内控分析
A. 从五大要素分析企业内控存在的问题
风险可以分为三类,即可预防风险(内部风险)、策略风险和外部风险。为追求盈利而自愿接受的策略风险和外部风险是无法通过制定规则来规避的,但规则却可以协调员工的价值观和行为方式,有效地改变或避免内部风险。内部风险,大多与企业内部的舞弊和疏忽有关,建立并执行严格的内部控制系统是降低此类风险的主要手段。
企业应当如何制定规则来控制内部风险?中欧国际工商学院会计学教授、EMBA学术副主任、首席财务官课程(CFO)学术主任苏锡嘉在中欧管理论坛上,就“危机中的企业和企业中的危机”的主题,深入讲解企业领导者如何在日益复杂的外部环境中加强企业内部控制,有效管理风险,提升经营业绩等问题。
COSO是在美国做舞弊调查的机构,延伸到了内部控制,提出内部控制的框架。COSO最基本的内部控制框架,(是)所谓的“三目标、五要素”。三目标,一是有效率且有效果的使用公司资源,后面两个目标是COSO加上去的——财务报表和合规。在三个目标中形成了从下到上、从基本到高端的五个要素。
一、控制环境。控制环境就是要建立企业的文化,让正直的人能得到重用。企业文化看不见、摸不着,但带来的影响是非常大的。做管理就是要形成企业里面的小环境,这个小环境让每个人都有意愿把自己身上光明、阳光的一面展现出来,把自己身上负面、不体面的东西想办法压下去。前两年美国有个团队做了一个研究,对美国财富500强的大公司说请给我一张名单,去年你们公司管理团队流失的人有多少个?列出来后告诉我有哪几个人,公司如果有可能的话是一定想办法留住他们的。他找这些人一个一个地去问,很多人给的理由居然是什么?我看到办公室里很多同事上班用公司的电话讲私人的事情,或者用公司的信封寄私人的信件,我不愿意和这些人成为同事。这告诉大家一个道理,公司文化最重要的作用就是把具有相同价值观的人聚集在一起,把不认同这个价值观的人驱离公司,久而久之,所有留在公司的人都是具有同样价值观的人。
公司是由人组成的,所以一个好的公司文化必须要从建立、从招到最合适的人开始。招聘员工其实风险非常大。因为环境诚信有问题,怎样保证这些人正直、可靠,这是非常关键的。运作到后面,要建立各种各样的机制、机构,董事会、审计委员会,并形成一定的经营风格、管理风格;很多时候,一把手决定了这个企业做事情是什么风格,而且很多风格一旦形成就很难改变。在一个没有宗教信仰的环境中,防范风险的难度比其他环境大一些。
二、风险评估。风险是将来要发生的可能,在它没发生之前就找出来,难度很大。风险有各种各样的分类,一是内部风险,自己做事情能解决掉的风险;二是外部风险,市场环境突变、自然灾害等等;还有固有风险、剩余风险。
风险识别的关键是看到每个风险发生的几率有多大?产生的损失有多大?如果发生的损失可能非常大而且发生的概率非常大,最好的办法是咱们不干这个事情。我造成的风险可能非常大,但发生概率并不是太高,什么办法?转移,一个办法是买保险,(把)部分(风险)转移给别人;还有找人合资,找人分享。如果发生概率挺大(但)损失不会太大,最典型的是产品出质量问题,对策是加强质量控制措施,减少不良频率的发生。如果我采取措施防范,可能成本抵不上得来的好处。
你真正树立(风险)观念以后,你的行动变得完全不一样。有两家公司在日本福岛地震(中)的表现,告诉你(要)有风险意识。今天晚上谁都不要回家,立刻查出来世界上有什么东西只在日本福岛地区生产的,不管跟我们公司有没有关系,全世界去找,不管价钱统统买下来,一个晚上整个公司扑在这个(事情)上面。第二天全部做完以后,现在回去睡觉,大家等着数钱吧!说起来道德上有点恶劣,但从商业敏感度来讲绝对厉害。第二个例子是上海汽车在福岛地震的第二天早上9点钟紧急召开集团办公会议,董事长只提一个问题,福岛地区生产如果不恢复,上海汽车生产可以维持多少时间?因为汽车很多配件都是日本生产的。全公司立刻报上来,6个月。第二个问题,继续查零配件世界上有没有可代用的东西?一项一项落实,报告上来每一样东西世界上都有替代品。又问,能不能用?不能。因为所有汽车零部件用上去必须要有一个认证过程,认证过程多长?最短9个月。董事长说从今天开始全公司全力以赴解决认证问题,一定要在6个月之内解决认证。公司对于风险防范的事情,一有点事情立刻想到(会)受什么影响,一天都不能耽搁。
风险还有一些思考,第一是应不应该回避风险?你要想清楚一点,做企业本质上讲就是冒险,成功的企业家都是愿意冒险的,不愿意冒险的人不可能会成功。但我们永远想清楚,企业需要冒险,但必须是只冒可以承受的风险,绝对不冒不能承受的风险。比如,我说我掏1块硬币拿出来跟你玩,翻到正面你给我5块钱,翻到反面你给我5块钱,挺好玩的,玩一下。我再说,翻到正面你给我5个亿,翻到反面我给你5个亿?玩不玩?你这时候不会想万一我今天赚了5个亿晚上怎么花这个钱呢?你首先想到(的是)万一我输了,我到哪里拿5个亿还给这家伙?我能不能承担起这个风险?我才做。如果成功了会有多大的好处?
企业冒险,影响生死存亡的风险是决定。中国人经常说用人不疑、疑人不用,这是非常虚伪的,因为在现代的商业社会里,疑不疑人是对他负不负责,最好的(是)我不给你任何犯错误的机会。所以我到每一家公司做独董,给做风险控制、内部管理的人只给你八个字,相对独立、合理欢迎。
我们鼓励创新,创新是不是等同于冒险?是不是一旦创新、风险控制一定会差?越是具有创新能力的公司更多使用控制。创新和控制其实是不矛盾的,真正要创新有效,不是像无头苍蝇一样到处乱投钱,这不是创新。
如果你面临如下选择,一种是牺牲核心员工以消除重大风险,二是保护核心员工但可能留下重大风险,你选择哪一个?保护核心员工和消除重大风险,哪一个更重要?消除重大风险。首先把风险堵上再说,牵涉到不管什么人以后再说,再冤枉这一刀必须斩下去。从道理上讲,风险防范为上,保护核心员工为次;但真正叫你动手,那个人看上去那么的无辜,你现在为了一点风险要把他先宰下来,你下得了手吗?如果下不了手,临阵畏缩,你觉得这个人有没有罪?应不应该受到处罚?这些都是在实际风险控制中非常实际的问题。碰到这些让你困惑的(问题的)时候,很多人往往觉得下不了手,但下不了手,真的导致风险爆发的话很可能整只船就沉下去。我让大家想一想,被误伤的这个人心里会怎么样?会不会怨恨?电影里面的“007”真是高尚,回到警察总部来毫无怨言,而且要继续拼杀,实际工作中没人做得到。没人做得到会怎么样?带来下面一个问题,这些人如果证明真的是冤枉的,应不应该、能不能够让他回来官复原职?基本规律是打死也不能让他回来。
为什么?告诉你一个简单的例子。雷诺汽车前几年发生一件事情,一个副总举报、揭发另一个副总把公司机密的商业资料透露给竞争对手,拿出证据来,公司董事会震怒之下把那个副总和手下一帮人全部开除了。一年之后,事实证明举报是阴谋报复,诬告的副总再开除,(被冤枉的)那个副总要求回公司,雷诺(说)要多少钱可以商量,回来一点商量(余地)都没有。为什么?不仅是心态变了,你要想清楚,当时公司上下经过一场非常剧烈的政治变动,把那条线的人调出去了,现在如果让它回来,公司不得安宁,他要回来(整)原来整过他的人,每个人重新站队,这个公司折腾不起,(所以)不能回来。你要想清楚,个人对于公司来讲永远是次要的。
三、控制活动。控制活动有很多措施。有一家公司,所有的存货采购,任何东西采购进来,如果十天之内没一个人领用的话,总经理的电脑上会有一个红灯亮起来,(他)立刻查当初是谁提出请购的?请购理由是什么?批准理由是什么?为什么买进来以后十天没用?资金成本由谁承担?这个(制度)建立起来以后,类似错误不会犯第二次。公司不怕犯错误,最怕犯重复性的低级错误,这是公司不能忍受的。
建立控制制度,有些事情非常重要:
一是区分不相容职务,就是奉行一个基本原则——两个人干一件事情总比一个人自己干要安全,因为两个人有一个监督和约束。有些工作天生不能由一个人干,比如会计和出纳不能由一个人干。我举一个例子,这是企业担保的职能,把担保这个环节中牵涉到几个管理环节,我1、2、3、4、5、6、7列出来,至少有7个职能,哪几个必须由不同的人做。现在,不相容职务如果划分出来,做出来以后仍然出问题,这种风险在哪里?什么情况下不相容职务分离开来最后还是出事了?串通。所有的控制措施最怕的一件事情就是串通。怎样解决串通的可能?这是每个公司都绞尽脑汁的事情。有的比较小的企业、有些老板会有一些私人的独门秘诀。有些老板说,我的独门秘诀就是今天出纳不在、会计在的时候说,你小子注意,出纳反映好几次了,你经常上班的时候遛出去,会计听到(之后)对出纳恨得都牙痒痒的;(但)等到他们两个人哪一天说穿了、说透了,(老板)就惨了,所以这不是控制,这是权谋。也有一些人说,我的基本原则是这两个人绝对不能一男一女,特别不能年龄相近,一定不能是同乡,不能(是)一个学校毕业的等等,让你两个人共同语言越少越好。怎么解决串通问题始终是一个困惑。关键岗位必须强制连续休假10天以上,休假期间一定有人顶岗。比如新加坡把英国银行搞垮的这些人都有一个共同的特点,工作特别辛苦,好几年都没有休假了。他怎么可以休假?他一休假全部都要露馅的。
二是明确岗位责任,我一再强调必须要有书面的岗位责任承诺书,每年要签一次,(这)带来两大好处。第一个好处是每年对每个岗位重新做一个复核,对他承担的责任做一个提醒,尽管是例行公事但至少是一个提醒。第二个,一旦有什么事情上法庭,有法律作用的文件,也就是说你承诺过必须尽到这个责任,如果你没有做到,(在)法律上必须负责任。岗位责任承诺书,现在基本上大的公司一定要你签,但岗位责任承诺书本身公司要有认证和复核,最怕你没有准确描述。
三是作业流程图,把每一个步骤落实到纸面上,你先走什么、后走什么。比如供应商评选,这件事情在每个公司中都是一个非常非常烦人的事情,为什么?因为很多作业流程都是非正式的,一旦非正式的东西放在纸面上来会发现无穷无尽的争吵。碰到类似的问题,四个部门的负责人放在一起,这个事情做下去了,一旦划到流程图不行了,必须先到他这里,我用流程做下去,四个人全部跳起来说,这怎么行呢?现在的话如果我同意了,你们3个人分分钟可以否决我,我说什么意思啊?现在他们3个人不同意的东西,我连看到的机会都没有了?一旦划到流程谁有权做什么,因为牵涉到不同部门的利益、牵涉到责任再划分,这是一个非常大的麻烦。
四、信息与沟通。现在是信息时代,让信息在企业中间起到一个良好的作用,这是极其关键的。对于信息控制,关键的一点就是在合适的时间让人得到合适的信息。这句话说起来容易,做到太难了。现在每个企业多多少少都有自己的信息系统,但天量的信息每天在产生,究竟起什么作用?企业里几乎没有人说得清楚。企业接触信息的授权在绝大部分企业里都是不精细的,信息系统由于很多看不见的东西,只要有人在里面有机会打一个补丁,带来的后果不堪设想。有的补丁损失还有一些,有的补丁带来很大的(损失)。
上海有一家法资超市,欧尚超市,里面有个小伙子管计算机系统,每天营业结束关门以后,他把营业数据汇总统计送到法国总部,这注定了他每天下班都在其他人之后。有时候他肚子饿,他有一天晚上肚子饿就走到超市拿面包,我在上班工作,拿一个面包吃,数量万一和计算机的数字不对,要负责任的。(于是)他就吃一个面包,打一个补丁,弄完以后发现这一招很简单,肚子饿就到前面拿面包吃。千不该、万不该,一天有个装卸工是他朋友,肚子饿不饿,要不要吃面包?你随便拿。你怎么有这个本事?我保证你没有问题。到底怎么弄的?我老实告诉你们,我在计算机打一个补丁,谁也看不出来。那个人比他多一个心眼,面包可以拿,那钱也可以拿啊!他说不对,钱我拿不到,钱都在收银那里。他说你别管了,收银员我搞定,计算机你搞定,这个人就买通收银员。他招募了20多名收银员,计算机上做一个补丁。(后来)法国总部发现这家分店每天营业额不如以前,好几个人查也查不出来。后来有一次法国来的人,非常偶然,捡起小票一看就知道,打出去有一个抵扣项,几个月的时间(他们)拿了200多万。超市是利很薄的行业,一个店拿掉200多万是非常大的数字。
计算机系统如果被人做手脚是非常危险的,但计算机系统用得好,有时候可以帮助你控制,毕竟计算机是毫不留情的。我有一个学生经营星巴克咖啡,他说有一家店老是怀疑有问题,因为这家店的营业收入和消耗怎么都对不起来,总觉得有问题。后来仔细分析发现,两家店串通,我们账上只进3杯,我给你还是给5杯,最大的可能就是每次收银机(打开)出来的时候,如果要做手脚停留的时间一定比平时长。他就测算这家店每次超过多少秒的收银行为出现的概率和其他分店是不是不一样?一分析,明显多,就知道这家公司肯定有问题,计算机告诉你的不可能有假,专门在收银机上偷偷装了摄像头,一查就查出来了,所以电脑可以帮助你把握风险,这是信息的质量问题。
五、监控。监控是到了最后一关了,就像足球场上的守门员绕过你进球了,所以所有公司领导一定想办法让你知道,你承担的是最后的责任。很多人没意识到我这个责任有多大。企业领导最后做监控通常用什么手段来做?签名。但太多人签名签得太随意。
我曾经在一家大型企业做独董,我就看不下去了,我说签名签得太随意,我开董事会的时候要求董事会给我一个授权,我这个要求太冠冕堂皇了,没人有理由否定,董事会一致同意给我这个授权。我拿着授权把风险控制的人召集起来,我说现在(我)得到董事会正式授权,允许我对监控做一次检查,现在你们只听我的,不听任何其他人的,做什么?替我把公司上上下下,从董事长、总经理开始所有人去年的签名随机抽查100个,列成表,要做的事情就是找到这个人说,你去年几月几日在什么东西上签名,现在请你告诉我当时签名掌握了什么证据?有什么理由相信你这个签名是负责任的?十有八九被问的人一头雾水。我把所有调查下来的结果列成一张表摊到董事会桌面上,我说这就是我们公司的签名。我这样做会对很多人以后签名起到非常大的提醒作用。
我同时(还)要做一件事,减少公司签名的数量,特别是要杜绝几个人共同签名。几个人共同签名说起来是集体负责,其实是没有人负责的。一方面减少签名,另一方面做到每一个签名的人必须让他明白你承担什么责任。
签名意味着三件事情。第一件事情是你掌握了签名所需要的所有证据;第二,你明白签名以后可能产生的后果;第三,你愿意承担签名带来的所有责任。所以一个公司要建立文化,让签名的人知道签名意味着三件事情,如果没有想清楚这三件事情你千万不要签,在这个立场上监控所起的作用。
企业现在大量工作实际上用中介在做,怎样善于利用中介的力量帮助你?比如审计师,审计师承担法定的发表独立审计意见的责任,但(这)并不妨碍你请他们帮你一个忙。我到很多公司都会对审计师说,我知道你法律上没有这个责任,但就算你帮我一个忙。什么忙?第一,你到下面去看,会看到很多不一样的地方,请你帮我注意观察一下我下面的人在干什么?哪怕他们在聊八卦的事情请你帮我听一听下面的人关心什么?有没有问题?第二,请你告诉我,我下面的人称不称职?你们的工作做得好不好,这样一来好处是什么?好处是审计费用一分钱也不增加,但额外得到了一些你想要的信息。企业所有的中介服务,你应该想方设法想一想,能不能让他多提供一点有价值的服务?
内部控制最怕的是什么?最怕的是制度形成、装订成册,锁进抽屉,从此无人问津,这是最可怕的。所以每个企业要保证制度做下去有后续的行为,这时很多公司想有一套措施,保证制度的缺陷能够得到及时的报告。所谓缺陷,一种是设计缺陷,一种是执行缺陷。有一家大型的集团公司采用的办法是每一家分公司自己报,你今年内部控制有几个设计缺陷,然后叫总集团审计部去查,两个数字分别报到董事长这里。这是一个非常大的羞辱,每一个分公司几年以后要报内部控制结果的时候都战战兢兢的。你必须要有一个办法让下面的人不敢掉以轻心。
网上调查很多企业内部控制执行最难的是什么?绝对占第一位是一把手舞弊。这是中国特殊的问题。中航油在新加坡出事以后,当初我们想要一点面子,是不是让中国证监会调查?新加坡交易所断然拒绝,说让我们调查,不能让中国调查,他调查以后形成一个200多页的调查报告,调查出来的第一个结论让所有人都大吃一惊。第一个结论是中航油的内部控制制度是世界一流的,他专门花了几百万的钱请安永会计师事务所设计了一套完整的内部控制(制度),而且他知道中国人比较讲情面、讲关系,两个关键岗位,一个是风险控制官,一个是操盘手,(这)两个岗位专门找了老外来做,两个澳大利亚老外,这样不讲情面。但是这么好的一套制度居然会出这么大的一个漏洞,接下来的结论非常简单,这套制度管住了所有人,除了陈久霖。换句话说,再好的制度只要有一个人可以置身制度之外,这个制度就是废纸。好的制度涵盖了所有人、所有的经营环节,这是一个非常明显的事实。销售付款,销售、采购这两个在所有制造性企业里都是最大的风险。销售和采购正好是两个阶段,做采购的人在公司是孙子,在别人那里是大爷;做销售在公司里是大爷,到别人那里是孙子。潜在利益非常多,销售的人说我稍微晚一点付款行不行?最怕(的情况是)你给他的工资明显低,而那个人还是每天阳光灿烂上班,十有八九这里面肯定有补偿机制在里面。
内部控制,如果你的大老板不是非常积极的想做这件事,我劝你千万别去干,因为这件事情没有真正高层的决心和热情,你一定做不下去。因为这件事情牵涉到两件事情对他影响最大。第一件事,利益格局;第二件事,成本。所谓利益格局是企业中间任何现行制度的改变,通常都会动到某些人的奶酪,你都不知道奶酪在哪里,你无形之中会伤害一些人的利益。比如采购制度的改变、供应商的选择,特别是一些公司推集中采购的时候,集团采购经常会碰到莫名其妙的障碍,这个障碍就是你动了某些人的奶酪。
公司做内部控制最经常出现的现象(是),公司老板推一套新的控制制度,部门经理就会说,老总啊,我同意,我们公司真需要一套新的控制制度,这套控制制度我从心底里赞成,但恐怕今年业绩完不成了,我个人觉得业绩完不成没关系,新的制度应该推。老板一听就急了,董事会承诺过。老总你不讲理啊,你又要推制度,又要达到业绩,这实在太难了,要么这样好不好?我知道业绩承诺过、公告过,今年全力以赴先把业绩做好,这个制度明年大家来推。这个话说完老板会说什么?老板说看来也只有这样了。明年还会不会推?十有八九提都不会有人提了。一个新制度推下去,如果你对阻力预先没有足够的估计,十有八九后果一定惨重。
二是收益与成本。你能够防范的风险仅仅是一种可能,但你花下去的成本是一个实实在在的数字,很多人讲我花钱有没有必要?因为你说的风险怎么从来没有发生过?如果你没有思想准备就做不下去。
三是控制和效果。控制程序越多就越不爽、越不方便,节奏越慢。如果你要高效率的,能不能做到?这个东西有时候就是非常微妙的,有时候一个离奇古怪的念头很可能证明是正确的念头。恒大许家印当时投票(买足球队),结果只要一票就够了,许家印不管董事会其他人,做得风生水起。如果按照正常风险控制的程序,许家印这个足球(对)是无论如何不能买的,现在买下来对公司是正面还是负面的?看起来很可能是正面的。换句话说,风险控制如果严格按照程序未必让你做出最有利的决策,(它的)作用主要是避免危险决策,但不能帮你形成最高效的决策。企业从根本而言是靠出好产品、好服务来挣钱的,不是靠好的风险控制挣钱的。所有企业的一切行为必须为企业创造价值。风险控制如果不能带来经营改善,不能带来价值增加,所有控制(行为)都不应该存在。所以必须要有经营观念在风险控制里面。
做风险控制本质上讲,是一个非常让人难受的工作。为什么?风险控制(从)根本上来讲,是一个成本中心。成本中心是什么呢?花的钱看得到,但真正产生的价值未必能看到。所以做这个行业的人非常苦恼的是风险控制要做到极致的是公司里大大小小的事情,一点事情都不出,但如果公司一点事情都不出,公司就会问要这些人干什么?
我举一个例子。现在外面有H7N9,禽流感得了这个病一定会死人,你相信我,花500元买这颗药,你吃下去,一年真的没有得这个病,我现在问你一句话,你会不会感激我?100%不会。因为你一年之后看,张三、李四、王五都没有得病。这里最大的问题是我们永远没办法证明本来就不会得病还是吃了我这个药不得病。如果企业没有足够的雅量,很多时候,在成本压力大的时候,这方面会舍不得投入;(但)等到你真正看出拿掉(风险控制)的作用,通常就太迟了。
B. 如何评价内控有效性的分析与研究
(一)有效的内部控制是一个范围,不是绝对的保证
有效的内部控制是提供合理保证,不是100%的保证。美国《证劵交易法》对合理保证的解释是:“这是一种详细的水平和保证程度,它能够使谨慎的高级职员在处理事务的时候感到满意”。所谓的一个范围指的是有效的内部控制不是一个点,而是一个区间,在合理保证和绝对保证之间必然存在一个区间(陈汉文和张宜霞,2008)。这个区间之间只有上限,即100%,下限是人们根据实际情况作出的判断,这是一个不确定的数值。所以,有效的内部控制仅仅为企业目标的实现提供一个合理的保证,而不是绝对的保证,也可以说有效的内部控制仅仅是存在的一个判定的区间,而不是一个点。内部控制的目标实现如果在这个范围内,就可以说这个内部控制是有效的,反之,则是无效的。
(二)内部控制目标不同,有效的内部控制含义也不同
每个企业的内部控制目标是不同的,所以有效的内部控制的概念也会因此有差别,当然合理保证的内容也会不同。遵循法规和财务的可靠性两个目标通常在企业的可控范围之内,因此,内部控制一般都能合理保证其实现。而对企业的战略目标,企业的内部控制不可能完全杜绝错误的判断和决策,因为战略目标不仅仅受到自身因素的影响,还受到外部环境的影响,而外部环境是复杂多变的,这个时候,企业就很难以控制。因此,企业管理层为了做出更好的决策,都会利用内部控制,然而此时,仍然不能保证这些目标的实现。因此,有效的内部控制对于财务报告的可靠性和企业的战略目标而言是不同的。那么这个时候对企业的内部控制有效性如何做出评价呢?仍然是判断企业内部控制目标的实现是否属于该范围,如果属于,内部控制就是有效的内部控制,否则,就是无效的内部控制。
(三)内部控制的认定环节应该是执行的有效性
为了实现设计有效、全面和详细,在进行内部控制制度设计时,必须考虑到内部控制的五大目标的实现,然而最终使得相关机构设计出来的内部控制制度不符合企业的实际情况,最终大部分都没有被企业接受。实际上,对于认定环节到底是“设计有效”更重要还是“执行有效”更重要,这个问题一直面临一个很难抉择的处境,因为要使内部控制制度的设计更有效,内部控制的构建既要考虑到全面性,也要考虑设计的详细,又要考虑成本效率和效益的原则,还要考虑易于用到实践中去,“这就充分暴露出内部控制在‘设计有效’和执行有效之间存在着相互替代的矛盾效应”,内部控制的这种替代效应会造成企业管理者顾此失彼,在进行选择的时候,到底是考虑“设计有效”更重要还是“执行有效”更重要呢?毫无疑问,当然是内部控制制度的执行更重要,这也是内控的最终目标,当两者出现冲突的时候,内部控制执行的有效性是首先要考虑到的。
如何才能做到内部控制的执行有效性呢?主要有以下两个方面:
1.内部控制制度的设计要以执行有效为基础
成本效益原则是在设计内部控制制度时首先要考虑的。要设计一个符合企业实际情况的内部控制制度一定要花费成本,比如在聘请注册会计师实施内部控制审计或者引入外部咨询机构进行内部控制设计和评价工作,一定会增加企业的成本。但是在执行内部控制制度的时候,只有建立一套科学且符合企业实际情况的内控体系,内部控制制度才能得到真正得到落实。企业才能真正做大做强,打造成“百年老店”,同时,内部控制制度的设计必须遵循内部控制框架理论,并且结合企业的实际情况,体现企业的经营理念和组织结构等个性特征。
2.建立风险管控为导向的内部控制制度
内部控制制度是在管控企业风险的基础上建立的,首先要对企业的业务流程进行全面的梳理,找到企业的主要风险控制点,根据企业的风险控制点有针对性的去设计内部控制制度;其次,将内部控制制度应用于实践,任何一个内控制度是否有效且能否得到良好的执行,不能仅局限于理论上,必须接受实践的检验。最后,结合企业的实际情况,发现内部控制实际运行的时候存在问题,并不断改进。
内部控制有效性的评价方法:
对内部控制设计和执行两个方面进行评价是目前国内外得到普遍认可的观点。很显然,内部控制设计有效,但并不意味着内部控制就能得到很好的执行,因此内部控制有效性既要设计有效,还要执行有效,美国证券交易委员会(SEC)也规定:在进行内部控制有效性评价的时候,应该考虑内控设计和执行两个方面的有效。目前对内部控制有效性的评价主要定性和定量两种方法,基于对内部控制有效性理论框架的构建,然后在此基础上,构建数学模型,运用数据和指标进一步对内部控制有效性进行评价。
(一)定性方法
国内外对于内部控制有效性评价的定性评价研究主要有风险基础法和详细评价法两种方法,这两种方法都是基于COSO提出的内部控制整体框架理论中的三大目标和五要素。
1.详细评价法。这种方法首先以权威机构制定出的内部控制制度框架为参考标准,根据内部控制构成的要素去评价内部控制的设计有效性,然后,再对内部控制运行有效性进行测试之后,最后做出内部控制设计和实施的有效性的评价,最终确定内部控制是否有效。此种方法优点是不需要高度的专业判断,但也有很多缺点,一方面因为这种简单的对照方法去评价会造成高成本、低效率;另一方面这样得出的结论不可靠。尽管权威制定且得到普遍认可的内部控制框架理论是一个通用的标准,但是并没有考虑到企业本身所处的实际情况,比如企业的规模、企业的行业以及外部的环境。由于这些缺点,美国实务和理论界后来提出了风险基础法
2.风险基础法。风险基础法是风险到控制,首先评估内部控制的风险,在识别风险产生的原因;最后对存在的内部控制缺陷进行评估,确定其是否有效。这种方法的优点是:一方面,可以结合每个企业的特定情况,比如企业所处的规模、所处的行业和所处的国家等情况,避免详细解释法的简单核对,能提高广泛的适用性和灵活性,降低成本,提高效率;另一方面,风险基础法是在进行风险评估的基础上,对内部控制的有效性进行测试范围以及收集证据,这样同样可以降低成本,提高效率。风险基础法的唯一缺点是需要更高程度的专业判断。
(二)定量法
内部控制有效性评价的定量方法是选取指标建立模型,主要有模糊综合评价法,层次分析法和经验判断法等。模糊综合评价法有以下研究:以货币资金会计控制、实物资产会计控制等9个方面为要素(周春喜,2002),此种方法的有点事方法使用、简洁和可操作,缺点是综合评价设计因素多且复杂,研究如何建立与评价内部会计控制的问题仍然有必要;以控制环境、风险评估、内部管理控制、内部会计控制和监督控制为要素(温涛,2004),优点是建立多层模糊综合评价模型将定性指标定量化,更有利于实践工作,但缺点是权重因和因素集代表性有待进一步探讨;层次分析法有以下研究:以风险评估、控制点确定、关键控制点确定、对应设计指标为要素(戴彦,2006),优点是重点提出在企业庞大的体系运作下,要找准切入点进行评价,不足之处还需要更多实例验证;以内部环境、目标制定等7项为要素(姚靠华、蒋玲玲,2007),优点是有效解决了各因素重要性难以量化的问题,达到了定量定性相结合的目的,但是如何推广需要进一步探讨。
从上述方法可知内部控制有效性的评价方法有了一定的完善和发展,但目前仍然有不少缺陷,比如模糊数学方法运用使得一些定量指标模糊化,使得评价结果不准确,而且其运作起来也很复杂。因此,采用单一的指标和模型不能对内部控制有效性进行科学合理的评价,将来研究发展更倾向于采用综合指标和综合的评价体系对内部控制有效性进行评价。
C. 企业内部控制案例分析
一、案例概述
通用汽车公司成立于1908年9月16日,自从威廉·杜兰特创建了美国通用汽车公司以来,先后联合或兼并了别克、凯迪拉克、雪佛兰、奥兹莫比尔、庞帝亚克、克尔维特等公司,拥有铃木、五十铃和斯巴鲁的股份。使原来的小公司成为它的分部。从1927年以来一直是全世界最大的汽车公司。公司下属的分部达二十多个,拥有员工266000人,截至2007年,在财富全球500公司营业额排名中,通用汽车排第五。
通用汽车公司是美国最早实行股份制和专家集团管理的特大型企业之一。通用汽车公司生产的汽车,是美国汽车豪华、宽大、内部舒适、速度快、储备功率大等特点的经典代表。而且通用汽车公司尤其重视质量和新技术的采用。因而通用汽车公司的产品始终在用户心中享有盛誉。在2008年以前,通用连续77年蝉联全球汽车销量之冠。 2009年6月1日,由于经营管理失误以及债务等问题,美国通用汽车公司正式递交破产保护申请。这是美国历史上第四大破产案,也是美国制造业最大的破产案。
二、内部控制分析
(一)内部控制含义
内部控制制度是企业为了保证业务活动有效进行,保护资产的安全和完整防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。
(二)内部控制要素分析
通
D. 如何利用财务报表分析内部控制
一、财务报告内部控制,是指首席执行官和首席财务官就符合公认会计准则外部使用目的之财务报告的可靠性和财务报告的编制提供合理保证而制定或监督制定并由发行人董事会、管理层和其他人员实施的程序。
1.会计准则外部使用目的,从后面的解释看,符合公认会计准则就是外部使用目的。
2.重点是在财务报告的可靠性和编制过程规范。
二、财务报告内部控制包括下列有关政策和程序:(1)有关记录的保留,合理详细、准确、公允地反映发行人资产的交易和处置;(2)合理保证进行必要的交易记录,允许按照公认会计准则编制财务报表,并保证发行人的收入和开支只按照管理层和董事会的适当授权进行;(3)就未经授权收购、使用或处置发行人对财务报表可能有重大影响的资产的防止或及时检测提供合理的保证。
1.第一条通俗的理解,是指账务处理的记录是否准确、合理详细。资产就是贷款、现金、银行存款、固定资产、投资、应收款项等等。是否公允合理准确,就只要看是否是按照会计准则规定进行账务处理,即确认、计量是否公允准确、报告即记录是否合理详细。至于入帐手续是否完备等合规性问题不应该包括在里面。
2.交易记录不是账务处理记录,交易记录应该是交易真实情况的记录,其主要目的就是保证交易是在适当授权下进行的。
3.第三条,就是预防风险、及时发现风险或案件的能力。
三、对于财务报告内部控制中的缺陷,PCAOB将其界定为如下三类:控制缺陷、重大缺陷和重大薄弱环节。控制缺陷是指控制的设计或运行无法使管理层或员工在正常履行其义务的过程中及时预防或监测错误陈述;重大缺陷指对公司依照公认会计准则建立、授权、记录、处理或报告内部财务数据的能力产生负面影响的控制缺陷或系列控制缺陷,较可能引起年度或中期财务报表中出现很可能无法预防或监测的错误陈述。重大薄弱环节则指较可能导致年度或中期财务报表中出现无法预防或监测的重大错误陈述的重大缺陷或系列重大缺陷。
1.控制缺陷应该是指设计缺陷、执行缺陷。
2.重大缺陷和重大薄弱环节是从控制缺陷对财务报表影响的程度来划分,但并没有区分的很清楚。必须结合实际情况重新定义。
3.目前的划分还是比较合理,但是需要进一步界定各自的内涵和边界。
4.后面提到第2好审计标准第140节的相关解释,但对公司内部的管理并没有多大的借鉴意义。
四、管理层出具的内部控制报告只对重大薄弱环节进行披露。
五、对于第404条的合规程序,管理层和外部审计师都必须进行老到地判断,并采取一种从上到下的基于风险的方法。与突出合理而不是绝对保证的老到、善意专业判断相比,对所有控制均采取千篇一律的从下到上核对式标准方法,其改善内部控制和财务报告的可能性会有所降低。
1.还是注重会计专业人员的职业判断,不能采取那种机械的、核对式的标准方法。
六、财务报告内部控制的总体目的是有助于编制可靠的财务报表,而可靠的财务报表必须实质准确。因此,财务报告内部控制评估的中心目的是确定较可能造成财务报表中出现重大错误陈述的各种重大薄弱环节。虽然确定控制缺陷和重大缺陷是管理层评估的重要组成部分,但内部控制报告的总体重心应该是可能导致财务报表出现重大差错的各种项目。
七、要对很多控制和程序进行识别、记录和测试的唯一原因是,在许多情况下均未有效使用从上到下或基于风险的方法。相反,评估成为一种机械的、核对式的标准行为。这并不是第404条之规则的目标,而考察行为的更好方式是强调单个公司的特定风险。实际上,对内部控制进行的评估如果过于程式化或过于详细以致无法突出风险,则可能无法达到相关要求的基本目的。所需要的方法应该将各种资源投入到存在最大风险的领域,避免不考虑风险而平等对待所有重大账户和相关控制。
不能是全面测试,全面评估,应该侧重风险高的地方。
八、财务报告内部控制的评估若突出在财务报表账户和披露方面对公司财务报表最可能具有重大影响的程序和交易类型,则更为有效。采取这种从上到下的方法,需要管理层以合理的方式使用其累积的知识经验和判断,以确定存在财务报表可能出现重大错误陈述之重大风险的财务报表领域,继续识别相关控制并设计对这些控制进行记录和测试的适当程序。
1.从上到下的方法,应该是指财务报表的分析开始,确定测试和评估领域。
九、在为确定其评估范围而确定重大账户和相关重大流程时,管理层通常会考虑定性和定量因素。定性因素包括前述与不同账户及其相关流程有关的风险。除考考定性因素外,工作人员了解到管理层常建立定量标准,用于识别内部控制测试范围内的重大账户。使用百分比作为最低标准值可为评估一个账户或流程重要性提供一个合理的起点;但是,必须进行判断(包括审查定性因素),才能确定是否需要对超过该限值的金额进行评估。
1.要建立定量标准。
十、有效、高效的评估取决于内部审计和最接近评估的“现场”的公司其他人员及外部审计师。只有在这一层面,才能对任一特定情况下的独特情节进行最佳评估。因此,尤为重要的是,公司和审计人员要具备进行合理评估的必要技能、培训和判断能力。工作人员认为,以连贯、稳健方式进行该等评估的能力将随着经验的积累而提高,且判断本身使审计成为一种专业责任。
1.一线专业人员的专业判断是非常重要的。
十一、管理层使用从上到下的方法需要从财务报表开始,此时必然要使用定性和定量评估来确定重大的账户并对管理层的测试范围进行规划。公司确定在其第404条评估中包含的账户一般应集中在年度及全公司措施上,而不是集中在中期或分布措施上。但是,如果管理层在对一项控制进行测试时发现了缺陷,则应即刻同时使用季度和年度措施来测算该缺陷的重要性,适当时还要考虑分部措施。
1.还是要从财务报表开始。
十二、若确定存在控制缺陷,财务报告内部控制评估的重要部分是考虑该等缺陷的重要性及补充控制是否能化解风险。随着评估范围的确定,管理层必须以合理方式对财务报告内部控制中缺陷的评估进行判断,且该等评估可适当考虑定性和定量分析。除其他事项外,定性分析应考虑的因素有缺陷的性质、缺陷的原因、被设定的控制所支持的相关财务报表确认、缺陷对广义控制环境的影响及其他补充控制是否有效等。
1.定性分析即职业判断考虑的因素有缺陷的性质、原因等,这些在作职业判断时必须要记录下来。
E. 内部控制与分析程序有什么关系
分析程序是分析财务数据之间以及财务数据与非财务数据之间的比率和趋势,而内部控制通常是一些制度、程序,根本不存在数据之间的关系,所以,分析程序不能用于了解内控和控制测试中。
仅通过实质性程序无法应对的重大错报风险
如果认为仅通过实质性程序获取的审计证据无法将认定层次的检查风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。
F. 内部控制案例分析~
我的个人意见:
1.审计委员会,由总会计师兼任委员会主任;同时,成立本公司内部控制领导小组,由总会计师兼任组长,全权负责本公司内部控制的建立健全和有效实施;审计委员会必须保证客观,并与业务独立,由总会计师兼任是起不到对财务的监督控制作用。
2. 在完善公司人力资源政策方面,以业务能力作为选人、用人的决定性标准,培养一支能力过硬的职工队伍。纯粹以业务,不加以品德考核的选人容易 出问题
3.为了协调好内部监督与外部审计的关系,建议聘请与本公司合作关系较好的某会计师事务所为建立健全内部控制提供智力支持和咨询服务。并聘请该事务所开展内部控制审计。容易适成会计师事务所与经理层一同舞弊
G. 中航油案例, 从内控角度分析
二、原因分析
(一)控制环境失效
企业内部控制环境决定其他控制要素能否发挥作用,是内部控制其他因素作用的基础,直接影响企业内控的贯彻执行,是企业内控的核心。中航油事件正是由于内部治理结构存在严重缺陷、外部治理对公司干涉极弱导致的。“事实先于规则”,成为中国航油(新加坡)在期货交易上的客观写照。中国证监会的监管人士向媒体透露了这样一个经过:中国航油(新加坡)在2001年上市后并没有向证监会申请海外期货交易执照,后来证监会看到其招股书有期货交易一项,才主动为其补报材料。中航油用新加坡上市公司的身份为掩护同国内监管部门展开博弈,倚仗节节上升的市场业绩换取控股方航油集团的沉默,从而进入期货和期权业务;而监管方对此不仅没有追究到底,还放任其“先斩后奏”的行为,直至投机和亏损的真实发生。而中航油的董事会更是形同虚设,普华永道对公司董事会成员、管理层、经手交易员进行详细问询,出具了详细的调查报告。透过当事人之口,中航油(新加坡)这家一度被认为是“样板”的海外国企,内控混乱不堪、主事人不堪其任、治理结构阙如纸上谈兵。
(二)风险意识薄弱
中航油内部的《风险管理手册》设计完善,规定了相应的审批程序和各级管理人员的权限,通过联签的方式降低资金使用风险;采用世界上最先进的风险管理软件系统将现货、纸货和期货三者融合在一起,全盘监控。但是自2003年开始,中国航油的澳大利亚籍贸易员Gerard Rigby开始进行投机性的期权交易;陈久霖声称,自己并不知情。而在3月28日获悉580万美元的亏损后,陈久霖本人同意了风险管理委员会主任Cindy Chong和交易员Gerard Rigby提出的展期方案。这样,陈久霖亲自否定了由他本人所提议拟定的“当任何一笔交易的亏损额达到50万美元,立即平仓止损”的风险管理条例,也无异于对手下“先斩后奏”的做法给予了事实上的认可。
(三)信息系统失真
中航油(新加坡)通过做假账欺骗上级。在新加坡公司上报的2004年6月份的财务统计报表上,新加坡公司当月的总资产为42.6亿元人民币,净资产为11亿元人民币,资产负债率为73%。长期应收账款为11.7亿元人民币,应付款也是这么多。从账面上看,不但没有问题,而且经营状况很好。但实际上,2004年6月,中航油就已经在石油期货交易上面临3580万美元的潜在亏损,仍追加了错误方向“做空”的资金,但在财务账面上没有任何显示。由于陈久霖在场外进行交易,集团通过正常的财务报表没有发现陈久霖的秘密。新加坡当地的监督机构也没有发现,中航油新加坡公司还被评为2004年新加坡最具透明度的上市公司。这么大的一个漏洞就被陈久霖以做假账的方式瞒天过海般的掩盖了这么久,以至于事情的发生毫无征兆。
(四)管理失控,监督虚无
中航油(新加坡)董事兼中航油集团资产与财务管理部负责人李永吉身,没有审阅过公司年报。其次,即使李永吉想审阅年报,也有困难。因为身为海外上市公司董事,他英语不好,所以不能从财务报表中发现公司已经开始从事期权交易。荚长斌兼任中航油(新加坡)董事长及中航油集团总裁。他强调,由于中航油集团并没有其他子公司在中国以外上市,所以董事的职责对他而言是不熟悉的。他指出,直到2004年11月30日,董事会一直都没有对陈久霖有“真正的”管辖权。与李永吉一样,荚长斌声称,语言障碍使得他对中航油(新加坡)缺乏了解和监管,而且,尽管身为中航油(新加坡)董事长,他的财务信息却来自位于北京的中航油集团财务部。同时,由于监事会成员绝大多数缺乏法律、财务、技术等方面的知识和素养,监事会的监督功能只能是一句空话。而内部审计平时形同虚设,这种监管等于没有。在经营过程中内部控制失效、董事会和监事会监督功能虚化、缺乏必要的内部审计,中航油的悲剧就这样产生了。
三、思考
中航油事件给大型国有企业敲响了警钟。目前,我国国有企业内部控制虽然存在一定的问题,但内部控制的重要性已经引起企业的重视。中航油内部控制的失败,更是引发了对国有企业内部控制的新思考:
(一)必须健全管理机构,理清管理职责。
现代企业制度中所有权和经营权的分离,导致经营管理者实质上拥有了企业控制权,由此管理者自己管理自己,自己监督评价自己,势必产生滥用职权、牟取私利、独断专行等后果。对内部控制而言,一个积极、主动参与的董事会是相当重要的。如何实现董事会对经理人员的监督,是企业日常监督中最为重要的环节。只有发挥董事会的作用和潜能,股东及其他利益团体的利益才能真正受到保护。
(二)应从细节控制转向风险管理。
企业内部控制制度不可能脱离其赖以生存的环境及企业内外部的各种风险因素。制定风险管理目标是控制过程的一个重要环节,因此,企业要在整个组织内部制定协调一致的目标,找出企业关键性的风险因素,进行风险评估,设置关键控制点。由于有限的管理资源和可观的控制成本,使得企业的精力不能放在所有的细枝末节上,所以,就要求董事会和管理层特别重视可能发生重大风险的环节,且将风险管理作为内控的最主要内容,从而提高决策者判断、控制和驾驭风险的能力。
(三)应从关注内控建立转向内控运行和评价。
中航油(新加坡)公司在设计内控时,也是花了相当大精力的,但在如何保证实施制度方面,却缺乏应有的措施。因此,内控必须要有一个监督机制来促使它的执行。内部审计是企业自我独立评价的一种活动,具有得天独厚的优势。它本身在企业中不直接参与相关的经济活动,处于相对独立的位置,但同时又处在各项管理活动中,对企业内部的各项业务比较熟悉,对发生的事件比较了解。公司的内部审计直接对董事会负责,任何重要的审计决策都经董事会批准。这既保证了公司内部审计的相对独立性,又保证了其权威性。在这样的前提下,内审部门通过对内控的审查和评价,可以从中找出控制薄弱点,发现内部控制不尽完善和执行无力之处,进而提出改进意见和措施,以监督其他控制政策和程序的有效执行。
(四)内控的对象应从基层转向高管。
中航油事件的致命原因从根本上说是个人权力过大,缺乏对个人权力的有效制约和监管,使得个人凌驾于制度之上,制度得不到执行。一个表面看起来制度规章明确、组织健全、人员齐备、技术先进的内控或风险管理体系,其在实际运行中能否有效管理风险和防止重大损失的发生,关键在于高层领导在这个体系中所发挥的作用。这不仅因为他们是内控的首要责任主体和最基础的推动力,更重要的是他们本身所拥有的绝对权力,所以高层领导必须纳入到以相互检查和权力制衡为基本原则的整个内控体系中,成为控制和约束的重要对象。否则,高层领导将具有超越内控约束的特殊权力,从而导致整个内控或风险管理机制形同虚设,从根本上丧失有效性。