2006年,被稱為中國內部控制年。財政部正緊鑼密鼓地制定內部控制規範,國資委也將在年內發布《中央企業內部控制管理暫行辦法》和《中央企業內部控制評價暫行辦法》證監會所屬的上海證券交易所出台了堪稱中國版《薩班斯--奧克斯利法案》的《上市公司內部控制指引》。凡此種種,標誌著政府有關部門由大力提倡內部控制建設向明確要求,細化規定層面轉變。一股內部控制的鏇風.伴隨著強化內部控制制度建設的全球化浪潮。正席捲而來。那么.中國式內部控制的缺憾究竟在哪裡,又如何建立高質量的、有實質性影響的、符合中國企業特點的內部控制體系。
莫此為甚:現代企業的骨骼與血液
內部控制是企業為了保證其戰略目標的實現而對企業戰略制定和經營活動中存在的風險予以管理的相關制度安排。它是由董事會、管理層及全體員工共同參與的一項活動。建立健全內部控制制度。保證內控制度的完整性。合理性及實施的有效性,以提高企業經營的效率與效果 增強企業信息披露的可靠性.確保企業行為合法合規。如是觀之。內部控制在維護企業肌體健康方面發揮著無可替代的作用。既是企業的骨骼.也是企業的血液。
我國大多數企業多年來習慣於漸進地積累管理經驗,建立內部控制制度。雖然陸續形成了一些管理辦法、條例、暫行規定等檔案,但已無法適應現代企業不斷提升酌治理水平的需要。事實上。我國古代曾經有過燦爛的內部控制文明"在內部控制。預算和審計程式等方面,周代在古代世界是無與倫比的。"(《會計思想史》 麥可•查特菲爾德)然而在現代內部控制的發展史上。占了先機的卻是美國人。1947年,美國註冊會計師協會(aicpa)下屬的審計程式委員會(cap)在其《審計準則暫行公告》中第一次提出了內部控制概念。幾十年來。內部控制從"一要素"、"三要素"、"五要素"到最新的"八要素",內部控制理論與實務被學術界、職業組織、大型企業及政府組織共同推動。不斷發展。其中,美國國會"反虛假財務報告委員會"發布的coso報告--《內部控制--整體架構》最為典型。該報告指出:"內部控制是由企業董事會。管理層和其他員工制定和實施的,旨在為經營的效果和效率財務報告的可靠性以及相關法律法規的遵循性等目標提供合理保證的過程。"並歸納了內部控制的"五要素":(1)控制環境;(2)風險評估(3)控制活動;(4)信息與溝通;(5)監控。
鑒於企業經營面臨的風險日益增大,風險管理與控制在企業運營中越發凸顯,2004年9月。coso又提出了《企業風險管理--整合框架》.它既是對《內部控制--整體架構》的超越,也標誌著內部控制的轉型,在內涵構成上拓展、延伸為"八要素":(1)目標設定。指董事會和管理層根據公司的風險偏好設定戰略目標。(2)內部環境。指公司的企業文化以及其他影響員工風險意識的綜合因素。包括員工對風險的看法、管理層風險管理理念和風險偏好,職業道德規範和工作氛圍董事會和監事會對風險的關注和指導等。(3)風險確認。指董事會和管理層確認影響公司目標實現的內部和外部風險因素。(4)風險評估。指董事會和管理層根據風險因素髮生的可能性和影響,確定管理風險的方法。(5)風險管理策略選擇。指董事會和管理層根據公司風險承受能力和風險偏好選擇風險管理策略。(6)控制活動。指為確保風險管理策略有效執行而制定的制度和程式,包括核准、授權、驗證、調整、覆核、定期盤點、記錄核對,職能分工 資產保全,績效考核等。(7)信息溝通。指產生服務於規劃。執行、監督等管理活動的信息並適時向使用者提供的過程。(8)檢查監督。指公司自行檢查和監督內部控制運行情況的過程。
美國華爾街的研究顯示,公司的治理水平與公司價值成正相關關係。事實上,內部控制包含了公司治理.企業的誠信原則、管理哲學,法人治理結構、組織結構、經營方式企業文化等治理指標即構成控制環境的重要內容。
內部控制的發展歷程表明,一些影響巨大的公司經營失敗或舞弊事件的發生,往往加速了內部控制理論及其實踐的成型,並催生了一些里程碑式的文獻和立法。最有代表性的當屬美國2002年出台的《薩班斯--奧克斯利法案》。該法案的第404條款不僅要求公司管理層定期評估公司財務內控的有效性,並且要求外部審計師對管理層的評估結果和公司內部控制的有效性發表意見。
在我國,隨著中航油新加坡分公司違規進行原油期貨交易等一系列因內部控制缺失而導致的重大舞弊事件的出現,越來越多的企業認識到完善的內部控制對防範和化解經營風險、防止舞弊具有顯著的效用.國內部分大型企業集團開始按照coso報告的基本框架建立內部控制。此外,為滿足《薩班斯一奧克斯利法案》第404條款的要求,在美國上市或即將在海外上市的企業已經著手構建內部控制體系。
短板弱環:中國式內部控制的缺憾
我國建立內部控制的政策、理論與實務,用"木桶理論"解釋,存在明顯的短板;用"鏈條定律"解釋.存在明顯的弱環。無奈的是,短板決定了木桶的盛水量,而弱環決定了整個鏈條的強度。具體說來.中國式內部控制呈現出以下缺憾:
(1)被動的。傳統國有企業的粗放經營以及民營企業的人治色彩難以內生為控制的理念.而中庸思想深厚的東方文化也很難發育出要素完備、功能齊全、目標明確的內部控制體系,這就決定了中國式內部控制的需求動力在很大程度上來源於外部的壓力,包括融入國際市場經濟的渴望以及建立國際一流企業的夢想,這種渴望和夢想使得國內企業不得不按照西方的框架建立相應的內部控制。
(2)拿來的。無論是證監會對證券公司內部控制的要求和上交所制定的《上市公司內部控制指引》,還是中國人民銀行對商業銀行內部控制的規定以及財政部對企業內部會計控制的規範,莫不以美國的控制要素為模板。然而,作為美國企業內部控制聖經的coso報告能否適應中國所有制形式混雜、規模不一、管理者素質參差不齊的現實,遠未經過大量的實踐檢驗。
(3)政府主導的。政府部門對內部控制的關注首先集中在容易發生舞弊風險的金融領域,特別是商業銀行、證券公司等金融風險多發地帶。然後由點到面,由金融機構向一般行業擴展。然而,具體企業根據自身需求設計整體內部控制的自發性遠遠不足。
(4)文本的。常見的思維誤區是,內部控制就是企業的規章、制度.就是基於財務核算的會計控制。顯然,這只是內部控制的一部分,並不是全部。內部控制側重於對文本制度的全面化、流程化;立足於動態監控、與管理軟體(工具)耦合、可評價、可修正。由於我國企業通常強調規章制度的建立而忽視對控制環境、信息與溝通等要素的關注,重要的風險評估往往流於形式。事實上,無論多么完善的控制制度、程式或方法,如果沒有誠實、守信、盡責的文化氛圍,沒有不折不扣、一以貫之的有效執行.終將是沒有任何意義的空頭檔案。
(5)滯後的。我國內部控制理論和實務的發展滯後於國際成熟的發展形態.在國際上已將coso框架奉為圭臬的1996年,我國出台的有關檔案,仍將內部控制囿於控制環境、會計系統、控制程式三要素,落入了傳統會計控制的窠臼。即使一些最新的準則、規定,也只採用了coso的"五要素",而沒有顧及到《企業風險管理一一整合框架》的"八要素"。