【摘要】正确認知其概念和特征是建立健全并有效實施内部控制的前提。然而,實踐中人們對内部控制與風險管理存在着這樣或那樣的認知誤區,影響着内部控制與風險管理建設的效率效果,從而阻礙内部控制目标的實現。内部控制不是一項職能管理,不等于制度建設和會計控制,不是針對基層崗位和普通員工的控制,而是一項全面風險管理活動。内部控制的目标不是相互牽制以糾錯防弊,也不是為了消除風險,也不能認為内部控制越嚴格越好、規章制度越多越好。
【關鍵詞】内部控制;風險管理;會計控制;認知誤區
當今世界是一個不斷變化的世界,特别是突發公共衛生事件的發生,使得世界進入百年未有之大變局。變化就意味着不确定,意味着風險。針對風險需要實施控制。内部控制(Internal Control)是對各種可能影響組織目标實現的風險因素進行分析和應對,從而幫助組織實現目标的過程。内部控制是一個非常重要的管理術語,是促進組織實現戰略和運營目标的關鍵,是推進組織各項活動、管理有序高效運行的内在要求。内部控制及其成效事關企業興衰成敗。自安然、世通等系列财務醜聞爆發以來,美國、歐盟等很多國家和地區組織,相繼頒布法規,從立法角度強化了企業的内部控制建設責任。然而,實踐中人們對内部控制與風險管理存在着這樣或那樣的認知誤區,影響着内部控制與風險管理建設的效率效果,從而阻礙了内部控制目标的實現。
認知誤區之一:内部控制就是一系列規章制度和表單
實務中,有人将管理制度等同于内部控制,認為企業為了防止差錯和舞弊或應對檢查而制定的各項規章制度就是内部控制,具體散見于各種書面文件。有人認為做好内控建設就是制定各項規章制度,做好責任分工,完善授權審批制度就是做好内控,将内控與制度建設劃等号。這都是人們對内部控制存在認知偏差的具體表現。
“控制”翻譯成英文,即為Control。在英語中,它除了有控制之意,還有管理、檢驗、核實、支配、監督、指導等涵義,内部控制即企業應規範監督企業生産經營活動,提升效率效果,以便達成組織既定目标。
内部控制的内涵遠不僅僅是作為規章制度存在,而是對影響目标實現的風險進行識别、分析和應對,幫助組織實現目标的過程。内部控制建設涉及組織從設計、執行與評價到改進等一系列動态持續的過程。盡管内部控制設計的有形成果大多表現為政策、制度、流程和表單等靜态的規章制度,但這并是内部控制的全部。内部控制建設除了制定規章制度,應更注重各項規章制度的具體執行過程及效率效果。内部控制建設絕不等同于制度建設,而是要建立健全有效的内部控制框架,是基于一定内部控制框架下的全面風險管理活動。制度建設是内部控制的基礎,但不能一味強調制度建設而忽視了企業文化建設。根植于道德和文化的内部控制活動對企業的影響才是持久而深遠的。一個企業先進的管理哲學與經營風格、員工正直的品行與良好的道德價值觀等軟環境有時候比硬性的規章制度更為重要。COSO委員于2017年9月發布的《企業風險管理框架——與戰略和績效的整合》在對風險管理定義時,就直接将風險管理從“一個流程或過程”提升為“一種文化、能力和實踐”。
認知誤區之二:内部控制就是糾錯防弊,相互牽制
内部控制采用了内部牽制的思想,其基本原理可表述為:兩個或兩個以上的人或部門合夥舞弊或共同犯錯的可能性會遠遠低于單獨一人或者一個部門的可能。内部牽制為阻止錯誤、預防舞弊及其他非法業務的發生,運用不相容職務的分工、相互牽制與制衡、各種賬目相互核對等手段進行控制。
現代企業内部控制早已突破内部牽制的範疇,相應地,内部控制目标也不再局限于預防差錯和舞弊,而應是以提高運營的效率效果為核心,以最終實現公司發展戰略和可持續發展為最高目标的一個多目标管控體系。“糾錯防弊”這一内部控制定位,扭曲了内部控制的本質,并人為縮小了其範圍和作用。現代企業内部控制的内在理念已經由制約理念提升到可持續發展理念,預防差錯和舞弊作為較低層面的控制目标已經融入其他幾類目标之中,無須單獨提出。
認知誤區之三:内部控制的目标是為消除風險,杜絕差錯和舞弊
内部控制是對影響企業目标實現的各項風險進行有目的的識别、分析及應對,風險則意味着不确定性。風險不确定性帶來的影響可能是正向的,也可能是負向的,還可能正負效應兼而有之。我們一般将具有負面效應的事項稱為風險,将具有積極效應或可抵消風險負面效應的事項稱為機會。風險應對應積極降低負面影響,放大正面影響,以實現風險應對的目标。内部控制并不是要消除風險,而是通過積極主動的風險管理,在權衡風險與收益的基礎上,将剩餘風險降低到企業可接受水平。風險的可接受水平是企業願意接受的風險水平。企業資源總是有限的,風險應對的目标并不是要一味地降低或消除風險,事實上絕大多數風險是無法消除的,一味地強化控制,追求風險的無限降低可能不符合成本效益原則,隻要使控制後的剩餘風險降低到可接受水平即可。企業要正确認識和把控風險與機會的平衡,既要重視風險的應對,又要善于抓住機會。既不能忽視生産經營過程中面臨的高風險而片面追求高收益,也不應由于恐懼風險而畏首畏尾,與發展機遇失之交臂,應防止和糾正由激進主義和保守主義誘發的行為。
另外,即使内部控制各項工作均很完美,也不可能完全杜絕差錯和舞弊。現實中,有可能由于員工串通合謀或管理層淩駕,甚至是員工判斷失誤等内部控制固有局限而導緻差錯或舞弊發生。
認知誤區之四:内部控制是針對基層崗位和普通員工的控制
内部控制對象是風險,而非基層崗位和普通員工。内部控制的責任主體不僅僅包括董事會、監事會和經理層,還包括全體普通員工。普通員工應對與自身工作相關的崗位操作風險負責。每個員工不僅要對自己的業務和績效負責,還要承擔與自己工作和業務有關的風險防控責任,要均衡風險和收益的關系。所有員工都要一手抓工作和業務,一手抓相關風險的防控。企業要加強對業務部門、業務人員和普通員工進行風險管理相關知識的培訓和專業支持,并持續督導以提升普通員工對操作風險的識别、分析和應對能力。如果普通員工認為自己是被控制的對象,就會限制其在内部控制建設中的積極性和主動性。
當然,在内部控制建設中,董事會和管理層發揮着領導和示範作用,有責任建立并維持恰當的高層基調,制定并遵循行為準則。從風險責任歸屬來看,董事會應對企業戰略風險、“三重一大”決策(重大決策、重大事項、重要人事任免及大額資金使用)等承擔責任,還應對設計、實施并維護有效的内部控制與風險管理機制負有總體責任;監事會以董事會、經理層及其他高級管理人員為主要監督對象,監督其履職合規性和勝任能力等;管理層和職能部門則主要對經營管理風險負責,并協助完成業務活動層面風險控制;企業各業務部門對業務層面風險管理負主要責任;普通員工對自身操作風險負主要責任。
認知誤區之五:内部控制等于内部會計控制,是會計部門的事
我國經曆了很長一段時間的發展才形成相對完整的内部控制規範體系,之前有人錯誤地将内部控制等同于内部會計控制,事實上,内部會計控制隻是企業内部控制的一個發展階段。直到2008年5月頒布的《企業内部控制基本規範》以及2010年4月發布的《企業内部控制配套指引》等一系列内部控制規範及指引出台,才表明我國企業内部控制規範體系基本形成,并最終取代了原有内部會計控制規範體系。現實中,企業的内部控制建設工作一般由财務部門牽頭,并由财務部門及其工作人員具體負責實施内部控制相關事宜。很多人據此認為内部控制就是内部會計控制,是會計部門的事,與自己無關。也有部分企業僅将自己的内部控制定位在會計領域。企業應提升對内部控制的認識和定位,内部控制作為一項系統性工程,不是某一部門的事,應調動全員參與内部控制。内部控制是涉及全員、全方位和全過程的管理活動。
誠然,内控建設中财務部門發揮了中流砥柱的作用。内部控制目标中的報告目标、資産目标及合規目标等都與會計工作直接相關,會計系統控制是重要的控制活動和控制手段。會計工作既要管控好自身的報告風險、合規風險和資産風險,又要為企業各項控制活動提供支撐。在信息與溝通、内部監督等方面,會計部門和會計人員同樣發揮着重要作用。可以說在内部控制建設中,會計部門是最重要的職能部門之一,但不能就此認為内部控制就等于内部會計控制,隻是會計部門的事。
認知誤區之六:内部控制建設可以一勞永逸,開始費點勁以後就輕松了
内部控制建設是一個動态的持續改進過程。當今世界是一個多變的世界,利率、彙率、物價、客戶信用、市場競争、工藝技術等時刻都在變化,這些變化對内部控制與風險管理提出了更多的挑戰,企業應根據内外環境變化、企業管理要求及業務職能變化等,适時調整和完善自己的内部控制體系。
管理的基本邏輯是:明确目标→分析現狀→确認差異→改進提升。實踐中,企業可以按照這個邏輯開展内部控制建設工作。内部控制與風險管理應精益求精,對于已經搭建起内部控制體系的企業而言,應着重跟進有效執行和持續改進,健全内部控制體系,提升内部控制有效性。企業需要通過持續監督、單獨評估或兩者并用進行持續改進和提升。企業可借鑒PDCA循環進行内部控制體系建設。其中,PDCA是英語單詞Plan(計劃)、Do(執行)、Check(檢查)和Action(處理)的首字母,PDCA循環是按計劃—執行—檢查—處理的順序進行内部控制的檢查評估和持續改進。P可以理解為内部控制的設計,D表示内部控制的實施和執行,C表示對内部控制體系的監督檢查和缺陷評估,A表示對内部控制缺陷的修複和薄弱環節的改進。
企業在改進和提升内部控制效率效果的過程中,應結合實際,以提高企業生産經營和管理活動的效率效果為核心,以風險管理為導向,以流程構建為基礎,将重點放在關鍵控制點識别上,确保全員參與、全業務覆蓋、全過程監控。
認知誤區之七:内部控制越嚴格越好,規章制度越多越好
實務中,部分企業認為内部控制越嚴格越好,規章制度越多越好,還有的企業将内部控制執行的有效性體現在懲罰力度上,以罰代控。事實上,控制環節越多、控制措施越嚴格、規章制度越多,控制成本也越高。
内部控制的核心是人,一個人的品性是較難把握和控制的,也是内部控制不可忽視的方面。企業員工素質的高低與控制制度的多寡及控制措施的嚴松是反向變動的。人力資源質量越低,所需要的控制就越多;反之,人力資源質量越高,所需控制則越少。内部控制并不是控制越嚴格越好,“無為而治”才是内部控制的最高境界。換言之,實施内部控制之後,員工專業素質過硬、思想道德修養水平高、具有集體主義精神、能自覺遵守規章制度,企業運行高效,這樣的内部控制才是成功的。在内部控制建設中,規章制度是基礎,正直、誠信和道德操守則是内部控制的靈魂,能夠提升員工主動性,化被動為主動,進而達到“無為而治”的最高境界。隻有将制度的“硬約束”有機融入“軟約束”中,才能最終實現企業内部控制目标。因此,企業應重視軟環境培育和建設,堅持以人為本,才能最終形成企業内部控制的強大合力。
認知誤區之八:内部控制是企業内部的事,用不着外人來管
股份制的快速發展導緻企業所有權與經營權分離,投資人往往并不直接參與企業生産經營與管理,這就需要内部控制來保護其投資的安全,保證其資産的保值增值。作為企業資金的重要來源,銀行等債權人也希望企業能夠建立并保持良好的内部控制,穩健經營,以便及時還本付息。證券監管、工商稅務等政府部門也希望企業能有良好的内部控制,以促進企業合法經營、利潤穩定增長。同樣,其他利益相關方,如供應商、客戶、消費者、當地社區等也都希望企業有良好的内部控制,能夠長期合作,以維護自身利益。
若内部控制不到位,則可能造成企業自身經營和管理的混亂,以至于無法實現自己的目标,同時也會影響包括投資者、債權人和政府等利益相關者。因此,建立并實施内部控制,不僅僅是企業自己的事情,其外部性要求政府加強對企業内部控制的監管,注冊會計師也要相應提高内部控制審計的質量。
認知誤區之九:有了内部控制就可以萬事大吉,高枕無憂
人們對事物的認識是一個不斷深化的過程,其不可能設計出無任何缺陷的内部控制體系;出于成本效益的考量,企業在建立内部控制體系時,不能事無巨細,面面俱到;由于企業環境不斷變遷,内部控制還具有時效性。面對新業務,原有舊的内部控制體系可能顯得無所适從。企業戰略和運營目标的實現取決于許多因素,内部控制雖然非常重要,但隻是其中一個方面,是企業戰略和運營目标實現的必要而不是充分條件。有些企業的内部控制非常健全有效,執行的效果也很好,但一旦遭遇突發事件或外部災害就可能使得運營目标和企業戰略無法實現。因此,内部控制隻能合理保證企業控制目标的實現,且合理保證不同于有限保證,也不是絕對保證。有限保證是很低程度的保證,是不作為情況下的一種消極保證。合理保證是一種積極保證,是一種很高程度的保證,做了大量的工作仍然無法絕對保證組織目标的實現。
認知誤區之十:内部控制與風險管理是相互獨立的兩套體系
風險即未來影響組織目标可實現性的各種不确定性因素,這些因素可能導緻實際與預期目标之間的差異。風險管理則是對企業面臨的各項風險進行有效識别、衡量、分析并适時應對的過程。内部控制是為實現企業目标而對相關風險實施控制的過程。
有關内部控制與風險管理二者關系的認識也在不斷深入。我國《企業内部控制基本規範》和COSO《内部控制——整合框架》均強調将風險的識别、分析和應對歸為風險評估,認為風險評估是企業内部控制的要素,内部控制的範疇應該更大。但COSO委員會2017年版的風險管理整合框架卻認為風險管理涵蓋範圍更廣,風險管理包含了内部控制。雖然二者有區别,但我們認為應将兩者整合發展,即融為一個有機整體,淡化對兩者的區分和關系研究。在實際工作中從工作内容、目标、要求以及具體工作執行的方法、程序等方面,将兩者結合起來,避免出現“兩張皮”或職能交叉現象,以免造成企業資源浪費。隻有将二者有機融合,才能充分将内控要求、發展戰略和企業管理理念與企業各業務流程、制度規範等有機融合,推動企業管理向體系化管理、過程監督和全流程管理轉變,促進管理水平提升和企業可持續發展。
為直觀認知内部控制與風險管理,可用下圖來描述内部控制的概念及特征。
内部控制與風險管理是促進組織目标實現的關鍵所在,是企業各項經濟管理活動實現高效、有序運行的内在要求。由于種種原因,實踐中人們對内部控制與風險管理的認識存在着這樣或那樣的誤區,直接影響内部控制與風險管理制度建立和實施的效率效果,從而阻礙了内部控制目标的實現。正确認知内部控制與風險管理的概念和特征,避免陷入各種認知誤區,對提高内部控制與風險管理的有效性具有重要意義。
現代企業内部控制已由單純規避損失的傳統風險管理轉向能夠創造價值的全面風險管理。良好的内部控制體系能夠将企業發展戰略、管理理念、控制要求有機融入公司治理、企業文化、崗位授權、制度規範和業務流程中,通過風險評估、信息與溝通、監控與評價、缺陷改進等活動,推動企業風險管理水平的全面提升。