內部控制的缺失與改進

　　[摘要]本文從宏觀角度出發(fā)，以內部控制在世界范圍內的演進為基礎，探討內部控制在我國的建立與運用。

　　題 記

　　“在內部控制、預算和審計程序等方面，周代在古代世界是無與倫比的�！薄�— 《會計思想史》，邁克爾·查特菲爾德（Michael Chatfield）。

　　“慮夫掌財用財之吏，參漏乾后，或者容奸而肆欺……于是一毫財賦之出入，數人之耳目通焉�！薄�— 《周禮·理其財之所出》，（宋）朱熹。

　　2006年，被稱為中國內部控制年。財政部正緊鑼密鼓地制定內部控制規(guī)范，國資委也將在年內發(fā)布《中央企業(yè)內部控制管理暫行辦法》和《中央企業(yè)內部控制評價暫行辦法》，證監(jiān)會所屬的上海證券交易所出臺了堪稱中國版《薩班斯——奧克斯利法案》的《上市公司內部控制指引》。凡此種種，標志著政府有關部門由大力提倡內部控制建設向明確要求、細化規(guī)定轉變。一股內部控制的旋風，伴隨著強化內部控制度建設的全球化浪潮，正席卷而來。那么，如何建立高質量的、有實質性影響的、符合中國企業(yè)特點的內部控制體系呢？

　　一、內部控制之演進

　　在現(xiàn)代內部控制發(fā)展史上，占了先機的是美國人。1947年，美國注冊會計師協(xié)會（AICPA）下屬的審計程序委員會（CAP）在其《審計準則暫行公告》中第一次提出了內部控制概念。1949年，審計程序委員會發(fā)表了一份特別報告 —— 《內部控制：一種協(xié)調性系統(tǒng)要素及其對管理當局和注冊會計師的重要性》。在這份報告中，CAP對內部控制作了如下定義：“內部控制是企業(yè)為了保證資產的安全完整，檢查會計資料的準確性和可靠性，提高經營效益，推動企業(yè)貫徹執(zhí)行既定的各項政策而采取的組織規(guī)劃和一系列相互協(xié)調的方法與措施�！边@里，內部控制的范圍不止在財務會計方面，“提高經營效益”、“推動企業(yè)貫徹執(zhí)行既定的各項政策”皆被列入了內部控制目標。對于注冊會計師而言，要做企業(yè)管理的“萬能醫(yī)生”，所承擔的，似乎是“不可能完成的任務”。

　　有鑒于此，1963年，AICPA在《審計程序公告第33號》（SAP No.33）將內部控制做了劃分，表述為會計控制和管理控制，前者旨在保護企業(yè)資產完整，檢查會計信息的可靠性；后者在于促使有關人員遵守既定的管理政策，提高經營的有效性。根據SAP No.33，“注冊會計師主要關注會計控制”，“如果獨立審計人員認為某些管理控制可能對財務記錄可靠性有影響，可以考慮評價管理控制�！�

　　1988年，AICPA在《審計準則公告第55號》（SAS No.55）以“內部控制結構”（Internal Control Structure）的提法替代了“內部控制”，并廢除了“內部會計控制”和“內部管理控制”兩種概念的劃分。認為“企業(yè)內部控制結構包括為合理保證企業(yè)特定目標的實現(xiàn)而建立的各種政策和程序”，并確立了內部控制結構的三要素——控制環(huán)境、會計系統(tǒng)和控制程序，這被認為是內部控制概念發(fā)展的一個里程碑。

　　1992年，美國國會“反對虛假財務報告委員會”（National Commission on Fraudulent Reporting，又稱Treadway Committee）的發(fā)起組織委員會（Committee of Sponsoring Organizations of the Treadway Commission，由美國會計學會AAA、美國注冊會計師協(xié)會AICPA、內部審計委員會IIA、財務經理協(xié)會FEI和管理會計學會IMA等多個專業(yè)團體參與組成），發(fā)布了COSO報告—— 《內部控制——整體架構》（Internal Control——Integrated Framework），并于1994年進行了修訂。報告指出：“內部控制是由企業(yè)董事會、管理層和其他員工制定和實施的，旨在為經營的效果和效率、財務報告的可靠性以及相關法律法規(guī)的遵循性等目標提供合理保證的過程�！辈�歸納了內部控制的“五大要素”：（1）控制環(huán)境（control environment）；（2）風險評估（risk assessment）；（3）控制活動（control activities）；（4）信息與溝通（information and communication）；（5）監(jiān)控（monitoring）。鑒于COSO報告對內部控制的認定與《審計準則公告第55號》（SAS No.55）有較大差距，AICPA于1995年發(fā)布了《審計準則公告第78號》（SAS No.78），修改了SAS No.55，全面接受了COSO報告的觀點。

　　2002年，美國政府頒布了《薩班斯——奧克斯利法案》（SOX法案），要求所有依照美國1934年證券交易法第13（a）或15（d）節(jié)的規(guī)定向證券交易委員會（SEC）提交財務報告的上市公司，都要在年報中提供“內部控制報告”，評價公司內部控制設計及其執(zhí)行的有效性，注冊會計師要對企業(yè)的“內部控制報告”進行審核和報告。公司的首席執(zhí)行官與首席財務官須出具書面保證，不僅要確保財務會計報告的真實性，還要確保公司擁有完善的內部控制系統(tǒng)——堪稱“兩手抓”方針下的實證樣本。

　　鑒于企業(yè)經營面臨的風險日益增大，風險管理與控制在企業(yè)運營中越發(fā)凸顯。2004年9月，COSO又提出了《企業(yè)風險管理——整合框架》，它既是對《內部控制——整體框架》的超越，也標志著內部控制的轉型。在內涵構成上拓展、延伸為“八要素”：一是目標設定，指董事會和管理層根據公司的風險偏好設定戰(zhàn)略目標；二是內部環(huán)境，指公司的組織文化以及其他影響員工風險意識的綜合因素，包括員工對風險的看法、管理層風險管理理念和風險偏好、職業(yè)道德規(guī)范和工作氛圍、董事會和監(jiān)事會對風險的關注和指導等；三是風險確認，指董事會和管理層確認影響公司目標實現(xiàn)的內部和外部風險因素；四是風險評估，指董事會和管理層根據風險因素發(fā)生的可能性和影響，確定管理風險的方法；五是風險管理策略選擇，指董事會和管理層根據公司風險承受能力和風險偏好選擇風險管理策略；六是控制活動，指為確保風險管理策略有效執(zhí)行而制定的制度和程序，包括核準、授權、驗證、調整、復核、定期盤點、記錄核對、職能分工、資產保全、績效考核等；七是信息溝通，指產生服務于規(guī)劃、執(zhí)行、監(jiān)督等管理活動的信息并適時向使用者提供的過程；八是檢查監(jiān)督，指公司自行檢查和監(jiān)督內部控制運行情況的過程。

　　二、內部控制在中國

　　與國外內部控制起源于對會計信息質量的關注一樣，我國對企業(yè)內部控制的建設也起源于提供干凈會計信息的訴求，并且在內部控制建設過程中較多地借鑒了國外既定的研究成果。我國對內部控制理論引入至實務主要包括以下方面：

　�。ㄒ唬�審計鑒證方面

　　1996年12月，中國注冊會計師協(xié)會發(fā)布了《獨立審計準則第9號——內部控制和審計風險》，借鑒美國SAS.NO.78，提出了內部控制三要素——控制環(huán)境、會計系統(tǒng)和控制程序，以幫助注冊會計師調查和測試內部控制，確定控制風險，設計實質性審計測試的性質、時間與范圍。

　　2002年2月9日，中國注冊會計師協(xié)會發(fā)布《內部控制審核指導意見》，規(guī)范注冊會計師就被審核單位管理當局在特定日期對內部控制有效性的認定進行審核，并發(fā)表審核意見，但該意見主要強調與會計報表相關的內部控制。

　　2006年2月25日，中國注冊會計師協(xié)會發(fā)布《中國注冊會計師審計準則第1211號——了解被審計單位及其環(huán)境，評價重大錯報風險》，將被審計單位將內部控制作為評價被審計單位重大錯報風險的重要依據之一。第一次正式提出了內部控制的五要素，即控制環(huán)境、風險評估、信息與溝通、控制活動和監(jiān)督，明顯借鑒了COSO內部控制框架思想。

　�。ǘ�）行業(yè)管理制度

　　1997年5月中國人民銀行頒布了《加強金融機構內部控制的指導原則》，就銀行、保險公司等金融機構內部控制的目標、原則、要素、基本要求等作出了規(guī)范。

　　2000年11月，證監(jiān)會發(fā)布了《公開發(fā)行證券公司信息披露編報規(guī)則》，要求公開發(fā)行證券的商業(yè)銀行、保險公司、證券公司建立健全內部控制制度，并在招股說明書正文中說明內部控制制度的完整性、合理性和有效性，同時，要求注冊會計師對被審計者的內部控制制度及風險管理的“三性”進行評價和報告。

　　2001年1月，證監(jiān)會發(fā)布了《證券公司內部控制指引》，要求所有的證券公司建立和完善內部控制機制和內部控制制度。

　　從2001年6月起，財政部陸續(xù)發(fā)布了《內部會計控制——基本規(guī)范（試行）》和《內部會計控制規(guī)范——貨幣資金（試行）》等一系列具體的會計規(guī)范，明確了單位建立和完善內部會計控制體系的基本框架和要求，以及相關具體項目內部控制的要求。

　　2006年預計國資委即將出臺《中央企業(yè)內部控制管理暫行辦法》和《中央企業(yè)內部控制評價暫行辦法》，對中央企業(yè)內部控制的建立及效果實施嚴格管理。

　�。ㄈ�）企業(yè)自主行為

　　在我國，隨著中航油新加坡分公司違規(guī)進行原油期貨交易等一系列因內部控制缺失而導致的重大舞弊事件的出現(xiàn)，越來越多的企業(yè)認識到完善的內部控制對防范和化解經營風險、防止舞弊具有顯著效用，國內部分大型企業(yè)集團開始按照COSO報告的基本框架建立內部控制。此外，為滿足《薩班斯——奧克斯利法案》（SOX法案）404條款的要求，在美國上市或即將在海外上市的企業(yè)已經在國際咨詢公司的幫助下，構建內部控制體系。

　　我國大多數企業(yè)多年來習慣于漸進地積累管理經驗，建立內部控制制度。雖然陸續(xù)形成了一些管理辦法、條例、暫行規(guī)定等文件，但是，一則支離破碎、捉襟見肘；二則無法適應現(xiàn)代企業(yè)不斷提升治理水平的需要。具體說來，中國式內部控制呈現(xiàn)出以下缺陷：

　　1.被動的

　　傳統(tǒng)國有企業(yè)的粗放經營以及民營企業(yè)的人治色彩難以內生為控制的理念，而中庸思想深厚的東方文化也很難發(fā)育出要素完備、功能齊全、目標明確的內部控制體系。這就決定了中國式內部控制的需求動力很大程度上來源于外部的壓力，包括融入國際市場經濟的渴望以及建立國際一流企業(yè)的夢想，這種渴望和夢想使得國內企業(yè)不得不按照西方的框架建立相應的內部控制。

　　2.借鑒的

　　無論是證監(jiān)會對證券公司內部控制的要求和上交所制定的《上市公司內部控制指引》，還是中國人民銀行對商業(yè)銀行內部控制的規(guī)定，以及財政部對企業(yè)內部會計控制的規(guī)范，莫不以美國的控制模式為模板。然而，作為美國企業(yè)內部控制圣經的COSO報告能否適應中國所有制形式混雜、規(guī)模不一、管理者素質參差不齊的現(xiàn)實，并未經過普遍的實踐檢驗。

　　3.政府主導的

　　政府部門對內部控制的關注首先集中在容易發(fā)生舞弊風險的金融領域，特別是商業(yè)銀行、證券公司等金融風險多發(fā)地帶。然后由點到面，由金融機構向一般行業(yè)擴展。然而，具體企業(yè)根據自身需求主動設計整體內部控制的自發(fā)性遠遠不足。

　　4.文本的

　　常見的誤區(qū)是，內部控制就是企業(yè)的規(guī)章、制度，就是基于財務核算的會計控制。顯然，這只是內部控制的一部分，并不是全部。內部控制側重于對文本制度的全面化、流程化；立足于動態(tài)監(jiān)控、與管理軟件（工具）耦合、可評價、可修正。由于我國企業(yè)通常強調規(guī)章制度的建立而忽視對控制環(huán)境、信息與溝通等要素的關注，關鍵的風險評估也往往流于形式。實際上，無論多么完善的控制制度、程序或方法，如果沒有誠實、守信、盡責的文化氛圍，沒有不折不扣、一以貫之的有效執(zhí)行，終將是沒有任何意義的空頭文件。

　　5.滯后的

　　我國內部控制理論和實務的發(fā)展滯后于國際成熟的發(fā)展形態(tài)，在國際上已將COSO框架奉為圭臬的1996年，我國出臺的有關文件，仍將內部控制囿于控制環(huán)境、會計系統(tǒng)、控制程序三要素，落入了傳統(tǒng)會計控制的窠臼。即使一些最新的準則、規(guī)定，也只采用了COSO的“五要素”，而沒有注意到《企業(yè)風險管理——整合框架》的“八要素”。

　　三、中國內部控制框架之確立

　　基于上述缺陷，我們認為，構建有中國特色的內部控制，需要解決以下兩方面的問題：

　�。ㄒ唬╆P于內部控制標準的問題

　　西方國家在市場經濟的長期發(fā)展過程中逐步形成了本國特色的內部控制，比較有代表性的包括：美國COSO報告、加拿大內部控制報告，而其余國家多采用其中之一。

　　但從我國目前實際情況來看，除了1997年人民銀行發(fā)布的《商業(yè)銀行內部控制指引》和2006年2月25日中國注冊會計師協(xié)會發(fā)布的1211號審計準則明確借鑒了美國COSO報告中的五要素思想外，其余方面并未提出明確的內部控制標準，內部控制與會計控制往往混為一談。我們對COSO報告是全盤吸收，還是在拿來的基礎上經過中國式的加工改造以適應中國多變的國情？是不分企業(yè)的所有制、規(guī)模而用統(tǒng)一的標準去規(guī)范，還是針對不同類型的企業(yè)設計不同的內部控制的標準？都是值得我們關注的問題。

　　中國內部控制標準的制定，可以分為下述三階段：

　　1.可以借鑒美國發(fā)起組織的模式，成立專門的內部控制研究委員會，盡可能廣泛吸收國內財經界人士研究制定中國式的內部控制標準，以保證內部控制的廣泛適用性。

　　2.研究制定中國內部控制框架，統(tǒng)一我國學術界、實務界對內部控制的不同聲音，形成對內部控制的定義、目標及要素的一致性認識，使其成為我國企業(yè)內部控制的“根本大法”。

　　3.各行業(yè)各部門可以根據內部控制框架，在不違反框架基本原則的前提下，制定自己的內部控制標準。

　　但無論如何，我們的內部控制標準不能缺乏已被時間和實踐檢驗過的COSO框架中的內部控制五要素。在我們這樣一個人治色彩濃厚、家長制作風嚴重的國度里，尤其要關注控制環(huán)境的培育。

　　我們一次性地制定一系列控制程序和方法不難，但如何保證這些控制程序和方法在既定的環(huán)境中得到始終如一的應用則是一個問題，象銀廣廈，表面上有關憑證審核、批準等控制環(huán)節(jié)齊全，背地里卻是一個不折不扣的造假鏈。

　�。ǘ�）關于內部控制評價問題

　　2002年的薩班斯法案404條款明確要求上市公司提交內部控制報告，除管理層對內部控制的描述外，還需要獨立注冊會計師對內部控制進行測試和評價，以驗證與財務報告相關的內部控制設計執(zhí)行是否合理以及運行是否有效。盡管這種強制性的要求僅限于與財務報告相關的內部控制，但在企業(yè)內部控制發(fā)展歷史上無疑邁出了重要的一步。但時至今日，除了首次公開發(fā)行股票要求外部獨立注冊會計師對企業(yè)內部控制進行獨立評價外，無論從內部還是從外部都無法律法規(guī)要求對企業(yè)內部控制進行評價，而盡管中國注冊會計師協(xié)會頒布了《內部控制審核指導意見》，但在使用范圍、力度上明顯不夠。

　　對于我國內部控制的評價，需要解決以下三方面的問題：

　　1.評價主體

　　一般而言，內部控制的評價可以分為內部評價和外部評價。內部評價一般由企業(yè)內審機構進行，而外部評價多為獨立第三方進行，實務中會計師事務所多承擔了這一工作。除上文提到的首次公開發(fā)行需要獨立第三方要求對內部控制進行鑒證并出具評價報告外，對內部控制的評價并無強制性要求�？梢圆捎煤拓攧請蟾鎸徲嬵愃频姆绞�，由內部審計機構對企業(yè)內部控制進行評價，公司管理層（董事長、總經理）認可并簽發(fā)評價報告，然后通過獨立第三方（會計師事務所）對內部審計機構的內部控制評價報告發(fā)表意見。

　　2.評價范圍

　　在實務中，對內部控制評價的范圍仍局限于與財務報告相關的內部控制，也就是說較多關注內部控制的報告性目標，而對合法性目標和經營的有效性目標較少關注。本文認為，作為一個互相影響、相輔相成的系統(tǒng)，內部控制三個目標缺一不可。在對內部控制進行測試評價時，不僅要關注其在保證財務報告真實準確完整以及不存在重大錯報和舞弊方面的作用，更要關注其能否為實現(xiàn)經營目標、保證企業(yè)合法經營方面提供合理保證。

　　3.評價標準

　　美國薩班斯法案明確規(guī)定了將COSO報告作為內部控制評價的主要標準，而我國缺乏統(tǒng)一的評價標準，從而使注冊會計師的評價工作存在較大的困難。因此，應將上文提到的中國式內部控制框架作為進行內部控制評價的標準，當然，各企業(yè)可以在不違背上述基本框架的前提下建立具體的內部控制評價標準。

　　當“沒有人不被控制，沒有業(yè)務不被控制”的內部控制框架形成時，當“內部控制好似一種傷害，直到傷害到每一個人為止”的執(zhí)行觀念形成時，中國式內部控制才能走上規(guī)范化的坦途。