内部控制与风险管理:理论、实践与案例
上QQ阅读APP看书,第一时间看更新

第三节 内部控制目标及其设定原则

目标引领行动,任何组织都应有自己的目标。例如,实现企业价值的最大化,为公众提供最佳服务,更加有效率地利用资源,等等。内部控制主要是对影响目标实现的风险进行评估和管控,目标设定的适当性是建立和实施内部控制的先决条件,是内部控制建设的基础,对内部控制结构的构建、内部控制要素和层级的确定、内部控制评价及内部控制审计等有着重要意义。只有明确了内部控制目标,才能确定内部控制建设与实施的方向。

一、内部控制的总体目标

内部控制总体目标是主体建立和实施内部控制体系所要达到的预期效果及所要完成的主要任务,涉及对内部控制定位和功能的认识。关于内部控制的总体目标,世界各国的不同组织有不同的认识。

COSO委员会1992年版《内部控制——整合框架》把内部控制目标设定为三类:运营的效率效果,财务报告的可靠性,适用法律法规的遵循性。COSO委员会2004年发布的《企业风险管理——整合框架》又增加了一个战略目标,并将其设定为内部控制最高层次的目标,为风险管理向上拓展到公司治理层面奠定了基础。2013年5月,COSO委员会对1992年版的整合框架进行了修订和完善,发布了《内部控制——整合框架(2013)》及其配套指南。2013年版新框架仍维持了内部控制三目标的基本分类,但对目标的适用范围和具体内容进行了细分与深化。

1995年10月,加拿大控制基准委员会(The Canadian Criteria of Control Board,简称“COCO委员会”)发布的《控制指南》(Guidance on Control),将内部控制目标界定得更为宽泛,包括企业使命、愿景、战略、经营计划及较低层次的具体目标。报告目标不但包括对外报告,也包括对内报告;合规目标不但要遵守外部法律法规,也要遵守内部政策和制度。

2005年6月,中国香港会计师公会发布《内部监控与风险管理的基本架构》,将内部监控与风险管理的目标设定为促进公司达到重要业务、运营、财务、法规遵守等,具体包括有效运营,保障资产,保证对内和对外报告的品质,保证遵守适用的法律法规、内部规章和业务操守等。

我国《企业内部控制基本规范》将内部控制的总体目标确定为五类:合理保证企业经营管理合法合规,资产安全完整,财务报告及相关信息真实可靠,提高经营效率和效果,促进企业实现发展战略。《中央企业全面风险管理指引》将企业风险管理的目标界定为五个方面:一是确保将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内部及企业与外部信息沟通顺畅,编制和提供真实、可靠的财务报告及其他相关信息;三是确保企业活动遵守有关法律法规;四是确保企业有关规章制度和为实现经营目标而采取的重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;五是确保企业设立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。

二、内部控制目标的结构层级

内部控制各目标之间并不是简单的罗列关系,一个目标可能会与另一个目标有所重叠或相互支持,有时也不太好确定一个目标到底属于哪种类别,需要视具体情况而定。下面简要归纳各目标之间的逻辑结构和层级关系。

(一)战略目标是内部控制最高层次的目标

战略目标是对企业全局的一种总体构想,是企业整体发展的总任务和总要求,是企业宗旨的展开和具体化,是对企业经营活动预期主要成果的期望值。战略目标具有宏观性、全局性、长期性、可分解性、可接受性、可检验性和相对稳定性等特点。内部控制的最高目标,是促进企业实现发展战略,促进企业可持续发展。将战略目标设定为内部控制的最高目标,有利于企业将近期利益与长远利益、局部利益与全局利益结合起来,在生产经营和管理活动中做出符合战略要求、有利于提升可持续发展能力和创造长久价值的选择与判断,从而克服片面追求当前利益和局部利益的短期行为,也有利于社会资源的合理配置。

(二)运营目标是内部控制的核心目标

企业需要设立自己的使命和愿景,制定战略目标和战略规划,确立运营目标并将目标层层细分,制订和执行实现目标的具体计划。运营目标是战略目标的细化、分解与落实,是战略目标的具体化。企业的主要功能是开展生产经营活动,实现其目标。一般来说,企业的主要功能是创造价值,实现企业价值最大化。内部控制作为企业管理系统的重要内容,应服务于企业的价值创造,应与企业运营目标保持一致,识别、分析和应对企业价值创造过程中的风险因素,以减少损失、提高收益,促使生产经营活动达到预期目标。生产经营与管理活动的效率和效果是企业运营目标得以实现的根本。因此,内部控制的核心目标是提高企业运营的效率和效果。

(三)合规目标、资产目标及报告目标是内部控制的基础性目标

诚实守信、遵纪守法是企业发展的前提,企业必须遵循相关法律法规来开展生产经营活动,这是企业能够持续经营的基本保障;不遵纪守法的企业是无法长期生存的,其内部控制也就无从谈起。各国的内部控制框架都强调法律法规的遵循性是企业内部控制的基本目标。当然,这里的合规目标不仅包括企业要遵循相适用的法律法规和监管要求,还包括企业内部制定的各种政策方针和规章制度。

资产安全完整是企业开展生产经营的前提条件和物质基础,是促进企业实现发展战略的基本保障,也是投资者、债权人和其他利益相关者普遍关注的问题。有效率地使用资产并避免因差错、浪费、使用效率低下或决策失误而可能带来的资产损失(如低价出售资产、发生坏账损失、造成资产毁损等),涉及更广泛的运营目标。管理层或员工串通舞弊、违法违规等行为可能造成企业资产流失,同时危及合规性目标。资产的安全完整是企业报告的重要内容,财务报表编制的前提是必须确认资产的存在和完整,资产的安全完整和利用的效率效果是企业内部报告与财务分析的重要内容,应在内部控制报告中披露未经授权取得、使用和处置资产的行为。

报告目标也是内部控制的基本目标,能够有效地支撑其他目标的实现。企业应通过外部报告向投资者等利益相关者清晰地阐述其战略目标和运营目标,真实可靠的财务报告及相关信息既是管理层对其运营效率效果的总结和汇报,也是支持管理层决策、监控运营活动及衡量业绩的需要,还是满足合规性要求的重要内容。进行财务报告舞弊的企业一般都无法实现其运营目标,最后铤而走险,走上不合规之路。

(四)内部控制各目标之间的关系

内部控制的五个目标不是彼此孤立,而是相互联系的,共同构成了一个完整的内部控制目标体系,各目标之间的逻辑关系如图1-5所示。内部控制的根本目标是控制风险以创造价值,促进人、财、物、时间、技术等资源的优化配置,以更优的效率和效果实现其运营目标,从而促进其战略目标的实现。这些目标的实现必须以合规目标、资产目标和报告目标为基础。战略目标是内部控制的最高目标,是与企业使命和愿景相联系的终极目标。企业在设定内部控制目标时,应将内部控制目标与战略目标结合起来,通过内部控制的实施,促进企业战略目标的实现;运营目标是战略目标的细化、分解与落实,是战略目标的短期化与具体化,是内部控制的核心目标;资产目标是实现运营目标的物质前提;报告目标是运营目标的成果体现与反映;合规目标是实现运营目标的有效保证。

图1-5 内部控制各目标的结构体系

三、设定内部控制目标应考虑的因素

(一)设定内部控制目标应考虑风险偏好和风险容忍度

风险偏好是企业在实现其目标的过程中愿意接受的风险数量,是在承担风险时获得效用的状况。不同的行为者对风险的态度是不同的,有人喜欢大得大失的刺激,有人则喜欢平稳。根据人们对风险的偏好,可将行为者分为风险回避型、风险喜好型和风险中立型。风险回避型针对风险决策获得的是负效用,选择项目的态度是:当预期收益率相同时,偏好于低风险的项目;对于具有同样风险的项目,则钟情于高预期收益的项目。风险喜好型与风险回避型相反,针对风险决策获得的是正效用,正效用越大对风险越偏好,通常会主动追求风险,喜欢动荡的高收益预期。风险中立型既不回避风险也不主动追求风险,通常以预期收益的大小作为项目选择的标准,而不管风险状况如何。风险偏好是企业战略制定和目标选择的指引。

风险容忍度是企业在目标实现过程中对偏差的可接受程度,是在风险偏好的基础上设定的对相关目标实现过程中出现偏离的可容忍限度,描述的是人们承担风险的意愿和能力。企业设定目标时不仅应包含业务指标,还应包含反映企业风险承受能力的风险限额指标。风险限额是对风险容忍度的进一步量化和细分。公司在风险容忍度范围内,根据不同风险类别、业务单位、产品类型特征等设定风险限额。在设定风险容忍度水平时,管理层应考虑相关目标的相对重要性,并与风险偏好相匹配。在进行风险偏好传导时,风险容忍度应以风险限额的方式体现在日常管理活动中。企业可以采用定量的方法对风险容忍度和风险限额进行衡量,以权衡目标、风险与收益之间的关系。例如,企业组织员工参加专业技能培训,培训目标是90%的受训人员通过某项考试,可接受的最低考试通过率为70%;某物流公司确定的经营目标之一是货物准时送达率为95%,可容忍偏离范围为92%;某公司持有一笔应收账款3个月,在99%的置信水平上,愿意承受的最大坏账损失为150万元;等等。

内部控制的目标类别不同,风险容忍度的表达方式也不尽相同。在财务报告目标中,风险容忍度通常表述为重要性水平;在合规性及运营目标中,风险容忍度通常表述为可接受的业绩偏离程度。风险容忍度是企业目标设定过程的组成部分,风险容忍度水平是制定风险应对措施及采取相关控制活动的前提条件。在风险评估的过程中,如果风险点评估结果处于风险容忍度范围之内,就可被称为可接受风险;如果风险点评估结果处于风险容忍度范围之外,企业就应采取缓解措施以使该风险水平降到可容忍度之内。当外部要求不存在时,管理层对于确定风险容忍度有较大的自主裁量权;当外部报告目标、合规目标等存在外部标准或监管要求时,管理层应依据相关标准或要求确定风险容忍度。在风险容忍度范围内经营会使管理层对实现企业目标更有信心。

(二)设定的内部控制目标应具有可操作性

内部控制目标是构建企业内部控制体系的基础和出发点,也是测试、评价企业内部控制体系建设与运行状况的基本标准。因此,内部控制目标的设定应是适当而具体的,具有可操作性;内部控制目标应是可测量(或可观察的)、可实现的、相关的、有时间限制的且易于理解的。对目标的执行结果应该是可以衡量、能够被检验的,但实践中许多目标难以被量化,时间跨度越长、层次越高的目标越具有模糊性。采用定性化的语言表述内部控制目标必须是清晰明确的,有实际的含义,不至于产生误解,易于被成员理解和接受。例如,一家大型零售商设定的目标可能包括:以持续低于竞争对手的价格向客户提供品种更加丰富的商品;在下一年度内将存货周转率提高到12次;将客户投诉率降低到2%以下;等等。

为了使目标制定更具有针对性和可操作性,可以遵循SMART(S为Specific、M为Measurable、A为Attainable、R为Relevant、T为Time-based)原则,设定内部控制目标。S是指要具体明确,尽可能量化为具体数据,如年销售额5000万元、存货周转一年5次等;不能量化时应尽可能细化,如对文员工作态度的考核可以分为工作纪律、服从安排、服务态度、电话礼仪、员工投诉等。M是指可测量的,要把目标转化为指标,指标可以按一定的标准进行评价,如主要原料采购成本下降10%(即在原料采购价格波动幅度不大的情形下,同比采购单价下降10%);完善人力资源制度可以描述成“1月30日前完成初稿并组织讨论,2月15日前讨论通过并颁布施行,无故推迟一星期扣5分”等。A是指可达成的,要根据企业的资源、人员、协作条件、技术保障和管理流程配备程度设计目标,保证目标是可以达成的。R是指合理的,各项目标之间有关联、相互支持、符合实际。T是指有完成时间期限,各项目标应制定明确的进度安排和完成时间,以便于监控评价。

例如,HTB公司是一家大型电子产品制造企业,在HTB公司的目标设定中,公司层级上制定了6项总体目标(产品质量目标、资产管理目标、收入增长目标、投资增长目标、采购及物流管理目标、健康及安全管理目标)、37项目标值,并分解到各科室、车间,形成了75项二级分目标、101项目标值,再分解到班组、个人,最终全公司共形成了2150项目标值。

(三)内部控制目标应与企业战略目标和运营目标一致

设定内部控制目标应了解和熟悉企业的整体战略与运营目标,管理层应在董事会的监管之下,设定与企业使命、愿景及战略相协调的整体层面目标。该高层目标应与企业的运营目标一致,反映董事会和管理层在为利益相关者创造、维护和实现价值时是如何进行抉择的。这些目标既可以重点关注企业自身的战略规划和生产经营的需求,也可以关注外部法律法规、监管标准和其他机构(或组织)颁布的规章或标准。如果企业的生产运营目标是实现企业价值最大化,内部控制的目标就应设定为管理和控制企业价值创造与价值维护过程中的风险,减少和控制这一过程中的不确定性,提高运营的效率和效果,从而促进企业战略目标和运营目标的实现。例如,供应商审核认定的内部控制目标可以设定为:一是在采购源头得到来自供应商的可靠质量保证;二是保证公司的所有供应商得到必要的审核论证;三是保证公司供应商名录的完整和可靠;四是保证公司所选择的供应商资质符合有关质量要求,符合法律法规和内部规章制度的要求。

(四)设定内部控制目标应综合考虑利益相关者的需求

利益相关者理论是现代企业管理的基础理论之一,这里的利益相关者包括管理层、投资人、债权人、客户、供应商、员工、政府、外部监管者、审计师及一般社会公众等。与传统的股东至上主义相比,该理论认为企业发展离不开各利益相关者的投入或参与,企业追求的应是利益相关者的整体利益,而不仅仅是某些主体的利益。各利益相关者对企业的关注点不同,其对内部控制的需求也不同。投资人以股东利益最大化为目标,管理者以自身的职业发展和薪酬福利最大化为目标,员工以期望薪酬福利和职业发展为目标,债权人关注企业的偿债能力和财务安全,外部监管者关注企业的合法合规经营,客户和供应商关注企业的稳定发展,外部审计师关注企业财务信息的真实性和可靠性。因此,内部控制目标的设定应综合考量各利益相关者的关注点,努力追求企业整体价值的最大化。