2.3 内部控制的要素
内部控制的内容,归根结底是由基本要素组成的。这些要素及其构成方式,决定着内部控制的内容与形式。《企业内部控制基本规范》第五条规定了内部控制的五要素,即内部环境、风险评估、控制活动、信息与沟通和内部监督。
2.3.1 内部环境
内部环境是企业实施内部控制的基础,对其他要素产生影响。内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境的好坏决定着内部控制其他要素能否有效运行。其中,治理结构是重中之重,企业实施内部控制应先从治理结构入手。内部环境是内部控制其他四个构成要素的基础,在企业内部控制的建立与实施中发挥着基础性作用。
如果企业不具备良好的内部环境,在治理结构层面,就可能面临治理结构形同虚设,缺乏科学的决策、良性的运行机制与执行力而导致经营失败,面临难以实现其发展战略目标等方面的风险;在机构设置与权责分配方面,就可能面临因权责分配不合理而导致的机构重置、职能交叉或缺失、相互扯皮、运营效率低等方面的风险;在人力资源政策方面,就可能引起人力资源的缺乏或过剩、人才流失、人力资源激励机制和退出机制不当等风险;在企业文化方面,因员工缺乏积极性、缺乏诚实守信的经营理念等问题,就可能导致企业信誉下降,影响企业的持续经营。同时,企业在缺失良好的内部环境的经营状态下,就可能影响内部审计的有效性。
【案例2-6】
由三鹿事件引发的企业内部环境思考16
三鹿事件在2008年中国十大违法事件中位列首位,美国《时代周刊》将“毒奶粉”事件列入2008年全球十大新闻。2008年12月25日,石家庄市委、市政府发布三鹿破产消息,破产裁定书已送达石家庄三鹿集团有限公司,一个曾经作为奶业龙头的企业一夜之间消失。究其根源,企业内部环境不佳是主要原因之一。
(1)“内部人控制”现象严重。三鹿集团的大股东是三鹿乳业公司,持有三鹿集团56%的股权;第二大股东是新西兰恒天然集团,持有43%的股权;其余1%的零散股份由小股东持有。从表面上看,三鹿集团具有形成良好治理的所有权结构。但大股东三鹿乳业公司推行的是员工持股,并且由经营者持大股,96%左右的股份由900多名老职工拥有,其余股份由石家庄国资委持有。因此,三鹿集团的实际控制人或者说股权相当分散。董事长兼总经理田文华1987—2008年任职长达21年。可见,该公司不仅股权相当分散,董事长与总经理之间的制衡关系也无从谈起,“内部人控制”现象不言而喻,治理机构的制衡机制失效,这种不良的内部环境成了管理层道德缺失的温床,也为“毒奶粉”事件埋下了治理隐患。
(2)管理者不正确的经营理念。三鹿事件中,企业管理层在利润的诱导下,以工业用原料三聚氰胺加入奶粉中,置消费者的健康于不顾,完全突破道德底线。这种为了追求经济利益,不惜违背经营目标所采取的短期行为,使制度的执行因为人的主观意志而存在不应有的弹性,导致内部控制的功能大大削弱,引起整个企业的“群体越轨”现象,致使控制环境恶化,造成严重的后果。
(3)企业文化与“责任作秀”。三鹿集团曾宣称其企业文化的灵魂是为提高大众的营养健康水平而不懈地进取。其宣传资料显示,三鹿集团多年来以履行社会责任为己任,扶持农民养牛、抗洪救灾、抗击“非典”、老区扶贫、扶残助教、为多胞胎家庭等捐资捐物,赢得了社会各界的广泛赞誉;企业先后荣获全国“五一”劳动奖状、全国轻工业十佳企业、全国质量管理先进企业等省级以上荣誉称号200余项。三鹿集团所履行的社会责任和取得的各种荣誉无可厚非,但是,企业社会责任主要是通过为社会提供优质的产品来实现。三鹿集团产品中含有大量三聚氰胺,已给婴幼儿及食用者造成身心伤害,给中国奶业造成了巨大损失,尤其是发现问题后的处理方式造成了非常恶劣的社会影响。
(4)组织结构与盲目扩张。由于三鹿集团有品牌而缺乏奶源,一些地方小乳品厂有奶源而缺品牌,因此集团在内部开创“品牌和奶源”结合的发展模式。沿着这种模式,三鹿集团以产权为纽带,以品牌为旗帜,相继兼并了山东、河北、陕西、河南、甘肃等省濒临破产的30多家中小企业,使得三鹿的组织结构发生了很大变化。例如,行唐三鹿乳业有限公司由三鹿集团控股51%,另外49%的股权由行唐县政府控制。本质上,这种兼并在一定程度上壮大了企业规模,扩大了市场份额,有利于三鹿集团的发展。然而,在被三鹿集团兼并之后,行唐三鹿乳业未增添任何新设备和资金,开动老机器就开始生产奶粉,厂区内景象破旧不堪。三鹿集团旗下类似这样的分公司或子公司比比皆是。这种扩张导致了资金投入跟不上、机器设备及内部管理跟不上等问题,埋下了诸多安全隐患。
三鹿集团为我国企业敲响了警钟:创建和谐的企业内部环境,关乎企业的盛衰荣辱和生死存亡。企业的内部环境是内部控制的关键,确定了一个企业的基调,它影响着整个企业内部所有人员的控制意识。因此,控制环境是一种氛围,能够影响企业内部控制制度的贯彻执行以及企业经营目标及整体战略目标的实现,如果没有有效的控制环境,其他控制要素无论质量如何,都不可能形成有效的内部控制。在三鹿集团的案例中,如果该企业具有良好的内部环境,就有可能降低“毒奶粉”事件发生的可能性。
2.3.2 风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程。它是实施内部控制的重要环节,是采取控制活动的根据。风险评估主要包括目标设定、风险识别、风险分析和风险应对等环节。控制主体必须制定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,以了解本单位所面临的来自内部和外部的各种不同风险。在充分识别各种潜在风险因素后,要对固有风险(即不采取任何防范措施可能造成的损失程度)进行评估,同时,重点评估剩余风险(即采取了应对措施之后仍可能造成的损失程度)。单位管理层在评估了相关风险的可能性和后果及成本效益之后,要选择一系列策略使剩余风险处于期望的风险承受度之内。
在当今信息时代的大背景下,企业所面临的风险瞬息万变,如果企业对风险的评估不及时或是出现错误,就会直接影响企业的控制活动,容易导致内部控制滞后,甚至使得企业经营失败。
【案例2-7】
中信泰富投资巨亏17
2008年10月20日,中信泰富(00267.HK)发布公告称,公司为减低西澳洲铁矿项目面对的货币风险,签订若干杠杆式外汇买卖合约而引致亏损,实际已亏损8.07亿港元。至10月17日,仍在生效的杠杆式外汇合约按公平价定值的亏损为147亿港元。换言之,相关外汇合约导致已变现及未变现亏损总额为155.07亿港元。从表面来看,导致中信泰富巨额损失是由于澳元对美元汇率发生异常波动而导致的市场风险,但事实上,乃是由于该公司内部控制失控而产生的操作风险。在现实中,操作风险往往是衍生工具的核心风险。
具体而言,中信泰富在衍生工具内部控制方面缺乏有效的风险识别与评估机制,不仅在交易之前缺乏风险识别与评估,而且在合约持续期间,企业也没有持续关注风险因素并对其发生的概率和损失的金额进行评估,其结果是导致所签订的投资合约存在两个问题:其一,交易金额远远超过套期保值需要,投机成分重过套期保值;其二,没有制定严格的限额控制。在签订的合约中,只规定盈利上限,没有规定止损点;没有对衍生工具头寸及其风险限额进行严格的限制,从而为巨额损失埋下了隐患。
2.3.3 控制活动
根据明确的风险应对策略,企业需要及时采取控制措施,有效控制风险,尽量避免风险的发生,尽量降低企业的损失,这就是控制活动要素。控制活动是指结合具体业务和事项,运用相应的控制政策和程序或者控制手段去实施控制。也就是在风险评估之后,控制主体应采取相应的控制措施将风险控制在可承受范围之内。常见的控制措施有不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。
企业缺乏控制活动或者控制活动失效,则无法应对企业中存在的风险。例如,企业在经营活动中会出现错误或舞弊行为,未能保证资金资产安全,预算管理缺乏刚性使其管理流于形式等情况。这些状况会影响企业的正常运行,严重时会导致企业经营失败。此外,企业采取手工控制和自动控制以及预防性控制和发现性控制相结合的方法实施控制可能会达到更好的效果。
2.3.4 信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关信息的过程,其确保信息在企业内部、企业与外部之间进行有效传递与理解。它是实施内部控制的重要条件,控制环境与其他组成因素之间的相互作用需要通过信息与沟通这一桥梁才能发挥作用。信息与沟通的主要环节有:确认、计量、记录有效的经济业务;在财务报告中恰当揭示财务状况、经营成果和现金流量;保证管理层与单位内部、外部的顺畅沟通,包括与股东、债权人、监管部门、注册会计师、供应商等的沟通。信息与沟通的方式是灵活多样的,但无论哪种方式,都应当保证信息的相关性、真实性和及时性。缺少了信息传递与内外沟通,内部控制其他因素就可能无法保持紧密的联系,整合框架也就不再是一个有机的整体。
如果企业信息流转不当,会导致决策失误或相关决策难以落实;如果企业信息资源管理不当,会使得信息收集不规范或失真,严重时导致信息无法共享;如果企业内外部信息资料保管不当,会造成重要资料丢失或泄密,令企业蒙受经济及信誉损失等;如果企业的信息与沟通处理不当,会直接影响企业的运作效率,有时甚至会影响企业声誉,从而阻碍企业经营目标的实现。
【案例2-8】
华夏证券破产风云18
华夏证券股份有限公司成立于1992年10月,由中国工行、农行、中行、建行、人保五家金融机构作为主要发起人,联合其他41家大型企业共同组建,是我国较早成立的全国性证券公司。在当时,华夏证券与南方证券、国泰证券并称中国最早的三大全国性证券公司。
华夏证券公司成立后迅猛发展,曾一度拥有91家营业部和24家证券服务部,并成为第一家全国交易联网券商。与此同时,公司尚未健全的内部控制制度却屡遭人破坏。这一方面导致了挪用客户保证金、违规回购国债、账外经营和投资、违规自营和坐庄、账目作假和不清等内部风险的频繁发生;另一方面使公司丧失了应对银行提前收贷、融资成本高涨、实业投资损失、证券市场低迷等外部风险的抵御能力。而主管部门在对其拯救中未能对症施治,内乱外患之下,公司逐渐走向衰亡。
资料显示,2005年12月,华夏证券公司总资产为81.76亿元,负债为133.09亿元,所有者权益为-51.33亿元,被中国证监会和北京市政府责令停止证券业务活动,撤销证券业务许可证;2007年10月,公司总资产为38.18亿元,负债为89.86亿元,所有者权益为-51.68亿元,失去持续经营能力,无法清偿到期债务,公司申请破产;2008年4月,破产申请获证监会批准,公司正式宣告破产。
华夏证券破产的原因之一在于企业信息不实,沟通不畅。具体表现如下:刻意封锁经营信息,如封锁负责自营业务的“四人领导小组”成员林某的电脑信息,封闭正常交易数据和情况;编制假账,如2002年公司通过将21家上市公司法人股转让给下属公司,虚增利润5.15亿元,2003年通过计提应收债权项目的利息和罚息,虚增利润4.5亿元;证券资料缺失,如有8只三板上市法人股投资和2笔长期投资项目既无权属资料,也无账户信息或其他证明文件;违规修改电脑数据,如下属3家营业部违规以经纪人提成为名,异户返佣2214.7万元,少交大量营业税;巨额资产变动成谜,如公司2007年财务报告中的总资产比2005年减少40多亿元,却没有披露变动原因;大量债权记录不准,如截至2007年11月,超过一半的债权人对于自己和他人债权的核定存在异议;交易信息披露不完整,如对证券资产转让过程是否通过公开拍卖等程序以及应收账款等相关信息,未作任何披露。
信息的闭塞与不实,成为华夏证券财务舞弊产生、饱受争议直至破产的根源。即使其他内部控制要素再完善与合理,缺少信息与沟通就会造成整个内部控制系统的失效。为此,如何建立有效的沟通渠道,完善信息传递途径,也是企业内部控制中必不可少的环节。
2.3.5 内部监督
内部监督是针对于内部控制其他要素的,是自上而下的单向检查,是对内部控制的质量进行评价的过程。它是单位对内部控制建立与实施情况的监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进,是实施内部控制的重要保证,是对内部控制的控制。内部监督包括日常监督和专项监督。监督情况应当形成书面报告,并在报告中揭示内部控制的重要缺陷。内部监督形成的报告应当有畅通的报告渠道,确保发现的重要问题能及时送达治理层和管理层;同时,应当建立内部控制缺陷纠正、改进机制,充分发挥内部监督效力。
在实践中,有识之士都十分重视内部监督,有人甚至将其看作内部控制的本质之一。就连“萨班斯法案”也一再强调监督的重要性,如其中的302条款中要求首席执行官(CEO)、首席财务官(CFO)负责建立和维持公司的内部控制机制,保证CEO、CFO能够全面了解上市公司及其子公司的所有重大信息,并评估内控体系是否有效可行,以监督其运行情况。良好的内部控制制度只是开展内部控制的第一步,要想它高效运行,必然离不开内部监督,许多企业管理者就是在缺乏内部监督的情况下,走上了触犯法律的不归路。
【案例2-9】
紫鑫疑云19
吉林紫鑫药业股份有限公司(简称“紫鑫药业”)前身系通化紫金药业有限责任公司,于1998年5月25日成立,是一家集科研、开发、生产、销售、药用动植物种养殖为一体的高科技股份制企业。
2010—2012年,紫鑫药业股价一路飙升,从2010年下半年开始,一年多时间暴涨了300%,上演了一轮波澜壮阔的大牛行情。期间,公司成功高价增发,再融资10亿元。紫鑫药业由此引起了市场强烈关注,其中不乏大批专业投资者。从2010年年底开始,包括长江证券、国海证券在内的多家券商连续发出十多篇关于紫鑫药业的研究报告,且无一不是围绕紫鑫药业人参业务展开。
2012年7月8日,某网友在中国会计视野论坛的“CPA之声”版面发布了《紫鑫药业空卖空买人参》一文,并附上了举报材料。2012年8月17日,中国证券网多名记者刊发了《自导自演上下游客户,紫鑫药业炮制惊天骗局》一文,由此揭开紫鑫药业造假的经过。紫鑫药业5家主要大客户(四川平大生物、千草药业、吉林正德药业、通化立发人参贸易有限公司、通化文博人参贸易有限公司)2010年为公司带来2.3亿元收入,占比达到36%。《上海证券报》记者调查大量信息后发现,这几大客户背后与紫鑫药业之间存在着诸多牵连。多家公司最终均直接指向紫鑫药业实际控制人郭春生或其家族,这些公司的注册、变更、高管、股东等信息中无不存在紫鑫药业及其关联方的影子。2014年2月13日,中国证监会对紫鑫药业股份有限公司、郭春生、曹恩辉等9名责任人进行行政处罚。
“紫鑫事件”凸显出我国家族企业存在的内部监督问题。其内部控制的漏洞在于:紫鑫药业的违法事实为与延边耀宇人参贸易有限责任公司等的关联关系和关联交易,违反了《证券法》关于上市公司依法披露信息的规定。从表面上看,隐瞒关联方及关联交易是其违法的主要原因,但从内部控制的角度来看,还有着更为深刻的原因。
(1)不合理的股权结构导致公司治理结构不完善。紫鑫药业的股权结构为一股独大,前两大股东分别是拥有49.02%股权的敦化市康平投资有限公司和拥有6.04%股权的自然人股东仲维光。
(2)内部人控制明显。紫鑫药业的董事长郭春生不仅是紫鑫的实际控制人,而且兼任总经理一职,集控制权、执行权及监督权于一身,这使得公司对高层管理人员的管理和控制无从谈起,甚至为其与管理层共同进行财务舞弊创造了方便条件。
(3)公司内部审计部门形同虚设。
2.3.6 内部控制五要素之间的关系
内部控制五要素之间紧密联系,相互支持,形成统一的逻辑整体,如图2-2所示。
图2-2 内部控制五要素框架
内部环境作为内部控制的基础,位于图形的最底部,影响着其他要素,所以说内部环境的好坏决定着内部控制其他要素能否有效运行。内部监督位于最顶部,说明它是针对其他要素而存在的,是一种自上而下的检查,是对内部控制质量进行评价的过程。由于企业在实施战略的过程中会受到内外部环境的影响,因此企业需要识别哪些影响战略目标实现的有利和不利因素,并对存在的隐患进行定量和定性分析,进而制定应对策略,这就是我们之前所说的风险评估,它是控制活动的依据。根据明确的风险应对策略,企业要及时采取控制措施,有效控制风险,尽量避免风险的发生,尽量降低企业的损失,这就是控制活动要素。由图2-2可知,信息与沟通在这五个要素中处于一个承上启下、沟通内外的关键地位。控制环境与其他组成因素之间的相互作用,需要通过信息与沟通这一桥梁才能发挥作用;风险评估、控制活动和内部监督的实施需要以信息与沟通的结果为依据,同时,它们的结果也要通过信息与沟通来传递。因此,任何将这五个要素割裂的内部控制系统,都不会是有效的,甚至会无形中增加企业的成本,降低经营效率。
