论内部控制理论的发展对企业内部控制的新要求
自从2001年西方市场上会计造假丑闻被披露以来,整个市场和经济环境立刻形成了对企业规范和遵规程度的压力,基于企业自身的控制体系和风险对应措施被日益重视,一个持续有效并可动态再造的内控体系正在理论界逐步成形。在我国,大部分企业的内部控制体系尚处于刚起步或待完善阶段,内部控制理论的新发展,给实践中企业内部控制系统的设计和改进提出了新的要求。我国企业应当积极调整和完善自身的内部控制体系,以此更好的适应市场和时代的发展。 一、内部控制理论的发展趋势和特点 (一)研究背景 2001年11月,安然公司财务丑闻曝光,6个月后,世界通讯公司再度爆发丑闻,由此引发的多米诺骨牌效应,造成了这一期间美国有338家上市公司,总计4093亿美元的资产申请破产保护。这些事件的始作俑者都是公司的高管,而事件发生的根本原因,在于公司治理和内部控制存在缺陷。 为了挽救投资者信心,避免类似安然事件的出现,2002年7月30日,美国国会紧急出台了公司改革法案《萨班斯―奥克斯利法案》。在法案中明确了上市公司高管对公司报告真实性所应承担的责任,提出一系列完善公司治理和内部控制、增强CPA独立性、加强对上市监管的措施和办法。 2004年美国COSO 委员会提出了《企业风险管理――整合框架》,进一步强调了风险因素在内部环境中的作用,提出风险管理原理、风险文化、风险偏好等因素。ERM 框架的提出,标志着现代内部控制理论框架的正式确立。 (二)趋势及特点 与传统的内部控制理论相比,内部控制逐渐呈现出整体性、目的性、层次性、动态性等系统化特性,形成趋向于自我调整、自我平衡的内部控制系统。 1.战略性 1992年COSO报告总结出经营目标、财务报告目标、遵循性目标三目标论,2004年ERM将企业的最高目标――战略目标纳入其中,形成四目标论。在新的内控框架中,由于引入了管理层经营方式、经营哲学、审计委员会等环境因素,内部控制涉及到治理层,形成了以董事会为主体的战略控制,以管理层为主体的管理控制和以员工为主体的作业控制三个层次。三个层次的控制紧密联系、相互影响,一般情况下,通过作业控制和管理控制两个层次的组织内控制实现对组织的控制――战略控制。战略控制的提出,既体现了内控理论向整体性和战略高度发展的趋势,又反映了内部控制体系层次化的要求。 2.开放性 系统论的创立者贝特朗菲将系统定义为处于一定的相互关系中并与环境发生联系的各组成部分的总体。近年来的内部控制理论,越来越重视内部控制环境的作用。1988年美国注册会计师协会发布的《审计准则公告第55号》首次将控制环境纳入到控制的要素中,指出内部控制环境包括管理哲学与经营方式、组织结构、审计委员会、人事政策和程序、授权和分配责任的方法、内部审计部门、外部影响。1992年COSO报告加重了人在内部控制环境中的作用,指出内部控制环境还应包括员工的诚实性和道德观、员工的胜任能力、管理当局的理念和经营风格、董事会,但是取消了外部影响的因素。1998年巴塞尔银行监管委员会在《银行组织内部控制系统框架》的控制环境巾增加了激励与诱导机制、精神指导等因素。2004年COSO委员会ERM进一步强调了风险因素在内部环境中的作用,提出风险管理原理、风险文化、风险偏好等因素。企业的内部控制系统处于一定的环境当中,并适时的与这个控制环境发生着信息和能量的交换,控制环境对内控体系的影响与日俱增,加强环境控制已成为内部控制中的重要方面,这一点已成为理论界的明确共识。 3.动态性 近年来,理论界逐渐意识到并开始强调内部控制体系动态平衡的特性。1992年COSO报告首次将内部控制定义为“为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程”。这一概念中,内部控制被认定为是嵌入到企业经营活动的过程,是使企业的经营依循既定的目标前进的过程,而不再是附加或凌驾于其上的过程。2004年ERM将内部控制框架融入其中,基于风险管理的内部控制并不是一个事项或环境,而是渗透于企业各项活动中的一系列行动,这些行动普遍存在于管理者对企业的日常管理中。内部控制成为企业整体化管理中的一个重要组成部分,持续地流动于各层级主体之间,贯穿于企业各个层级、各个单元的日常活动中。 4.融入风险管理 ERM 框架继承和发展了1992年COSO的IC框架,提升其中风险评估要素的下级要素为目标制定、事项识别、风险评估要素,新增了风险反应要素;提出了风险容量、风险组合观和风险管理理念,并建议企业设立风险管理机构。在ERM中,公司不仅可以借助企业风险管理框架来满足其内部控制的需要,还可以借此转向一个更加全面的风险管理过程。从新的COSO框架对企业内部控制的完善来看,企业内部控制逐渐呈现与风险管理趋近和一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制,从内部控制走向风险管理。 二、对企业内部控制体系构建的要求 (一)加强不同层次间联系,提高体系的战略性 战略控制的提出,给企业的内部控制提出了两个方向的要求。首先,企业应当从战略的高度重新审视内部控制。内部控制不再只是管理层制定的条条框框,或是作业层执行的规范准则,而应该是涉及公司的治理层的一种治理行为和政策要求。内部控制应当不仅是企业的规章制度,更应该成为其战略实施的有效工具,公司的制度建设、管理理念建设、员工意识形态建设等方面都应该积极的体现这一点。其次,内部控制的战略实施,要求企业的管理层和作业层的紧密结合,即通过作业控制和管理控制的'共同作用来实现战略控制。具体来说,就是内控制度的制定和执行应当相互联系,相互影响。在作业层具体执行公司财务制度、预算要求,授权过程的时候,要对其执行的效果和制定的依据有一个及时地反馈。通过适时的反馈机制,加强不同内控层次间的联系,保证内控体系的有效性,保证企业战略实施的有效性。 (二)重视内控环境的建设,提高系统的开放性 控制环境是内部控制的核心,它直接影响到公司内部控制的贯彻执行以及公司内部控制目标的实现。在实践当中,企业的内部控制环境通常涉及到以下几方面:公司治理结构、组织结构设计、人力资源政策、企业文化、员工价值观、经营者理念、风险容忍能力等。新的内控理论发展趋势,要求企业不仅仅注意到以上这些企业内部的环境因素,还应该把控制的范围和视角延伸到企业外部,如经济、法律制度的变化,上游供应商的经营状况,企业竞争的激烈程度、市场对企业创新需求等影响因素。也就是说,传统的内部控制系统把控制局限于一个企业之内,而新的理论发展正在逐步突破这一局限。完善企业的内控体系来适应这一趋势,就要求要提高内部控制系统的开放程度,控制的范围突破组织的界限,延伸至价值链、价值网等价值创造的全过程。具体来说,就是企业应当进一步将内部控制的实施范围扩大到供应管理,销售管理,合同管理的环节,并与上下游企业积极的协调沟通,保证控制的有效性。 (三)做细做实关键控制点,贯彻全过程控制 在新的内部控制框架中,控制对象为企业全面风险,范围为企业全部活动,主体为企业全体人员,目的为实现企业全方位目标。 首先,全过程控制要求企业不断细化其论内部控制理论的发展对企业内部控制的新要求控制制度,不放过任何可能导致控制漏洞的关节和流程,全面梳理现有规章制度,进一步完善生产经营业务、财会业务、中间业务等各项业务管理制度,整合业务操作流程,构筑起面向全企业、覆盖所有业务和涉及业务全过程的内控管理体系,构筑起全方位、立体交叉的监督管理网络,让企业员工在从事任何与企业相关的活动时都能感到有法可依,有章可循。 其次,全过程控制要求企业加强关键点控制,对于每个部门或工作流程中关键点都要做细做实,以保证全过程控制的效率和质量。 再次,全过程控制要求企业夯实内部控制的信息基础。加强信息采集的管理,完善信息报告的机制,是企业深化细化内部控制的先决条件,也是企业完善内控系统的基础工作。 (四)积极倡导机制创新,科学融合风险管理 首先,建立风险管理组织机构。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的因素,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。 其次,建立风险预警系统。企业进行风险控制的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警,以实现公司的经营目标。 第三,完善风险紧急处理机制。企业在经营过程中,有时会遇到一些突发的事件,如果处理不当,可能会带给企业巨大的损失。甚至可能会给企业带来灭顶之灾。比如三株集团,当时的管理层在处理这一紧急事件中明显举措不得力,使得企业走向破产。因此企业应针对紧急事件,建立危机处理中心,确定小组成员,在紧急事件发生时,制定应对危机的行动计划,并且提供完备而顺畅的通讯设施,在组织内部进行充分的信息沟通,从而把紧急事件可能带来的风险降到最小化。 (作者单位:胜利油田)
【论内部控制理论的发展对企业内部控制的新要求】相关文章:
论企业内部控制01-20
企业内部控制理论的发展与启示(上)论文01-20
企业内部控制理论的发展与启示(下)论文01-20
论企业内部控制体系07-20
论内部控制01-20
论现代企业内部控制制度设计07-20
企业内部控制理论探源 (1) -管理资料01-01
企业内部控制的创新01-20
企业内部控制制度01-01