基于管理视角的企业内部控制评价系统模式_池国华

基于管理视角的企业内部控制
评价系统模式*
池国华
(东北财经大学会计学院/内部控制与风险管理研究中心116025)
=摘要>只有合理构建并正确应用内部控制评价系统,才能不断地促进企业内部控制体系的有效实施与持续改进。

与以往基于会计审计视角、集中于单一方面的研究不同,本文将基于管理的视角,借鉴业绩评价理论成果,
并整合现有的国内外内部控制评价相关标准,构建一套具有普遍指导意义且满足我国企业管理层需要的内部控制评价系统模式,从而为我国企业内部控制的有效实施和持续改进提供切实可行的操作指南。

=关键词>内部控制评价系统模式管理视角
一、问题的提出
内部控制规范实施是我国近期理论界和实务界需要重点关注和解决的问题。

从动态角度看,内部控制是一个设计、执行、评价和整改的循环过程。

在这一过程中,内部控制评价起到至关重要的作用。

有效的内部控制评价是内部控制有效实施的一项重要且必要的常规性活动和制度性安排。

只有合理构建并正确应用内部控制评价系统,才能不断地促进企业内部控制体系的有效实施与持续改进。

然而,从国际视野看,关于内部控制评价的标准存在众多的模型,其中最重要的是美国C OSO提出的5内部控制)))整合框架6(1992年颁布,1994年修订)和5企业风险管理)))整合框架6(2004)。

但这两种框架毕竟属于概念范畴,其中也存在不足,比如美国学者S teven J.Root(1998)就认为,内部控制整合框架只是一个由三个目标加五个要素所组成的广泛定义而已,其在实践中的具体应用还需要再进一步的探讨;Parveen P.Gupta博士(2006)通过问卷调查也发现,由美国SEC和PCAOB倡导的能够降低评估成本的风险导向评价方法的实际应用情况并不理想,企业管理者仅仅依赖C OSO的1992框架很难做出公允和一致的评价。

从国内实际看,内部控制规范实施已经逐渐成为我国企业监管部门、投资者和管理层所关注的焦点。

随着2010年我国企业内部控制规范体系的基本建立,如何结合自身情况实施内部控制就成为当前我国上市公司和非上市大中型企业所面临的一项重大而迫切的课题。

然而,如果企业无法通过评价了解其内部控制缺陷所在,那么就难于采取针对性的措施对现行内部控制体系进行整改;即便设计并运行了内部控制制度,如果缺乏持续改善的内部控制评价,那么内部控制制度的作用发挥也会受到限制。

近年来中航油新加坡公司、中信泰富、东方航空等发生的一系列投资巨亏事件就折射出我国企业普遍存在的无法正确建立或应用内部控制评价系统持续监督内部控制制度有效运行的问题。

另一方面,尽管5企业内部控制评价指引6(以下简称/5评价指引60)已经正式颁布,但是5评价指引6主要侧重于原则性的指导意见,是否
*本文系教育部2009年度人文社会科学研究青年基金项目(09YJ C790033)、辽宁省高等学校重点实验室科研项目(W S2010002)和辽宁省社会科学规划基金项目(L09D J Y062)的阶段性成果。

能够适应企业评价实务的需要、管理层能否依赖这一指引对内部控制情况做出合理的评价等等,这些都是亟需通过理论探讨并加以解决的实际问题。

基于此,本文将从管理的视角,借鉴业绩评价理论成果,并整合现有的国内外内部控制评价相关标准,构建一套具有普遍指导意义且能够满足我国企业管理层需要的内部控制评价系统模式,从而为我国企业内部控制的有效实施和持续改进提供切实可行的操作指南。

二、内部控制评价的理论与实务发展评述
国外关于内部控制评价的研究主要以美国为源头和中心。

2002年颁布的5萨班斯-奥克斯利法案6 (简称SOX法案)第404条款要求公司根据COSO1992框架评估和报告其内部控制。

然而由于SOX法案将重点收缩在内部控制对财务信息质量的影响上,即财务报告内部控制方面,所以现有的文献主要是利用实证研究的方法检验该法案404条款的实施效果,即内部控制的实施、评价及其披露是否改善了盈利质量,而没有触及内部控制评价系统本身的设计问题。

如W eiliGe等(2005)调查了SOX法案颁布后的上市公司内部控制重大缺陷披露的情况;Jeffrey T.Doy le和W e iliG e(2007)验证了705家企业盈利质量与内部控制的关系;H o llis A shbaugh-Ska ife(2008)检验了上市公司内部控制缺陷及其修正对盈利质量的影响。

实际上,美国上市公司在运用COSO的1992框架进行内部控制评价时也遇到了许多问题,除了执行成本引发众多争议(黄京菁,2005)以外,根据Parveen P.Gupta博士(2006)针对美国上市公司管理者内部控制评价的实施情况进行的调查,绝大多数的被调查公司中并不把COSO的1992框架用作其内部控制评价的基础,其主要原因在于,该框架在本质上不是从管理层的角度制定的,既没有以管理为中心,也缺乏可操作性。

尽管COSO于2004年发布的5企业风险管理)))整合框架6拓展了1992框架,并且特别关注了企业风险管理这一更加宽泛的领域,但同样也没有提供具体的内部控制评价指南。

从国内来看,无论是实务界还是理论界都越来越关注内部控制评价问题的研究。

具体来看,有些学者从评价目标、评价指标、评价方法等不同方面对内部控制评价问题进行了探索,并提出了有益的见解,如王立勇(2004)构建了内部控制系统评价定量分析的数学模型,陈汉文等(2008)对内部控制的有效性内涵及其评价方法进行了探讨,骆良彬等(2008)、韩传模等(2009)研究了层次分析法在内部控制评价中的运用;一些企业针对自身情况制定的内部控制制度,尝试构建了内部控制评价系统,如上海宝钢集团(张谏忠等,2005)、A省电网公司(戴彦,2006)、亚新科工业技术有限公司(于增彪等,2007)等。

当然,更多的文献从外部审计或者外部监管角度探讨了内部控制评价问题,如陈关亭等(2002)对中美内部控制评审准则进行了比较研究,朱荣恩等(2003)在介绍美国财务报告内部控制评价发展的基础上总结了对我国的启示,李小燕等(2008)提出了持续改进的企业内部财务控制有效性标准体系,张龙平等(2009)则从美国内部控制审计的制度变迁对我国企业内部控制评价报告的审计提出了相关的政策建议。

从国内外的内部控制评价理论与实务发展看,存在两个方面的问题:其一,现阶段企业内部控制评价的探索主要侧重于站在外部审计或者外部监管的角度,而不是基于管理的视角;是以纠错防弊确保信息真实和资产安全为目的,以财务报告为主线,而不是以满足管理需要为目的,以实现战略目标为主线。

其结果是/要我控制0、/被动控制0的思想在企业中仍然普遍存在,财务舞弊、风险失控的现象依然频频出现。

这也正是为什么会有大约58182%的被调查企业内部控制制度的执行没有达到预期效果的症结所在(德勤,2009)。

这种局面的形成,与我们长期局限于会计审计视角研究内部控制而忽略从管理控制角度综合研究内部控制直接相关(杨雄胜,2005)。

显然这是一种/治标不治本0的举措,只注重了财务报告目标的实现,而没有涉及战略目标和经营目标。

从长远看,这种做法既不符合美国的ERM I F之精神,也不利于企业有效实施内部控制。

实际上,实施战略目标、实现价值创造才是企业发展的根本动力和最终追求,内部控制评价应该是企业为了组织目标的实现以及实现可持续发展而形成的一种自我需要。

其二,由于多数研究集中注意个案或某一切入点(杨有红等,2007),而没有从整体的和系统的角度构建具有普遍适用意义的、与企业管理相适应的内部控制评价系统模式,从而导致了目前的内部控制评价缺乏统一性、
综合性和可操作性,进而增加了评价工作的实施难度、资源投入和主观随意性,其结果是造成内部控制评价现状差强人意。

德勤2009年对我国上市公司内部控制实施状况的跟踪调查指出,仅有17163%的企业落实了内部控制评价工作,另有41118%的企业认为内部控制制度的执行不力。

这些突出的问题,与德勤在2008年调查的结果一样,历经一年时间,我国企业在内部控制评价实务方面并没有得到实质性的改善。

可见,只有超越外部监管和外部审计的视角,真正站在内部管理的视角构建具有普遍适用意义的企业内部控制评价系统模式,才能从根本上解决上述问题。

三、基于管理视角的内部控制评价系统模式整体架构
从战略管理的角度看,内部控制的本质是战略定位与战略实施控制,是确保企业实施战略从而确保组织目标实现的一种机制(池国华,2009),因此内部控制属于企业管理这个大系统的子系统之一。

按照5评价指引6的规定,企业需要对内部控制系统进行监督,以评价系统在一段时间内的运行质量。

因此,内部控制评价作为内部控制系统的构成要素之一,既与其他要素共同作用以实现内部控制的目标,同时又对整个内部控制系统的设计和运行状况进行监督,它是对控制的再控制。

可见,内部控制评价本质上也属于一个由各个要素组成的具有整体目的性和内在联系性的综合体。

那么其构成又应包括哪些要素呢?
从业绩评价的角度看,内部控制评价同样属于业绩评价的一种类型,是对内部控制有效性的评价。

基于管理视角的内部控制评价,其评价主体和评价客体基本明确,评价主体是指包括董事会在内的各级管理者,评价客体则是企业的内部控制系统。

评价目标是指通过内部控制评价所要达到的目的,它与内部控制所要达到的目标相关。

评价指标是指对企业内部控制系统的哪些方面进行评价;评价标准是判断企业内部控制系统是否达到有效性的基准。

评价方法解决的是如何评价的问题,即采用一定的方法运用评价指标和评价标准,从而获得评价结果,也就是需要了解企业的内部控制究竟是否有效以及有效性程度的高低。

评价报告实际上属于内部控制评价系统的输出信息,也是内部控制评价系统的结论性文件。

内部控制评价系统各要素之间存在相互依存、相互支持的关系,具体表现在:评价主体决定了评价目标,因为不同的评价主体存在着不同的评价需求,比如高层管理者与较低层次的管理者相比,需要把握的是企业整体内部控制的情况,而基层管理者可能需要了解的是某项业务和事项的控制有效性。

由于企业内部控制通常存在战略控制、管理控制、作业控制等三个层级,这就决定了企业对这三个不同层级内部控制评价的指标、标准和方法必然存在差异。

评价目标是内部控制评价系统的指南,它决定了评价指标的选择、评价标准的设置、评价方法的确立和评价报告的编报。

评价目标从定性和定量两个维度又分解为评价指标和评价标准,即评价指标反映评价目标的具体内容,评价标准反映评价目标的具体水平。

评价指标和评价标准相互影响。

评价指标和评价标准是形成评价方法的基础,其类型的选择会影响评价方法的确立。

评价方法不仅是对评价指标和评价标准的具体运用,而且是对内部控制制度设计与执行是否达到评价目标的判断过程和处理过程。

评价报告是整个内部控制评价系统的输出信息,是对内部评价系统其他要素的最终反映和综合体现。

当然,评价报告的深度、广度与可信度要取决于评价指标、标准和方法的科学性。

四、基于管理视角的内部控制评价系统构成要素设计分析
以上我们给出了基于管理视角的内部控制评价系统模式的整体架构,明确了其系统构成,那么企业对构成要素又应该如何进行具体化设计呢?¹
(一)评价主体与评价客体要素设计的具体分析
无论是COSO的前后两份报告,还是5基本规范6,都强调了内部控制是一种/全员控制0。

嵌入在内部控制系统中的内部控制评价也应是一项要求企业全体员工共同参与的管理工作。

但企业管理需要区分层次,不同层次的管理者所控制的对象不一样,这样所评价的客体也是有所区别的。

一个企业的内部控制
¹由于5企业内部控制评价指引6对内部控制评价报告的设计给出了较具体的指导意见,所以本文就不再对评价报告这一要素的设计进行分析。

通常被划分为三个层级:与高级管理者相联系的战略控制;与中层管理者相联系的管理控制;与基层管理者相联系的作业控制。

º这样,基于管理视角的内部控制评价主体也可以划分为高层管理者、中层管理者、基层管理者三种类型,其所评价客体应该是企业内部控制整体(包含战略控制、管理控制和作业控制)、经营控制(包含管理控制与作业控制)、作业控制(主要针对具体业务和事项)。

当然,高层管理者除了全面统筹以外,应更加重视对战略控制循环的评价,包括内部环境、风险评估、战略规划等方面的评价;中层管理者需要兼顾管理控制与作业控制,应更加重视管理控制循环的评价,包括战略计划(含预算)、内部报告、业绩评价、激励机制、内部监督等方面的评价。

(二)评价目标要素设计的具体分析
按照5评价指引6的规定,内部控制评价目的是对企业内部控制有效性进行评价,而内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。

但是规定中的/有效性0定义过于理论化和宽泛化,在实务中可能难于把握其确切含义(杨有红等,2009)。

可见,要明确内部控制评价目标,关键要搞清楚/有效性0的内涵。

要做到这一点,就需要解决以下三个问题:第一,对谁有效?第二,如何理解/合理保证0?第三,是/结果有效0还是/程序有效0,抑或是两者皆有?
对于第一个问题,首先需要明确内部控制的功能。

内部控制是一种机制,用于帮助各级管理者使其能够按照规定的要求执行组织的任务、政策、程序、计划和遵从使用的法律法规,从而实现组织目标。

内部控制从高层管理者自上而下进行扩展,有利于保证各级管理者按照组织目标正确执行各项活动;内部控制从基层管理者自下而上进行反馈,有助于管理层及时采取措施纠正营运过程中出现的偏差。

»可见,建立与实施内部控制是企业各级管理者的职责所在,是来自于企业内部的一种自我需求。

因此,评价内部控制有效性的目的在于检查内部控制的设计与运行是否能够满足企业管理的需要,即是否能够帮助企业管理者实现组织目标。

对于第二个问题,关键是确定/合理0的程度。

按照COSO的2004框架的说法,合理保证并不是100%的保证,这是由于未来存在一系列不确定性因素会影响组织目标的实现。

因此,内部控制有效性的程度属于一个区间(陈汉文等,2008)。

它的上限是100%,下限是管理层认为可接受的水平。

如果内部控制保证相关目标实现的实际水平介于这个区间,那么管理者就可以判断该内部控制就是有效的内部控制。

那么应该如何确定这一/可接受0水平呢?这取决于企业的风险容量。

风险容量是相对于目标的实现而言企业所能接受的偏离程度,可区分业务和主体等多个层次。

这通常又取决于企业的整体风险容量,当然管理者的风险偏好也会影响到风险容忍度的实际水平。

比如某个企业成本费用的实际发生额偏离其预算目标+5%,可能对企业整体而言是/可接受0的,但是具体对于具有较低程度风险偏好的管理者而言,这很有可能是/不可接受0的,他或许认为只能超支3%。

¼
对于第三个问题的解决,其前提在于正确理解内部控制的本质。

无论是COSO前后两个框架,还是我国的5基本规范6,都将内部控制界定为一个过程,并且是一个持续改进的过程,内部控制评价的最终目的是发现内部控制缺陷和管理薄弱环节,并采取措施进行纠正和改进,从而不断调整和完善内部控制。

因此,企业管理者不仅需要了解内部控制有效性的结果,还需要了解内部控制实施的过程,包括制度设计有效性和制度执行有效性两个方面,½从而确定制度本身存在的漏洞和制度执行过程中的缺陷,这样才能/对症下药0和/治病强身0,实现内部控制的持续改进和企业的可持续增长。

如果仅仅评价结果必然导
º
»¼½在这里我们无意对管理者的内涵和类型做过多的探讨,本文界定这里的管理者的范围与内部控制的主体口径相一致。

他们既是战
略实施的实施者,又是战略实施的控制者,包括高层管理者(包括董事会、监事会成员等)、中层管理者(包括未参与董事会、监事会的企业经理、部门主管等)、基层管理者(包括车间主任、班组长等)。

引自国际内部控制协会会长W illian E.Perry在2009年6月的讲话/内部控制与全球内部控制资格证书的重要性0。

前提是这位管理者有责任控制成本费用的发生。

按照5企业内部控制规范讲解6(2010)的解释,内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

致内部控制滞后,不利于企业自觉自愿改善内部控制,也极易导致内部控制评价流于形式(王海林, 2009)。

(三)评价指标要素设计的具体分析
评价指标和评价标准是评价目标的具体化。

评价指标解决的是/评价什么0的问题,从已有的文献和实践的做法看,评价内部控制有效性的指标通常是按要素或者业务来进行设计。

鉴于内部控制的系统性与复杂性,企业在设计内部控制评价指标体系时,应该遵循以下四个基本原则:
1.相关性原则。

即所设计的评价指标应与评价目标即战略目标、经营目标、信息目标、资产目标和合法目标等诸目标的保证相关。

企业管理者应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要流程环节或高风险业务领域,并据此设计能够反映内部控制有效性的评价指标,包括结果有效性、制度设计有效性和制度执行有效性等方面。

2.权变性原则。

即企业在设计评价指标时应考虑具体的组织背景。

由于不同企业在资产规模、业务范围、经营模式、风险状况等方面存在差异,所以不存在唯一的适用于所有企业的评价指标体系。

但企业可以根据M a ltz等(2003)动态多维业绩评价框架理论,一方面可以借鉴其他企业的经验确定内部控制评价的基本指标(它反映的是所有企业的共性),另一方面可以根据其实际情况确定反映企业个性的内部控制评价特殊指标。

3.平衡性原则。

由于评价指标存在结果型指标与程序型指标两种类型,且作用不同,因此企业需要把握不同类型评价指标之间的平衡。

结果型指标反映的是内部控制目标的实现程度,如EVA的改善、主营业务收入的提高、货款回收率的下降等;程序型指标针对的是内部控制目标实现的驱动因素,它包括制度设计和制度执行两方面,通常与各种控制手段相对应,如预算、业绩评价、不相容岗位相分离、授权审批、信息系统等。

结果型指标一般是/后置指标(lagg i n g m easures)0,能够使得管理者理解内部控制目标实现的内涵,更具有综合性;程序型指标通常是结果型指标的/前置指标(leading m easures)0,能够使管理者将注意力集中于实现内部控制目标的关键控制点及其控制措施,更具有针对性。

因此,企业应将这两种类型指标相结合使用。

4.整体性原则。

由于企业组织的整体性和管理的层次性,因此在设计评价指标时,应以战略目标为源头,按照企业的内部控制层级,逐层进行分解和落实,最终形成一种类似于金字塔型的层级式评价指标体系。

越靠近上层的评价指标其综合性越强,通常可以设计为结果型指标,通常是由中高层管理者评价;越接近下层的评价指标往往越具体,通常可以设计为程序型指标,通常是由中低层管理者评价。

在建立内部控制评价指标体系时,除了注意各层级的评价指标之间的目标一致性以外,还应该注意避免评价指标之间的矛盾和冲突。

(四)评价标准要素设计的具体分析
评价标准从另一个侧面反映了评价目标,解决的是/评价多少0的问题,为管理者确定内部控制有效性水平提供了基准。

从这一角度看,内部控制评价标准的设计同样是个关键环节。

在这一环节中,存在两个问题需要解决:一是指导评价标准设计的基本原则问题;二是评价标准类型及其选择问题。

对于前一问题,综合现有的文献和实践的做法,我们认为,企业在设计评价标准时应遵循以下基本原则:第一,一致性,即与细化的控制目标相一致;第二,清晰性,可量化的应尽可能量化,无法量化的也应具体描述;第三,可行性,即管理者经过努力可以实现。

对于后一问题,我们认为,需要结合评价指标的类型和不同类型评价标准的优缺点来加以设计。

对制度执行有效性评价指标,企业可以借鉴国资委的5中央企业综合绩效评价实施细则6(2006)确定定性评价指标评价标准的做法,将制度执行的程度划分为5级(完全执行、基本执行、执行一般、执行较差、未执行),并对执行的不同程度进行详细界定。

对制度设计有效性指标,企业通常只能定性描述其标准,。