洪榛嵘
摘 要:本文以COSO报告(1992)为基础,分析内部控制五要素即控制环境、风险评估、控制活动、信息与沟通与监督之间相互作用的机理,梳理各要素之间的逻辑关系,为优化组织内部控制提出建议。
关键词:内部控制;五要素;逻辑关系
一、引言
COSO报告将风险评估、控制活动、信息与沟通、控制环境和监督要素放在了同等地位,从单个要素看,每一个要素都是边界分明,各有其内涵,但是它们作为一个有机联系的整体,任何一个要素都不能脱离整体发挥作用。在已有的对企业内部控制进行评价的文章中,大多都是在忽视要素之间逻辑关系的情况下,单独对各个要素进行分析,这样的分析具有针对性却缺乏对要素间相互作用机理的理解,使得组织的内部控制仍然是一个黑箱,难以发现问题的根源。倘若能够建立一个清晰的内部控制要素之间的逻辑关系,根据内部控制各要素之间的传导链条对问题进行分析,那么在改进组织内部控制时就更能抓住主要矛盾,找出症结,有的放矢。
二、内部控制要素构成及其逻辑关系
(一)内部控制要素的构成
1992年,美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会(简称COSO委员会)提出的《内部控制——整合框架》报告(简称COSO报告)被理论界与实务界广泛接受。该报告将内部控制划分为五种要素,即控制环境、风险评估、控制活动、信息与沟通、监督。本文以COSO报告(1992)为基础,分析内部控制五要素间的逻辑关系。
(二)内部控制要素之间的逻辑关系
控制环境奠定了一个企业内部控制的整体基调。管理层的管理风格与经营哲学决定了企业在运营过程中对风险的偏好。保守的管理者在对风险识别时会更加地谨慎,而激进的管理者则倾向于为了获取更大的利益冒更高的风险。治理层包括股东会、董事会以及监事会,治理结构需要设计出治理层对管理层的权责安排、独立董事制度、内部审计制度等监督体系。也就是说,公司的治理结构直接影响了监督要素中监督机构的设置和监督活动的进行。对于一个企业来说,倘若没有严谨的内部控制制度和程序,但是他的员工都是正直且有工作胜任能力的,员工皆能各善其职,那么企业一样可以按部就班地运作,但如果一个企业拥有完整的内部控制制度,可是员工素质欠缺,品格不佳,那么再有效的控制活动也会沦为空谈,因为无论多么完美的内部控制都没有办法防止员工间的串通舞弊。内部控制环境中的组织架构和权责分配为信息在部门间的流转提供了一个基本架构和传递路径,与此同时充当 “信使”角色的员工的职业道德与胜任能力很大程度上影响部门之间信息沟通的及时性和有效性。
将风险评估划分为风险识别和风险应对两个分要素。所谓风险识别,就是企业在经营过程中对可能遇到的内部和外部风险进行定性和定量的衡量,认识和明确各种风险因素可能带来的后果,主要任务是研究各流程中何处有风险,风险发生的可能性,引起风险事故的原因以及风险一旦发生造成的损失程度。当风险一旦发生,企业采取怎样的措施使得损失降到最低就是风险应对应该回答的问题。风险评估是控制程序设计的指南针,控制活动包括政策的制定、控制程序的设计和执行。控制程序的设计、政策的制定是根据风险识别的结果为依据的,它为控制活动的重点指明方向,提高内部控制的效率和效果。根据《内部控制系统监督检查指南》,企业应该基于风险评估的结果进行优先级排序、分配资源和采取相应的监督方式。企业往往会把目光聚焦在一些风险较大的环节或是项目上,例如,为了避免管理层的逆向选择和道德风险,企业往往会设立董事会和监事会;为了防范企业遇到的财务风险、运营风险等,设立独立的内审部门等等,这些举措说明风险评估给监督工作提供指引,提高监督机构设置的合理性,从而增强监督活动的效率和效果。
“内部监督是企业对内部控制建立与实施情况进行监控检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。”可以看出,监督是对内部控制活动的再控制,它位于金字塔模型的最顶端,监督是一个不断检查与反馈的过程,其职能不仅仅停留在督导员工贯彻执行控制制度的层面,更为关键的是建立与组织目标相适应的评价标准和考核机制,检查并纠正控制环境、风险评估、控制活动以及信息与沟通过程中的漏洞,将获取的信息反馈给组织,使得组织有机会及时提出修改意见,优化升级企业内部控制活动,从而达到促进内部控制的自我完善的目的。
信息是沟通的对象和内容,沟通是信息传递的手段。信息与沟通是其他四个要素相互联结的纽带,没有了这个要素,其余四个要素都会沦为信息的孤岛,信息沟通不畅使得整个体系没有办法有效运转。在风险评估方面,企业的各个层次、每个员工都需要运用信息来确认、评估和应对风险,以便更好地履行职责并实现公司目标。在控制活动方面,有效的沟通能够及时曝光企业中不合规的行为以及反映内部控制中存在的缺陷,可以让制度的制定者、程序的设计与执行者对内部控制活动及时调整,完善管理。在控制环境方面,员工的诚信、组织架构和人力资源制度等这些构成控制环境的分要素所反馈的信息是优化内部控制环境的前提。监督就是将内部控制过程中产生的信息进行处理并利用的过程,要提高监督的有效性和针对性就离不开信息的有效沟通。由此可见,一个企业能否有序地运转依赖于内部控制每一个环节的信息生产与沟通。
控制活动是内部控制的关键和核心,是其他四个要素意志的集中体现。从形式上看,内部控制活动是内部控制五要素之一,而从本质上看,它是内部控制的外在体现。内部控制框架是一个整体,控制活动在其中扮演着极为重要的角色,它规定具体的控制措施,在其他要素的共同作用下,使得内部控制的控制职能落到实处。
三、建议与总结
通过研究分析要素间的内在逻辑关系,证明了任何一个要素都可能影响其他任何一个要素。要构建健全有效的内部控制,不仅仅是要具备基本的控制要素,更要综合考虑要素之间的联系。同样,在分析组织内部控制失效时,往往不是哪一个要素的不足,而是多要素的同时作用导致,这个时候就需要解剖要素的逻辑黑箱,理清关系,找到影响内部控制效果的各个因素,深度优化组织的内部控制体系。(作者单位:南京审计大学)
参考文献:
[1] 杨有红. 论内部控制环境的主导与环境优化——基于内部控制系统构建与持续优化视角[J]. 会计研究,2013,05:67-72+96.
[2] 赵宗铭. 内部控制要素的演进[J]. 中国证券期货,2012,01:120-121.
[3] 白华. 论控制活动[J]. 会计研究,2012,10:42-48+95-96.