1.1 内部控制的一些基础知识
根据美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission, COSO)在2013年发布的《内部控制整合框架》,内部控制的定义如下:“内部控制是一套流程,受组织的董事会、管理层和其他员工所影响,被设计并用来为组织提供合理保证,使其实现运营,报告和遵循目标。”我国于2008年颁布了《企业内部控制基本规范》,其第三条对内部控制的定义如下:“本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”
我国在《内部控制整合框架》的基础上,结合我国企业管理的实际情况,在“三目标”的基础上扩展了资产安全和促进企业实现发展战略,形成了以“五目标”为核心的内部控制定义。
1.1.1 内部控制五要素模型
《内部控制整合框架》不仅给出了内部控制的定义,还提出了内部控制五要素模型。内部控制五要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督。
内部控制五要素不是割裂的个体,而是存在互相影响的逻辑关系的整体。内部环境是内部控制体系有效运行的基础,内部环境的好坏直接决定了内部控制体系的运行是否有效。风险评估和控制活动是内部控制体系运行的核心。企业既需要识别在经营过程中可能影响战略目标实现的各类风险,还需要在风险识别的基础上运用定量和定性的评估方法开展风险评估,结合风险承受度选择恰当的风险管理策略和控制活动。信息与沟通是内部控制体系有效运行的强力保障。风险评估和控制活动的结果需要通过信息与沟通来反映,内部环境的要求也需要通过信息与沟通来传递。内部监督保证了内部控制体系的闭环管理,企业需要通过定期与不定期的内部监督对内部控制体系运行的有效性进行评价。
1.内部环境
根据2013年框架修订“控制环境包括了组织正直和道德的价值观;促进董事会行使公司治理的监控职责的机制;吸引、开发和保留人才的机制;严格的绩效衡量、激励和汇报机制以保证绩效实现”。
相较于《内部控制整合框架》对内部环境因素的分析,《企业内部控制基本规范》对内部环境的因素进行了更详细的描述。依据《企业内部控制基本规范》,内部环境在企业管理中主要包括治理结构、组织结构、授权管理、内部审计、人力资源政策与实务、员工和企业文化等因素。
2.风险评估
《内部控制整合框架》和《企业内部控制基本规范》都未明确风险的定义。因此,本书援引COSO在2017年版本的《全面风险管理框架》中对风险的定义,即风险是事项发生并影响战略和业务目标之实现的可能性。相较于2004年版本的《全面风险管理框架》,在2017年版本中,COSO对风险的定义进行了修订。2004年版本的《全面风险管理框架》对风险的定义如下:“风险是一个事项将会发生并给目标实现带来负面影响的可能性。”风险评估包含风险识别、风险评估和风险应对3个阶段。
风险识别要求企业根据设定的战略目标,识别与目标实现相关的外部风险和内部风险,确定企业的风险承受度。对于已经识别的风险,企业应从风险发生的可能性及影响程度两个维度进行评估,并对风险进行分析和排序,确定重点风险。根据风险评估结果,企业要综合运用风险规避、风险降低、风险分担和风险承受等应对策略,实现对风险的有效控制。但是在企业内部控制体系建设过程中,风险评估阶段存在部分难点无法得到有效克服的情况具体如下。
(1)风险承受度无法确定。
法律赋予了公司独立的人格,公司可以独立地享有权利和承担义务。根据《中华人民共和国公司法》,公司做出意思表示的决策机构根据事项类别和公司内部权限设置可细分为股东大会、董事会和经理层。确定风险承受度的首要难点是内部控制理论未明确风险承受度由哪一层级决策机构决策。
确定风险承受度的次要难点在于不同个体的风险承受度如何转化为公司的风险承受度。假设股东大会作为公司的最高权力机构可以代表公司来确定风险承受度,但是风险承受度的决策过程不同于经营事项的决策过程。经营事项的决策可以以各个股东所持股份的比例为依据进行,当某一事项的“同意”比例超过既定标准时,该决策则生效,并受到法律的保护。风险承受度应是一个具体的数值,无法将某一股东的风险承受度乘以该股东的股份比例作为该股东的风险承受度,再通过简单的加权求和的方式确定公司的风险承受度。
(2)风险无法量化。
根据内部控制理论,风险是一种可能性,与可能性相关的另一概念是不确定性。不同的专业领域对可能性和不确定性的关系有着不同的见解,但是有一点达成了共识,即可能性可以量化、不确定性无法量化。著名的管理学家彼得·德鲁克曾经提到:“如果不能衡量,就无法管理。”这句话同样适用于企业内部控制体系建设。
事实上,企业在实际运营过程中往往面临着许多不确定性。以应收账款信用风险为例,以目前的风险评估技术,企业无法准确计算某一客户的违约概率。由于非金融企业的数据量较少,企业也无法准确计算应收账款作为一个信用组合的违约概率。违约概率的缺失导致企业无法通过信用风险计算模型计算出信用风险的具体数值并对信用风险加以管理。
风险承受度和风险量化成了企业内部控制体系建设过程中需要克服的难点,但目前内部控制理论尚未提出完善的解决方案。
案例——“淋雨”的内部控制
案例背景:部分人最厌恶的场景之一就是被雨淋湿,因为这会对其形象造成不利的影响;为了保持完美的形象,这些人的目标就是不淋雨。
目标:不淋雨。
风险:下雨时在室外;由于此案例源于生活,其风险识别过程相对简单。
风险评估:根据内部控制理论,从风险发生的可能性和潜在损失两个方面评估风险。
(1)评估风险发生的可能性,分别评估在室外的概率和下雨的概率,根据统计学原理,将两者相乘将得到下雨时在室外的概率。以极端情况为例,当天都在室内,在室外的概率为0,无论是否下雨都不影响目标的实现;但如果当天都在室外,则在室外的概率为100%。
下雨的概率可以参考天气预报的降水概率,天气预报会给出较为准确的降水概率。例如,根据天气预报,某天各个时间段的降水概率如下:8点—10点,60%;10点—12点,40%等。
(2)评估风险发生的潜在损失。例如当下暴雨时,形象损失的程度可能是100%;当下蒙蒙细雨时,形象损失的程度可能是5%。
(3)计算评估结果并与自身的风险承受度相匹配。一般情况下,不同的人对形象损失的风险承受度不同。比较关注形象的人对形象损失的风险承受度为0,有些人对形象损失的风险承受度为20%。风险评估完成后,根据评估结果选择风险应对策略。根据风险评估结果,人们可以选择以下应对策略。
规避风险:不出门。
降低风险:带伞出门。
承受风险:淋雨。
转移风险:委托他人出门。
一般情况下,大部分人会选择降低风险的策略,即随身带一把伞以防止淋雨。请试想以下两种情况会对风险应对策略的选择产生怎样的影响,分别是伞的重量是2千克和伞的重量是200克。
3.控制活动
控制活动一般可以分为不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制。但是随着内部控制在企业中的快速发展,企业实际采用的控制活动已经不局限于此7种。此外,上述7种控制活动主要集中于操作层面,很多企业通过改变管理机制或者商业逻辑,可以直接降低或消除部分风险。
案例——“分粥”的故事
有7个人被关在一个监狱里,他们每天的伙食只有一桶粥,而且很显然这一桶粥是不能让这7个人都吃饱的,那究竟要如何分粥才能公平公正呢?
方法一:指定一人负责分粥事宜,让其成为专业分粥人士。
方法二:指定一名分粥人士和一名监督人士。
方法三:谁也信不过,干脆大家轮流分粥。
方法四:大家民主选举出一个信得过的人分粥。
方法五:民主选举出一个分粥委员会和一个监督委员会,形成民主监督和制约的机制。
方法六:若有任何人觉得分粥不公平的,可以使用一票否决权,此时就由分粥人重新进行分粥直至没有人提出疑义为止。
方法七:每个人轮流分粥,但分粥的那个人要最后一个领粥。
最公平公正的分粥方法是方法七。在这个方法下,分粥的人将会尽量保证所有人分得的粥都是同样的量,因为如果分粥人存在分粥不均的情况下,由于分粥人只能最后一个挑粥,那相对较少的一碗粥一定会保留到最后。其他方法可能由于执行人串通一气、执行效率低等无法有效实施。当机制层面的问题解决之后,有些风险自然而然地就会消失了。
本案例有一个非常重要的假设是分粥的行为是在没有计量工具的前提下开展的。但是当这7个人有一个电子秤,甚至有一个分粥机器人的时候,公平分粥将会变得非常简单。
4.信息与沟通
信息与沟通要求企业建立内部和外部各类信息的搜集、加工和报告的方法。除此之外,结合我国国情,信息与沟通还要求企业建立反舞弊与举报机制。
5.内部监督
内部监督要求企业建立内部审计机构,执行日常监督和专项监督工作。对于内部控制体系,企业需要每年开展内部控制自我评价并识别内部控制缺陷,提出改进建议,实现闭环管理。
案例——八达岭野生动物世界“老虎咬人”事件
2016年7月23日,八达岭野生动物世界发生“老虎咬人”事件,游客赵某在东北虎园下车遭到老虎攻击,其母周女士下车援救女儿时遭老虎撕咬身亡。此事件引起了轩然大波,公众舆论纷纷把矛头指向了擅自在东北虎园下车的赵某。绝大部分公众认为,在明知东北虎园存在东北虎的情况下,游客擅自下车遭到老虎攻击,应该由游客承担全部责任。游客赵某称:“当时下车是因为晕车,加上以为到了安全区,当时看到前后都有私家车,并且在右侧几米处的空地上停有园方的巡逻车。”他们由此产生了错误的判断,认为此处已经没有猛兽,比较安全,于是在此处停车、下车,想要换人开车。谁料他们遭到了老虎的攻击,造成了一死一伤的悲剧。
2016年8月24日,延庆区人民政府发表调查报告称:“八达岭野生动物世界在事发前进行了口头告知,发放了‘六严禁’告知单,与赵某签订了《自驾车入院游览车损责任协议书》,猛兽区沿途设置了明显的警示牌和指示牌,事发后工作开展有序,及时进行了现场处置和救援。结合原因分析,调查组认定东北虎致游客伤亡事件不属于生产安全责任事故。”调查组认定事故责任由游客承担,八达岭野生动物世界可能只需承担一些出于人道主义的赔偿。
游客与八达岭野生动物世界究竟孰对孰错,官方调查组已经给出了答案。此事件所反映出的内部控制的相关概念值得我们借鉴和思考。
1.经营模式决定了企业在经营过程中可能面临的风险
八达岭野生动物世界猛兽区可由游客自行驾车进入,游客可近距离观察猛兽,在对外宣传中,这应该是八达岭野生动物世界吸引游客的特色之一。反观上海野生动物园,游客到了猛兽区之后必须乘坐动物园的大巴车进行参观。大巴车无法打开车窗,司机严禁在途中开门或停车。在现实生活中,一个城市仅有一个野生动物园,经营模式的差异不会导致经济效益的差距。但若两家野生动物园处于同一地区,经营模式的差异势必会影响两家动物园的经济效益。在同等条件下,八达岭野生动物世界的经营模式决定了其所面临的最大风险是游客的安全风险,上海动物园的经营模式决定了其所面临的最大风险可能是市场风险。在实际经营过程中,同一类型的企业可能由于经营模式的不同,所面临的主要风险也不同,相关人员在进行企业内部控制体系设计时一定要充分理解并考虑经营模式的影响,识别企业所面临的主要风险。
2.管理层风险偏好决定控制措施
在进行内部控制体系建设之前,企业需要在确定管理层的风险偏好的基础上进行风险识别、风险评估、风险应对等一系列风险管理活动。若管理层属于风险厌恶型,则管理层有着较低的风险承受度。在内部控制体系设计的过程中,管理层可能投入更多的资源对风险进行控制。反之,若管理层属于风险偏好型,由于风险承受度较高,其对风险可能仅采取部分控制措施或不采取任何措施。
在“老虎咬人”事件中,谁的风险偏好能作为动物园管理层风险偏好成为一个值得思考的问题。是动物园园长、动物园管理委员会,还是动物园的上级主管部门?类似地,企业同样面临谁的风险偏好能决定企业的风险偏好的问题。是股东、债权人,还是高级管理人员?企业管理层应平衡各利益相关者的诉求,以便识别适合企业的风险偏好。
3.“目标—风险—控制”内部控制的建立思路
如上文所述,八达岭野生动物世界的经营模式决定了安全运营目标是其管理层需要重点关注的目标。在企业管理层层面确定了安全运营目标之后,企业职能部门需要根据管理层的风险偏好确定具体的安全运营指标。例如,在明确了管理层的风险偏好后,职能部门制定了每年动物伤人事件不超过5起,每年动物伤人致人伤亡的人数不超过2人等安全指标。
确定了安全运营指标后,职能部门应识别影响目标达成的各类风险,例如事件中提到的游客在禁止下车的地方自行下车造成事故发生。针对这一特定风险,职能部门可能需要参照在先前经营过程中发生的类似事件,来评估该风险发生的可能性与可能产生损失的大小。例如根据历史数据,动物园野生区发生动物伤人致人死亡的概率为3人/百万人。若每年动物园参观人数恰好为100万人,则预计发生动物伤人致人死亡的人数为3人,这与职能部门设定的安全运营指标不符。职能部门就需要加强控制,例如采取树立更多的警示牌、建立防护隔离网等措施,以保证安全运营目标的实现。反之,若动物园野生区发生动物伤人致人死亡的概率仅为0.5人/百万人,则动物园不需要新增控制措施即可保证安全运营目标的实现。
4.成本效益原则——内部控制体系建设的特殊考虑
《中华人民共和国旅游法》要求旅游景点必须进行安全风险评估方可对外经营。动物园作为一处旅游景点,无论是动物园管理层还是监管机构,对动物伤人致人死亡都应该是零容忍的。这是否意味着动物园要花非常多的资金和资源来控制这个风险?这里就涉及内部控制体系中最为关键的原则——成本效益原则,成本效益原则指的是内部控制应当权衡成本与预期效益,以适当的成本实现有效控制。
也许有的人会产生疑问,既然风险偏好已经决定对风险零容忍了,那多设计一些控制措施来控制风险又有何错呢?动物园可以增加警示牌、建立防护隔离网、安排专人专车在景区进行不间断的提醒,这些控制措施都能保证安全运营目标的实现。但此时的控制措施是否多余,是否浪费了企业的关键资源将会是管理层后续需要评估的问题。
1.1.2 财务报告内部控制和非财务报告内部控制
《企业内部控制审计指引》第四条的规定如下:“注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述’段予以披露。”
财务报告内部控制的概念源于美国,美国证券交易委员会(United States Securities and Exchange Commission, SEC)对财务报告内部控制(Internal Control over Financial Reporting)的定义如下:“财务报告内部控制是指由公司的首席执行官、首席财务官或公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报告编制的符合公认会计原则提供合理保证的控制程序。”
财务报告内部控制与非财务报告内部控制的分类有助于界定审计师对于内部控制单独发表审计意见的责任。但是以内部控制与财务报告的相关度作为内部控制的分类依据对企业建立内部控制体系不具备较大的指导意义。因为财务报告内部控制和非财务报告内部控制的分类在企业实际的内部控制体系建设过程中还存在着部分难点,具体如下。
(1)内部控制五要素难以进行划分。
根据法规要求,审计师需要对财务报告内部控制发表意见,结合内部控制五要素模型,企业需要将内部控制五要素划分为财务报告要素和非财务报告要素。但是在企业运营过程中,除了控制活动相对可以进行划分外,内部环境或者信息与沟通均是在企业作为一个整体存在的,无法按照是否与财务报告相关进行明确区分。
(2)财务报告内部控制风险评估难以统一。
根据内部控制五要素模型,企业需要识别影响战略目标达成的各类风险,并且通过风险评估采取控制措施,以将风险降低至可承受的范围内。风险识别、风险评估和风险应对都是企业的内部管理行为,但是当审计师参与财务报告内部控制时,上述行为就由内部管理行为演变成了外部监管行为。审计师的风险承受度与企业的风险承受度不可能一致,且审计师对风险的认知和控制措施的建议也与企业不尽相同。出于法规的要求,审计师必须对内部控制体系的有效性发表意见,包括设计有效性和执行有效性。出于无保留意见审计报告的需求,企业往往会接受审计师对内部控制的优化建议。
审计师在进行内部控制体系建设或审计时,以类似行业、相同业务模式的成熟企业作为标准。如果企业仅想满足资本市场对内部控制体系建设的要求,则仅在一些关键的控制点上参考标准进行设计就能满足监管机构的要求。对于财务报告相关的内部控制,其边界相对清晰;而对于非财务报告相关的内部控制,其边界往往就模糊不清。以供应商准入流程为例,其具体包括供应商提出准入申请、相关部门对供应商准入申请进行审核、相关部门领导审批、产品试用、试用结果审批、供应商入围合格供应商名录。当一个企业建立了上述流程并且在相关表单上都留下了与制度相符的审批记录时,作为企业管理者、中介机构,能否回答企业在供应商准入的环节已经建立了完善的内部控制流程,并且内部控制执行有效这一问题呢?
供应商准入流程设计的目的是有效筛选合格供应商,保证供应商后续的供货能力或者供货质量。但建立了供应商准入流程是否表明该企业实现了该流程的目标,答案显然是否定的。如果仅为了流程而签字、审批,浪费的是大家宝贵的时间。供应商准入的核心是准入评价表单的设计,包括评价维度、打分方式、结果运用方式等,而不在于流程本身。因此,仅建立流程是不足以保证该流程相关控制目标的实现的。
对外部咨询者而言,其关注点仅在于流程本身;而对企业内部控制从业者而言,内部控制的边界会被无限放大,要想做好、做精一个流程,必须精通与流程相关的所有专业知识,否则设计出来的流程就只是徒有其表。随着在企业工作的时间的增长、流程的逐渐完善,企业内部控制从业者会觉得自身的价值越来越低。