内部控制的缺失与改进

来源:用户上传      作者: 张连起

　　【摘要】本文从宏观角度出发，以内部控制在世界范围内的演进为基础，探讨内部控制在我国的建立与运用。
　　
　　题 记
　　
　　“在内部控制、预算和审计程序等方面，周代在古代世界是无与伦比的。”―― 《会计思想史》，迈克尔・查特菲尔德（Michael Chatfield）。
　　“虑夫掌财用财之吏，参漏乾后，或者容奸而肆欺……于是一毫财赋之出入，数人之耳目通焉。”―― 《周礼・理其财之所出》，（宋）朱熹。
　　
　　2006年，被称为中国内部控制年。财政部正紧锣密鼓地制定内部控制规范，国资委也将在年内发布《中央企业内部控制管理暂行办法》和《中央企业内部控制评价暂行办法》，证监会所属的上海证券交易所出台了堪称中国版《萨班斯――奥克斯利法案》的《上市公司内部控制指引》。凡此种种，标志着政府有关部门由大力提倡内部控制建设向明确要求、细化规定转变。一股内部控制的旋风，伴随着强化内部控制度建设的全球化浪潮，正席卷而来。那么，如何建立高质量的、有实质性影响的、符合中国企业特点的内部控制体系呢？
　　
　　一、内部控制之演进
　　
　　在现代内部控制发展史上，占了先机的是美国人。1947年，美国注册会计师协会（AICPA）下属的审计程序委员会（CAP）在其《审计准则暂行公告》中第一次提出了内部控制概念。1949年，审计程序委员会发表了一份特别报告 ―― 《内部控制：一种协调性系统要素及其对管理当局和注册会计师的重要性》。在这份报告中，CAP对内部控制作了如下定义：“内部控制是企业为了保证资产的安全完整，检查会计资料的准确性和可靠性，提高经营效益，推动企业贯彻执行既定的各项政策而采取的组织规划和一系列相互协调的方法与措施。”这里，内部控制的范围不止在财务会计方面，“提高经营效益”、“推动企业贯彻执行既定的各项政策”皆被列入了内部控制目标。对于注册会计师而言，要做企业管理的“万能医生”，所承担的，似乎是“不可能完成的任务”。
　　有鉴于此，1963年，AICPA在《审计程序公告第33号》（SAP No.33）将内部控制做了划分，表述为会计控制和管理控制，前者旨在保护企业资产完整，检查会计信息的可靠性；后者在于促使有关人员遵守既定的管理政策，提高经营的有效性。根据SAP No.33，“注册会计师主要关注会计控制”，“如果独立审计人员认为某些管理控制可能对财务记录可靠性有影响，可以考虑评价管理控制。”
　　1988年，AICPA在《审计准则公告第55号》（SAS No.55）以“内部控制结构”（Internal Control Structure）的提法替代了“内部控制”，并废除了“内部会计控制”和“内部管理控制”两种概念的划分。认为“企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并确立了内部控制结构的三要素――控制环境、会计系统和控制程序，这被认为是内部控制概念发展的一个里程碑。
　　1992年，美国国会“反对虚假财务报告委员会”（National Commission on Fraudulent Reporting，又称Treadway Committee）的发起组织委员会（Committee of Sponsoring Organizations of the Treadway Commission，由美国会计学会AAA、美国注册会计师协会AICPA、内部审计委员会IIA、财务经理协会FEI和管理会计学会IMA等多个专业团体参与组成），发布了COSO报告―― 《内部控制――整体架构》（Internal Control――Integrated Framework），并于1994年进行了修订。报告指出：“内部控制是由企业董事会、管理层和其他员工制定和实施的，旨在为经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程。”并归纳了内部控制的“五大要素”：（1）控制环境（control environment）；（2）风险评估（risk assessment）；（3）控制活动（control activities）；（4）信息与沟通（information and communication）；（5）监控（monitoring）。鉴于COSO报告对内部控制的认定与《审计准则公告第55号》（SAS No.55）有较大差距，AICPA于1995年发布了《审计准则公告第78号》（SAS No.78），修改了SAS No.55，全面接受了COSO报告的观点。
　　2002年，美国政府颁布了《萨班斯――奥克斯利法案》（SOX法案），要求所有依照美国1934年证券交易法第13（a）或15（d）节的规定向证券交易委员会（SEC）提交财务报告的上市公司，都要在年报中提供“内部控制报告”，评价公司内部控制设计及其执行的有效性，注册会计师要对企业的“内部控制报告”进行审核和报告。公司的首席执行官与首席财务官须出具书面保证，不仅要确保财务会计报告的真实性，还要确保公司拥有完善的内部控制系统――堪称“两手抓”方针下的实证样本。
　　鉴于企业经营面临的风险日益增大，风险管理与控制在企业运营中越发凸显。2004年9月，COSO又提出了《企业风险管理――整合框架》，它既是对《内部控制――整体框架》的超越，也标志着内部控制的转型。在内涵构成上拓展、延伸为“八要素”：一是目标设定，指董事会和管理层根据公司的风险偏好设定战略目标；二是内部环境，指公司的组织文化以及其他影响员工风险意识的综合因素，包括员工对风险的看法、管理层风险管理理念和风险偏好、职业道德规范和工作氛围、董事会和监事会对风险的关注和指导等；三是风险确认，指董事会和管理层确认影响公司目标实现的内部和外部风险因素；四是风险评估，指董事会和管理层根据风险因素发生的可能性和影响，确定管理风险的方法；五是风险管理策略选择，指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略；六是控制活动，指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等；七是信息沟通，指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程；八是检查监督，指公司自行检查和监督内部控制运行情况的过程。
　　
　　二、内部控制在中国
　　
　　与国外内部控制起源于对会计信息质量的关注一样，我国对企业内部控制的建设也起源于提供干净会计信息的诉求，并且在内部控制建设过程中较多地借鉴了国外既定的研究成果。我国对内部控制理论引入至实务主要包括以下方面：
　　（一）审计鉴证方面
　　1996年12月，中国注册会计师协会发布了《独立审计准则第9号――内部控制和审计风险》，借鉴美国SAS.NO.78，提出了内部控制三要素――控制环境、会计系统和控制程序，以帮助注册会计师调查和测试内部控制，确定控制风险，设计实质性审计测试的性质、时间与范围。
　　2002年2月9日，中国注册会计师协会发布《内部控制审核指导意见》，规范注册会计师就被审核单位管理当局在特定日期对内部控制有效性的认定进行审核，并发表审核意见，但该意见主要强调与会计报表相关的内部控制。
　　2006年2月25日，中国注册会计师协会发布《中国注册会计师审计准则第1211号――了解被审计单位及其环境，评价重大错报风险》，将被审计单位将内部控制作为评价被审计单位重大错报风险的重要依据之一。第一次正式提出了内部控制的五要素，即控制环境、风险评估、信息与沟通、控制活动和监督，明显借鉴了COSO内部控制框架思想。

　　（二）行业管理制度
　　1997年5月中国人民银行颁布了《加强金融机构内部控制的指导原则》，就银行、保险公司等金融机构内部控制的目标、原则、要素、基本要求等作出了规范。
　　2000年11月，证监会发布了《公开发行证券公司信息披露编报规则》，要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度，并在招股说明书正文中说明内部控制制度的完整性、合理性和有效性，同时，要求注册会计师对被审计者的内部控制制度及风险管理的“三性”进行评价和报告。
　　2001年1月，证监会发布了《证券公司内部控制指引》，要求所有的证券公司建立和完善内部控制机制和内部控制制度。
　　从2001年6月起，财政部陆续发布了《内部会计控制――基本规范（试行）》和《内部会计控制规范――货币资金（试行）》等一系列具体的会计规范，明确了单位建立和完善内部会计控制体系的基本框架和要求，以及相关具体项目内部控制的要求。
　　2006年预计国资委即将出台《中央企业内部控制管理暂行办法》和《中央企业内部控制评价暂行办法》，对中央企业内部控制的建立及效果实施严格管理。
　　（三）企业自主行为
　　在我国，随着中航油新加坡分公司违规进行原油期货交易等一系列因内部控制缺失而导致的重大舞弊事件的出现，越来越多的企业认识到完善的内部控制对防范和化解经营风险、防止舞弊具有显著效用，国内部分大型企业集团开始按照COSO报告的基本框架建立内部控制。此外，为满足《萨班斯――奥克斯利法案》（SOX法案）404条款的要求，在美国上市或即将在海外上市的企业已经在国际咨询公司的帮助下，构建内部控制体系。
　　我国大多数企业多年来习惯于渐进地积累管理经验，建立内部控制制度。虽然陆续形成了一些管理办法、条例、暂行规定等文件，但是，一则支离破碎、捉襟见肘；二则无法适应现代企业不断提升治理水平的需要。具体说来，中国式内部控制呈现出以下缺陷：
　　1.被动的
　　传统国有企业的粗放经营以及民营企业的人治色彩难以内生为控制的理念，而中庸思想深厚的东方文化也很难发育出要素完备、功能齐全、目标明确的内部控制体系。这就决定了中国式内部控制的需求动力很大程度上来源于外部的压力，包括融入国际市场经济的渴望以及建立国际一流企业的梦想，这种渴望和梦想使得国内企业不得不按照西方的框架建立相应的内部控制。
　　2.借鉴的
　　无论是证监会对证券公司内部控制的要求和上交所制定的《上市公司内部控制指引》，还是中国人民银行对商业银行内部控制的规定，以及财政部对企业内部会计控制的规范，莫不以美国的控制模式为模板。然而，作为美国企业内部控制圣经的COSO报告能否适应中国所有制形式混杂、规模不一、管理者素质参差不齐的现实，并未经过普遍的实践检验。
　　3.政府主导的
　　政府部门对内部控制的关注首先集中在容易发生舞弊风险的金融领域，特别是商业银行、证券公司等金融风险多发地带。然后由点到面，由金融机构向一般行业扩展。然而，具体企业根据自身需求主动设计整体内部控制的自发性远远不足。
　　4.文本的
　　常见的误区是，内部控制就是企业的规章、制度，就是基于财务核算的会计控制。显然，这只是内部控制的一部分，并不是全部。内部控制侧重于对文本制度的全面化、流程化；立足于动态监控、与管理软件（工具）耦合、可评价、可修正。由于我国企业通常强调规章制度的建立而忽视对控制环境、信息与沟通等要素的关注，关键的风险评估也往往流于形式。实际上，无论多么完善的控制制度、程序或方法，如果没有诚实、守信、尽责的文化氛围，没有不折不扣、一以贯之的有效执行，终将是没有任何意义的空头文件。
　　5.滞后的
　　我国内部控制理论和实务的发展滞后于国际成熟的发展形态，在国际上已将COSO框架奉为圭臬的1996年，我国出台的有关文件，仍将内部控制囿于控制环境、会计系统、控制程序三要素，落入了传统会计控制的窠臼。即使一些最新的准则、规定，也只采用了COSO的“五要素”，而没有注意到《企业风险管理――整合框架》的“八要素”。
　　
　　三、中国内部控制框架之确立
　　
　　基于上述缺陷，我们认为，构建有中国特色的内部控制，需要解决以下两方面的问题：
　　（一）关于内部控制标准的问题
　　西方国家在市场经济的长期发展过程中逐步形成了本国特色的内部控制，比较有代表性的包括：美国COSO报告、加拿大内部控制报告，而其余国家多采用其中之一。
　　但从我国目前实际情况来看，除了1997年人民银行发布的《商业银行内部控制指引》和2006年2月25日中国注册会计师协会发布的1211号审计准则明确借鉴了美国COSO报告中的五要素思想外，其余方面并未提出明确的内部控制标准，内部控制与会计控制往往混为一谈。我们对COSO报告是全盘吸收，还是在拿来的基础上经过中国式的加工改造以适应中国多变的国情？是不分企业的所有制、规模而用统一的标准去规范，还是针对不同类型的企业设计不同的内部控制的标准？都是值得我们关注的问题。
　　中国内部控制标准的制定，可以分为下述三阶段：
　　1.可以借鉴美国发起组织的模式，成立专门的内部控制研究委员会，尽可能广泛吸收国内财经界人士研究制定中国式的内部控制标准，以保证内部控制的广泛适用性。
　　2.研究制定中国内部控制框架，统一我国学术界、实务界对内部控制的不同声音，形成对内部控制的定义、目标及要素的一致性认识，使其成为我国企业内部控制的“根本大法”。
　　3.各行业各部门可以根据内部控制框架，在不违反框架基本原则的前提下，制定自己的内部控制标准。
　　但无论如何，我们的内部控制标准不能缺乏已被时间和实践检验过的COSO框架中的内部控制五要素。在我们这样一个人治色彩浓厚、家长制作风严重的国度里，尤其要关注控制环境的培育。
　　我们一次性地制定一系列控制程序和方法不难，但如何保证这些控制程序和方法在既定的环境中得到始终如一的应用则是一个问题，象银广厦，表面上有关凭证审核、批准等控制环节齐全，背地里却是一个不折不扣的造假链。
　　（二）关于内部控制评价问题
　　2002年的萨班斯法案404条款明确要求上市公司提交内部控制报告，除管理层对内部控制的描述外，还需要独立注册会计师对内部控制进行测试和评价，以验证与财务报告相关的内部控制设计执行是否合理以及运行是否有效。尽管这种强制性的要求仅限于与财务报告相关的内部控制，但在企业内部控制发展历史上无疑迈出了重要的一步。但时至今日，除了首次公开发行股票要求外部独立注册会计师对企业内部控制进行独立评价外，无论从内部还是从外部都无法律法规要求对企业内部控制进行评价，而尽管中国注册会计师协会颁布了《内部控制审核指导意见》，但在使用范围、力度上明显不够。
　　对于我国内部控制的评价，需要解决以下三方面的问题：
　　1.评价主体
　　一般而言，内部控制的评价可以分为内部评价和外部评价。内部评价一般由企业内审机构进行，而外部评价多为独立第三方进行，实务中会计师事务所多承担了这一工作。除上文提到的首次公开发行需要独立第三方要求对内部控制进行鉴证并出具评价报告外，对内部控制的评价并无强制性要求。可以采用和财务报告审计类似的方式，由内部审计机构对企业内部控制进行评价，公司管理层（董事长、总经理）认可并签发评价报告，然后通过独立第三方（会计师事务所）对内部审计机构的内部控制评价报告发表意见。
　　2.评价范围
　　在实务中，对内部控制评价的范围仍局限于与财务报告相关的内部控制，也就是说较多关注内部控制的报告性目标，而对合法性目标和经营的有效性目标较少关注。本文认为，作为一个互相影响、相辅相成的系统，内部控制三个目标缺一不可。在对内部控制进行测试评价时，不仅要关注其在保证财务报告真实准确完整以及不存在重大错报和舞弊方面的作用，更要关注其能否为实现经营目标、保证企业合法经营方面提供合理保证。
　　3.评价标准
　　美国萨班斯法案明确规定了将COSO报告作为内部控制评价的主要标准，而我国缺乏统一的评价标准，从而使注册会计师的评价工作存在较大的困难。因此，应将上文提到的中国式内部控制框架作为进行内部控制评价的标准，当然，各企业可以在不违背上述基本框架的前提下建立具体的内部控制评价标准。
　　当“没有人不被控制，没有业务不被控制”的内部控制框架形成时，当“内部控制好似一种伤害，直到伤害到每一个人为止”的执行观念形成时，中国式内部控制才能走上规范化的坦途。

转载注明来源:https://www.xzbu.com/3/view-777204.htm