內控分析
A. 從五大要素分析企業內控存在的問題
風險可以分為三類,即可預防風險(內部風險)、策略風險和外部風險。為追求盈利而自願接受的策略風險和外部風險是無法通過制定規則來規避的,但規則卻可以協調員工的價值觀和行為方式,有效地改變或避免內部風險。內部風險,大多與企業內部的舞弊和疏忽有關,建立並執行嚴格的內部控制系統是降低此類風險的主要手段。
企業應當如何制定規則來控制內部風險?中歐國際工商學院會計學教授、EMBA學術副主任、首席財務官課程(CFO)學術主任蘇錫嘉在中歐管理論壇上,就「危機中的企業和企業中的危機」的主題,深入講解企業領導者如何在日益復雜的外部環境中加強企業內部控制,有效管理風險,提升經營業績等問題。
COSO是在美國做舞弊調查的機構,延伸到了內部控制,提出內部控制的框架。COSO最基本的內部控制框架,(是)所謂的「三目標、五要素」。三目標,一是有效率且有效果的使用公司資源,後面兩個目標是COSO加上去的——財務報表和合規。在三個目標中形成了從下到上、從基本到高端的五個要素。
一、控制環境。控制環境就是要建立企業的文化,讓正直的人能得到重用。企業文化看不見、摸不著,但帶來的影響是非常大的。做管理就是要形成企業裡面的小環境,這個小環境讓每個人都有意願把自己身上光明、陽光的一面展現出來,把自己身上負面、不體面的東西想辦法壓下去。前兩年美國有個團隊做了一個研究,對美國財富500強的大公司說請給我一張名單,去年你們公司管理團隊流失的人有多少個?列出來後告訴我有哪幾個人,公司如果有可能的話是一定想辦法留住他們的。他找這些人一個一個地去問,很多人給的理由居然是什麼?我看到辦公室里很多同事上班用公司的電話講私人的事情,或者用公司的信封寄私人的信件,我不願意和這些人成為同事。這告訴大家一個道理,公司文化最重要的作用就是把具有相同價值觀的人聚集在一起,把不認同這個價值觀的人驅離公司,久而久之,所有留在公司的人都是具有同樣價值觀的人。
公司是由人組成的,所以一個好的公司文化必須要從建立、從招到最合適的人開始。招聘員工其實風險非常大。因為環境誠信有問題,怎樣保證這些人正直、可靠,這是非常關鍵的。運作到後面,要建立各種各樣的機制、機構,董事會、審計委員會,並形成一定的經營風格、管理風格;很多時候,一把手決定了這個企業做事情是什麼風格,而且很多風格一旦形成就很難改變。在一個沒有宗教信仰的環境中,防範風險的難度比其他環境大一些。
二、風險評估。風險是將來要發生的可能,在它沒發生之前就找出來,難度很大。風險有各種各樣的分類,一是內部風險,自己做事情能解決掉的風險;二是外部風險,市場環境突變、自然災害等等;還有固有風險、剩餘風險。
風險識別的關鍵是看到每個風險發生的幾率有多大?產生的損失有多大?如果發生的損失可能非常大而且發生的概率非常大,最好的辦法是咱們不幹這個事情。我造成的風險可能非常大,但發生概率並不是太高,什麼辦法?轉移,一個辦法是買保險,(把)部分(風險)轉移給別人;還有找人合資,找人分享。如果發生概率挺大(但)損失不會太大,最典型的是產品出質量問題,對策是加強質量控制措施,減少不良頻率的發生。如果我採取措施防範,可能成本抵不上得來的好處。
你真正樹立(風險)觀念以後,你的行動變得完全不一樣。有兩家公司在日本福島地震(中)的表現,告訴你(要)有風險意識。今天晚上誰都不要回家,立刻查出來世界上有什麼東西只在日本福島地區生產的,不管跟我們公司有沒有關系,全世界去找,不管價錢統統買下來,一個晚上整個公司撲在這個(事情)上面。第二天全部做完以後,現在回去睡覺,大家等著數錢吧!說起來道德上有點惡劣,但從商業敏感度來講絕對厲害。第二個例子是上海汽車在福島地震的第二天早上9點鍾緊急召開集團辦公會議,董事長只提一個問題,福島地區生產如果不恢復,上海汽車生產可以維持多少時間?因為汽車很多配件都是日本生產的。全公司立刻報上來,6個月。第二個問題,繼續查零配件世界上有沒有可代用的東西?一項一項落實,報告上來每一樣東西世界上都有替代品。又問,能不能用?不能。因為所有汽車零部件用上去必須要有一個認證過程,認證過程多長?最短9個月。董事長說從今天開始全公司全力以赴解決認證問題,一定要在6個月之內解決認證。公司對於風險防範的事情,一有點事情立刻想到(會)受什麼影響,一天都不能耽擱。
風險還有一些思考,第一是應不應該迴避風險?你要想清楚一點,做企業本質上講就是冒險,成功的企業家都是願意冒險的,不願意冒險的人不可能會成功。但我們永遠想清楚,企業需要冒險,但必須是只冒可以承受的風險,絕對不冒不能承受的風險。比如,我說我掏1塊硬幣拿出來跟你玩,翻到正面你給我5塊錢,翻到反面你給我5塊錢,挺好玩的,玩一下。我再說,翻到正面你給我5個億,翻到反面我給你5個億?玩不玩?你這時候不會想萬一我今天賺了5個億晚上怎麼花這個錢呢?你首先想到(的是)萬一我輸了,我到哪裡拿5個億還給這傢伙?我能不能承擔起這個風險?我才做。如果成功了會有多大的好處?
企業冒險,影響生死存亡的風險是決定。中國人經常說用人不疑、疑人不用,這是非常虛偽的,因為在現代的商業社會里,疑不疑人是對他負不負責,最好的(是)我不給你任何犯錯誤的機會。所以我到每一家公司做獨董,給做風險控制、內部管理的人只給你八個字,相對獨立、合理歡迎。
我們鼓勵創新,創新是不是等同於冒險?是不是一旦創新、風險控制一定會差?越是具有創新能力的公司更多使用控制。創新和控制其實是不矛盾的,真正要創新有效,不是像無頭蒼蠅一樣到處亂投錢,這不是創新。
如果你面臨如下選擇,一種是犧牲核心員工以消除重大風險,二是保護核心員工但可能留下重大風險,你選擇哪一個?保護核心員工和消除重大風險,哪一個更重要?消除重大風險。首先把風險堵上再說,牽涉到不管什麼人以後再說,再冤枉這一刀必須斬下去。從道理上講,風險防範為上,保護核心員工為次;但真正叫你動手,那個人看上去那麼的無辜,你現在為了一點風險要把他先宰下來,你下得了手嗎?如果下不了手,臨陣畏縮,你覺得這個人有沒有罪?應不應該受到處罰?這些都是在實際風險控制中非常實際的問題。碰到這些讓你困惑的(問題的)時候,很多人往往覺得下不了手,但下不了手,真的導致風險爆發的話很可能整隻船就沉下去。我讓大家想一想,被誤傷的這個人心裡會怎麼樣?會不會怨恨?電影裡面的「007」真是高尚,回到警察總部來毫無怨言,而且要繼續拼殺,實際工作中沒人做得到。沒人做得到會怎麼樣?帶來下面一個問題,這些人如果證明真的是冤枉的,應不應該、能不能夠讓他回來官復原職?基本規律是打死也不能讓他回來。
為什麼?告訴你一個簡單的例子。雷諾汽車前幾年發生一件事情,一個副總舉報、揭發另一個副總把公司機密的商業資料透露給競爭對手,拿出證據來,公司董事會震怒之下把那個副總和手下一幫人全部開除了。一年之後,事實證明舉報是陰謀報復,誣告的副總再開除,(被冤枉的)那個副總要求回公司,雷諾(說)要多少錢可以商量,回來一點商量(餘地)都沒有。為什麼?不僅是心態變了,你要想清楚,當時公司上下經過一場非常劇烈的政治變動,把那條線的人調出去了,現在如果讓它回來,公司不得安寧,他要回來(整)原來整過他的人,每個人重新站隊,這個公司折騰不起,(所以)不能回來。你要想清楚,個人對於公司來講永遠是次要的。
三、控制活動。控制活動有很多措施。有一家公司,所有的存貨采購,任何東西采購進來,如果十天之內沒一個人領用的話,總經理的電腦上會有一個紅燈亮起來,(他)立刻查當初是誰提出請購的?請購理由是什麼?批准理由是什麼?為什麼買進來以後十天沒用?資金成本由誰承擔?這個(制度)建立起來以後,類似錯誤不會犯第二次。公司不怕犯錯誤,最怕犯重復性的低級錯誤,這是公司不能忍受的。
建立控制制度,有些事情非常重要:
一是區分不相容職務,就是奉行一個基本原則——兩個人干一件事情總比一個人自己干要安全,因為兩個人有一個監督和約束。有些工作天生不能由一個人干,比如會計和出納不能由一個人干。我舉一個例子,這是企業擔保的職能,把擔保這個環節中牽涉到幾個管理環節,我1、2、3、4、5、6、7列出來,至少有7個職能,哪幾個必須由不同的人做。現在,不相容職務如果劃分出來,做出來以後仍然出問題,這種風險在哪裡?什麼情況下不相容職務分離開來最後還是出事了?串通。所有的控制措施最怕的一件事情就是串通。怎樣解決串通的可能?這是每個公司都絞盡腦汁的事情。有的比較小的企業、有些老闆會有一些私人的獨門秘訣。有些老闆說,我的獨門秘訣就是今天出納不在、會計在的時候說,你小子注意,出納反映好幾次了,你經常上班的時候遛出去,會計聽到(之後)對出納恨得都牙癢癢的;(但)等到他們兩個人哪一天說穿了、說透了,(老闆)就慘了,所以這不是控制,這是權謀。也有一些人說,我的基本原則是這兩個人絕對不能一男一女,特別不能年齡相近,一定不能是同鄉,不能(是)一個學校畢業的等等,讓你兩個人共同語言越少越好。怎麼解決串通問題始終是一個困惑。關鍵崗位必須強制連續休假10天以上,休假期間一定有人頂崗。比如新加坡把英國銀行搞垮的這些人都有一個共同的特點,工作特別辛苦,好幾年都沒有休假了。他怎麼可以休假?他一休假全部都要露餡的。
二是明確崗位責任,我一再強調必須要有書面的崗位責任承諾書,每年要簽一次,(這)帶來兩大好處。第一個好處是每年對每個崗位重新做一個復核,對他承擔的責任做一個提醒,盡管是例行公事但至少是一個提醒。第二個,一旦有什麼事情上法庭,有法律作用的文件,也就是說你承諾過必須盡到這個責任,如果你沒有做到,(在)法律上必須負責任。崗位責任承諾書,現在基本上大的公司一定要你簽,但崗位責任承諾書本身公司要有認證和復核,最怕你沒有準確描述。
三是作業流程圖,把每一個步驟落實到紙面上,你先走什麼、後走什麼。比如供應商評選,這件事情在每個公司中都是一個非常非常煩人的事情,為什麼?因為很多作業流程都是非正式的,一旦非正式的東西放在紙面上來會發現無窮無盡的爭吵。碰到類似的問題,四個部門的負責人放在一起,這個事情做下去了,一旦劃到流程圖不行了,必須先到他這里,我用流程做下去,四個人全部跳起來說,這怎麼行呢?現在的話如果我同意了,你們3個人分分鍾可以否決我,我說什麼意思啊?現在他們3個人不同意的東西,我連看到的機會都沒有了?一旦劃到流程誰有權做什麼,因為牽涉到不同部門的利益、牽涉到責任再劃分,這是一個非常大的麻煩。
四、信息與溝通。現在是信息時代,讓信息在企業中間起到一個良好的作用,這是極其關鍵的。對於信息控制,關鍵的一點就是在合適的時間讓人得到合適的信息。這句話說起來容易,做到太難了。現在每個企業多多少少都有自己的信息系統,但天量的信息每天在產生,究竟起什麼作用?企業里幾乎沒有人說得清楚。企業接觸信息的授權在絕大部分企業里都是不精細的,信息系統由於很多看不見的東西,只要有人在裡面有機會打一個補丁,帶來的後果不堪設想。有的補丁損失還有一些,有的補丁帶來很大的(損失)。
上海有一家法資超市,歐尚超市,裡面有個小夥子管計算機系統,每天營業結束關門以後,他把營業數據匯總統計送到法國總部,這註定了他每天下班都在其他人之後。有時候他肚子餓,他有一天晚上肚子餓就走到超市拿麵包,我在上班工作,拿一個麵包吃,數量萬一和計算機的數字不對,要負責任的。(於是)他就吃一個麵包,打一個補丁,弄完以後發現這一招很簡單,肚子餓就到前面拿麵包吃。千不該、萬不該,一天有個裝卸工是他朋友,肚子餓不餓,要不要吃麵包?你隨便拿。你怎麼有這個本事?我保證你沒有問題。到底怎麼弄的?我老實告訴你們,我在計算機打一個補丁,誰也看不出來。那個人比他多一個心眼,麵包可以拿,那錢也可以拿啊!他說不對,錢我拿不到,錢都在收銀那裡。他說你別管了,收銀員我搞定,計算機你搞定,這個人就買通收銀員。他招募了20多名收銀員,計算機上做一個補丁。(後來)法國總部發現這家分店每天營業額不如以前,好幾個人查也查不出來。後來有一次法國來的人,非常偶然,撿起小票一看就知道,打出去有一個抵扣項,幾個月的時間(他們)拿了200多萬。超市是利很薄的行業,一個店拿掉200多萬是非常大的數字。
計算機系統如果被人做手腳是非常危險的,但計算機系統用得好,有時候可以幫助你控制,畢竟計算機是毫不留情的。我有一個學生經營星巴克咖啡,他說有一家店老是懷疑有問題,因為這家店的營業收入和消耗怎麼都對不起來,總覺得有問題。後來仔細分析發現,兩家店串通,我們賬上只進3杯,我給你還是給5杯,最大的可能就是每次收銀機(打開)出來的時候,如果要做手腳停留的時間一定比平時長。他就測算這家店每次超過多少秒的收銀行為出現的概率和其他分店是不是不一樣?一分析,明顯多,就知道這家公司肯定有問題,計算機告訴你的不可能有假,專門在收銀機上偷偷裝了攝像頭,一查就查出來了,所以電腦可以幫助你把握風險,這是信息的質量問題。
五、監控。監控是到了最後一關了,就像足球場上的守門員繞過你進球了,所以所有公司領導一定想辦法讓你知道,你承擔的是最後的責任。很多人沒意識到我這個責任有多大。企業領導最後做監控通常用什麼手段來做?簽名。但太多人簽名簽得太隨意。
我曾經在一家大型企業做獨董,我就看不下去了,我說簽名簽得太隨意,我開董事會的時候要求董事會給我一個授權,我這個要求太冠冕堂皇了,沒人有理由否定,董事會一致同意給我這個授權。我拿著授權把風險控制的人召集起來,我說現在(我)得到董事會正式授權,允許我對監控做一次檢查,現在你們只聽我的,不聽任何其他人的,做什麼?替我把公司上上下下,從董事長、總經理開始所有人去年的簽名隨機抽查100個,列成表,要做的事情就是找到這個人說,你去年幾月幾日在什麼東西上簽名,現在請你告訴我當時簽名掌握了什麼證據?有什麼理由相信你這個簽名是負責任的?十有八九被問的人一頭霧水。我把所有調查下來的結果列成一張表攤到董事會桌面上,我說這就是我們公司的簽名。我這樣做會對很多人以後簽名起到非常大的提醒作用。
我同時(還)要做一件事,減少公司簽名的數量,特別是要杜絕幾個人共同簽名。幾個人共同簽名說起來是集體負責,其實是沒有人負責的。一方面減少簽名,另一方面做到每一個簽名的人必須讓他明白你承擔什麼責任。
簽名意味著三件事情。第一件事情是你掌握了簽名所需要的所有證據;第二,你明白簽名以後可能產生的後果;第三,你願意承擔簽名帶來的所有責任。所以一個公司要建立文化,讓簽名的人知道簽名意味著三件事情,如果沒有想清楚這三件事情你千萬不要簽,在這個立場上監控所起的作用。
企業現在大量工作實際上用中介在做,怎樣善於利用中介的力量幫助你?比如審計師,審計師承擔法定的發表獨立審計意見的責任,但(這)並不妨礙你請他們幫你一個忙。我到很多公司都會對審計師說,我知道你法律上沒有這個責任,但就算你幫我一個忙。什麼忙?第一,你到下面去看,會看到很多不一樣的地方,請你幫我注意觀察一下我下面的人在干什麼?哪怕他們在聊八卦的事情請你幫我聽一聽下面的人關心什麼?有沒有問題?第二,請你告訴我,我下面的人稱不稱職?你們的工作做得好不好,這樣一來好處是什麼?好處是審計費用一分錢也不增加,但額外得到了一些你想要的信息。企業所有的中介服務,你應該想方設法想一想,能不能讓他多提供一點有價值的服務?
內部控制最怕的是什麼?最怕的是制度形成、裝訂成冊,鎖進抽屜,從此無人問津,這是最可怕的。所以每個企業要保證制度做下去有後續的行為,這時很多公司想有一套措施,保證制度的缺陷能夠得到及時的報告。所謂缺陷,一種是設計缺陷,一種是執行缺陷。有一家大型的集團公司採用的辦法是每一家分公司自己報,你今年內部控制有幾個設計缺陷,然後叫總集團審計部去查,兩個數字分別報到董事長這里。這是一個非常大的羞辱,每一個分公司幾年以後要報內部控制結果的時候都戰戰兢兢的。你必須要有一個辦法讓下面的人不敢掉以輕心。
網上調查很多企業內部控制執行最難的是什麼?絕對占第一位是一把手舞弊。這是中國特殊的問題。中航油在新加坡出事以後,當初我們想要一點面子,是不是讓中國證監會調查?新加坡交易所斷然拒絕,說讓我們調查,不能讓中國調查,他調查以後形成一個200多頁的調查報告,調查出來的第一個結論讓所有人都大吃一驚。第一個結論是中航油的內部控制制度是世界一流的,他專門花了幾百萬的錢請安永會計師事務所設計了一套完整的內部控制(制度),而且他知道中國人比較講情面、講關系,兩個關鍵崗位,一個是風險控制官,一個是操盤手,(這)兩個崗位專門找了老外來做,兩個澳大利亞老外,這樣不講情面。但是這么好的一套制度居然會出這么大的一個漏洞,接下來的結論非常簡單,這套制度管住了所有人,除了陳久霖。換句話說,再好的制度只要有一個人可以置身制度之外,這個制度就是廢紙。好的制度涵蓋了所有人、所有的經營環節,這是一個非常明顯的事實。銷售付款,銷售、采購這兩個在所有製造性企業里都是最大的風險。銷售和采購正好是兩個階段,做采購的人在公司是孫子,在別人那裡是大爺;做銷售在公司里是大爺,到別人那裡是孫子。潛在利益非常多,銷售的人說我稍微晚一點付款行不行?最怕(的情況是)你給他的工資明顯低,而那個人還是每天陽光燦爛上班,十有八九這裡面肯定有補償機制在裡面。
內部控制,如果你的大老闆不是非常積極的想做這件事,我勸你千萬別去干,因為這件事情沒有真正高層的決心和熱情,你一定做不下去。因為這件事情牽涉到兩件事情對他影響最大。第一件事,利益格局;第二件事,成本。所謂利益格局是企業中間任何現行制度的改變,通常都會動到某些人的乳酪,你都不知道乳酪在哪裡,你無形之中會傷害一些人的利益。比如采購制度的改變、供應商的選擇,特別是一些公司推集中采購的時候,集團采購經常會碰到莫名其妙的障礙,這個障礙就是你動了某些人的乳酪。
公司做內部控制最經常出現的現象(是),公司老闆推一套新的控制制度,部門經理就會說,老總啊,我同意,我們公司真需要一套新的控制制度,這套控制制度我從心底里贊成,但恐怕今年業績完不成了,我個人覺得業績完不成沒關系,新的制度應該推。老闆一聽就急了,董事會承諾過。老總你不講理啊,你又要推制度,又要達到業績,這實在太難了,要麼這樣好不好?我知道業績承諾過、公告過,今年全力以赴先把業績做好,這個制度明年大家來推。這個話說完老闆會說什麼?老闆說看來也只有這樣了。明年還會不會推?十有八九提都不會有人提了。一個新制度推下去,如果你對阻力預先沒有足夠的估計,十有八九後果一定慘重。
二是收益與成本。你能夠防範的風險僅僅是一種可能,但你花下去的成本是一個實實在在的數字,很多人講我花錢有沒有必要?因為你說的風險怎麼從來沒有發生過?如果你沒有思想准備就做不下去。
三是控制和效果。控製程序越多就越不爽、越不方便,節奏越慢。如果你要高效率的,能不能做到?這個東西有時候就是非常微妙的,有時候一個離奇古怪的念頭很可能證明是正確的念頭。恆大許家印當時投票(買足球隊),結果只要一票就夠了,許家印不管董事會其他人,做得風生水起。如果按照正常風險控制的程序,許家印這個足球(對)是無論如何不能買的,現在買下來對公司是正面還是負面的?看起來很可能是正面的。換句話說,風險控制如果嚴格按照程序未必讓你做出最有利的決策,(它的)作用主要是避免危險決策,但不能幫你形成最高效的決策。企業從根本而言是靠出好產品、好服務來掙錢的,不是靠好的風險控制掙錢的。所有企業的一切行為必須為企業創造價值。風險控制如果不能帶來經營改善,不能帶來價值增加,所有控制(行為)都不應該存在。所以必須要有經營觀念在風險控制裡面。
做風險控制本質上講,是一個非常讓人難受的工作。為什麼?風險控制(從)根本上來講,是一個成本中心。成本中心是什麼呢?花的錢看得到,但真正產生的價值未必能看到。所以做這個行業的人非常苦惱的是風險控制要做到極致的是公司里大大小小的事情,一點事情都不出,但如果公司一點事情都不出,公司就會問要這些人干什麼?
我舉一個例子。現在外面有H7N9,禽流感得了這個病一定會死人,你相信我,花500元買這顆葯,你吃下去,一年真的沒有得這個病,我現在問你一句話,你會不會感激我?100%不會。因為你一年之後看,張三、李四、王五都沒有得病。這里最大的問題是我們永遠沒辦法證明本來就不會得病還是吃了我這個葯不得病。如果企業沒有足夠的雅量,很多時候,在成本壓力大的時候,這方面會捨不得投入;(但)等到你真正看出拿掉(風險控制)的作用,通常就太遲了。
B. 如何評價內控有效性的分析與研究
(一)有效的內部控制是一個范圍,不是絕對的保證
有效的內部控制是提供合理保證,不是100%的保證。美國《證劵交易法》對合理保證的解釋是:「這是一種詳細的水平和保證程度,它能夠使謹慎的高級職員在處理事務的時候感到滿意」。所謂的一個范圍指的是有效的內部控制不是一個點,而是一個區間,在合理保證和絕對保證之間必然存在一個區間(陳漢文和張宜霞,2008)。這個區間之間只有上限,即100%,下限是人們根據實際情況作出的判斷,這是一個不確定的數值。所以,有效的內部控制僅僅為企業目標的實現提供一個合理的保證,而不是絕對的保證,也可以說有效的內部控制僅僅是存在的一個判定的區間,而不是一個點。內部控制的目標實現如果在這個范圍內,就可以說這個內部控制是有效的,反之,則是無效的。
(二)內部控制目標不同,有效的內部控制含義也不同
每個企業的內部控制目標是不同的,所以有效的內部控制的概念也會因此有差別,當然合理保證的內容也會不同。遵循法規和財務的可靠性兩個目標通常在企業的可控范圍之內,因此,內部控制一般都能合理保證其實現。而對企業的戰略目標,企業的內部控制不可能完全杜絕錯誤的判斷和決策,因為戰略目標不僅僅受到自身因素的影響,還受到外部環境的影響,而外部環境是復雜多變的,這個時候,企業就很難以控制。因此,企業管理層為了做出更好的決策,都會利用內部控制,然而此時,仍然不能保證這些目標的實現。因此,有效的內部控制對於財務報告的可靠性和企業的戰略目標而言是不同的。那麼這個時候對企業的內部控制有效性如何做出評價呢?仍然是判斷企業內部控制目標的實現是否屬於該范圍,如果屬於,內部控制就是有效的內部控制,否則,就是無效的內部控制。
(三)內部控制的認定環節應該是執行的有效性
為了實現設計有效、全面和詳細,在進行內部控制制度設計時,必須考慮到內部控制的五大目標的實現,然而最終使得相關機構設計出來的內部控制制度不符合企業的實際情況,最終大部分都沒有被企業接受。實際上,對於認定環節到底是「設計有效」更重要還是「執行有效」更重要,這個問題一直面臨一個很難抉擇的處境,因為要使內部控制制度的設計更有效,內部控制的構建既要考慮到全面性,也要考慮設計的詳細,又要考慮成本效率和效益的原則,還要考慮易於用到實踐中去,「這就充分暴露出內部控制在『設計有效』和執行有效之間存在著相互替代的矛盾效應」,內部控制的這種替代效應會造成企業管理者顧此失彼,在進行選擇的時候,到底是考慮「設計有效」更重要還是「執行有效」更重要呢?毫無疑問,當然是內部控制制度的執行更重要,這也是內控的最終目標,當兩者出現沖突的時候,內部控制執行的有效性是首先要考慮到的。
如何才能做到內部控制的執行有效性呢?主要有以下兩個方面:
1.內部控制制度的設計要以執行有效為基礎
成本效益原則是在設計內部控制制度時首先要考慮的。要設計一個符合企業實際情況的內部控制制度一定要花費成本,比如在聘請注冊會計師實施內部控制審計或者引入外部咨詢機構進行內部控制設計和評價工作,一定會增加企業的成本。但是在執行內部控制制度的時候,只有建立一套科學且符合企業實際情況的內控體系,內部控制制度才能得到真正得到落實。企業才能真正做大做強,打造成「百年老店」,同時,內部控制制度的設計必須遵循內部控制框架理論,並且結合企業的實際情況,體現企業的經營理念和組織結構等個性特徵。
2.建立風險管控為導向的內部控制制度
內部控制制度是在管控企業風險的基礎上建立的,首先要對企業的業務流程進行全面的梳理,找到企業的主要風險控制點,根據企業的風險控制點有針對性的去設計內部控制制度;其次,將內部控制制度應用於實踐,任何一個內控制度是否有效且能否得到良好的執行,不能僅局限於理論上,必須接受實踐的檢驗。最後,結合企業的實際情況,發現內部控制實際運行的時候存在問題,並不斷改進。
內部控制有效性的評價方法:
對內部控制設計和執行兩個方面進行評價是目前國內外得到普遍認可的觀點。很顯然,內部控制設計有效,但並不意味著內部控制就能得到很好的執行,因此內部控制有效性既要設計有效,還要執行有效,美國證券交易委員會(SEC)也規定:在進行內部控制有效性評價的時候,應該考慮內控設計和執行兩個方面的有效。目前對內部控制有效性的評價主要定性和定量兩種方法,基於對內部控制有效性理論框架的構建,然後在此基礎上,構建數學模型,運用數據和指標進一步對內部控制有效性進行評價。
(一)定性方法
國內外對於內部控制有效性評價的定性評價研究主要有風險基礎法和詳細評價法兩種方法,這兩種方法都是基於COSO提出的內部控制整體框架理論中的三大目標和五要素。
1.詳細評價法。這種方法首先以權威機構制定出的內部控制制度框架為參考標准,根據內部控制構成的要素去評價內部控制的設計有效性,然後,再對內部控制運行有效性進行測試之後,最後做出內部控制設計和實施的有效性的評價,最終確定內部控制是否有效。此種方法優點是不需要高度的專業判斷,但也有很多缺點,一方面因為這種簡單的對照方法去評價會造成高成本、低效率;另一方面這樣得出的結論不可靠。盡管權威制定且得到普遍認可的內部控制框架理論是一個通用的標准,但是並沒有考慮到企業本身所處的實際情況,比如企業的規模、企業的行業以及外部的環境。由於這些缺點,美國實務和理論界後來提出了風險基礎法
2.風險基礎法。風險基礎法是風險到控制,首先評估內部控制的風險,在識別風險產生的原因;最後對存在的內部控制缺陷進行評估,確定其是否有效。這種方法的優點是:一方面,可以結合每個企業的特定情況,比如企業所處的規模、所處的行業和所處的國家等情況,避免詳細解釋法的簡單核對,能提高廣泛的適用性和靈活性,降低成本,提高效率;另一方面,風險基礎法是在進行風險評估的基礎上,對內部控制的有效性進行測試范圍以及收集證據,這樣同樣可以降低成本,提高效率。風險基礎法的唯一缺點是需要更高程度的專業判斷。
(二)定量法
內部控制有效性評價的定量方法是選取指標建立模型,主要有模糊綜合評價法,層次分析法和經驗判斷法等。模糊綜合評價法有以下研究:以貨幣資金會計控制、實物資產會計控制等9個方面為要素(周春喜,2002),此種方法的有點事方法使用、簡潔和可操作,缺點是綜合評價設計因素多且復雜,研究如何建立與評價內部會計控制的問題仍然有必要;以控制環境、風險評估、內部管理控制、內部會計控制和監督控制為要素(溫濤,2004),優點是建立多層模糊綜合評價模型將定性指標定量化,更有利於實踐工作,但缺點是權重因和因素集代表性有待進一步探討;層次分析法有以下研究:以風險評估、控制點確定、關鍵控制點確定、對應設計指標為要素(戴彥,2006),優點是重點提出在企業龐大的體系運作下,要找准切入點進行評價,不足之處還需要更多實例驗證;以內部環境、目標制定等7項為要素(姚靠華、蔣玲玲,2007),優點是有效解決了各因素重要性難以量化的問題,達到了定量定性相結合的目的,但是如何推廣需要進一步探討。
從上述方法可知內部控制有效性的評價方法有了一定的完善和發展,但目前仍然有不少缺陷,比如模糊數學方法運用使得一些定量指標模糊化,使得評價結果不準確,而且其運作起來也很復雜。因此,採用單一的指標和模型不能對內部控制有效性進行科學合理的評價,將來研究發展更傾向於採用綜合指標和綜合的評價體系對內部控制有效性進行評價。
C. 企業內部控制案例分析
一、案例概述
通用汽車公司成立於1908年9月16日,自從威廉·杜蘭特創建了美國通用汽車公司以來,先後聯合或兼並了別克、凱迪拉克、雪佛蘭、奧茲莫比爾、龐帝亞克、克爾維特等公司,擁有鈴木、五十鈴和斯巴魯的股份。使原來的小公司成為它的分部。從1927年以來一直是全世界最大的汽車公司。公司下屬的分部達二十多個,擁有員工266000人,截至2007年,在財富全球500公司營業額排名中,通用汽車排第五。
通用汽車公司是美國最早實行股份制和專家集團管理的特大型企業之一。通用汽車公司生產的汽車,是美國汽車豪華、寬大、內部舒適、速度快、儲備功率大等特點的經典代表。而且通用汽車公司尤其重視質量和新技術的採用。因而通用汽車公司的產品始終在用戶心中享有盛譽。在2008年以前,通用連續77年蟬聯全球汽車銷量之冠。 2009年6月1日,由於經營管理失誤以及債務等問題,美國通用汽車公司正式遞交破產保護申請。這是美國歷史上第四大破產案,也是美國製造業最大的破產案。
二、內部控制分析
(一)內部控制含義
內部控制制度是企業為了保證業務活動有效進行,保護資產的安全和完整防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。
(二)內部控制要素分析
通
D. 如何利用財務報表分析內部控制
一、財務報告內部控制,是指首席執行官和首席財務官就符合公認會計准則外部使用目的之財務報告的可靠性和財務報告的編制提供合理保證而制定或監督制定並由發行人董事會、管理層和其他人員實施的程序。
1.會計准則外部使用目的,從後面的解釋看,符合公認會計准則就是外部使用目的。
2.重點是在財務報告的可靠性和編制過程規范。
二、財務報告內部控制包括下列有關政策和程序:(1)有關記錄的保留,合理詳細、准確、公允地反映發行人資產的交易和處置;(2)合理保證進行必要的交易記錄,允許按照公認會計准則編制財務報表,並保證發行人的收入和開支只按照管理層和董事會的適當授權進行;(3)就未經授權收購、使用或處置發行人對財務報表可能有重大影響的資產的防止或及時檢測提供合理的保證。
1.第一條通俗的理解,是指賬務處理的記錄是否准確、合理詳細。資產就是貸款、現金、銀行存款、固定資產、投資、應收款項等等。是否公允合理准確,就只要看是否是按照會計准則規定進行賬務處理,即確認、計量是否公允准確、報告即記錄是否合理詳細。至於入帳手續是否完備等合規性問題不應該包括在裡面。
2.交易記錄不是賬務處理記錄,交易記錄應該是交易真實情況的記錄,其主要目的就是保證交易是在適當授權下進行的。
3.第三條,就是預防風險、及時發現風險或案件的能力。
三、對於財務報告內部控制中的缺陷,PCAOB將其界定為如下三類:控制缺陷、重大缺陷和重大薄弱環節。控制缺陷是指控制的設計或運行無法使管理層或員工在正常履行其義務的過程中及時預防或監測錯誤陳述;重大缺陷指對公司依照公認會計准則建立、授權、記錄、處理或報告內部財務數據的能力產生負面影響的控制缺陷或系列控制缺陷,較可能引起年度或中期財務報表中出現很可能無法預防或監測的錯誤陳述。重大薄弱環節則指較可能導致年度或中期財務報表中出現無法預防或監測的重大錯誤陳述的重大缺陷或系列重大缺陷。
1.控制缺陷應該是指設計缺陷、執行缺陷。
2.重大缺陷和重大薄弱環節是從控制缺陷對財務報表影響的程度來劃分,但並沒有區分的很清楚。必須結合實際情況重新定義。
3.目前的劃分還是比較合理,但是需要進一步界定各自的內涵和邊界。
4.後面提到第2好審計標准第140節的相關解釋,但對公司內部的管理並沒有多大的借鑒意義。
四、管理層出具的內部控制報告只對重大薄弱環節進行披露。
五、對於第404條的合規程序,管理層和外部審計師都必須進行老到地判斷,並採取一種從上到下的基於風險的方法。與突出合理而不是絕對保證的老到、善意專業判斷相比,對所有控制均採取千篇一律的從下到上核對式標准方法,其改善內部控制和財務報告的可能性會有所降低。
1.還是注重會計專業人員的職業判斷,不能採取那種機械的、核對式的標准方法。
六、財務報告內部控制的總體目的是有助於編制可靠的財務報表,而可靠的財務報表必須實質准確。因此,財務報告內部控制評估的中心目的是確定較可能造成財務報表中出現重大錯誤陳述的各種重大薄弱環節。雖然確定控制缺陷和重大缺陷是管理層評估的重要組成部分,但內部控制報告的總體重心應該是可能導致財務報表出現重大差錯的各種項目。
七、要對很多控制和程序進行識別、記錄和測試的唯一原因是,在許多情況下均未有效使用從上到下或基於風險的方法。相反,評估成為一種機械的、核對式的標准行為。這並不是第404條之規則的目標,而考察行為的更好方式是強調單個公司的特定風險。實際上,對內部控制進行的評估如果過於程式化或過於詳細以致無法突出風險,則可能無法達到相關要求的基本目的。所需要的方法應該將各種資源投入到存在最大風險的領域,避免不考慮風險而平等對待所有重大賬戶和相關控制。
不能是全面測試,全面評估,應該側重風險高的地方。
八、財務報告內部控制的評估若突出在財務報表賬戶和披露方面對公司財務報表最可能具有重大影響的程序和交易類型,則更為有效。採取這種從上到下的方法,需要管理層以合理的方式使用其累積的知識經驗和判斷,以確定存在財務報表可能出現重大錯誤陳述之重大風險的財務報表領域,繼續識別相關控制並設計對這些控制進行記錄和測試的適當程序。
1.從上到下的方法,應該是指財務報表的分析開始,確定測試和評估領域。
九、在為確定其評估范圍而確定重大賬戶和相關重大流程時,管理層通常會考慮定性和定量因素。定性因素包括前述與不同賬戶及其相關流程有關的風險。除考考定性因素外,工作人員了解到管理層常建立定量標准,用於識別內部控制測試范圍內的重大賬戶。使用百分比作為最低標准值可為評估一個賬戶或流程重要性提供一個合理的起點;但是,必須進行判斷(包括審查定性因素),才能確定是否需要對超過該限值的金額進行評估。
1.要建立定量標准。
十、有效、高效的評估取決於內部審計和最接近評估的「現場」的公司其他人員及外部審計師。只有在這一層面,才能對任一特定情況下的獨特情節進行最佳評估。因此,尤為重要的是,公司和審計人員要具備進行合理評估的必要技能、培訓和判斷能力。工作人員認為,以連貫、穩健方式進行該等評估的能力將隨著經驗的積累而提高,且判斷本身使審計成為一種專業責任。
1.一線專業人員的專業判斷是非常重要的。
十一、管理層使用從上到下的方法需要從財務報表開始,此時必然要使用定性和定量評估來確定重大的賬戶並對管理層的測試范圍進行規劃。公司確定在其第404條評估中包含的賬戶一般應集中在年度及全公司措施上,而不是集中在中期或分布措施上。但是,如果管理層在對一項控制進行測試時發現了缺陷,則應即刻同時使用季度和年度措施來測算該缺陷的重要性,適當時還要考慮分部措施。
1.還是要從財務報表開始。
十二、若確定存在控制缺陷,財務報告內部控制評估的重要部分是考慮該等缺陷的重要性及補充控制是否能化解風險。隨著評估范圍的確定,管理層必須以合理方式對財務報告內部控制中缺陷的評估進行判斷,且該等評估可適當考慮定性和定量分析。除其他事項外,定性分析應考慮的因素有缺陷的性質、缺陷的原因、被設定的控制所支持的相關財務報表確認、缺陷對廣義控制環境的影響及其他補充控制是否有效等。
1.定性分析即職業判斷考慮的因素有缺陷的性質、原因等,這些在作職業判斷時必須要記錄下來。
E. 內部控制與分析程序有什麼關系
分析程序是分析財務數據之間以及財務數據與非財務數據之間的比率和趨勢,而內部控制通常是一些制度、程序,根本不存在數據之間的關系,所以,分析程序不能用於了解內控和控制測試中。
僅通過實質性程序無法應對的重大錯報風險
如果認為僅通過實質性程序獲取的審計證據無法將認定層次的檢查風險降至可接受的低水平,注冊會計師應當評價被審計單位針對這些風險設計的控制,並確定其執行情況。
F. 內部控制案例分析~
我的個人意見:
1.審計委員會,由總會計師兼任委員會主任;同時,成立本公司內部控制領導小組,由總會計師兼任組長,全權負責本公司內部控制的建立健全和有效實施;審計委員會必須保證客觀,並與業務獨立,由總會計師兼任是起不到對財務的監督控製作用。
2. 在完善公司人力資源政策方面,以業務能力作為選人、用人的決定性標准,培養一支能力過硬的職工隊伍。純粹以業務,不加以品德考核的選人容易 出問題
3.為了協調好內部監督與外部審計的關系,建議聘請與本公司合作關系較好的某會計師事務所為建立健全內部控制提供智力支持和咨詢服務。並聘請該事務所開展內部控制審計。容易適成會計師事務所與經理層一同舞弊
G. 中航油案例, 從內控角度分析
二、原因分析
(一)控制環境失效
企業內部控制環境決定其他控制要素能否發揮作用,是內部控制其他因素作用的基礎,直接影響企業內控的貫徹執行,是企業內控的核心。中航油事件正是由於內部治理結構存在嚴重缺陷、外部治理對公司干涉極弱導致的。「事實先於規則」,成為中國航油(新加坡)在期貨交易上的客觀寫照。中國證監會的監管人士向媒體透露了這樣一個經過:中國航油(新加坡)在2001年上市後並沒有向證監會申請海外期貨交易執照,後來證監會看到其招股書有期貨交易一項,才主動為其補報材料。中航油用新加坡上市公司的身份為掩護同國內監管部門展開博弈,倚仗節節上升的市場業績換取控股方航油集團的沉默,從而進入期貨和期權業務;而監管方對此不僅沒有追究到底,還放任其「先斬後奏」的行為,直至投機和虧損的真實發生。而中航油的董事會更是形同虛設,普華永道對公司董事會成員、管理層、經手交易員進行詳細問詢,出具了詳細的調查報告。透過當事人之口,中航油(新加坡)這家一度被認為是「樣板」的海外國企,內控混亂不堪、主事人不堪其任、治理結構闕如紙上談兵。
(二)風險意識薄弱
中航油內部的《風險管理手冊》設計完善,規定了相應的審批程序和各級管理人員的許可權,通過聯簽的方式降低資金使用風險;採用世界上最先進的風險管理軟體系統將現貨、紙貨和期貨三者融合在一起,全盤監控。但是自2003年開始,中國航油的澳大利亞籍貿易員Gerard Rigby開始進行投機性的期權交易;陳久霖聲稱,自己並不知情。而在3月28日獲悉580萬美元的虧損後,陳久霖本人同意了風險管理委員會主任Cindy Chong和交易員Gerard Rigby提出的展期方案。這樣,陳久霖親自否定了由他本人所提議擬定的「當任何一筆交易的虧損額達到50萬美元,立即平倉止損」的風險管理條例,也無異於對手下「先斬後奏」的做法給予了事實上的認可。
(三)信息系統失真
中航油(新加坡)通過做假賬欺騙上級。在新加坡公司上報的2004年6月份的財務統計報表上,新加坡公司當月的總資產為42.6億元人民幣,凈資產為11億元人民幣,資產負債率為73%。長期應收賬款為11.7億元人民幣,應付款也是這么多。從賬面上看,不但沒有問題,而且經營狀況很好。但實際上,2004年6月,中航油就已經在石油期貨交易上面臨3580萬美元的潛在虧損,仍追加了錯誤方向「做空」的資金,但在財務賬面上沒有任何顯示。由於陳久霖在場外進行交易,集團通過正常的財務報表沒有發現陳久霖的秘密。新加坡當地的監督機構也沒有發現,中航油新加坡公司還被評為2004年新加坡最具透明度的上市公司。這么大的一個漏洞就被陳久霖以做假賬的方式瞞天過海般的掩蓋了這么久,以至於事情的發生毫無徵兆。
(四)管理失控,監督虛無
中航油(新加坡)董事兼中航油集團資產與財務管理部負責人李永吉身,沒有審閱過公司年報。其次,即使李永吉想審閱年報,也有困難。因為身為海外上市公司董事,他英語不好,所以不能從財務報表中發現公司已經開始從事期權交易。莢長斌兼任中航油(新加坡)董事長及中航油集團總裁。他強調,由於中航油集團並沒有其他子公司在中國以外上市,所以董事的職責對他而言是不熟悉的。他指出,直到2004年11月30日,董事會一直都沒有對陳久霖有「真正的」管轄權。與李永吉一樣,莢長斌聲稱,語言障礙使得他對中航油(新加坡)缺乏了解和監管,而且,盡管身為中航油(新加坡)董事長,他的財務信息卻來自位於北京的中航油集團財務部。同時,由於監事會成員絕大多數缺乏法律、財務、技術等方面的知識和素養,監事會的監督功能只能是一句空話。而內部審計平時形同虛設,這種監管等於沒有。在經營過程中內部控制失效、董事會和監事會監督功能虛化、缺乏必要的內部審計,中航油的悲劇就這樣產生了。
三、思考
中航油事件給大型國有企業敲響了警鍾。目前,我國國有企業內部控制雖然存在一定的問題,但內部控制的重要性已經引起企業的重視。中航油內部控制的失敗,更是引發了對國有企業內部控制的新思考:
(一)必須健全管理機構,理清管理職責。
現代企業制度中所有權和經營權的分離,導致經營管理者實質上擁有了企業控制權,由此管理者自己管理自己,自己監督評價自己,勢必產生濫用職權、牟取私利、獨斷專行等後果。對內部控制而言,一個積極、主動參與的董事會是相當重要的。如何實現董事會對經理人員的監督,是企業日常監督中最為重要的環節。只有發揮董事會的作用和潛能,股東及其他利益團體的利益才能真正受到保護。
(二)應從細節控制轉向風險管理。
企業內部控制制度不可能脫離其賴以生存的環境及企業內外部的各種風險因素。制定風險管理目標是控制過程的一個重要環節,因此,企業要在整個組織內部制定協調一致的目標,找出企業關鍵性的風險因素,進行風險評估,設置關鍵控制點。由於有限的管理資源和可觀的控製成本,使得企業的精力不能放在所有的細枝末節上,所以,就要求董事會和管理層特別重視可能發生重大風險的環節,且將風險管理作為內控的最主要內容,從而提高決策者判斷、控制和駕馭風險的能力。
(三)應從關注內控建立轉向內控運行和評價。
中航油(新加坡)公司在設計內控時,也是花了相當大精力的,但在如何保證實施制度方面,卻缺乏應有的措施。因此,內控必須要有一個監督機制來促使它的執行。內部審計是企業自我獨立評價的一種活動,具有得天獨厚的優勢。它本身在企業中不直接參與相關的經濟活動,處於相對獨立的位置,但同時又處在各項管理活動中,對企業內部的各項業務比較熟悉,對發生的事件比較了解。公司的內部審計直接對董事會負責,任何重要的審計決策都經董事會批准。這既保證了公司內部審計的相對獨立性,又保證了其權威性。在這樣的前提下,內審部門通過對內控的審查和評價,可以從中找出控制薄弱點,發現內部控制不盡完善和執行無力之處,進而提出改進意見和措施,以監督其他控制政策和程序的有效執行。
(四)內控的對象應從基層轉向高管。
中航油事件的致命原因從根本上說是個人權力過大,缺乏對個人權力的有效制約和監管,使得個人凌駕於制度之上,制度得不到執行。一個表面看起來制度規章明確、組織健全、人員齊備、技術先進的內控或風險管理體系,其在實際運行中能否有效管理風險和防止重大損失的發生,關鍵在於高層領導在這個體系中所發揮的作用。這不僅因為他們是內控的首要責任主體和最基礎的推動力,更重要的是他們本身所擁有的絕對權力,所以高層領導必須納入到以相互檢查和權力制衡為基本原則的整個內控體系中,成為控制和約束的重要對象。否則,高層領導將具有超越內控約束的特殊權力,從而導致整個內控或風險管理機制形同虛設,從根本上喪失有效性。