内部控制与风险管理:理论、实践与案例
上QQ阅读APP看书,第一时间看更新

第二节 内部控制的产生及发展

经过不断发展,内部控制和风险管理经历了由低级到高级的演进变化,先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架和风险管理整合框架等阶段。特别是始于2007年下半年的全球金融危机爆发后,人们对内部控制和风险管理的认识得到进一步的提升,两者融合的趋势日益显著。

一、内部牵制阶段

两个或两个以上的人或部门无意识地犯同样错误的概率是很小的,两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。这是内部牵制(internal check)的基本原理,是内部控制的萌芽阶段。内部牵制是为了提供有效的组织和经营、防止错误和其他非法业务的发生,而以不相容职务分离和账目核对为基础的制度设计,包括实物牵制、程序牵制、体制牵制、簿记牵制等。

实物牵制是由两人或两人以上共同掌管实物以完成一定程序的牵制。例如,保险柜密码和钥匙分别由不同人员保管;网上银行的数字证书和交易密码分别由不同人员保管;凡涉及货币资金业务的支票、本票、发票、收据等票据应与有关印章分开保管;出纳不得同时保管空白收据、发票和财务专用章等。

程序牵制是只有按正确的程序操作才能完成一定过程的操作。例如,系统操作员如果连续三次输入错误的密码,程序将自动报警或锁死该用户名;销毁保管期满的会计档案时,必须按规定程序进行;超过正常信用条件的赊销,必须按规定程序报批等。程序控制要求单位将各类业务及事项的处理过程,以文字说明或流程图的形式表示出来,形成制度并颁布执行。

体制牵制是为了防止错弊,对每项业务或事项的处理都由两人或两人以上共同分工负责,以相互牵制,任何人不得单独办理任何业务的全过程。体制牵制主要通过组织分工来实现,要求明确划分各部门和岗位的职责权限,规定相互配合与制约的方法。例如,构成亲属关系的人员不应在本单位财务部门担任不同财务权限的职务;单位负责人直系亲属不得担任本单位的财务负责人;财务负责人直系亲属不得担任本单位的出纳等。

簿记牵制是将原始凭证与记账凭证、会计凭证与账簿记录、不同账簿记录之间、账簿记录与资产实有数、账簿记录与报表项目之间定期或不定期进行核对,以确定是否相符,并进一步查明和处理不相符的情况。例如,定期将账簿记录与库存实物、货币资金、有价证券、债权人或债务人记录等进行核对。

二、内部控制制度阶段

1949年,AICPA(美国注册会计师协会)审计程序委员会首次提出内部控制制度(in-ternal control system)的概念,认为内部控制制度是企业制定的旨在保护资产安全、保证会计信息可靠、提高企业经营效率、推动管理部门制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。后来,该程序委员会又将内部控制划分为内部会计控制(internal accounting control)和内部管理控制(internal administrative control)两类。会计控制由所有与保护资产安全、保证会计信息可靠性有关的组织计划、方法和程序构成,包括授权与批准制度,记账、编制财务报表、保管财物等职务的分离,财产的实物控制,内部审计等。管理控制由所有为提高经营效率、保证管理部门制定的各项政策得到贯彻执行等有关的组织计划、方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接关系,如统计分析、经营报告、雇员培训和质量控制等。独立审计师主要检查会计控制;管理控制通常只对财务记录产生间接的影响,审计人员可以不对其做出评价。

三、内部控制结构阶段

1988年,AICPA发布了《审计准则公告第55号——在财务报表审计中考虑内部控制结构》,以内部控制结构(internal control structure)取代了原有的内部控制制度。内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序,包括控制环境、会计系统和控制程序三个要素。控制环境是指对建立、加强或削弱特定政策和程序效率产生影响的各种因素,如管理者的思想和经营作风、企业组织结构、董事会及其所属委员会(特别是审计委员会)发挥的职能等。会计系统规定各项交易及事项的分析、归类、计量、记录和编报的方法等。控制程序是管理层制定的用以保证达到一定目标的措施和方法,如授权审批、不相容职务分离、内部稽核等。与之前的定义相比,内部控制结构将控制环境纳入内部控制的范畴,强调了控制环境对内部控制效率和效果的支持及影响。

四、内部控制整合框架阶段

1992年,COSO委员会发布了《内部控制——整合框架》,将内部控制定义为:由企业董事会、管理层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。整合框架认为内部控制是由目标层面、要素层面和结构层面构成的三维度整合框架(见图1-3)。目标层面包括财务报告目标、运营目标及合规性目标三个方面;要素层面包括控制环境、风险评估、控制活动、信息与沟通、监控五要素;结构层面包括各业务单位和业务活动。

图1-3 COSO内部控制的整合框架

COSO的《内部控制——整合框架》获得了广泛的认可,美国公共监督委员会(Public Oversight Board,POB)不仅特地为这个报告发布了推荐公告,还建议美国证券交易委员会(Securities and Exchange Commission,SEC)要求上市公司在公司年报中进行内部控制有效性评价,并把该框架设定为内部控制有效性的评价标准。但是SEC没有采纳将该框架作为内部控制强制性标准的建议,主要原因如下:一是COSO委员会主要由财务、会计、审计领域的人员组成,代表性不够,在平衡各利益相关者的利益关系上缺少权威性;二是该框架明显偏向会计、审计视角,内部控制目标过分强调财务报告的可靠性,管理层和其他利益相关者不太愿意接受这一点;三是该框架对内部控制的有效性缺乏清晰的判断标准。

五、风险管理整合框架阶段

2004年9月,COSO委员会根据《SOX法案》的要求,修订了原报告内容,发布了《企业风险管理——整合框架》。ERM认为,风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略管理和整个公司活动中的应用,旨在为实现经营的效率和效果、公司报告的可靠性及法规的遵循提供合理保证。ERM涵盖了先前的内部控制整合框架,认为内部控制是实现风险管理的手段,是企业风险管理的重要内容,两者应融为一体,整合为一个完整的框架,如图1-4所示。

图1-4 COSO风险管理的整合框架

ERM具备完整的三维度结构,目标层面包括战略目标、经营目标、合规性目标和报告目标;要素层面包括控制环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八要素;结构层面包括企业整体层面的控制、业务活动层面的控制、对分支机构的控制和对子公司的控制四个方面。企业整体层面的控制是指存在于企业整体范围内,对内部控制目标的实现能够产生深远影响,对业务层面的控制及其他控制的有效实施能够产生普遍影响的控制领域。企业整体层面的控制是与内部控制各要素直接相关的基础性控制。例如,企业的风险管理理念、风险承受能力、全面预算管理、信息系统及沟通机制、内部监督的有效性、公司治理水平、内部机构设置和运行的有效性、对诚信和道德价值观的遵守、管理理念和经营风格、员工素质与权责配置等。业务活动层面的控制是指针对企业主要业务活动开展的控制,涉及资金业务、资产管理、投资业务、筹资业务、采购业务、生产业务、销售业务、工程项目、担保业务、业务外包等。对子公司的控制主要涉及选任子公司董事、经理、总会计师等高管人员,并对选派人员进行绩效考核与薪酬激励;修订子公司章程以体现母公司的意志,限制子公司的某些业务或经营行为;控制子公司重大的投资、筹资、合同、利润分配、担保、捐赠、关联交易、经营等活动等。企业可以比照对子公司监督管理的制度,对分公司和具有重大影响的参股公司进行监督管理,根据各分支机构的管理水平、风险管理能力、地区经济和业务发展的需要,建立相应的授权体系。

ERM在内部控制整合框架的基础上增加了战略目标和目标设定、事项识别、风险应对三个要素,从而形成了一个三维度的整合框架。在目标层面,ERM认为风险管理的最高目标是帮助企业实现发展战略,促进企业的可持续发展。另外,在报告目标方面,ERM还拓展了范围,由财务报告目标扩大到促进公司整体报告可靠性的提高。在要素层面,ERM突出了风险评估和风险应对的重要性,从目标设定、事项识别、风险评估和风险应对四个方面完善了风险管理流程,并定义了风险偏好和风险容忍度两个概念。在结构层面,ERM认为风险管理活动贯穿于企业上下和业务始终,上至公司战略和经营计划,下至业务单元和职务岗位,是一种全面的风险管理,涉及企业整体、业务单元、附属机构和子公司四个层面,必须依靠企业管理系统整体推进。

ERM八要素的划分并未得到广泛的认同,实务中,人们仍以五要素的设置为主。2013年5月,COSO委员会发布《2013年内部控制——整合框架》及其配套指南。COSO新版的整合框架仍以五要素为基础进行升级和改造。我国2008年发布的《企业内部控制基本规范》也是以五要素为基础制定的。

六、内部控制与风险管理新发展

近几十年来,经济、社会和技术环境发生了巨大的变化,生态和资源环境压力越来越大,组织结构和商业模式日益复杂化,企业生产经营和日常管理更加依赖创新与复杂技术,金融和商业创新的步伐越来越快,等等。这些内外环境的变化对组织的内部控制与风险管理带来了巨大的影响,提出了诸多的挑战,舞弊和内部控制失效事件频发。管理层凌驾于内部控制之上、利益冲突、职责分离缺乏、透明度不足、风险管理未加统一协调、内部监督无效等,都对内部控制的有效性产生了影响。这些变化和内部控制失效事件也促进了内部控制与风险管理理论及实践进一步向前发展。

2009年11月,国际标准化委员会(ISO)发布ISO 31000——组织的风险管理国际标准。该标准是在世界政治、经济环境发生深刻变化,以及“特定事件”和“特定法规”的特定背景下产生的,它及时总结和汲取了世界范围内风险管理的最新理论与最佳实践,代表着风险管理的先进标准。

在经济全球化的背景下,企业生产经营活动的复杂化使得企业风险层出不穷,风险管理变得日益复杂,单靠人工管理风险已力不从心。近年来,德勤国际会计公司借助现代信息技术,提出风险智能管理的新思维,并尝试在其客户中应用和推广,取得了良好的实践效果。德勤国际会计公司提出的风险智能管理框架由三个层次、九项核心原则和相应的实施指南构成。

2013年5月,COSO委员会发布《内部控制——整合框架(2013)》及其配套指南(包括《内部控制体系有效性评估工具示例》和《基于外部财务报告的内部控制:方法与实例概览》等),对1992年版的框架进行了修订和完善。新框架提出基于内部控制五要素的17项原则和相应的关注点,其内容既有延续又有新增、修改和删除,这是新框架最显著的变化。这些原则和相应的关注点构成了建立与评价组织内部控制的主要标准,并与五大要素和三大目标构成了一个层次分明的体系:系统—目标—要素—原则—关注点。

随着“互联网+”时代的来临,以移动互联网、云计算、大数据、物联网为代表的新一代信息技术与现代农业、制造业、服务业、金融业等传统行业正在进行深度融合。在互联网快速延伸到各行各业并加速创新业态的同时,层出不穷的网络安全事件要求企业比以往任何时候都要更加积极地关注和应对网络安全风险。企业应整合挖掘“互联网+”时代应关注的重要风险,并有针对性地采取防控措施。2015年1月,美国COSO委员会发布《网络时代的内部控制》,为企业应用COSO内部控制框架(2013)防范网络风险提供指导。