一、引言
從國際上一些比較成功的企業管理經驗看,完善并運轉良好的企業內部控制是這些企業能夠在激烈的市場競爭中屹立不倒的重要基礎。2006年國資委發布了《中央企業全面風險管理指引》,目的是促進中央企業內部控制建設和全面風險管理工作。2008年財政部等五部委聯合發布了《企業內部控制基本規范》,使中國企業有了自己的內部控制標準。在我國相關法律法規的要求和推動下,越來越多的國有企業開始重視內部控制,大多數大中型企業都逐步建立了自己的內部控制制度,企業內部管理水平也不斷提高。我國國有企業的內部控制還處于起步階段,許多國有企業還沒有真正建立起完善的內部控制制度,內部控制效果并不理想。而理論界對于企業內部控制的研究尚局限于試圖用國外內部控制框架規范國內企業的內部控制建設。需要提示的是,如果企業對內部控制的形成和演進過程缺乏本質了解,那么參照COSO的過程更多的是形式的照搬,建立的內部控制對中國環境下的國有企業適用性弱。因此,在借鑒國外企業內部控制成熟經驗的基礎上,認真總結我國企業的特征,立足我國國有企業的現狀,建立健全適合我國國有企業的內部控制制度具有比較大的現實意義。本文從內部控制的理論來探討我國國有企業內部控制存在的問題及改進措施。
二、內部控制理論的發展
( 一 )內部牽制階段 在20世紀30年代以前,內部控制的發展基本停留在內部牽制階段。內部牽制是指以提供有效的組織和經營,并防止錯誤和其他非法業務發生的業務流程設計。在這一階段,許多企業為了防范和揭露錯誤,逐步探索出一些組織、調節、制約和檢查日常生產活動的辦法,建立了內部牽制制度。即必須進行組織上的責任分工和業務的交叉檢查或交叉控制,以便相互牽制,防止發生錯誤或舞弊,這就是現代內部控制的雛形。這一階段的內部牽制僅僅局限于一般性的經濟制約關系。對于企業而言,這是一個基于企業個體行為層面控制的內部經濟制約的階段。從理論上講,只是通過組織制度表現出來的經濟制約的一般性實踐活動,而沒有形成為內部控制的概念。從功能上看,其權力制衡功能有所體現,但其行為導向功能還沒有顯現出來。
( 二 )內部控制制度階段 20世紀30年代,出現了世界性的經濟大危機,許多企業把傳統的內部牽制思想與古典管理理論結合起來,逐步形成了組織、調節、制約和監督企業經營管理活動的方法,形成了內部控制制度。在這一階段,內部控制作為完整的財務和其他控制體系,是由管理者根據總體目標而建立的,目的在于幫助企業經營活動合理化,具有經濟性、效率性和效果性;保證管理決策的貫徹;維護資產和資源的安全;保證會計記錄的準確和完整,提供及時、可靠的財務管理信息。
( 三 )內部控制結構階段 20世紀80年代以后,由于企業面臨的經營環境越來越復雜,經營風險也不斷加深,西方會計和審計界對內部控制的研究也在從一般涵義向具體內容深化。1988年美國注冊會計師協會發布的《審計準則公告第55號(SAS No.55)》中首次以“內部控制結構”取代原有的“內部控制”,該公告的頒布和實施可視為內部控制理論研究的一個新的突破性成果,提出了包括控制環境、會計系統和控制程序在內的內部控制結構三要素。三要素論最大的進步是將控制環境納入內部控制框架之中,而不再是將控制環境作為內部控制的外部因素來看待,從而拓展了審計師在財務報表審計中考慮內部控制的責任。
( 四 )內部控制整體框架階段 進入20世紀90年代以后,由于受到信息論和高風險行業迅速發展的影響,人們對內部控制的認識也發生了很大的變化。由美國會計學會、美國財務經理人協會、美國內部審計師協會等贊助成立的內部控制委員會――COSO委員會(Committee of Sponsoring Organizations of The Treadway Commisson)于1992年提出,并于1994年修訂的《內部控制整體框架》報告(IC-IF),標志著內部控制理論與實踐進入了整體框架的新階段,并被世界上許多企業所采用。IC-IF提出了關于內部控制比較完整的定義,指出內部控制是由企業董事會、經理層以及其他員工實施的,為財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循性等目標的實現而提供合理保證的過程。同時認為內部控制由控制環境、風險評估、控制活動、信息和溝通、監控五要素構成,并提出了內部控制的三大目標:經營的有效性和效率;財務報告的可靠性;符合適用的法律法規。
( 五 )企業風險管理框架階段 由于 2000年前后美國發生了安然事件等一系列財務丑聞, 投資者、公司員工和其他利益相關者因此而遭受了巨大的損失, 人們開始重點關注風險管理領域。COSO于 2004年發布了《企業風險管理整合框架》( ERM-IF), 該框架雖然是企業風險管理框架,但涵蓋了內部控制,是對內部控制的拓展和細化,沒有重新定義內部控制,而是肯定了IC-IF中內部控制定義和框架的有效性,并提出了由內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控構成的企業全面風險管理的等要素。另外,ERM-IF在IC-IF三個目標的基礎上增加了戰略目標,還將IC-IF中的報告拓展到“內部的和外部的”“財務的和非財務的報告”,該目標涵蓋了企業的所有報告。與前期的內部控制理論相比,ERM-IF的創新與發展主要體現在:(1)拓展了內部控制,關注于企業風險管理這一更加寬泛的領域, 并將內部控制框架納入其中,認為公司不僅可以借助這個企業風險管理框架來滿足它們內部控制的需要,還可以借此轉向一個更加全面的風險管理過程;(2)以“管理導向”取代“審計導向”,更好地體現了為企業管理層服務;(3)控制方式從間接的財務報告約束到直接的風險管理,明確將企業風險管理作為內部控制的重點。將內部控制融入到企業風險管理之中,標志著內部控制理論體系的完善。對于正在建設和完善內部控制的我國理論界和實務界而言,西方完善的內部控制理論是值得我們學習和借鑒的,但我們也要立足我國自身的國情,避免盲目照搬。
三、國有企業內部控制的現狀分析
( 一 )缺乏完善的企業法人治理結構 法人治理與內部控制有著密切的關系,完善的法人治理結構是內部控制的基礎,法人治理結構不健全,將導致內部控制不完善。在規范的法人治理結構中,應由股東大會選舉董事會和監事會,再由董事會選聘經理層來管理企業日常經營事務,經理層對董事會負責,監事會對董事、經理層進行監督,董事會和監事會向股東大會負責。在我國,隨著國有企業股份制改革的進行,企業的所有權與經營權逐漸分離,雖然形式上建立了法人治理機構,但遠未達到權力制衡的效果,內部人控制的現象仍十分普遍。很多國有企業董事長、總經理、監事由上級任命,且董事會與經理人員較多重疊,董事擔任監事的現象也屢見不鮮。名義上,董事會和監事會都由股東大會選舉產生,兩者地位平等,但在實際運作中,監事會的地位低于董事會,造成監事會往往被董事會和經理層控制,其工作處于被動狀態,獨立性無法保證,職能無法正常發揮,難以對董事會和經理層進行有效的監督。同樣的,外部董事獨立性不強,其作用也很小。而由于財務會計信息系統的運作受企業經理的直接領導,財務監督被架空。如此,管理層凌駕,相互制衡的法人治理結構無法建立,內部控制制度不能有效運行。
( 二 )企業內部控制制度不完善或者執行不得力 內部控制制度的設計要根據企業自身的目標、生產經營規模、管理模式、管理平臺和管理方法以及企業所在的外部環境進行設計,要理順企業的業務流程、分析流程中高風險環節,有針對性的設計控制點、控制方法和措施,適合企業的制度才便于執行和防范風險。而目前相當一部分國有企業對建立內部控制制度不夠重視或者對內部控制缺乏本質的了解,建立出來的內部控制制度要么就是殘缺不全要么就是有關內容不夠合理,不符合其生產經營活動的實際需要。而有一些企業在內部控制方面的制度制訂得比較多,但是制度間缺乏有效銜接,甚至存在“相互打架”的現象,導致一些制度難以具體落實到實處。執行內部控制制度比設計內部控制制度更為重要,內部控制理論只有將其付諸于實踐才有價值。一些國有企業的內部控制在執行上相關各方權責不清,企業董事會、管理層和員工之間缺乏明確的責任認定,企業自覺執行內部控制的動力不足,企業內部控制建設落后,且沒有得到嚴格執行,企業內部有關方面只是被動的執行內部控制,缺乏主動執行、維護及改善內部控制的熱情,這與西方內部控制中充分調動企業董事會、監事會、經營者、普通員工等有關方面積極性的“全員參與”的思想有一些差距,妨礙了我國企業內部控制制度的有效運行。同時,長期以來,我國國有企業形成的重人情、重過程、多變通的管理文化,使得主要依靠制度、程序、記錄和標準化的內部控制難以有效執行,內部控制制度形同虛設,成為一紙空文。
( 三 )內外部監督乏力 再好的內部控制制度的執行如果缺乏監督,內部控制的有效性也難以得到保證。在內部監督方面,有些企業缺乏有效的內部審計,內部審計機構不完善,內部審計的監督職能還沒有得到真正發揮;部分企業審計理念滯后,審計部門獨立性仍然較差;部分企業審計力量不足,審計人員缺少執行內部控制審計所必需的勝任能力和經驗,審計人員素質有待提高;許多公司的內審工作需要向管理層匯報,而不是向審計委員會匯報,這一匯報渠道使得內審部門在執行業務時缺少客觀性。外部監督方面,我國已形成了包括政府監督和社會監督在內的企業外部監督體系,然而監督效果卻不盡如人意。目前,有些國有企業的管理層對資金運動各環節監控不力,甚至擅自挪用轉移資金、貪污、犯罪等問題時有發生,缺乏對生產經營活動和內部控制執行情況的有效監督。其原因主要在于兩方面:一是各種外部監督功能交叉、標準不一,加上管理分散、缺乏溝通、未能形成有效的合力;二是會計師事務所不規范的執業環境和不正當的業務競爭,以及對注冊會計師的監督不力,使得其“經濟警察”這一作用沒有得以有效發揮。
四、國有企業內部控制改進的對策
( 一 )加強內部控制環境的建設 一個良好的內部控制環境是建立和完善內部控制的基礎和關鍵。因此,完善內部控制必須從營造良好的控制環境入手。(1)樹立正確的內部控制理念。公司管理層對內部控制的態度決定著整個公司的態度和行為,管理當局應對內部控制有深刻、全面的認識,并將其作為企業經營管理理念的一個重要組成部分。不要把內部控制僅僅理解為各種規章制度的制定,以為建立了各種規章制度就等于建立了內部控制制度,從而忽視了環境建設及整個控制過程。(2)提高員工的素質。員工對企業內部控制的重要性體現在員工是企業內部控制的實施主體,也是內部控制的設計主體。培養和提高員工素質,對貫徹和執行內部控制將會起到很大的作用。提高國有企業員工素質的關鍵是人力資源管理機制的建設,重點是建設和強化競爭機制、考核機制、激勵機制、人才選拔和培養機制。在國有企業中應大膽引入競爭和激勵機制,通過考核機制、連續培養計劃以及完善的社會保障體系等科學的人力資源管理手段來吸引人才、發展人才;并樹立以人為本的管理思想,激發員工的積極性和創造性。另外,做好內部控制培訓工作,強化員工的風險意識,并且將其自覺落實到日常的工作之中,這將有助于樹立正確的風險管理理念和勤勉盡責的工作作風。(3)建立反舞弊機制。企業反舞弊機制是企業內部控制環境的重要因素。企業反舞弊機制能及時發現人為風險、有效控制風險、提高企業內部控制能力,是內部控制的有效支撐。國有企業要建立反舞弊機制,首先需要建立反舞弊的控制環境,創建誠信的企業文化環境;其次,要建立一系列的反舞弊控制措施和信息溝通渠道以及完善的舉報機制;然后,在員工崗位職責和權力授予方面要切實落實反舞弊的職責,對已發生的舞弊事件要采取必要的調查程序及整改措施,對發生舞弊事件的責任人員應追究責任。
( 二 )改善法人治理結構 完善的公司治理結構是保證內部控制功能發揮的前提和基礎,是實行內部控制的制度環境;而有效的控制環境要求組織結構的運行有一個規范的運行程序來支撐,其設計的合理性和運行的效率性直接關系著內部控制目標的實施效果。為此我國國有企業應健全科學的法人治理結構,其核心是通過特定的治理結構和治理程序,在利益相關者之間形成相互合作、相互制衡的機制。在股東大會、董事會、監事會和經理層之間合理分配權限、公平分配利益,并明確各自職責。在改善國有企業治理結構的過程中,需要兩個責任主體的共同努力,并分段、分層次的進行。首先,在國資委的推動和指導下,改善治理結構;同時,管理層要從管理基礎和管理手段入手,完善基礎管理的支撐體系,例如相對明確的組織設置與職責分工以支撐流程運行,清晰的責權分配以支撐授權審批,基礎的核算規范以支撐可靠、有效的預算管理體系和業務計劃體系以支撐經營權力的下放。
( 三 )健全內部審計監督體系 COSO框架中一個重要的組成部分就是“監控”,這項職能是由內部審計來完成的,即對公司整個內部控制過程的有效性實施再監督,內部審計的工作性質在很大程度上代表了公司內部監督的好壞。同時,內部審計作為內部控制環境的一個重要內容,也是企業內部控制體系的重要組成部分,它通過對企業內部控制制度的建立健全和執行的有效性進行評價,促使企業內部控制體系不斷進行自我修復和改進。為了更好地發揮內部審計在企業改革和發展中的監督和服務作用,企業應當做好以下幾項工作:首先,公司董事會和管理層要提高認識,重視和發揮內部審計的職能作用,明確內部審計的職責定位,突出審計的控制職能;其二,要建立符合公司治理要求的內部審計機構,健全制度,完善機制,規范運作,處理好內審機構與董事會、管理層的關系,保障內審機構運行的相對獨立、客觀與權威;其三,加強審計隊伍建設,提高內部審計人員素質;另外,應加強審計理論和審計方法研究與創新,不斷推進內部審計職能從單純財務收支審計逐步向監督與服務并重轉變,審計方式從事后審計逐步向全過程審計轉變,審計目標從差錯糾弊逐步向內部控制評價和風險評估轉變。同時,應擴大內部審計范圍,使內部審計內容豐富化,包括財務收支審計和經營效益審計、內部控制審計和經濟責任審計等。
( 四 )加強風險管理,建立風險管理長效機制 風險管理是企業經營成敗的關鍵,國有公司內部控制的核心內容就是風險控制,內部控制制度的制定也是以審慎經營、防范和化解風險為出發點的。企業的目標制定的風險管理的起點,在目標制定的前提下,企業應對影響目標的風險進行事件識別,進而對識別的事項進行風險評估,風險評估驅動風險應對,從而影響控制活動,信息與溝通和監督貫穿于企業風險管理的整個過程,并對其余要素進行修正。為了提高風險管理能力,國有企業應當優化管理機制設計,建立責權利相統一的風險管理機制,建立風險管理良性運轉的長效機制。針對國有企業內部控制存在的一些問題,應當重點優化決策機制、激勵機制、責任追究機制和反舞弊機制。
