内部控制理论概述
内部控制首先是在企业内部牵制制度的基础上发展起来的,而后随着财务丑闻和经营失败,内部控制理论不断得到相关部门的重视而得以发展完善。美国特雷德威委员会的调查显示,近50%的财务舞弊案件是由于或部分地由于内部控制失败造成的。大量违规事件的发生,促使美国COSO委员会于2004年出台了COSO文件的升级版本《企业风险管理—整合框架》,在内涵构成上拓展、延伸为企业风险管理的八要素:目标设定、内部环境、风险确认、风险评估、风险管理策略选择、控制活动、信息沟通和检查监督。我国相关部门也相继出台了一系列文件来帮助企业规范和建立内部控制体系,然而企业的内控体系建设并不完备。德勤公司2008年的统计结果显示,我国超过半数(56%)的126家受访公司尚未建立内部控制机制或其内控机制仍未完善。
从内部控制概念的演进过程可以看出,伴随着新问题和新的财务失败案件的出现,内部控制的概念也随之不断得到补充和扩展,从最初的会计控制到会计控制和管理控制并行,再到后来的三要素内部控制概念。同时,内部控制的构成要素也经历了 三要素、五要素的演进,最终内部控制本身也扩展成为操作风险管理的八要素概念。这种概念的演进一方面使得内部控制涵盖的内容更加全面,但另一方面,这种范畴的逐步扩大逐渐模糊了内部控制与公司治理、内部控制与风险管理的界限,增大了企业构建内部控制体系的难度,也在一定程度上降低了其现实指导意义。
企业内部控制存在的问题
调查统计显示,近50%的财务舞弊案件都是由于或部分地由于内部控制的失败引起的,那么企业精心设计的内部控制为什么会不起作用呢?本文认为主要有以下三方面的原因:
(一)外力作用导致的内部控制失效
企业的内控机制是在一定的环境下发挥作用的,企业的内部控制环境主要包括产权制度、治理结构、组织制度和企业文化等。当企业的内部控制有效运行依赖的环境不存在时,设计再完善的内控机制也无法发挥作用。纵观一些大案的发生,并不是这些企业或机构没有建立内控机制或者机制不完善,恰恰是因为缺乏保证内控机制正常运行的环境,即在治理结构、企业文化及产权制度等方面存在问题。因此,内部控制的建设应该与公司治理、企业文化等建设相辅相成,在脱离内控环境的情况下谈内控建设是没有意义的。
(二)内控体系的不完备性
内部控制体系建设在给企业带来效益的同时也会产生相应的内部控制成本,因此,企业应该遵循成本—效益原则,找到最佳的内部控制点。内部控制的效益体现在有效的内部控制可以降低风险的发生以保证业务的顺利进行和决策目标的实现上。内部控制的成本包括直接成本和间接成本:直接成本包括各种检查费用和有关人员工资等;间接成本指因实施内部控制而造成的各种损失,如人员增加、业务制约以及业务范围限制等造成的效率损失。一般说来,在内部控制建设初期,制度的从无到有、从不成熟到逐步成熟会使内部控制的边际效益递增,此时内控建设造成的业务限制以及业务范围限制等效率损失也相对较低。然而到达一定程度后,内部控制的再建设主要表现为细小环节上的完善,此时内控假设的边际效益是递减的,而业务限制等带来的效率损失与前期相比则会表现出较大幅度的上扬,因而其边际成本是递增的。对内部控制的直接成本而言,检查费用和有关人员工资等直接成本与内控建设程度存在正的线性相关关系。内控机制边际成本、边际收益曲线(见图1)。从图1可以看出,内部控制的边际收益曲线(MR)是凸的,其边际成本曲线(MC)则是凹的。因此,根据成本—收益原则,最佳内部控制点位于A点,即边际成本与边际收益的交点处。当企业的内控机制建设程度位于A点左方时,表明此时企业的内控机制尚不够成熟,没有覆盖到关键的风险控制点;当企业的内控机制建设程度位于A点右方时,表明企业内控建设过度,不再符合效益最大化的原则。 在实际操作中,企业很难定量地测度内部控制的边际成本和边际收益,因而清晰的定位最佳控制点A是不现实的,而且随着企业内部和外部环境条件的变化,最佳控制点也会随之发生变化。鉴于关键风险点的内控收益一般会大于其内控成本,因此判断一个企业内控体系是否完备的重要条件就是看其是否覆盖了关键的风险点,对大多数企业或机构特别是国内的企业而言,其内控机制尚不完善,远没有到达A点的程度,因此当务之急仍是尽快建立起有效的内控机制。
(三)理论假设的不满足
内部控制体系建立在一系列假设的基础上,当这些基本假设得不到满足的情况下,内部控制体系的有效性就失去了依托。罗伯特.西蒙斯认为,内部控制系统包括以下七个假设,即:Ⅰ每个人都有固有的道德缺陷;Ⅱ有效的内部控制能够对舞弊行为产生威慑力;Ⅲ独立的个人能够识别并报告他所发现的异常情况;Ⅳ共谋的可能性很低;Ⅴ员工会把关于控制的缺陷和异常情况反馈给管理层;Ⅵ在业绩目标和产生的正确信息之间不存在固有的矛盾;Ⅶ记录和文件是行为和交易的证明。
假设Ⅰ指出了内部控制的必要性,如果人们都能够按照道德规则做事,企业决策目标的实现就无须依赖内控机制的保障,从而也就没有建立内控制度的必要。假设Ⅱ指出了内部控制发挥作用的前提,当内部控制在制度层面和执行层面脱节时,内部控制就失去了其应有的威慑力。假设Ⅲ和Ⅴ在现实中的不成立也是内控失效的一个重要原因。许多大案在案发前都有数年的风险积累过程,在此期间也都存在着一些异常情况,不过由于员工没有及时地将异常现象反馈给管理层,使得信息沟通机制中断,这种风险最终变成了损失,使内控机制形同虚设。假设Ⅳ是内部牵制制度的原理,当共谋发生时,按照相互牵制原则设定的一些制度和流程也就失去了意义。当假设Ⅵ不成立时,人们往往倾向于为了保证业绩目标的实现而不惜牺牲内控,使得内控机制失效。例如,据美国证券交易委员会2008年7月8日发布的一项调查报告称,在给高风险次贷金融产品进行评级时,美国三大信用评级机构均存在违反内部程序的行为。在相对固化的业务操作流程中,下一步业务的开展往往依赖于上一步的交易记录,并且可以有效地防止舞弊事件的发生,但是如果假设Ⅶ不再满足,即记录和文件不真实,那么这种固化的流程设计就失去了其最初的功能。
从上面的分析可以看出,内部控制制度的设计往往基于一些理想的假设,但是现实毕竟是复杂的,现实和假设的不符就成为内部控制无效的重要缘由。
加强企业内部控制体系建设的建议
(一)正视内控环境的重要性且增强全员风险管理意识
内部控制作为企业操作风险管理的关键环节,要在一定的环境中发挥作用,同时也是企业全体员工共同参与的一项动态工程。然而仍有些管理人员认为内控体系不过是一套书面制度而已,没有将内部控制看作是操作风险管理体系的有机组成部分,对内控环境的重视程度不足,使得内控体系的建设不能结合风险管理环境的实际情况,起不到控制作用。另外,内部控制需要全体员工的配合才能发挥作用,因此只有形成良好的风险管理文化氛围,争取做到全员自觉履行内控制度,全员自觉监督内控的执行,才能够使内控系统顺利执行。
(二)建立有利于控制风险的激励机制和严格的问责机制
就目前情况来看,我国企业在内控假设方面存在的问题主要表现在缺乏有利于风险控制的激励机制和严格的问责机制。对下级部门的激励机制偏重于利润和规模等指标而忽视内部控制和风险管理,下级部门在业绩目标的驱动下,往往忽视信息的重要性(假设Ⅵ),使得违规经营的情况普遍存在,经济案件频频发生。加上问责机制过于宽松,使得大多数获得盈利或未造成实际损失的违规行为得不到严厉的惩罚,也在一定程度上助长了经营者的投机心理,大大降低了内控体系的权威性。因此,企业应建立有利于控制风险的激励机制和严格的问责机制,尽可能满足内控假设,使内部控制体系在企业操作风险管理中发挥其应有的作用。
(三)定期进行完备性检验以动态完善内控体系
内控制度的建立和完善是一个动态过程,企业应依据成本—收益原则定期进行内控体系的完备性检验,及时弥补经营过程中暴露出来的制度空白并修改制度缺陷。各企业都要适时根据其业务发展和环境变化不断修改完善内控制度,根据新业务及功能衍生的特点,提前对原有的各项业务管理办法、业务操作流程在进行排查风险环节的基础上重新梳理,开展业务流程再造,使内控系统得到实时更新,并强化岗位监督,保证内部控制体系的完备性。
(四)建立企业内部控制评价体系
内部控制评价应该从内部控制环境的完善性、内部控制体系的完备性和内部控制理论假设的满足程度三个方面进行。
1.内部控制环境的评价。一般企业的内部控制环境主要包括治理结构、管理哲学及经营风格、组织结构、董事会、经营者素质和职业道德、企业文化、权责分派体系以及人力资源政策及实务等方面。对内部控制环境的评价应该从以下几个方面进行:产权制度评价、治理结构评价、组织结构评价、经营制度评价、管理哲学及经营风格评价、经营者素质和职业道德评价、企业文化评价、人力资源政策及实务评价等。
2.内部控制的完备性评价。内部控制的完备性评价包括两层含义:一方面是评价内部控制对企业各项业务的覆盖程度;另一方面是评价内部控制对其所覆盖业务的具体操作环节的控制程度。内部控制应该包括:现金控制、借贷资金风险的控制、采购业务的风险控制、生产流程的控制、产品营销风险控制、会计系统的控制、计算机业务系统的控制等。
3.内部控制的结果评价。结果评价是对内部控制主要目标实现程度的评价,通过内部控制目标的实现程度反过来检验内部控制体系存在的问题。企业内部控制的目标主要有合法合规性经营,将各种风险控制在规定的范围内;确保自身发展战略和经营目标的全面实施以及确保有利于查错防弊、堵塞漏洞、消除隐患从而保证业务稳健运行等。在内控结果评价过程中,需要注意的是,内控结果与目标的偏差往往是多个环节上多个因素共同作用的结果,因此通过内部控制的结果评价反映出来的问题可能既有内控环境上的,内控完备性上的,也有内控假设方面的,应该从结果出发,反过来找原因。
参考文献:
1.Treadway Commission, Report of the National Commission on Fraudulent Financial Reporting.The National Commission on Fraudulent Financing Reporting,1987
2.COSO. Applying COSO’s Enterprise Risk Management Integrated Framework,2004
3.Robert Simons. Levers of Control: How Managers Use Innovative Control Systems to Drive Strategic Renewal. Harvard Business School Press, Jan.,1994
4.潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[J].会计研究,2008(3)
相关文章:
如何加强民营企业财务管理04-26
计算机信息技术发展财务管理改革的趋势04-26
餐饮企业财务管理现状与对策分析04-26
中小企业内部会计控制完善措施04-26
铁路企业财务管理健全措施04-26
现代企业财务管理探析04-26
企业财务风险内部控制措施04-26
民航机场财务工作完善举措04-26
医院现行内部控制制度执行遇到的问题与对策04-26
现代企业财务管理的方法及措施04-26