一、我国《企业内部控制基本规范》与COSO风险管理框架比较
2008年5月,财政部会同证监会、银监会、保监会、审计署,联合发布了《企业内部控制基本规范》,该规范融合了COSO风险管理的先进经验,又具有中国特色,为我国企业首次构建了一个企业内部控制的标准框架。
(一)内部控制界定比较 《内部控制基本规范》指出:“内部控制是由董事会、管理层和全体员工共同实施的、旨在合理保证实现企业经营管理基本目标的一系列控制活动。”这是我国第一次对内部控制进行界定。COSO在2004年发布的风险管理框架中指出:企业风险管理是一个过程;涉及各个层次人员;应用于企业战略制定;贯穿于企业所有层级和部门;旨在识别和管理风险;为实现目标提供合理保证。通过比较可以看出,我国对内部控制的界定与COSO基本一致,都认为内部控制的实施主体是企业全体员工,是为企业目标的实现提供合理保证的,但COSO把内部控制上升为风险管理范畴,认为控制的核心是风险管理,这一点明显高于我国内部控制的定位。我国对内部控制的研究起步较晚,企业的具体情况也与美国等西方国家有一定的差异,对内部控制的界定是符合我国具体情况的。
(二)内部控制目标比较 《内部控制基本规范》认为:“内部控制的目标是合理保证企业经营管理合法合规性、资产安全性、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略。”该目标突破了2001年财政部颁布的《内部会计控制》中的三个目标,即会计信息的真实性、资产安全完整、合法合规性,把内部控制的目标扩展到提高经营的效率和效果以及促进企业实现发展战略。《内部控制基本规范》中的内部控制目标与 COSO 报告有异有同。 其中, 合理保证经营效率和效果、财务报告的可靠性、法律法规遵循性目标基本相同, 可以说我国《内部控制基本规范》借鉴了COSO的研究成果。此外,我国《内部控制基本规范》在内部控制目标的设定上也体现了我国国情。首先,《内部控制基本规范》将合理保证“相关信息的真实完整”也列入内部控制目标,结合我国当前会计信息失真的现状,把与财务报告相关的信息作为控制目标,以帮助会计信息使用者做出决策,是符合我国国情的。其次,考虑到国有企业在我国的特殊性、国有企业的资产流失现状及保值增值要求,把资产的安全完整性作为内部控制的目标。最后,COSO把战略目标作为内部控制的首要目标,《内部控制基本规范》认为内部控制是促进企业实现战略目标,战略目标既然是企业的总目标, 就不能只是内部控制的目标,这样的描述更符合实际情况。
(三)内部控制要素比较 《内部控制基本规范》将内部控制划分为五大要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督。内部环境是指对企业建立、执行控制政策和程序产生影响的各种因素的总称,是实施内部控制的基础。内部环境主要包括公司治理结构和议事规则、企业内部机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置与人员配置等。风险评估是对影响企业内部控制目标实现的内部和外部风险进行识别、分析,并采取应对策略的过程。风险评估包括设定控制目标、识别内外部风险、分析风险的可能性及其影响程度、确定风险应对策略。控制活动是指企业在进行风险评估后,为了将风险控制在可承受范围之内所采取的各种控制措施。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、重大风险预警机制等。信息与沟通是指企业建立信息与沟通制度,及时收集、处理和传递与内部控制相关的各种信息,确保信息在企业内部、企业与外部之间进行有效沟通,促进内部控制的有效运行。内部监督是指由企业内部审计机构按照规定的程序和方法,对内部控制建立与实施情况进行监督检查,并评价内部控制的有效性。COSO在《企业风险管理——整合框架》中提出风险管理的八要素,即内部环境、目标设定、事项识别、风险评估、风险反映、信息与沟通、监督。我国的内部控制要素与COSO的风险管理框架比较,少了目标设定、事项识别、风险反映三个要素。我国《内部控制基本规范》要求,企业要根据设定的目标,收集相关信息,准确识别与实现控制目标相关的风险的基础上进行风险评估,并根据风险评估结果,确定相应的风险应对策略。通过分析可以看出,我国的风险评估实际上包括目标设定、事项识别、风险评估和风险反应。我国《内部控制基本规范》虽然在形式上采用的是五要素框架,但实际上充分体现了风险管理八要素的实质,将风险管理理念贯穿于基本规范的始终。
二、国有企业特殊性对内部控制的影响
我国《内部控制基本规范》在借鉴西方国家内部控制研究成果的基础上,充分考虑了我国当前的情况,符合我国国情,适合国有企业,但国有企业又有其自身的特征,这些特征会对其内部控制的建立和实施产生一定的影响。
(一)国有企业产权制度的特殊性 产权主要指财产权利或财产权,它是以财产权为主体的一系列财产权利的总和,包括占有、使用、收益和处分的权利。现代产权制度是责权利高度统一的制度,其基本特征是归属清晰、权责明确、保护严格、流转顺畅。一般的企业,无论是独资、合伙还是公司制企业,其所有权都有明确的个人或有限个人的结合体,企业所有者享有资产的剩余控制权和剩余索取权。国有企业的产权属于全体人民所有,这在理论上是清晰的,但全体人民是一个虚拟的概念,无法行使财产权利,由政府代行所有者的权利,政府又把这项权利进一步委托给各级国有资产管理机构,从而形成了多级委托代理链条:全体人民—政府—国有资产管理机构。在多级委托链条中,国有资产管理机构实质上就是国有企业“出资人”的代理人。国有资产管理机构与非国有企业所有者的区别是享有资产的控制权,但不享有收益的分配权,缺乏对资产监管的动力,且在当前情况下,国有资产管理机构本身的职能还有待完善。 因此,各级国有资产管理机构对国有企业的监管乏力,形成事实上的国有企业所有者缺位。健全和有效实施内部控制从理论上说有两个层次,第一层次是所有者对高层管理人员的控制,第二层次是高层管理人员对企业内部活动
的控制。国有企业所有者的缺位,就可能造成第一层次的监控失效,而这一层次的无效对内部控制是致命的,也是国有企业内部控制建设急需解决的问题。
(二)法人治理结构不完善 从国有企业十多年的公司制改革成效来看,建立现代企业制度已取得一定的成效,但国有企业的法人治理结构仍有待进一步完善。具体表现为:许多企业设立了董事会、监事会、聘任了高层管理人员,但在实际工作中,董事会与经理人员交叉重叠、董事长和总经理为同一人、监事会的监控作用严重弱化的现象大量存在,企业的管理者集决策权、监督权、控制权于一身,形成了事实上的“内部人控制”,企业缺乏有效的权利制衡机制。在内部控制的建设中,公司治理结构的各组成部分担负着不同的职责。董事会负责内部控制的建立、完善和有效实施,在内部控制建设中处于核心地位;监事会对内部控制的建立和实施情况进行监督;经理层根据董事会授权负责企业内部控制的日常运行工作。规范的法人治理结构能够确保董事会、监事会、经理层各司其职, 是内部控制发挥作用的前提条件。国有企业法人治理结构不完善、 “内部人控制”问题, 造成内部控制建设责任主要落在企业管理者身上,建设程度取决于管理者对内部控制的认识,随意性比较大。
(三)国有企业目标多重性 国有企业资本的性质使得其具有明显的公共属性。国有企业不仅是国民经济的支柱,在社会发展中也占主导地位,这就决定了国有企业目标的多重性。国有企业不仅要从事生产经营活动获得利润,即利润目标,还承担着一定的社会责任,包括稳定就业、产业结构调整、稳定价格等非利润目标。国有企业目标多重性对内部控制会产生一定的影响。首先,导致出资人对代理人业绩考核比较困难,有些业绩无法量化,于是设计一个中庸的报酬制度,弱化了对经营者的考核。其次,非利润目标可能使企业的某些控制措施不符合成本效益原则,导致企业建立和实施的积极性不高。最后,国有企业承担的非利润目标,使国有企业不能完全按自己的意愿制定和实施有关政策。
(四)国有企业“官本位”思想较为浓厚 在计划经济时期,受我国传统文化和干部管理体制的影响,国有企业的领导人相当于政府官员,具有很高的行政级别。进入市场经济后,我国对国有企业干部管理体制进行了改革,逐渐取消了领导人的行政级别,但国有企业领导的身份并没有从根本上发生变化,国有企业领导人的“官”念仍然根深蒂固。因此,国有企业管理风格趋于行政行为,常常出现做事官僚、人治大于法治、干部能上不能下等现象。国有企业的“官本位”思想使主要依靠制度、程序和标准化的内部控制难以发挥作用。
(五)国有企业管理层级多,业务板块多 近几年,随着市场竞争的加剧,许多国有企业采取兼并、控股等方式不断扩张以增强自身的实力,形成了较多的子公司和分公司,使企业内部的组织结构越来越复杂、管理层级逐渐增多。这一方面降低了决策效率和管理效率,削弱了集团控制能力,如:资金管理松散、预算控制没有落到实处、审计监督职能弱化等;另一方面管理层级增加,必然造成信息沟通不畅,特别是母公司战略意图难以贯彻。国有企业的扩张,使企业规模扩大的同时,业务板块不断增多。这一方面对企业管理人员提出了更高的要求;另一方面也加大了企业风险,使控制成本明显增加。
三、国有企业内部控制现实选择
《内部控制基本规范》为国有企业内部控制建设提供了基本框架,国有企业应以《内部控制基本规范》为标准,结合国有企业特征,提升内部控制目标,明确责任主体,围绕内部控制的五要素,有重点地开展工作,不断建立和完善内部控制。
(一)提升企业内部控制目标 内部控制的目标决定内部控制的方向和运行方式。从国有企业目前情况来看,对内部控制的定位比较低,主要关注于会计资料的真实性、资产的安全完整、各项规章制度的执行等会计控制目标的实现。内部控制作为企业的控制机制,应与企业的整体目标一致,会计控制目标只是企业整体目标的一部分,而不应该是全部,合理保证企业的经营效率和效果,促进企业战略目标的实现,对于企业至关重要。我国《内部控制基本规范》和COSO报告都将经营效率和效果的提高、战略目标的实现作为内部控制的目标。因此,在当前情况下,国有企业应该提升企业内部控制的目标,在确保合规性目标、遵循目标、资产安全完整目标、经营目标实现的基础上,实现企业战略目标。这不仅是我国内部控制理论发展的结果,也是促进企业生存和发展的需要。
(二)明确内部控制责任主体 《内部控制基本规范》明确了董事会、监事会、经理层在内部控制建设中的职责。由于公司治理结构的缺陷,国有企业的董事会作为股东利益的代表,在推动内部控制建设中的作用有限,而监事会也未能发挥应有的作用,企业内部控制建设更多依赖企业管理层对内部控制的认识和觉悟,导致一些企业内部控制建设滞后,未能发挥应有的作用。鉴于国有企业治理结构的特殊性,在当前情况下,除了明确董事会、监事会、管理层在内部控制建设中的责任外,应当把国有资产的受托者——各级国有资产管理机构作为内部控制建设的主体,国有资产管理机构作为国有资产所有者的代表,有责任采取一定措施,推动国有企业建立和完善内部控制。
(三)完善内部环境 内部环境是内部控制的基础,它直接影响着企业员工的控制意识,是内部控制政策和程序得以贯彻执行的前提条件。从国有企业近几年出现的舞弊案例来看,国有企业一般都建立了较完善的内部控制,内部控制未能发挥作用的根本原因是缺乏良好的内部控制环境。如:公司治理结构的不完善,导致对企业管理者缺乏有效监督,企业各种制度和规则轻易被打破;企业文化的缺失,使企业缺乏内部控制建设的氛围等。因此,加强环境建设是国有企业内部控制建设的重中之重,只有拥有良好的内部环境,才能保证各项控制措施的落实,真正建立起有效的企业内部控制体系。具体而言,国有企业应该对公司治理结构进行完善,真正建立起符合现代公司制企业要求的治理结构,明确董事会、监事会及管理层责权,形成科学有效的权利制衡机制;在董事会下设置审计委员会, 保持审计委员会的独立性和专业胜任能力;加
强企业文化建设, 引导员工树立正确的人生观、价值观;确定合理的组织架构, 明确权责分配;制定实施有利于企业发展的人力资源政策。
(四)加强风险管理 在西方发达国家,风险早已成为管理者关注的头等大事,风险管理也成为企业管理的重心。美国COSO在其2004年发布的企业风险管理框架中,将内部控制上升为风险管理范畴,把风险管理分为八大要素,认为所有企业的经营都面临风险,风险管理能够使企业的经营更有效。我国《内部控制基本规范》也要求企业根据设定的目标,识别企业存在的各种风险,制定措施把风险控制在可承受范围内。我国对内部控制的研究和实践起步较晚,目前,除金融保险等高风险企业建立了风险预警系统进行风险管理外,其他企业基本处于内部控制制度建设阶段,对风险缺乏正确的认识,未建立相应的风险管理机制,也未形成完善的风险管理政策及程序。随着社会和经济的发展,内部控制必然走向风险管理的高度,对风险的管理是否及时、有效,往往会关系到企业的生存与发展。因此,国有企业应该逐步树立风险意识,提高风险识别、评估能力,加强对企业风险的管理,提高市场竞争力,实现企业的可持续发展。
(五)加强控制活动执行力度 控制活动是企业控制目标得以实现的各种程序和措施。国有企业经过几十年的发展,一般都制定了各种规章制度,这些规章制度实际就构成了企业的内部控制。国有企业长期存在的“官本位”、干部能上不能下、管理风格趋近人情化等问题,使国有企业各种规章制度成为企业“摆设”。从实践来看,我国近几年所出现的国有企业舞弊案,不是没有制度,而是制度没有得到很好的执行。内部控制的有效性包括设计的有效性和执行的有效性,执行力差是国有企业内部控制的突出问题。因此,国有企业应进一步完善各种政策和程序,转变管理观念,建立约束与激励机制,增强控制活动的执行力度。
(六)加强信息系统控制 随着科技的高速发展,社会信息化程度越来越高,信息技术被广泛运用于企业的生产经营活动中,不仅改变了传统手工数据处理方式,而且使企业管理模式、交易方式、生产方式等发生了变化。在现代企业中,企业的很多业务流程由信息技术支撑,内部控制目标的实现在很大程度上依靠信息系统的控制,很多控制活动也取决于信息系统的数据合成。信息系统在提高内部控制的效率和效果的同时,也加大了控制的风险。近年来,国有企业加快了信息化建设的步伐,取得一定的成绩。但国有企业信息系统建设呈现投资规模较大、信息人才缺乏、系统功能复杂、实施基础薄弱等特点,使信息系统面临更大的风险。因此,国有企业应加强信息系统控制,通过开展职业资格培训、后续教育等方式培养一批适合企业的信息技术和信息管理人才;通过恰当的职责分工、建立统一的操作流程、形成相应的文档记录等降低信息系统的风险。有效的信息系统能够使企业的管理层对内部控制进行监控,及时获得内部控制执行情况的数据,确保业务流程根据内部控制标准执行。
(七)充分发挥内部审计职能 内部监督是内部控制要素之一,是对内部控制进行监督检查,评价其有效性的过程。内部监督主要是由企业内部审计部门来完成的,即内部审计对企业内部控制的建立和实施进行再监督,因此,内部控制职能的发挥在很大程度上代表了企业内部监管的好坏,在内部控制建设中起着重要的作用。近年来,国有企业普遍开始重视内部审计,不断完善内部审计制度,强化内部审计工作,但国有企业内部审计的监督职能还没有真正发挥出来,主要表现在内部审计主要定位于舞弊调查以及特殊项目审计等事后监督,事前事中的监控缺乏、内部审计人员缺乏内部审计所需要的胜任能力和经验、内部审计向管理层报告工作,独立性较差等方面。国有企业在内部控制建设中,应进一步增强内部审计独立性、提高审计人员素质、转变内部审计职能,充分发挥内部审计在内部控制中的的监督职能。
[本文系国家社科基金项目“国有企业内部控制与风险预警机制研究(编号:10XJY0006)”阶段性研究成果]
参考文献:
[1]刘静:《内部控制环境的探讨》,《会计研究》2005年第2期。
[2]张敏敏、丁日佳:《国有企业内部控制研究》,《企业经济》2008年第4期。
[3]李正、郑鑫成:《国有及国有控股企业内部控制特殊问题研究》,《经济经纬》2009年第3期。
[4]肖尧春:《国有企业内部控制环境问题研究》,《理论探讨》2007年第4期。
[5]国有企业内部控制课题组:《国有企业内部控制框架》,机械工业出版社2009年版。
[6]财政部:《企业内部控制基本规范》,中国财政经济出版社2008年版。
[7]COSO.Enterprise Risk Management—Integrated Frame work .New York.2004.
[8]COSO.Internal Control—Integrated Framework.New York,1992.
