认识内部控制_提升企业绩效.doc

认识内部控制 提升企业绩效2009年浦东新区国资委根据财政部、证监会、审计署、银监会、保监会联合发布的企业内部控制基本规范，以浦国资委2009231号关于进一步做好新区直属公司内部控制工作的通知，正式启动规范新区直属公司内部控制工作。作为支撑，随之开展了由专业中介机构实施的针对各相关企业内部控制建设程度的评价工作，并据此将“内部控制建设”纳入对各企业绩效考核之中。2011年11月新区国资委在阶段性总结的基础上又专门召开推进会，取得了很好的推进效果。企业内部控制建设成为了提升企业绩效、优化企业监管的重要抓手。本文与大家分享关于企业内部控制的理解和认识。一、企业内部控制实践和理论的发展沿革尽管内部控制的历史可以追溯到久远的古代，但主要的发展还在于近百年。19世纪末20世纪初，美国工程师泰勒提出科学管理理论，内容包括对管理工作进行分工、明确划分计划职能、执行职能和实行管理的“例外原则”，要求上一级管理者只处理下级所不能解决的例外问题，而把日常事务授权给下级处理。泰勒的这些观点，既开创了科学管理的新阶段，又从另一侧面提出了建立内部控制的基本要求。20世纪40年代以后，企业规模不断扩大以及跨国公司大量涌现，资本的集中和市场的国际化，一方面经营地点的分散以及控制跨度的增加，导致企业管理层次增多，管理难度增大。企业出资人和管理者不能再像过去那样事事亲自过问，而只能通过内部管理机构对经营活动进行间接的指挥、调节和控制。在这种情况下，他们只能凭借包括财务报告在内的各种数据资料来分析考核下属经营单位的经营效率和效益，以及管理部门的管理责任履行情况。另一方面，企业规模的扩大和内部职能部门的增多，容易导致内部职责不清、协调不力，从而导致工作中的差错和舞弊。为了保证部门之间的权责分明和协调一致，客观上要求企业建立和完善包括组织机构、业务程序在内的具有自我控制、自我调节和自我监督功能的管理控制机制内部控制机制。 内部控制的发展如表一所示先后经历了内部牵制阶段、内部控制概念阶段、会计控制与管理控制阶段、内部控制架构阶段和一体化架构阶段，其中每一阶段的发展都是一个扬弃的过程。表一：企业内部控制的五个发展阶段内部控制阶段时期控制目标性质代表事件内部牵制20世纪40年代前保护公司现金和其他资产的安全、检查账簿记录的准确性会计控制双人记账和复式记账；L.R. Dicksee 1905年提出内部牵制；George E. Bennett于1930 年发展了内部牵制的概念。内部控制初步20世纪40年代末至70年代保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策会计控制和管理控制1953年10月颁布了审计程序说明第 19号，将内部控制分为会计控制和管理控制内部控制架构20世纪80年代末至90年代实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体会计控制、管理控制和环境控制1988年美国注册会计师协会发布了第55号审计准则说明书(SAS55)。该说明书提出了内部控制架构的概念一体化内部控制20世纪90年代以后经营效率或效果的提高、可靠的财务分析和报告、法律法规和制度的遵从环境控制、系统控制和交易处理控制COSO委员会，1992年发布内部控制整合框架，1994年修订。2002年美国国会出台了2002年公众公司会计改革和投资者保护法（SOX法案）全面风险管理2003年以后实现战略目标、有效和高效率地利用资源、可靠的财务分析和报告、法律法规和制度的遵从战略管理和内部控制COSO委员会，2004年发布企业风险管理整合框架内部牵制仅仅抓住了内部控制的部分内容，较为狭隘，于是内部控制概念取代了内部牵制；由于内部控制概念没有划分内部控制的构成要素，亦无法满足审计人员承担与会计报表相关的内部控制的关注责任，它又被随后提出的内部会计控制和内部管理控制所取代；内部会计控制被管理人员认为是审计准则制订者的武断行为，是将一块美玉击成了碎片，于是内部控制架构概念产生了；由于控制架构中控制程序这一要素并不能与控制环境及会计系统相并列，这一概念很快被内部控制整体框架所取代。内部控制是面向既定目标的，并未涉及目标设定本身，企业必须首先建立良好的战略管理机制，应对外部环境对企业目标和战略的影响，在认真分析内外部环境、充分理解企业使命、科学评估战略风险的基础上设定目标。因此内部控制必然发展成为全面风险管理，要求控制从战略规划开始，不仅保证目标实现，而且要保证企业目标支持和切合企业的使命。二、COSO内部控制及企业风险管理定义COSO关于企业内部控制的定义如下：内部控制是一个有企业董事会、管理层和其他员工实施的、旨在为下列目标的实现提供合理保证的过程：1、经营性目标与企业资源利用的效果和效率有关，以提高经营的有效性和效率；2、财务报告目标与编制可靠的公开财务报表有关，以提高财务报告的可靠性；3、合规目标与企业适用的法律法规有关，保证企业遵循适用的法律和法规。图1如图1所示，企业内部控制由相互关联并支撑的各层级、业务单元的内部控制组成，而每个层级和业务单元的内部控制都包含五个构成要素：控制环境、风险评估、控制活动、信息与沟通和监控。内部控制假设企业目标已经合理设定；控制环境是内部控制有效的根基；风险评估就是发现对企业目标有影响的事件、评估风险；控制活动有两个层面的含义，一是建立机制确保及时发现风险事件、制定应对方案，二是针对风险事件的控制措施有效；信息与沟通是内部控制的关键要素，内控系统必须以适当的方式在适当的时间范围内识别、获取、传递和沟通有关信息，以便员工能够履行其职责；监控是指对内部控制系统进行监控，是一个对内部控制体系运行质量进行评估的过程，它是企业监事会、审计委员会、内外部审计的重要职责所在。作为内部控制发展的结果，企业风险管理也是一个过程，应用于企业战略管理，并贯穿于企业各项管理之中，旨在识别可能会影响企业实现目标的潜在事项，管理风险以使其在企业的风险容量之内，为企业目标的实现提供合理保证。COSO的企业风险管理框架力求实现企业的四类目标：一是战略目标，该目标与企业使命关联，并支撑使命；二是企业经营目标，与战略目标关联，并支撑战略目标，要求有效和高效率地利用资源；三是报告目标，要求包括财务报告在内的所有企业报告都应该可靠、有效、无误；四是合规目标，要求企业必须遵循企业适用的所有法律、法规。不过我国企业在参照引用上述内部控制和企业风险管理时，应该注意到我国的公司治理结构与美国的不一致，应该有所调整，制定与我们公司治理结构相适应的内部控制，毕竟治理结构是控制环境的基础部分。三、企业内部控制与审计、企业风险管理和企业管理的关系及内部控制阶段1、企业内部控制与审计、企业风险管理和企业管理的关系图2整理了企业内部控制与审计、企业风险管理和企业管理之间的关系：企业管理是个大概念，企业管理包括企业发展过程的全部工作内容，包含了企业风险管理、内部控制和审计等所有的管理活动。企业内部控制是企业风险管理的重要组成部分。而审计是内部控制的组成部分，无论是内部审计还是外部审计，承担了重要的监控职能，评价风险管理、内部控控制的有效性。图22、内部控制建设阶段内部控制理论已经从当初的内、外部审计发展到内部控制，进而在本世纪初开始了全面风险管理。对一个企业而言，其21世纪的内部控制体系建设相应可以分为三个递进的阶段，即满足外部监管的合规型内控，企业自发提高经营效率效果的管理型内控，为增加股东价值而考虑企业风险管理的全面风险管理体系（如图3）。图31、合规型内控：以满足国家政策法规（如SOX法案）、证监会行业法规（如美国证监委审计师规则2）和证卷交易所守则（如香港联交所管治常规）为特点，强调财务分析和报告的可靠性和遵从各项法律法规和制度。2、管理型内控：要求企业在企业管理的各个环节和经营过程中建立健全内控管理体系，将内控活动融入日常经营活动，执行和评价内部控制体系的有效性，降低不确定因素对经营目标实现的影响，从而实现企业既定的总体经营目标。3、全面风险管理：则是要求企业作为市场经营主体，在充分考虑内、外部风险及其变化的复杂条件下，制定切实可行的战略和运营目标，并建立健全全面风险管理体系，通过在企业管理的各个环节和经营过程中执行风险管理流程，培育良好的风险管理文化，确保企业实现其即基本又终极的目标确保股东价值最大化。四、相关各方对企业内部控制的要求从图1企业董事会和经营层（以下简称“企业管理当局”）负责全部的企业管理工作，而出资人、履行政府市场监管职责的管理部门、公众投资人、金融监管、证券市场监管部门、国有资产监管部门以及其他相关人则从各自的角度对企业进行监管。履行政府市场监管职责的管理部门关注一般合规性。政府监管的目的是营造有力企业发展和公平竞争的环境，它对企业进行分类管理，通过公司法等分类企业法规定企业基本的治理结构和要求，结合会计法、工商管理法规等法律法规，建立起基本的内部控制基础内控环境，其焦点在于“合规性”，相当于企业内部控制之合规性目标。证券市场的参与者和监管部门主要关注财务报告的可靠性。证券市场的参与者和监管部门面对的是公众企业，参与者通过财务报告披露的企业财务状况、经营情况和现金流量等情形决定投资行为，因此财务报告的可靠性是第一重要的。为了达到目的，监管部门从初始强调外部审计作用、把好报告鉴证关逐步发展为对保证报告可靠的内部控制的强调，前者是结果控制，后者是过程控制。正是因此，美国国会在接受了安然、世通、等报告欺诈后专门出台了SOX法案。金融监管等行业监管部门主要关注行业合规性。以金融监管为例，其监管的对象是金融企业的经营行为，其关注的并不是企业风险管理和内部控制所要达到的所有目标，他们更多的是关注行业规范是否被执行，企业的经营成果、经营效率，以及企业目标的完成程度不是他们关心的内容。企业出资人及国有资产监管部门（以下简称“国资委”）的要求则包含了战略目标、经营目标、报告目标和合规性目标全部四类。国资委是履行国有资产出资人职责的机构，对于拥有国有资产的企业，国资委与其他的出资人一样，依据对企业的所有权履行相应的监管职责，关注的是全面风险管理。企业管理当局的所有权力都来自于出资人的授权，出资人根据管理当局内部控制建设的程度对他们适当授权。换句话说，如果企业建立了有效地内部控制，出资人可以超乎公司法对管理当局进一步放权，反之出资人将缩小授权。任何不顾内部控制的收放权都是不恰当的，这不是简单的信任问题，而是科学管理之道。受出资人委托，监事会任务就是检查、评价企业内部控制目标是否达成以及内部控制本身的有效性，前者帮助出资人实现对既定目标的管控，后者则是对过程的控制、控制风险。证券市场的参与者（投资者）与一般的企业出资人有区别，前者大多数是财务投资人，占有被投资企业股份微小，且可以通过自由买卖来兑现股份。只要公众公司的报告真实可靠，其他的事就决定于投资人自己了，对公司前景看好或对股价看涨就买入、持有，反之则可以“用脚投票”；而一般出资人，特别是国资委，“用脚投票”就没那么容易了，他们承担更大的风险。目前大部分企业都以努力建设能够通过外部监管要求的合规型内控为第一要义，甚至有的企业认为满足SOX法案要求便是建立了非常完善的内部控制体系，把内部控制的初级目标当成终极目标来追求。国务院国资委站在出资人的角度，跳出了这一迷阵，随着其中央企业全面风险管理指引在中央企业中的认真贯彻和实施，将企业从被动的合规型内控向主动的管理型内控跃进，实现国务院委托监督管理国有资产，确保国有资产保值、增值的重任。五、我国推行内部控制的历史轨迹 在我国，内部控制也是一个古老的话题，不过现代意义上的内部控制开展得相对较晚。由于体制和人力资源等的原因，人们对内部控制、风险管理的认识和实践都还处在初级阶段。不过美国安然、世通等欺诈事件以及近两年中国在美国上市公司的遭遇给我们带来了很大震撼，形成了一种外部倒逼的形势，未来可期。下面是我国推进内部控制的历史轨迹：1999年10月31日，修订后的会计法首次以法律的形式对建立健全内部控制提出原则要求。其中，第四章会计监督第27条要求，各单位应当建立、健全本单位内部会计监督制度。 2001年6月22日，财政部发布内部会计控制规范基本规范(试行)、内部会计控制规范货币资金(试行)。 2006年5月17日，证监会发布首次公开发行股票并上市管理办法。第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。 2006年6月5日上交所发布上海证券交易所上市公司内部控制指引，要求同年7月1日开始执行。 2006年9月28日深交所发布深圳证券交易所上市公司内部控制指引，自2007年7月1日起施行。 2006年6月16日，国资委发布中央企业全面风险管理指引，对内控、全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等进行了详细阐述。 2006年7月15日，财政部发起成立了企业内部控制标准委员会；中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。 2007年