历史学家汤因比说过:“一个国家乃至一个民族,其衰亡是从内部开始的,外部力量不过是其衰亡前的最后一击。”企业的存亡何尝不是如此。我国企业的内部控制研究起步较晚,经过十几年的发展,虽有一定的成绩,但与发达国家相比,仍有明显的差距。目前,我国理论界和实务界对内部控制的认识还没有形成很一致的意见,许多学者和企业对内部控制的认识还停留在内部牵制和内部控制制度阶段,还认为内部控制就是一种内部的监督,而企业大多把内部控制看作是一种复核机制,将控制的有效性体现在惩罚力度上,以罚代控,也有的企业把内部成本控制、内部资产控制等视为内部控制。因此,笔者拟以中美两国对内部控制概念的差异分析来加深我们对内部控制的理解。
我国目前尚未提出权威的内部控制定义,对于内部控制的完整性、合理性及有效性更是缺乏一个公认的标准体系。现行的规范制度中,只有《独立审计具体准则第9号-内部控制与审计风险》中对内部控制作了定义:“本准则所称内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、会计系统和控制程序。”
美国会计总署于2001年重新修订了内部控制准则,即全面接受了美国“全国欺骗性财务报告委员会”(即Tread—way委员会)所属的内部控制专门研究委员会——发起机构委员会(简称COSO委员会,其成员包括:美国会计学会AAA,美国注册会计师协会AICPA,国际内部审计师协会IIA,财务经理协会FEI,管理会计学会IMA)1992年提出并于1994年修改的《内部控制——整体框架》中对内部控制的定义:“内部控制是一个要靠组织的董事会成员、管理层和其他员工去实现的过程,实现这一过程是为了合理地保证:1、经营的效果性和效率性;2、财务报告的可信性;3、对有关的法律和规章制度的遵循性。为了实现上述的内部控制目标,内部控制应具备以下5个要素:控制环境、风险评估、控制活动、信息与沟通、监督。”
1996年,AICPA也发布《审计准则公告第78号》(SAS 78)全面接受了COSO报告的内容,并从1997年1月起取代了1988年发布的《审计准则公告第 55号》(SAS 55)。
通过上述中美内部控制概念的比较,我们可以概括出以几点不同:
1、内部控制的目标不同。根据审计准则定义,我国内部控制的主要对象是企业内部的会计控制,目的是保证企业资产的安全完整、财务会计的可靠可信及业务活动的合法合规;而美国的内部控制目标不仅涵盖企业的会计系统控制,而且还需要合理保证经营的效益性和管理的合法合规性。要达到该目标,需要涉及到企业方方面面的活动,涉及到对企业经营过程的详细分析。例如一些表面上看来不是财务上的风险也要加以考虑,如防止涉及法律诉讼,避免公众形象受损或在公众中处于窘迫的境地。虽然起初的影响好象与财务无关,但这些风险最终可能会对财务产生影响。因此在内部控制中增加非财务目标,其目的亦是为了更好地实现企业利益的最大化。可以看出COSO报告中对内部控制的目标包括的内容更为宽泛。
2、内部控制的手段不同。我国内部控制的手段主要以查错防弊为主,即在一定的控制环境和控制程序下,防止、发现、纠正会计系统的差错与舞弊;而美国的内部控制己将风险评估作为主要的控制手段,这一考虑是针对内部控制系统的运行稳定性设置的。
越弱的控制意味着越大的潜在损失和越多的风险,而越强的控制则意味着较少的潜在损失和同一资金水平下的较少风险,当用风险评估手段识别和分析企业内部的控制环节,可以事前将经营管理风险(含财务管理风险)控制在最小程度,即认为在企业内部哪个环节控制风险最大,哪个环节就是要加强的关键控制点,不论其是否会对企业的会计系统产生影响。比如对采购折扣中有无损害企业利益的现象进行风险识别和风险分析就是内部控制的关键控制点,目的是避免企业的利益受到损失及其他后果不利于企业名誉的行为。可以看出COSO报告中内部控制的手段主要体现在事前控制上。
3、内部控制的层次不同。我国仍停留在内部牵制和内部控制制度阶段,并没有明确内部控制的构成要素,而是直接列出了内部控制的内容。从一定程度上讲,也就是将内部控制的设置限定在业务项目层次上进行;而美国的内部控制已采用内部控制要素的观念,内部控制 的设立是按照业务循环及每个业务循环的五项构成要素来进行的。
按照业务项目来设置内部控制制度,首先面临的问题就是须制订各个项目的内部控制制度,这会出现大量的内部控制制度的重复,并且不易被企业及企业各部门所理解。按照业务循环设置内部控制可以避免按业务项目设置内部控制的繁杂程序,强调具体控制的构成要素对不同业务性质的企业更具有普遍性的指导意义。
综合以上的差异分析,笔者对找国内部控制的建设有如下建议:
1、由政府引导企业建立内部控制,并制定具有可操作性的道德规范和行为准则来指导内部控制的建立。
内部控制的产生主要是企业大规模化和资本大众化的结果,其存在就是企业所有者为了保证企业目标的实现而设置的,因此设立企业内部控制的原动力应来自于企业本身,但由于我国公司内部治理结构改革尚未到位,企业经营中还存在许多的问题,由外部监督部门来引导、指导内部控制的建立健全大为必要。
1973年,美国的《反国外贿赂法》(Foreign Corrupt Practice Act)规定:公众公司要建立健全企业内部控制,管理层对内部控制的建立健全负有特殊的责任,新加坡的《公司法》规定:每个公共公司及其子公司应该设计并保留一套能提供充分合理保障的内部控制系统;台湾地区相关证券法规规定:股份公司要定期发布“内部控制声明书”,声明本公司对内部控制的重视程度及建设情况,该声明书须由公司代表人、董事长、总经理共同签章。这样的强制性要求有助于引导企业重视内部控制的建立,对政府管理经济活动也有大的帮助。
目前我国在《会计法》第27条中针对单位内部会计监督制度提出一般性要求,财政部2001年6月22日发布的《内部会计控制规范——基本规范》、《内部会计控制规范——货币资金》两个专项规范,也是政府对企业建立内部控制的指导,但要全社会都来认同内部控制的理念,政府仍须下大功夫来进行宣传讲解,也应认识到内部控制的建立对公司内部治理结构的建设也大有裨益。
2、企业应按自身的条件来设置内部控制,但要充分借鉴国际的惯例,借鉴先进的做法,设置内控要具有一定的超前性,以避免日后的频繁修改影响规范的稳定性。
建立企业内部控制体系,既要从我国的国情出发,从基础入手,以《会计法》和其他相关法律制度为依据,以会计核算和会计监督为中心,针对会计工作和经济管理中最为薄弱的环节,研究制定便于操作和监督检查的、与我国经济发展水平相适应的内部控制体系,又要借鉴国外内部控制方面的先进成果,以实现规范单位内部管理行为、有效防范经营风险、保护所有者权益的目标。在制定内部控制时,既要充分体现它的针对性、适应性和前瞻性,又要针对当前经济管理中最薄弱的环节或更严重的问题,兼顾经济发展对管理工作的要求,体现内部控制制度的可操作性和实用性,以便更好地发挥内部控制在企业发展中的作用。
特别要注意的是,我们不能再简单地将内部控制认为是一种内部监督,一堆堆的手册、文件或制度,而应参考国外的先进经验,将诸如企业风险评估、信息与沟通等内控要素结合进来,成为企业内部控制的重要组成部分,不仅解决当前企业内部管理的要求,也是适应我国加入WTO的客观需要。