内部控制:一个棘手的任务
来源: 张连起
2004-07-12
普通
对付财务会计领域的“泛假主义”,无论如何离不开“两手抓”:一手抓结果,即财务会计报告,另一手抓过程,即生成财务信息的内部控制。以往,会计主管部门似乎“一手硬,一手软”,重会计报表而轻内部控制。面对财务舞弊手段“日日新、苟日新、又日新”的窘况,它终于意识到“两手抓,两手都要硬”的伟大意义,于是,义无反顾地走上内部会计控制体系建设的漫漫途程。
“内部控制”理念的演进
在近、现代的内部控制发展史上,占了先机的是美国人。1947年,美国注册会计师协会(AICPA)下属的审计程序委员会(CAP)在其《审计准则暂行公告》中第一次提出了内部控制概念。1949年,审计程序委员会发表了一份特别报告——《内部控制:一种协调性系统要素及其对管理当局和注册会计师的重要性》。在这份报告中,CAP对内部控制作了如下定义:“内部控制是企业为了保证资产的安全完整,检查会计资料的准确性和可靠性,提高经营效益,推动企业贯彻执行既定的各项政策而采取的组织规划和一系列相互协调的方法与措施。”这里,内部控制的范围不止在财务会计方面,“提高经营效益”、“推动企业贯彻执行既定的各项政策”皆被列入了内部控制目标。对于注册会计师而言,要做企业管理的“万能医生”,所承担的,似乎是“不可能完成的任务”。
有鉴于此,1963年,AICPA在《审计程序公告第33号》(SAP No.33)中将内部控制做了划分,表述为会计控制和管理控制,前者旨在保护企业资产完整,检查会计信息的可靠性,后者在于促使有关人员遵守既定的管理政策,提高经营的有效性。根据SAP No.33,“注册会计师主要关注会计控制”,“如果独立审计人员认为某些管理控制可能对财务记录可靠性有影响,可以考虑评价管理控制”。
1988年,AICPA在《审计准则公告第55号》(SAS No.55)中以“内部控制结构”的提法替代了“内部控制”,认为“企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”,并确立了内部控制结构的三要素——控制环境、会计系统和控制程序,这被认为是内部控制概念发展的一个里程碑。
1992年,美国国会“反对虚假财务报告委员会”(National Commission on Fraudulent Reporting,又称Treadway Committee)所属的Treadway委员会发起成立COSO委员会,发布了COSO报告——《内部控制——整体架构》,报告指出:“内部控制是由企业董事会、管理层和其他员工制定和实施的,旨在为经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程。”并归纳了内部控制的“五大要素”:(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。鉴于COSO报告对内部控制的认定与《审计准则公告第55号》(SAS No.55)有较大差距,AICPA于1995年发布了《审计准则公告第78号》(SAS No.78),修改了SAS No.55,全面接受了COSO报告的观点。
2002年,美国政府颁布了《萨班斯一奥克斯利法案》(SOX法案),要求所有依照美国1934年证券交易法第13(a)或15(d)节的规定向证券交易委员会(SEC)提交财务报告的上市公司,都要在年报中提供“内部控制报告”,评价公司内部控制设计及其执行的有效性,注册会计师要对企业的“内部控制报告”进行审核和报告。公司的首席执行官与首席财务官须出具书面保证,不仅要确保财务会计报告的真实性,还要确保公司拥有完善的内部控制系统——堪称“两手抓”方针下的实证样本。
是内生,还是靠外力
我国对企业内部控制建设的推进发轫于上世纪90年代,有关部门相继出台了若干涉及内部控制的文件:
——1996年12月,财政部发布了《独立审计准则第9号——内部控制和审计风险》,提出了内部控制“三要素”,帮助注册会计师判断是否信赖内部控制,以确定审计的性质、时间与范围。
——1997年5月,中国人民银行发布了《加强金融机构内部控制的指导原则),就银行、保险公司等金融机构内部控制的目标;原则、要素、基本要求等作出了规范。
———2000年11月,证监会发布了《公开发行证券公司信息披露编报规则》,要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度,并在招股说明书正文中说明内部控制制度的完整性、合理性和有效性,同时,要求注册会计师对被审计者的内部控制制度及风险管理的“三性”进行评价和报告。
——2001年1月,证监会发布了《证券公司内部控制指引》,要求所有的证券公司建立和完善内部控制机制和内部控制制度。
——2001年6月,财政部发布了《内部会计控制——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》,明确了单位建立和完善内部会计控制体系的基本框架和要求,以及货币资金内部控制的要求。
——2002年2月9日,中国注册会计师协会发布《内部控制审核指导意见》,规范注册会计师就被审核单位管理当局在特定日期对内部控制有效性的认定进行审核,并发表审核意见。
——2002年12月,财政部又发布了《内部会计控制规范——采购与付款(试行)》和《内部会计控制规范——销售与收款(试行)》。之后,又相继发布《内部会计控制规范——担保(征求意见稿)》、《内部会计控制规范——成本费用(征求意见稿)》。
——2003年10月22日,财政部发布了《内部会计控制规范——工程项目(试行)》,主张各单位应当建立适合本单位业务特点和管理要求的工程项目内部管理制度,并组织实施。
根据财政部会计司最初的规划,“《内部会计控制规范》采取分批分步制定实施的方式,针对当前会计及相关工作中管理最为薄弱的环节,先制定迫切需要的《内部会计控制规范》,如货币资金、工程项目、采购与付款、销售与收款等环节的控制,成熟一个发布一个”。“‘基本规范’和‘货币资金规范’,只是内部会计控制规范的开始。嗣后,财政部将加快相关内部会计控制规范的建设步伐,力争用2—3年的时间,建立起适应我国经济发展要求的内部会计控制规范体系”。这是一个棘手的任务,更难的,还在于要在千千万万个企业中生根、滋长。
从企业的角度看,政府的着力推动自然属于外力,然而,从内部控制的起源研判,内部控制的产生其实是企业发乎内心的真切需要。即使在早期的业主制组织中,由于所有权与经营权两权合一,业主出于保护自身资产、防范错误和舞弊的考虑,便已设置诸如账款分离、定期盘点等关键控制点。
随着企业规模的扩大与企业组织形式的复杂,内部控制的动因开始迷离起来。尤其在以两权分离为特征的现代大型企业里,企业的利益相关者骤增,业主和企业的关系不再像业主制或合伙制企业那样边界模糊,股东只能对企业保持一种“疏离的眷恋”(detached attachment),日益普遍的“强执行、弱股东”格局甚至有将股东边缘化为“外部人”的征兆。至于“一股独大”的国有企业,经营管理层体会到“内部人控制”更容易带来职务方便,因而,集体无意识地认为内部控制缺失比内部控制有效更对自己有利,倾向于浑水摸鱼者必然多于清流运作者。
反倒是注册会计师这样的“外人”对内部控制的影响来得直接,甚至起着关键的推动作用。假如企业管理层的内部控制设计合理且执行有效。那么,注册会计师的标准无保留审核意见的报告就相当于“背书”,肯定会给财务会计报告的使用者传递积极的信号;一旦企业管理层的内部控制设计与执行存在重大缺陷,注册会计师发表的非标准无保留审核意见等于为企业改善内部控制提供了线索,给财务会计报告使用人作了特别的提醒。是的,实质面(最终的经营业绩反映于财务会计报告)固然重要,而程序面(平时的内部控制制度反映于审核报告)同样不可或缺——双轨确认已成为国际上鉴别财务会计报告质量的通行做法。
控制环境为基,执行有效为源
如果我们把企业理解为一个和股东隔着一层“面纱”(veil)的独立实体,那么公司治理结构可以理解为“主外”,公司内部控制“主内”,由此延伸出企业的两大控制:一是所有者对经营者的控制;二是经营者对企业经营管理活动的控制。过去,内部控制指的是第二层控制,但现实的发展促使内部控制和公司治理发生交集融合,公司治理要“沉入”到第二层的控制中,否则,无法防止“内部人控制”对所有者利益的侵蚀;内部控制政策与程序则要“上升”到公司治理结构中,否则,公司治理不免“形备而神不至”。
国人常讲,“正心、诚意、修身、齐家、治国、平天下”,可谓是一种“由内而外的美”。做人如是,做企业亦当如是。内部控制毕竞是一个极富弹性的制度,倘若公司管理层偏激地认为只针对下属,只具防错纠弊功能,忽视了内部控制对支撑现代公司治理结构的重大意义,忽视了内部控制可以提升经营效率的积极目的,为了省却执行内部控制可能的花费,破坏制度应有的程序,则内部控制就会降格为“放在抽屉里,挂在墙上”的纸介质。
“我们必须始终如一地遵守内部控制,直到被伤害为止。”一位美国内部控制专家如是说。
控制环境包括操守与道德价值、董事会职责、管理哲学与管理形态、组织结构、职权分工与人力资源政策。内部控制的有效性随着建立、执行和监督此控制人员的操守与道德价值优劣而定。例如,操守较差者可能为获取高额绩效奖金或实现利润目标,而采取不当行为或编制虚假财务报表。董事会承诺建立、健全内部控制是一种“简单的美丽”,尽管董事会的承诺并不能使可能无效的内部控制变为有效的内部控制,但董事会及其所属委员会(比如审计委员会)可以确立内部控制审核的“三角关系”,实现内部审计与外部审计的互动,从而减少弊端的滋生。企业经营能否蒸蒸日上,则有赖于管理层的经营哲学,能否在不好高婺远的情形下,看到长远的未来,在不急功近利的情形下,把握时代的脉动,即形成沐浴员工的企业文化——“君子之德,风;小人之德,草;草上之风,必偃。”至于适当的人员拥有适当的职权,被选任的控制人员能胜任所执行的工作,更是成了控制环境的精髓。
内部控制有效的公司,其幸福是共同的(控制环境良好),而内部控制失效的公司,却各有各的不幸。
有着200多年历史,资本雄厚的巴林银行,在衍生性金融产品的不当操作下宣告破产,即是一桩百分之百内部控制失效的例证。虽然稽核人员早已稽核出来其操作异常,但因为管理当局的宽贷,违背了内部控制的精神,终究使这家历史悠久的银行回天乏术。曾经以利润高速增长现身的“郑百文”,在初步成绩面前,头昏脑热,奉行激进扩张的管理哲学,对众多的下属子公司管理失控,迅速跌入经营失败的困境,上演了一幕扼腕长叹的悲剧。更有离奇者,像银广夏,表面上有关凭证审核、批准等控制环节齐全,背地里却是一个不折不扣的造假链!
“一个人做一件好事并不难,难的是一辈子做好事,不做坏事。”设计内部控制制度类似于“做一件好事”,不算太难,而执行内部控制制度类似于“一辈子做好事”,有难度。
“钻一次空子、统一次制度、违一次规不至于暴露吧。”倘若一个人总是这样想、这样做,倘若很多人都偶尔这样想、这样做,倘若很多人都总是这样想、这样做,内部控制制度就是“若有还无”了。
中国内部控制体系建设,确是一件棘手的任务——东方文化的不认真成分,管理舞弊的巨大冲动,实用主义的价值观导向,人们意识中逾越控制的惯性,实务控制理论的缺失……都在印证“棘手”的难度。但愿,不要成为“不可能完成的任务”。
我们可以原谅粗陋的控制缺陷,甚至可以原谅疑似控制,但绝不能原谅精心的伪控制。
“内部控制”理念的演进
在近、现代的内部控制发展史上,占了先机的是美国人。1947年,美国注册会计师协会(AICPA)下属的审计程序委员会(CAP)在其《审计准则暂行公告》中第一次提出了内部控制概念。1949年,审计程序委员会发表了一份特别报告——《内部控制:一种协调性系统要素及其对管理当局和注册会计师的重要性》。在这份报告中,CAP对内部控制作了如下定义:“内部控制是企业为了保证资产的安全完整,检查会计资料的准确性和可靠性,提高经营效益,推动企业贯彻执行既定的各项政策而采取的组织规划和一系列相互协调的方法与措施。”这里,内部控制的范围不止在财务会计方面,“提高经营效益”、“推动企业贯彻执行既定的各项政策”皆被列入了内部控制目标。对于注册会计师而言,要做企业管理的“万能医生”,所承担的,似乎是“不可能完成的任务”。
有鉴于此,1963年,AICPA在《审计程序公告第33号》(SAP No.33)中将内部控制做了划分,表述为会计控制和管理控制,前者旨在保护企业资产完整,检查会计信息的可靠性,后者在于促使有关人员遵守既定的管理政策,提高经营的有效性。根据SAP No.33,“注册会计师主要关注会计控制”,“如果独立审计人员认为某些管理控制可能对财务记录可靠性有影响,可以考虑评价管理控制”。
1988年,AICPA在《审计准则公告第55号》(SAS No.55)中以“内部控制结构”的提法替代了“内部控制”,认为“企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”,并确立了内部控制结构的三要素——控制环境、会计系统和控制程序,这被认为是内部控制概念发展的一个里程碑。
1992年,美国国会“反对虚假财务报告委员会”(National Commission on Fraudulent Reporting,又称Treadway Committee)所属的Treadway委员会发起成立COSO委员会,发布了COSO报告——《内部控制——整体架构》,报告指出:“内部控制是由企业董事会、管理层和其他员工制定和实施的,旨在为经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程。”并归纳了内部控制的“五大要素”:(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。鉴于COSO报告对内部控制的认定与《审计准则公告第55号》(SAS No.55)有较大差距,AICPA于1995年发布了《审计准则公告第78号》(SAS No.78),修改了SAS No.55,全面接受了COSO报告的观点。
2002年,美国政府颁布了《萨班斯一奥克斯利法案》(SOX法案),要求所有依照美国1934年证券交易法第13(a)或15(d)节的规定向证券交易委员会(SEC)提交财务报告的上市公司,都要在年报中提供“内部控制报告”,评价公司内部控制设计及其执行的有效性,注册会计师要对企业的“内部控制报告”进行审核和报告。公司的首席执行官与首席财务官须出具书面保证,不仅要确保财务会计报告的真实性,还要确保公司拥有完善的内部控制系统——堪称“两手抓”方针下的实证样本。
是内生,还是靠外力
我国对企业内部控制建设的推进发轫于上世纪90年代,有关部门相继出台了若干涉及内部控制的文件:
——1996年12月,财政部发布了《独立审计准则第9号——内部控制和审计风险》,提出了内部控制“三要素”,帮助注册会计师判断是否信赖内部控制,以确定审计的性质、时间与范围。
——1997年5月,中国人民银行发布了《加强金融机构内部控制的指导原则),就银行、保险公司等金融机构内部控制的目标;原则、要素、基本要求等作出了规范。
———2000年11月,证监会发布了《公开发行证券公司信息披露编报规则》,要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度,并在招股说明书正文中说明内部控制制度的完整性、合理性和有效性,同时,要求注册会计师对被审计者的内部控制制度及风险管理的“三性”进行评价和报告。
——2001年1月,证监会发布了《证券公司内部控制指引》,要求所有的证券公司建立和完善内部控制机制和内部控制制度。
——2001年6月,财政部发布了《内部会计控制——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》,明确了单位建立和完善内部会计控制体系的基本框架和要求,以及货币资金内部控制的要求。
——2002年2月9日,中国注册会计师协会发布《内部控制审核指导意见》,规范注册会计师就被审核单位管理当局在特定日期对内部控制有效性的认定进行审核,并发表审核意见。
——2002年12月,财政部又发布了《内部会计控制规范——采购与付款(试行)》和《内部会计控制规范——销售与收款(试行)》。之后,又相继发布《内部会计控制规范——担保(征求意见稿)》、《内部会计控制规范——成本费用(征求意见稿)》。
——2003年10月22日,财政部发布了《内部会计控制规范——工程项目(试行)》,主张各单位应当建立适合本单位业务特点和管理要求的工程项目内部管理制度,并组织实施。
根据财政部会计司最初的规划,“《内部会计控制规范》采取分批分步制定实施的方式,针对当前会计及相关工作中管理最为薄弱的环节,先制定迫切需要的《内部会计控制规范》,如货币资金、工程项目、采购与付款、销售与收款等环节的控制,成熟一个发布一个”。“‘基本规范’和‘货币资金规范’,只是内部会计控制规范的开始。嗣后,财政部将加快相关内部会计控制规范的建设步伐,力争用2—3年的时间,建立起适应我国经济发展要求的内部会计控制规范体系”。这是一个棘手的任务,更难的,还在于要在千千万万个企业中生根、滋长。
从企业的角度看,政府的着力推动自然属于外力,然而,从内部控制的起源研判,内部控制的产生其实是企业发乎内心的真切需要。即使在早期的业主制组织中,由于所有权与经营权两权合一,业主出于保护自身资产、防范错误和舞弊的考虑,便已设置诸如账款分离、定期盘点等关键控制点。
随着企业规模的扩大与企业组织形式的复杂,内部控制的动因开始迷离起来。尤其在以两权分离为特征的现代大型企业里,企业的利益相关者骤增,业主和企业的关系不再像业主制或合伙制企业那样边界模糊,股东只能对企业保持一种“疏离的眷恋”(detached attachment),日益普遍的“强执行、弱股东”格局甚至有将股东边缘化为“外部人”的征兆。至于“一股独大”的国有企业,经营管理层体会到“内部人控制”更容易带来职务方便,因而,集体无意识地认为内部控制缺失比内部控制有效更对自己有利,倾向于浑水摸鱼者必然多于清流运作者。
反倒是注册会计师这样的“外人”对内部控制的影响来得直接,甚至起着关键的推动作用。假如企业管理层的内部控制设计合理且执行有效。那么,注册会计师的标准无保留审核意见的报告就相当于“背书”,肯定会给财务会计报告的使用者传递积极的信号;一旦企业管理层的内部控制设计与执行存在重大缺陷,注册会计师发表的非标准无保留审核意见等于为企业改善内部控制提供了线索,给财务会计报告使用人作了特别的提醒。是的,实质面(最终的经营业绩反映于财务会计报告)固然重要,而程序面(平时的内部控制制度反映于审核报告)同样不可或缺——双轨确认已成为国际上鉴别财务会计报告质量的通行做法。
控制环境为基,执行有效为源
如果我们把企业理解为一个和股东隔着一层“面纱”(veil)的独立实体,那么公司治理结构可以理解为“主外”,公司内部控制“主内”,由此延伸出企业的两大控制:一是所有者对经营者的控制;二是经营者对企业经营管理活动的控制。过去,内部控制指的是第二层控制,但现实的发展促使内部控制和公司治理发生交集融合,公司治理要“沉入”到第二层的控制中,否则,无法防止“内部人控制”对所有者利益的侵蚀;内部控制政策与程序则要“上升”到公司治理结构中,否则,公司治理不免“形备而神不至”。
国人常讲,“正心、诚意、修身、齐家、治国、平天下”,可谓是一种“由内而外的美”。做人如是,做企业亦当如是。内部控制毕竞是一个极富弹性的制度,倘若公司管理层偏激地认为只针对下属,只具防错纠弊功能,忽视了内部控制对支撑现代公司治理结构的重大意义,忽视了内部控制可以提升经营效率的积极目的,为了省却执行内部控制可能的花费,破坏制度应有的程序,则内部控制就会降格为“放在抽屉里,挂在墙上”的纸介质。
“我们必须始终如一地遵守内部控制,直到被伤害为止。”一位美国内部控制专家如是说。
控制环境包括操守与道德价值、董事会职责、管理哲学与管理形态、组织结构、职权分工与人力资源政策。内部控制的有效性随着建立、执行和监督此控制人员的操守与道德价值优劣而定。例如,操守较差者可能为获取高额绩效奖金或实现利润目标,而采取不当行为或编制虚假财务报表。董事会承诺建立、健全内部控制是一种“简单的美丽”,尽管董事会的承诺并不能使可能无效的内部控制变为有效的内部控制,但董事会及其所属委员会(比如审计委员会)可以确立内部控制审核的“三角关系”,实现内部审计与外部审计的互动,从而减少弊端的滋生。企业经营能否蒸蒸日上,则有赖于管理层的经营哲学,能否在不好高婺远的情形下,看到长远的未来,在不急功近利的情形下,把握时代的脉动,即形成沐浴员工的企业文化——“君子之德,风;小人之德,草;草上之风,必偃。”至于适当的人员拥有适当的职权,被选任的控制人员能胜任所执行的工作,更是成了控制环境的精髓。
内部控制有效的公司,其幸福是共同的(控制环境良好),而内部控制失效的公司,却各有各的不幸。
有着200多年历史,资本雄厚的巴林银行,在衍生性金融产品的不当操作下宣告破产,即是一桩百分之百内部控制失效的例证。虽然稽核人员早已稽核出来其操作异常,但因为管理当局的宽贷,违背了内部控制的精神,终究使这家历史悠久的银行回天乏术。曾经以利润高速增长现身的“郑百文”,在初步成绩面前,头昏脑热,奉行激进扩张的管理哲学,对众多的下属子公司管理失控,迅速跌入经营失败的困境,上演了一幕扼腕长叹的悲剧。更有离奇者,像银广夏,表面上有关凭证审核、批准等控制环节齐全,背地里却是一个不折不扣的造假链!
“一个人做一件好事并不难,难的是一辈子做好事,不做坏事。”设计内部控制制度类似于“做一件好事”,不算太难,而执行内部控制制度类似于“一辈子做好事”,有难度。
“钻一次空子、统一次制度、违一次规不至于暴露吧。”倘若一个人总是这样想、这样做,倘若很多人都偶尔这样想、这样做,倘若很多人都总是这样想、这样做,内部控制制度就是“若有还无”了。
中国内部控制体系建设,确是一件棘手的任务——东方文化的不认真成分,管理舞弊的巨大冲动,实用主义的价值观导向,人们意识中逾越控制的惯性,实务控制理论的缺失……都在印证“棘手”的难度。但愿,不要成为“不可能完成的任务”。
我们可以原谅粗陋的控制缺陷,甚至可以原谅疑似控制,但绝不能原谅精心的伪控制。