为执行与内部控制相关的各项工作提出了一系列专业标准,目的在于“以点带面”,促使公司通过加强内部控制来改进公司治理状况,强化公司责任,提升公司诚信形象。实现透明可靠的财务报告是证券监管机构监管的重点和切入点,但保护企业财产安全,实现经营活动的效益和效率,实现法律法规的遵循才是更为重要的内部控制目标,尤其是对于为数众多的非上市公司和中小型企业。而如果仅仅把满足监管机构对内部控制的要求作为进行内控建设和信息披露的目标,只是从形式上建立起完整的内控制度,不结合企业实际,不切实使其在企业运营过程中发挥作用,那只是片面理解了内部控制的目标,结果只能是“形肖而神不真”。
二、内部控制是董事会、CEO和CFO主导下全员参与的过程
COSO报告中指出,内部控制的实施主体包括董事会、经理层和其他员工,可见,内部控制不单单是某一个人员或者某一个部门的事情。SOX法案302,404,906条款则强化了CEO、CFO对公司内部控制程序和内部控制报告的责任。例如,302条款明确要求CEO和CFO就内部控制系统进行报告,并在提交给SEC的财务报表上签字,这一条款使得高管人员有责任确保其内部控制系统的适当性;404条款更明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责;906条款则规定,CEO和CFO在明知公司向SEC申报的包括财务报表的定期报告有不真实财务信息的情况下仍签署书面声明,将被处以可高达100万美元罚款和上至10年的监禁;如果属于“有意欺诈”性质的提供虚假财务报告,将被处以可高达500万美元罚款和上至20年的监禁。而此前,美国上市公司定期信息披露并不需要CEO/CFO签字,一旦财务丑闻被揭发,CEO/CFO往往以不知情来开脱个人法律责任;由于专业性强,程序复杂,一般也很难找到直接证据来证明CEO/CFO明知或故意披露虚假财务信息。最终,美国无罪推定的司法原则使得监管部门经常无计可施。公司CEO/CFO本人也仅仅面临个人职业声誉下降的威胁;即使监管者对其采取处罚措施,这些惩罚可能也会以各种方式转嫁给上市公司负担,难以对CEO/CFO本人形成有效威慑。SOX法案直接明确了公司CEO/CFO本人在内部控制上面临的法律责任,为监管机构查处财务欺诈提供了法律武器,责任追究制度也将有助于管理人员的勤勉尽责。
目前,我国的法律法规只是对IPO(首发上市)和上市公司发行新股再融资时,要求“发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的,应予披露并说明改进措施”。并且,现行规范中仅仅要求将注册会计师的内控评价报告上报证监会和交易所,并未要求公开对外披露。这在一定程度上不利于注册会计师内控评价业务的规范和执业水平的提高,也不利于提高上市公司内部控制信息的可信赖程度。而在年度报告中,要求监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。实践表明,由于没有明确监事会在内控建设和评价中应当履行的具体职责内容,监事会发表意见的依据往往是注册会计师的评价意见及董事会的说明,而缺少自身对公司内控建设和执行状况的判断,意见往往是简单而流于形式,匮乏实质信息含量。此外,现行《公司法》中也未明确指出董事会在内部控制建设和完善方面的责任,公司内部控制的建设应当由董事会负责,监事会对董事会在内控建设和实施方面进行监督,因此,相关法律法规中应当予以进一步明确董事会和监事会在内控建设上各自的责任和工作内容。上层管理人员的重视与从上到下主导式的建立方式,将有助于内控工作的开展和落实。SOX法案在强化管理层对内部控制的责任方面的措施确有借鉴之处。
此外,内部控制是涉及到企业各个经营方面、各个环节、各个流程、各个岗位的,内部控制的对象可以是财务资源、人力资源、信息资源、客户关系资源等等。它不是高层管理人员振臂一呼可以解决的,也不是会计内审部门单兵作战可以完善的,更不是外部的独立审计师或相关管理咨询机构做一套流程方案或者评估一下可以一蹴而就的。内部控制是一个过程,它包括一整套制度和一系列行为以及相应实施的各种管理活动。静态的流于形式的制度和僵硬的流程设计,会使内部控制的建设成为摆设,“看起来很美”,却不能发挥作用。强化内部控制不是一朝一夕之事,只有全员参与,多方配合,建立覆盖公司全部业务和运作流程的控制系统,确保所有员工理解和执行相关制度,切实履行职责,才是真正建立完善有效的内部控制体系。
三、内部控制的作用是合理保证,它不是万能的,但也不是“纸老虎”
自始以来,关于内部控制的概念界定中,都使用了“合理保证”这个词语,COSO的报告中也是同样。“合理保证”,本是注册会计师专用的一个技术术语。在《注册会计师审计准则第一号——财务报表审计的目标和一般原则》里是这样定义的:“合理保证是指注册会计师通过积累必要的审计证据得出财务报表整体不存在重大错报的结论。合理保证是对会计报表使用人提供一种高度但非绝对的保证”。也就是说,内部控制对前述三个目标的实现提供的是高水平但不是百分之百的保证,这就是所谓的“合理保证”,它不同于“绝对保证”,也不同于“有限保证”。
内部控制的作用之所以是合理保证,这是由其固有的内生性局限所决定的。例如,员工工作疏忽、判断失误、缺乏责任心、工作能力或素质较低,甚至不同职位串通舞弊等;管理层为公司短期利益或者个人利益,滥用权力,超越事先制定的政策或程序;为常规业务而设计的内部控制体系,在面临新问题或新业务时无法适用或发挥作用;基于控制成本和收益的考虑,减少控制点或存在控制“盲点”;以上这些都可能导致内部控制失灵或者失效。这些固有局限在金融企业尤其是银行业比较明显。由于业务的特殊性,金融企业的内部控制建设相对其他企业是走在前列的,即便是现阶段我国的证券监管部门,也针对上市的银行、保险公司和证券公司有着更为严格的内部控制披露要求。但银行业违法违规案件还是屡屡爆发,大多由于银行内部上下级之间的纵向串通,相关岗位之间的横向串通,或是银行员工与外部人员的内外串通,使内部控制“防火墙”失去了防护作用。同时,由于银行内部横向与纵向相互监督制约机制不到位,内部检查不力,内部控制在一些银行,特别是基层分支机构中无法有效贯彻落实。
即便是覆盖企业所有业务流程,按照内部控制的原则和措施构建的看似科学严密先进的ERP(Enterprise Resource Planning企业资源计划)系统,也可能由于人为因素而使内部控制失效。例如,2006年底,各大报纸和网站竞相报道的上海乐购超市收银员截留397万元营业款一案。该超市引进了先进的ERP流程,并通过制度安排使得收银、记账、信息维护等各个岗位相互牵制,建立了一套完整的内部控制流程。但看似严密的内控防线却由于程序管理员设计非法软件程序植入ERP系统,并通过培训“特别”收银员,相互串通,在一年多时间截留了397万元营业款,涉案人员43人,串通舞弊也增加了案件侦破的难度。
既然是合理保证,那么,哪些措施可以尽可能提高“合理保证”的保证高度?如何尽量弥补内部控制的内生性缺陷呢?
第一,加强内部控制环境建设。所谓控制环境,是指企业的风险管理哲学和风险偏好、员工的诚实性和道德观以及企业的经营环境等。良好的内控环境是内部控制得以贯彻的必要前提,否则,再完善的内部控制都会力不从心。重视企业文化建设和员工职业道德培养,重视企业高层管理人员树立正确的道德观,对于提高内部控制的有效性都是尤为重要的。
第二,建立畅通的信息沟通渠道。任何岗位,发现问题,有及时通畅的信息传播渠道和对象,将有助于及早发现舞弊现象,减少损失,防患于未然。
第三,定期与非定期开展内部控制检测、评审与更新。检测和评审有助于测试内部控制系统的运行效率和效益,而适时更新则可以扩大和加强内部控制系统的应用范围,尽早发现控制缺陷和“盲点”,使新业务和新问题及时纳入内部控制系统的受控对象之中。
在新的监管时代,企业内部控制在利益相关者眼里日益扮演着愈加重要的角色,而对企业而言,建立完善而有效的内部控制系统始终是任重而道远的艰巨任务。
标签:内部控制论文; 财务报告论文; 内控体系建设论文; 内控管理论文; 内部控制缺陷论文; 控制活动论文; 目标公司论文; 企业经营论文; 财会论文;