2004年年底,COSO委员会针对国际企业界频繁发生的高层管理人员舞弊现象,结合美国2002年颁布的《萨班斯-奥克斯利法案》的相关要求,废除了沿用很久的传统企业内部控制报告,颁布了一个概念全新的报告,即《企业风险管理——整体框架》。该报告明确提出了企业的终极目标是增加利益相关者价值,并在内部控制的内涵、目标、要素等方面有了显著的变化。该报告在对内部控制的定义中明确了以下内容:(1)是一个过程;(2)应用于战略制定;(3)贯穿整个企业的所有层级和单位;(3)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(5)为了实现各类目标。另外新报告还新增了目标制定、事项识别、风险反应3个要素,修改了控制环境要素,将内部控制要素由5个发展为8个,即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通和监控。
1.当前我国企业内部控制存在的问题
1.1 控制环境不理想
COSO认为内部控制环境主要指企业的核心人员以及这些人的个别属性和所处的工作环境,包括个人诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源的政策与程序。它提出的控制环境是实行内部控制的基础和前提,控制环境是内部控制的核心,它直接影响到公司内部控制的贯彻执行,以及公司内部控制目标的实现。内部控制可分为内部环境和外部环境。内部环境不完善,主要表现在公司治理结构权责不分,导致内控组织虚设或根本没设;一股独大;董事长与总经理重合;人事政策不相匹配;独立董事与内部审计形同虚设。
1.2 控制活动不当
控制活动是管理当局为了确保其指令被贯彻执行而制定的各种措施和程序。尽管我国绝大多数上市公司都建立了内部控制制度,但是,目前相当一部分企业对建立内部控制制度不够重视,内部控制制度残缺不全或有关内容不够合理,会计岗位设置和人员配置不当,业务交叉过杂,会计人员兼职过多,职责不明;会计的事前审核、事中复核和事后监督流于形式;部分企业没有建立内部审计机构,已建立内部审计机构的企业也未能充分发挥应有的作用,内部审计工作得不到应有的重视和支持。更多的是有章不循,将已制定的企业内部控制制度印在纸上、挂在墙上以应付有关部门的检查,而不知内部控制制度执行情况如何,遇到具体问题多强调灵活性,使内部控制制度流于形式,失去了应有的刚性和严肃性。
1.3 信息沟通不畅
信息系统是指记录、处理、归纳、报告单位经济业务、相关资产、负债及所有者权益的记录及方法。信息系统不仅能够使经营者了解竞争对手的经营状况,财务成果,了解市场的发展变化,而且还应借助于财务报告等形式向社会提供必要的信息,主要是会计信息。内部控制不完善,会造成会计信息失真,违法违纪现象时常发生,有的企业人员利用内控不严的漏洞,大量收受贿赂,贪污公款,挪用或盗窃资金,或与企业外部不法商人相勾结,利用虚假发票非法侵占企业资金,致使国有资产遭受重大损失。
1.4 监督弱化问题较严重
近年来,企业的内部审计取得了长足的进展,并成立了内部审计机构,但仍然存在很多问题。其主要表现为内部审计人员切身利益直接受所在单位控制,内部审计在本单位主要领导人直接领导下对其负责并报告工作。客观上造成内部审计为本单位利益服务的依附性,工作质量直接受单位领导的制约。内部审计的独立性也就只能取决于单位领导的认识水平和廉洁自律程度。外部监督乏力。政府监督和社会监督作为企业外部监督体系,也不尽如入意。
随着市场竞争日益激烈,内部控制理论必须不断发展,不断创新,更好地适应新的社会经济环境,为企业创造经济效益,最大限度地发挥内部控制的作用。本文提出以下具体对策。
2.1 树立以人为本的管理新观念
企业的发展与命运前途不仅取决于其资产的规模和设备的先进,而是更多地取决于其员工的素质和能力的发挥。控制环境是企业内部控制的一个重要组成部分,是由企业全体职工,主要是企业管理者所造就的,是充分有效的内部控制体系得以建立和运行的基础和保证。能否充分有效地发挥人的主观能动性,重视人的价值,提升人的能力作用,是内部控制制度健全性的体现。要解决人的思想问题,在思想观念上要转变旧的观念,树立以人为本的管理新观念。围绕人的价值理念来展开企业内部控制活动的各项内容,协调企业内部控制中的环境控制关系,创造良好的环境氛围,使企业内每个职工都以主人翁的态度参与企业管理,充分调动人的积极性和创造性,最终实现企业的发展。
公司面临的经营风险和财务风险不断增加,风险程度不断提高,导致公司破产不断出现。在建立与发展现代企业制度的同时,公司舞弊防范、经营和财务风险的防范成为现代企业制度必须解决的问题。对风险的控制不仅面向过去,而且也面向未来,风险管理不仅贯穿于作业层次也贯穿于管理层次,不仅贯穿于战术层次也贯穿于战略层次,不仅贯穿于执行层次也贯穿于决策层次。企业风险管理涉及企业全要素、全过程、全层次的风险控制。既然把风险本身作为一个特定的要素进行管理,就必然涉及风险管理目标的设定、风险识别、风险评估和风险应对一个完整的风险管理过程。事实上,在内部控制中,每一个被控风险要素都必须经历这4个风险管理的环节,也就是风险管理程序。以风险控制为主线,以全员、全要素、全过程的造假、私吞、违规和非理性行为的风险为控制内容,构成一个风险管理的有机整体。因此,企业应该建立专门的风险监控部门或风险监控机制,风险监控管理机制应该包括这样几个方面:风险预警机制、风险分析桃制。风险管理机制和风险责任机制。风险监控机制要能有效运转,它必须以建立灵活高效的信息系统为前提。
2.3 加强社会监管
企业发布的会计信息,对社会的各方面都会产生重要的影响,因此,社会各方包括社会公众、国家各职能部门、会计师事务所等都应发挥各自的监督作用。一方面发挥社会监督的作用,积极提倡、鼓励社会公众参与监督,如广大投资者、债权人、银行、新闻媒体、社会职能部门等。通过这些社会相关者的合力监督使企业始终位于这种软约束中,从而增强企业的内部控制水平。另一方面社会对企业的会计监管主要来自于注册会计师的独立审计。在我国的独立审计具体准则中有单独的内部控制审计准则,但是准则中对内部控制的测试是基于会计报表审计的需要。通过对内部控制的符合性测试,来确定实质性测试的性质、时间和范围。准则中对内部控制测试的要求并不是强制和必须的,而是注册会计师根据企业内部控制情况做出选择的。美国规定上市公司审计师必须对管理层的内部控制评估报告进行审计,并发布了新的审计准则,提出对公司财务报告的内部控制报告进行审计的具体规定,这是值得我国借鉴的。应修订我国的独立审计准则,从注册会计师负有对公司内部控制监管责任的角度出发,来制定内部控制审计的独立审计准则,发挥社会监管的作用。再有就是提高检查监督部门的监督质量和水平,提高有关从业人员的业务素质和职业道德水平,加强注册会计师的行业自律。从技术上防止企业造假,并提高对企业造假的识别能力。
2.4 加强企业内部控制能力
内部控制能力将成为企业最重要的能力之一。完善企业内部控制制度建设必须关注企业能力体系的变化。更加注重决策能力、管理能力、融资能力、投资能力、合作与沟通能力、战略决策能力、开发设计能力、形象策划与品牌建设能力、自我调整与自我完善能力、创新与拓展能力、信息传播能力和风险预警能力等。更多地侧重于企业的经营者、融资来源渠道、投资合作空间与伙伴的选择、企业文化品质、中介组织、专家智慧、媒体宣传和造势、可利用的政策支撑空间等。在所有这些能力之上的是企业的制度能力,这是当今经济条件下企业最重要的能力。只有通过加强制度能力,才能提升和整合其他能力。
总之,内部控制问题是一个综合性问题。内部控制是在管理及管理学发展的基础上产生的,并推动管理科学的进一步完善。