从COSO报告看我国内部控制体系的构建
" 内部控制体系作为企业生产征管活动的自我调节和自我约束的内在机制,在企业管理系统中具有举足轻重的作用。内部控制体系的建立、健全及实施状况,关系到企业的兴衰成败。如何结合我国的企业实际,建立具有中国特色的内部控制体系,已成为规范我国企业行为,提高会计信息质量的当务之急。
上个世纪90年代初,由美国注册会计师协会、美国会计学会、财务经理协会等社会团体参与的“赞助组织委员会”(简称COSO)发布了《内部控制——整体框架》的研究报告。本文拟通过对COSO报告内部控制整体框架的剖析,探究我国在建立企业内部控制体系过程中应注意的一些问题。
一、COSO内部控制整体框架的内容
该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了以往的内部牵制、内部控制体系和内部控制结构等内部控制思想。
报告认为,内部控制是企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式、并与管理的过程相结合。为了实现内部控制的有效性,需要下列五个要素的支持。
(1)控制环境。它包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。
(2)风险评估。这是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。
(3)控制活动。这是人们较早关注的方面,它包括确保管理层指令得以实施的政策和程序。
( 4)信息和沟通。它是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。
(5)监督。监督贯穿于整个内部控制过程中,对其进⚥行评估,并具有一定的独立性。监督的实施途径通常是内部审计。
二、借鉴COSO内部控制整体框架的思考
在实务中,COSO内部控制整体框架在美国得到了广泛的应用。
1.控制环境。包括公司所处的外部环境(政治经济环境、法律规定、执法机构、会计准则、外部审计、股东、客户等)和内部机构(董事会及专业委员会、监事会、经理及财务总监、内审机构、子公司和分支机构)。任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,他们既显构成环境的重要要素之一,又与环境相互影响、相互作用。环境要素是推动企业发展的引擎,也是其它一切要素的核心。
2.风险评估。企业必须制定目标,该目标必须和销售、生产、行销、财务等作业相结合。为此,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自¢身面临的风险,并适时加以处理。控制和风险紧密相连,当企业内外部环境发生变化时,风险最容易发生,因此,企业应特别加强对环境改变时的事务管理。
3.控制活动。企业必须制定控制的政策及程序,并予以执行,以帮助管理阶层保证其控制目标的实现。公司的政策和程序具体包括为员工建立的行为准则;内部控制∞标准,包括一般控制、业务流程控制、法律规定、财务报告标准和计算机处理控制、未达到标准可能出现的风险等;财务管理和标准作业程序,是指为贯彻内部控制标准而建立的具体指导和操作程序。
4.信息和沟通。围绕在控制活动周围的是信息与沟通系统。这些系统是企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。一个良好的信息系统应能确保组织中每个人均清楚地知道其所承担的特定职务和责任;业务部门对实现控制目标、落实政策、确保控制实施负主要责任;财务部门负责辅助完成公司的目标和检查内控程序的履行;与此同时,业务部门与财务部门应相互配合,不断地完善内控系统,并激励在内控方面做出成绩的人员。
5.监督。整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。这里所指的监督主要包括四个方面:其一是职业道德的约束,公司应成立由董事长、财务总监、首席法律顾问等组成的“职业道德遵行委员会”,负责调查违反行为准则的人员;其二是通过外部审计,检查和确认财务报告的合法性、公允性和一贯性;其三是通过内部审计,对内部各部门的财务、管理、效益进行审计;其四是加强集团对分部的监控和分部的内控状况。
三、我国建立内部控制整体框架应注意的问题
1、建立我国企业内部控制体系应结合各个企业的具体情况。
从我国实践来看,内部控制体系已与企业经使过程紧密结合。但从特定企业的内部控制体系的完备性、严谨性和缜密性角度来看,还存在许多批漏,很多企业失败的实例都证明了这一点。当前的会计信息失真、巨额国有资产流失,以及辉煌一时的明星企业的倒闭,无不与内部控制体系失败有着密切的关系。
内部控制体系只是为达到特定目标提供合理保证而不是完全保证的体系。因此,制定完善无缺的内部控制体系,无论从成本效益原则,还是从体系本身所特有的刚性,都是难以实现的。但如果能针对特定企业的组织形式、规模大小、企业文化等因素而分别地进行研究,就可最大限度地研究某一特定类别企业的内部控制体系,以减少由内部控制框架落实到企业时而呈现的渐多不适应,才能建立一套具有中国特色的企业内部控制体系。
同时,内部控制体系不应制定得过于细致,这样不利于管理工作。各企业应根据自己内部控制的目标、战略发展和管理需要制定适合自己管理情况的内部控制体系。
另外,建立我国的内部控制体系,不能脱离中国的国情,要充分考虑到中国传统文化等对企业文化、管理者素质、品行等的影响。
2、企业内部控制体系应渗Ⓐ透于公司治理结构之中。
1999年,世界经济合作与发展组织(OECD)制定的《公司治理原则》中给“公司治理”作了如下的描述:“公司治理是一种据以对工商业公司进行管理和控制的体系。公司治理明确规定公司各个参与者的责任和权利分布,诸如董事会、经理层、股东和其他利害相关者,并且清楚地说明决策公司事务时所应遵循的规则和程序。同时,它还提供一种结构,使之用以设置公司目标,也提供了达到这些目标和监控运营的手段。”
内部控制作为由管理当局为履行诸管理目标而建立的一系列规则、政策和组织实施程序。与公司治理结构是密不可分的。在我国,内部控制外延的拓宽正是由公司治理结构变化所致。在现代企业体系的公司治理结构下,公司作为自负盈亏、自我完善、自我发展、自我消亡的经济组织,以管理监控为己任的内部控制的目的必须要拓展到保证公司政策的贯彻和公司管理目标的实现上。公司治理结构是促使内部控制有效运行,保证内部控制功能发挥的前提和基础,是实行内部控制的体系环境;而内部控制在公司治理结构中担当的是内部管理监控系统的角色,最有利于企业受托者实现企业经营管理目标,完成受托责任的一种手段。内部控制框架在公司体系安排中担任内部管理监控的角色,成为公司管理中不可缺少的部分。
从COSO委员会的报告中,我们可以发现内部控制是与企业经营过程结合在一起的。因此,研究企业内部控制体系,不
能仅从会计入手,应着眼于现代企业制度和法人制度的结合点上。应全面渗透到企业各个层次的组织管理制度,贯穿于公司治理结构的始终。
3、应建立上市公司对企业内部控制体系的披露体系
现行的《企业会计准则》和《企业会计制度》并没有强制性地要求企业对内部控制体系进行披露,只是要求对一些有助于理解和分析会计报表的事项在会计报表附注中予以说明。笔者认为,从提高上市公司财务信息披露质量的角度,应该对内部控制体系进行披露,编制企业内部控制报告。
内部控制报告是管理当局解除受托责任的一种方式。它可以提高企业管理当局内部控制的意识,企业管理当局对内部控制进行评估并对外报告,可以提高企业财务报告的可靠性,在一定程度上减少舞弊的发生。同时,内部控制报告可以向报表使用者提供单纯的财务报告所不能提供的信息,有助于报表使用者进行决策。此外,它在一定程度上也可以减少注册会计师的工作量。基于上述理由,上市公司提供的内部控制报告对于增进企业内部控制,减少财务报 ﭢ告舞弊现象、促进与注册会计师的交流等方面都起着积极的作用,同时也表明了上市公司管理当局对建立内部控制制度、保障公司财产安全的责任和履行。因此,上市公司应当对其内部控制做出报告,以帮助投资者进行决策。