一、内部控制的内涵与外延
内部控制理论在经过了“内部牵制”、“内部控制系统”和“内部控制结构”等发展阶段之后,如今又进一步发展到了“一体化框架”阶段。美国Treadway委员会的发起组织组成的委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,简称COSO)在经过多年研究之后于1992年9月发布并于1994年修订了一份研究报告:《内部控制——一体化框架》(InternalControl-IntegratedFramework)。该报告首次把内部控制从原来的平面结构发展为立体框架模式,代表着国际上在内部控制方面的最高研究水平。此后发布的其他一些有关内部控制的报告(如加拿大的COCO,英国的Cadbury,南非的King,法国的Vienot,等等)均以COSO的报告为模本。我国的《内部会计控制规范》和巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也是以COSO的报告为基础的。但我国大部分企业管理层甚至许多内审人员对内部控制的内涵与外延的理解还停留在内部牵制阶段,认为内部控制就是“职责分工、岗位分离、授权授信、内部审计等”,与国际水平还有相当的差距。
我国一些学者介绍过COSO对内部控制的定义。这里,试就其原文作一推敲。COSO的定义是这样说的,“Internalcontrolisaprocess,effectedbyanentity‘sboardofdirectors,managementandotherpersonnel,……”。对于其中的关键词之一“effected”,国内学者一般把它译成“受……影响的”或“由……实施的”。这样翻译可能是不够达意的,不利于读者特别是实务工作者正确理解。实际上,“effect”在这里的意思应该是“使生效”,COSO在解释其含义时进一步指出它包含“devise”(设计)和“maintain”(维持)两个层面。为了中文的表达方便,我们可以不用“使生效”,而采取细化表述的方式。根据COSO报告的精神,我们还可以进一步区分董事会、管理当局和其他员工在内控设计与执行中的不同角色。所以,内部控制可以理解为:“由管理当局设计(devised),董事会核准,董事会、管理当局和其他员工共同实施(maintained)的,旨在为实现组织目标(包括经营的效率与效果目标;财务报告可靠性目标;相关法律法规的遵循性目标等)提供合理保证的一个过程(process)”。可见,内部控制是为了达到目的的一个过程,但它本身不是目的;它帮助实现的是多种既互相区分而又紧密联系和相互重叠的目标;它由人实施并影响着人们的行为,组织内的所有人员对内控都有相应的责任;而且,内部控制为企业管理层只能提供合理的保证,而不是绝对的保证。
在外延方面,COSO认为内部控制系统包括五个组成要素:控制环境、风险评估、控制活动、信息与沟通、监控。其中风险评估和信息与沟通是传统内控理论所没有的,对控制环境之重要性的强调也是前所未有的,监控的具体含义也得到了拓展。这五个要素相互联系,共同构成一个如图1所示的立体框架。显然,这个内控“宝塔”透射给我们这样的一层含义:为了实现其目标,一个企业应当在培育一种积极的内部控制环境的基础上,识别、衡量和评估经营管理活动中所涉及的各种突出风险点(当然,这些风险点不是固定不变的);然后针对这些风险点设置各种控制机制,并不断地对上述整个过程的适当性和有效性进行监督与评审;内部管理信息系统则为这整个过程提供方便。这些要素形成了一个有机的动态的系统。
实务界目前对内部控制外延认识的不足除了没能从系统论的角度认识它们外,最重要的还在于对控制环境的认识极不到位。首先,必须清醒地认识到,控制环境(controlenvironment)并不是内部控制系统赖以存在的内外部环境,即不是内部控制的环境(environmentforinternalcontrol)。它本身就是内部控制的一个组成部分,是整个内控框架的基础,它塑造组织的控制文化,影响员工的控制意识。虽然它看起来似乎有点“虚”,但它极其重要。它支撑着整个内部控制框架,是推动控制工作的发动机;它奠定组织的风纪和结构,并涉及到所有活动的核心——人,特别是人的控制觉悟,还反映企业各级管理层对内部控制的要求。巴塞尔委员会在谈到控制环境中的控制文化时指出:“虽然具有一种强有力的控制文化不能保证一个组织达到它的目的,但是如果缺乏这样的一种文化,就会有较大的可能造成错误的失察和不当行为的发生。”在我国的现实中,管理层的监控并不是没有,而是远远没有强调到某种“控制文化”的程度。
在整个内控框架中,如果说控制环境是“务虚”的话,至少从风险评估开始就应当是实实在在的了。每个组织所面临的风险都是与其特定的存在环境相联系的,如果没有根据实际情况同时从企业整体与个别作业层次全面有效地甄别和评估其所面!临的内部和外部风险,相应的控制机制就很可能是从书本或其他组织的文件中抄抄补补而来,既可能残缺不全,也可能因脱离实际而难以实施,从而成为一种“印在纸上,挂在墙上”的东西。只有风险评估做好了,控制活动才能有的放矢。
另外,人们对“信息与沟通”和“监控”这两大内容的认识也没有达到现代内控原理的要求。比如,不注重信息的收集与加工,只注重与外部的沟通和内部的顺流(自上而下)沟通,而不注重或忽视组织内部的横向沟通和逆流沟通。监控则经常被等同于内部审计,实际上监控分为持续性监控(ongoingmonitoring)及间歇性评估(separateevaluation)两种。持续性监控活动是经营过程中的例行监督行为,包括管理层的日常管理与监控,以及员工在执行任务时所采取的行动。即使是间歇性评估,也未必都由内部审计人员来进行,包括管理层在内的其他人员也可以实施这种再监控。
二、内部控制与管理和风险管理的关系
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。