作者:王海荣
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
内控总监工作笔记:企业内部控制工作法及案例解析试读:
前言
伴随着人类出现了职务分工,内部控制应运而生。例如,当两个人结伴外出打猎,一个人负责“引蛇出洞”,另一个人负责击而杀之时,就有了内部控制。经济发展到一定阶段,所有者和经营者开始分离。东家通过账本看“掌柜的”是否踏实地替自己卖命,中世纪时庄园主通过检查记账防盗止损,这都体现了内部控制的思想,同时也形成了内部控制的工作方式。东西方商贸往来的繁荣,最终催生了伟大的复式记账法。工业大革命之后,工厂制度普遍推行,组织管理活动应运而生,从而产生了涉及业务程序、职责分配、组织结构和内部审计等事项的管理方法,内部控制自此走上了发展的“快车道”。
相较于其他管理理论,内控的理论研究还很年轻,实践亦很少。故当今人们对内控的误解很多,比如认为内控就是写制度、内控就是不让人好过、内控就是内控部门刷存在感、内控就是消防队员、内控是老板的事与普通员工无关,等等。但实际上并非如此。内部控制强调全员参与,组织内的所有人毫无例外。内部控制是一个持续的过程,开始了就不会结束,目的在于为实现组织目标提供“合理”保证。内控的终极方向很明确,就是组织目标。组织目标是组织存在的目的与宗旨,是“水泊梁山举起的大旗”。但组织目标不是一成不变的,水泊梁山旗子上绣的字不也还从“替天行道”变为“顺天护国”了吗?风起云涌的技术浪潮,再有互联网的加盟,使风向变换更为迅捷。个性化、定制化的来临,对组织管理的要求越发严格。内控存在的前提和目的都要依赖组织的存在与发展,内控工作必须围绕组织目标这根指挥棒转,不断适应组织的变化。内控从业人员应“抬头看路”,适当研究所在行业的趋势,以及内控工作所依赖的相关技术的发展变化,因为不如此,组织将失去机会和方向,面临被淘汰的风险。
人在江湖,身不由己。在内控的江湖里随处可见利益的刀光剑影,随处可见秩序与无序的搏杀,犹如七彩霓虹折射出人性的复杂多样、光怪陆离。若欲在其间安然无恙、游刃有余,唯有因势而谋,因时而动,顺势而为,整合与协调各方利益,疗组织于未病,推动并践行组织变革。这才是内控的诗外功夫。从某种意义上讲,内控就是“戴着镣铐跳舞”。在本书中,笔者将从内控控什么、谁来做内控、怎么做内控等方面说说如何跳好内控之舞。
笔者从事内控工作十多年,历经外企、民企和国企等组织类型,积累了制造业、商业服务业和建筑业等行业的从业经验,深谙其中的酸甜苦辣,也遇到过手足无措、彷徨无助的局面。“没有金刚钻,不揽瓷器活”,内控工作对从业人员的要求甚多。不仅要求其知识结构多元化,通晓财务、法律、管理等知识,还要有大局意识,懂专业,有实践经验,晓变通;不仅要负责任、坚持原则,还要有一颗包容之心,有些时候不能太较真,要和“群众”打成一片;不仅能“苟且”于眼前,还要能心怀诗和远方。此诚非学习不可为,非修炼不可得也。第一章为什么要做内控
说起内控的发展势头,让我想到一句诗,“忽如一夜春风来,千树万树梨花开。”内控在我国好像忽然之间就盛行开来,快到很多从业者都来不及想为什么要做,本章的内容就针对这个话题,深入分析内控的目的和意义。安然事件
最早的内控是从上市公司开始的,资本家出于追求利润的本能,总试图通过造假、舞弊等手段虚增利润。于是,便出了几桩大事,比如安然事件。
从1985年到2000年短短的15年中,安然公司创造了一个接一个的神话。它的每一次举动都被媒体津津乐道,每一个战略都成为商学院MBA教学的经典案例。它的发展犹如坐上了火箭,才十几年的时间,就与通用、埃克森美孚、壳牌等百年老店平起平坐,成为一代商业巨擘。1990年到2000年的10年间,安然公司的销售收入从59亿美元上升到了1 008亿美元,净利润从2.02亿美元上升到了9.79亿美元,其股票成为众多证券评级机构的推荐对象,受到众多投资者的追捧,媒体也对安然公司宠爱有加。
安然公司的成功,即使是在美国这样敢于冒险、奇迹频发的国度,也绝对称得上商业神话。它吸引了无数羡慕的目光,也被众多希望“发财”的投资者寄予了厚望。然而,这一切在安然公司发表2001年第三季度亏损的财务报表后戛然而止,安然“帝国”的崩塌开始了。
在政府监管部门、媒体和市场的强大压力下,安然公司向美国证监会递交文件,承认做了假账,在1997年到2001年间共虚报利润5.86亿美元,并且未将巨额债务入账。国际市场的风云变幻又让安然公司在国债和原油市场上双双受挫,其企图通过兼并来摆脱困境的努力也同时落空。而证券评级机构又给了奄奄一息的安然一记重拳,仅仅15个月,安然公司的股价就从每股90.56美元跌至0.26美元,市值由峰值时的800亿美元跌至2亿美元。安然公司最终向法院申请了破产保护,破产清单中所列资产价值高达498亿美元,成了当时美国历史上最大的破产企业。
安然公司抓住政府放松能源管制的发展机会,通过大力发展金融衍生产品交易和电子商务使公司规模得以迅速扩大,然而,当美国经济陷入低速运行时,能源价格下降,网络经济泡沫破裂,股价下跌,其能源业务、金融衍生产品交易及电子商务都受到重大影响。面对这种情况,安然没有正视公司所面临的困境,而是选择通过不正当手段,继续“维持高增长”,继续制造泡沫神话。安然采取的方式是:利用资本重组,形成庞大而复杂的企业组织,通过错综复杂的关联交易虚构利润,利用财务制度上的漏洞隐藏债务。
安然事件还导致了安达信的解体。因为安达信被陪审团一致认为阻碍政府调查,被判罚款50万美元并禁止在五年内从事业务。从此,安然事件作为财务舞弊和审计失败的经典案例载入史册。
在美国,安然事件之后,上市公司和证券市场丑闻不断,特别是2002年6月的世界通信公司会计丑闻,2002年美国国会报告称其“彻底打击了投资者对资本市场的信心”。
在此背景之下,美国参议院银行委员会主席保罗·萨班斯(Paul Sarbanes)和众议院金融服务委员会(Committee on Financial Services)主席迈克·奥克斯利(Mike Oxley)联合提出了《2002年公众公司会计改革和投资者保护法案》,又称《萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》《1934年证券交易法》进行了大幅修订,在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。2002年7月26日,美国国会以绝对多数通过了这一关于会计和公司治理一揽子改革的法案。四天后,小布什总统在白宫签署了该法案,使其正式生效,并称“这是自罗斯福总统以来美国商界影响最为深远的改革法案”。
法案的第一句话:“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”法案中最重要的条款之一是404条款即内部控制的管理评估,也是最严厉、要求最高的条款。该条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告。上市公司的管理层和注册会计师都需要对企业的内部控制系统做出评价,注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见,CEO和CFO需要签署书面声明。显然,404条款对公司内部控制做出严格要求是为了使公众更易于察觉公司的欺诈行为,并确保公司财务报告的真实可靠性。
基于市场经济的共通性,以上事件及相关法案的出台引起了全球对公司治理、财务报告制度、注册会计师行业管理体制、注册会计师独立性等诸多问题的思考。世界各地纷纷对其展开研究、讨论并进行实践活动。为了大多数人的利益,有必要通过法律手段和行政手段,评价和完善内部管理体系,并让管理层签署责任状,写清楚“知道建立、实施和维护内部控制制度是本公司管理层的责任。本公司业已建立内部控制制度,并保证制度设计与执行的有效性。若内容有虚假、隐匿等不法情况,愿承担法律及经济责任”。内控为哪般
这些监管要求看上去可谓是兴师动众、劳民伤财,但如此费力为之原因何在?
首先我们来看看企业组织为什么存在。管理大师德鲁克曾说过:“顾客决定了企业是什么,顾客是企业存在的目的。”换言之,企业存在的价值在于满足顾客的需求。财务结果不是企业经营活动的全部结果和唯一的检验标准,企业的价值不止赚钱,还在于使命、责任、成长和创新。
其次我们来看看企业组织是如何存在的。基于社会分工,现代企业的投资人与管理者分离,投资人负责用钱生钱,管理者负责花钱办事。但管理者又面临管理跨度的约束,不可能直接管理几十个、几百个、几千个、几万个甚至更多的员工,于是管理者把员工按照一定的架构组织起来,让人管事,再让人管人,最终把事办好,把钱赚到。好坏企业的差别在于:一是投资回报率,投入同样多的资金或资源,能得到的投资回报不一样;二是存续时间,有的做成了百年老店,有的领三五年风骚,有的昙花一现;三是对人类的影响,有的引领了一个新的行业,有的改变了人类的生活方式,但有的却对人类生存环境造成了一定的破坏。
回到之前的问题上,我们为什么要花力气做内控?答案是:为了让企业组织活着,并且好好地、长久地活下去。具体从下面三个角度来看。[1]
一、从过程上保证财务报告的可靠性
在这一点上,内控和ISO质量体系的设计理念是相同的。从过程上保证结果的可期待性、可靠性,把每一步走踏实了,结果也不会差。若是不能保证每一个流程与控制点的合规性,即使结果是合格的,那可靠性也难以保证。做组织运营总不能撞大运,即便管理层愿意,投资人也不能接受。
举个例子,财务部门招聘出纳,除了要求有会计、财务、税务等专业技能之外,更要考虑职业素养这一软指标。
这个指标没有数字可以度量,也没有证书可以证明,但可以从几个方面来考虑,比如被招聘者在当地是不是有房有车,家境如何,遵纪守法的倾向如何。若其已在当地置业安家,那应当是相对稳定的;若其家境不错的话,可能对钱财就不太会有急迫的渴望,因生活压力铤而走险的可能性就低;若其遵纪守法,其违法乱纪的可能性就低。这就是对招聘过程的控制,以保证出纳人员符合出纳岗位的要求。当然除了对人员素质的要求之外,还应通过岗位职责的分离进行岗位之间的监督,通过审批流程的控制进行上下级之间的监管,综合保障出纳岗位的安全、高效。
一个岗位如此,一家企业同样如此,只不过更加综合、更加复杂而已。管理者通过对业务流程的分解与控制,把控经营管理活动的整个过程,使财务报告的结果真实、准确、可依赖。因为一时造假、一处造假容易,时时造假、处处造假很难,何况还得人人造假,这就难上加难了。这就是体制、机制的力量,也是制度的强大之处。
保证财务结果的可靠性,让管理者能检视经营管理的过程,让投资人、外部监管方能看到真实、准确的财务报告。一方面投资人可以准确判断所投资企业的价值,进行投资决策;另一方面管理者也可以根据财务报告及时调整企业的运营策略,以免出现虚构的繁荣大厦轰然倒塌的惊天逆转,给投资人造成巨大损失的同时,其不良影响也会殃及社会。
二、使企业遵守相关法律法规
现代社会是法治社会,我国的根本大法《中华人民共和国宪法》第五十三条指出:“中华人民共和国公民必须遵守宪法和法律,保守国家秘密,爱护公共财产,遵守劳动纪律,遵守公共秩序,尊重社会公德。”
同时,因为是法治社会,法律面前人人平等,大家都在遵守共同的行为规范,这是大家行为选择的基础。只有严格遵守这套规则,企业才能正常开展业务,否则连生存都成问题,还谈什么发展?
内部控制的目的在于保证企业遵守相关的法律法规,在法律法规规定的范围内运营。对企业影响比较多也比较大的法律有《公司法》《合同法》《劳动合同法》《物权法》以及各种税法及其相关的立法解释、司法解释,还有一些地方性法规条例等。这些法律法规规定了企业从生到死的全部过程。
要成立一家公司,需要到工商部门申请注册,遵从工商注册的一套法律法规。办好营业执照,还需自领取营业执照之日起30日内,向税务机关申报办理税务登记。若是不办理税务登记,会被责令限期改正;逾期不改正,经税务机关提请,由工商行政管理机关吊销营业执照,另外还可能被处以相应行政处罚。
在日常运营中,企业做生意总得开发票收款。若是非法印刷发票、非法购买增值税专用发票、购买伪造的增值税专用发票、虚开发票等,还得面临刑事处罚。要在规定的时间申报纳税,否则税务局不会放过你,工商部门也不会放过你,如果吊销营业执照,企业也就办不下去了。另外,企业还要遵守《劳动合同法》,才能雇用到所需要的员工;要遵守《合同法》,才能和生意伙伴顺利合作。
总之,要做正当生意,就得遵守法律法规,否则寸步难行。当然,以上是特别情形。正常情况下,企业都是遵纪守法的“好公民”,那种因为利益故意触犯法律的事件是极少出现的。现实中更多的是企业无意中触犯了法律,比如对法律法规的修订不了解;或者由于业务的拓展或改变,对新涉及的法律法规不了解;或者负责有关事务的人员换了,新接手的人不了解相关的法律法规;甚至有的企业只是因为疏忽而触犯了法律法规。
针对这些问题,内部控制活动提供了解决方案。应对不了解法律法规的风险,可以外聘法律顾问提供法务咨询,也可以由公司的法务部门定期就更新的法律法规提醒相关人员,还可以让相关人员参加相关的外部或内部知识培训。应对人员知识技能欠缺的风险,可以招聘有相关工作经验的人来负责相应岗位,做好工作交接,结合岗位进行知识和技能的训练。对重大的法律风险,应考虑多设置控制点,通过多级审核、交叉检查、系统防呆设置等来予以防范。
即使这些都没能把风险控制在可承受的范围内,也可以通过事后的补救措施来亡羊补牢,从而保证企业运行于法律法规允许的区间内,而不是走着走着就“失血”,或者不小心就“玩完”了。
三、提升运营的效率与效果,包括获利、绩效、资产安全等
企业除了要活着,还要活得长活得好。企业就像一棵棵大树,需要在社会丛林中争取到尽可能多的阳光、肥料和水分,只有尽快地成长,才能脱颖而出。
在台风盛行的夏天,时常会有这样的新闻:某某城市行道树倒伏,致多少多少损失。园林学里有个要求,树木之间要留足够的距离,才能保证树木的根扎得足够深,不至于被大风吹倒。
对人工栽培的行道树可以如此安排,若是在自然生长环境中,这些树木则只能靠自己的努力,生根发芽,充分利用自己的资源禀赋,或长得更高,或长得更壮,以求获得更多的阳光。
企业就如同这些树苗儿,内控便是成长控制系统。而控制的两个关键要素,一是效果,二是效率。
所谓效果,就是结果。内控的目标就是合理保证组织目标的实现,保障其获得运营的结果。
笔者一直认为,为内控而内控是小内控,是会把内控做死的内控;既站在战略管理的高度,又能从运营管理的角度出发,还能充分理解职能部门和管理层立场的内控才是大内控,是会越做越活、越做越好的内控。
所谓风险防范无非也是为了保证组织运营的成果,不要让老鼠偷走了奶酪,窃取了劳动果实。
除了效果,还要求效率。所谓效率,就是投入产出比。同样的10 000元钱投进去,有的企业可以在1年时间里赚回1 000元,有的只能在3年里获得100元的额外收益,有的还可能连老本都赔进去。按照政治经济学的观点,企业的生产效率要高于社会平均的生产效率,才能赚取利润。市场化组织还需要更快地赚取利润,比如“非行业前三名不做”,道理亦然。做大做强,大者通吃,强者通吃。
当然在我国的内控理论研究中,人们还赋予了内控更多的目的,如绩效考核、资产安全等。《企业内部控制基本规范》提出的内部控制的目标是,合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
别的不多说,在实际应用中,内控还是管人理事的好工具、好渠道。在古典文学中,昏君奸臣、明君贤臣不胜枚举,而在近代企业管理中,英明和糊涂的管理者也数不胜数。有的人年轻时英明神武,老了倒昏庸无能、偏听偏信了。这里面固然有“人”这个主体自身的变化,更主要的原因是没有相应完善的内控、切实可信的数据可依赖,从上到下都没有养成根据数据做判断的习惯。
记得有一阵子一个朋友一直跟笔者说,他们的上司A十分糊涂,偏听偏信到了令人发指的地步。他的上司B和上司的上司A同时得到了晋升。姑且称我的朋友为C,而他的下属们是D。晋升前,自上而下是A-BCD,晋升后,就变成了A-B-CD。之前因为管理层级不多,管理幅度也不大,并且办公地点相近,所以A对他们这些下属BCD们即使不能说了如指掌,起码谁几斤几两大概还是清楚的。后来因为组织架构的改变,增加了一个管理层级,管理幅度也增大了。渐渐地,按我朋友的说法是B挟势弄权,而A则偏听偏信。于是乎,才半年时间,部门的风气日下,员工们开始怨声载道,踏实肯干、团结互助的好员工开始慢慢学会了怎么推诿、怎么拖沓、又该怎么“表现”。而A治下的其他部门的人也渐渐有样学样。
表面上看,是人的问题。一是B本身人品有问题,升任主管以后慢慢地开始暴露;二是A偏听偏信,太相信B。实际上,出现这种情况归根到底是因为内控没做好。一是该部门的内控没做好。信息的沟通渠道设置不当,内部作业信息的收集不当。谁做了什么,什么时间完成的,完成质量如何,全部靠人工收集,并且沟通路径太依赖B到A,这就给了B太大的自由空间。二是人力资源方面的内控没做好。接班人计划不完备,培训内容安排不周,新任主管的任职跟踪不到位。人力资源部门对接班人的选择与任用标准不全面,对新任的主管人员A和B均没有进行充分的培训,上任后也没有及时跟踪新任主管的任职情况。
理论上说,在这个例子里,若能把部门的内控和人力资源方面的内控都完善起来,养成依靠数据做判断的习惯,很有可能就不会出现上述问题了。这个例子表明,通过内控可以将管人理事这种复杂的事情分解开来,并落实到操作上。
内控就是通过这些微观的细节管理,得到想要的经营效果和效率,保证每一个环节的顺利推进。如此一来,企业便可以顺利地从一株小树苗长成参天大树,屹立在社会丛林中,成为社会生态系统的枝干,同时又会影响和改变社会生态系统。
[1].可靠性,英文是reliability或dependability,英文解释是“the quality of being dependable or reliable”,通常用百分比来度量。第二章内控的前世今生内控的历史扫描
国际
近代公司存在于15世纪末到19世纪下半叶,也就是封建制度逐步解体,资本主义迅速发展的时期。15世纪末,随着新航线的开通和美洲大陆的发现,大西洋沿岸国家的商业贸易空前繁荣,加速了封建制度的解体。英法等国先后爆发了资产阶级革命,资本主义生产关系逐步生长,各国相继进入资本的原始积累阶段。继资产阶级革命之后又发生了“产业革命”,机器大工业取代工场手工业,为资本主义制度的确立提供了技术保障,也为商品经济的发展奠定了物质基础。为适应商品经济发展的需要,公司这种企业组织形式迅速发展起来,并逐步走向成熟。
从制度经济学的角度来看,交易成本的存在促使公司这样的组织形式得以出现,以便以低组织成本来替代高交易成本。所以,所有公司都有降低公司组织成本的原始冲动,由此出现了职能分工和制度流程。内部控制的出现,也是本着阻止风险的考虑。
但是内部控制作为一个专用名词和完整概念,直到20世纪30年代才被人们提出、认识和接受。其实,在此前的人类社会发展史中,早已存在着内部控制的基本思想和初级形式。
内控的实践最早可以追溯到公元前3 600年前的美索不达米亚文化时期,当时经手钱财的人要把付出的款项列出付款清单,并由记录员将这些清单汇总报告,在汇总报告时,记录员要在付款清单上打上点、钩、圈等核对符号,表明账目检查工作已经完成。公元前600年左右,古埃及建立了记录官、出纳官和监督官的三官牵制制度。古希腊时期对官吏的审查非常严格,官吏上任前要接受资格审查,任职期间要接受对其称职与否的信任投票,任期结束要接受卸任审查,即对其经手的钱财进行稽考交接。古罗马采用“双人记账制”,每一笔财产收付都由两个记账员同时记载,定期或不定期进行核对。
15世纪末,随着资本主义经济的初步发展与会计体系的成熟,内部牵制也发展到了一个新的阶段。以意大利出现的复式记账法为标志,内部牵制渐趋成熟,它以账目间的主要内容为依据并实施一定程度的岗位分离,在当时被认为是确保财产和账目正确无误的一种理想控制方法。
18世纪英国工业革命爆发后,出现了工厂这一新的组织形式。组织规模的扩大及内部结构的复杂性,要求工厂采用新的科学管理方法。美国一些企业逐渐摸索出一些组织、协调、制约和检查企业生产经营活动的方法,建立了内部牵制制度,规定有关经济业务处理的全过程不能由一个人或一个部门统揽。
作为现代内部控制雏形的内部牵制,是在当时生产规模较小和管理理论比较原始的条件下,总结以往的经验,并在实践的基础上逐渐形成的,主要以查错防弊为目的,以钱、账、物等会计事项为主要控制对象,以职务分离和核对账目为控制手段。内部牵制在现代内控理论中仍然占有重要地位,成为组织结构控制、职务分离控制的基础。
20世纪30年代,世界性经济危机爆发,许多企业为求生存,免遭破产的厄运,不得不加强了对生产经营过程的控制与监督,企业的内部控制开始超越会计及财务范畴,深入企业生产管理各部门及各环节,如生产标准、质量管理、统计分析和员工培训等方面。
1934年,美国颁布了《证券交易法》,率先提出了内部会计控制的概念,要求证券发行人设计并维护一套内部会计控制,作为抑制经济危机中虚假会计信息泛滥的措施之一。内部会计控制包括:交易依据管理部门的一般和特殊授权进行,交易记录必须满足依据公认会计准则或其他适当标准编制财务和经管责任的需要,接触资产必须经过一般和特殊授权,一定的时间间隔后,要将财产的账面记录与实物资产进行核对,并对差异采取适当的补救措施。
1949年,美国注册会计师协会所属的审计程序委员会在“内部控制:一种协调制度要素及其对管理当局和独立审计人员的重要性”的报告中,第一次正式给出了内部控制的定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”该报告是从企业管理的角度来定位内部控制的,内容上不局限于与会计和财务部门直接有关的控制,还包括预算控制、成本控制、定期报告、统计分析、培训计划、内部审计以及技术与其他领域的活动。
1973—1976年,美国政府、立法机构和规章制定部门开始密切关注内部控制问题。美国国会于1977年颁布了《反国外贿赂法》。该法案要求公司对外报告的披露者设计一个内部会计控制系统,并维持其有效性。公司管理层对内部控制的健全性负有特殊责任,要设置账簿记录和账户,以便正确、适当地反映资产的交易和处置,保证内部会计控制系统的充分有效性。该法案还规定,企业若达不到美国审计准则委员会提出的内部控制目标,可被罚款1万美元,责任者被处以5年以下监禁。《反国外贿赂法》被认为是内控发展史上的又一座重要的里程碑。它第一次强制性地将内控制度纳入法律管辖的范畴,使内控得到了广泛的重视。上市公司扩大了其内部审计职责,并更加密切地关注内控系统建设。
20世纪80年代到90年代初,内部控制进入内控结构阶段。在这一阶段,内控由偏重研究具体的控制程序和方法发展成为对内控系统全方位的研究,其突出的变化是日益重视对控制环境的研究。对内部控制的研究也逐步从一般含义向具体内容深化,学者们认为内部会计控制与内部管理控制是不可分割的,是相互影响、相互联系的。1988年4月,美国注册会计师协会发布的审计准则公告第55号《财务报表审计中对内部控制结构的考虑》中,用“内部控制结构”取代了原有的“内部控制”,不再区分内部会计控制和内部管理控制,而是确立了内部控制结构,指出“内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序”,明确了内部控制结构包括控制环境、会计系统和控制程序三个要素。
其中,控制环境是内部控制结构的基础和前提,会计系统是内部控制结构的关键要素,控制程序是保证内部控制结构有效运行的机制。内部控制结构这一概念特别强调了控制环境的重要作用,包括管理者对内部控制的态度、认识和行为等。内部控制结构的提出,适应了经济发展和企业经营管理的需要,同时得到了会计界和审计界的广泛认可。内部控制取得了两大重要突破:一是正式将控制环境纳入内部控制范畴,不再将控制环境作为内部控制的外部因素看待,而是强调控制环境是充分有效的内部控制体系得以建立和运行的基础和保证;二是不再区分会计控制与管理控制,而统一以要素来表述内部控制,由三个要素构成内部控制结构,实现了内部控制由零散到系统的转变和提升,反映了内部控制的性质。
进入20世纪90年代以后,世界经济变得越来越复杂与动荡,舞弊案件开始不断出现并引起人们的关注,反舞弊的呼声开始高涨并引起共鸣,对于内部控制的研究也因此进入一个新的阶段。
1992年9月,COSO(Committee of Sponsoring Organization)发布了指导内部控制实践的纲领性文件《内部控制——整合框架》(COSO报告)。COSO报告指出:“内部控制是由企业董事会、管理层和其他员工实施的,旨在为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。”COSO报告提出了内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等五个相互独立又相互联系的要素构成。
COSO报告是内部控制发展史上的又一座重要里程碑,其提出的观点备受业内推崇,成为世界通行的内部控制权威标准,被国际组织和众多国家审计准则制定机构、银行监管机构及企业界所采纳。美国注册会计师协会宣布全面接受COSO报告的内部控制框架,并从1997年1月起取代1988年发布的《审计准则公告第55号》。
2001年以来,美国的安然、世界通信、施乐等公司财务舞弊案相继爆发,不但重创了美国资本市场及经济,同时也集中暴露出了美国公司在内部控制上存在的问题,如管理层越权、缺乏职责分离、透明度不足、董事会监督无效,以及存在会导致职能失调、渎职行为的薪酬结构失衡等。2002年7月,美国国会通过了著名的《萨班斯-奥克斯利法案》。该法案的第404条款明确规定,公司管理层需要对财务报告内部控制的有效性进行报告和评价,独立会计师要对管理层提供的内部控制评价报告进行鉴证。因此,该条款成了最“昂贵”的法律条款。该法案不仅明确了公司的首席执行官和首席财务官对内部控制负直接责任,并将承担经济与刑事后果,而且大幅度提高了对会计舞弊的处罚力度,强化了对内部审计与外部审计的监管。该法案也是美国政府制定的少有的涉及范围广、处罚措施严厉的公司法律。
2004年9月,COSO结合《萨班斯-奥克斯利法案》的具体要求,在内部控制整合框架概念的基础上,提出了《企业风险管理——整合框架》(ERM框架),使内控进入了一个新的发展阶段。ERM框架将内部控制融入风险管理,形成了一套更为健全的概念体系与管理依据,强调内部控制的持续有效性。
近年来,国际商业环境与经济形势发生了深刻变化,以互联网为代表的信息技术的广泛运用使组织的运营模式和管理方法发生了重大变革,经济全球化与金融危机的爆发促使管理者、投资者、监管部门和其他利益相关者迫切需要利用科学有效的内部控制框架识别、应对和控制风险,防止欺诈行为的发生,减小大规模爆发金融危机的可能性。COSO在2013年5月正式发布了新版的《内部控制——整合框架》(2013)。新框架延续并保留了内部控制的核心概念、内部控制五大核心要素和内部控制有效性的评价标准。
2016年,COSO又公布了针对2004年ERM框架的修改草案,草案全称为《企业风险管理——通过策略与绩效调整风险》。草案认为企业风险管理是“组织在创造、维护和实现价值的过程中,进行风险管理时所依赖的与战略和执行紧密结合的文化、能力和实践”。此定义与2004年COSO-ERM框架迥异,更强调文化、能力和价值创造的实践。新框架由23条原则支撑五要素,五个要素分别是:风险治理与文化,风险、策略与目标制定,执行中的风险,风险信息、沟通与报告,监测ERM的绩效。对比2004年的旧版,新版改动较大,包括双向性的风险定义,风险管理在战略选择中的决定作用,全面风险管理框架的新结构,弃用了熟悉的“立方体”结构。新框架旗帜鲜明地提出风险管理与内控的关系,并指出COSO在2013年版涵盖的五大单元和17项原则的内部控制框架,并不会被新框架所取代。但是全面风险管理涵盖了比内控更多的内容,内控是全面风险管理的不可分割的子集。
其实,除了美国的COSO框架,关于内部控制,还存在其他框架。比如,在加拿大出现过COCO框架。与COSO框架所采用的基于独立审计的内控观不同,该框架采用基于公司治理和管理活动的内控观,以适应内控概念的拓展和内控实务的复杂化,以及由此导致的内控与管理活动之间的界限越来越模糊,内控逐渐往管理方向靠拢的管理现状。但正如加拿大COCO委员会前任主席迈克尔·冈恩斯所言,由于美国COSO内控框架在全球内部控制领域的领先地位,加上COCO内控框架的实践指导性不强,且没有强制内控审计的制度安排,COCO内控框架正逐渐走向衰退。
从内部控制产生与发展的历史进程我们可以看到,人们对内控的认识经历了一个从部分到整体、从简单到复杂、从单一目标到多个目标、从零散到系统的不断发展与完善的过程,也是一个跟随企业管理的发展变化而不断成熟完善的过程。内控是扎根于企业管理实践的一门实践性学科。
国内
在我国,最早的内部控制制度起源于西周时期,体现在统治者对政权的控制中。西周时期实施了分权控制和九府出纳方法。西周的财务、行政、会计、国库组织各自成系统,并在其间形成相互牵制的关系,司会主天下之大计,九府出纳制度使各个出纳部门责任清楚,分工明确,控制着整个王朝的财物收支活动,而九府又统归司会控制,使王朝的财物出纳保管权都集中在司会的控制之下,宰夫则行稽查之权。西周出现了上计制度的萌芽,每年各地的官吏将地方上的税赋收入和各项财政收入,用书面的形式呈报给皇帝,皇帝则每年进行一次听计,由负责审计的官员将各地报来的收支账目念给皇帝听,以此审查官员的经管责任。到了秦代,则实行严密的上计制度和御史监察制度,这两种制度是控制社会经济和政治发展的重要监督制度。宋朝时期则规定“主库吏三年一易”,也就是主管仓库的官员必须每三年更换一次,这相当于现代的岗位轮换制度。
虽然我国内部控制思想和实践起步较早,但后期发展比较曲折,未能与现代企业内部控制发展历程相对接。我国企业内控相关规范建设开始于改革开放之后,随着经济发展而迅速发展、完善,逐步系统化、体系化。
20世纪90年代后期,由于会计信息失真严重、经济犯罪案件频发、市场竞争激烈、企业效益不高、经营风险增加等原因,政府主管部门加强了对单位内控制度建设的关注,财政部、证监会、中国人民银行、国资委、审计署、银监会、保监会等部门先后制定和发布了一系列有关内部控制的法规和规章制度,对建立并完善内控制度发挥了重要的作用。
与美国相类似,我国的内控建设也是发端于内部会计控制,经由外部审计予以加强。最早的内控规范多数是从内部会计控制提出要求,而后发展为对整个企业内部控制提出要求,并要求注册会计师对企业的内部控制进行评价,注册会计师的审计服务对加强企业内部控制具有审核和指导作用。
从行业来看,我国现代企业内部控制规制的范围主要集中在银行业。主要是因为银行业本就是一个高风险的行业,而且分支机构遍布全国甚至全球,又涉及广大客户的资产安全,内控稍有不慎,就会造成无法预料的损失。而随着证券市场的迅猛发展,上市公司内控又成为我国企业内控关注的焦点。
在很长一段时间内,不同的政府部门或机构根据其管理权限各自颁布了不同的内控指导原则、指引、规范,这些不同的内控规范形式多样、标准不一,对内控概念的界定、控制目标的确立、应遵循的控制原则、内部控制要素的构成等内容均有不同的解释和规定,这样不利于构建统一的企业内控规范体系。其更多是从重点行业和重点企业,如银行业、证券业、期货经纪行业、上市公司、中央企业等角度,原则性地提出内控标准,并未下沉到操作层面。没有统一的标准,没有统筹负责的机构来推动,既有的控制标准也无法有效地贯彻落实,因此,大家都在呼唤一套统一、完整的内控框架。
2008年5月22日,在原有内控原则的指导下,在国内企业内控实践的基础上,财政部、证监会、审计署、银监会、保监会五部委联合发布了我国第一部《企业内部控制基本规范》,要求自2009年7月1日起在上市公司范围内执行,并且鼓励非上市的其他大中型企业执行。《企业内部控制基本规范》的颁布,是我国内部控制体系建设的重大突破,标志着我国内部控制体系建设取得了重大的阶段性成果。
2010年4月26日,财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制配套指引》,包括《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》,规定自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行,并择机在中小板和创业板上市的公司施行,同时也鼓励非上市大中型企业提前执行。执行内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告中有关内部控制的有效性进行审计,出具审计报告。
我国企业的内控发展用短短的几十年走完了西方国家两三百年的发展历程(见图2-1)。虽然我国的内控理论和实践研究发展得还不充分,但我国的经济发展与企业发展为内控研究提供了坚实的基础和丰富的素材,相信我们将会开拓内控理论研究的新领域,拥有内控实践研究的新天地。图2-1 中外内部控制发展的里程碑
内控历史总结
对内控历史的梳理给了我们以下三点启示。
1.内控发端于工业革命,发展于20世纪,盛行于21世纪。从工业革命开始,社会生产力提升迅猛,促使社会分工进一步深化,从而促进了现代意义上的内部控制的产生。而20世纪的经济危机、金融危机对市场中的组织主体产生了现实的生存压力,同时也给内部控制提供了进一步展示自己的机会。伴随着内控实践在全球的普遍推行,再配以相应的理论研究,内部控制在21世纪开始盛行起来,广为职场中人所熟知。
2.内控是随着政治、经济和社会的发展而发展的,非独立存在,也非发展的推动性力量。但这并不是说内控就没有了存在的意义,从过往的发展历程看,内控是不可或缺的,并且随着社会分工的进一步细化变得越发重要。将来也会如此,即使是在AI时代,内部控制的范围、领域、技术等也许会跟现在大相径庭,但其目标、原理以及思维模式还是不会变的。
3.内控已然是个大概念,贯穿于组织运营的始终,涉及社会的各个方面。从内部牵制、内部会计控制、内部控制到企业风险管理,再到内控整合框架,内控的疆域越发宽广,从局部到全局,从一维到多维,由线到面再到体,应用的范围也从作为市场主体的企业组织拓展到了非营利组织、政府部门等。内控的定义
因为各个国家的管理环境不一,不同国家对内控有着不同的认识和理解,对于内控的定义,国内外有多种表述,主要包括:美国COSO委员会的定义、美国上市公司会计监督委员会的定义、英国特恩布尔委员会的定义以及中国《企业内部控制基本规范》中的定义。
内控的第一个正式概念是1949年美国会计师协会(AIA,现在的美国注册会计师协会,AICPA)的审计程序委员会在“内部控制:一种协调制度要素及其对管理当局和独立审计人员的重要性”中提出的,具体表述为:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策”。
1992年,COSO委员会提出《内部控制——整合框架》,将内部控制定义为:“内部控制是受企业董事会、管理层和其他职员共同作用,为实现经营效率和效果、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”1994年,该委员会又对该框架进行了增补。2013年版COSO框架中对内控的定义是:“内部控制是一套由组织的董事会、管理层和其他员工全员参与的流程,为组织实现运营、财务报告和遵循性目标提供合理保证。”
1996年美国注册会计师协会发布了《审计准则公告第78号》(SAS 78),全面接受COSO报告的内容。新准则还将内部控制划分为五大要素,分别是控制环境、风险评估、控制活动、信息与沟通、监督。
此外,美国上市公司会计监督委员会(PCAOB)也从财务报告形成过程的角度对内部控制做出了定义。在英国,特恩布尔委员会为上市公司执行《综合守则》规定的内部控制原则提供指南,认为内部控制的主要组成部分包括为企业的有效运营创造辅助条件,使企业有能力对阻碍目标实现的重大风险做出反应,另外,还应能确保对内和对外报告的质量,确保法律及企业内部有关业务开展的条例得到遵守。
在我国,财政部、证监会、审计署、银监会和保监会于2008年联合发布的《企业内部控制基本规范》将内部控制定义为由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。《企业内部控制基本规范》在实践中的应用范围包括三类企业,第一类是上市公司,其必须实施。第二类是国有企业。按国资委出台的风险管理指引要求,国有企业要全面贯彻风险管理,而风险管理和内部控制是相通的,最终落脚到内部控制,所以对国有企业来说,内部控制也是必须开展的。第三类是非上市的民营企业,在执行上有较大的自由度。
目前,内控的定义方式有两种,一种是从控制要素的角度进行阐述,另一种则是从原则的角度进行阐述,并且存在由要素向原则转变的趋势。但在现阶段,还是采用要素与原则相结合的方式来定义的,原则是要素下的原则。一如2016版风险管理框架虽然放弃了经典的立方体结构,但仍然采用23条原则支撑五大要素(详情参见第八章内控工具箱的COSO框架)。定义的解读
全员
内部控制是一种全员控制,强调企业全体员工共同参与,人人有责。全员共同参与的内控才是真正的内控,其不单是上级对下级的控制,也不单是对某个部门或某个职能的控制。上至董事长,下至基层岗位的一般员工都是内部控制的主体,只是不同层级的人员或机构,在企业的内部控制中的地位和承担的职责有所不同。
董事会作为企业最高决策机构,负责内部控制的建立、健全和有效实施;监事会作为企业监督机构,监督企业董事和其他高级管理人员依法履行职责的过程,对董事会建立与实施的内部控制进行监督;经理层作为企业的执行机构,是企业内部控制的直接负责人,负责组织领导企业内部控制的日常运行;全体员工都应当强化现代管理理念,增强风险意识,发扬主人翁精神,积极参与内部控制的建立与实施,并主动承担相应的责任。
内部控制的目的是帮助企业实现组织目标,内部控制的对象是风险。内部控制的实质是对风险的控制,是以风险为导向的控制,风险是内部控制的出发点,同时也是内部控制的落脚点。企业发展过程中,会面对各种各样的风险。这些风险并不是独立存在的,而是存在于企业各个层级和各项业务流程之中的,因此有效的风险控制需要嵌入企业的各个层面和各个部门,与企业的各项业务活动、管理流程相衔接。内控覆盖的范围十分广泛,涵盖企业所有事务,涉及各个层级、各个环节。
不仅是管理层、内部审计机构或董事会,组织中的每个人都对内部控制负有责任。基层员工不能与管理层对立,被动地执行内部控制。企业全体员工应当团结一致,主动维护和完善企业的内部控制。
若把内部控制看作一张网,每个岗位、每个人都是这张网上的一个结点。只有每一个结点牢固了,并以合适的方式连缀起来,才能成为一张真正牢不可破的网。
全过程
相对于结果,内控更关注过程。内控不是一套静态的管理制度,也不是某个一成不变的控制措施,而是动态的管理过程。要在明确控制目标的基础上,识别出影响目标实现的有关风险,并找出关键控制点,进而围绕这些关键控制点制定相应的控制措施并实施这些控制措施,对相关运行情况进行监督与评价,根据发现的问题进一步完善相应的控制措施。
现在,企业生存环境瞬息万变,企业的内控也是一个随着内外部环境的变化而不断发展变化、在运行中不断完善与夯实的动态过程。其只有起点,没有终点,永远在路上。
内控涉及所有的过程与环节。在内部控制中,没有哪个环节是可有可无的,也没有哪个环节不存在风险。实际上,正是一些不起眼的地方最容易出纰漏。所以,内部控制必须覆盖组织运营的所有环节、所有过程,一个都不能少。
笔者曾经供职于一家制造型工厂,当时经济形势一片大好,市场供需两旺,商品如是,人员亦然。工厂每天进进出出的操作工很多,高峰时一天有几百人甚至上千人,人员流动性也很强,有的人甚至第一天入职,第二天就离职走了。人力资源部门由于人手不够难以应付这样的工作量,就把工资卡的发放工作交给用人部门来负责。其中有个部门的负责人就利用这一点,留置在短期内入职后又离职的新员工的工资卡,并且虚报工时,冒领工资。
内控不仅涉及所有的过程与环节,还涉及这些过程与环节的所有阶段,包括事前、事中、事后。事前控制,就是所谓的“关口前移,预防在先”。事前控制是一种预防性控制,控制者事先通过调查研究,预测风险点及其发生概率,设计预防措施、关键控制点与保护性措施。事中控制是指控制者在实际执行有关控制目标或标准的过程中,及时获得实际状况的信息反馈,以及时发现问题、解决问题。事后控制则是指控制者在实际行动发生以后,分析、比较实际业绩与控制目标或标准之间的差异,然后采取相应的措施防错纠偏,并给予造成差错者以适当的处罚。这三个阶段对内控实施而言都是必不可少的。随着科学技术的进步,模拟预测能力和实时监控能力大大提升,现在的内部控制越发向事前控制和事中控制偏移,力争把问题扼杀在萌芽之前,即种子阶段。
总之,内控不是一项制度或者规定,而是一个不断发现新问题、解决新问题的循环往复的过程,是一个持续的动态过程。
组织目标
组织目标是组织完成使命和践行宗旨的载体,是随着环境、时间以及条件变化不断调整的一张“列车时刻表”。它是组织争取达到的一种未来状态,是开展各项组织活动的依据和动力。每一个组织都有自己预期的发展目的或结果,代表一个组织的方向和未来。对组织来说,宗旨是共同目标;对组织成员来说,共同目标是不同阶段需要到达的目的地。
不同组织有不同的目标,组织目标是识别组织的性质、类别和职能的基本标志,对组织的全部活动起指导和制约作用。组织目标具有差异性、多元性、层次性和时间性。
组织目标为组织的前进指明了方向,也为组织的活动确定了发展路线。确定目标是组织制定战略、计划和其他各项工作安排的基础,把笼统的目的化为具体的目标,更有可能实现预期的效益。对管理者来说,目标就好比路标,它指明了组织努力的方向,确定了组织应在哪些领域取得何种成就。
组织必须有一个明确的、贯穿于各项活动的统一目标,这一统一目标通常由若干子目标支持,构成一个目标体系,具有层次结构。例如,一家企业的总体目标要包括:保持一定的利润率和投资回收率,保持开发专利产品的重点研究,使产品占有国外市场,保证高档产品的竞争价格,占据本行业的竞争优势地位等。各个层次的目标相互联系、相互制约,共同反映组织的整体特征。与此同时,目标在反映组织状态的特征方面也不是等同的,而是有主有次。
组织目标是一个体系,它由总的战略目标、长期目标、中期目标和短期目标组成,每种目标的产生和作用都不相同,但是目标与目标之间要保持整体性、一致性。
内控要合理保证企业实现组织目标,这是内控的终极目标。内控要把企业的短期利益与长远利益结合起来,确保企业经营管理符合战略要求,有利于提升可持续发展能力和创造长久价值。
一方面要确保企业能够制定科学合理的战略目标。企业应该根据外部环境和内部机构的变化不断调整,确保战略目标始终指向组织的宗旨,并且将风险控制在组织的风险容忍度之内。另一方面也要采取切实可行的措施来保证企业发展战略的有效实施。要在将战略目标按阶段和内容分解为具体经营目标的过程中,保证目标体系的一致性,使组织、人员、流程与基础结构相协调,要为经营活动制定可计量的基准并对目标的实现情况进行绩效考评。
简言之,组织目标就是内部控制活动的目标,推行内控的目的就是为组织目标的实现提供合理保证。
内控提供合理保证
内部控制无论设计与执行得多么完善,都只能向董事会和管理层提供实现企业目标的合理保证,而非绝对保证。原因有以下几点。
首先,受成本效益原则的制约,当建立和实施内控措施的成本大于风险可能造成的损失时,加强内控得不偿失,反之则进行内控是有价值的。但对于成本或效益的权衡,更多地基于决策者的主观判断。这就使得内控的设置与否依托于决策者的决策质量,主观判断的失误会使必要的控制未能实施,可能造成更大的损失。尤其是小企业或风险偏好型企业,其内控受成本因素制约的现象更严重,而这恰恰是风险发生可能性高且后果严重的领域。
其次,内控制度通常是针对经常发生的或者具有共通性的事务而设置的,具有相对稳定性。但是企业生存的环境是在不断变化的,发生非常规的或未预料到的例外事件是常有的事,甚至随着经营战略的调整或兼并重组或增设新的部门、新的分/子公司等,现有的内控可能会无法全面覆盖或失效,从而降低甚至失去应有的控制力。若不能随着经营环境的变化及时修订、补充和完善相关制度,内控就难以发挥应有的作用。
何况,内控是由人来设计和执行的,设计人员因其知识和经验的限制可能会使内控存在先天缺陷,即使设计完善的内控,也可能因执行人员缺乏控制意识、出现错误的理解和判断、疏忽大意、精力分散等原因而失效。
另外,内部控制有其固有局限性,就算内控的设计和执行都没有问题,也会因串通和合谋,尤其是不相容职务的混同而失效。因为内控本质上是通过岗位的相互分离,在一定程度上避免或防止一个人或一个部门单独从事和隐瞒不合规的行为,因此再严密的内控措施都会因串通而失去控制作用。例如,记账的会计人员和负责钱款进出的出纳人员合谋贪污、仓库保管员与财产记录或核对人员串通造假、关键岗位的员工与供应商或顾客合谋造假等。
内部控制涉及企业中所有层级、所有人员,处于不同层级的人员或部门在内部控制系统中可能拥有大小不等的业务处理与决定权限,也就是说,任何控制程序都不能完全阻止那些负责监督控制的管理人员滥用或不正当行使职权的行为。超越职责权限会打乱正常的内控程序和业务流程,为徇私舞弊、违法乱纪行为的发生埋下隐患,如果高级管理人员凌驾于内控之上,那么造成的危害会更大。高级管理层是内部控制体系的设计者和执行的管理者与监督者,一旦超越内控设定的权限,控制程序就难以阻止其行为,导致控制程序失效。实践中,高级管理层越权往往是重大舞弊案件或虚假财务报告发生的重要原因。
试读结束[说明:试读内容隐藏了图片]