企业内控实施机制新制度经济学分析

*(扬州大学= >本文利用新制度经济学理论构建内控规范实施机制分析框架,内控规范的实施效果与其实施机制、非正式内控水平密切相关,而所采取的实施机制的强弱则与非正式内控水平负相关。针对当前我国非正式内控制度水平较低的现实,应对内控规范采取强实施机制。本文分析发现我国现有内控实施机制单一、残缺,故必须从法律、、公司治理准则政策等不同层次构建一套相互衔接的、以奖惩机制为的内控实施机制。=>内控规范非正式内控制度实施机制理论框自20世纪90年代至今的近二十,缘于频发的公司失败及舞弊案引起的巨大效应,内部控制受到全球各界广泛关注。许多国家和地区都先后颁布内部控制及风险管理框架或指引¹。但就在如火如荼实施SOX法案、COSO推出内控新框架)))全面风险管理框架(ERM)期间,却又爆发了危及全球的金融,这使得人们不得不对内控框架本身所能产生的作用产生疑虑。问题的根源在于,任何一项没有实施机制的制度只能是制度的纸质复本实施机制才是制度功效得以实现的关键。目前全球不同国家和地区对所颁布的内控框架采用了并不完全相同的实施机制,有的通过公司治理准则或证交所上市规则等律或非机构实施,有的通过法律或机构直接实施,有的并没有正式实施机制。为迎接世界经济竞争的,促进企业夯实内控基础,在借鉴国际已有先进成果的基础上,充分考中国企业的实际问题,我国财政部等五部委于2008年颁布5内部控制基6,并将于2011年起从上至下、逐步全面推进施行。对此,理论界和实务界肯定和否定并存:一种是欢呼和赞同,认为中国终于有了中国版/SOX0法案;另一种则是疑虑和担忧,疑虑的是是否有必要如此广泛地用力量推行内控规范,担忧的是如何能防止内控规范的实施流于形式。国内现有内部控制研究文献主要有两类,一类是围绕内部控制本质、概念框架及其发展问题展开(五、红,2001;, 、;, 、),另一类是围绕内控信息披露及其问题展开的(等,2003;,2005;等,2007;红等,2008、2009),而较少有文献涉及内控规范实施问题的研究,甚或大都隐含假定实施机制是完全的。但事实并非如此, 本文是国家社科基金项目/基于公司治理的内部控制评价与信息披露研究0(08BJY023)与教育部人文社科项目/企业内部控制规范实施机制设计和选择理论框架和0阶段性研究成果。 文献表明中国内控信息披露政策并没有得到很好的执行。当前如此全面、系统地由上至下推行实施内控规范,不仅在我国,甚至国际上都还没有先例。因此,现有制度背景下究竟应采用什么样的实施机制才能有助于促进企业内部控制制度的建立和健全,才能以符合成本效益的原则推进内控规范的实施,实施机制与内控规范及非正式内控之间究竟存在什么样的关系,完整的内控实施机制应具备哪些要素,是当前我国各界所的、急需回答的理论和实践问题。本文试图运用新制度经济学理论构建一个分析框架,对上述问题予以解释和回答。除第一部分引言外,本文以下部分是这样安排的:第二部分构建内控规范实施机制的理论分析框架;第三部分是理论分析框架的历史印证;第四部分是对我国现有内控规范实施机制的评析和思考。为建立具有一般指导意义的内控规范实施机制的分析框架,并用以分析在我国制度环境下应采取何种内控实施机制,不同实施机制将会产生什么样的效应,本文试图借鉴新制度经济学理论建立一个分析框架。为便于推演和说明,本文首先对相关基本概念进行界定,在此基础上再构建基本分析模型,(一)按照新制度经济学理论,诺思,1990),制度功能的发挥有赖于这三者之间的有机配合。结合本研究,对以下基本概念分别进行界定。正式内控制度:是指有正式机构以文件形式颁布的内部控制规范、框架、指引及与内部控制相关的要求和规定º(用F表示)。非正式内控制度:是指在没有正式机构要求或正式内控文本颁布的情况下,企业自身的内控意识、惯例等的综合体。本文用W表示非正式内控制度水平,WH、W分别表示非正式内控制度水平高、低两种实施机制:是指针对正式内控制度的实施机制,包括对执行或正式内控制度的行为主体以各种形式予以或惩处,从而使其得以实施的条件和的总称。具有明确的、可执行的奖惩机制是实施机制的(用e表示)。正式内控制度的效果:是指颁布正式内控制度所要达到的预期目标和结果。(Q表示)(二)分析模型的构建任何一项完整的制度都由正式制度、非正式制度及其实施特征构成,而且制度实施特征往往与非正式制度之间还存在一定关系,基于这样的认识,我们建立以下分析模型:QQ(F,We 函数式(

9Q\

299e2[09

-9Q\0»(1)QF7e的函数,e7之间还存在内在关系;¹F、7既定时,Qe的增强而提高;º式表明在达到一定的临界点后,加强e,Q的增幅是递减的,即加强实施机制对提高制度实施效果是有限度的;»Q7的增函数,即非正式内控制度水平越高,正式内控制度效果就越好,º按照该定义,我国财政部颁布的5内部会计控制基6(200)、财政部等五部委颁布的5内部控制基6(2008)、COSO颁布的5内部控制整合框架6(992)及其后颁布的5全面风险管理框架6(2004)、英国的财务报告(FRC)颁布的5Turnbull报告6(999、2005)、CoCo颁布的5控制指引6(995)、会计师公会颁布的5内部控制与风险管理)))一个基本框架6(2005)等均属于正式内控制度,以下简称正式内控制度或内控规范。(三)1:在一定时期内,7H7,Qe的强弱。为了证明(分析说明)上述命题,可分两种情形进行讨论:情形1:在7时,再分别e在以下三种不同水平(零0、弱W、强S)情况下,Q的高低(1)e=0的情况下,即根本就不存在正式内控制度的实施机制 F就不可能发挥作用,这时F就,2)e=w(即正式内控制度实施机制弱)的情况下,即实施机制不健全,或没有相应的奖惩激励机制,使得F难以完全落到实处,则Q低。3)e=s(即正式内控制度实施机制强)的情况下,即实施机制健全,且对责任主体都有明确的、可以执行的奖惩激励机制,F就会得到很好的,则Q高。情形2:在7H时,再分别e在以下三种不同水平(零0、弱W、强S)情况下,Q的高低(1)e=0的情况下,即根本就不存在正式内控制度的实施机制,F就不可能发挥作用,Q为零。这时,现实中可能会感受到内控制度的效果,但那其实是非正式内控制度7所发挥的作用。2)e=w(即正式内控制度实施机制弱)的情况下,即实施机制不健全,或没有相应的奖惩激励机制,使得F难以完全落到实处,则Q低。3)e=s(即正式内控制度实施机制强)的情况下,即实施机制健全,且对责任主体都有明确的、可以执行到位的奖惩激励机制,F就会得到很好的,则Q高。综上所述,无论是在非正式内控制度高还是低的情形下,要使得正式内控制度发挥作用,e的强弱,命题1得证,说明内控正式制度实施机制的存在、完整性,以及具有明确的、可执行的奖惩机制,对正式内控制度实施效果是至关重要的。2:在正式内控制度既定的情况下,Q,7e7H2,对函数式(1)取微分得dQdQde

W W

Q为既定的量,dQ0;F为既定,9QdF0所以0=9Qde+ 由¹、»9Q\0,9Q\0可得dW(e)=-9Q/9e[ d 9Q¾式dW(e)[0表明:当正式内控制度F既定,要达到同样的 e与W之间存在着负相关关系,deWº式,我们知道实施机制的这种弥补作用也不能过度,否则会导致边际收益递减。1、21予以说明:(1)第1象限的曲线表明正式内控制度效果Q与实施机制e之间存在正相关关系,而且增加幅度呈递减趋势;(2)第2象限的无差异曲线表明要达到一定程度的正式内控制度效果Q,e与非正式内控制度水平之间存在一定的替代关系;()在具有相同的正式内控制度F的情况下,Q1,1eS、1W,而曲线2对应eWWH,即在非正式内控制度水平较低的情况下,应采取较强的实施机制,反之,则采取较弱的实施机制。由于相对于正式制度及其实施机制而言,非正式制度的变化要缓慢得多(诺思,2007,P48),因此,在较短时间跨度内,在正式内控制度既定的情况下,实施机制是更激烈的灵活变量,更有其变化的空间,是政策制定者可以采取措施的重点对象和领域»。命题1、2给我们的启示是:在我国非正式内控水平较低的情形下我国制定的内控规范已与世界发达国家颁布的内控框架相当要达到相应效果Q就必须要有相应的实施机制,而且必须采取强实施机制。3:动态地看,e有助于促进正式内控制度内化为企业的自觉行为,发挥提高非正式内控制度水平W的作用,这可以称之为实施机制的累积效应。命题1、2都是从静态角度分析实施机制e的作用,从动态角度来看,实施机制e还具有促进正式内控制度内化的作用。根据诺思(2005)的认知模型,个人作出选择的关键是其感知,而感知部分来自于其所且必须解决的日常问题,部分来自于学习的结果。因此,内化作用能否发挥的关键在于使企业(尤其是其管理)认识并感知到执行内控规范的益处及不执行而的损失及惩处的压力。前者包括在实面企业的警示效果后者则依赖于实施机制奖惩作用的发挥。这些都有赖于实施机制的累积影响即实施机制的内化是一个较长的过程,其效应并不立即显现,而会相对滞后。因此,从时间跨度来看,当前(t0)较(es)会提高以后期间(t1~)非正式内控制度的水平(WH),从而可以在以后期间降低实施机制的强度即变为ew),类似于图1AyBCyD的移动和变化。从上述分析框架可知,正式内控制度的效果取决于其是否具有相应的实施机制,而实施机制的强弱则自20世纪90年代以来,英、加、澳、欧盟、等国家和地区将内部控制要求嵌入陆续颁布的公司治理准则,并得到各国证交所上市规则的支持,上市规则要求上市公司对内控规范采取/遵循或解释(complyorexplain)0方式实施,该方式被认为较好地实现了法律与市场约束的均衡(#卡得,2005)。在SOX法案后,有学者就英国是否要采取类似于的强制性实施方案进行问卷,结果发现被对象大多支持现有实施方式,而不赞同采取,他们坚信这样更有助于管理对内控指引实质精神的和执行(#、#,2006)。这些国家和地区之所以对控指引采取非强制实施机制是因为其公司法中已严格明确了董事、高管在财务报告方面的责任在有效率的法律制度和司法系统环境下形成了人们对法律的合理预期(,2008),并在长期环境下形成了较高的自律传统,而且这种律实施机制使得对内部控制的要求拓宽到更为广义的方面(,2009)。这也在一定程度上印证了上文分析的ew与WH之间的对应关系。在1992年COSO内控框架颁布之前,的公共和私营领域对内部控制持续关注,并不断见诸于各种提议的法律、、政策、职业标准等,1992年COSO内控框架颁布的主要目的就是要统一各方对内部控制的认识。鉴于其对内部控制的宽泛定义,出于对无保证、管理层执行成本高和责任增加的担心,该框架自颁布以来一直没有采取正式的实施机制,既没有相应的法律条款,也没有统一的公司治理准但同时也印证了命题1和命题2:没有实施机制的正式内控制度难以产生其预期效果,也不太可能产生实控框架(IMA,2008)。在COSO1992框架发布15年后,管理会计师(IMA)研究显示仅有1317%(1514%)715%(1116%)的内部审计师在SOX颁布前在风险管理和控制实»但实施机制()也仅能加以不完全的控制Norh,2005,P4)(中等)COSO1992IMA,2008)2004COSO-ERM仍没有直接的正式实施机制,但MatteoTonello2007)研究发现特拉华州判例法对董事受托(fiduciary)责任的新解释、惩罚对组织指南的等一系列的新ERM的主要动因。根据商业判断规则,(包括注意义务和忠实义务),其可以不用对糟糕的商业决策承担责任。但2005年8月特拉华州对迪斯尼公司高管的判例使得受托责任范围发生了变化,官WilliamChandler在坚持商业判断规则有效的同时,强调董事诚信对公司业绩的重要性,该判例表明公司董事、高管在公司内部控制和风险管理方面是否尽职将成为其受托责任履行的标准。2004年11月生效的新5组织指南6规定,若组织建立了一个运作良好的、合格的遵循性项目,则对该组织高管的渎职处罚可从宽。SEC也曾于2003年主要是出于一(SOX404限于财务报告内部控制、CPA审计责任的难以界定等)没有采用广义的内部控制定义,这隐含着其鼓励管理层关注更广义的内部控制,并在整个企业范围内管理风险。同时,纽约交易所(NYSE)上市规则也开始委以审计讨论公司风险评估和风险管理方面政策的义务和责任,并明CEO及其他高管管理风险的职责。从近十几年法律、、政策及上市规则的发展历程和来看,我们不难发现其正式内控制度的实施机制正从无到有、从不健全到健全地逐步建立,而且从SOX法案仅对财务报告内部控制作出要求,到州判例、指南等对健全广义内部控制进行要求。这无不给我们以启示:(1)实施机制是必须的;(2)实施机制不是单一措施和方法,而是一系列相互支持、相互衔接的法律、、政策、上市规则等条款的有机结合,其可以针对内部控制的不同方面、采取不同方式进行要求;(3)实施机制必须有明确的、可执行的、具有连续性的奖惩机制和条款,这是实施机制的。我国于2001年底即要求非金融上市公司披露内控信息,但研究发现上述规定并未得到有效执行,内控信息披露大多流于形式(等,2003;,2005;等,2007),究其原因,除了缺乏公认的可据以披露及评价的内控标准以外,缺乏相应的惩处激励机制应是主要原因。迄今为止,尚未有任何一家上市公司因披露内控信息或名不副实而受到的惩处,在投资者也很少关注内控信息的情况下,出现上述政策的执行流于形式的现象实不为奇。财政部2001年5内部会计控制规范6是应1999年5会计法6强调单位应对本单位会计工作和会计资料真实性、完整性负责,并应建立健全本单位内部会计监督制度的要求而制定和颁布的。由于在5会计法6中有明确的责任及处罚条款,因此,可以说5内部会计控制规范6有明确的实施机制,而且由于内部会计控制大多是已有实践的编纂和提炼,在该规范实施五年后,有研究显示,总体而言其得到较好执行(等,2008)。相比于5内部会计控制规范6,2008年颁布的5内控基6至少存在以下不同:一是其涵盖的内容远宽泛于前者,二是其缺乏明确的实施机制。这两者其实是相互关联的,正因为内部控制外延远广于内部会计控制,5会计法6也就难以成为其实施的依据。因而5内部控制基6究竟应采用什么样的实施机制就成为众人瞩目的焦点。从本文第二部分分析框架可以/推论0:(1)要发挥5内控基6的预期作用,必须有相应的实施机制;(2)针对我国当前企业内部控制和风险意识薄弱的现状,必须采取较强的实施机制,否则,制度执行必将流于形式。反观我国现有相关法律、,除5会计法6明确单位的内部会计监督责任外,几乎均未提及公司董事、高管对公司内部控制与风险管理的责任。20065公司法6148150条规定公司董事、监事、高管应当对公司负有忠实义务和勤勉义务,若执行公司职务时法律、行政或者公司章公司造成损失的,应当承担赔偿责任,也就是说公司董事、监事、高管只要不,尽到忠实、勤勉义务,就不需再承担其他,而并未像发达国家那样引入相应的注意义务(dutyofcare)¼。显然,我国公司法对董事、监事、高管义务和责任的规范仍处于最低限,与公司多变环境及公众对公司期望的日益提高相比尚存在较大差距。2002年颁布的5公司治理准则6第33条/董事应根据公司和全体股东的最大利益,0,但通篇未提及董事、监事、高管对公司内部控制的责任。从上述分析不难看出,迄今为止,公司内部控制的建立和健全责任在我国既缺乏法律依据,也缺乏公司治理准则层次的律约束。在5内控基6颁布前,上交所、深交所分别颁布了5上市公司内控指引6并分别要求于06、07年7月1日起执行,但除5深交所内控指引6第68条明确/公司及其有关人员本指引规定,本所将参照5上市规则6有关规定给予处分0外,再无其他责任条款。尽管5内控基6通篇用了68个/应当0字眼,但并未就不执行或违背基的行为做出任何明确的/处罚0条款,这无疑表明其本身缺乏相应的实施机制。在今年4月内控配套指布会上,各部门都表态将内控规范及其配套指引的执行纳入日常范围,这表明各部门的监督检查是我国当前内控规范/事实0上的实施机制。但由于其未对遵循、不遵循或遵循内控规范的企业或个人做出明确的激励或处罚条款,因而上述实施机制自其存在之日起就存在不足。此外,这种仅借助于监或淡忘,不具可延续性的风险,这无论对制度执行者还是不执行者都难以形成合理的激励或惩治预期。综上所述,在我国非正式内控制度水平比较薄弱的情况下,要使得内控规范发挥应有的效果,必须采取强有力的实施机制。但从我国现有实施情况来看内控规范实施机制是零散的、甚至是残缺不全的不仅在5656中只字未提董事、监事、高管关于内部控制与风险管理的义务和责任,上交所、深交所2008年新修订的5上市规则6对此也未提及对公司内控及内控信息披露的要求,使得5内控基6成为/单立独行0的制度,而且缘于5内控基6涉及面广,其本身也就难以做出全面、可操作的责任条款规定,各部门表态将其纳入日常之列就成为我国目前内控规范事实上的实施机制,这必须引起我国者、者、政策制定者的重视和警觉。任何一项制度的颁布和实施都需要制度与制度之间的相互衔接、配套和支持还需要有对奖惩的清晰传达和理解并在实践中一以贯之。而对于涉及面如此之广的内控基,必须通过法律及律层次分别对内控的不同方面明确责任并有相应的奖惩机制。对此,本文建议从以下方面着手:首先,5公司法6中公司董事、监事、高管的/0条款。新56虽首次引进勤勉义务和忠实义务条款,但其(包括实施细则)并未对其内涵进行解释,而我国又不是判例法国家,故事实上上述义务难以。本文认为注意义务不仅应包括上的勤勉,还应包括客观上是否采取相关措施和建立相关程序控制其应该控制的风险,只有将董事、监事、高管在风险管理和控制方面的责任通过注意义务0(MichaelA.M.KeehnerandDavidR.Koenig,2010),才能适应当前公众其次,在5刑法6中增设与之相衔接的条款。在不改变现有5刑法6框架的情况下,可在刑法第3章第3节/妨害对公司、企业的管理秩序罪0中增加董事/或失职罪条款0。对公司发生(包管及员工行为)危及股东价值、利益相关者及公众利益的/重大0风险应董事的刑事责任,同时规定免除或减轻董事上述责任的条款,即若有表明公司已采取相应防范措施(如建立了内部控制制度,可列举具体措施)则可适当免除责任或减刑。这样既明确了董事对公司风险管理的最终责任,同 注意义务包括能力责任(duyoskll)和勤勉责任(duyodlgence),见曾宛如著5董事忠实义务之内涵及适用疑义,公司管理与资本市场法制专论(一)6,2002年,台北学林。,再次,完善我国56,5公司法6中对治理层在风险管理和控制方面责任的未尽事宜在其中予以明确。全球最早的公司治理准则英国Cadbury报告(1992)就明确董事会必须负责制定风险管理政策并负责监督其整个过程,全美董事(NACD)2002年蓝带报告进一步扩展了Cadbury报告中关于风险管理和公司治理方面的建议认为董事会应对风险管理发挥更为积极、有效的监督(DuaneWindsor,2010)56(2002)通篇没有提及董事在内部控制及风险管理方面的责任和义务,这不仅与当前全球公司治理准则的发展趋势不吻合,也难以对我国上市公司董事内部控制和风险管理责任进行明确要求尤其是在公司法尚未做上述修改之前董事在这方面的责任就难有落脚点。相比于修改法律公司治理准则的修订要方便快捷得多故建议尽快对我国公司治理准则加以修订,突出董事会在内部控制和风险管理方面应有的责任,并在上市规则中明确上市公司应按照公司治理准则Ç条披露公司内部控制和风险管理信息。最后,发挥行业部门的监督检查作用。由于公司治理准则及上市规则的规制范围仅限于上市公司,针对我国计划全面推行内控规范的目标,还必须发挥各行业部门的监督检查作用。对此,可充分借鉴现有、银监会对寿险公司、商业银行内部控制评估的监督检查经验,出台行业监督检查办法。一方面建立可供参照执行的定量和定性相结合的内部控制评估表,另一方面内部控制年度自我评估报告由法人代表签字后报送对应的机构½,除定期在行业内部交流外,部门应根据风险大小对企业内部控制进行并实施独立评价,将独立评价结果与其报送自评报告进行对照,对两者结果存在较大不一致的或弄虚的视情节轻重予以相应处罚,而对做得好的单位不仅给予嘉奖(包括物质和非物质的),也可给予单位信贷或在信用时予以加分和提升。只有在上述不同层次实施机制的相互支持和配合下,在一段时期的持续强实施后,其累计效应)))提升企业内控意识和水平才可能显现。#卡得 2005.公司治理和董事会:仁者之见.:大学 30~道格拉斯#诺思 2008.理解经济变迁过程.等译.:大学 45~#,# 2006.公司治理与问责制.大连:东北财经大学 114~管理会计师(IMA).2008.财务报告内部控制与风险管理.主译.大连:东北财经大学,60~64 2009.企业内部控制研究:制度视角.大连:东北财经大学,242~247 2009.再评诺思的制度变迁理论.经济学(季),8(,, 2008.企业内部控制规范实施情况问卷分析.会计之友 1(上),34~DuaneWindsor.2010.TheEthicsofRiskManagementbyaBoardofDirectors.in:CorporateBoards:ManagersofRisk,SourcesofRisk.EditedbyRobertW.KolbandDonaldSchwartz.WileyBlackWellCorp.,275~290DouglassC.North.2005.UnderstandingtheProcessofEconomicChange.PrincetonUniversityPress,61~MatteoTonello.2007.EmergingGovernancePracticesInEnterpriseRiskManagement.http://www.conferenceboard.orgMichaelA.M.Keehne,rDavidR.Koenig.2010.TheRelationshipBeweenBoardsofDirectorsandtheirRiskManagemOrganizations.CorporateBoards:ManagersofRisk,SourcesofRisk.EditedbyRobertW.KolbandDonaldSchwartz.WileyBlackWellCorp.,1~50 不便于部门监督检查使用, 内部控制信息(尤其是不太健全的内控信息)会对公司产生影响, sofMainResearchontheTheoryBasisandMethodologySystemofXBRLTaxonomyWhherendoesablshngasngleseohghqualyglobalaccounngsandardsandheexensveandndephresearchandapplcaonoXBRLaxonoy,XBRLaxonoyrecognonaracsoreandoreaenonTheresearchandpleenaonoXBRLaxonoyrecognonareroheoperaonallevelbyhedoescandnernaonalheoryandpraccecrcleThesudyonheheorybassandehodologysyseoXBRLaxonoyrecognonsllreanslessBasedonhehrdparynonproorganzaonheory,onologyheory,sowarearchecureheoryandcapablyauryodelorsowareheoryandcobnngheXBRLaxonoyrecognon,hspaperaepsoesablshheehodologysyseoXBRLaxonoyrecognonandexpaaesonheeleensoehodologysyseandherrelaonshpsndealEmpiricalStudyontheRelationshipbetweenCharacteristicsofAccountingInformationSystems(AIS)PlanningandCredibilityWangInhspaper,alargenuberoChneseenerprsesandAISusers,basedonheorderohecredblyoAISasanenryponohepacohecredblyohebehavorandconsequencesoheheorecaldscussonsThesudyndsha()AISplannngorhenalbehavorohesyseproducessgncaneeconheuureoperaon,ncludngcoplance,negraon,parcpaonandaudablyeauressuchashecredblyoaccounngnoraonsyseoagreaer paconnvaryngdegrees;(2)onhepacohecredblyoaccounngnoraonsyse,ncludngplannng,echncalandanageenacors,andhelaersgreaerhanheorerFnallyhearclegvessoesuggesonso provehecredblyRangngrosraegcplannngphaseo poranceohecredblyoaccounngnoraonsyses;echncalandanage ebersocpaenplannngaguaraneeosucces;opayullaenonoheaudablyoprocessandresulsoDilemmaandSolution:ForSustainableDevelopmentofFEnvronenalprobleshavebeco