COSO模型(精选7篇)
COSO模型 篇1
摘要:现代意义上的企业内部控制理论主要基于外部审计角度开展研究。然而,将主要以审计角度进行研究的内部控制理论成果运用于企业实践时,却出现成本高昂、效率低下等诸问题。因为企业管理人员是从管理学的角度,并非从外部审计对内部控制的研究成果的角度理解与实施组织各层级的控制行为,而管理学与外部审计两者在目标与范围方面又是不相同的,因此需要构建一个整合性的组织控制模型以解决这种差异导致的问题,并为企业实施内部控制提供指引。本文主要分析了COSO内部控制框架与管理学对控制的主要研究成果之间的差异,并在此基础上构建基于COSO内部控制要素嵌入的企业组织控制模型。
关键词:COSO内部控制,组织控制模型
一、引言
现代意义上的企业内部控制理论主要基于外部审计角度开展研究。美国注册会计师协会于1949年在其专著《内部控制—协作体系的要素及其对于管理层和独立公共会计师的重要性》中首次明确提出“内部控制”这一概念。此后,内部控制理论经历了内部控制制度、内部控制结构与内部控制整合框架等发展阶段。美国COSO委员会于1992年颁布的《内部控制——整合框架》被认为是内部控制理论发展的里程碑。然而,COSO委员会作为全美反舞弊财务报告委员会的发起组织,其肩负着提升公司财务报告可靠性的历史使命,因而其兴趣主要是对内部控制与财务报告有关的部分感兴趣(Root,2004),这一点与外部审计师是相同的。导致内部控制理论更多地从审计角度开展研究的原因主要有两方面:一方面是从外部审计角度考虑,审计界期望能建立一个测试企业内部控制的范围与标准,以提高审计效率并减轻审计责任;另一方面20世纪70年代以来美国公司财务丑闻频发,而根据Treadway委员会的调查,近50%的财务舞弊案件是由于或部分地由于内部控制失败造成。因此,公司外部利益相关人期望企业拥有一个能合理保证财务报告可靠性、保障资产安全的内部控制体系,同时外部独立审计师能予以鉴证。然而,将主要从外部审计角度研究所得出的内部控制理论成果运用于企业组织控制实践时,却出现诸多问题,如成本高昂、效率低下、失败率居高不下、成功经验难以移植(杨周南等,2007),内部控制的本质要求与实践作用很不相称(杨雄胜,2005)。德鲁克认为企业管理人员付之实践的是管理学而不是经济学,不是计量方法,不是行为科学,后面这些都是管理人员的工具。笔者认为,正是由于企业管理人员是从管理学的角度,而并非从外部审计对控制的研究成果的角度理解与实施组织各层级的控制行为,而同时两者在目标与范围方面又是不尽相同的,进而导致外部审计角度研究的内部控制理论运用于实践时出现诸多问题。笔者认为,应从企业管理的角度构建一个组织控制模型,该控制模型根本目标是为企业战略实施服务,同时将外界对内部控制的规范要求嵌入到模型中,以解决外界对企业内部控制的期望要求。
二、管理学对控制相关研究综述
(一)法约尔对控制的研究
法约尔首先将控制明确纳入管理过程进行系统性研究。法约尔认为,管理活动有五项职能:计划、组织、指挥、协调与控制。而在一个企业中,控制就是要检查核实各项工作是否都已遵照被采纳的行动计划运行,是否和下达的指标一致,是否和已定的原则相符。法约尔在其《工业管理与一般管理》中提到了“企业的内部控制”,并认为这种控制是专门为了帮助各个部门良好地运行而采取的,总体来说就是为了企业的顺利发展。然而,法约尔主要是为了更清晰地论述其对控制的观点,强调其所讨论的控制并不是指“两企业间”的控制而是指“企业内部”的控制。因此,法约尔提出的“企业内部控制”实际上与1949年AICPA定义的内部控制在着眼点与内容上都不相同。作为古典管理理论的代表人物,法约尔对后续管理学者在控制职能的研究方面奠定了框架基础,但是其眼中的控制职能倾向于“作业控制”的范畴,重心在于工人工作的效率“是否和下达的指标一致”。
(二)安冬尼对控制的研究
罗伯特A·安冬尼于1965年出版AFramework for Analysis专著,其将管理控制定义为:“管理人员在完成组织目标的过程中确保获得所需资源并使资源得到有效和高效利用的过程”,安冬尼的研究对学术界产生很大影响(西蒙斯,1995)。此后,安冬尼在《管理控制系统》一书中将管理控制定义为:“为执行组织战略,管理者向组织内的其他成员施加影响的过程”。安冬尼对管理控制概念理解的变化体现了其对战略的重视,也体现了战略学派对管理控制研究的影响。安冬尼认为组织中有三个包含计划与控制的系统或者活动,即战略形成、管理控制与任务控制。其中,战略形成属于最高层次,管理控制则是介于战略形成与任务控制之间。安冬尼认为,战略形成与管理控制之间最大的区别就是战略形成在本质上是非系统的,管理控制过程则涉及到一系列按照较为固定的时间表进行预测的步骤,并且这些预测较为可靠。管理控制与任务控制之间最大的区别就是许多任务控制系统是科学的,而管理控制却不可能简化为科学。管理控制中的重点在组织单位;任务控制的重点在这些组织单位所执行的具体任务。对于管理控制系统的活动内容,安冬尼认为其包含:战略计划;预算准备;执行;业绩衡量。可以看出,安冬尼较明确地界定了管理控制系统的边界,为整个组织控制研究奠定了良好的层级框架,同时将管理控制定义为战略实施的过程也代表了现行控制的主流观点。但从安冬尼论述管理控制系统活动的过程来看,安冬尼眼中的管理控制更多的是基于会计与财务角度的控制,控制的手段与工具主要是会计与财务导向的,对于非财务控制的考虑较为欠缺。
(三)西蒙斯对控制的研究
西蒙斯将管理控制系统定义为:管理控制系统就是管理人员为保持或改变组织内部活动模式而采用的正式的、基于信息的例行程序和步骤。这个定义有两个特点:一是管理控制系统是正式的例行程序和步骤;二是管理控制系统是基于信息的系统。当这些基于信息的系统用于保持或改变组织的活动模式时就成为控制系统。西蒙斯将实施战略的管理控制系统区分为四种子系统,即信念系统、边界系统、诊断控制系统、交互式控制系统。西蒙斯明确界定了在《控制》一书中所讨论的管理控制系统不包括管理人员用来协调和管理业务活动的控制。因此,西蒙斯所讨论的管理控制系统与安冬尼一样,都不包括“任务控制”,不同之处在于,安冬尼的管理控制系统论述范围更多地局限于西蒙斯的诊断控制系统,而西蒙斯则将视野扩大到信念系统、边界系统,以及交互控制系统。西蒙斯同时也对“内部控制系统”做了研究,其认为内部控制是有效控制的基础,内部控制用来防止盗用资产和确保会计记录可靠,这对保证诊断控制系统的正常运转非常关键。而内部控制的过程就是按步骤进行详细的检查和对比。在西蒙斯的视野里,内部控制仅仅是注册会计师对公司管理控制的一些基本要求而已(杨雄胜,2006)。因此,从西蒙斯的研究中可以明显看出管理学界对所谓“内部控制”的理解主要是审计学界对传统内部控制的定义,而此后主要由会计与审计学界主导的内部控制研究逐渐扩展了传统内部控制的范围,这也直接导致了两者间的差异日益增大,以至于企业内外部对内部控制期望愈发不一致。从以上综述中可以看出,管理学界将“管理控制”视为战略实施的过程,但这里的“管理控制”并不包括企业组织内所有的控制活动,后者还包括如生产计划安排、质量控制等任务控制。同时,管理学界也将为保证企业资产安全完整、会计数据可靠的控制活动摒弃在管理控制活动之外。然而,如何界定任务控制与会计控制的关系,以及会计控制与管理控制的关系,管理学界并没有给出较好的回答。
三、C O S O内部控制框架与管理学对控制研究的差异分析
(一)控制目标的差异
COSO内部控制框架是在继承此前的内部控制两分法与内部控制结构的基础上发展而来。AICPA于1958年在其审计程序公告中将内部控制划分为内部会计控制与内部管理控制,其主要目的是为了明确审计师测试企业内部控制的范围与责任;1988年,AICPA在其55号审计准则公告中将内部控制扩展为内部控制结构,即控制环境、会计制度和控制程序。而COSO委员会在其《内部控制——整合框架》中则将内部控制按要素划分为控制环境、风险评估、控制活动、信息与沟通、监督。吴水澎等(2001)认为COSO报告一个有价值的发现就是揉和了管理与控制的界限。然而,这种“揉和”同时也意味着目标的揉和。COSO内部控制框架认为内部控制是为下述目标提供合理保证的过程:经营效率与效果;财务报告的可靠性;符合适用的法律与法规。管理学界对控制所下的各种定义大多是将其定义为一种战略过程(西蒙斯,1995),具体而言,是确保完成组织战略目标的过程。相较而言,COSO框架对内部控制目标的界定显然更为关注控制的外部利益要求,亦即财务报告与法律法规的遵守;而管理学界对控制目标的界定显然是服从于管理本身的宗旨与目标,对于财务报告与法律法规的遵守是组织战略目标达成的必要条件,而非目标本身。表面上来看,COSO内部控制框架界定的目标之一——经营效率与效果似乎与管理学对控制目标的界定比较契合。然而,仔细分析COSO内部控制框架,COSO对于经营效率与效果这项目标的讨论是比较保守的,一方面,此项目标包含了业界颇为关注的保护资产安全与完整的目标,另一方面,COSO认为:“内部控制不能防止错误的判断或决策,也不能阻止可能造成主体无法实现经营目标的外部事项。对于这些目标而言,内部控制体系只能就管理层以及发行履行监督职能的董事会及时了解该主体它们迈进的程度提供合理保证”。显然,COSO此言是为了降低各方对内部控制的期望。综合起来,对于COSO眼中的内部控制的经营效率与效果的目标,实际上就是为了保护资产安全与完整,以及为管理层与董事会就经营目标的迈进程度提供可靠的信息。而这与西蒙斯视野中的“内部控制”差异并不大。事实上,管理控制系统的确是基于信息的系统,信息是控制决策的基础,但提供信息目标与决策目标两者的宗旨虽然一致,但层级并不相同,信息应该是决策的手段与必要条件,而其本身并非目标。
(二)控制范围的差异
一般认为,如果COSO内部控制框架是继承内部控制两分法(内部会计控制与内部管理控制)与内部控制结构的基础发展而来,并且其范围有扩大趋势,那么似乎COSO内部控制应包含管理控制。笔者认为,COSO内部控制的范围是否包纳管理控制的前提在于COSO自身对其框架的范围界定,以及管理控制本身的范围。COSO在论述内部控制的有效性时,论及了内部控制与管理过程的关系,由于内部控制是管理过程的一部分,因此对构成要素的讨论是在管理层在经营企业的过程中做了什么这一背景下进行的。但是,管理层所做的每一件事情并不是都是内部控制的元素。由此COSO将使命与价值观陈述、战略规划、活动层次目标设定、风险管理与矫正措施等排除在内部控制范围之外。在这些管理活动中,使命与价值观陈述实际上为西蒙斯管理控制系统中信念系统与边界系统的内容之一,同时使命与价值观陈述虽然不是行政官僚控制的方法,但却是文化控制的重要方法之一;活动层次目标设定与矫正措施则是控制系统必不可少的两项要素,孔茨认为,任何基本的控制流程,不管它用在哪里,控制的对象是什么,都要包含以下三个步骤:制定标准;借助这些标准来度量绩效;采取措施修正相对于标准和计划的偏差。从这方面来看,COSO内部控制框架的范围并未完全包含管理学对控制的范围界定。从另外一方面来看,如果按安冬尼与西蒙斯的划分,将管理控制与任务控制做明确界定,那么管理控制的范围实际上也未包含COSO内部控制框架所界定的范围。COSO内部控制在控制活动要素中实际上更倾向于任务控制,如高层审核、直接的职能或活动管理(Direct functional or activitymanagement)、信息处理(Informationprocessing)、实物控制、职能分离等,这些控制活动实际上是嵌套进管理控制与任务控制,并且在资产安全与信息可靠方面更加倾向于任务控制。总结起来,如果将企业战略执行控制系统(记为A)划分为管理控制(记为B)与任务控制(记为C)视为,即:A=B∪C,那么COSO内部控制(记为D)与战略执行控制的关系为:D奂A,与管理控制则呈相交关系,即:B∩D奂B,如(图1)所示.总体来说,从两者研究的立场上来看,对于控制目标与控制范围的研究差异是正常的。COSO委员会作为反虚假财务报告委员会的发起组织,自其诞生之日起就担负了如何有效防范财务报告舞弊进而维护资本市场秩序的历史使命,而其兴趣主要是对内部控制与财务报告有关的部分感兴趣(Root,2004)。而管理学界的研究同样也是秉承了管理学本身的宗旨,控制的目标融于管理的目标,管理的目标融于组织的目标。宗旨与目标的不一致必然影响到范围的差异。这种研究宗旨、目标与范围的不一致必然导致内外部对企业内部控制的期望不一致,以至于外部规范下的内部控制难以实施与评价,或实施与评价不符合成本效益原则。
四、基于内部控制要素嵌入的战略控制模型构建
(一)企业组织控制模型特征
为有效解决企业内外部对内部控制的理解与期望的差异,必须构建一个能够将COSO内部控制要素嵌入于企业组织控制的模型,并且该模型必须拥有以下特点:模型必须能够反映出利益相关人除了企业绩效方面,对于企业内部控制的规范要求,而不能仅仅只考虑组织战略的实施;如果将外部内部控制规范视为较为刚性的制度要求,那么模型必须能够反映出这种制度要求是如何嵌套进企业战略控制的及之间的差异;模型的逻辑必须符合企业管理过程的基本逻辑。基于以上原则,构建如(图2)所示的基于内部控制要素嵌入的企业组织控制模型。
(二)模型内部结构
椭圆代表企业内部,这也代表了企业的战略控制是指对企业内部的战略实施过程进行控制,其责任主体为企业的董事会、高层管理人员与其领导下的员工。虚线矩形内表示企业的组织控制系统,其目标在于企业战略的实施并产生绩效,同时战略控制系统并非是封闭的系统,其在社会责任、公司治理与对外报告等方面与外部产生互动。如果按管理过程学派的代表人物罗宾斯的划分,即将管理职能划分为计划、组织、领导和控制,那么这里的组织控制系统实际是指广义的控制,即将罗宾斯概念中的组织、领导与控制三者融合,从而组织管理整合成为计划与控制两大活动。企业组织控制系统由三个子系统组成:内部环境系统、信息报告系统与执行控制系统。内部环境系统倾向于罗宾斯概念中的组织与领导,同时包络西蒙斯管理控制系统中的信念系统与边界系统;信息报告系统是企业内外部信息交流的平台,其在企业内部承担着企业上下级之间与业务单元之间的信息收集、加工、处理与报告的职能;执行控制系统包含两个层面的控制,即管理控制层面与任务控制层面。管理控制层面包含基于即定战略的目标设定与分解、预算编制、业务衡量与偏差纠正等;而任务控制层面倾向于具体业务活动的执行效率与效果,如生产进度安排、协调订货、质量控制等。
(三)模型与外部环境的衔接
企业的控制系统并非封闭的,其受制于外部环境同时又反作用于外部。企业的控制系统的目标在于实现企业的战略与使命,而企业的战略本身受到宏观经济环境与产业环境影响,因此控制系统实际上是通过企业战略规划间接受制于同时反作用于企业竞争环境;企业的绩效目标并不完全取决于企业经营管理人员,资本市场对企业绩效的压力实质上会影响企业战略规划,进而影响企业战略的实施与控制;德鲁克认为,企业管理的任务之一即是“处理本机构的社会影响和对社会的责任”,因此企业的执行控制系统中的例如生产控制、质量控制系统等等必须考虑企业产品与废弃物对社区与社会的影响;企业内部环境系统与外部衔接点在于利益相关者的公司治理要求。公司治理解决的是企业所有权与经营权分离情况下股东、董事会与管理者三者之间的代理问题。而三者之间的制衡关系也将影响到企业战略规划与实施以及信息的传递要求;企业信息报告系统一方面必须满足企业战略控制的信息需求,另一方面信息报告系统承担着以财务报告为主的对外信息传递职能,因此信息报告系统的设计不能仅仅考虑内部管理需求,而应将外部信息需求融合进管理需求之中,这种受托责任的履行是企业生存的必要条件。
(四)模型与COSO内部控制框架的关系
控制模型的设计必须考虑能够内在逻辑一致地将外部控制制度要求嵌入,以实现内外部对控制要求的衔接。(图2)的企业组织控制系统的总体范围包含COSO内部控制框架,但其划分维度与COSO内部控制框架并不相同,即对于任何一个子系统都可能包含两个或两个以上的COSO控制要素。如内部环境系统中除了涉及控制环境要素外,其边界控制机制即是为了限制企业接近某些机会以防止经营重心分散而增大风险(风险评估要素),而组织设置中的内部审计安排则是为了有效监控企业的战略实施与风险防范(监控要素)。对于执行控制系统与信息报告系统而言,其在标准设定和业绩衡量中过程中需要大量的协调与沟通(信息与沟通要素),以及执行过程的监控(监控要素);对于信息报告系统而言,其职能在于收集、处理与报告企业决策和外部要求所需信息,因此信息本身的相关性与可靠性就要求有良好的风险评估、控制程序与监控活动。企业组织控制系统的总体范围包含COSO内部控制框架,也即意味着企业组织控制系统中必然有一部分活动不属于COSO内部控制框架范围之内。在企业组织控制系统中,内部环境系统与信息报告系统都属于内部控制要素范围。执行控制系统可以按其按内部活动程序划分为:标准设定(或目标设定)、执行监控、业绩衡量、矫正措施,而根据COSO对内部控制与管理过程关系的阐述,COSO内部控制框架仅仅包含执行监控与业绩衡量两项活动,标准设定与矫正措施并未在其框架范围之内,如(表1)所示。
五、结论
本文系统性地研究了COSO内部控制框架与管理学对控制研究成果的差异,笔者认为这种概念认知的差异将导致企业内外部对内部控制期望的不一致,进而影响外部所规范的内部控制要求在企业中的实施效率与效果。而基于企业内部控制的实施主体是企业管理人员,因此减轻这种差异的方法就是构建一个从管理学逻辑出发的,考虑外部对企业内部控制规范要求(COSO内部控制框架)的综合性的企业组织控制模型。本文构建了一个企业组织控制模型,并系统分析了模型的逻辑及其与COSO内部控制框架的关系。
COSO框架下企业风险管理 篇2
一、COSO框架下企业风险管理中应当关注的风险
按照美国《企业风险管理框架》的基本精神, 并考虑我国一般企业的现状, 本文认为企业高管层首先应当关注战略风险、投资风险、经营风险和财务风险等。
(一) 战略风险
战略风险是企业最大的风险, 它是指企业在发展方向、产业规模、目标市场等方面出现错误选择的可能性及由此所引发的企业未来长期损益状况的不确定性, 它既涵盖了企业的产业定位、目标市场的选择、产业规模和企业组织架构的规划等内部因素, 又包含了企业对国家法律法规和宏观监管政策的方向性变化、市场竞争环境和竞争对手的估计等外部因素。如果企业的战略选择一旦出现失误, 可能会对企业产生致命性的打击。然而, 战略选择一般都应是企业治理层的职责。按照《中国注册会计师执业准则1151号———与治理层沟通》 (2006) 的定义, “治理层是指对被审计单位战略方向以及管理层履行经营管理责任负有监督责任的人员或组织。治理层的责任包括对财务报告过程的监督”。由此可见, 企业战略的选择及其风险的管理控制应当属于企业治理层的责任, 它非企业的管理层力所能及的风险领域。但是, 这也并不意味着企业的管理层与战略风险毫无干系。作为企业的管理层最起码应当: (1) 实施治理层所做出的战略选择。在现代企业制度下, 以总经理为首的企业管理层负责企业的日常投资活动和经营活动, 并应在各种管理活动中不断地贯彻治理层的战略决策。如企业文化的建设、产业转型和产品的更新换代、目标市场的转移等。如果管理层的日常经营和管理活动不能有效的贯彻和体现治理层的战略选择, 则企业战略目标只能是一种空想、更不可能实现。 (2) 及时反馈战略风险的动态信息。企业战略目标是企业发展的一种宏观的和长远的考虑。因此, 企业战略目标的实现应当是一个渐进的过程, 没有任何一家企业可以在一夜之间实现其战略目标的, 否则它就不能被称之为战略。而且, 在企业不断地实现其战略目标的过程中会受到来自企业内外诸多因素的影响, 有的因素会加速其实现过程、有的因素却会阻碍其实现过程。其中, 对企业战略目标的实现产生不利影响的因素很可能会进一步演变成企业的战略风险, 而且这些风险因素具有多元化和持久性的特征, 它需要管理层及时的向治理层反馈战略风险的动态信息, 以便治理层采取适时的和适当的应对措施。 (3) 协助治理层进行战略风险控制。正如企业战略的选择一样, 企业的战略风险应对也是企业治理层的职责。企业治理层针对不同时期、不同情况下所发生的战略风险因素所提出的各种调整性应对措施同样也需要企业的管理层具体进行协助和执行, 其中包括提出初步的应对方案和措施的建议、具体组织和实施治理层所做出的战略风险应对决策等。
(二) 投资风险
投资活动是用以衔接企业战略和日常经营活动的纽带和桥梁, 企业只有通过投资活动才能借助日常经营活动不断地实现其战略目标和远景规划, 也只有通过不断地进行投资风险的管理和控制, 才能从根本上为经营风险的规避和控制提供良好的基础和条件;也只有不断地重视个别投资风险的防范, 也才能降低企业的战略风险。如某公司近五年的战略目标是由单一的机械制造业向多元化发展——其目标是通过多元化经营, 一方面在不降低公司总的盈利能力的前提下尽可能增加公司的营业收入、扩大公司的经营规模, 以此进一步增加公司的融资能力;另一方面以此扩大原有机械产品的销售和社会影响力。在这一战略思想的指导下, 并考虑公司所具有的资金、技术和管理实力、以及分支机构主要分布在西北等优势, 公司的决策层选择了房地产开发、建筑材料、作物种植和粮食加工等几个当时认为风险低、业态相对稳定的几个行业。在近年来的投资活动中, 公司以战略为导向、分别实施投资项目负责制, 大部分投资项目都能如愿以偿、为公司的多元化战略做出了贡献, 但惟独某投资项目由于工厂选址不当导致后期投产后原料和产品的运输成本过高、以至于该项目经营发生困难、连年发生亏损, 从而拖累了公司的整体盈利能力、也影响了公司多元化战略的实施效果。由此可见, 项目投资风险既会直接影响经营风险, 又会加大战略风险。由上述分析可见: (1) 对内对外投资活动是企业逐步实施其战略目标的必须;企业投资活动的目标应当是企业战略目标的具体化, 企业的所有投资项目都应围绕企业的战略目标开展。 (2) 对内对外投资活动是企业实施战略目标过程中经常遇到的投资额大、影响长远的一种战略性行为, 围绕企业发展战略所开展的众多投资活动的整体效果会影响战略目标的整体实现程度;每个项目的投资风险或多或少的会影响到企业的战略风险。 (3) 与战略风险相比, 投资风险的控制的责任主体分别应当是企业的治理层和管理层。其中, 投资项目的决策风险一般应由企业的治理层进行控制, 它直接决定投资项目的方向性和指导性;而投资项目的实施风险一般应由企业的管理层进行控制, 它直接涉及投资项目的可行性、经济性和可操作性。 (4) 无论是对内投资、还是对外投资活动, 都应考虑投资活动对企业未来营运成本的影响。由于对内投资的管理问题 (比如工厂选址、厂房规划、产能设计、设备选型等) 会引发的项目投产后产品成本过高、质量不稳定等一系列的问题;由于对外投资管理不当所导致的企业经济负担加重、整体盈利能力下降、甚至拖跨企业原有产业的例证。
(三) 经营风险
经营风险是指在企业的生产经营过程中, 由于供、产、销诸环节受到企业内外各种不确定性因素的影响所导致的企业经营过程和结果的不确定性。如原材料供应风险、价格风险、技术风险、设备稳定性风险、员工队伍风险、产品销售风险等。这些风险与战略风险、投资风险相比, 经营风险更具有客观性、经常性和多样性特征, 它每时每刻的存在于企业的生产和经营活动之中, 因此经营风险是企业管理层所面临的一种经常性风险。企业所面临的经营风险虽然具有多样性, 但其整体可分为内部风险和外部风险。 (1) 内部风险主要是指由于企业内部各种不确定性因素所导致的经营过程的不稳定性和经营结果的不确定性。如生产技术和设备性能的稳定性、员工素质的整体水平及其可塑性、生产调度的适时性和科学性、信息沟通和内部物流的便捷性等。 (2) 外部风险主要是指由于企业外部环境的各种不确定性因素所导致的经营过程的不稳定性和经营结果的不确定性。比如相关法律法规对企业经营的保障程度、政府对企业监管和保护的程度、所在行业一般薪酬水平的变动趋势、材料供应数量的可靠性和价格稳定性、同类产品市场的竞争状况和替代产品的更新频率、企业外围的交通运输条件等。
(四) 财务风险
财务风险是指企业在各项财务活动中由于各种因素的影响使企业在一定时期和一定范围内所获取的最终财务成果与预期财务目标发生重大偏差、从而使企业遭受重大经济损失的可能性。财务风险是企业所面临的一种综合性风险, 无论是企业实施战略转移、还是进行对内对外投资、或者日常的经营活动, 都有可能招致企业面临财务风险。 (1) 企业财务状态风险是企业所面临的一种静态风险, 它是指企业当前的财务现状可能诱发的一种财务风险, 比如由于企业资产负债比率过高所可能诱发的融资渠道受阻、进一步融入资金的困难, 由于企业资产的流动性较差或短借长用所可能诱发短期偿债风险, 由于企业货币资金的短缺所可能引起的支付困难等。企业的财务状态风险往往是以往财务活动不谨慎的结果, 所以企业在日常财务活动中必须重视和合理预见财务活动的后果。 (2) 企业财务活动风险是企业所面临的一种动态风险, 它是指企业当前所开展的相关财务活动所可能诱发的一种财务风险, 比如企业为了实施产业转移所进行的大额投资活动, 由于货币资金短缺而大量的、长期的拖欠职工薪酬, 由于大量应收账款的存在而使企业面临巨额损失的可能性等。由此可见, 企业的财务活动风险往往与相关的投资活动、经营活动相关联。 (3) 企业财务信息风险是一种关于财务会计确认、计量、记录和信息披露的风险, 它是指由于企业财务会计核算过程中进行了错误的记录或者使用了不恰当的会计政策和方法, 以及在财务信息报告的过程中发生了错报、漏报或误导性陈述、虚假陈述而使得企业发生损失的可能性。企业财务信息风险可能表现为企业内部的信息生成和使用风险, 比如由于核算和记录的错误而导致的内部财务决策失误等;它也可能表现为来自企业外部各相关政府监管机构的处罚和制裁, 或者职业团体和中介机构对企业的不良记录, 以及与企业有利害关系的各个方面的诉讼等。
二、企业实施风险管理必须考虑的因素
企业高管层应当关注的上述各种风险的发生并不是孤立的, 它往往涉及目标、流程、人事和制度等几个因素。因此, 这些因素也是企业在实施风险管理时所必须着重掌控的几个方面。
(一) 目标风险
企业的任何活动多应当有目标, 没有目标的活动是盲目的, 包括企业的投资活动、经营活动和财务活动等;目标又是企业开展各种活动的导向, 它包括战略层次的远期目标和战术层次的近期目标, 还包括用以衔接战术和战略的中期投资目标。一般情况下, 企业的投资活动应当围绕战略目标实施, 而经营活动则应以战术目标为导向;企业的财务活动则与企业的所有活动都存在着密不可分的关联度。如果企业的目标不明或定位发生重大的偏差, 则会导致相关活动的盲目和失败、进而给企业造成损失的可能性会大大增加。可见, 目标风险是企业最具根本性和方向性的风险因素。
(二) 流程风险
流程是各相关活动的程序性安排, 它既直接决定相关目标的实现程度、又直接影响相关活动的规范性程度, 既影响相关活动的效率、又直接决定相关活动的效果。因而无论是企业的投资活动, 还是日常的经营和财务活动, 都应具备明确而科学的流程。流程风险是指由于各种业务流程的原因所造成的、可能使企业的业务开展过程发生阻滞或偏离既定的目标、从而会给企业造成损失的可能性。因此, 流程风险是风险管理的基础, 它应当以效率的提高和效果的改善为导向。
(三) 人事风险
任何一个企业实施任何行为都离不开人的因素, 一个企业的人力资源整体水平及管理状况几乎成了企业成败的决定性因素。企业的人事风险是指由于人事方面的原因所导致的使企业面临重大经济损失、甚至发生经营失败的可能性, 它涵盖了岗位设置、人事安排、员工的进入和退出、业绩考核、素质提升等方面。其中, 岗位设置和人事安排又直接决定企业人事风险的高低。在岗位设置方面, 首先应当考虑流程对岗位的需求, 同时应当厘清每个岗位的岗职、岗能、岗责、岗权、岗级、岗效和岗酬等;在人事安排方面必须根据岗能方面的能力要求选定员工、根据岗职方面的合理需求确定员工数量, 并做到“流程之外无岗位, 岗位之外无员工”。
(四) 制度风险
实施制度化和规范化管理是当前企业管理的一种趋势, 它自然也是企业实施风险管理的一种保障, 包括企业战略目标的制定及其实现路径和方式的选择、投资项目的确定和实施, 以及企业日常的经营、人事和财务等活动都应置于既定管理制度的约束和规范之下。但是, 任何企业的任何管理制度都不可能做到天衣无缝的地步, 有的制度因受制于成本效益原则而缺失、有的制度因个别高管人员的践踏而形同虚设、有的制度则因不同岗位的人员相互串通或因企业遭受异常的压力而失效等。我国的《企业内部控制基本规范》中也将成本效益作为企业实施内部控制制度的一个原则, 并规定“内部控制应当权衡实施成本与预期效益, 以适当的成本实现有效控制”。因此, 任何企业的管理制度在规范企业运行方面只能提供一种合理的保证, 因企业管理制度的先天不足或具有无效的可能性而使企业所面临的财务状况的不定性就是制度风险。
参考文献
[1]秦荣生、卢春泉:《审计学》 (第六版) , 中国人民大学出版社2008年版。
票号内部控制的COSO框架透视 篇3
1992年美国COSO发布 (1994年修订) 的《内部控制——整合框架》, 被公认为最先进的内部控制理论体系。该框架认为, 内部控制是“由一个企业的董事会、管理层和其他人员实施的, 为财务报表的可靠性、经营活动的效率效果、相关法律法规的遵循性等目标的达到提供合理保证的过程。”它由内部环境、风险评估、控制活动、信息与沟通、监控五个要素构成。
一、内部环境
COSO框架认为, 内部环境是影响和制约内部控制建立和运行的各种内部因素的总称。它通常包括:治理结构、高管对内部控制的重视程度、机构设置及其职责分配、组织文化、人力资源政策与实务等。
1. 治理结构。
治理结构是两权分离的经济组织, 所有者对经营管理者进行管理和控制的一种制度安排。有效的治理结构要求经济组织的决策、执行、监督等职权应当合理而明确地分工以便形成相互制衡机制, 为内部控制的建立和有效运行提供动力保障。
票号实行由财东出资, 委托大掌柜全权经营管理的两权分离制度。在这种两权分离的基础上, 票号创立了比较有效的治理机制:“票号成立之初, 当财东起意经营, 聘请经理, 由介绍人之说项, 或自己注意察访, 确实认定此人有尤有为, 能守能攻, 足以担任票号经理之职责, 则以礼招聘, 委以全权, 专采用人莫疑, 疑人莫用之旨。但被委以经理事前须与财东面谈, 侦查财东有否信赖之决心, 始陈述进行业务及驾驭人员之主张, 果双方主见相同, 即算成功。故财东以资力独占一面, 经理以指导下全体同仁独占一面, 即财力人力合作而成一具体之商号也。……财东自将资金全权委诸经理, 系负无限责任, 静候经理年终报告平素营业方针, 一切措施, 毫不过问, 每到例定账期 (或三年、或四年, 即决算期) , 由经理谒清, 约日聚会, 办理决算, 凡扩充业务、赏罚同人, 处置红利, 全由财东裁定执行, 经理为建议首席, 听其咨询。财东所负无限责任既重且大, 特持其眼光远大, 信义待人。……经理既受财东信赖与委托, 得以经理同号事务, 任重道远, 所以事事不出于尤勤惕历之一念, 领导同仁, 崎岖前进, 其权限近乎独裁而非独裁, 实即集权制也, 盖同人均享有建议权, 非任何拘束, 小事亦可便宜行事, 大事则须决之经理。” (颉尊三, 1944)
2. 高管对内部控制的重视。
高管是内部控制的主要制定者、带头执行者和主要监督执行者, 其对内部控制的重视程度直接影响着内部控制的健全有效性, 使内部控制建立和有效运行的政治保障。在东掌分离制度和“人身股”制度的激励与约束下, 拥有充分经营管理自主权的票号的高管——掌柜们都非常重视“号规”等近似现代内部控制制度的建设, 并带头执行和严格监督员工执行这些“号规”。
3. 机构设置与权责分配。
内部控制建设和实施的主要基础是岗位职责分工, 而岗位职责分工是通过机构、岗位设置和职责分配实现的。机构、岗位设置及其职责分配的合理性直接决定着内部控制的健全有效性。为了便于业务开展和内部控制, 票号一般设总号和若干分号。总号和分号的内设机构相似。总号设大掌柜 (总经理) 一人, 二掌柜 (副总经理) 一人, 三掌柜 (总营业) 一人, 会计数人 (组成账房) , 文牍数人 (组成信房) , 外事数人 (兜揽生意者, 包括跑街者和跑外者, 组成营业课) 、庶务 (勤杂) 一人, 练习生若干人。分号设老帮 (经理) 一人, 协帮 (副经理, 兼任营业) 一人, 会计 (内账房) 、文牍、出纳 (外账房) 、营业, 视事的繁简, 设一人或数人 (卫聚贤, 1944) 。
4. 组织文化。
组织文化对员工的品德素质有着潜移默化的重要影响, 从而对内部控制的有效运行有着深刻的影响。票号的财东和掌柜们深谙此道, 票号“发展之原理, 营业以信义和平为宗旨, 伙友以团结精诚为必要, 号章严密完善, 历来经理用全副精神, 始立永久基业。” (雷士炜, 1937) 几乎所有的票号都制定有自己的号训, 称之为“教训”。票号的教训主要包括“重信用, 降虚伪, 节情欲, 敦品性, 贵忠诚, 鄙利己, 奉博爱, 薄嫉恨, 喜辛苦, 戒奢华, 他如恒心、连达、守分、和婉、正直、宽大、刚用、贤明。” (颉尊三, 1944) 而且票号还定有严格的禁例, 如不准宿娼赌博, 不准染习不良嗜好, 不准向财东和掌柜送礼等。票号要求员工“凡事正大光明, 丝毫不讲私情, 所以父子兄弟不能同号, 师徒虽有阶级, 然而心理平等, 例须互相见谅, 所以经理同人, 犹如一家, 上下相习, 戮力一心, 个个报着志存立功, 专事报主, 故业务上之统筹方法, 计算上之经济技巧, 无一不通。每有身份极小而异以一庄领袖, 不肯作弊, 盖恐失其人格耳, 人格一失, 准蔽耳目, 商界上不克容纳矣。”这种优良而浓郁的票号文化, 不仅铸就了票号十分重视诚信的经营特色, 而且极大地降低了票号员工犯错和舞弊的可能性。
5. 人力资源政策与实务。
设计再好的内部控制没有德才兼备的员工严格执行, 也不会达到预期目的。因此, 选贤任能, 加强员工品德素质的培训教育和监督考核, 对内部控制有效运行有着根本性的影响。票号的财东和掌柜们对此格外重视。票号财东选用掌柜的做法前已述及。
票号“选用职员, 教养同人, 非常慎重。当练习生求人说项之时, 恐有不良遗传, 必先问其以上三代做何事业, 出身贵贱, 再侦询本人之履历资格, 当面测其智力, 试其文字。如属合格, 择日进号, 为郑重人格起见, 名曰请进, 及明白宣示各个同人有升任经理之资格, 使其得以安心服务, 随处发挥智能。果为杰出人才, 短期间即可得到相当职务, 促其实地工作, 造就常识经验, 否则一年之间, 开除出号, 令其及早另图别业, 恐一延长, 徒误彼之青年时期。” (颉尊三, 1944) 票号使用的“经理同人, 全须有殷实商保, 倘有越规行为, 保证人负完全责任, 须先弃抗辩权。倘保证人中途废歇, 或撤保, 应速另找, 否则有停职之虞。同人感于如此严厉, 再受号上道德陶冶, 故舞弊情事, 百年不遇。” (颉尊三, 1944) 票号锻炼考察员工大多采用实验法, 采取“远使之而观其忠, 近使之而观其敬, 烦使之而观其能, 卒然问焉而观其智, 急与之期而观其信, 委之以财而观其仁, 告之以危而观其节, 一班两年而观其惰, 派往繁华以观其色, 期在练或磨而不砾, 三里而不淄, 方足以任大事也。故一号之中, 不敢断言尽皆忠、敬、能、智、信、仁、有节有规十全之士, 但不肖之徒难以立足。” (颉尊三, 1944)
为了鼓励高管人员勤奋工作, 票号对于掌柜和重要职员则实行“人身股”激励和约束。“人身股”亦云身力, 一般情况下, 每个结账期 (以四年或三年者居多) 大掌柜 (经理) 可顶“人身股”一股, 偶尔也有一股二、三厘者。其余顶股人员顶股之多寡, 即由经理视人才劳绩而酌定之。这样就形成了资本家出钱, 劳动者出力, 均有股份, 一经获利, 平等分配。以是经理伙友, 莫不殚心竭力, 视营业之盛衰, 为切己之利害。 (陆国香, 1936) 为了防止管理人员营私舞弊, 票号对他们制定了严厉的制裁与控制措施。“至若经理人与总店之关系, 则不但经理人个人对总店负连带责任, 即其家属, 亦不可不负责任。…凡遇破产, 不问原因如何, 均须严惩, …如分店发生损失, 认为经理人过失时, 则经理人及其家属全体, 对于总店均不可不负连带损失赔偿责任。损失赔偿之未终了之前, 下其家属于狱, 将彼等之财产全部没收。”“分号重要职掌之人员, 均有总号选派, 既经派出之后, 家族即由总号赡养, 实则以此为质, 不啻作为保证。在分号任事之时, 一切需要, 悉取于公, 详细列账, 存以备查。关于必要之交际, 均由号中开支公款, 并由号中特备华美衣服, 以供使用;来往家信, 例由总号代转, 不得自由寄发, 借此以便检查;及至任事期满之后, 持账交诸总号, 经总号复核无讹;如因在任事期内, 确能尽力于职务, 或有额外劳绩, 号务大有起色, 则由资本主酌给酬劳为报, 并归还其家属, 或者仍回原号之任;如有不能称职者, 则由总号调回察看, 再定去留;至于舞弊营私, 一经发觉之后, 则酌量情节之轻重, 以定惩戒, 甚至没收其财产, 拘留其妻孥, 不稍宽容, 毫无情面。” (东海, 1917) 同时规定, 派出分号经理及伙友, “不准接眷出外, 不准在外娶小纳妾, 不准宿娼赌博, 不准在外开设商店, 不准捐纳实职官衔, 不准携带亲故在外谋事。” (范椿年, 1935) 票号对分号人员控制之严, 由此可见一斑。
二、风险评估
COSO框架认为, 风险评估是识别和分析影响组织目标实现的相关风险, 未确定应该如何管理这些风险奠定基础的过程。它以组织的目标设定为前提条件, 以风险的识别、分析和应对策略制定为主要内容, 旨在为控制活动的实施提供依据。
1. 目标设定。
风险是目标受各种因素影响而难以实现的可能性。因此, 风险评估首先必须有目标, 管理层才能识别实现这些目标的风险, 并采取必要的措施来管理风险。目标可以明确地陈述, 也可以隐含地表达。通常有盈利等业绩目标、防止资源损失目标、防止虚假信息报告目标等。票号秉承中国传统的谦虚内敛的文化, 大多不公开宣称自己的经营目标, 但是, 追求汇兑差额、放款利息收入最大化、存款利息最小化和信息报告真实性等是众多票号心照不宣的目标。
2. 风险识别。
风险识别就是对组织面临的风险进行全面地辨认的过程。辨认时不但要从组织整体层面全面辨认面临的风险因素, 而且要从各项业务层面全面辨认面临的风险因素。票号兴盛时期十分注重风险的识别。“票号注意于国家兵事, 各省火灾、水灾、旱灾、风灾, 调查货物出产多少, 销处畅旺与否, 皆有银钱松紧关系, 预前早有布置, 临时从容得利。” (冀全禄, 1936) 八国联军侵华时, 日升昌的大掌柜及时撤销了成都、重庆、广州、汉口、张家口、开封等地的分号并辞退了员工, 避免了战乱导致的更大损失。
3. 风险分析与应对策略制定。
风险分析与应对策略制定就是将识别出来的风险因素, 按照其发生的可能性和可能造成的损失大小进行排序, 分清轻重缓急, 确定应对策略, 以便有序、有效地进行控制。票号也十分重视风险分析与应对策略制定。“票庄做生意, 必须视各庄之出产, 四时之遭遇。预测某处之丰歉, 早定计划以兑款, 届时银根松紧, 于中取利, 得贴水, 可卜优胜。” (王之淦, 1937) “经理倘视环境不佳, 恐将损及血本, 必挥其铁腕预筹退步, 绝不肯稍有疏虞, 故营业范围系以环境为比例, 活动为主旨;务使操纵自如, 绝不行险侥幸” (颉尊三, 1944) 为了规避信用风险, 票号规定“小商号与人名, 则曩不交易。”为了规避变现风险, 票号规定“货物抵押即不动产抵押, 则曩不许做。”“票号放款目的, 不图厚利, 但求稳妥与活动, 最忌冒险与迟滞。” (范椿年, 1935)
三、控制活动
COSO框架认为, 控制活动是那些能够合理保证管理层控制风险的指令得以贯彻执行的政策和程序。它是有关人员执行这些政策的活动。它可以发生于整个组织的所有层级和左右职能中。它包括一系列不同的活动, 如职责分离、授权批准、财产保护、会计记录、预算计划、运营分析、内部报告、业绩考评、稽核检查等。
1. 职责分离控制。
职责分离控制是指要尽可能将经济业务的处理过程划分为若干相对独立的职务, 把不同的职务特别是不相容职务分配给不同的岗位人员来执行, 以便形成相互联系、相互制约的机制。它要求任何业务都必须实行分工负责, 不能有一个人包办, 关键岗位的工作人员应当实行定期轮换和强制休假。如前所述, 票号组织机构的设置比较完善, 每个课内部又有严格的分工。如会计课也称为账房。在总号, 账房一般设有管账、副管账各一人, 帮账若干人。管账先生总理全号账目, 包括总号账目和分号账目;负责库存银钱出纳, 包括每天营业开始或进行中向营业课柜台支付低于柜存限额的银两, 营业终了向柜台收取的超过柜存限额的银两交, 以及总号与有关分号之间调剂银两的收付。副管账协助管账先生管理全号账目, 并具体负责总号的账务处理, 帮账在副管账的指导下负责有关账项的抄写, 以及有关数据的算盘计算等具体工作。分号账房一般分为内账房和外账房。内账房负责总清账, 计算利息, 编制月清和年总结等。外账房即汇划账房, 负责与总号、其他分号、客户之间的银两收付和流水账等。 (黄鉴晖, 2002) 这样不仅可以使会计课内管钱与管账工作相对分离, 而且可对柜房的银钱收付进行监督和控制。
营业课也称为柜房。柜房一般设总营业或营业、秤重念唱和书写记录等岗位。柜房出具汇票时, 先由专人验秤银两, 报出数量和成色等信息, 再由专人书写汇票, 最后总营业或营业审批并亲自签章;兑现汇票时, 先由专人审验汇票, 再由总营业或营业审批并亲自签章, 最后由专人秤付银两。“各庄首领 (大掌柜或老帮) 每星期必须实地阅看账簿折据。” (黄鉴晖, 2002) 为了培养员工具有全面的工作能力, 增进各岗位员工之间的相互理解, 同时强化相互监督, 票号十分重视岗位轮换, 规定“久办内事者必使去办外事, 久办外内事者必使去办内务, 彼此事理通达, 自能免除隔阂, 并含有互相监督, 各守名分之效果。”“故有一班 (一个任期, 通常为两年) 而调任别处, 或一处一班而不克续班之例, 意在使号上之人对各地情形知底细, 并可防杜同人舞弊。盖一经交替, 须交代清白, 负责报总号也。” (颉尊三, 1944) 为了体现人文关怀, 也为了加强内部控制, “票庄与旧式的商业机关一样, 没有定期休息, 但各职员依一定服务的年限及地方的远近, 可得多少假期, 总号人员两三个月可以休息七天, ……太原分号一年休息两个月, 天津及其他各地分号, 原先三四年休息半年, 后来因为交通便利, 改为两年或两年半休息一次。东三省及边陲远处, 则五年后休息一年, ……不论几年休息一次, 概称为“班期”, 到休息时回家, 即所谓“下班”。 (陈其田, 1936)
2. 授权审批控制。
授权批准控制就是所有经济业务的办理都应当事先得到授权 (一般授权或特殊授权) , 业务经办人员必须在授权范围内办理有关经济业务, 承担相应经济责任。为了规避经营风险和员工舞弊风险, 票号建有比较健全授权审批控制机制, 包括财东的授权审批控制、大掌柜 (经理) 的授权审批控制和总号的授权审批控制。“凡扩充业务、赏罚同人, 处置红利, 全由财东裁定执行。” (颉尊三, 1944) 票号日常经营管理中的“大事须决之于经理”。票号实行高度的“中央集权, 资本既储总号, 获利也归总号计算, 以总号为中心, 各地分号不过是辅助机关而已, 立法甚为严密。” (陈其田, 1938) 各分号必须严格执行总号规定的经营范围和程序, 超出总号规定的业务和事项都必须向总号请示, 到批准后方可执行。例如, 1884年大德通票号的号规就规定:“遇景逢情, 囤积些实项货物, 预与祁铺 (总号) 达信, 请示可行与否, 遵祁信办理, 不得擅自举办。” (黄鉴晖, 2002)
3. 财产保护控制。
财产安全控制就是为了保护财产安全完整而专门实施的控制政策和程序, 现代常见的财产安全控制政策和程序有:财产物资的专人保管与限制接触、投保财产保险、作永续盘存登记、定期盘点财产、加固财产保管场所、为财产票据设置密码与防伪措施等。票号在长期的实践中摸索出了很多有效地保证银两安全内部控制措施。以最早的票号——日升昌为例, 为了保证银两安全和汇票不致被冒领, 他们不但在人们意想不到的地方 (与出纳室相通的小户休息室地下) 设置秘密银窖, 而且区别生熟客人, 采用不同的汇兑方式:生客来到日升昌办理汇兑一般用对折汇票, 即将汇票对折, 在折缝处加盖骑缝章, 然后一分为二, 一半由顾客自带, 另一半由票号随信寄往分号, 顾客取钱时, 两半汇票拼对相符才可取钱。给熟客办理汇兑, 则将整张汇票交给顾客, 票号只需要在寄往分号的信件中说明取钱人及其数额等信息, 熟客就可凭整张汇票取钱。票号采用四重保险措施:第一重为水印, 日升昌的汇票都印有“昌”字水印。第二重为笔迹, 所有汇票都由号中同一个伙计书写。第三重为在汇票上写明取款人的外貌、声音、衣着等, 第四重为密押。为了防止汇票被人涂改掌柜都要编制一套密码, 可以用来表示签发时间、数额等。总号、分号中都只有经理两三人知道密押。日升昌100多年间共使用了300多套密押, 平均一年换3次密押。为了防止密押被人破译, 汇兑后汇票要被票号收回销毁。 (黄鉴晖, 2002)
4. 会计记录控制。
会计记录控制就是通过全面、连续、系统的会计记录, 如实反映经济活动情况, 保证财产物资安全。它通常包括健全凭证组织、账簿体系和报告内容, 采用科学的记账方法, 选用适当的会计政策, 严格会计档案保管和会计工作交接等。受我国“经商必须理财”传统文化的熏陶, 票号的财东和大掌柜历来重视会计控制, 其会计账簿组织十分详细和完备。“票号账簿, 原属一种旧式簿记, 但其组织之完备, 登记之详密, 亦可称为旧复式簿记。总号除本总号应有之营业各账外, 尚有各分号之营业报告, 亦须分别记账。每月有月清册, 到决算期 (大概齐十月底者居多) , 以月清而统造年清, 绝无丝毫错误。以彼时各地平码之繁杂, 银色之差异, 而到决算时期, 统以本平本色 (即本号资本之平色本位) 折算入账, 曾无发生错讹。” (范椿年, 1935)
“票号账簿大致分为流水账、老账、现金账、浮记账四种。…… (1) 流水账:各项交易均须于此账内先加分录, 然后过入老账。有银流水宝账和钱流水宝账之分。……账内抬头之下分上下两方, 上方记载收入, 下方记载付出。 (2) 老账:依流水账各个抬头, 分别记载之账簿, 该账包含全部财产变动之综合。故据之可知财产状况及营业损益。此账名称虽多, 要亦不外入出老账与收取老账两种。入出老账专载营业上之损益……;”收取老账系表示营业上对内对外之一切资产与负债, 收即银行之负债部分, 取即银行之资产部分;是以出入老账合计之余额, 即等于收取老账之余额。以大德通票号为例, 老账抬头有:万金账 (资本账) 、钱来往宝账、银来往宝账、各铺来往账、外该借贷账、收借贷账、各路存户汇项账、汇银宝账、收出满加账、出入平色宝账、收贴费现利捐项银账, 未到期票项宝账、外庄人本账, 应支账、辛金衣支账、杂役宝账等。 (3) 现金账, 为核计库存而设, 故凡逐日出入现款, 必须登记此账, 其收付合计之余额, 即本日库存之数。 (4) 浮记账:为省时间而设, 因当年票号极盛时代, 逐日交易, 事务过繁, 如往来存款一种, 特别增多, 若逐宗记之流水, 再有流水抄入老账, 实非二三司账员所能胜任;于是, 为增加工作效率计, 乃设此账, 将往来存款暨同仁 (即同行) 暂记等项, 不过流水, 径登此账, 待日终结算时, 只用将收取两方之合计数, 一笔移转于流水账。” (卫聚贤, 1934)
票号实行以账代表的的财务报告方式, “报告使用旧时账册, 如同账本一样。报告内容, 首先是各项总结起来的数字, 并写在前面;其次, 关于各项总结数字的具体花名、数字及地点, 都写在后面。”“这样, 总号看过之后, 不仅可以稽核数字, 而且可以明了都是做了些谁的生意, 有哪些收入和花销, 有没有问题” (黄鉴晖, 2002) 总号“每年年终汇集各庄营业报告表, 造具清册, 报告财东一次。倘有较大之事项, 临时须报告财东, 完成手续。” (颉尊三, 1944) 为了防止密押被人破译, 票号的汇票汇兑后都要被收回销毁, 因此, 票号没有完整的会计凭证体系, 这为事后核查其汇兑业务和账簿记录的正确性带来了困难。因此, 我认为, 现在人们常说的票号一百多年的经营历史上几乎没有发生过差错和舞弊, 是无法考证, 不足为信的。
5. 运营分析控制。
运营分析控制就是组织的管理人员应当注意及时收集各方面的信息, 认真进行分析, 及时发现问题, 找出原因, 加以妥当处理, 保证营运始终平稳有效进行。票号商深知“买卖赔与赚, 行情占一半”的道理, 十分重视运营行情的收集与分析。如祁县乔家大德通号规规定:“须勤阅报纸, 以明当今时务。至于耳目流通, 诸位留意, 更是吾等分内之事。须与伙等时常讨论, 果能尽一份人力, 自可得一份实效。”各分号每日都要根据“跑街”收集的信息进行行情分析, 平时根据总分号之间和各分号之间的书信往来沟通的信息进行行情分析, 还要密切注意相关灾害的发生情况和分号所在地一年四季的农业生产的丰歉情况, 进行行情分析。
6. 业绩考核控制。
业绩考核控制就是组织采取与组织目标相一致的绩效标准, 对员工的工作业绩进行考核, 并据以进行奖惩, 以促进员工勤奋地为组织进行工作的控制方法。业绩考核控制是票号内部控制的主要特色之一, 包括财东对大掌柜的考核, 总号对分号经理的考核, 以及总号和财东对员工的考核。总号对分号经理的考核是通过分号经理每年年关回总号述职考评进行的。例如, “日升昌全国50多家分号, 掌柜每年年关回平遥述职。述完职后, 吃团圆饭, 大家围坐在大园桌边。面冲门位尊, 背对门位卑, 排位时既不是按资历也不是按年龄, 而是看当年的业绩, 业绩最差的背对门坐。连续三年背对门的掌柜就要下课回家。” (王立彦等, 2007) 每次营业决算后, 总号要根据分号纯收益的多少给分号经理一定比例的“花红”, 存于分号, 叫做“经理人损失赔偿准备金”, 计一定的利息, 只要分号经理认真工作, 任期内不出现过失, 离任时就可以连本带利一次性提取。对分号员工的考核, “及至任事期满之后, 持账交诸总号, 经总号复核无讹;如因在任事期内, 确能尽力于职务, 或有额外劳绩, 号务大有起色, 则由资本主酌给酬劳为报, 并归还其家属, 或者仍回原号之任;如有不能称职者, 则由总号调回察看, 再定去留;至于舞弊营私, 一经发觉之后, 则酌量情节之轻重, 以定惩戒, 甚至没收其财产, 拘留其妻孥, 不稍宽容, 毫无情面。” (东海, 1917)
7. 稽核检查控制。
稽核检查控制, 包括稽核控制和内部审计控制。为了及时发现业务和财务活动中的错误与舞弊, 现代企业管理要求在业务和财务活动要嵌入稽核职能, 随之对发生的业务和财务活动及其记录进行及时的、经常地和连续的稽查和核对, 包括账账核对、账证核对、帐表核对、账实核对等;同时还要求在业务和财务部门之外设置独立的内部审计部门, 对业务和财务活动的合理性、合法性和有效性进行独立的、定期的、全面的审查和监督。
山西票号也有比较完善的稽核制度。包括大掌柜或其特派员每年对分号的例行巡视、每年对分号的例行稽核检查, 以及对员工家信的检查和对回家员工的检查等。“大掌柜每年例须巡视各庄一次或两次, 有时另派大员代理。此项举措万分重要, 凡人位之处度不宜, 同人暗行不端, 手续不合潮流, 市面情况变迁, 皆为业务上之阻碍, 视察所得立时处理。” (颉尊三, 1944) 例如, 大德通票号在其1912年的号规中就规定:“每年正月初八日, 选派稽核一二人, 分巡各庄稽核, 当选员不拘住家住外, 临期带祁信 (总号信件) 前往, 稽核之事如下:专查内外事件;账簿折据;本号人位优劣;审查社会之情形, 定进退之标准。稽核员往返各处之川资旅费, 一切零用, 开单结祁, 各庄不得酬送分文, 己身置买衣物等件, 实记实结, 运费厘税, 一同结祁, 以取正己正人。稽核员每到一庄, 协同首领, 对本庄伙友, 宣读章程一遍, 然后依章程次第认真实行查核, 如有违章情事, 若系伙友所犯, 稽核与首领权事之轻重, 有黜陟之权, 不待商祁, 勒令回祁出号, 此层务须被除情面、务稍瞻循, 有负职责。” (卫聚贤, 1944) 对分号员工家信的检查, “来往家信, 例由总号代转, 不得自由寄发, 借此以便检查。” (东海, 1917)
四、信息与沟通
COSO框架认为, 信息与沟通就是及时、准确、完整地收集与企业经营管理相关的各种信息, 并使这些信息以适当的方式在企业有关层级之间、企业与外部有关各方之间进行及时传递、有效沟通和正确应用的过程。信息与沟通是有效实施内部控制的重要条件。“票庄做事, 尽凭信函灵通。” (王之凎, 1937) 因此, 票号十分重视信息收集与沟通, 设有专门的信息收集职位——“跑街”和专门的信息管理部门——信房, 由管信 (文牍) 先生指挥司信数人处理往来文件和信件。票号信息收集与沟通体系十分健全, 包括“跑街”的信息收集、总号与分号的信息与沟通、与其他票号之间的信息沟通、与主要客户之间的信息沟通等等。跑街是票号的日常业务兜揽者和市面信息收集者。“跑街者, 或在本市, 或派往他市, 每晚必至经理前详细报告本日所营事业, 及各庄各行商情, 由是各路银势之松紧, 汇水之涨落, 可以知其梗概, 而筹划营业。” (陆国香, 1936) 总号与分号之间、分号之间的信息与沟通最为重要, 票号不仅规定了报告的时间、事项及内容, 而且设计了内容丰富且能够相互印证牵制的报告体系。各分号遇事都要通报总号, 包括财务、业务、人事、行市、证据等信息, 而总号也许一一答复, 并传达相应的管理信息。各分号对于“每日市面银钱行情, 平稳时由普通信分报联号各庄, 如遇行情暴涨暴落时, 在未通电报前, 用加紧专信报告有直接关系之各分庄, 其无直接关系各庄, 则用普通信报告之;自通电报后, 则由电报报告之。分号每逢月终, 须将本月内之营业, 详细造具清册报告总号, 及联号各分庄;并于造具清册后, 附报后三月之‘比期’ (此三月内预计后三月之生意, 俗称比期) , 详述收交之银, 或有余或不足, 以通消息而资联络, 使各分庄作收交上之预备。每遇年终结账一次, 报告总号, 以结总号之总账, 并分报联号各分庄, 以便核对通年账目之有无错误, 俾清手续。” (陆国香, 1936) “票号所用信札, 分为正报、复报、附报、叙事四项。正报者, 报告本号直接对某分号营业之事项。复报者, 报告本号前次对某分号营业之事项。附报者, 对其他分号报告本号与某分号之各种营业事项。叙事者, 于报告营业之末尾, 再另起稿叙述本处近日市面商务之情状, 及一切其他事务。” (范椿年, 1935)
“从前票号, 各有势力范围之区域, ……营业之偏重。”但是, 各家“票号无不互相联络, 故其关系密而机关广, 彼此声息相通, 所以汇兑敏捷。” (东海, 1917) 为了加强与客户的沟通, 招揽生意, 规避风险, 票号“北京经理经常出入于王公大臣之门, 省会经理亦往来于督抚藩臬之署。” (范椿年, 1935) 为了防止传递信息的失真, 票号规定信房先生不能顶“身股”而实行高薪, 因为如果他享受分红, 就有可能因为书信内容关乎分号业绩高低, 从而关乎自己分红多寡, 而不如实写信, 所以, 无论分号审议发展的如何, 他的年薪都是500两银子, 是分号掌柜年薪的五倍。
五、监督检查
COSO框架认为, 要使内部控制始终保持较高的有效性, 就必须由企业权力机构授权企业相对独立的部门对内部控制进行不断的检查评价, 及时发现和解决其中存在的问题, 包括例行的定期检查和发生重大错弊事件后的不定期检查。票号也很重视包括内部控制制度在内的规章制度检查评价和改进, 不但有前述的比较健全有效的稽核检查控制措施, 而且要定期根据发展变化了的内外部环境, 对票号号规进行全面修订。如大德通票号从1884年成立议定号规起, 于1888年、1901年、1904年、1913年、1921年五次全面修订号规。
总结山西票号的内部控制实践, 可以看出, 尽管当时没有完整的内部控制理论作指导, 但是, 即使用现代内部控制理论框架来观察, 其内部控制结构是相当完整的, 控制措施也是相当有效的, 而且还有不少特色内容值得我们现代人传承、借鉴或学习。比如:
1. 制度控制与文化教育相结合。
票号在尽可能设计和运用好各项规章制度进行制度控制的同时, 尤其重视文化教育对内部控制的作用, 如品德至上的聘用制度、严格的号规禁律、实践考验员工品德等。“票号较优于普通商业之特点, 虽亦以营利为目的, 凡是则以道德信义为根据, 大有儒学正宗之一派, 故力能通有无, 济公私, 显宦信, 足行州里, 施蛮貊, 近悦远来, 开银行先河, 创久远之盛誉耳。” (颉尊三, 1944) 票号的这一经验很值得我们学习。再先进严密的内部控制制度也是要靠人来执行的, 只有具有充分诚信品德的人来执行内部控制制度, 制度才能充分发挥其效用。一些现代企业 (如中航油新加坡分公司) 的经营失败, 并非内部控制制度不健全, 而是其文化建设和教育出现了问题, 这从反面说明票号重视文化教育在内部控制中的作用是何等的英明。在我们大力加强内部控制制度建设的当代, 一定要好好学习票号的经验, 切实加强以诚信为核心的企业文化建设。
2. 治理结构优化与员工人身控制相结合。
票号所设计和实施的以两权分离为特征的“东掌分离”治理结构与现代公司治理结构惊人相似, 足见其先进性。在东家放手让掌柜自主经营的同时, 东家还采取了一系列对员工人身进行控制的措施, 如只任用同乡、相与同乡、富商名流担保、包养 (扣押) 员工家属、不准在外娶小纳妾嫖娼、班期回家探亲应先到总号接受审查, 员工家信要有总号审阅后转交等。这些做法现代看来虽具有封建性, 甚至非法性, 但在当时确实是可行的, 也确实有效。在公司治理结构日益为“内部人控制”所侵害而日益式微的当代, 如何通过合法而有效的方法加强对管理人员的控制, 使其忠心耿耿地为全体股东利益服务, 是亟待我们研究解决的课题。票号在这方面的思路和做法值得我们在完善公司治理和企业管理工作中加以借鉴。
3. 充分激励与严格约束相结合。
票号不但设计和实施了与现代企业“股票期权激励”十分相似的“顶身股”制度, 而且设计和实施了独特的“故身股”、“花红”制度, 把对员工的激励与约束高度统一起来, 成为票号走向成功的“秘密武器”。但是, 顶身股制度规定, 顶身股者不承担亏赔责任, 导致了一些掌柜为了追求红利而不顾风险的问题, 这也是导致票号衰落的重要原因。现代很多企业实施“股票期权激励”制度, 虽然对经理人起到了很好的激励和约束作用, 但是, 由于“内部人控制”日益严重, 自我签订薪酬契约的问题日益普遍, 导致经理人负赢不负亏、薪酬急剧增加, 驱动弄虚作假、虚增利润问题日益严重。这与票号衰落时的情形极为相似, 因此, 票号在这方面的惨痛教训应当引起我们当代人高度的重视。
摘要:山西票号辉煌一百多年, 给人们留下了丰富的商业文化, 其内部控制文化尤其值得称道。即使从现代内部控制理论框架观察, 这种文化也是相当健全与合理而且极具特色的。比如超前的治理结构、有效的人文控制、健全的信息与沟通, 以及严格地绩效考核等, 都值得人们认真的继承和借鉴。
COSO模型 篇4
一、高校内部预算环境建设的价值所在
1.内部控制环境
国际上很多相关专业的团队陆续发布了一系列文告, 文告的内容是关于内部控制的释义、汇报、评估及改善方法, 以及如何使企业团队的内部控制体系更加规范。1992年, 由COSO委员会发布的关于指导内部控制实践的COSO报告对全世界造成了最广泛的影响。COSO的整体框架思想随后被许多国家的各行各业普遍采用。
关于内部控制概念中对内部控制环境的定义可以看出, 内部控制环境可以归纳为对人的素质要求、内部权力治理结构以及人力资源政策三个基本方面, 这三个方面的核心要素是人。其中, 人的素质是根本, 治理结构是基础, 人力资源政策是保证。
2.高校内部预算环境建设的意义
高校预算环境是指对高校预算活动产生影响作用的一系列条件, 包括外部条件和内部条件。高校预算外部环境是高校自身难以改变的外部约束条件, 而高校预算内部环境则是高校通过自身努力可以改善和优化, 并由此增强对外部环境的适应力。
从内部控制角度看, 预算的实际性内容是被委托责任的双方当事人关于所委托的责任的量化协议;而所谓责任预算即是以分权管理为前提, 把一个机构的总的任务分解成子任务到各个部门, 将总的被委托的责任分化为结构内部各个责任部门的内部受托责任, 使被委托的责任部门在自己职责和权力的范围内, 各司其职, 从而保证机构被委托的总任务顺利实现。
尽管COSO的内部控制概念是以企业为对象而建立的, 但是它的核心理念也同样适用于高校。COSO报告中关于内部控制环境的内容占的比重是比较大的, 报告里面内部控制环境的构建就相当于为整个内部控制工程打地基, 影响着也支撑起整个工程里其他内部控制的要素。换句话说, 要建设内部控制系统必须先把内部控制环境做好。这对高校预算内部环境建设具有同等意义。
二、高校内部预算环境的不足之处
(一) 高校管理者的素质缺陷。
COSO报告重视管理者素质对组织内部控制的作用, 将个人诚信正直、道德价值观与所具备的完成组织承诺的能力视为内部控制的领导者和执行者的素质的关键。我国高校的管理模式比较松散。高校的领导者大多对市场经济了解颇少, 几乎都没有危机意识, 高校内部控制的效果亦很微弱。很多高校好高骛远, 学校项目建设追求更大、更新、更标准。无休止地通过向银行借贷的方式满足日益膨胀的追求, 而不去理会沉重的利息带来的负担和风险;且学校内部规章制度随意化, 没有很好的设定内部控制的要求;学校在执行方面也很宽松, 内部控制的成效微乎其微。具体到预算管理上, 预算观念落后, 预算编制不周全, 预算调整随意性较大, 预算的控制功能得不到保证等种种表现, 均显示出高校管理者的素质状况距COSO报告要求的内部控制的组织者和执行者的素质要求尚有欠缺。
(二) 高校内部治理结构缺陷。
COSO报告指出企业是多重契约关系的组合, 而股东群体与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系, 因此企业内部控制中的“内部”就应从组建法人治理结构开始。内部治理属于内部控制的基础部分, 是构建内部控制的平台。契约关系是企业里普遍存在的, 而高校也拥有类似的关系, 其中最基本的关系是办学和治学。眼下各高校出现的内部控制问题无一幸免与高校内部治理结构合理程度不达标有关。有的高校还没有建设、完善预算管理制度, 而有些高校建设的预算管理制度漏洞百出, 执行团队也犹如一盘散沙。预算的执行过程宽松不受约束, 执行者们完全掌握预算管理的各方面, 能做出随意增加或者调整预算项目、扩大经费支出盲目追求高标准、甚至把预算项目的整体方向也改变的事也就不足为奇了。
(三) 高校人力资源政策缺陷。
COSO报告特别强调人在内部控制中的核心作用, 事实证明, 一个组织发展的精神核心往往是人力资源, 只有人力资源的运行机制和制度得到有效地完善, 高校预算内部控制才更容易走向科学的发展方向, 策略才能有效又有针对性;而内部控制预期目标的实现也才能更快更有保障。如今, 各高校预算的科学性有待增强。比如大多高校在预算编制上仍采用“基数+增长”方式, 很多部门向国家申报预算经费并不以自身实际情况为依据, 而是想方设法放大预算的规模, 这样的话, 不能有效的发挥国家资金的价值, 使资金以及资源很大程度上被浪费掉。
三、高校内部预算环境建设的对策
(一) 提高高校管理者的素质
1. 提高领导层的管理素质。
机构内部的控制是一项系统性的工程。而领导层的素质是决定内部控制工程顶层设计能否完好的重要因素。只关注发展不注重管理是高校领导层的通病, 所以领导阶层应尽力转变这种思想, 加强内部控制意识;学习并建立新型管理模式, 加强主导能力, 努力加强内部管理控制机制的有效性和科学性;做到严于律己, 率先遵循制度, 认真执行制度并且监督执行程度, 保障内部控制有效、井然有序的运行。
2. 提高执行层的管理素质。
管理人员的素质对管理水平的高低起着至关重要的作用。管理人员应遵循诚信管理的宗旨, 加强诚信和道德以及价值观的教育;制定独具特色、具有针对性的行为规范和道德标准, 为诚信管理制度奠定基础;增强管理人员的业务培训和学习。加强服务意识, 提高管理水平。
(二) 优化高校内部治理结构
随着高校服务社会经济的职能进一步发挥, 高校参与市场的机会越来越多, 高校治理结构必须适应现代内部控制需要加以改进。高校应主动尝试建立现代大学制度, 构建科学的高校内部治理结构。
1. 提高建立新型高校内部治理机构的速度。
现代大学制度下的新型高校内部治理机构需自己开创, 并没有现成的可依循的模式, 不过现代大学生制度的特点和性质以及各种要求已经获得了国内各人士的共鸣, 各高校应该积极自觉地按照正确的政治方向并且以高等教育的客观规律和职责要求为基准研究并且创立现代大学治理机构。创立与现代高校特点相符合的独立办学和自我约束相映衬、积极富有活力、对学术创新发展对学生健康成长有帮助的办学实体。
2. 积极推行高校预算决算公开。
财务公开透明运行是高校治理结构的重要环节。高校管理者既是内部控制的主体也是内部控制的客体, 一旦管理者自身利益受到牵制, 就有可能采取措施规避所受牵制, 使内部控制弱化虚化。建立高校预算决算公开机制是有效应对之策。通过预决算公开将高校资源配置、资源使用情况置于广泛监督之下, 可以强化高校内部治理结构的维持和保持持续的改进。
(三) 加快高校人事管理转型
1. 建立不可或缺的风险管理体制。
人力资源风险当之无愧是组织中最大的风险。人力资源属于一种资源风险, 所以它也存在一般资源所存在问题。如短缺风险、积压风险、流失及滥用风险, 另外还有它特有的风险, 如增值风险、保密风险和竞争风险等。这些风险和日常的人力资源管理息息相关。导致内部控制系统崩溃的最大风险一般就是人力资源风险。高校人力资源的管理应该尽力防范人力资源风险的发生并且借鉴风险管理的应对策略, 以保障内部控制健康、有效地运行。
2. 创建岗位绩效管理机构。
高校内岗位设置欠合理、人力资源效率低等问题由来已久, 若不尽快着力解决, 内部控制的执行成效必然会微乎其微。而建立现代岗位绩效管理机构可以有效地完善人力资源管理。建立绩效目标、加强绩效辅导、完善绩效考核、严格对待绩效结果等措施可以加快人力资源运行机制的启动, 当组织的运行效率有所提高, 才能保障内部控制合理运行。
参考文献
[1]乔春华.我国高校预算存在10大问题的理论思考[J].江苏教育财会, 2013 (01) .
[2]王洪才.论现代大学制度的雏形[J].中国高等教育, 2008 (18) .
[3]袁贵仁.建立现代大学制度, 推进高教改革与发展[J].中国高等教育, 2000 (03) .
COSO模型 篇5
一、控制环境首先是对人的有效控制
COSO理论认为, 控制环境是推动控制工作的发动机, 奠定了组织的风纪和结构, 并且涉及到所有活动核心——人, 特别是人的觉悟。而觉悟是隨客观环境而不断变化的, 特别是在极度危险、意外和利益面前, 觉悟对意志薄弱者来说, 有时是很脆弱的。所以, 对人的最直接的约束还是制度。奥地利经济学家哈耶克认为:制度设计关鍵在于对人的假设。必须把人都看作是追求利益的、甚至是自私的人。尼克?李森指出:“有一群人本来可以揭穿并阻止我的把戏, 但他们没有这样做。我不知道他们的疏忽与罪犯级的疏忽之间界限何在, 也不清楚他们是否对我负有什么责任, 但如果是在任何其他一家银行, 我是不会有机会开始这项犯罪的”。分析这番话, 再结合交行打包的巨额不良资产分析, 可以看出, 银行的内部控制问题已不是少数几个领导者的问题, 而是每个人对内部控制都负有责任, 全行都应从上到下都具有贯彻银行目标和经营理念的觉悟, 主动维护而不是被动执行内部控制中的各项规章制度。但是, 一个制度的实施绝不应该是静态的, 一方面当经营环境有所变化、经营方针也随之改变时, 制度本身也必须及时加以修正;另一方面就是必须时时查证所建立的制度是否得到正确的执行。一个好的执行制度者, 能够弥补制定制度时的不足, 而一个再完美无缺的制度, 也会丧失在一个不执行制度的管理者手中。不认真执行制度和内控机制不完善的现象, 很容易出现在高度集权的管理模式、职责不清的管理层次、不稳定的管理机制和观念、心态、素质较差的管理者一方。一个银行的制度一旦被忽视、被破坏或制定了无效的制度, 它将会给银行的生存和发展带来毁灭性的灾难。
二、文化控制是内部控制的核心
管理学家丹尼尔?雷恩认为:管理是文化的产儿。企业文化是企业成员所有共享的价值观念、信念和行为规范的总和, 它体现在生产、管理、经营的全过程。一方面, 企业文化的核心问题是以人为本, 它将人视为企业的最重要资源, 倡导围绕调动企业中人的积极性、主动性和创造性开展一切管理活动, 其核心是理解人、尊重人、激发人的热情, 实现企业与员工共同发展的目标, 它对企业的成功起到关键性的作用。花旗银行之所以成为世界最大的全能金融集团, 其主要原因之一是它不断创造了亲情化的企业文化, 使员工与企业同步成长。另一方面, 企业文化又必须保持与环境的适应性, 不断发展先进的文化理念, 并将文化与业绩结合起来, 否则也会导致失败。作为银行的企业文化建设, 是银行提高员工忠诚度和向心力的重要手段, 有助于银行将员工个人目标有效地统一到银行的组织目标上来。尤其是银行在知识型员工比例不断增加的情况下, 企业文化对激发员工自我实现愿望、鼓励员工的创新潜力、培养员工的合作精神具有重要的作用。持续学习、开拓创新、系统思考、空前开放的文化氛围, 是企业文化生命力的所在。
三、管理者素质要与用人成本要相匹配
管理者的素质对银行的经营发展与影响关系重大。这次交行集中处理的巨额不良资产, 相当一部分不良资产的形成是由于管理者责任不明, 违规成本太低、粗放经营所造成的经济损失。我们对管理者的素质要求, 不仅仅是指知识和技能, 还要包括操守、道德观、价值观和世界观等方面的考核。这就要求我们利用现代人力资源管理的理念抓紧建立以识人为基础的工作分析系统, 以选人为基础的招聘选拔系统, 以用人为基础的配置与使用系统, 以育人为基础的培训与开发系统, 以留人为基础的考核与薪酬系统。
要对给国家造成重大经济损失的责任人进行责任追究;要定期对管理者进行领导决策责任、管理责任、法律责任和经济责任的考核与查办, 用责任追究方式对形成资产风险的人为因素进行有效的规避。
四、信息控制可减少风险发生的概率
一是持续控制。在银行目标实现的过程中, 合理的设置控制过程, 采取适时的控制方法和保持及时的信息沟通, 及时对员工的业务活动进行衡量与纠正, 方能在一系列连续的、一致的、精确的保证措施上, 使银行各项计划得以实施。
二是前期控制。贷前调查就是前期控制、贷中和贷后就是持续控制。当前, 银行的内部控制职能作用更加重要, 内部控制的快速发展必然要求内部控制的管理要持续和深化, 银行的每一名员工都应对自我评估和监控负有责任, 都应该对干扰和破坏内部控制的行为有报告的责任。
三是应采取风险预控策略。远离可能导致较大的风险诱因;实行零缺陷管理;设计良好的防范机制;防微杜渐, 及时解决小问题或小错误。
五、经营要以人才为先行
COSO报告阐述了内部控制管理中最核心的问题, 即对人的激励问题。激励不是对人才的操纵和控制, 而是通过满足需要对人的行为的引导和对人的积极性的调动。所以, 银行对人力资源的态度, 直接影响人才的业绩和表现。银行对员工的考核要对专业技能、工作业绩及学识水平、专业资格, 对职业道德的遵守以及对银行规定的拥护, 并着重在心理能力和体力能力上考察。在某种意义上, 领导者应该准确地把握员工的特点和他们对培训、成长和晋升等方面的需求, 通过监督工作过程和评价工作结果, 为员工提供实现职业理想和获得满意的工作。
六、制度须强制执行才有效
一个组织中有的人不进取, 反倒影响别人进步, 长此以往, 组织中这种势力和影响就占了上风。银行在未来的竞争中, 如何摆脱这种“螃蟹困境”, 拥有一批杰出的领导和优秀的员工, 在经济战场上打好仗, 打胜仗。笔者认为不但要制定出好的制度, 而且要强制执行才有效;强制出习惯, 习惯才能出文化, 强调执行将成为新的企业竞争力。在激烈的竞争中, 执行力必将成为一个企业发展壮大、立与不败之地的沃土。
七、对违规、违纪者及时给予应有的处罚。
按照美国政治学家威尔逊和犯罪学家凯林提出的“破窗效应”分析, 从人与环境的关系角度来看, 我们周围生活中所发生的许多事情, 都与环境的暗示和诱导有关, 尤其银行经营风险的潜在性、扩张性、偶发性、周期性和破坏性, 由于我们的熟视无睹, 继而爆发经济危机和导致银行破产的事例不断。
八、只有责权分派, 才能各司其职
COSO理论认为, 构成组织结构的一个重要方面是界定关键区域的权、责以及建立适当的沟通管道。权责分派包括指派进行营运活动的权与责以及建立沟通管道和设立授权方式等, 银行组织要设立清晰的职位“层次顺序”、流畅的“意见沟通”管道, 有效的“协调”与“合作”体系。银行内部分工必须明确, 责任必须到位。权责分派的目的最终是要各司其职, 责任的前提是能够发现问题, 即各职位上的人员必须承担发现问题和解决问题的责任, 要形成各职位上的人员或者因为要提升个人价值而努力发现问题和解决问题、或者因为惧怕遭到惩罚而努力去发现问题和解决问题的氛围, 并以问题的发现和解决为主线, 明确各岗位之间的关系, 根据工作联系链所要求的责任关系, 谋求解决问题的途径。同时, 银行还要给各职位上的人员努力发现问题和解决问题创造一定的条件, 使他们努力发现问题和解决问题的程度和效果与其个人利益之间关系紧密结合起来。
参考文献
[1]杨美丽:公司治理中的会计信息披露问题研究 [D];山东农业大学; 2006年
[2]黎代福:商业银行全面风险管理 [D];厦门大学; 2006年
COSO模型 篇6
一、COSO理论内部控制系统的框架
COSO报告认为, 内部控制由相互联系的五个要素组成:控制环境、风险评估、控制活动、信息沟通和监督评审。
1. 控制环境。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等。主要的问题是管理层要充分说明内控的完整性;组织内部要有积极的控制环境, 使整个组织中的员工具有控制觉悟和自觉的控制态度, 特别是领导层要积极地进行控制;员工的能力与其责任要相匹配。
2. 风险评估。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险, 需要不时调整内控。
3. 控制活动。
控制活动包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令保证控制活动的针对性等等。
4. 信息与交流。存在于所有经营管理活动中, 使员工得
以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息, 包括管理者对员工工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。
5. 监督评审。
是管理层对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或分别单独的, 也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。
二、基层央行内控机制存在的问题
基于以上对内控规范的了解和透视, 对比基层央行的内控制度现状, 基层央行在内控制度的建设上存在如下问题:
1. 控制环境薄弱。
当前, 基层央行内部控制环节还存在薄弱之处, 主要体现在:一是观念模糊, 将规章制度与内部控制混为一谈。规章制度只是内部控制的一部分, 是内部控制的基础和主要依据, 是一种静态的概念, 有了规章制度, 并不等于有了内部控制;而内部控制是一种各项业务运作过程中环环相扣、相互制约的动态机制, 是风险管理的本源性控制。二是缺乏系统性、针对性的制度体系。内控制度执行的前提首先是要做到“有法可依”。换言之, 就是要首先解决内控制度的缺失问题。近些年来, 随着人民银行业务的不断发展变化, 中央银行职能调整后, 业务涵盖的范围逐步扩大, 岗位风险防范的范围和难度越来越大, 业务领域潜在风险日趋加剧。为了加强内部控制、防范金融风险, 相继出台了《中国人民银行分支机构内部控制指引》及《中国人民银行西安分行内部控制报告制度 (试行) 》等内部控制指导文件。作为部门规章颁布的这些内控制度, 其条文的原则性和慨括性较强, 显而易见, 它们只能关注内控中普遍性的问题, 但是作为基层央行还未能做到根据自身的实际情况和特点, 明确关键控制点和控制环节, 制定适合自身需要和符合实际的内部控制制度。
2. 风险意识淡薄, 评估空缺。
在内控系统中, 决策者、执行者、监督者如鼎之三足, 组成一个相互牵制的整体。由于受传统体制影响, 在许多基层央行中, 一线业务部门的相互牵制制度都比较完善, 但监督者与执行者、决策者之间的相互制约往往被忽视, 常常出现个别人说了算的局面, 从而导致内控系统失效, 给本单位造成内控风险。加之内控制度缺乏科学的量化评价体系, 好与坏的区分标准模糊, 奖惩制度无法建立, 激励机制跟不上, 内控制度执行自然无法到位。
3. 信息不流畅, 责任不明。
一个良好的信息与沟通系统, 应能确保组织中每个人均清楚地知道其所承担的特定职务和应该承担的责任, 当前, 基层央行中还存在各个部门各自为政, 部门与部门的信息沟通欠缺, 造成内控的事前、事中缺位监控。
4. 监督机制不够完善。
虽然目前基层央行内部设立了相应的监督部门, 并配备了人员, 但监督形式还不统一, 造成监督人员数量不足、缺乏监督力度。在监督手段上更多的还是沿用着传统的手工常规监督, 方法较为落后。与此同时, 缺乏有效的监督绩效激励机制和严格的监督检查责任追究制度。
三、基层央行内控机制建设的构想
按照COSO内控理论, 结合基层央行在内控机制建设中存在的主要问题, 应从以下五个方面构建基层央行内部控制框架:
1. 强化制度建设, 完善控制环境, 营造内控合规文化。
一是要从决策层、管理层、操作层分别设计, 构建良好内控环境。加强对决策层与管理层的内控制度建设, 同时充分考虑操作层面制度设计的可执行性, 制定可供各个岗位人员使用的业务政策、行为手册和操作程序, 根据业务的发展变化, 及时补充、修订各项制度, 做到制度先行、内控优先。二是加强教育增强全员内控意识。应采取多种形式加强对员工内部控制和风险管理理念教育, 使职工牢固树立风险防范意识, 提高全员对内部控制的参与意识和对风险和内控管理工作的认知度, 逐步构建内控合规文化, 真正做到以制度规范人的行为, 以人的规范行为防范风险发生。
2. 进行全面的风险评估。要将风险管理的内容纳入到内
控制度中, 根据业务的发展、风险点的转移以及环境的改变及时修订内控制度, 制定一套涵盖各部门、每个岗位的风险管理制度, 各岗位设置相应的风险等级, 不同级别的风险岗位制定不同的关注措施, 实现实时动态监测, 同时要建立有效的激励机制, 有效落实问责制, 确保奖惩分明, 违规必究, 提高违纪成本。
3. 强化管理, 实施有效的内部控制活动。
一是狠抓制度执行和检查落实, 建立正向激励制和违规惩戒等约束机制, 使各项内部控制活动得以不折不扣地贯彻执行, 从而不断提高基层央行内控活动的有效性。二是整合并充分发挥监督部门的合力优势。充分发挥内审、纪检监察和事后监督部门的联席会议制度功效, 通过定期通报各自监督信息, 达到实时监督、过程控制和风险防范等监督信息资源共享、明确监督重点的目的。三是对监督检查发现的各种风险或隐患性问题, 监督部门适时做出综合评价结论, 提出强化内控及防范和化解风险的建议, 及时督促整改。
4. 建立广泛的信息交流。
在信息方面, 要注意内部信息和外部信息的搜集和整理, 拓宽信息的交流渠道和方式, 构建内控信息交流技术平台。一是要结合基层央行实际, 加强信息收集, 汇集各种内控信息数据;二是要加快相关软件的应用和开发, 建立可靠的信息系统, 涵盖部门的全部重要活动;三是畅通信息交流渠道, 做好各部门之间的协调和相互促进工作, 加强部门间信息交流和资源共享, 增进相互之间的理解和沟通。
5. 加强内控的监督与评审。
内控监督是支持和保证内控管理的必要手段。其目的是保证内控管理按预期进行, 并为内控机制的有效运行提供保障。内控监督部门要对内控管理情况进行适时、持续的监测、检查和评价, 及时掌握内控管理状况;要依法独立地履行内控监督职责, 恰当地确定对内控管理部门监督检查的范围和频率, 对内控管理部门及其管理层履行职责的情况进行准确评价, 通过建立定性评价与定量评价相结合的评价指标体系, 对各部门、各项业务和管理活动的内部控制状况进行分析并与内部控制标准进行比较, 以确定风险控制和运转效率, 从而保证内控监督工作的全面性、有效性;要根据业务发展的变化不断创新内控监督形式, 完善对内控监督结果的整改和处理机制, 切实纠正内控管理中存在的问题, 促进内控管理部门健全内控机制、提高履职能力、提升管理水平。
摘要:COSO理论内部控制框架由相互联系的五个要素组成:控制环境、风险评估、控制活动、信息沟通和监督评审, 作为基层央行重要构架的内控记者建设方面还存在控制环境薄弱、风险意识单薄、评估缺失、信息不畅等问题, 应从控制环境、风险评估、控制活动、信息沟通和监督评审五个方面入手, 促进内控管理部门健全内控机制、提高履职能力、提升管理水平。
关键词:COSO理论,基层央行,内控机制
参考文献
[1]张静.以风险防范为基础以绩效管理为导向[J].中国金融, 2005, (22) .
[2]汤谷良.内控制度如何具备持续的执行力[J].财会学习, 2006, (9) .
[3]吴克刚, 陈裕君.对基层央行内控机制建设的探讨[J].福建金融, 2006, (4) .
[4]胡志成, 等.当前基层央行制度建设存在的问题及建议[J].武汉金融, 2008, (11) .
[5]陈国琴.对构建内控合规文化的思考[J].现代金融, 2008, (12) .
[6]许华晶.对基层央行内控机制建设的分析与思考[J].新疆金融, 2008, (11) .
[7]姚小燕.央行内控机制建设的现状与对策[J].青海金融, 2007, (13) .
COSO模型 篇7
一、为什么要发布COSO新框架
COSO委员会于1992年发布《内部控制———整合框架》 (以下简称“COSO旧框架”) , 获得普遍认可和广泛应用, 特别是为在美上市的公司提供了一个主要的使用框架, 协助其依据《萨班斯·奥克斯利法案》第404条款的规定, 提交有关财务报告内部控制有效性的报告。时至今日, 这一经历时间考验的框架仍然被视为内部控制的设计和评估领域的前沿文件。
COSO委员会发布COSO新框架主要是基于持续优化的精神, 考虑到过去二十多年来商业环境已变得大为不同。例如:对公司治理监督期望的提升;对风险以及基于风险的方法的更多关注;市场和运营全球化成为大势所趋;企业以及组织结构的复杂性不断提高, 包括外包和战略供应商;科学技术的巨大进步;法律规范以及各种标准的要求和复杂程度也都大幅提升等。
此外, 更重要的是大规模的治理和内部控制失效事件所带来的破坏性影响, 如上世纪90年代金融衍生产品的彻底崩盘、美国长期资本管理公司事件、安然丑闻以及较近期的全球金融危机。这些失败案例进一步提示出内部控制需要关注的重点:管理层逾越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理不能统一协调、董事会监督无效, 以及导致职能失调或渎职行为的薪酬结构失衡等。
虽然没有哪个内部控制框架能够应对上述所有问题, 但毫无疑问, 自COSO发布1992年版框架以来, 已发生了太多改变。因此, 鉴于这些变化, 对旧版COSO框架进行更新, 也是情理之中的事。此外, 企业各层面对内部控制框架作用的预期越来越高, 对其能防范和监测舞弊的要求不断提升, 所有这些因素都推动了COSO委员会对已颁布二十年之久的框架做出更新。
二、新旧COSO框架的对比分析
新COSO框架文档主要包括两个方面:一是《COSO内部控制———综合框架 (2013版) 》, 包括三部分内容:内容摘要、新的框架及多份附录以及提供解释性工具的应用指南。上述内容主要明确了内部控制的定义、企业内部控制目标、内部控制的基本要素及原则、内控有效性的相关要求等。二是《财务报告内部控制:方法和案例汇编》, 主要就如何在财务报告编制工作中运用内部控制基本原则进行举例说明, 对20年来商业和运营环境变化进行讨论分析, 并提供了各类企业案例, 如上市公司、私营公司、非营利组织、政府机构以及其他类型组织。对比2013版和1992版新旧两份COSO框架内容与思路, 可归结为“三变, 三不变”。
(一) COSO框架内容与思路的“三不变”
1. 内部控制的核心定义基本保持不变。
COSO新框架对内部控制的定义仍为:内部控制是一套由企业的董事会、管理层及其他人员实施的程序, 以合理确保有关运营、报告以及合规的目标得以实现。虽然更新后的定义反映了报告目标的扩展 (详见下文讨论) , 但整体结构与旧框架保持了高度的一致, 仍是强调了内部控制的全员性、程序性以及对控制目标的合理保障性。
2. 内部控制五要素基本保持不变。
COSO新框架保持了控制环境、风险评估、控制活动、信息与沟通以及监控活动等五大要素。COSO新框架保持了:企业目标 (即企业要力求实现的) ;内部控制要素 (即企业实现目标所需要的条件) ;以及业务单元、法务单元以及企业内部的企业结构单元 (即内部控制要素运行的各企业层面) 等三者之间的直接关系的描述, 仍然强调了每个内部控制要素都跨越和适用于所有三类目标。
3. 评估内控有效性的原则与方法基本保持不变。
在内部控制定义、立方体结构以及各个维度与COSO旧框架基本一致的基础上, 评估内控有效性的原则与方法也基本维持不变。对于内部控制有效性的评估仍然是基于原则的方法, 根据内部控制的五要素来进行评估。一个有效的、能够确保控制目标实现的内部控制系统, 必须保证五个要素全部存在、发挥效用, 并且共同运行。
此外, COSO旧框架下提出的自上而下, 基于风险的评价原则、流程及控制的识别方式、风险及控制矩阵、包括穿行测试、控制测试在内的评估手段、控制缺陷识别、评价及汇总模式以及缺陷、重大缺陷和实质性漏洞的相关评估标准都保持不变。
综上所述, 新旧二版COSO内控框架有许多相似之处, 新框架在所有重大方面都与旧版本保持了本质上的一致性。
(二) COSO新框架内容与思路的“变化”
1. 内部控制目标进一步扩展。
与旧框架相比, COSO新框架扩大了报告目标范围, 将原有的财务报告目标扩展到非财务报告目标。扩展后, 报告目标总共涉及四类报告———内部财务、内部非财务、外部财务以及外部非财务报告 (如内部控制报告、企业遵循ISO9001的情况报告、可持续性报告等) 。除了外部财务报告外, 其他三类报告均是新框架下增加的报告目标范围。这些变化一方面体现了近年来, 投资者要求上市公司在提交财务报告的基础上提供更多非财务信息, 以更好掌握企业发展状况与前景的需求;另一方面也反映出企业内部期望通过多类型的管理报告提升管控与预判能力的需求。
2. 内部控制框架体系进一步完善。
COSO新框架最重大的变化, 就是明确列出了17项原则。所有原则均适用于运营、报告及合规三类控制目标, 从而使新框架更加以原则为导向。为更精确地理解每项原则, 新框架还提供了79个关注点。具体举例说明如下:控制环境要素的第一个原则是:“企业显示出对诚信和道德价值观的承诺。”新框架为该原则提供了四个关注点: (1) 确立“高层态度”。董事会和企业各个层级的管理人员都需通过他们的指示、行动和行为证明诚信和道德价值的重要性, 从而支持内部控制系统发挥作用。 (2) 建立行为准则。董事会和高级管理层与诚信和道德价值相关的预期都在企业的行为准则中进行定义, 并得到企业所有层级人员以及外部服务供应商和业务合作伙伴的理解。 (3) 评价对行为准则的遵守情况、实施有关流程。根据企业的行为准则来评估个人和团队的表现。 (4) 及时处理变差情况。及时识别偏离企业行为准则的情况并予以统一整改。通过上述“17项原则+79个关注点”的模式, COSO新框架进一步充实了内部控制体系的内容, 为企业实施新框架提供了更多的支持与指导。
3. 内部控制框架进一步体现了时代感。
一是新框架反映了科技日益深入所带来的变化。信息技术已经从用于处理批量交易的庞大的独立主机环境, 发展为高度复杂、分散且移动的应用程序, 其中不仅涉及诸多实时活动, 并且横跨众多系统、组织和流程。日益先进的技术会影响所有内部控制要素的实施方式。二是新框架更深入地讨论了有关治理的概念。这些概念主要涉及董事会以及董事会的下属委员会, 如审计委员会、薪酬委员会和治理委员会, 从而进一步强调了董事会监督对有效的内部控制的至关重要性。三是新框架加强了对反舞弊预期的分析。新框架关于舞弊的论述明显增多, 并且将舞弊单独作为内部控制的一项原则, 并就此进行进一步的分析。
三、应对举措与借鉴
COSO新框架的实施对于国内企业会有哪些影响呢?总体来讲, 分为两个层面:一是在美上市公司需要采取相应措施, 完成新框架的转换工作;二是其他企业可吸收、借鉴新框架的核心原则要求, 进一步完善以风险为导向的内控体系。
(一) 在美上市企业应对举措建议
在美上市企业需要遵循《萨班斯·奥克斯利法案》404条款的要求出具内控评估报告。该评估报告需要列示企业所依据的内部控制框架。COSO旧框架将在过渡期 (2014年12月15日) 后废止, SEC的相关人士指出:“上市企业持续沿用1992年的内控框架, 可能招致SEC就上市企业使用内控框架是否符合恰当的、公认的框架要求的质询。”因此, 对于在美上市的近百家中国企业来讲, 2014年需要完成由旧框架向新框架的转换工作。
转换过程中, 企业应注重开展以下工作:一是评估COSO新框架的主要变化, 以及这些变化对于公司内部控制体系建设及评估的影响。一般而言, 这项工作开展的主要形式是对标, 即将公司现有的控制手册中的流程或控制与新框架下的“17项原则+79个关注点”进行对比, 分析公司控制手册是否已经满足新框架的要求。对标发现的差异可以通过以下两种方式进行处理:对于公司实际已经存在但尚未纳入内控手册的控制, 需要在与相关职能部门沟通的基础上, 识别对应的控制并纳入到控制手册中;对于公司实际缺失的控制, 相关职能部门需要设计具体的控制并执行。二是更新公司的内控自我评估方法和流程, 确保涵盖新框架中的目标、控制要素和17项原则。在美上市公司需要对2014年内控自我评估的方案进行自我审视, 分析评估的内容与范围是否涵盖了新框架的主要部分。特别是对于前述对标发现的差异内容, 需要补充到2014年内控自我评估的范围进行评价。三是根据更新的内控自我评估方法和流程对公司内控要素及17项原则进行整体评估。新框架并未就现行的控制测试、穿行测试、访谈等测试方式提出新的要求或调整, 因此, 企业在实施新框架下的内控自我评估时, 主要的调整应集中在评估的内容上, 以及对于一项特定的评估内容由原有的穿行测试调整为控制测试等。四是编制并保留相应的文档资料, 形成管理层转换采用新框架的支持性资料, 并就方法、流程中的重大变化与审计委员会进行必要的沟通。一般而言, 保留的文档资料应包括管理层对新框架的差异分析、对标工作方案、对标工作底稿、内控自我评估调整说明、内控自我评估评价底稿, 以及向审计委员会进行汇报的材料。
由于外部审计师也需要依据新框架开展2014年内控审计工作, 因此, 企业在开展上述工作的同时, 需要做好与外部审计师的沟通与协同, 了解审计师在执行新框架下的主要变更, 对于企业做好自身的新框架遵循工作能够起到事半功倍的效果。此外, 企业需要向外部审计师提供相应的新框架转换文档, 以证实公司切实开展了有效的内部控制框架转换工作。
(二) 其他企业应对举措建议
从2011年国内企业逐步全面推行企业内控规范体系以来, 企业的内外部环境也发生了较大的变化。一方面随着企业内控规范体系的实施, 企业内部的风控意识逐步增强, 一些程序性不合规的操作大大降低。另一方面企业普遍面临转型发展挑战, 开源节流, 从内部控制中要效益已经成为企业管理层对内部控制的更高期望。因此, 构建适合本企业的、以风险为导向、重点突出的内控体系日益重要。
COSO新框架根据全球经济发展的现状提出了一些关注重点, 可以作为企业强化管控的重点。如, 新框架强调了对外包业务的管控。当前, 专业化经营是许多企业获取规模效益的主要手段之一。而外包业务也因此应运而生直至蓬勃发展。许多企业在享受外包业务带来的快捷、便利的同时, 往往忽略了外包业务的风险。将企业的一项业务操作委托他方处理, 如何保证受托方的工作质量符合本企业的要求, 如何保证委托方不出现重大风险从而导致本企业受到波及, 这里以委托投资为例进行简要说明。当企业运营产生较多剩余资金时, 很常见的一种操作就是进行资本投资。由于资本投资本身具有较高专业性, 很多企业会选择基金公司作为投资管理人代为进行资本运作。在选择投资管理人时, 固然投资收益与产品报价是关注的重点, 但是投资管理人的风控能力也需得到高度的关注。在美国、英国、澳洲、卢森堡、日本、中国香港等地的发达资本市场, 投资管理人内控鉴证报告被广泛地纳入到需求方案说明书之中, 成为各投资管理人参与发达市场竞争的基本准入门槛之一。该类报告为投资管理人根据具体鉴证准则, 聘请第三方鉴证机构就投资管理人的内部控制设计, 或内控设计及执行的有效性发表意见的报告, 其目的是供委托人了解和评估投资管理人的风控情况, 目前国际上较为常见的有ISAE 3402报告。企业作为委托方取得一份投资管理人的内控鉴证报告无疑会为企业委托投资资金的安全系上“安全带”。目前国内投资管理人出具内控鉴证报告的较少, 也在一定程度上反映出企业对于外包业务风险的忽视。
此外, COSO新框架提出的17项原则, 为企业持续优化自身的内控体系提供了借鉴。如:控制环境要素的第五个原则是:“企业对于目标实现过程中负责内部控制的个人实施问责。”该项原则强调了内部控制体系中“人”这一要素的重要性。企业在构建内控体系的过程中需要明确重点管控环节的控制责任具体在哪些部门、岗位。否则就会出现“事前无人评估风险、事中推诿转嫁工作、事后无法追究责任”的尴尬情景。
再如, 风险评估要素的第三个原则是:“组织在整个实体层面识别可能威胁组织目标实现的风险, 以便判断如何对这些风险进行管理。”该原则强调了企业在运行过程中会面临很多固有风险, 对于这些风险有目的的收集、确认、分析, 才能有针对性地应对这些风险。而在现实过程中, 企业往往没有对风险进行系统性的分析, 在进行经营决策时, 对于风险的判断、分析甚至应对, 更多依赖具体管理人员的既往经验或盲目执行。
控制活动要素的第三个原则是“组织通过制定政策 (以明确控制期望) 和具体流程 (将控制期望转换为具体行为) 来贯彻控制活动。”该项原则明确了内部控制的主要载体, 即政策和流程。也就是说, 只有将控制以政策、流程的方式固化下来, 才能在一定程度上保证控制的落实与执行。由此我们可以得到的启示是, 企业已经识别的控制措施是否都已经涵盖在具体制度、实务中。对于那些没有制度依托, 靠口传心授、约定俗成传递下来的控制, 是否需要加强评估与检查来确保控制的执行力。
参考文献
[1] .林斌.COSO框架的新发展及其评述[J].会计研究, 2012, (11) :64-73.