1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计师协会、财务经理协会和管理会计学会等组织参与的“发起组织委员会”(Committee of Sponsoring Organizations of Treadway Commission)发布了控制 内部控制的最新准则《内部控制整体框架》(Internal control-integrated framework),并于1994年进行了修订,这就是著名的“COSO报告”。COSO报告首次把内部控制从原来的平面结构提升为立体结构,是内部控制理论研究的历史性突破,被人们形象地称作内部控制的“圣经”。COSO报告对世界内部控制理论研究与实践发展产生了广泛而深入的影响,无疑也对我国企业内部控制机制建设具有重要的指导价值。
现代企业理论和管理实践表明,企业一切管理工作,都是从建立和健全内部控制开始的。因此,本文拟对COSO报告作一简介,同时与“卓越绩效管理模式”作一比较。
一、关于内部控制的内涵
COSO报告将内部
控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:经营的效果和效率;财务报告的可靠性;符合适用的法律和法规”。
在这个定义中,有四个关键词值得注意:目标、人;过程、合理保证。
内部控制以过程为导向;受人的因素影响;受目标的驱动;存在局限性,即内部控制所提供的是合理的保证而非绝对的保证。
可见,COSO报告对内部控制的定义具有丰富的内涵,同时具有科学的限定,这是目前为止最权威、最通用的内部控制定义。
二、内部控制的构成要素
COSO报告提出了内部控制的五个构成要素:控制环境、风险评估、控制活动、信息与沟通、监控。
(1)控制环境
COSO报告把控制环境作为内部控制系统的首要因素,认为控制环境是一个企业进行内部控制的氛围,是其它控制成份的基础。具体包括以下内容:①员工的诚实性和道德观,如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则。②员工的胜任能力,如雇员是否能胜任质量管理的要求。③董事会或审计委员会,如董事会是否独立于管理层。④管理哲学和经营方式,如管理层对人为操纵的或错误的记录的态度。⑤组织结构,如信息是否到达合适的管理阶层。⑥授予权利和责任的方式,如关键部门的经理的职责是否有充分规定。⑦人力资源政策和实施,如是否有关于雇佣、培训、提升和奖励雇员的政策。
通过分析以上描述,控制环境可以归纳为两大方面:
一是“软环境”:包括企业的管理哲学、控制文化、风险意识、人的素质与品德等看不见、摸不着、却在内部控制中起着决定性作用的无形因素构成的氛围;
二是“硬环境”:包括企业的所有权结构、法人治理结构、组织体系、权力分配等结构性因素。企业只有建立包括董事会、管理层等在内的完善的治理结构,以及科学合理的组织体系,并合理配置各层次、各方面的权责,内部控制系统才有所依托并得以运转。
可见,控制环境既是一个企业管理架构的组成部分,也是其内部控制系统的构成要素。控制环境确立了一个企业的基调,影响公司及人员的控制意识和导向。它是其他内部控制要素的基础。
(2)风险评估
COSO报告认为,风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险,包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。
(3)控制活动
COSO报告认为,控制活动指对所确认的风险采取必要的措施,以保证单位目标得以实现的政策和程序。实践中,控制活动形式多样,可将其归结为以下几类:
①业绩评价,是指将实际业绩与其他标准,如前期业绩、预算和外部基准尺度进行比较;将不同系列的数据相联系,如经营数据和财务数据,对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用,但一般与财务报告的可靠性和公允性相关度不高。
②信息处理,指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类:一般控制和应用控制。一般控制与信息系统设计和管理有关,如保证软件完整的程序、信息处理时间表、系统文件和数据维护等;应用控制与个别数据在信息系统中处理的方式有关;如保证业务正确性和已授权的程序。
③实物控制,也称为资产和记录接近控制,这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关,如在编制财务报告时,管理层仅仅依赖于永续存货记录,则存货的接近控制与审计有关。
④职责分离,指将各种功能性职责分离,以防止单独作业的雇员从事或隐藏不正常行为。一般来说,下面的职责应被分开:业务授权、业务执行、业务记录、对业绩的独立检查。
(4)信息与沟通
信息与沟通,指为了使职员能执行其职责,企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度,即由管理当局建立的记录和报告经济业务和事项,维护资产、负债和业主权益的方法和记录。有效的会计制度应是:①包括可以确认所有有效业务的方法和记录;②序时详细记录业务以便于归类,提供财务报告;③采用恰当的货币价值来计量业务;④确定业务发生时期以保证业务记录于合理的会计期间,在财务报告中恰当披露业务。
沟通是使员工了解其职责,保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系,如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿,以及口头交流或管理示例等。
(5)监控
COSO报告认为,监控指评价内部控制质量的过程,即对内部控制改革、运行及改进活动进行评价。包括内部审计和与单位外部人员、团体进行交流。
可见,监控实际上是企业对内部控制实施效果进行评价的过程,是企业站在更高的整体的层面对其他控制要素的整合及调适,是独立的、进一步的控制活动,因而是企业完整的内部控制系统必不可少的后续要素。
(6)整体框架
上述五大要素之间具有紧密的关系:控制环境是其他控制成份的基础,在规划控制活动时,必须对企业可能面临的风险有细致的了解和评估;而风险评估和控制活动必须借助企业内部信息有效的沟通;最后,实施有效的监控以保障内部控制的实施质量。五大要素实际上构成了内部控制的立体框架模式。
当然,COSO报告本身并不是完美无缺的。与“卓越绩效管理模式”进行比较,不难发现“内部控制理论”的局限性是明显的,见下表:
要 素
比 较 内部控制理论 卓越绩效管理模式
关注
要素 控制环境、风险评估、控制活动、 领导、战略、以人为本、过信息与沟通 、监控 程管理、信息和知识管理、结果
控制
环境 ①员工的诚实性和道德观②员工的胜任能力 法制环境、市场环境、
③董事会或审计委员会④管理哲学和经营方式 治理结构、企业文化、
⑤组织结构⑥授予权利和责任的方式 财务审计独立性、“
⑦人力资源政策和实施 五方受益”、持续竞争力
风险
评估 管理层识别并采取相应行动来管理对经营、 应急响应和控制
财务报告、合规性目标有影响的内部或外部风险
控制
活动 业绩评价、信息处理、实物控制、职责分离 创造价值过程和支持过程的管理
信息与沟通 企业必须识别、捕捉、交流内外部信息 信息和知识管理
监控 对内部控制改革、运行及改进活动进行评价 战略导向
信息和知识管理
财务审计独立性
从表中不难看出,“内部控制理论”大量吸收了“卓越绩效管理模式”的基本理念,但在战略、市场研究和法人治理等个别地方有所疏漏。作者以为,尽管 “卓越绩效管理模式”是针对企业或其他各类组织建设的,但其基本理念也同样适用于财务会计管理的“内部控制理论”的结构设计。
随着人们对内部控制的熟悉,积累的经验越多,对内部控制的理解就会随时间而改变,而这或多或少取决于影响和决定内部控制的诸多力量。并且,不同的利益群体对内部控制的观点存在不同的认识。例如,会计行业与非会计行业在关注内部控制的问题上是有重大差别的,如何将会计界的内部控制语言转换为管理界的内部控制语言,仍是一个需要长期沟通和探索的问题。