(南京广播电视大学 南京城市职业学院 江苏南京210002)
立足于不同的视角,内部控制评价可划分为单口径、全口径两种不同的口径。单口径内控评价以防范舞弊为导向,以财务信息质量为驱动。全口径内部控制则以战略目标为导向,以价值创造为驱动。由于种种历史或现实的原因,现实生活中,存在着人为缩小内部控制评价口径的现象。一些企业将内部控制评价工作片面地理解为仅服务于财务报告审计的需要,将内控评价工作完全交与财务、内审、证券部门实施,甚至索性外包给社会会计审计机构全权代理。此现象严重背离了内部控制评价的实施初衷。
从本质上看,内部控制是组织为了实现自身目标所制定的保障系统,其核心内涵在于以战略目标和战略选择为导向,构建满足“会计审计、企业管理、外部监管”多维度需要的目标体系。内控评价作为测定企业内控制度是否为内控目标实现提供了合理保证的实施环节,其评价工作必然要求突破会计审计视野的束缚,摆脱以往评价标准及方法单一僵化的局限,从人员配备到评价口径,紧密围绕“会计信息质量、企业价值增值、政府监督”等三方面需要,构建全口径评价口径,从而充分发挥内控评价在发现内控存在问题与缺陷、控制风险提升效率、最终实现组织目标的功能。
全口径内部控制评价围绕企业内控工作的开展是否满足会计信息质量、提升经营管理水平、监管部门法律规范要求等方面而展开。会计信息质量口径侧重于依据审计标准对财产安全与财务报表的可靠性进行测定,经营目标口径则主要对组织规划及其经营决策程序进行评价,法律法规口径则是敦促企业提升内控法律执行力。然而由于不同口径的内控评价对其指标体系提出的要求不尽相同,涉及的的目标导向、业务事项存在着较大的差异,加之评价人员构成及其综合素质的局限性,常常模糊人们对内控评价口径及其目标的的认识,进而出现了由于目标定位不清晰而导致的评价效率偏低的问题。这就要求评价实施中,评价工作立足于公司面临的内外环境、公司治理现状等方面,统筹构建三大口径相互协同的评价体系,及时化解评价实施过程中各口径之间的冲突,从而确保内控评价的全口径范畴。
我国《内部控制评价配套指引》采用了要素评价法,该方法将内部控制的五要素作为评价内容框架,以企业经营管理活动相关环节为载体,旨在全面反映企业内部控制的实施状况。笔者认为,内控评价的本质在于及时发现内控设计及其运行中存在的风险,测定企业应对风险的有效性,在此基础上识别漏洞,对控制缺陷进行评估。因此,建议实施要素评估法进行内控评估中,将风险管理作为主线嵌入其中,构建风险管理为核心、资源约束为条件的五要素内部控制评价框架体系。
立足于“内部环境、风险评估、控制活动、信息与沟通、内部监督”五大方面,各评价要素实施中应重点把握如下问题:
(一)立足于公司治理及其软控制对“内控环境”进行评估。内部控制伴随着公司制产生而建立,其核心推动力来自于委托代理关系,所有者与管理者的委托代理关系由公司治理进行规范,而管理者与其以下各级层次的关系则由内部控制进行规范。由此,规范的公司治理结构,切合公司发展战略的组织构建及其企业文化等方面,便成为内部控制健康运行的基础保障。离开了这一根本保障,即使再完美的控制程序与方法也无法找到其赖以生存的土壤。基于控制环境在控制要素中的这一核心地位,控制环境评价工作组织中应重点围绕以下两大方面进行考察:其一,评价公司治理结构是否为内部控制作用的发挥提供了良好的前提保障。即任何权力的运用是否都掌握在董事会的有效约束和控制之下。因为以管理层为主体的内部控制,其本身并不具备防止自身舞弊的能力,只有完善的公司治理内部制衡机制,才能从根本上确保管理层实施的内部控制制度的有效性。其二,评价由管理层为主体实施的内部控制是否有效建立了控制与管理的融合对接。内部控制不仅是一种经济手段,更具有较强的文化属性,内控环境的评价不能局限于传统审计视角的“经济人”假设,而应立足于企业文化层面对其 “软控制”环境进行评价,通过对其价值理念、岗位职责、激励机制等方面的全方位评价,发现问题。
(二)建立从风险识别至防范应对的“风险评估”体系。世界经济近二十年来发展的不确定性及其竞争日趋激烈,使得内部控制系统面临的风险日益严峻。风险管理相对于资产记录的安全性、管理活动的规范性、法律法规的遵守性而言,显得尤为重要。随着“企业风险管理框架”的出台,内部控制与风险管理已逐渐融为一体,风险管理一定程度上已成为内部控制的代名词。由此,立足于企业实际,建立风险识别机制,进行风险分析,提出风险应对举措,成为内部控制风险管理的核心所在。风险评估中应重点抓住以下三大关键问题:其一,选定与风险容量相匹配的目标,对潜在事项的不确定进行识别,将事后控制拓展为事前控制与事中控制。其二,采取行动将风险控制在“容限”与“容量”以内,准确测定实际与目标之间的偏离程度,科学确立目标实现过程中自身能够承受的风险大小,在此基础上,提出相应的风险控制应对策略。
(三)围绕重点环节与薄弱环节对“控制活动”进行评估。内控环境奠定了内控的基调,风险评估明确了目标设定及其风险辨识与防范的要求,控制活动则应通过对其控制程序与方法的评价,考察控制手段是否合理到位,是否掩盖了本来可以识别并防范的风险。因此,必须充分认识控制程序与方法对于控制结果的决定性作用,促使控制活动要素真正担当起核心枢纽的地位与作用。基于程序的复杂性,笔者建议关注“重点领域与薄弱环节”两大方面:其一,对关键性的重点控制点进行评价。企业作为一个有机的循环整体,内部控制涉及诸多层面与环节,然而,不同层面与环节对内控实施效果具有不同程度的重要性,若不分主次轻重、全面铺开内控实施及其评价工作,必然带来成本高效益低问题。为此,内部控制实施及其评价必须充分遵循重要性原则,着重围绕重要领域的业务开展情况、重要项目的风险控制情况、重要举措的实施计划情况等方面,考察、检验这些重要关键点是否设计了相应的控制程序,控制方法是否能预防和控制关键点的风险,是否对不需要重点控制的环节设计了过多的控制程序,甄选出在企业价值流中发挥作用较大、影响范围较广、具有决定全局成效的关键控制点,通过对关键控制的重点控制,建立更为合理、更有效率的控制规范。其二,对企业内控实施中的薄弱环节进行评价。对于内控基础薄弱、会计控制不够健全的企业,着重于加强授权批准与不相容职务分离等制度建设,进而提高会计信息质量。对于内部管理控制薄弱、过程控制不够严密的企业,则应着重于投资决策与集中采购等重大项目的论证与可行性分析,以降低经营风险、确保资产安全。对于法律意识淡漠、涉及诉讼或侵害他人利益的企业,加强相关法律的守法执法力度,明确违法行为应承担的法律责任,从而确保经营活动的合规合法。
(四)“信息与沟通”重在评价信息传递与反馈能否为内控有效性提供保障。内部控制系统必须以有效的信息传递与反馈机制为基础。随着《内部控制——整体框架》首次引入“信息沟通”要素,越来越多的企业充分意识到信息化的发展对内部控制产生的影响,构建了内部控制信息化平台。然而,若要真正实现内控评价信息化功能,绝非简单的信息化平台搭建、信息数据收集汇总与传递。首先应关注内控信息化与企业流程再造是否有机嵌入,确保信息不走样,以此为基础,评价信息供给与内控评价信息需求是否存在缺口,在确保信息准确到位的基础上,进行收集、处理、传递、反馈,最终确保其功能的发挥。
(五)充分发挥“内部监督”职能,为内控制度有效性测定构筑再筑防线。内部监督旨在依据企业内控制度,对内部控制的有效性进行认定与评价,尤其对监事会、审计委员会、内部审计机构在内控设计与运行中是否发挥监督作用进行监督检查。要从根本上发挥内控评价的内部监督功能,首先应厘清两种监督职能的关系,内部控制评价开展的“内部监督”,是对相关监督职能是否有效作用发挥的再监督。因此,内部监督应立足于满足内部评价的三大口径,对内控实施中已实施监督的相关方面,尤其是重点环节、业务活动进行全方位测定与评价,从而确保对内控制度的有效性测定再构筑最后一条防线。
综上所述,全口径下内部控制评价要素之间“你中有我,我中有你”,构建相互协同的评价机制对于内控评价的效率的提升,具有至关重要的作用。因此,内部控制评价实施中,首先应从高层管理者对内部控制重视程度入手,构建良好的内部环境,进一步考察企业是否建立了风险辨识及其衡量机制,进而对控制程序与方法能否有效预防和控制风险进行分析认定,同时对信息传递与反馈平台能否为内部控制效率提供保障进行评价,最终对内部监督的运行机制进行再评价,从而不断提升各要素对五要素的整体效益,从根本上实现其发现内控建立与执行中存在问题与缺陷,敦促落实整改,持续优化企业内控制度建设的功能。