第一节 内部控制的概念及特征

内部控制(internal control)是一个非常重要的管理术语,是现代企业管理的重要手段,是促进企业实现战略目标和经营计划的必要因素。英文“control”,不仅意指控制,还有管理、核实、检验、限制、支配、监督、指导等含义。内部控制即规范与监督企业的生产经营活动,使之有效率、有效果,以便完成既定目标。内部控制有效与否,直接关系到企业的兴衰成败。自安然、世通等财务丑闻曝光以来,美国、澳大利亚、日本和欧盟等国家或地区的组织,相继颁布法规[1],从立法角度强化了企业内部控制建设的责任。然而现实中,人们对内部控制概念及特征的认识和理解还有很多误区,从而限制了内部控制建设的成效。

一、内部控制的概念

1992年之前,人们对内部控制存在多种解释。从审计视角来看,内部控制是保证财务报告可靠性的手段和方法;从管理者视角来看,内部控制是保证企业经营效率和目标实现的管制活动;从股东和其他利益相关者的角度来看,内部控制是为了解决代理人的道德风险与逆向选择问题而建立的一套监督和制衡制度,即公司治理(张先治等,2011)。为了整合多种内部控制的概念和解释,1992年,美国“反欺诈财务报告委员会”(National Commission on Fraudulent Reporting)成立了专门的内部控制研究委员会(Committee of Sponsoring Organizations of the Tread-way Commission,COSO)。COSO自成立以来,长期在内部控制、风险管理和舞弊防范领域提供先进的思想理念与应用指引。1992年9月,CO-SO发布了《内部控制——整合框架》(Internal Control-Integrated Framework),即影响深远的COSO报告。该报告指出:内部控制是由企业董事会、经理层和其他员工实施的,为运营的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。2004年9月,COSO根据《SOX法案》的要求,修订了原报告的内容,发布了整合后的《企业风险管理——整合框架》(Enterprise Risk Management:Integrated Framework,ERM)。报告认为企业风险管理是一个过程,受企业董事会、经理层和其他员工的影响,包括内部控制及其在战略管理和整个公司活动中的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。2013年5月,COSO对其1992年的《内部控制——整合框架》进行了修订,发布《内部控制——整合框架(2013)》。修订后的新框架将内部控制定义为:由一个主体的董事会、管理层和其他员工实施的,旨在为实现运营、报告和合规目标提供合理保证的过程。

我国2008年5月发布的《企业内部控制基本规范》将内部控制定义为:由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。

二、内部控制的特征

从上述内部控制的定义,我们可以看出内部控制具有以下特征:

(1)内部控制是一个动态的过程,是为实现企业目标而实施控制活动的过程,包括持续的任务和活动,是达到目标的手段。内部控制过程涉及事前、事中和事后,覆盖决策、执行和监督等全过程。

(2)内部控制不是单纯的政策、制度、流程和表单,而是由目标、要素及原则等构成的完整框架,强调对制度及流程的执行过程和效率效果。内部控制是一项全面的风险管理活动,涉及全员、全方位和全过程,覆盖企业整体层面、业务单元及处理流程、业务或地区分部及子公司等各个层面。因此,内部控制建设绝不等同于制度建设,而是要建立健全有效的内部控制框架。

(3)内部控制的主体是全体员工,而不仅仅是经理层的控制,更不等同于会计控制,上至董事会、监事会、经理层,下至普通员工,各部门、各岗位都是实施控制活动的主体。当然,董事会对内部控制的建立健全和有效性承担最终责任。

(4)内部控制已从制约理念提升为可持续发展理念,内部控制的目标不是仅仅预防差错和舞弊,而是由合规性目标、报告目标、资产目标、运营目标及战略目标等构成的一个多目标管控体系。预防差错和舞弊是较低层面的控制目标,已经融入其他几类目标之中,没有必要单独提出。内部控制的最高目标是促进公司实现发展战略和可持续发展,打造百年老字号的优秀企业。

(5)内部控制只能提供一种合理保证,不能提供绝对保证。任何组织的内部控制体系都存在局限性,没有人能够对不确定性和风险事件进行绝对准确的预测,追求绝对保证是不切实际的。目标设定不适当、员工串通、管理层凌驾、人员素质低、职业判断失误、成本效益低、外部环境变化莫测等都可能导致内部控制失效。

(6)内部控制的对象是风险,而不是普通员工,员工是内部控制的主体。风险是影响目标实现的不确定性,是经济活动在实际结果产生之前可能出现的各种结果及其概率分布的组合。

(7)内部控制是由人设计和实施的,内部控制的核心是人,人的素质及其具体行动直接影响内部控制的有效性。每位员工都有特定的背景、操守、能力和需求,企业每天都可能面临各种问题,而相关人员可能无法完全理解这些问题的本质,对事件重要性的认识和采取的具体行动也有差异。这些个体差异如果不能正确地与组织的目标协调一致,将直接影响内部控制的有效性。内部控制的最高境界是“无为而治”,如果每一位员工都能做到业务能力足够强,个人道德和修养非常好,责任感和使命感异常坚定,与企业同呼吸、共命运,达到“人企合一”,就不需要内部控制了,管理者也就非常轻松了。企业应重视人力资源、社会责任、企业文化等软环境建设,积极培育以人为本的管理理念。高层管理人员应建立恰当的高层基调,强调内部控制和行为准则的重要性,带头垂范,以身作则。

(8)内部控制的定义具有普遍适用性和灵活性。内部控制的定义被设计得很宽泛是因为:一方面,它必须具有普遍适用性,适用于任何类别、任何行业或地区的任何组织,能为主体设计、实施和执行内部控制,以及开展内部控制有效性评价提供基本的概念支撑;另一方面,它必须具有灵活性,主体可根据特定需求或实际情况建立或维护内部控制体系。它既可以覆盖组织整体,也可以在下属单位、分部、业务单元或在与运营、报告和合规目标相关的某个职能部门内开展。

为了直观地解读内部控制的概念及特征,可用图1-1描述内部控制的过程。

图1-1 内部控制的概念及特征

三、内部控制与风险管理的关系

风险是可能对组织目标的实现产生影响的各种不确定性因素,可能造成实际结果与预期目标的差异。风险管理(risk management)是对各种风险进行识别、衡量、分析并适时采取有效方法进行应对的过程。按照国务院国有资产监督管理委员会(以下简称“国资委”)2006年发布的《中央企业全面风险管理指引》,企业实施风险管理应该围绕总体目标,在生产经营和管理活动的各个环节执行风险管理流程,培育良好的风险管理文化,建立健全风险管理体系,包括风险管理策略、风险管理措施、风险管理组织体系、风险管理信息系统和内部控制系统,从而为实现企业目标提供合理保障。风险管理流程主要包括收集风险信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、监督与改进风险管理等工作。

关于内部控制与风险管理的关系,学界有不同的认识。如前所述,我国《企业内部控制基本规范》和COSO的《内部控制——整合框架》都认为,内部控制的范畴大于风险管理,风险的识别、分析和应对是内部控制的一个组成要素,即风险评估。但COSO委员会2004年发布的《企业风险管理框架》则认为,风险管理的概念比内部控制涵盖的范围更广,风险管理不仅详细解释了内部控制,而且从战略层面关注风险治理,内部控制是风险管理不可分割的重要组成部分;而内部控制更加关注采取具体措施降低风险,以保证企业目标的实现。

内部控制是对影响企业目标实现的众多不确定因素进行辨别和评估、实施相应的控制活动,以管理和控制这些风险,从而为企业目标的实现提供合理保证的过程。如图1-2所示,内部控制与风险管理有融合之势。我国《企业内部控制基本规范》及其配套指引,充分吸收了全面风险管理的理念和方法,始终贯穿着风险导向的基本原则,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略;风险管理的目标也是促进企业实现发展战略,两者都要求将风险控制在可承受的范围之内。因此,内部控制与风险管理不是对立的,而是协调统一的整体。

图1-2 内部控制与风险管理的关系

实践中,我们应淡化对两者关系的区分和研究。企业在实际工作中应从工作内容、目标、要求,以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机地结合起来,避免职能交叉、资源浪费、重复劳动,降低企业管理成本,提高工作效率和效果。

内部控制与风险管理的有机结合,能够将企业的发展战略、管理理念、控制要求融入公司治理、企业文化、岗位授权、制度规范和业务流程之中,通过风险评估、风险预警、信息沟通、流程监控、有效性评价、缺陷改进等活动,推动企业管理从单一制度管理向体系化管理转变、从传统管理向风险管理转变、从事后监督向过程监督转变、从职能条块化管理向全流程管理转变,实现企业管理水平的全面提升。

四、内部控制与风险管理的认识误区

由于种种原因,实践中人们对内部控制与风险管理的认识存在着这样或那样的误区,影响着内部控制与风险管理的建立和实施的效率及效果,从而阻碍了内部控制目标的实现。

(一)认识误区一:内部控制就是一系列的规章制度

实践中,很多人认为内部控制就是管理制度,是企业用于防止差错和舞弊,或者应付有关部门和主管单位的检查而制定的各种规章制度,是存放在文件柜中的一份份书面文件。在实际运行的过程中,还有些企业认为责任分工体系、授权审批制度就是内部控制。这些认识都是对内部控制的一知半解。从前面的分析可以看出,内部控制的内涵远不只是规章制度,而是为实现控制目标而对风险进行识别、分析和应对的过程。内部控制建设涉及设计、执行、评价和改进等过程,是一个动态的持续改进过程。尽管内部控制设计的有形成果大多表现为政策、制度、流程和表单等,但这些静态的规章制度并不等同于内部控制的全部;内部控制建设更强调规章制度的执行过程和实施的效率效果。内部控制是一项全面的风险管理活动,内部控制建设绝不等同于制度建设,而是要建立健全有效的内部控制框架。例如,内部环境作为构建和运行内部控制的基础,包括治理结构、管理哲学、经营风格、员工正直的品行、道德价值观和胜任能力,以及企业文化等,这些软环境比规章制度更为重要。

(二)认识误区二:内部控制是针对基层岗位和普通员工的控制

内部控制的对象是风险,而不是基层岗位和普通员工。内部控制是全员控制,责任主体不仅包括董事会、监事会和管理层,还包括全体普通员工。当然,在内部控制建设的过程中,董事会和管理层发挥着领导及示范作用,有责任建立并维持恰当的高层基调,制定并遵循行为准则。从风险的责任归属来看,董事会和管理层要在战略风险、经营风险等方面承担责任。董事会对设计、实施并维护有效的内部控制与风险管理机制负有总体责任;监事会主要对董事、经理和其他高级管理人员履行职责的合规性及胜任能力等进行监督;管理层和职能部门主要对经营与管理风险负责,并协助业务部门控制业务活动层面的风险;业务部门主要对业务层面的风险管理负责,重点关注业务流程风险;普通员工要对自身的操作风险负责。企业上至董事会、监事会和管理层,下至各基层岗位和普通员工,谁也不能游离于内部控制之外。如果普通员工认为自己是被控制的对象,其在内部控制建设中的积极性和主动性就会受限。管理层凌驾是导致内部控制失效的重要原因。现实工作中,有些企业的内部控制往往只针对基层岗位和普通员工,对最高权力机构和决策人员却显得无能为力,个别领导权力膨胀和主观臆断决策,甚至出现徇私舞弊和经济犯罪现象,结果导致内部控制失效。

(三)认识误区三:内部控制等同于内部会计控制,是会计部门的事

实务中,很多企业内部控制建设的牵头部门设在财务部门,由财务部门负责内部控制推进的一些具体工作。这本身无可厚非,但很多人据此认为内部控制就等同于内部会计控制,是会计部门的事,与自己无关。也有部分企业将自己的内部控制定位在会计领域。诚然,会计部门和会计人员在内部控制建设中发挥着重要作用,内部控制目标中的报告目标、资产目标及合规目标等都与会计工作直接相关,会计系统控制是重要的控制活动和控制手段。会计工作既要管控好自身的报告风险、资产风险和合规风险,还要为运营分析、绩效考评、预算控制等控制活动提供支撑。在信息与沟通、内部监督等方面,会计部门和会计人员同样发挥着重要作用。可以说在内部控制的建设中,会计部门是最重要的职能部门之一,但不能因此就认为内部控制等同于内部会计控制,是会计部门的事。内部控制是一项系统工程,不是某一部门的事,而是全面的风险管理活动,涉及全员、全过程和全方位,在此不做赘述。此外,从内部控制发展的历程来看,先后经历了内部牵制、内部控制制度、内部控制结构和内部控制整合框架等阶段。在内部控制制度阶段,内部控制被划分为内部会计控制和内部管理控制两类。这种划分思想在实务界产生了广泛而深远的影响。我国在2001年发布的《内部会计控制规范——基本规范(试行)》及其系列配套指引,也是从会计控制的角度规范企业内部控制,将内部控制的基本目标定位为“纠错防弊”。这种认识是滞后的,扭曲了内部控制的本质,人为地缩小了内部控制的范围和作用,仍停留在内部控制制度阶段。

(四)认识误区四:内部控制建设可以一劳永逸,开始时费点劲以后就轻松了

内部控制建设没有终点,是一个反复的持续改进过程。当今世界是多变的,利率、汇率、物价、客户信用、市场竞争、技术创新等都在时时变化,这些变化对内部控制与风险管理提出了更多的挑战;企业应根据内外环境变化、管理要求提升和业务职能调整等的需要,不断修正和改进自己的内部控制体系。内部控制与风险管理是一个精益求精的动态过程,必须通过持续监督、单独评估或两者并用进行持续的改进和提升。已建立起内部控制体系的企业,应重点抓好有效执行和持续改进工作,着力提升内部控制的健全性和有效性。企业可以通过PDCA循环来加强内部控制体系的建设工作。PDCA是英语单词plan(计划)、do(执行)、check(检查)和action(处理)的首字母,PDCA循环按这样的顺序进行内部控制的检查评估和持续改进。P表示内部控制的设计,D表示内部控制的实施和执行,C表示对内部控制体系的监督检查和缺陷评估,A表示对内部控制缺陷和薄弱环节的改进与提升。

(五)认识误区五:内部控制越严越好,规章制度越多越好

实务中,有些企业认为内部控制越严越好、规章制度越多越好;还有些企业将内部控制执行的有效性体现在惩罚力度上,以罚代控。规章制度和严格处罚反映不了员工内心的诉求,内部控制建设是企业健康发展的需要,要做到控而有度、控而不僵,同时结合企业文化等精神层面的软环境建设。内部控制的核心是人,包括诚信、道德价值观和胜任能力的个人品性是内部控制中最重要的因素。员工素质的高低与控制制度的多寡及控制措施的严松是反向变动的。人力资源素质越高,需要的控制就越少;人力资源素质越低,需要的控制就越多。在内部控制建设中,规章制度是基础,正直、诚信和道德操守则是内部控制的灵魂,是内部控制建设的更高境界,能够引领员工由被动走向自觉,从而达到“无为而治”的境界。制度是一种“硬约束”,必须融入企业道德和文化的“软约束”才能实现“他控”和“自控”结合,以达到内部控制目标。因此,企业应重视软环境建设,加强企业文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,并与企业目标和战略规划相协调,而不能一味地追求控制越严越好、规章制度越多越好。内部控制设计的宽严程度应切合单位的实际,并遵循成本效益、适用性和重要性等原则。控制环节越多、控制措施越严、规章制度越多,控制成本也越高。如果控制成本超过了控制风险和防错治弊的收益,再好的控制都将失去意义。当然,对事关企业生死存亡的重要环节和主要风险点要遵循重要性原则,在关键控制点上进行严格控制。

(六)认识误区六:内部控制是企业内部的事,用不着外人来管

所有权与经营权相分离是现代企业的重要特征,投资人通常并不直接参与企业的经营和管理,需要内部控制来保护其投资的安全,保证其资产的保值增值。作为企业资金的另一个重要来源,银行等债权人也希望企业能够建立并保持良好的内部控制,稳健经营,以便及时还本付息。证券监管、工商税务等政府部门也希望企业能具备良好的内部控制,以促进企业合法经营、稳定增长。我国《企业内部控制基本规范》及其配套指引由国家财政部、中国证监会、国家审计署、中国银监会、中国保监会五部委联合发布,可见相关政府部门对企业内部控制的关注。同样,其他利益相关者(如供应商、客户、消费者、当地社区等)也都希望企业具备良好的内部控制,能够进行长期合作,以保护自身的利益。薄弱的内部控制不仅会给企业自身带来经营和管理上的混乱,以致无法实现自己的目标,也会对投资人、债权人、政府部门等利益相关者造成危害。因此,建立并实施内部控制,不仅是企业自己的事情,还具有一定的外部性;政府必须加强对企业内部控制的监管,注册会计师应提高内部控制审计的质量。

(七)认识误区七:有了内部控制就可以万事大吉、高枕无忧了

人们对事物的认识总是一个不断深化的过程,在设计内部控制时不可能设计出无任何缺陷的内部控制体系;出于成本效益的考量,企业在建立内部控制体系时,也不可能事无巨细、面面俱到;由于环境不断地变化,内部控制还具有时效性,今天有效的内部控制明天不一定有效;新业务的出现也可能使现有内部控制体系无所适从。企业战略和运营目标的实现取决于许多因素,内部控制固然非常重要,但只是其中的一个方面,是企业战略和运营目标实现的必要而非充分条件。有些企业的内部控制非常健全有效,执行的效果也很好,但突发事件或外部灾害可能使企业战略和运营目标无法实现。再加上内部控制的固有局限性(例如,目标设定不当、员工串通、管理层凌驾、人员素质低、职业判断失误、成本效益低、外部环境变化莫测等),使内部控制很可能失效。因此,内部控制不能解决企业所有的操作风险和安全隐患,只能对控制目标的实现提供合理保证,它不是包治百病的灵丹妙药。

(八)认识误区八:内部控制的目标是消除风险,杜绝差错和舞弊

内部控制的目标不是消除风险,而是通过主动的风险管理过程来实现风险与收益的平衡,将风险控制在可接受的范围。风险是未来事件发生的可能性及其后果,绝大多数风险是无法消除的,一味地增加控制、追求风险的无限降低可能不符合内部控制建设的成本效益原则,只要使控制后的剩余风险降到可接受的水平就可以了。同样,再好的内部控制也不可能杜绝差错和舞弊,员工串通合谋、管理层凌驾于内部控制之上、员工判断失误等都可能使差错或舞弊发生。