论中国企业内部控制评价制度的现实模式Word下载.docx
《论中国企业内部控制评价制度的现实模式Word下载.docx》由会员分享,可在线阅读,更多相关《论中国企业内部控制评价制度的现实模式Word下载.docx(12页珍藏版)》请在冰豆网上搜索。
但无可否认,《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点,如何从宏观上有效地促进并引导企业提高内控水平,还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》,借以督促企业尽快务实地建立健全并持续改进内部控制制度。
但至目前,如何建立中国企业内部控制评价制度,理论与实务界仍有诸多不同的看法。
本文专门探讨中国企业内部控制评价制度的基本框架及模式,期望为深化这一领域研究提供一些思考。
作者的基本观点是,《中国企业内部控制评价制度》采取何种制定模式并不重要,不论是政府主导,还是民间自律,或是政府与民间共同努力,其目的都是一样的,为了满足全社会范围内评价一个企业内控制度是否有效及其水平的需要。
至于这种评价制度是否具有权威性,并不取决于由谁主导制订颁发,而取决于该制度是否真正地抓住了中国现阶段企业内控所应关注的问题及层面。
二、研究的基本问题与理论前提
本项研究试图对以下三个问题提出我们的看法。
(一)内部控制评价的范围界定
放眼国际,有关内控评价的范围有两大口径。
1.财务报表内部控制口径
这是审计界公认的做法。
也可以说是审计职业对内控评价制度的一大贡献。
这种做法在全球范围内得到较大的认可,以至于震撼世界的美国SOX法案404条款,即“管理层对内部控制的评价”也置于“强化财务信息披露”要点之下,很显然,这种意义上的内部控制仅是为了保证财务信息披露质量而存在的。
其后,根据SOX法案成立的PCAOB(美国公众公司会计监督委员会)在实施SOX法案302与404条款时,沿袭了内部控制即财务报告内部控制的说法,其制定的2号准则及其后补充修改的5号准则中,明确“内部控制评价就是对财务报告内部控制有效性作出评价”。
美国证券委员会(SEC)在“最终规则”中,就内部控制为什么定义为“财务报告内部控制”作出了详尽说明,最终得出了这样一个不算严谨但可以理解的解释:
“财务报告内部控制”这一术语是公司和审计师普遍使用的术语,在日常生活中,内部控制就是财务报告内部控制,也充分体现了SOX法案的立法目的。
SEC一再申明,根据SOX法案404条款所引发的内部控制问题,仅是指财务报告内部控制,而不包含COSO定义中与公司经营和效率及公司遵守适用的法律法规有关的内容。
历史地看,由于内部控制这一术语首先出自会计行业,尽管内部控制在实践中往往会超越公司会计职能,但事实上能说清楚的内部控制概念,可能只在会计行业内部,以至于可以认为,内部控制只是财务报告内部控制的简称,讲内部控制肯定针对财务报告而言,离开了财务报告领域,内部控制的概念难以成立。
如此而言,COSO的内部控制定义似乎一开始只是存在于理论上的一个界定,在实践中至今未得以存在。
2.全面内部控制口径
这种理论源于著名的1992年COSO报告,完整的内部控制应涵盖“财务报告、经营业务及遵纪守法”三方面。
如上所述,虽然COSO报告在内部控制领域已是一个里程碑式的文件,并得到理论界与实务界包括立法者们的普遍认可,但这种全口径企业内部控制制度未能在实践中形成成型的标准模式,因此可以认为COSO框架更多的是为人们引用,而远未应用。
造成这种局面,可能与我们习惯地认为财务报告内部控制可以评价,而除此之外的内部控制尽管实践中很重要,但从社会层面统一评价却很难形成可比较和计量的标准直接相关。
但是,现在看来这种说法和担心是难以服人的。
撇开内控范畴,现有的管理实践也充分证明上述理由,即除财务报告以外的公司活动全社会难以统一评价的说法是不能成立的。
例如,美国的国家质量奖(MalcolmBaldrigeNationalQualityAward)自1987年创立至今,在“促进美国企业为荣誉而改进质量和生产率,同时增加利润和获得竞争优势;
表彰那些改进了其产品和服务质量的公司成就,并为其他企业提供榜样;
建立指南与准则,以使企业、政府及其他组织可以用来评估各自的质量改进活动的成效;
通过提供获奖组织是为何变革其文化并实现了卓越绩效的详细信息,为其他希望高质量的组织提供具体的指导”中发挥了显著作用。
美国国家质量奖创立之初,仅针对制造业,后扩大到服务业和小企业,以至于医疗和教育机构、军队、政府机关等均纳入评奖范围,几乎成了一项无所不包对美国各界均产生重要影响的奖项。
其评价准则已成为美国乃至世界的“卓越绩效准则”(PerformanceExcellenceCriteria)。
其评价内容包括领导、战略策划、顾客市场、测量分析与知识管理、人力资源、过程管理、经营结果七个方面,总计1000分。
这中间有相当一部分评价内容就是人们习惯意义上一再认为难以计量与评价的领域:
非财务领域。
既然如此复杂、千差万别的质量能统一评价,那么,作为企业都必需的内部控制,即使超越财务报告范围,为什么不能纳入社会评价范围呢?
按我们的观点,固守财务报告内部控制的观点去确定内部控制评价的边界,人为地削弱了内部控制评价的社会功用,混淆了作为企业内部控制评价这一社会制度,与财务报告内部控制鉴证这一审计制度的界限。
我们的观点,只有树立全口径内部控制评价的理念,才能在中国社会经济发展中真正地发挥内部控制评价制度的积极作用。
令我们欣慰的是,《企业内部控制评价指引》在发布时采纳了全口径评价意见。
(二)内部控制评价的要点(内容)
这是目前争议很大但几乎是谁也说不清楚的一个话题。
有两种绝然不同的思路。
1.框架式评价
这种评价对内部控制按其基本结构建立规范统一的评价模式,确定评价要点。
这种认识的代表观点就是COSO框架。
即按COSO五要素及其各要素的主要内容建立评价框架。
这种观点在国际范围内得到较多认同。
但是,任何理论观点及法律制度是否真正合理,不能简单地看得到多少人的赞成或反对,而应该聚焦其具体实施的效果及人们在实践中所作的现实选择。
即使在美国,COSO框架也没有真正解决内部控制评价问题。
美国管理会计师协会在SOX法案实施4年后即2006年7月,曾就COSO框架是否成为内部控制评价标准模式作了一项调查,围绕公司组织、CPA审计、内部审计三方面作出问卷,结果,公司组织38%、CPA24%、内部审计34%没有应用COSO框架;
按公司规模,大企业34%、小企业54%未采纳COSO框架。
受访者在回答COSO1992框架是否满足了SOX法案404条款的要求时,肯定与否定的比例均为1/3。
在美国审计职业界,较为共识的看法是,CPA很难明确肯定他们的工作具备了总结出COSO1992框架中5个要素相关组成部分是否正常运作的具体标准,以至于对一个公司内控总体是否有效实难作出明确判断。
SEC在2006年7月11日发布的概念解释中对此承认,COSO1992框架本身不足以保证管理层对财务报告内部控制(ICOFR)有效性作出一致的评价:
“虽然COSO框架提供了一个包含内部控制要素和目标的整合框架,但它不够详细,没有提供管理层按照这一框架评估公司的ICOFR有效性时应采取的具体步骤。
因此,我们认为COSO框架不是具体列举如何实施ICOFR有效性评估的指南”。
这表明,试图以COSO框架作为设计内部控制评价要点的做法,实践中已陷入困境。
问题关键在于,内部控制5要素下究竟应包括哪些具体内容,恐怕是一个很难找到对全世界所有企业都适用的统一模式。
在中国,国有资产监督管理委员会课题组曾对中国企业内部控制基本框架提出了“12345”模型,即1个目标:
提高经营效率和效果;
2大类责任主体:
董事会和管理层;
3条建设主线:
治理结构、财务控制和业务控制;
4项基本要求:
短流程、强支撑、高授权、大监督;
5种保障措施:
改善支撑环境、加强风险管理、完善制度流程、促进信息沟通、提高监督能力。
但总的看来,这种概括过于口号式,作为教科书内容宣传可以,但作为一个指导企业内控制度建设的框架显然失之概括,不够实用,加上其内容前后之间重复,在逻辑条理性方面存在先天不足,因而很难形成对指导企业内部控制制度建设真正具有实在促进、示范意义的框架内容,更妄论便于评价分析。
2.应急式评价
这种评价按COSO5要素,分析各要素在现阶段中国企业存在的主要、突出问题,以这些问题作为评价的重点,形成评价要点框架。
这种做法的理由,既然我们很难勾画出一个评价企业内部控制的规范模式,那么不如按大家熟悉的内部控制5要素,分析我国企业在5个内部控制要素方面存在的突出问题,把这些问题定义为可理解、可计量和可检验的评价标准,可以作为中国现阶段企业内部控制评价的主要内容。
建立这样的社会性企业内部控制评价制度,可以唤起全社会对企业内部控制薄弱环节的极大关注,可以为中国企业在内部控制方面应予披露哪些信息提供一个非常有用的框架标准,可以引导企业自觉地改进内部控制。
经过一段试行,若从全社会角度看,这些内部控制的薄弱环节普遍得到改善,则必将大大提高整个企业内部控制的水平。
此时,再针对企业内部控制的新的薄弱环节,调整改进内部控制评价内容,如此不断重复,则必然会使中国企业内部控制处于一种持续改善的状态中。
这正是我国建立内部控制评价制度的目的所在!
这样的思路有两方面理由:
其一,问题容易找,评价重点好确定;
其二,评价能抓住要害,切中中国企业内控软肋,可以发挥内部控制评价快速提升中国企业整体内控水平的作用,也可免于陷入美国一揽子评价内控成本过大,导致社会各方难以接受从而严重削弱内部控制评价制度重要作用的不足,更重要的是这样做可避免中国企业内部控制评价流于形式化。
这些评价要点的确定,必须遵循建立内部控制评价制度的基本要求。
对此,美国SEC规定,一个合适的内部控制评价标准必须满足以下条件:
(1)没有偏见;
(2)允许合理地定性和定量分析公司的内部控制;
(3)足够完整,没有忽视改变公司内部控制有效性结论的任何重要因素;
(4)与对财务报告内部控制的评估有关。
加拿大特许会计师协会对此的原则是:
可理解,以避免该框架的潜在不同使用者对其作出显著不同的理解。
借鉴这些现成原则,确定中国企业内部控制评价要点的具体内容就不再是难题。
中国最终发布的《企业内部控制评价指引》,形式上采纳了框架评价意见,但又要求重点关注主要风险点,这似乎又体现了问题式(应急式)评价的特点。
(三)内部控制评价方法
这方面理论与实务界均有大量的探索和经验做法。
总体分析,有以下两种不同的方法:
1.寻找重大缺陷法
内部控制评价究其实质就是尽一切可能去寻找或发现公司存在有可能影响内部控制目标实现的各种问题,即重大缺陷或实质性漏洞。
传统的审计正是按此思路进行的。
若履行了各种必要的审计程序和方法后,仍未
升级会员 