论中国企业内部控制评价制度的现实模式
?一、引言
?2008年6月28日,财政部、证监会、审计署、银监会和保监会联合发布了《企业内部控制基本规范》;2010年4月26日,上述有关部门又联合发布了企业内部控制配套指引,从而标志着中国企业内部控制法制化体系已初步形成,中国企业在内部控制制度建设方面取得了决定性成果。随着《基本规范》及其配套指引的颁发实施,社会各界对中国企业内部控制的实务发展及其现实效果寄予了很高期望,认为这是中国版萨班斯(SOX)法案,其规定的细化程度和与现实的贴近,远胜于美国萨班斯法案,对中国企业建立健全内控制度进而推进全面风险管理实践具有巨大的促进作用,可以为中国企业走向国际提供安全保障。但无可否认,《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点,如何从宏观上有效地促进并引导企业提高内控水平,还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》,借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前,如何建立中国企业内部控制评价制度,理论与实务界仍有诸多不同的看法。本文专门探讨中国企业内部控制评价制度的基本框架及模式,期望为深化这一领域研究提供一些思考。
?作者的基本观点是,《中国企业内部控制评价制度》采取何种制定模式并不重要,不论是政府主导,还是民间自律,或是政府与民间共同努力,其目的都是一样的,为了满足全社会范围内评价一个企业内控制度是否有效及其水平的需要。至于这种评价制度是否具有权威性,并不取决于由谁主导制订颁发,而取决于该制度是否真正地抓住了中国现阶段企业内控所应关注的问题及层面。
?二、研究的基本问题与理论前提
?本项研究试图对以下三个问题提出我们的看法。
?(一)内部控制评价的范围界定
?放眼国际,有关内控评价的范围有两大口径。
?1.财务报表内部控制口径
?这是审计界公认的做法。也可以说是审计职业对内控评价制度的一大贡献。这种做法在全球范围内得到较大的认可,以至于震撼世界的美国SOX法案404条款,即“管理层对内部控制的评价”也置于“强化财务信息披露”要点之下,很显然,这种意义上的内部控制仅是为了保证财务信息披露质量而存在的。其后,根据SOX法案成立的PCAOB(美国公众公司会计监督委员会)在实施SOX法案302与404条款时,沿袭了内部控制即财务报告内部控制的说法,其制定的2号准则及其后补充修改的5号准则中,明确“内部控制评价就是对财务报告内部控制有效性作出评价”。美国证券委员会(SEC)在“最终规则”中,就内部控制为什么定义为“财务报告内部控制”作出了详尽说明,最终得出了这样一个不算严谨但可以理解的解释:“财务报告内部控制”这一术语是公司和审计师普遍使用的术语,在日常生活中,内部控制就是财务报告内部控制,也充分体现了SOX法案的立法目的。SEC一再申明,根据SOX法案404条款所引发的内部控制问题,仅是指财务报告内部控制,而不包含COSO定义中与公司经营和效率及公司遵守适用的法律法规有关的内容。历史地看,由于内部控制这一术语首先出自会计行业,尽管内部控制在实践中往往会超越公司会计职能,但事实上能说清楚的内部控制概念,可能只在会计行业内部,以至于可以认为,内部控制只是财务报告内部控制的简称,讲内部控制肯定针对财务报告而言,离开了财务报告领域,内部控制的概念难以成立。如此而言,COSO的内部控制定义似乎一开始只是存在于理论上的一个界定,在实践中至今未得以存在。
?2.全面内部控制口径
?这种理论源于著名的1992年COSO报告,完整的内部控制应涵盖“财务报告、经营业务及遵纪守法”三方面。如上所述,虽然COSO报告在内部控制领域已是一个里程碑式的文件,并得到理论界与实务界包括立法者们的普遍认可,但这种全口径企业内部控制制度未能在实践中形成成型的标准模式,因此可以认为COSO框架更多的是为人们引用,而远未应用。造成这种局面,可能与我们习惯地认为财务报告内部控制可以评价,而除此之外的内部控制尽管实践中很重要,但从社会层面统一评价却很难形成可比较和计量的标准直接相关。但是,现在看来这种说法和担心是难以服人的。撇开内控范畴,现有的管理实践也充分证明上述理由,即除财务报告以外的公司活动全社会难以统一评价的说法是不能成立的。例如,美国的国家质量奖(Malcolm Baldrige National Quality Award)自1987年创立至今,在“促进美国企业为荣誉而改进质量和生产率,同时增加利润和获得竞争优势;表彰那些改进了其产品和服务质量的公司成就,并为其他企业提供榜样;建立指南与准则,以使企业、政府及其他组织可以用来评估各自的质量改进活动的成效;通过提供获奖组织是为何变革其文化并实现了卓越绩效的详细信息,为其他希望高质量的组织提供具体的指导”中发挥了显著作用。美国国家质量奖创立之初,仅针对制造业,后扩大到服务业和小企业,以至于医疗和教育机构、军队、政府机关等均纳入评奖范围,几乎成了一项无所不包对美国各界均产生重要影响的奖项。其评价准则已成为美国乃至世界的“卓越绩效准则”(Performance Excellence Criteria)。其评价内容包括领导、战略策划、顾客市场、测量分析与知识管理、人力资源、过程管理、经营结果七个方面,总计1000分。这中间有相当一部分评价内容就是人们习惯意义上一再认为难以计量与评价的领域:非财务领域。既然如此复杂、千差万别的质量能统一评价,那么,作为企业都必需的内部控制,即使超越财务报告范围,为什么不能纳入社会评价范围呢?按我们的观点,固守财务报告内部控制的观点去确定内部控制评价的边界,人为地削弱了内部控制评价的社会功用,混淆了作为企业内部控制评价这一社会制度,与财务报告内部控制鉴证这一审计制度的界限。我们的观点,只有树立全口径内部控制评价的理念,才能在中国社会经济发展中真正地发挥内部控制评价制度的积极作用。令我们欣慰的是,《企业内部控制评价指引》在发布时采纳了全口径评价意见。
?(二)内部控制评价的要点(内容)
?这是目前争议很大但几乎是谁也说不清楚的一个话题。有两种绝然不同的思路。
?1.框架式评价
?这种评价对内部控制按其基本结构建立规范统一的评价模式,确定评价要点。这种认识的代表观点就是COSO框架。即按COSO五要素及其各要素的主要内容建立评价框架。这种观点在国际范围内得到较多认同。但是,任何理论观点及法律制度是否真正合理,不能简单地看得到多少人的赞成或反对,而应该聚焦其具体实施的效果及人们在实践中所作的现实选择。即使在美国,COSO框架也没有真正解决内部控制评价问题。美国管理会计师协会在SOX法案实施4年后即2006年7月,曾就COSO框架是否成为内部控制评价标准模式作了一项调查,围绕公司组织、CPA审计、内部审计三方面作出问卷,结果,公司组织38%、CPA24%、内部审计34%没有应用COSO框架;按公司规模,大企业34%、小企业54%未采纳COSO框架。受访者在回答COSO1992框架是否满足了SOX法案404条款的要求时,肯定与否定的比例均为1/3。在美国审计职业界,较为共识的看法是,CPA很难明确肯定他们的工作具备了总结出COSO1992框架中5个要素相关组成部分是否正常运作的具体标准,以至于对一个公司内控总体是否有效实难作出明确判断。SEC在2006年7月11日发布的概念解释中对此承认,COSO1992框架本身不足以保证管理层对财务报告内部控制(ICOFR)有效性作出一致的评价:“虽然COSO框架提供了一个包含内部控制要素和目标的整合框架,但它不够详细,没有提供管理层按照这一框架评估公司的ICOFR有效性时应采取的具体步骤。因此,我们认为COSO框架不是具体列举如何实施ICOFR有效性评估的指南”。这表明,试图以COSO框架作为设计内部控制评价要点的做法,实践中已陷入困境。问题关键在于,内部控制5要素下究竟应包括哪些具体内容,恐怕是一个很难找到对全世界所有企业都适用的统一模式。在中国,国有资产监督管理委员会课题组曾对中国企业内部控制基本框架提出了“12345”模型,即1个目标:提高经营效率和效果;2大类责任主体:董事会和管理层;3条建设主线:治理结构、财务控制和业务控制;4项基本要求:短流程、强支撑、高授权、大监督;5种保障措施:改善支撑环境、加强风险管理、完善制度流程、促进信息沟通、提高监督能力。但总的看来,这种概括过于口号式,作为教科书内容宣传可以,但作为一个指导企业内控制度建设的框架显然失之概括,不够实用,加上其内容前后之间重复,在逻辑条理性方面存在先天不足,因而很难形成对指导企业内部控制制度建设真正具有实在促进、示范意义的框架内容,更妄论便于评价分析。
?2.应急式评价
?这种评价按COSO5要素,分析各要素在现阶段中国企业存在的主要、突出问题,以这些问题作为评价的重点,形成评价要点框架。这种做法的理由,既然我们很难勾画出一个评价企业内部控制的规范模式,那么不如按大家熟悉的内部控制5要素,分析我国企业在5个内部控制要素方面存在的突出问题,把这些问题定义为可理解、可计量和可检验的评价标准,可以作为中国现阶段企业内部控制评价的主要内容。建立这样的社会性企业内部控制评价制度,可以唤起全社会对企业内部控制薄弱环节的极大关注,可以为中国企业在内部控制方面应予披露哪些信息提供一个非常有用的框架标准,可以引导企业自觉地改进内部控制。经过一段试行,若从全社会角度看,这些内部控制的薄弱环节普遍得到改善,则必将大大提高整个企业内部控制的水平。此时,再针对企业内部控制的新的薄弱环节,调整改进内部控制评价内容,如此不断重复,则必然会使中国企业内部控制处于一种持续改善的状态中。这正是我国建立内部控制评价制度的目的所在!这样的思路有两方面理由:其一,问题容易找,评价重点好确定;其二,评价能抓住要害,切中中国企业内控软肋,可以发挥内部控制评价快速提升中国企业整体内控水平的作用,也可免于陷入美国一揽子评价内控成本过大,导致社会各方难以接受从而严重削弱内部控制评价制度重要作用的不足,更重要的是这样做可避免中国企业内部控制评价流于形式化。这些评价要点的确定,必须遵循建立内部控制评价制度的基本要求。对此,美国SEC规定,一个合适的内部控制评价标准必须满足以下条件:(1)没有偏见;(2)允许合理地定性和定量分析公司的内部控制;(3)足够完整,没有忽视改变公司内部控制有效性结论的任何重要因素;(4)与对财务报告内部控制的评估有关。加拿大特许会计师协会对此的原则是:可理解,以避免该框架的潜在不同使用者对其作出显著不同的理解。借鉴这些现成原则,确定中国企业内部控制评价要点的具体内容就不再是难题。中国最终发布的《企业内部控制评价指引》,形式上采纳了框架评价意见,但又要求重点关注主要风险点,这似乎又体现了问题式(应急式)评价的特点。
?(三)内部控制评价方法
?这方面理论与实务界均有大量的探索和经验做法。总体分析,有以下两种不同的方法:
?1.寻找重大缺陷法
?内部控制评价究其实质就是尽一切可能去寻找或发现公司存在有可能影响内部控制目标实现的各种问题,即重大缺陷或实质性漏洞。传统的审计正是按此思路进行的。若履行了各种必要的审计程序和方法后,仍未发现企业有重大控制缺陷,那么可视同该公司的内部控制为其目标的实现提供了合理保证。但这种方法主要解决了审计师在内部控制评价中的责任问题,对于具体企业借以改善内部控制的指导作用却非常有限。我们认为社会性的内部控制评价制度,不只是为了强化CPA对企业内部控制的审计责任,更主要是为了动态监控企业内部控制制度的运行情况,及时发现问题,并提醒企业加以改善;公司也可以利用评价框架进行自我评估,以不断优化内部控制制度。显然,寻找重大缺陷的内部控制评价方法,不足以全面实现以上目标。
?2.常规透视法
?内部控制评价就是针对企业内部控制存在的突出、主要问题及其必须做到方面,作出全面评估,借以快速改进和全面提高各企业的内部控制水平。相当于一个人的常规体检,内部控制评价是对法人组织健康状况的常规检查。如此,内部控制评价的方法就必须是常规透视式的全面评价法。为此,应赋予各主要问题不同的标准分值,每个问题项分为不同的状态,并对问题及不同状态作出明确、具体可复查的定义与标准,例如无制度无做法为0,有制度且合理并得到有效执行为5,有制度不够健全未执行为1,制度健全但未得到执行为2,无制度但有行动为3,制度不够健全但得到执行为4,从而便于计量汇总和分析,可满足社会对各企业内部控制水平作出评价及各企业对自身内部控制制度作出自我评估的需要,从而在全社会形成如何评价并区别一个企业内部控制制度优劣的共识。从已发布的《企业内部控制评价指引》来看,中国企业内控评价似乎将实行自我评估与社会评价相结合的做法,如此评价方法将需要解决常规透视规范结构问题。
?三、中国企业内部控制评价要点研究
?如何确定中国企业内部控制评价的基本要点是中国企业内部控制评价制度的核心内容,也是本项研究的难点。本文试图通过案例分析的方法解决这一难题。
?(一)研究设计
?1.选择案例
?选择案例是案例研究中一个重要而必不可少的步骤。根据本研究的目的,成为我们研究对象的是出现问题的企业,具体表现为:经营管理混乱,经济效益低下;会计造假,财务报告严重失真;企业违法违规等。案例选择数量上,为了能使案例研究更全面、更有说服力,提高案例研究的有效性和增加研究结论的普适性,本文采用了多案例研究,通过案例的反复验证归类分析得出研究结论。
?2.数据搜集与样本
?本文以二手资料为主要数据来源。通过翻阅和网络搜索《财经》、《21世纪经济报道》、《第一财经日报》自创刊以来至2008年底的所有文章,对其中报道的出现问题的案例企业进行了初步搜集,并对企业名称进行编码。之所以选择这三份期刊或报纸是因为其有较高的影响力和覆盖面,具有代表性和权威性。根据2009年6月财经类报纸广告媒体排名前十强监测,《21世纪经济报道》和《第一财经日报》分别以市场份额27.54%和13.85%位居第一和第二。而根据2009年3月财经类杂志广告状况排名前十,《财经》杂志以市场份额17.40%稳居榜首。在此基础上,为了更进一步了解案例的详细情况,我们进行了更深入的数据搜集。通过百度、Google等搜索引擎和中国期刊全文数据库搜索与每个企业案例相关的尽可能多的新闻报道和研究性文章。信息主要来自新浪财经、和讯网、全景网等财经类网站。不同渠道的信息只有相互印证才被采纳。通过这样的样本收集,保证了案例样本信息全景、动态、细节化和尽可能真实可靠,为案例研究的可靠性和有效性提供保障。最终我们得到112个样本企业。
?3.案例研究的信度与效度
?案例研究与其他研究方法,如大样本定量研究相比,其研究的信度和效度一直受到质疑,因此如何保证案例研究的信度和效度,是案例研究的重点。我们试图通过以下措施来提高研究的信度和效度:(1)对同一案例现象采用多种手段进行研究,通过多种数据的汇聚和相互验证来确认新的发现,避免由于编写案例作者本人的偏见而影响案例的可靠性。(2)实行团队研究。案例搜集和数据分析采取了多人研究团队的形式,以捕获尽可能多的信息为研究结论作证,团队中的每位成员都参与数据分析,通过讨论和相互复核后得出一致结论从而减少研究者个人的偏见和主观性。
?首先对案例来源的可靠性进行了如下的检验。我们选择的案例来源——三家财经类媒体在企业报道方面,媒体是否关注中国企业发展,是否积极参与了中国企业的重大新闻事件的报道?我们查阅了2001年到2008年《中国企业管理年鉴》的每年大事记,运用系统抽样的方法抽取了103件大事,并在《财经》、《21世纪经济报道》、《第一财经日报》中搜索103件大事中被媒体报道过的大事,再按年列出大事数目和被媒体报道的大事数目,三家媒体对中国企业大事件的报道达36.9%(见表1)。
?其次是验证案例样本的可靠性。案例研究样本的选择需要遵循随机抽样(或统计抽样)原理,同时又必须遵循目的性抽样(或理论抽样)原则,使案例本身具有足够的代表性。我们认为,上述三个媒体对企业问题披露本身已足以满足随机与目的性抽样的要求。但慎重起见,我们还进行了下述补充性检验。
?我们从时间和关键事件两个重要的分析维度,对选择的案例样本是否覆盖了中国企业近十年来的发展轨迹,是否记录了较大地影响了中国企业发展轨迹的关键事件,借以对企业案例是否具有足够的典型性和代表性作出判断。
?从时间维度来看,112个样本案例样本企业问题暴露的时间历经我国经济体制改革的第三阶段,我国社会主义市场经济体制从初步建立到逐渐完善,中国企业逐步建立与完善现代企业制度的过程。尤其是2001年以后的案例比较集中,具有很强的现实意义和时代特征(见图1)。
?从关键事件维度来看,受《财经》、《21世纪经济报道》、《第一财经日报》三家媒体同时关注的案例事件比例高达31.25%,一半以上的事件受两家媒体的关注。82.14%的事件以深度的专题报道的形式出现,50%的事件三家媒体对其进行了后续详细的跟踪报道。由此可见,这些事件在当时具有较高的新闻价值和典型意义。我们关注了近年来中国企业发展轨迹中具有较大影响力和典型意义的关键事件。诸多知名企业破产倒闭、企业违法违规的大案要案、受证监会查处的上市公司案件、造成重大经济损失的事件等,这些事件在这三家媒体中都有程度不同的关注和报道,这表明这三家媒体反映的企业问题,对整个中国企业而言具有一定的代表性(见表2)。
?4.问题归纳与数据分析
?问题归纳与数据分析是对案例企业的内部控制失败进行考察。由于内部控制信息分布比较零散,并且内部控制的内容不一定会直接用“内部控制”或“内控”等字眼来表述,故本文对新闻报道和研究性文章的内容采取了手工统计的方式。
?我们根据COSO框架的5个基本要素结合《基本规范》的要求确定了内部控制失败的5个主范畴,即控制环境、风险评估、控制活动、信息沟通、监督检查。对于每个主范畴下的子类,并没有采用COSO的《内部控制—整合框架》下卷“评价工具”提供的子类别,这是由于我们研究中国企业内部控制时首先碰到了内在具体构成与西方概括的类别不尽一致的难题,在此情景下,我们以中国企业自身的内控实务结构为标准。
?首先对资料作出记录和整理,建立案例研究的资料库。我们根据之前的案例企业的编码,对每个企业建立单独的信息库,其中包括搜集到的所有与此企业的案例相关的所有新闻报道、研究性文章、网页信息等。其次,研究者对资料库中的数据信息进行浏览,对其中叙述的内部控制问题进行数据细分。对所有新闻报道、研究性文章、网页信息中的叙述进行逐条摘录,归结为具体的问题表述。然后设计出一系列的类目对相同或相似的问题表述进行合并,最终得出问题的主要类别和子项。在合并归类过程中,研究者经过不断比较,不断整理原来的问题表述和修改初始类目设计。通过这种不断归类整理,使各项问题定义及类目逐步清晰稳定,从而为我们归纳中国企业内部控制基本要素下各子项定义提供了极大便利。当再没有新的数据能进入现存的类目,则表明现有的问题归类定义框架已基本定型,中国企业内部控制各基本要素所含各主要子项的具体结构具备了一个稳定的模式。
?(二)案例背景
?样本案例遍布各个行业,制造类企业占大多数,总共61家,比重占到54.46%。出现这种情况的主要原因是制造业本身的概念范围比较大,包括汽车制造业、家电制造业、食品制造业等等。其他行业企业主要涉及金融业、电子信息技术、交通运输业、农林牧副渔、批发和零售业等。
?在地区分布上,沿海发达地区的企业占多数,尤以广东企业数目为最多,达28家。
?在所有制结构方面,国有企业占到54.46%,民营企业次之,占33.92%。案例样本中,国有企业数量较多,而其它所有制结构的企业较少,这在一定程度上影响了案例样本对全部中国企业的代表性。这主要是由于大部分杂志都是更关注大案要案,关注大中型企业,而对中小企业问题的关注相对较少。然而,由于内部控制评价指引也是先在大中型企业施行,这样,我们的案例还是可以基本服务于评价指引的制定。
?从样本案例出现问题的性质进行分类,企业破产的有28家,企业亏损的有48家,出现经济犯罪问题的有18家,出现欺诈问题的有18家,所占百分比分别为42.86%、25.00%、16.07%和16.07%。
?样本企业中上市公司59家,非上市公司53家。
?以上案例背景及研究过程保证了我们研究结论的相对可靠性。
?(三)研究结论
?通过对112个案例的相关信息的收集与分析,我们发现中国企业内部控制存在的突出问题如表3,由此可得到中国企业内部控制评价制度要点的基本框架。
?从表3中我们可以看出,在控制环境、风险评估、控制活动、信息沟通、内部监督这五要素上,出现问题的案例数量分别为72、67、61、73、37。这说明我国企业在内部控制的各个方面都存在着许多问题和缺陷。事实上,内部控制的各个要素之间是相互联系、相互影响的,我们不能孤立地看待每个要素中出现的问题,如果在某个要素中出现了问题,必然说明其他要素中也存在问题。下面我们深入到每一个要素,对统计结果作必要说明。
?1.控制环境
?控制环境是内部控制的关键,是其他四个要素的保护伞,如果没有一个有效的控制环境,其他四个要素无论质量如何,都不可能形成有效的内部控制。目前在样本中有72家企业控制环境存在缺陷,是五要素中问题较严重的方面,存在的主要问题有:
?(1)公司治理结构不完善。表现为:股东大会的制度、功能缺失;董事会机制不健全,不能对企业重大事项审议、审批;独立董事形式化,无法发挥保护股东利益、与经理层相互制衡的作用;大股东与企业没有实现资产、人员、财务的分开,关联交易不规范。
?(2)组织结构不健全,组织框架未能满足内部控制机制运作、企业监控需要的职能。表现为:内部控制体系中的组织架构混乱,管理控制体系缺失;部门职责没有明确,部门间缺乏制衡关系;关键性岗位与重要岗位缺乏制衡。
?(3)缺乏对经理层的制衡约束机制。表现为:经营者大权独揽,权力膨胀,缺乏制衡与约束;缺乏规范的决策机制与流程,一把手独断专行,决策随意性加大;缺乏对经理层的监督评价机制,经理层不能尽职尽责,高效率运作。
?(4)员工控制主要表现为人力资源政策不尽合理和有效。表现为:由于员工手册、岗位职责没有明确或培训的缺失,员工对禁止事项及自身职责权限不明确;员工缺乏岗位胜任能力;激励机制不公平不合理;考核机制不合理不明确。
?我们发现,与西方国家股权结构极为分散的情况不同,我国上市公司存在较为严重的“一股独大”现象。一股独大的一个后果是,控股股东操纵公司的股东大会、董事会和监事会。我国企业还有明显的内部人控制现象,常常集控制权、执行权和监督权于一身,并有较大的任意裁量权。长期以来,我国一些企业的董事会与经理班子重合,董事会大体等于经理层,上市公司的董事长和总经理一人兼任,在这种所有权、决策权与经营权高度统一的情况下,“一言堂”现象严重。股东大会、董事会、监事会的职责分工不明,往往成为橡皮图章,形同虚设。在这种情况下,控股股东或少数人就能控制整个公司,为了控股股东或管理当局的利益,损害广大股东的利益,缺乏必要的约束。即使有独立董事,但大多数独立董事由于关系、时间、精力及信息方面原因,无法发挥真正的作用,“花瓶”现象较严重。我们认为,内部控制的核心是制衡。而有效的公司治理结构就是,在股东大会、董事会、监事会和经理层之间合理配置权限、公平分配利益,以及明确各自职责,建立有效的监督和制衡机制,从而实现公司的多元化目标。因此公司治理中的制衡机制是促使内部控制有效运行、保证内部控制功能发挥的前提和基础,是实行内部控制的制度环境。
?2.风险评估
?风险评估是企业内部控制的前提。企业只有适当识别、评估与企业发展目标相关的风险,才能确定风险控制点与风险应对措施,通过内部控制活动将风险控制在企业可接受水平之内。从案例统计结果来看,我国企业在风险评估方面明显存在不足,许多企业的内部控制还停留在查错防弊阶段,将主要精力放在细小的控制上,却忽视了企业的重大风险。案例企业反映的问题包括以下几个方面:(1)公司对战略层面的风险没有进行足够的预计,在执行战略时没有对风险进行有效的控制;(2)公司对一般经营活动和业务过程中的风险缺少适当的评估机制;(3)公司在投资新项目、并购其他公司时,缺少规范、适当的风险评估机制;(4)公司缺乏加强员工风险意识的制度和渠道,员工不明确自身的风险管理职责;(5)公司缺少风险预警机制,包括财务预警机制和经营预警机制;(6)公司缺少正式的突发危机处理机制。其中,第一个问题最为严重,共涉及37个案例,而战略风险评估恰恰是风险评估中最为根本、最为关键的方面。这说明,在我国企业的内部控制中存在着非常严重的舍本求末现象。在我们的案例中比较常见的一种情况是,企业在实行扩张战略时,没有对外部市场因素和企业自身因素进行充分、适当的评估,没有确定相应的风险承受水平,盲目、过度地扩张和多元化,导致企业高额负债、资金周转困难,甚至出现了非法占用上市公司资金的情况,如三九集团、中国轻骑集团等。还有一些案例企业,像大中电器、永久自行车等,则是在执行公司战略时,没有去积极识别市场环境的变化,在竞争对手纷纷采取扩张战略、推出新产品的时候安于现状,没有及时调整自身的经营战略,最终只能接受市场份额大幅下降、甚至被收购的命运。
?3.控制活动
?控制活动是内部控制的主体内容,企业通过设计、执行控制活动措施,将各个风险控制点上的风险降至企业的可接受水平。从案例统计结果来看,我国企业控制活动方面的问题具体包括:(1)存在控制的空白点或盲点,即有些业务领域未建立必要的内控制度,或未纳入内部控制制度中,一些企业有内控“特区”;(2)授权审批制度不完善,审批权限过于集中;(3)没有有效的岗位牵制制度,岗位职权缺乏真正有效的制约;(4)应收账款、存货等资产管理混乱,缺乏控制;(5)对经济业务缺少独立、有效的复核程序;(6)对子公司的管理缺少适当的控制措施;(7)领导“一支笔”审批制度与内控要求相悖,往往导致滥用审批权。这七个问题,又可以主要归纳为两个方面。第一个方面是对业务流程缺少相应的控制程序。比如长虹在2004年计提的巨额应收账款减值准备,便源于针对应收账款的相关控制活动没有得到有效执行。长虹的交易对象——APEX公司并没有通过公司的信用评价;而且在出现应收账款回收风险时,长虹也没有及时采取应对措施,而是继续与客户交易。第二个方面是权责分配不当,权力缺少有效的制衡。我们案例中较常出现的一种情况是权力过于集中于个人手上,而这个人往往是企业的总经理、财务经理等高级管理人员,缺少相应的监督、制衡岗位。我们以三九集团为例:赵新先在担任三九集团董事长时,身兼党委书记、董事长、总裁和首席执行官四职,几乎所有的业务项目都要经过他的审批,而没有相应的岗位对审批过程和结果进行监督,这样既使得整个企业运营效率低下,又使得赵新先在审批时可以“肆意妄为”,最终导致了“健康城案”的发生。我国企业要想健全内部控制制度并使其有效执行,必须先从这两方面入手,不仅要对企业经营管理的所有部门、业务领域实行全方位的有效控制,使企业的各项经济活动全部处于控制之下,并且要对授权审批、资金管理等重要方面和环节实行重点控制。面的控制与点的控制有机结合,才能使内部控制活动顺利运行。
?4.信息与沟通
?信息与沟通是企业应对情况改变、保证控制有效的“神经系统”,良好的信息沟通有助于提高内部控制的效率和效果。关键是要保证信息真实、沟通及时。从案例来看,我国企业在信息与沟通方面并不尽如人意。在一些案例企业中,信息系统无法保证企业高层及时、准确地获得运营信息,而一线员工也不能及时了解高层的反应和决策,严重影响了企业的运营效率,如三株集团、健力宝集团等。相当一部分案例企业则是明显对财务信息系统缺乏有效的控制,不注重信息披露质量,忽视公司诚信,如银广夏、杭萧钢构等。而在另外一些案例中,尽管管理者获得了相关的管理、财务信息,却没有对这些信息予以重视,没有采取适当的反应和措施,如东航“返航”事件。从这些问题来看,我国企业迫切需要建立起与自身组织结构和新兴市场相适应的管理信息系统与财务信息系统,同时,应该积极协调与投资者、客户、员工、社会公众乃至政府之间的关系,从而使企业拥有一个良好的公共关系。从案例企业来看,信息方面的突出问题包括:(1)没有建立规范严格的内部信息报告制度,组织内部信息传递缺乏基本质量要求;(2)财务报告系统缺乏有效控制,信息披露质量不符合法律法规和规章制度的要求。沟通方面的问题包括:(1)员工的知情权未得到应有的尊重和落实;(2)与投资者之间缺少有效的沟通制度,投资者不能及时、确切地了解公司情况;(3)与客户之间缺少有效的沟通制度,不能准确了解客户消费偏好,售后服务不完善;(4)没有公关危机处理机制,没有设立新闻发言人制度;(5)缺少与政府之间的有效沟通机制;(6)没有对舞弊行为明确界定,组织内部缺乏制约并揭露舞弊的制度。
?5.内部监督
?内部监督包括持续性地日常监督以及针对内部控制某一或者某些方面的专项监督,它是企业内部控制活动得以有效执行的重要保障。我们研究中发现,共有37家案例企业在内部监督方面存在问题。从案例统计结果来看,问题主要集中在以下几个方面:(1)公司的内部审计职能残缺,内部审计部门的独立性得不到保证;(2)检查监督制度流于形式;(3)内部审计人员在检查监督的过程中与管理层、出现问题部门以及其他相关部门缺乏有效的沟通反馈机制。从案例数量来看,在内部监督方面存在问题的企业大多缺少有效独立的内部审计部门,从而导致内部审计职能的残缺。我们知道,内部审计部门是内部监督的主体,只有其有效发挥职能,内部监督工作才能正常运行。而内部审计部门有效发挥职能的前提便是保持其独立性。在那些存在问题的案例中,我们发现几乎没有内部审计的影子,或者内部审计受制于管理层,不能有效揭露企业运营、财务中的问题,无法实现其评价、监督内部控制的职责。以高新张铜为例,该企业由于2007年与2008年上半年的业绩预告与实际情况存在重大差异,不得不再三修改业绩预测数字,最终爆出高达近3亿元的业绩亏损增加额,公司也到了破产的边缘。而导致这巨额亏损的原因,是公司无法收回其关联公司江苏张铜的应收账款。事实上,高新张铜与江苏张铜间大量的关联交易与资金腾挪,皆是公司前董事长郭照相与前财务负责人沙晓红二人签字授权,未提交公司董事会或股东大会审议,也未及时予以披露。显然,内部审计从关联交易的业务过程到财务报告的披露,都没有发挥应有的作用。如果公司存在有效的内部审计对公司应收账款以及巨额关联交易进行适当的检查监督,那么高新张铜的“业绩变脸风波”相信也不会存在了。因此,企业应该明确内部审计机构在内部控制中的职责权限,充分保障内部审计在公司内独立地履行职责。
?四、研究贡献与局限
?本文的研究贡献主要有以下三个方面:
?(一)为内部控制评价和内部控制信息披露提供思路
?建立完善内部控制评价和信息强制披露机制是推进整个企业内部控制体系建设的关键环节,是内部控制制度能否有效实施的关键要素。2001年安然事件后,美国颁布了SOX法案,强制要求公众公司的管理当局对内部控制做出有关的保证,并提供经注册会计师验证的内部控制报告,内部控制信息披露由自愿转为强制要求。在我国,由于在内部控制进行评价时缺乏统一的评价依据和具体的操作性标准,造成实际执行过程中企业进行内部控制自我评价时无所适从,难以出具评估报告,从而大大提高了自我评估的成本,这限制了管理层自我评估的积极性。同时企业对内部控制自我评估在提高公司治理透明度和树立投资者信心的功能方面也认识不强。
?本文建议建立与完善内部控制信息强制披露的机制,明确内部控制信息披露的责任主体,提高内部控制信息披露相关要求的权威性和明晰度,加大监管力度,提高信息披露的有效性,关键是有一套与适应我国企业的内部控制评价标准及相应细则,为管理层进行内部控制有效性评价和相关信息披露提供指引。而本文的研究结论为尽快建立我国内部控制评价与报告的框架体系,对于提高我国上市公司内部控制评价及披露工作的规范性和标准化,深入推进我国内部控制建设,具有非常重要的意义。作为本项研究的继续,我们将对28个问题作明确的定义,并明确每个问题的标准制度及流程要求,以为公司向社会公开自身内控制度的建立及运行状况提供真正有用的指导,为中国企业内部控制信息披露制度的建设作出我们应有的贡献。
?(二)为内部控制自我评估与内部控制监管提供依据
?在当前我国的经济环境和制度背景下,企业内部控制有许多问题值得关注,内部控制既有国际化问题,也有国家化问题,西方内部控制整体框架理论较为完善,其权威性得到世界公认,但是在中国的文化、制度、经济、政治等环境因素的影响下,中国企业的内部控制问题是否有其特殊性远未经过大量的实践检验,需要认真研究。内部控制评价与报告体系的建设只有根植于我国国情,才能具有较强的适应力和生命力,因此本文利用严谨的案例研究方法,从微观层面近距离观察了近十年来中国大量出现问题的代表性企业,并且在发展国外研究的理论框架基础上,结合中国企业的实践,归纳与总结了中国企业内部控制的最突出的问题。不难看出,我们的案例研究得出的内控评价框架与COSO评价框架有着很大的差别,这意味着简单地套用COSO评价框架对于中国而言结果可能是不会理想。我们总结出的框架,为中国企业开展内部控制的自我评估提供了一个起点,明确了企业建立内部控制制度的“起步价”,各企业可以比评价要求做得更全更好,但不能更差。同时,我们的框架也为中国政府在履行社会管理者职能时,对千差万别的企业内控作出统一严格监管时提供一个务实规范的标准框架,使企业内控制度通过政府监管变得全社会范围内可比可管,从而提高整个中国企业的内部控制水平。
?(三)为内部控制建设与完善提供方向
?从研究结论来看,由于起步较晚,我国企业的内部控制建设在环境方面、风险管理、控制活动、信息沟通和监控等方面仍然存在许多缺陷,内部控制制度仍不完善,执行力度较弱,还存在较为严重的失效问题。因此,应该进一步加强内部控制的环境建设、提高风险管理水平、完善控制活动和信息沟通、加大监控力度,本文的研究结论揭示了内部控制的突出问题以及我国企业现实与国际水平的差距,为我国企业指明了在今后的内部控制建设中应该努力的方向。
?尽管本研究在研究过程中严格遵循了案例研究的方法和步骤,但仍然存在着一定的局限性,这些局限性限制着研究的效度与信度。
?首先,在外部效度方面,我们的样本虽然远大于以往案例研究中的样本规模,但还是无法完全排除小样本研究的弊端,即当一个以小群体为被试对象得出的研究结论被应用于其他群体,或者较大的群体时,其有效程度是难以测量并令人信服的。因此,案例研究的外部效度大大下降。结论的有效性还有待大样本范围内的验证。
?其次,在内部效度上,案例可以说是一个真实的故事,其中包含的信息极其丰富,这对研究者把握重要情况,提炼概括的能力提出了更高的要求。案例研究的归纳不是统计性的,而是分析性的,这必定使归纳带有一定的随意性和主观性。我们通过团队协作,较好地避免了个人偏见和在能力上的局限性,但是在分析过程中还是不可避免地带有一定的主观性,这会对我们研究的内部效度产生影响。
?最后,在信度上,本文采用多案例进行研究,案例间可能会是异质的,难以对案例进行归纳,造成信度上的不足。另外,由于数据较多以及涉及的时间周期较长,在案例涉及的时间中,经济周期的波动可能会对案例样本信息造成影响。经济周期的变化对社会舆论的关注点会造成影响。经济不景气状态下和经济好的状态下人们的关注点不同:经济不景气的状态下人们对内控的关注更多,而经济好的状态下人们对内控的关注少。因此,我们获取的案例样本信息可能和客观存在的状态存在偏差,可能会有人为缩小和放大的情况发生,而这一因素是研究中的不可控因素,会影响我们研究的可靠性。
?在规范的案例研究中,会通过多种途径获取资料来源进行三角测量有利于提高案例研究的信度。三角测量强调对同一现象采用多种手段进行研究,通过多种数据的汇聚和相互验证来确认新的发现,避免由于偏见影响最终判断。案例研究最常见的信息来源有6种,即文献、档案记录、访谈、直接观察、参与性观察和实物证据。但本文是以对二手资料的研究为基础的,并未对企业进行实地调查获取一手资料,没有完全达到三角测量的要求;仅是对表层数据、公开数据的搜集,缺乏深入细致的实地调查,因而也许未能了解到案例事件的真实情况和案例背后的动因和机制,降低了研究本身的信度。