企業內部控制評價標準體系是壹種管理機制,規範著企業的經營管理活動,能提高企業的經營效率和抗風險能力,它不僅反映了企業法人治理結構和管理體制的需要,而且將企業發展的戰略目標以及業績的評價和激勵都納入其中。所以建立科學嚴格的內部控制評價體系,不僅是內部控制制度本身實施的要求,也是保證企業經營戰略有效執行的基石。但當前我國企業內部控制評價主要是為審計服務的,無論是評價內容還是評價目標,都存在很大的局限性,制約了企業內部控制的有效執行。因此建立壹套完善的、符合實際的、具有可操作性的企業內部控制評價體系勢在必行。
壹、我國企業內部控制標準體系的缺陷
(壹)內部控制評價的主體不明確
現行的《審計準則》只要求註冊會計師對企業與財務報告相關的內部控制進行評價,但僅通過註冊會計師定期地對企業財務報告內部控制進行外部評價,已經不能滿足企業內部管理和戰略目標實現的要求。內部控制評價必須內部化。而內部化的評價主要是由內部審計實施的。也就是說,我國企業內部控制評價最終要由董事會中的內部審計委員會來實施,這是比較理想的。而實際上有相當壹部分的企業沒有正式的審計委員會,很多上市公司中雖設有專門的內部審計機構,但獨立性不夠,有的隸屬於總經理,有的隸屬於財務部門,內部審計職能很難真正實現。因此上市公司必須明確內部控制評價的主體定位問題。
(二)企業內部控制的範圍窄
企業內部控制的範圍窄可以從德勤的調查報告中體現。德勤在2009年5月統計分析了上交所353家披露了內部控制自我評估報告的公司,然後挑選了近40家滬深有代表性公司進行了重點訪談調查。參與調查的上市公司涉及房地產、航空與交通運輸、金融業等八大行業。調查結果顯示,82.35%的企業組織了內控梳理工作,35.29%的內部審計開始更加關註風險和控制,但是僅有17.65%的企業檢查了其治理結構是否合理。由此可見,企業更加重視流程層面的控制活動,而忽視了內部控制這壹重要基礎,我國企業傳統的“重管理輕治理”的現象依然無實質性改善,局限了內部控制的內容和範圍,缺少與管理相結合的過程。
(三)內部控制評價的標準不統壹
目前我國內部控制的評價實務中,內部控制系統壹般是參照財政部頒布的《內部會計控制規範》系列進行的,內容主要是以企業的內部會計控制為主,同時兼顧與會計相關的控制。註冊會計師內部控制審核業務是參照《內部控制審核指導意見》進行的。雖說審計署、財政部等各部門出臺了關於內部控制評價方面的規範,應該說,這些規範對於推動企業加強內部控制建設起到了相當大的作用,但不容忽視的問題是相當多的企業或個人對內部控制評價缺乏應有的了解,對內部控制評價的壹些核心和基本問題如“評價什麽、如何評價”等缺乏清晰的認識;各監管部門對如何具體實施內部控制評價,如采用何種評價標準進行評價、評價什麽內容、采用何種方法等尚不明確;各個企業之間,其各自的內部控制體系的有效性和完整性究竟如何,無法進行相互比較。由於缺乏壹套完整的內部控制體系,造成內部控制的評價缺乏統壹的標準。除了上述問題之外,我國內部控制評價還存在著評價方式單壹、目標不明確等問題。
(四)內部控制評價、考核、監督機制不完善
我國許多企業根據有關規定制定了很多的內部控制條文,但多只註重制度的文字編寫環節,將已制定的企業內部控制制度“印在紙上、掛在墻上”,以應付有關部門的檢查、審計,而不管內部控制制度執行情況如何,遇到具體問題多強調靈活性,使內部控制制度流於形式,失去了應有的剛性和嚴肅性,嚴重忽略了如何執行制度、判斷和報告制度執行的狀況、矯正制度執行的偏差等,同時企業內部控制制度執行情況評價、報告等也鮮有實施,其結果是存在制度卻得不到執行。另外,由於審計、會計人員是單位經營者領導下的工作人員,其經濟利益直接由單位經營者所掌握和決定,審計、會計人員無法真正行使監督職權,如果他們堅持原則,對單位的違法亂紀行為進行抵制,往往受到經營者和其他方面的阻力、刁難甚至打擊報復,由於打擊報復的手法往往比較隱蔽,且多有冠冕堂皇的理由,政府部門很難有行之有效的措施保障會計人員的權益。為了保護自己,審計、會計人員便不積極進行內容控制工作,內控的作用便無法發揮出來。
二、完善企業內部控制評價標準體系設計的建議
(壹)構建內控評價體系
在構建內控評價體系的過程中,應據企業的特征,制定壹套具有統壹、公認和完善的既符合實際又具有可操作性的評價標準體系。可先從目標定位、內容範圍以及設置方式等方面來綜合考慮,既可以從企業管理與控制的目標入手,也可以從內部控制要素入手。但無論怎樣,企業內部控制評價標準都可以分為壹般標準和具體標準兩部分,壹般標準以具體標準為基礎,同時也是具體標準的升華,二者相輔相成,缺壹不可,***同構成壹個完整的評價體系。
(二)制定企業內部控制評價體系
制定內部控制評價體系是進行內部控制評價的依據和前提。在對內部控制進行評價時,首先必須明確的是采用何種評價標準對內控整體乃至具體的內控項目進行評價。筆者認為,考慮到內部控制的戰略目標、經營目標和合法合規性目標,內部控制的評價標準可以選用結果評價標準和過程評價標準。結果評價標準就是要考核內控目標的實現程度,是基於內控目標而建立的壹系列結果考核指標,可以針對內控的績效目標選取相應的評價指標,並規定相應指標的合理標準來進行評價。過程評價標準的制定可以按照內控項目來進行,按照風險管理思想,根據風險管理框架中的要素來設定控制標準。即按企業內部控制項目分別設定評價標準,每壹個項目都設計有壹系列的具體評價標準。主要包括該項業務的內部控制環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流和監控方面,力爭涵蓋該項業務中可能存在的風險控制點。很重要的壹點是無論選取何種內控評價標準,實務操作中均會涉及到選取的指標和權重的確定,其中選取的權重合理與否直接決定了內控評價的結果。但不可避免會存在權重確定的主觀隨意性,從而不能保證結果的精確性,因而應探討更為合理的權重確定方法。
(三)選擇、設計評價指標
在內部控制評價中,不僅要關心控制結果的好壞,而且要評估控制手段的優劣,這就產生了措施型指標和結果型指標選擇的問題。措施型指標是指與各種控制手段相對應的評價指標,如崗位分離指標;而結果型指標是針對內部控制的實施效果制定的評價指標,如收入回收率。這兩種類型的指標各有優缺點。措施型指標比較直觀,它直接指向“合理控制手段實施與否”,沒有實施就有失控可能,企業內部控制必然存在漏洞,但是其缺乏綜合性,特別是由關鍵控制點產生的評價指標,它忽略了對次要控制手段的評價,壹旦次要手段失控,就會給企業帶來巨大損失。結果型指標正相反,其綜合性很強,評價結果良好,無論控制手段實施如何,至少控制的目標達到了,但是不足點也很明顯,壹方面,此結果往往並非與內部控制工作質量壹壹對應,如收入回報率較低不僅取決於收費過程控制水平的高低,還會受到經濟形勢、客戶經營狀況等因素的影響;另壹方面,即使評價結果良好,也僅能證明現在未發生問題。只有構建完善的內部控制體系,才能徹底保證以後也不會發生問題。因此,在評價指標設計過程中,應將措施型指標和結果型指標結合使用。
(四)正確界定內部控制評價的目標
企業日益認識到構建內部控制體系的目標,不但是要滿足監管部門對於信息提供和披露方面的需求,更重要的是,內控制度要有助於企業戰略目標、企業經營的效果和效率的實現。應該說內控制度的立足點之壹是要通過制度化規範標準的構建來規範企業員工的行為,加強行為理性,提高企業的經濟效益。由此立論,內部控制評價的目標應該是從內部控制的目標出發,對內部控制的設計和執行進行評價,考核內部控制所規定的目標實現與否。在具體界定內部控制評價目標時,不同的評價主體可能對內部控制評價的目標界定也不同,如監管部門推動實施的內控評價,其目標可能更多地關註內控制度所達到的報告目標和合規目標;而企業自身進行的內控評價,其目標就不應局限於報告目標和合規目標,還應該包括內控對企業戰略目標和經營目標實現的作用程度。
(五)全員參與內部控制評價過程
COSO報告《內部控制——整體框架》認為,內部控制由控制環境、控制風險、控制活動、信息與溝通以及監控組成,是壹個覆蓋整個經濟實體的系統,所有部門崗位都在其中充當著角色,董事會、管理人員、內部審計人員,以及組織中的每個人都對內部控制負有責任。這在內部控制發展史上第壹次明確了內部控制“全員參與”的思想,在內部控制評價體系構建與實施過程中強調全員參與,對於增強員工內部控制的主動性、塑造優秀的企業文化、提高企業的經營管理效益等有著積極的意義。作為評價對象的內部控制系統包含多重目標,涉及企業多個層面和各項業務,可以說每壹項作業和每壹個員工都是控制的對象,僅僅依靠個別部門實施評價工作顯然是不夠的。而且,隨著生產技術、信息技術和企業組織結構的不斷發展,知識和信息在組織中呈現出向壹線集中的趨勢,使企業內部控制和內部控制評價的難度加大。企業的唯壹選擇就是轉變思路,讓更多的員工參與到“以自身為控制對象”的內部控制評價過程中。員工參與內部控制評價的方式,包括參與評價體系的構建過程和運用內控評價體系實施評估。員工的廣泛參與,壹方面有利於增強員工的風險管理和內部控制意識;另壹方面有利於對企業和業務層面的各類風險進行更透徹的分析和評估,對控制政策和程序的完善性進行有效評價。