郭兆灵
摘 要:2019年11月国务院国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》,包含内部控制、风险管理、合规管理、内部审计的“大内控”格局初步建立。内部控制建设进入“大内控”3.0时代,“大融合”“大数据”“智能化”的趋势为内部控制建设打开了更大的空间。
关键词:内部控制 价值创造 大融合
中图分类号:F279.23 文献标识码:A 文章编号:2096-0298(2020)05(a)--02
1 内部控制的发展历程
20世纪80年代,美国出现大量财务舞弊丑闻以及对注册会计师的诉讼,反对虚假财务报告委员会成立,并对财务舞弊事件进行了系统研究,得出结论:大部分财务舞弊事件来自于内部控制失效。1992年,反对虚假财务报告委员会专门研究内部控制的下属组织COSO(The Committee of Sponsoring Organizations of the Treadway Commission,COSO) 发布了著名的《内部控制——整合框架》,成为世界各国广泛认可的内部控制权威文献。COSO发布的内控文件虽没有强制执行效力,却成为全球内部控制理论与最佳实践的风向标,开启了内部控制建设的1.0时代。
2001年12月美国最大的能源公司安然公司,突然申请破产保护。在此之后,资本市场上的财务欺诈事件层出不穷,再一次沉重打击了投资者对于资本市场的信心,同时也对现有内部控制体系以及资本市场监管体系产生了质疑。为了应对企业经营风险呈现出的全球化、多元化、复杂化的趋势,以及2002年7月美国《萨班斯—奥克斯利法案》(全称《2002年公众公司会计改革和投资者保护法案》)的颁布,COSO开始将内部控制的关注重点从财务报告转向风险控制。2004年COSO以1992年内部控制框架为基础,发布了《企业风险管理——整合框架》,正式提出全面风险管理框架体系,内部控制建设进入了以风险为导向的2.0时代。
中国在内控建设方面紧跟世界浪潮,实现了弯道超车,2006—2010年直接对接2.0轨道,相关内部控制文件紧急发布,包括:上交所及深交所于2006年相继出台《上市公司内部控制指引》、国务院国资委在2006年出台《中央企业全面风险管理指引》、银监会在2007年发布《商业银行内部控制指引》,财政部、证监会、审计署、银监会和保监会五部委在2008年联合发布的《企业内部控制基本规范》以及在2010年发布《企业内部控制配套指引》等。
为适应外部环境、科学技术、管理理念、组织形式的不断变革,在COSO内部控制框架发布21年后的2013年,COSO发布修订版内部控制框架。同时,于2017年正式发布修订版ERM框架。新框架将风险管理工作嵌入企业核心价值链,强调了风险管理对价值创造的作用。内部控制建设融入战略及绩效管理过程,进入以价值提升为目标的3.0时代。
中国紧跟步伐,2019年11月国务院国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》,对中央企业内控体系建设与监督工作提出规范性要求,正式提出:建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,实现“强内控、防风险、促合规”的管控目标;突出“强监管、严问责”,形成“以查促改”“以改促建”的动态优化机制。至此,包含内部控制、风险管理、合规管理、内部审计的“大内控”格局初步建立。
2 “大内控”体系构建思路
长久以来,对于内部控制、风险管理、公司治理、合规管理、标准化管理等相互关系的争论一直未曾停止,而“大内控”理念的提出,为我们理清、整合、运用上述管理方法提供了全新的解决思路。
以价值创造为最终目标。《萨班斯—奥克斯利法案》,尤其是其中的404条款(要求外部审计对公司管理层内部控制评价报告出具鉴证意见)的执行,曾一度遭遇非议,认为相比内部控制可以获得的收益来说其执行成本过高。另一个对内部控制的控诉是内部控制建设可能对企业创新产生不利影响,其理由是烦琐的内部控制程序和方法使得企业因为创新收益难以确定、风险太高而放弃创新。但实质上,这都是来源于对内部控制的错误理解及机械执行。
从内部控制的发展历程可以看出,内部控制起源于企业财务舞弊,理论研究及实践推动多来自职业会计师队伍,故内部控制建设过度强调财务报告目标。但企业进行财务舞弊的根本动机来自于经营业绩压力。正本清源、业绩的达成以及企业价值最大化才是内部控制的首要和终极目标,也正是企业经营的最终目标。
以合规管理为底线目标。企业经营的最低限度是要符合法律法规的基本要求,是企业管理的最基本目标,触碰法律底線给企业所带来的影响可能是毁灭性的。全球化背景下,企业面对的监管规则更加复杂,除遵守所在国的法律法规之外,还要遵守海外经营地的相关规定。2017年国家标准委发布GB/T 35770 《合规管理体系指南》,2018年11月国务院国资委发布了《中央企业合规管理指引(试行)》,国家层面相继出台合规管理相关文件。对合规风险的七大重点领域包括:市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴,明确了管理要求,为企业应对复杂多变的内外部监管环境提供指导。
以风控技术为探测器。无论是战略目标也好、合规目标也罢,企业目标的实现需要通过经营活动进行分解、落实,再通过内部控制对经营活动进行有效管理,从而保证战略目标——经营目标——作业目标从上至下传导准确、落实到位。而内部控制如何确保目标的实现呢?首先即是识别影响各类目标实现的潜在风险,设计出相应的控制措施来降低或规避风险,再通过制度、流程等形式予以固化,最后定期重新启动上述程序像探测器一样持续识别新的风险事项。从上述过程可以看出,内部控制的实施过程是以风险为导向的。
以内控技术为控制器。所谓控制技术其实就是内部控制1.0时代所理解的狭义“内部控制”,即控制技术或方法。内部控制的实施即通过治理机制、决策机制、执行机制、监督机制等总体层面控制方法,和各类执行层面的控制方法如:不相容岗位分离、授权审批、全面预算、监督与评价等,贯穿于企业作业流程,对企业各类经营活动进行控制,从而保障企业各层级目标的实现。
以信息技术为处理器。随着信息技术的发展,一方面使得向内部控制系统输入的数据种类以及数据量成爆炸性增长,另一方面给数据分析与处理提供了更多的先进技术,如数据挖掘、机器学习等,最大程度地丰富了可运用于企业提升价值、改善经营管理的有用信息,这给3.0时代的内部控制建设向“智能化”发展提供了契机。比如可以嘗试将企业内部控制系统作为数据处理中心,对接企业各类信息管理系统如生产管理系统、客户管理系统、供应链管理系统、财务管理系统等,以及外部信息源如竞争对手对外披露的信息、行业统计数据等,将企业内部各类业务数据及外部舆情数据进行集中处理、比对、分析,从而提高决策的准确性。
以内部审计为净化器。内部审计工作一方面着眼于内控执行的效率与效果,另一方面着眼于内控设计的动态调整与提升。通过对内控执行情况的监督与评价,可以保障相关内部控制节点落实到位,提高全员的合规意识,但随着信息技术加入到内控程序中,可以将控制节点嵌入业务流程,自动防控超越权限及逾越程序的行为,减少人为操纵或失误。但另一个作用即对内部控制系统的动态调整与优化,还是需要经验丰富的内部控制人员予以协助。行政制度式的防御控制是一条通往相对静止和最终失败之路,而基于智能、学习和适应性的控制向我们提供一条机会更多且更能改进绩效的道路。因此内部审计对内部控制的持续监督与评价、改进十分重要。
3 结语
进入“大内控”3.0时代,内部控制、风险管理、合规管理、内部审计等形成有机融合,那为什么叫“大内控”而不叫“大风控”“大合规”“大监管”呢?主要的原因是内部控制在整个体系中作为连接公司战略、经营目标、业务流程与各项管控措施的连接器,是所有经营及管理活动予以落地的抓手,离开内部控制,风险管理、合规管理、审计监督等一切管理手段都无法有效实施,因此本文认为“大内控”的概念更为合适些。当然,叫什么其实不重要,重要的是3.0时代“大融合”“大数据”“智能化”的趋势将为内部控制建设打开了更大的空间。
为了更好地理解“大内控”3.0时代的内部控制系统特点,我们就拿技术创新为例,构建其在3.0时代的内部控制循环,如图1所示。
为适应“大内控”体系“大融合”“大数据”“智能化”趋势,作为该领域的工作者,未来跨专业的知识积累将是必然趋势,为的是能够更好地把握3.0时代带给内部控制建设的难得机遇,推动内部控制建设更上一个台阶,更好地适应新时代的发展。作为“内控人”这是我们最好的时代。
参考文献
李维安,戴文涛.公司治理、内部控制、风险管理的关系框架——基于战略管理视角[J].审计与经济研究,2013,28(04).
王亚男,戴文涛.内部控制抑制还是促进企业创新?——中国的逻辑[J/OL].审计与经济研究:[2019-12-07].http://kns.cnki.net/kcms/detail/32.1317.f.20191203.1245.024.html.
马修·雷齐.内部控制设计——提升企业价值的战略过程[M].大连:大连出版社,2011.