一、相关文献综述
1.国外文献
内部控制理论从最初的内部牵制发展到1936年发布的《独立公共会计师对会计报表的审查》对内部控制的最早定义,再到1992年,反虚假财务报告委员会(COSO)提出了迄今为止关于内部控制最完整的定义,其认为内部控制具体包括:①控制环境(Controlenvironment);②风险评估(Riskappraisal);③控制活动(Controlactivity);④信息和沟通(Informationandcommunication);⑤监督(Monitoring)。这五个内部控制要素相互关联,构成一个立体框架,形成动态的内部控制机制。内部控制的最新发展———企业风险管理框架(ERM),在内部控制整体架构(IC-IF)基础上向风险管理领域拓展,包括内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、监督及信息与沟通等8个基本要素,这些要素共同作用,构成了风险管理机制。实证研究方面主要集中于内部控制信息披露、内部控制评价等方面。部分学者主要研究公司或者行业特征与内部控制之间的关系。比如公司大小、审计委员会会议数量、机构股东百分比、收入增长等因素是否会影响公司发布内部控制管理报告的意愿(ScottN.Bronson,Joseph,V.Carcello,K.Raghunandan,2006)。《萨班斯法案》的出台对强化内部控制信息披露具有关键影响,国外主要从影响披露内部控制实质性缺陷的公司特质、内部控制实质性缺陷与盈余质量的关系、内部控制信息披露的成本、审计师对内部控制的审核报告等方面进行了研究。Andrew,J.Leone(2007)发现了组织结构复杂性、存在重要组织变化以及在内控系统方面的投资等特质都是内部控制信息披露的影响因素。Marai等(2006)发现披露有内部控制缺陷的公司和披露没有缺陷的公司相比有更大的成本。内部控制评价也是国外研究关注的领域,在众多评价方法中最受推崇的有数学模型和内部控制框架研究。早期的评价模型主要依靠主观判断或者纯数学理论模型,John和James(1983)、Raymanetal.(1986)等都提出了相关计算模型,但难以实际操作并没有被广泛采用。近来兴起的内部控制框架评价体系,尤其COSO委员会的内部控制框架成为研究热点。
2.国内文献
我国对内部控制的研究虽然起步较晚,但在规范研究和实证研究方面也取得了不少成果。一方面,大部分学者对内部控制的内涵统一于COSO报告,在内部控制五要素的基础上探索建立我国的以董事会为核心的内部控制框架(阎达五、杨有红,2001);另一方面,也有学者认为内部控制至今缺少范畴意义上的概念定义,缺乏对内部控制基本属性特征、功能定位的确定认知,从而带来了内部控制实践的盲目和不规范(杨雄胜,2011)。在内部控制信息披露方面,相关研究发现我国上市公司内部控制信息披露还存在许多问题,主要表现为流于形式,无实质性内容,自愿披露的动机性不强。李华、陈丽娜,(2004)和戴晓锋、潘俊(2005)通过运用信息披露的理论基础及对内控披露的现状进行分析后指出了我国上市公司内部控制信息披露存在的问题,并提出了完善我国上市公司内部控制信息披露的对策。内部控制评价方面,我国学者:一方面,吸收引进国外的最新理念,包括COSO提出的《内部控制———整体框架》;另一方面,结合我国特殊的经济体制和法律制度背景,尝试构建一套中国企业内部控制评价体系。(张先止、戴文涛,2011)根据中国企业内外部监督评价体系目标,结合中国上市公司的制度环境,建立中国上市公司评价模式、提出内部控制评价的目的、评价主体与客体、评价模型,评价指标体系,从而构建了企业内部控制评价的理论框架。
二、我国企业内部控制现状及其成因分析
我国企业的内部控制建设从无到有,从薄弱到加强,不断改进。证监会2000年11月发布的《公开发行证券公司信息披露编报规则》开始要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度,并在招股说明书正文中专设一部分,对其内部控制制度的完整性、合理性和有效性作出说明。财政部发布的《内部会计控制基本规范》对单位内部控制问题也作出了专门规定。可见,内部控制的建设得到了来自政府、学界、企业等各方面的重视。有效的内部控制的建立成为我国企业进一步深化改革、完善管理的关键环节之一。根据COSO的内部控制框架理论,我们可以总结出,我国企业内部控制薄弱的现状和原因主要有以下几点:
1.良好控制环境尚未形成
任何企业的人及其活动都处于一定环境当中。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素(吴水澎、陈汉文、邵贤弟,2000)。控制环境塑造着企业的文化氛围,影响着员工的控制意识和自觉性,因而为整个企业提供一种“软控制”,也是其他硬性规定和措施发挥效用的基础。目前我国企业仍缺乏一个良好的控制环境,具体表现为:企业法人治理结构不完善,组织结构设置不合理导致权、责、利分配不科学,管理者素质和品行有待提升,人力资源政策制定及务实不完善。
2.对风险因素认识不足,缺乏合理的风险评估机制
随着经济的发展和改革的深入,我国企业在面临巨大发展机遇的同时也承受了强大的经营风险。低估或忽视风险将会给企业甚至整个经济体系带来巨大打击。目前,我国企业仍存在传统落后的经营理念,缺乏科学全面的风险评估机制。一方面,实体经济企业过分看重企业规模,忽视其资产质量和运营状况,使企业的经营风险陡增;另一方面,随着我国金融业改革和市场准入放宽,金融业竞争日益激烈,很多金融企业为了在竞争中赢得一席之地盲目扩张,甚至变相提高利率,对其中包含的金融风险考虑不足。经营战略的制定缺乏长远规划,经济上行期过度放贷,经济下行期过分惜贷。在疯狂扩张的背后就是爆发式增长的不良,根据银监会最新数据显示,2014年三季度末,我国商业银行不良贷款余额连续12个季度上升,不良率更是创下4年来新高。
3.控制活动落实不足
内部控制就是经营过程中散布在企业作业中的一连串行动,是一种动态的过程。控制活动是确保管理阶层的指令得以实现的政策和程序,否则内部控制只能沦为纸上谈兵,而寻找关键控制点又是良好的内部控制活动的关键。当前我国企业内部控制关键环节包括职责分工、授权、审核批准、预算、会计系统、内部控制评价、绩效考核、信息技术等,其中内部控制评价和绩效考核活动尤为薄弱,亟待改善。
4.缺乏顺畅完备的信息沟通渠道
在知识经济时代下,企业的发展和壮大是资本、技术和信息的完美结合。随着信息技术不断创新,大数据时代各行各业的经营模式和理念正在不断升级转型,而大数据信息系统的建立对于提升企业内部控制的效果和效率至关重要。然而,目前我国企业的信息交流的深度和广度仍然有限,反馈不够及时准确,内部信息传递和外部信息获取不够顺畅,甚至受到虚假信息的误导和干扰;同时,由于执行者的理解偏差,缺乏理论指导,导致错误运用信息。在大数据时代的背景下,这些都严重制约了企业内部控制的有效性。
5.监督评价与纠正不力
任何控制活动均包括事前控制和事后反馈与监督,有效的内部控制需要配套有力的监督与评价机制。内部控制有效性需要保证具备查错纠弊、会计资料的真实合法和保证业务活动的有效进行等功能。当前我国企业在业务上仍停留在基础的检查和审核水平,缺乏对复杂业务的监管经验,在管理上缺乏对顶层设计的监管机制,对与主要负责人尤其是主要领导缺乏有力监督与评价,导致企业领导人贪污受贿、违规操作的案例仍然存在。
三、加强内部控制建设建议
2008年,我国财政部等五部门联合发布了《企业内部控制基本规范》,结束了我国没有内部控制框架的局面。因此,就我国企业而言,主要可以从以下方面加强内部控制建设:
1.识别企业内控要素特点
企业内控要素包括控制环境、风险评估、控制活动、信息与沟通、监控等,不同性质的企业和不同的管理要求对内控要素要求都有所差异,为了使内控建设具有针对性、控制工作具有可操作性,就必须与公司的特点紧密结合起来。控制环境要与企业文化和企业价值观一致,评估风险与是公司目标衔接,控制活动要体现管理者的意志,确保管理阶层的指令得以执行,信息与沟通企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通,监控也要按照管理者提出的要求去进行,在制订内控制度时,都必须全面甄别,与管理要求相适应。
2.改善企业的控制环境
设置科学的组织结构。组织结构决定了企业运行的组织方式和权、责、利分派体系,为有效的内部控制提供了框架。良好的组织必须以组织目标为导向,并具有清晰的职位“层次顺序”、流畅的“意见沟通”管道、有效的“协调”与“合作”体系。而科学的组织结构要达到效用最大化还得取决于位于结构中的人。因此,一方面,需要科学设置金融企业内部的机构与岗位,构建各个岗位相互联系作用机制;另一方面,需要明确合理的权、责、利分派体系,能让结构中的人明确自身职责,自我约束的同时自我激励。提升管理者素质和管理哲学。企业的管理者负责提出企业愿景,决定企业文化基调,管理者通过自身的决策和行为证明了企业提倡什么,约束什么。因此,需要提升企业管理者的操守及素质,包括专业水平和道德品行。在科学的管理理念和管理者以身作则的基础上,大力推进内部控制制度建设。完善人力资源政策。内部控制所有的具体控制活动最终都要通过企业中的每个人来落实。因此需要:一方面,加强培训,提升从业人员的专业素质,增强风险防范意识和内部控制意识;另一方面,需要通过灵活的激励管理政策,提升员工加强内部控制和监督的自觉性、有效性。
3.进行全面的风险评估
当今企业竞争异常激烈,经营风险不断提高,内部控制需要进行全面的风险评估。企业进行风险评估一般包括风险辨别、分析、管理、控制等主要阶段。“SWOT”分析法是分析自身优势、劣势、机会和威胁的全面分析方法,可以运用到我国企业的全面风险管理中去。企业应当在全面考察内外部环境后,明确自身优势和劣势,识别潜在的机会和威胁,制定一个风险承受范围内的经营目标,设置独立的风险管理部门,对业务和风险不断检查。尤其要注意的是全面的风险评估应该是动态且有弹性的。企业应当根据环境变化,不断评估和监控风险,修正当前的风险管理政策和程序,从而使各方面的风险都保证在合理水平,正确处理业务发展与风险管理的关系。
4.设计良好的控制活动
控制活动作为内部控制的核心内容,确保内部控制的政策和程序得以实现。由于各行各业的风险和特征不同,每个行业都需要根据行业特色制定符合自身实际的控制活动,针对各个关键控制点制定关键控制活动。因此,企业首先应当设立一个良好的经营目标,信息处理、职责分离、实物控制、业绩评价和独立核查等控制活动都应根据风险评估结果,有针对性、有重点地开展。同时,要密切关注控制活动流程,把握关键点,及时反馈内控效果进行评价。在充分考虑成本效益原则的前提下,改进流程中的不合理环节。
5.加强信息建设与传递
在大数据时代的背景下,当今企业对于信息的依赖程度超过以往任何一个时代,加强信息数据库建设迫在眉睫。企业:一方面,需要加强对新的信息数据的搜集和整理;另一方面,需要加强对已搜集数据的开发利用;对于管理信息,需要打破部门和层级之间的信息壁垒,使员工与员工、员工与领导之间的信息沟通畅通无阻,保证管理要求和业绩报告的有效传达。同时还要注意企业与外界政府机关、企事业单位等各部门的信息沟通,减少信息传递障碍和流转成本,使得信息流真正流动起来,最大限度的保持信息的真实性和有用性。
6.加强企业的监督
在企业内部控制过程中,内部控制效果如何、如何改善,都需要企业对内部控制进行持续监督。企业可以主要通过加强内部独立审计和自我评估的方式来加强监督。一方面,需要提高内部审计的独立性,增强内部审计人员的专业水平和道德水平建设,突出内部审计在企业内部控制甚至整个企业管理当中的地位与作用,使得内部审计真正成为内部控制设计的顾问,不再形同虚设;另一方面,企业应当定期或不定期开展内部控制自我评估,主要评估控制的效率和效果,从而把内部控制过程中发现的问题进行有效控制,不发生蔓延。
作者:周佑明 单位:南方电网国际有限责任公司
相关专题:美国如何应对金融危机 电商对百货业的冲击
