企业内部控制建设的发展方向.docx
《企业内部控制建设的发展方向.docx》由会员分享,可在线阅读,更多相关《企业内部控制建设的发展方向.docx(19页珍藏版)》请在冰豆网上搜索。
企业内部控制建设的发展方向
加强内部控制防范经营风险
吴江涛
金融是一个国家的经济命脉,商业银行则是一个国家金融体系的重要微观基础。
商业银行内部控制完善与否直接关系到一国经济金融的稳定与发展。
近年来,我国银行业大案、要案频繁发生,暴露出商业银行在内控建设和风险管理方面存在不足,引起了社会各方面的广泛关注。
如何强化内部控制,并有效防范和控制风险成为一个重要课题。
一、内部控制发展历程
[关于控制]。
个体有序而高效的生存靠自律,集体有序而高效的运行靠管理。
不论是个体的自律,还是集体的管理,都包含“控制”。
个体要控制自己的欲望、语言、行动、甚至思想。
家庭、政府和企业等组织要控制自己内部的个体、财物及其相互关系。
可以说大部分生物和有机体都有自我控制。
不过,据专家考证,“控制”一词最早于公元1600年前后才出现于英语词典中。
该词来源于希腊文,原意为“掌舵术”,即为掌舵的方法和技术之意,此后又多次变义用来表示国家管理的艺术。
1948年美国数学家诺伯特.维纳(NorbertWiener)出版了《控制论—关于在动物和机器中控制和通讯的科学》一书,标志着控制论的诞生,控制论开始成为一门新兴科学。
在控制论中,“控制”是主体为改善某对象的功能或运行,获取信息,并以这种信息为基础而施加于该对象的作用。
控制的基础是信息,控制系统实际是信息反馈系统。
控制系统的组成如图1所示。
任何控制系统都包含三个基本要素:
施控主体、受控对象以及联结这两者的控制作用与反作用(两者之间的关系或控制活动)。
控制活动一般包括三个基本步骤:
①确立标准;②衡量绩效;③纠正偏差。
即为了实现控制,均需在事先确立控制标准,然后将输出的结果与标准进行比较;若发现有偏差,则采取必要的纠正措施,使偏差保持在容许的范围内。
自维纳创立控制论以后,控制论的思想和方法技术很快渗透到了各个自然科学和社会科学领域,形成了诸如工程控制论、生物控制论、神经控制论、经济控制论以及社会控制论等边缘学科。
内部控制属于控制论中经济控制论的一个分支,它是用控制论和经济控制论的原理和方法,来分析和研究组织的经营控制过程。
[关于内部控制]。
内部控制是随着人类社会发展而演变的,其在社会发展的各个阶段具有不同的内涵和外延。
一般认为,内部控制理论产生与发展的历程可分为四个阶段:
[内部牵制]。
一是内部牵制阶段(InternalCheck)。
其概指20世纪40年代以前的内控活动。
据史料,早在公元前3600年以前的美索不达美亚文化时期就有了内部牵制的实践。
后来的古埃及、古罗马和我国的西周时代,在财货管理方面都建立有内部牵制制度。
帐物分管、双人记帐等内部牵制制度在这一时期的主要内容。
15世纪末,在意大利出现了复式记帐方法,要求一笔交易活动同时在两个簿记中记录,标志着内部牵制渐趋成熟。
18世纪产业革命后,企业规模逐渐扩大,公司制企业开始出现;20世纪初期,资本主义经济迅猛发展,股份公司的规模迅速扩大,生产资料所有权与经营权逐渐分离。
企业组织形式、规模的发展和利益格局的变化,促使利益相关方探索制约和检查企业生产经营活动的方法,进一步完善了企业内部牵制制度。
在内部牵制阶段,内控活动的主线是查错防弊,即防止记录差错和财货被侵吞,其主要方法是帐户核对和职务分工。
在现代企业内部控制中,仍然闪耀着古代内部牵制的思想和方法的光芒。
比如,现代会计记录依然沿用的是意大利复式记帐方法;西周时期要求财赋管理应做到“一豪财赋之出入,数人耳目之通焉”,演绎至现代即是“四眼原则”。
[内部控制制度]。
二是内部控制制度阶段(InternalControlSystem)。
20世纪40年代至70年代初,在内部牵制思想的基础上产生了内部控制制度概念。
内部控制制度的形成是传统内部牵制思想与古典管理理论相结合的产物。
进入20世纪以后,生产的社会化程度空前提高,股份公司逐渐成为西方各国主要的企业组织形式,企业规模不断扩大,管理日趋复杂。
泰勒、法约尔等一大批职业管理者将过去积累的经验系统化、标准化和科学化,创立了科学管理及组织管理理论。
在管理理论指导和企业现实需求下,欧美一些企业在传统内部牵制思想基础上,纷纷在企业内部组织结构、业务授权和处理程序方面制定科学标准和程序,基本做到了处理程序标准化、规范化和业务分工制度化。
1958年美国注册会计师协会所属审计程序委员会公布第29号审计程序公报《独立审计人员评价内部控制的范围》,将内部控制分为内部会计控制和内部管理控制两类,前者指与财产安全和会计记录正确性相关的程序和方法,后者指与贯彻管理方针和提高经济效率相关的程序和方法。
这就是我们目前所熟知的内部控制“制度二分法”的由来。
1972年,美国注册会计师协会所属审计准则委员会又将管理控制清晰定义为“组织规划及与管理部门业务授权决策管理相关的程序和记录”,使内部管理控制的含义进一步具体化。
[内部控制结构]。
三是内部控制结构阶段(InternalControlStructure)。
进入20世纪80年代以后,内部控制的研究重点逐步从一般涵义研究转向具体内容的深化。
1988年,美国注册会计师协会发布《审计准则公告第55号》,以“内部控制结构”概念取代了“内部控制制度”概念。
该公告认为内部控制结构是指为企业特定目标提供合理保证而建立的各种政策与程序,包括控制环境、会计制度和控制程序三个要素。
其中会计制度是内部控制结构的关键要素,控制程序是保证内部控制结构有效运行的机制。
[内部控制整体框架]。
四是内部控制整体框架阶段。
这一阶段内部控制发展的典型反映是我们熟悉的COSO内部控制框架。
COSO内控框架的产生源头可追溯至水门事件(美国公司进行违法国内捐款和贿赂外国政府官员)。
1973年至1976年对水门事件的调查使得立法机关与行政机关开始注意到内部控制问题。
针对调查结果,美国国会于1979年通过了《反国外贿赂法(FCPA)》。
FCPA除了规定了关于反贿赂的条款外,还规定了与会计及内部控制有关的条款。
美国许多机构因此都加强了对内部控制的研究并提出许多建议。
1985年,由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务执行官协会(FEI)、国际内部审计师协会(IIA)、管理会计师协会(MAA)共同赞助成立反虚假财务报告委员会(Treadway委员会),该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。
该委员会虽然未对内部控制提出结论,但其研究指出50%的财务舞弊事件可全部或部分归因于内部控制不健全。
基于该委员会的建议,其赞助机构成立COSO委员会(CommitteeofSponsoringOrganization),专门研究内部控制问题。
1992年9月,COSO委员会提出了报告《内部控制——整体框架》(1994年进行了增补),即COSO内部控制框架。
依据COSO委员会1992年的定义,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵从性提供合理保证的过程。
COSO内控框架包括经营性目标、可靠性目标、合规性目标三个目标,以及控制环境、风险评估、控制活动、信息与沟通、监督纠正五个基本要素。
在美国建立COSO内控框架后,加拿大特许会计师协会的COCO委员会(CriteriaofControlBoard,控制标准委员会)1995年11月提出了“控制原则标准”(theCriteriaofControlPrinciples,即“CoCo”框架)。
CoCo框架提出了目标、承诺、能力、学习和监督四大类控制标准,也即四个基本要素。
这四个基本要素通过“行动”联结成一个循环。
英国的Cadbury委员会也提出了一个与COSO相似的内控框架。
2002年,安然、世通等公司连续爆出一连串财务丑闻,投资者、员工和其他利益相关者遭受了巨大的损失。
为了应对这一系列上市公司财务欺诈事件所造成的美国股市危机,重树投资者对股市的信心,美国国会出台了《2002年公众公司会计改革和投资者保护法案》,即《2002年萨班斯—奥克斯利法案》(SOX法案)。
SOX法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,其中的302条款和404条款对所有在美国上市的公司的内部控制体系建设提出了要求。
作为对SOX法案的积极反应,2004年9月,COSO委员会颁布了《企业风险管理—整合框架》。
该风险管理框架就是在COSO1992年的研究成果——《内部控制框架》报告的基础上,结合SOX法案的要求,进行扩展研究提出来的,被公认是目前满足SOX法案所要求的企业内部控制体系的最佳实践依据。
COSO风险管理框架在COSO内控框架上迈进了一大步,其将内控建设置于风险管理的框架下,使内控建设与风险管理之间的关系更加清晰。
该框架提出风险管理包括8大要素:
内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
与COSO内控框架相比,COSO风险管理框架的主要变化表现在:
新增加了一个观念、一个目标、两个概念和三个要素。
提出的一个新观念即是风险组合观(AnEntity-levelPortfolioViewofRisk)。
对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可以超过企业总体的风险偏好范围。
风险管理要求企业管理者以风险组合的观点看待风险。
COSO风险管理框架提出了四个目标:
战略(strategic)目标——高层次目标,与使命相关联并支撑其使命;经营(operations)目标——有效和高效率地利用其资源;报告(reporting)目标——报告的可靠性;合规(compliance)目标——符合适用的法律和法规。
其中战略目标是新增目标。
同时,财务报告可靠性目标在范围上较COSO内控框架有很大的扩展,该目标覆盖了企业编制的所有报告,既包括法定报告,也包括向其他利益相关者提供的非法定报告;既包括财务信息,也包括非财务信息。
针对风险度量提出两个新概念——风险偏好(RiskAppetite)和风险容忍度(RiskTolerances)。
风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。
风险偏好的概念是建立在风险容忍度概念基础上的。
风险容忍度是指在企业目标实现的过程中对差异的可接受程度。
新增的三个风险管理要素是“目标制定”、“事项识别”和“风险反应”。
目标制定(ObjectiveSetting),即企业风险管理确保管理当局采取适当的程序设定目标,确保所选定的目标支持和切合企业的使命,并且与其风险容量相符。
事项识别(EventIdentification),即必须识别影响主体目标实现的内部和外部事件,区分风险和机会。
机会应反馈到管理当局的战略或目标制订过程中。
中国人民银行2002年9月颁布的《商业银行内部控制指引》,采用的就是COSO内部控制框架。
上海证券交易所2006年6月发布了《上海证券交易所上市公司内部控制指引》,该指引认为内部控制是指上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。
该指引所采用的就是COSO风险管理框架。
二、什么是内部控制
根据COSO内控框架和风险管理框架,我们可以从以下几个方面理解内部控制:
1.内部控制旨在实现企业目标。
一般认为,内部控制有经营性目标、遵循性目标和可靠性目标等三个基本目标。
经营性目标是指内部控制应确保商业银行发展战略和经营目标的全面实施和充分实现;合规性目标是指内部控制应确保国家法律规定和商业银行内部规章制度的贯彻执行;可靠性目标是指内部控制应确保业务记录、财务信息和其他管理信息的及时、真实和完整。
这几个目标相对比较抽象。
在我看来,企业的最终目标在于保障资产、资金安全与实现增值。
不论是战略目标、经营目标,还是报告目标和合规性目标,都可归结为保障资产、资金安全与实现增值。
这是内部控制的根本目标。
资产、资金的安全可分为静的安全和动的安全。
静的安全是指存量资产、资金处于持有状态时没有损失发生;动的安全是指资产、资金处于交易流转过程中时没有损失发生。
资产、资金处于安全状态,应具备以下四个基本特征:
一是存在性——即其是客观存在的,既不会无中生有,也不会被人巧取豪夺;二是完整性——即其是完好的,没有遗漏、破损或技术性贬损;三是归属性——即从权利归属上看,其是属于资产、资金持有人的,“为我所有”;四是计价正确性,即资产、资金的金额是计算正确的。
依据我们对资产、资金安全性的诠释,我们可以将内部控制的具体目标概括为:
保障资产的存在性、完整性、归属性、计价正确性和增值性或收益性。
一切内部控制活动和措施最终都是为了实现这“五性”。
内部控制措施
内部控制目标
存在性
完整性
归属性
计价正确性
增值性
1.金库钥匙双人保管
●
2.会计从业人员资格限制
●
●
●
●
●
3.不得由政府提供贷款担保
○
●
……
……
……
……
……
……
注:
●表示核心目标;○表示次级目标。
2.内部控制是企业行为。
包括两层含义:
一方面,内部控制是企业内在需求激发的活动,它是企业确保经营目标实现的自觉管理行动,而不是外在强加的管制措施;另一方面,企业是多重委托-受托经济责任关系结成的实体,包括董事会、各管理层级和业务操作人员在内的所有企业人员都是内部控制的实施主体。
总之,内部控制的施控主体是企业、企业中的每一个员工。
3.内部控制的控制对象是交易或事项。
我们说内部控制的目标是保障资产、资金的安全与增值,那么资产、资金是从哪里来的呢?
存量资产、资金是在过去的经营业务中产生的,即是从过去的交易或事项中产生的;而流转中的资产、资金是处在现时及未来经营业务中的,即处在现时及未来交易或事项中;一句话,资产、资金产生、存在、流转于交易或事项中。
内部控制保障资产、资金安全与增值,其控制作用的对象就是交易或事项。
所谓交易是指人与人围绕物而形成的利益关系,包括内部交易与外部交易。
内部交易是指一家企业内部的业务操作活动与管理活动,其在本质上是企业内同级别人员之间、上级与下级之间的利益关系。
外部交易是指一家企业与其客户等企业外部主体之间的活动。
企业、政府等组织本身就是一项长期交易。
事项是指主体与事物之间的关系,一般不涉及其他利益关系人。
比如水灾淹没了银行的计算机房,老鼠咬碎了金库的重要空白凭证或钞票等,不涉及外部主体,一般称为事项。
任何交易或事项都包括以下几个基本要素:
人物(主体)、财物(对象)、时间、地点(空间)以及这几个要素之间的相互关系——这种关系可能表现为一种行为关系,也可能表现非行为关系,比如,员工将钞票加入ATM机,人与物之间是一种行为关系;两个交易主体在某时某地交换商品,人与时空的关系是一种非行为关系。
任何内控的具体作用对象不外乎交易或事项的这五个要素。
比如,未取得会计证不能办理柜台业务,这是对交易主体的控制要求;非上市公司法人股权不得用于质押,这是对交易对象的控制要求;要求金库不能设在闹市区,这是对空间的控制要求;要求营业终了员工未经许可进入营业柜台,这是对时间的控制要求,等等。
4.内部控制的控制内容是风险。
内部控制与企业营销的共同目标都是保障企业经营目标。
他们要实现这一目标都靠“交易”,都需要考虑交易的参与人、对象(产品或服务)、时间、地点等要素的组合结构。
但两者的侧重点是不一样的。
营销重在创生交易,以扩张规模与数量,而内部控制要求按可接受的风险创生交易,以保障安全与质量。
营销和内控的双重作用要求企业按可接受风险安排交易结构。
需要说明的是,内部控制并不能等价于风险管理,而只是风险管理的机制安排之一。
比如,在发生流动性风险时,发行债券来缓解风险,这是一项风险管理举措,在传统上却不归为内控(按现代内控概念,似又可归结为内控);进行压力测试是风险管理活动,却通常不归为内控活动。
内控建设与风险管理必须掌握几个概念:
固有风险、剩余风险、控制风险和可接受风险。
固有风险是指假定不采取任何“风险管理”(内部控制)措施的交易或经营风险。
剩余风险是指采取了“风险管理”(内部控制)措施后的交易或经营风险(对于内部控制,可称控制风险)。
可接受风险是企业可承受或容忍的交易或经营风险。
风险管理或内部控制建设的目标在于把剩余风险降低至可接受风险。
5.内部控制基本措施是限制、牵制和管制。
金融业的内部控制体系是十分复杂的,控制措施很多。
根据我的观察与归纳,这些内部控制措施基本上都可归结为三类:
一是限制;二是牵制;三是管制。
[限制]。
限制是对交易构成要素——主体、对象、时间、地点及其相互关系的约束。
具体主要包括:
一是主体资格限制。
比如授信业务内控中,对借款人资格的限制(如财务状况要良好),对担保人资格的限制(不接受政府、公益组织的担保)。
又比如在会计业务内控中,要求会计从业人员必须符合一定资格条件。
二是交易对象限制。
比如规定校舍不得作为抵押物、不得提供信用贷款服务等。
三是时空限制。
比如运钞车应行走什么路线,ATM机不能置紧临有盗窃史的居民屋等。
四是关系限制,通常是行为限制,即规定行为主体能够做什么,不能做什么;应该怎样做,不应该怎样做。
比如规定不得出租出借帐户,不得私自代客户保管重要单证,未经许可不得提前释放抵押物,非业务相关人员不得进入会计柜台等。
又比如,规定应实地查看抵押物、应同时用验钞机和手工验证钞票真伪等。
[牵制]。
牵制是一项业务或活动由两个或两个以上的人完成。
具体有两类情况:
一是不相容岗位分离。
这种情况下是通过前手与后手来制约经办人的行为,属于线性流程牵制;二是“四眼原则”,即完成一项活动要两个或两个以上的人同时在场,互相制约,属于并行作业牵制,比如金库钥匙不能由一人保管、双人入库等。
[管制]。
管制是指通过分权、复核、检查等手段制约业务经办行为。
主要包括两种情况:
一是授权。
这种情况下,受权人可以办理某些事项,但有授权人进行制约;二是督查,即监督与检查。
比如,会计业务后督,专业部门检查,以及稽核监督等措施。
复核、检查等内控措施与线性牵制措施不同,其属于第三方行为,并非完成交易所必须的行为,而线性牵制中的每一环都是完成交易所必需的。
从施控主体角度看,“限制”措施是要行为主体自律,“牵制”措施为行为主体加上了另一行为主体的约束,而“管制”措施则为行为主体加上了第三方约束。
交易活动通常同时受这三类措施约束。
在三类措施中,牵制与限制类措施存在于交易中,而大多数管制类措施是滞后于交易的。
也就是说许多管制类措施是所监控的是“交易遗迹”,比如,专业检查或稽核看到的往往不是客观交易本身(客观世界),而只能看到交易的一些“遗留物”。
“交易遗留物”拼接起来的交易形象(符号世界),可能完全是伪造的,不是非客观交易本身,但管制类措施却未必能够识别,这是其固有局限性。
以2006抵质押授信稽核为例。
2005年1月1日2005年12月31日2006年3月8日2006年5月30日
交易发生时间现场审计时间
6.内部控制是一种机制。
任何机制都有一定构造和运作原理。
内部控制在结构上包括控制主体(含生理条件、文化修养、精神状态、基本理念)、受控对象、约束条件(目标、制度、程序和方法)。
内部控制的这些构件不是分散的、静态的,而是有机地联系在一起,动态地发挥作用。
内部控制存在交易或事项中,在交易或事项中发挥作用。
因此,内部控制活动是一项动作或行为,或者一系列动作或行为联结起来的持续性运作过程。
三、内部控制建设的当前形势
商业银行完善内部控制和加强操作风险管理,既是外在环境的客观要求,也是顺应环境变化的必然选择。
我们认为,当前商业银行内部控制建设和操作风险管理,面临以下形势:
(一)银行业普遍致力于战略转型
传统上,我国商业银行的盈利模式是存贷利差。
近几年来存贷款市场竞争日趋激烈,存贷利差越来越小,各家商业银行都致力于业务转型和交易创新。
比如,大力发展中间业务;理财产品不断推陈出新等。
业务转型催生了股权结构(引进战略投资者)、组织架构(体制变革)、业务流程(流程再造)等方面的一系列变革。
这些变革表明,我国银行业已进入战略转型期。
转型业务和创新交易、股权结构、组织架构和业务流程本就是一种交易安排,机会与风险并存。
战略转型说到底是转向新型交易安排。
内控存在于“交易”中,战略转型提供了业务发展新机会,也对内控提出了新要求。
(二)信息系统建设步伐较快
近十年,信息技术在我国取得巨大发展。
传统上,人们习惯于将信息技术作为替代手工操作的自动化工具看待。
现在人们已普遍意识到信息技术是推动业务发展和改进管理的支持系统。
实际上,从商业银行信息技术的利用状况看,“信息系统是业务与管理支持系统”这种看法也未必是全面的。
在我看来,应这样认识信息系统:
第一,信息系统是产品组件和交易系统。
信息系统既是产品、服务与交易的重要组件和实体构成要素,又是交易的时空环境。
比如,在网上银行、电话银行、信用卡等银行服务中,信息技术就是产品或服务的构成部分;离开信息技术,这些产品、服务就无法作为独立产品或服务而存在。
诸如传统存取款交易也是在信息系统环境下完成的。
第二,信息系统是管理系统。
信息系统成为交易的一部分意味着我们的生活、生存模式发生了变化[个体生活在交易(关系)中]。
信息系统同时为这种生活、生存模式提供了配套的管理模式。
在没有信息系统时,我们要盯控每一个人的交易操作过程是很难的。
在信息技术条件下,少数人就可盯控全行交易。
信息系统有能力(时空伸缩力)监控我们的生活、生存状态,我们的生活、生存状态完全暴露在信息系统中。
信息系统(含我们所说的业务系统)就是管理系统,信息系统能力就是一种管控能力。
信息系统的这种能力还制造了一些管理副产品,比如使集中、垂直化管理更为有效等。
第三,信息系统是“信息”系统。
“信息系统”的称谓已彰显了它的这种功能。
每项交易包含了大量数据。
在过去,这些数据只有少数部分是作为信息储备起来的,而且是被许多部门分别储备。
除了会计信息具有高度规范性外,其他专业储备信息的规范性是很差的。
而现代信息系统条件下,几乎交易的每一个要素信息都可集中储备,并且与传统会计信息具有同等规范性。
而且信息系统的这一功能与其前两项功能结合在一起,使得传统上的部分专业化信息职业可能消亡。
比如,传统上的会计人员(主要是会计核算人员)将以交易人员身份存在,而不是专业化的信息录入和加工人员而存在。
第四,信息系统是交流系统。
收益、风险与内控是存在于交易中的,信息系统既然是交易系统、管理系统、信息系统、交流系统,其就既为提供了新型盈利模式,制造了新风险,提供了新的管控模式。
(三)银行业竞争十分激烈
近年来,伴随我国金融行业的市场化,商业银行的竞争十分激烈。
过去是企业存贷款求银行,现在是各家银行想方设法找企业。
除银行业内部重新分割资源的竞争外,资本市场、保险市场的发展在给银行业带来一些机遇的同时,也构成了较大冲击,对银行业务的发展形成一定挤压。
比如,企业短期融资券的发行,带来了一些新业务,但同时也挤压了银行贷款业务的市场和盈利空间;保险业混业经营及推出的新型理财产品,对商业银行也形成了一定压力。
2006年底银行业已全面对外开放,外资银行进入我国金融市场有更大自由度,将进一步加剧银行业市场的竞争。
各家商业银行业务转型的领域,也往往是外资银行拓展中国市场的切入口,国内商业银行在这场竞争中面临较大压力。
竞争将摊薄传统市场的利润,加大进入新兴了进入新兴市场的难度,容易泛滥“利从险中求”、“火中取栗”的经营思想和操作行为,内控难度加大。
(四)利益主体多元化
由于银行业经营存贷,社会公众、企业实体与银行业息息相关,银行一直以来就是一个多元化利益主体。
现阶段,我国商业银行处于变革和转型期,利益主体进一步趋向多元化。
一方面,如大家看到的,国有银行、股份制商业银行已经或正在成为公众拥有的上市公司;信用社、邮政储蓄也在改制;银行呈现出多元化股东格局。
另一方面,银行经营的按业务项目涉及较多利益群体的利益。
比如,按揭贷款的借款人可因与同一按揭楼盘相关而具有群体性;理财产品的投资人
升级会员 