从内部牵制到全面风险管理

第1章 从内部牵制到全面风险管理内部控制的发展时间漫长，最早的“内部控制”出现在1936年的美国会计师协会（美国注册会计师协会的前身）发布的《注册会计师对财务报表的审查》文稿中，，其中指出：“注册会计师在制定审计程序时，应考虑的一个重要因素是审查企业的内部牵制和控制，企业的会计制度和内部控制越好，财务报表需要测试的范围则越小。”反映出内部控制对企业的重要价值。 在内部控制漫长的发展过程，根据内部控制在不同发展阶段的特征，基本可以分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理整体框架5个阶段。 1.1 第一阶段：内部牵制20世纪40年代以前属于内部牵制时期。内部牵制，是指两个人或者两个部门之间相互弥补、相互牵制，也就是说，不能由一人完全支配账户，或者只由一人控制制度，以防止错误或舞弊行为。 《柯氏会计词典》对内部牵制的定义是：“为提供有效的组织和经营，并防止错误和其他非法业务发生而制定的业务流程，其主要特点是以任何个人或者部分不能单独控制任何一次或一部分业务权利的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部分的功能进行交叉检查或交叉控制。” 虽然内部牵制的定义相隔遥远，但是人们对它相对比较信服，因此它在现代的内部控制理论中仍占有相当重要的地位，也成为现代内部控制理论中有关组织控制、职务分离控制的雏形。 这一时期，内部牵制有两个特点。 一是以“物”为目的，主要表现在以钱、账、物等会计事项为主要控制对象。 二是主要内容是账目间的相互核对，并设立不兼容岗位。规定一项经济业务由两人或两人以上负责完成，如出纳业务由出纳人员收支款项但不得兼管稽核、会计档案保管和收入、费用、债权债务账目的登记工作实行账、钱物分管。在内部牵制阶段，企业的主要行为还是内部员工和岗位上的控制，最大的目的就是降低员工或部门的徇私舞弊行为。 1.2 第二阶段：内部控制制度20世纪40年代—70年代，在内部牵制思想的基础上，产生了内部控制制度的概念，也由此进入内部控制的第二个阶段——内部控制制度阶段。 1949年美国会计师协会的设计程序委员会发表了一份题为《内部控制、协调系统诸要素及其对管理部分和注册会计师的必要性》的专题报告，该报告对内部控制首次做出了权威定义：“内部控制是企业所指定的旨在保护资产、保护会计资料可靠性和准确性、提高经营效率、推动管理部分所指定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。” 该报告是从企业管理的角度定位内部控制，内容上不局限于与会计和财务部门直接相关的控制，还包括预算控制、成本控制、定期报告、统计分析、培训计划、内部审计以及技术与其他领域的活动。 同时，内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制两个部分。内部会计控制包括与财产安全与财产记录可靠性有关的所有方法和程序，旨在保护企业资产、检查会计数据的准确性和可靠性。内部管理控制包括组织规划的所有方法和程序，这些方法和程序主要与经营效率和观察执行方针有关，旨在提高经营效率，促使有关人员遵守既定的管理方针。 （1）内部控制制度设计的意义 内部控制制度的设计有重要意义，具体表现在以下几点。 一是有效保障企业活动平稳运行，让员工各司其职，提高企业的运营效率。 二是保证数据真实正确，进而保证信息的质量。 三是保证企业财产安全，也有效降低企业资产被滥用、盗用的危险。 四是保证企业各项政策、条例得到贯彻和执行。 五是为开展审计工作创造条件。 （2）内部控制制度设计的原则 为了确保内部控制制度能够真正发挥实用，企业在设计内部控制制度时，需要坚持以下几个原则。一是适合控制环境的原则。一般情况下，控制环境的内容包括公司治理的结构、管理层的风险管理思想和意识、企业组织结构的分工、员工的工作素养和道德素养、员工的培训和考核、企业内部防范风险和化解风险的意识等。企业在设计内部控制制度时，一定要关注所设计出制度是否适合控制环境，并将践行方案落入到内部控制制度中去。 二是有效控制风险的原则。内部控制制度的目的就是防范风险，因此企业在设计内部控制制度时必然要以控制风险为原则。 三是不相容职务分离控制的原则。不相容职务是指若是由一个人担任，不仅可能发生错误和舞弊行为，还有可能掩盖其错误和弊端行为的职务。企业设置不相容职务分离控制，能有效地降低企业内部徇私舞弊的可能性。 四是业务授权处理的控制原则。业务授权处理是指在职务分离控制的基础上，进一步明确各级管理人员的职责范围和业务处理权限，以避免各级管理人员在工作或纠纷时发生推诿。 五是信息记录安全的控制原则。内部控制制度相关的文件信息的记录是保证内部控制制度有效运行的重要保障。如果这些信息记录出现错漏、遗失等问题，对企业将会产生极大的危害，因此需要加强对内部控制制度相关的文件信息记录的控制。 总体来说，内部控制制度阶段的特点主要表现为两点。 一是以“表”为目的，主要表现为企业会以表格的形式将内部控制的各项内容展现出来。 二是内部控制评价的地位越来越凸显，抽样审计的出发点成了内部控制评价，甚至开始超出会计范畴。 总之，在这一阶段，企业控制的目标从防止企业内部出现欺诈和徇私舞弊的现象扩大到实现经营管理目标。 1.3 第三阶段：内部控制结构进入20世纪80年代，内部控制的理论研究又有了新的发展，即进入第三阶段——内部控制结构阶段。在这一阶段，内部控制由偏重研究具体的控制程序和方法发展成为对内部控制系统全方位的研究，其标志是美国AICPA（美国注册会计师协会）于1988年5月发布的《审计准则公告第55号》（以下简称“公告”）。 在公告中，以“内部控制结构”概念取代了“内部控制制度”，并指出：“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”认为内部控制结构由3个要素组成，即控制环境、会计系统和控制程序。其中控制环境是指对建立、加强或削弱特定政策和程序的效率发生影响的各种要素，主要表现在股东、董事会、经营者及其他员工对内部控制的态度和行为。会计系统是指规定各项经济业务的确认、计量、记录、归集、分类、分析和报告的方法，也就是要建立企业内部的会计制度。控制程序是指管理当局可指定的用以保证达到一定目的的方针和程序。 与以前的内部控制定义相比，公告对内部控制的定义发生了两个变化；一是提升了控制环境的重要价值。具体来说，不再将控制环境作为内部控制的外部因素看待，并将其纳入内部控制的范畴，并认为其是内部控制体系得以建立和运行的基础和保证。二是不再区分会计控制和管理控制，而是统一地以要素来表述内部控制，这一转变实现了内部控制从零散走向系统。总之，在这一阶段，内部控制的发展完成了从实践到理论的升华。 1.4 第四阶段：内部控制整体框架进入20世纪90年代以后，经济环境变得更为复杂、动荡，各种舞弊案件层出不穷也挑动着人们的神经，与此同时，反舞弊的呼声也越来越高并引起广泛共鸣，由此也进入内部控制研究的第四个阶段——内部控制整体框架阶段。 1992年，由美国会计学会、注册会计师协会、美国内部审计师协会、财务经理人员协会和管理会计师协会等组织成立的专门研究内部控制问题的美国虚假财务报告全国委员会的后援组织委员会（The Committee of Sponsoring Organizations of the Treadway Commission，简称COSO委员会）发布了指导内部控制的纲领性文件COSO报告——内部整体框架，并在1994年进行了增补，这份报告也被称为内部控制发展上的又一里程碑。因此，我们认为20世纪90年代开始进入基于企业风险控制的内部控制整体框架阶段。 COSO报告指出：“内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及使用法律法规的遵循性等目标提供合理保证的一个过程。”同时，COSO报告提出了内部控制由控制环境、风险评估、控制活动、信息与沟通和监督检查5个相互独立又相互联系的要素构成。 COSO报告将5个要素之间的关系以金字塔结构进行呈现，如图1-1所示。 图1-1 内部控制系统整体架构的金字塔 在图1-1的金字塔结构中，控制环境是整个控制系统的基础，是其余要素发挥作用的前提条件。如果没有它，其他的要素也就无所依存。换句话说，如果没有一个有效的控制环境，那么其余4个要素无论其质量如何，都不能发挥出价值，也不能形成有效的内部控制。很大程度上说，COSO报告是内部控制发展史上的一座重要里程碑，其提出的观点备受业内推崇，成为世界通行的内部控制权威标准，被国际组织和众多国家所采纳，对我国的会计理论和会计实务方面都就具有非常大的启示和借鉴价值。 2004年9月，COSO委员会又提出了《企业风险管理-综合框架》，涵盖了内部控制整体框架的内容，在内部控制5个要素的基础上增加了目标设定、事项识别、风向应对，成为八大要素，同时增加了战略目标。 总的来说，这个阶段最大的特点就是从法律的层面成立了很多和内部控制相关的机构和法令条规，因此这一阶段也被称为“恪守法案阶段”。 1.5 第五阶段：全面风险管理21世纪以来，在1992年COSO报告的基础上，结合其他的重要资料，业内对企业风险管理进行了扩展研究，也因此进入基于企业风险管理的内部控制整体框架阶段。这一阶段起源于2002年美国的安然事件。 安达信是一家美国知名的会计师事务所，曾经是全球五大会计师事务所之一，然而它在2002年倒闭了。 倒闭的原因与美国另一家巨子企业安然公司的破产案密切相关。安然公司曾是世界上最大的电力、天然气以及电讯公司之一，资产规模曾达1000多亿美元。 但是在2001年10月16日，安然的命运发生转变。当天股市收盘之后，安然发布了第三季度财报，其中有一项是公司一次性冲销了超过10亿美元的税后投资坏账，而这笔巨额坏账是在安然和两家关联公司的交易中形成的。 于是美国证券交易委员会第二天就对安然展开调查。在调查中发现，在此前的3年中，安然虚增盈利5亿多美元，少列债务6亿多美元，虚增股东权益则达数十亿美元。而后一个多月，安然股价从近40美元自由落体式地跌到4美元。200年11月底，安然申请破产保护。 在调查安然的同时，安达信也受到了调查。因为安达信自安然公司成立之初就为它做审计，并且安然一半的董事与安达信有着直接或间接的联系，甚至首席会计师和财务总监都来自安达信。 很大程度上说，正是因为安达信的“帮助”，安然可以将数亿美元的债务转至不见于公司资产负债表的复述公司或合资企业的账上，从而使得债务隐藏在财务报表意外，同时也能又能将不应记作收入的款项记作收入，以这种偷梁换柱的造假方式虚报公司盈利。随着更多的黑幕揭开，安达信公司也由此宣告倒闭。 安然、世界通信、施乐等企业的财务舞弊案相继爆发，暴露了这些企业在内部控制上存在的问题，包括管理层越权、职责不分、董事会监督无效、渎职等。经过安然事件，美国公司经过深刻彻底的反省，认为风险管理依然存在问题。2002年，美国国会通过了著名的《萨班斯-奥克斯利法案》。该法案明确规定，公司管理层需要对财务报告内部控制的有效性进行报告和评价，独立会计师要对管理层提供的内部控制评价报告进行鉴定。2004年，COSO结合《萨班斯-奥克斯利法案》的具体要求，在内部控制整合框架概念的基础上，提出了《企业风险管理——整合框架》，使内部控制进入了一个新的发展阶段，进入全面风险管理阶段。 我国国有资产监督管理委员会2006年6月发布的《中央企业全面风险管理指引》中对全面风险管理的定义是“指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。” 与1992年COSO报告提出的内部控制整体架构相比，企业风险管理架构有3点变化。 一是提出了一个新观点——风险组合观。即要求企业的管理者用风险组合的意识看待风险，并积极采取有效的措施降低风险。 二是增加了一类目标——战略目标。通常，内部控制框架将企业目标分为经营、财务报告和合规性3类目标。但是内部控制企业风险管理架构比内部控制架构增加了一类新的目标，即战略目标。战略目标的层次比其他3个目标更高，因此其他3个目标要以战略目标为导向。 三是提出了两个新概念——“风险偏好”和“风险容忍度”风险偏好是企业在实现企业目标的过程中，决策者心理上对待风险的一种态度。风险容忍度的概念是建立在风险偏好的基础之上的，是指在企业经营目标实现的过程中对差异的可接受程度。 内部内控发展进入第五阶段，也有了一个很明显的提升，即对内部控制架构有了扩展和延伸，又比内部控制更完整、有效。 综上，从内部牵制到全面风险管理，企业内部控制的发展经过5个阶段后也逐渐成熟起来，也能让管理者从中得到更多的启示，降低企业风险出现的可能性。