谁“控制”内部控制
从本质上看,控制的主要对象是人的行为。而内部控制最终由谁负责,是关系到内部控制能否发挥效果的根本问题。因此,在明确董事会在内部控制中的责任的同时,应加大外部监督和约束力度,建立董事会内部控制考核制度。
近年来,随着巴林银行倒闭案、安然事件、世通公司财务欺诈案以及国内中航油、中储棉、银广厦、杭萧钢构等一系列控制失灵事件的发生,内部控制再度引起国内外各类监管机构的重视,并成为社会各界广泛研究的热门话题。继美国出台的《萨班斯・奥克斯利法案》之后,许多国家相继修订了上市公司内部控制的有关规定,我国相关部门也陆续出台了一系列规范、指引等内部控制规章,构成了复杂、繁多的内部控制要求。对中国企业而言,由于所有制形式不同,上市地点不同、业务范围不同,需要遵循多种不同的监管要求,这使得企业在进行内部控制建设时,面临诸多选择,耗费巨大,甚至效率低下,以至背离内部控制建设的初衷。因此,我国内部控制建设的当务之急是尽快整合我国内部控制的有关规定,借鉴国际主流内部控制理论和方法,研究确立我国的内部控制理论体系;从我国实际出发,兼顾国际资本市场监管要求,建立我国统一的内部控制框架体系;立足我国内部控制目标,厘清控制主体职能定位,构建我国内部控制责任体系。
基于“人”的体系
控制是因人性弱点而存在的,趋利避害是人的主要行为特征。由于受到利益驱动,为了获得自身效用最大化,每个人都有背离控制的动机。这种冲突是普遍存在的,是人性使然,是否背离,取决于每个人对得失利害(风险)的权衡。而有背离就有纠正,这是一种社会行为,如何控制,取决于监管者对于成本利益的平衡。纵观国内外内部控制失败的案例,无一例外不是因为管理层(这些人)为了实现绩效目标,从而达到自身利益最大化,而采取背离控制的行为所至。因此,从本质上看控制的主要对象是人的行为。
近来,我国社会各界对内部控制的研究,大多是针对业务流程控制的具体方法,而对于不同控制环境、文化背景下业务执行的行为特征很少涉及。这就是为什么我们辛辛苦苦把一些企业行之有效的控制方法加以归纳总结,但运用到其他企业却难以凑效。当前内部控制领域最为权威的文献之一COSO报告――《企业风险管理―整合框架》,关于内部控制环境方面的观点值得我们研究借鉴。COSO报告把控制环境放在各要素的首位,是其他要素的基础,指出应从合理的保证与主体的态度两方面考核内部环境。考察内部控制是否提供合理保证,应注意内部控制的费用是否超过所获得的收益。
COSO报告充分关注了人的行为对内部控制的影响。在他看来,企业组织中的人员,尤其是高管层的风险管理理念、风险偏好、管理哲学、价值取向、诚信程度及胜任能力,权责分配等,直接关系到企业内部控制的程序设定及其成效。
COSO报告另一个重要启示是内部控制是一个过程,而非结果。就人的行为逻辑而言,为特定目的而引发的特定行为,是一种连续的过程,因此控制不是控制结果,而是要规制行为过程,引导、约束人的行为朝着即定方向发展。从目标设定到目标实现的全过程都应该体现控制要求,是当今内部控制理论对管理学控制职能的超越与发展。
目前,我国的内部控制理论研究还很欠缺,在缺乏理论指导的情况下,各种有关内部控制的规章制度,以及企业的内部控制实务就显得杂乱无章。因此,急需研究确立我国内部控制理论体系,以指导我国企业内部控制实践。
结合“要素” 、“内容”
纵观国际内部控制的发展历程,大体经历了内部牵制阶段、内部控制制度化阶段、内部控制结构化阶段,以及内部控制整体框架阶段。总体趋势是:从单一的财务会计内部控制,向风险管理和全面内控发展;从规范控制内容向控制要素方向发展。这是因为,长期的理论研究和企业实践表明,内部控制与企业经营环境有关,是为控制特定风险而设置的。当今,企业在发展过程中所面临的风险不仅仅是财务风险,还面临战略风险、经营风险、合规风险等诸多风险,不同的企业面临的风险有所不同,内部控制的重点也不相同,加之内部控制需要付出成本,所以不能指望罗列一系列的控制内容来解决所有企业的控制问题。
哪些要素才能构成完整的内部控制过程,是制订内部控制框架的难点,解决这一难题仍然需要从人的行为逻辑出发。COSO《企业风险管理―整合框架》提出内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、持续监控八大要素,仍然值得我们学习研究。在此基础上结合中国企业的行为特点,从企业行为控制要素和控制与反控制关系要素两方面,确定我国内部控制框架体系的要素内容。
任何控制理论及其实践,都离不开本国的管理基础和文化背景,仅就我国在海外的主要上市地美国和香港监管要求来看,美国自工业化以来,经过了近200年的科学管理实践,标准化、规范化成为美国企业的管理基础和行为规范,以COSO为代表的内部控制理论和实务,正是根植于这一土壤。从市场经济发展的历程来看,内部控制体系根植于商业社会的程度越深,针对有效满足良好商业行为所需要的监管细节就越少。但是由于近年来公司倒闭和舞弊丑闻频发,美国出台了“萨班斯法案”,加强了监管,要求之严格甚至限制了企业的发展和创新。“萨班斯法案”的核心,一是强调了首席执行官和财务官的法律责任,二是不仅监管内部控制结果,而且监管这一结果的控制过程,因而加大了企业的控制成本。香港联交所的监管要求比较宽范,主要受英国内部控制理论的影响。英国的理论和方法很少对公司董事会应如何组织并有效执行其责任等问题做出硬性规定,将其商业监管体系建立在原则而非严格规定的基础上。1998年出台了《公司治理委员会综合准则》规定了“不遵守就解释”的基本原则,即如果公司能够证明所选取的方法更适用于自己所处的情况,那么公司就可以选择这种方法,而不是一定采用该准则中建议的方法和标准,前提是公司要向股东解释如此选择的原因,由股东来决定是否对该方法满意。这种以市场为基础的监管方法,使董事会在组织和执行其职责时保持更好的灵活性,同时还保证了董事会对股东负责。如此,将内部控制的高标准与实施控制的低成本有效结合起来。英国一直重视内部控制的自我评估,通过自我评估程序,由组织整体对管理控制和治理负责。作为《综合准则》指南的特思布尔报告提出的对内部控制自我评估时应特别考虑的问题,大部分内容被香港联交所《企业管治常规守则》建议最佳常规所采用。
我国内部控制体系化建设才刚刚起步,尚处于经验式管理状况,呈现出随意性的行为特征,我国企业在法律意识、制度基础、风险理念、经营风格等方面与欧美企业还存在较大差距,尤其是许多企业尚不了解控制要素与企业经营管理之间的关系。所以,我国内部控制框架体系,即要与国际接轨,又要符合国情,应从全面内控出发,以内部控制要素为主,辅以控制内容要求,即基础规范以内部控制要素为主,制订原则性要求和标准。应用指南应总结我国不同类型企业的共性问题,对主要控制内容、控制流程和方法给予指导,从而形成具有中国特色的内部控制框架体系。
规范“内”、“外”
从控制主体角度看,分为外部控制和内部控制。那么,内部控制谁主沉浮?就本质而言,内部控制是一种自我调节、自我约束行为,这种自律行为并非完全是自发和自愿的。这是因为内部控制是由人来执行的,人性的弱点必然时刻影响着内部控制过程。如果没有外部控制作为约束条件,没有外部控制的有力推动,就难以形成良好的自我完善机制。尽管“萨班斯法案”受到诸多质疑,但正因为它的出台,才掀起了全球范围的内控热潮,充分体现了内部控制与外部控制的辩证关系,也表明内部控制的责任体系应由外部监管者和内部管理者两部分构成。
内部控制的监管方由于担负的角色不同,其控制目的、控制对象、控制内容和方式、控制强度不同。美国“萨班斯法案”出台的目的是为了重塑公众对资本市场的信心,规范企业信息披露的行为,管辖范围是在美国上市的公众公司,强化高管层对财务报告和信息披露的责任,加重对违法行为的处罚。我国国资委出台《中央企业全面风险管理指引》,目的是引导中央企业防范重大风险,促进企业持续、健康、稳定发展,规范企业全面风险管理行为,管辖范围是中央企业,并非强制要求。不难看出,美国证监会担负的是市场监管者的角色,主要职责是维护资本市场秩序;而国资委担负的是中央企业出资人的角色,主要职责是监督管理国有资产保值增值情况。
目前,我国内部控制的规章制度,可谓纷繁复杂,政出多门,资本市场监管部门、行业管理部门,出资者代表机关、社会公共管理部门等纷纷出台有关内部控制管理办法,但各部门在内部控制监管方面所担负的角色并不明确,责任尚不清晰,控制目的模糊不清,缺乏在统一理论和框架体系指导下的行为规范。因此,在我国社会主义市场经济相关制度还不完善的情况下,规范外部监管行为,是建立中国特色内控责任体系的客观要求,也应该纳入由财政部牵头、联合证监会及国资委共同开展的中国企业内部控制标准的研究范畴。
从某种意义上讲,内部控制最终由谁负责,是关系到内部控制能否发挥效果的根本问题。传统的观点认为,内部控制应由公司总经理负责。这种观点的出发点是承认公司治理和内部控制的明确划分。公司治理解决所有者、董事会和经理层的制衡关系,是用来约束、激励和监督经营者的控制制度;内部控制则是管理当局与其下属之间的管理控制关系,是面向次级管理人员和员工的控制。但是,这种观点的最大问题在于,可能对维护股东和债权人的利益不利。近年来的很多案件表明,许多的舞弊行为都直接来自公司高层,而造成的损失也更为巨大。
COSO框架中认为董事会对企业内部控制负主要责任,这种观点得到了广泛认同。目前监控最为严格的“萨班斯法案”把财务报告的可靠性和有关内部控制的责任落实到实际执掌公司权力的关键人物身上,实际上是从美国公司的现实情况出发,突破了公司治理和内部控制的机械分割,加强董事会和管理层的责任。另外,香港联交所和国资委也要求董事会对内部监控和风险管理工作负责。
在明确董事会在内部控制中的责任的同时,应加大外部监督和约束力度,建立董事会内部控制考核制度。我国的管理文化往往是通过“管人”来“管事”,这种方式注重事后的结果,通过结果的考量,作出对人的评价,然而内部控制结果,尤其是风险管理结果,往往并不能直接反映控制行为是否恰当。也就是说,管理层不作为、甚至背离控制程序,并不一定带来直接后果,而有时即使完全遵循控制要求,由于环境影响,也会导致失败。因此,应将控制结果和控制过程考核相结合,对重要管理行为,如决策行为过程加以评价。内部控制的最高境界是形成自我约束的机制和文化,因此,应倡导内部控制自我评价,实行内部控制与风险管理述职制度,从而自上而下传递内部控制理念,营造良好的内部控制氛围。
来源:中国论文网
