內部控制質量分析論文

時間:2022-04-28 11:18:00

導語:內部控制質量分析論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

內部控制質量分析論文

關鍵詞:內部控制控制質量風險

一、法國興業行交易丑聞概況

據參考消息2008年1月26、30和31日報道,法國興業銀行從去年開始,31歲的電腦高手期貨交易員熱羅姆。凱維埃爾預計股市將出現上漲并投入超過個人授權許可的巨額資金進行交易。由于全球主要股市大幅下跌,導致在歐洲期貨市場上的投資失誤,造成了巨額損失。損失出現后,他通過修改銀行電腦系統數據,編造交易掩蓋其投資失誤;他利用在監控交易的安全控制部門工作時獲得的知識來逃避監管。他知道何時進行安全檢查,實際上他就是他自己的監管者。維埃爾因違反信托合同、濫用計算機和造假已接受正式調查。凱維埃爾對調查人員說,他的一系列交易活動是從2005年他判斷市場要走跌時開始的。這樣一位資歷較淺的人能掌握這么巨額的資金,其內部控制系統令人質疑,也引發了人們對興業銀行管理層信譽問題的新關注。在金融監管已經不斷加強的今天,興業銀行的內部稽核制度何在?管理層的監管何在?風險控制何在?內部控制制度何在?

這不禁令人深思:為何欺詐再次發生,且愈演愈烈?自英國巴林銀行非法交易案以來,金融監管已經加強,但在3年前,我國的中航油集團新加坡子公司在原油期貨交易中虧損了5.5億美元。現今法國的興業銀行的損失約70億美元。事實上,期貨交易本質上就是瞬息萬變、極具風險性的。在加強法律監管的同時,如何加強內部控制系統的監督,化解或降低風險帶來的損失?如何加強軟控制?即用新的眼光重新認識內部控制已經成為各國政府和社會有關機構關注的內部控制研究的新課題。下面對去年法國和美國內部控制研究的狀況及差異進行對比,分析法國興業銀行的內部控制存在的問題,探討提高內部控制質量的新視野、新舉措。

二、2007年法國與美國內部控制建設的主要成果及對比

(一)美國國際會計師聯合會“基于風險觀的內部控制”①

美國國際會計師聯合會(IFAC)②的專業會計師(PAIB)委員會于2007年8月了“基于風險觀的內部控制”訪談文章。采訪了10位高層資深的專業會計人員,主題包括:各類組織的風險的性質;如何建立一個關注驅動業績和幫助戰略目標實施的內部控制系統;提供有助于各個組織思考改善其內部控制方法的成功故事。其核心內容主要包括:

1.基于風險觀是內部控制系統建設的關鍵所在

認為風險是阻礙我們實現戰略目標的一切事情。風險管理和內部控制是同一枚硬幣的兩個方面。參加訪談的資深專業會計人員大多認為:強有力的內部控制系統對一個企業經營管理至關重要,是構成一個經營整體必不可少的一部分。內部控制幫助管理當局設計、實施和保持控制,內部審計則確保管理當局的指揮棒到位,保證所有狀況都是適當的。內部審計必須得到董事會、審計委員會和高管當局的支持。內部審計經理要幫助管理當局理解所面臨的各種風險,既有戰略上的也有政治上的,要設法消除各種可預見的風險,并迅速及時地做出反應。CFO是內部控制效率的監管人。內部控制是一種責任,建立正確的政策和程序并確保持續地進行適當地監督,將有助于降低日常管理費用并鞏固和增強已構筑的競爭優勢。

2.觀念的轉變:對內部控制的謹慎依賴轉變為主動的風險管理文化。

參加訪談的人員表明:盡管每個組織各不相同,但是風險管理本質上的東西已超越了不同的經營類型和風格的各類組織。企業風險管理之所以是成功的,是因為它真正增加了管理當局的風險意識,加深經理人員對風險的理解。但具體風險管理的方法和范圍并不要求整齊劃一,不是命令或指示,而是由每個經營公司自己做出選擇。但最重要的問題是保持效果的同時要保持效率,使二者之間保持一個健康的緊張度。

現在內部控制必須由過去為了企業自身的緣故對內部控制謹慎的依賴轉變為以企業風險管理和內部控制制度為目的、我們“能做”什么的一種文化。對于我們面臨挑戰和打算承擔的各種風險進行適當的風險評估,能使我們做出明智的決策,有助于合理分配企業資源,實現可能的最好的效果。

3.要勇于面對內部控制系統存在的問題

內部控制的過程作為一個整體的過程,不只需要專業管理人員,也需要相關業務的風險管理人員與之配套,否則風險就會產生,而且不易引起人們的注意。如進行產品開發時,需要引進的不只是產品開發的人,而且也需要風險管理的人與之相配合。

內部控制系統面對的最大的挑戰總是來自于職業雇員與技術雇員這些人。他們對其專注的業務、技術領域有一個強烈而長期的認同,而對于管理控制他們很快就變得厭倦。當這種情況出現時,他們就會毫不猶豫地繞過控制系統。工程師是這樣,財務人員也是這樣。出于他們自身的考慮,讓他們重視這個系統是很困難的,但從他們工作的環境看,他們不得不把這個系統看作是有用的。這確實是一個難題。

4.內部控制系統對企業成功的影響

成功是把系統產生的可能性進行轉換。風險管理和控制環境不是一種約束,而是一個可操作的概念。最終決定控制環境的成功是人的格調。如果花時間和金錢能確保招聘的新人是最合適的人力資源,那么控制系統的成本將會戲劇性地降低。

5.從失敗中學習經驗和教訓

缺乏適當的責任是系統失敗的原因之一;另外,員工的變動可能對企業造成傷害,所以控制系統保護的不應只是物質資產,還要保護人力資產。員工的質量是非常重要的。投資于人并對其設立較高的期望和責任,會產生意想不到的效果,得到期望的“投資回報”。

(二)美國COSO內部控制監督指南討論稿

美國COSO③于2007年9月17日了“內部控制系統監督指南”

(GuidanceonMonitoringInternalControlSystems,下面簡稱指南)的討論稿,該指南更加充分地開發了COSO的“內部控制——整體框架”的監督要素,適合各類組織改善其內部控制系統的質量。COSO認為,各組織在按照COSO的內部控制——整體框架適當地設計監督要素,發揮內部控制系統的功能時,通常未能充分利用監督要素或對此使用不當。該討論稿旨在改進對有效的監督模塊的理解,進一步闡明建立正確監督的原則,其目的是幫助各組織開發監督程序,更好地促進內部控制系統運行的效率和效果。該指南并不是如何監督的詳細說明書,而是旨在幫助各類組織采取內部控制框架時應具有整體的監督觀,確認對效果有關鍵影響的各個要素,通過監督識別具體的控制弱點

并對其減緩或消除。有效的內部控制系統的最終的目標是在管理影響組織目標的各種風險時,適當地追求機遇。監督是一種運用成本效益的方法為內部控制系統持續有效提供及時的信息。其主要內容如下。

⒈監督及其基本原理

監督是由適當的人員對控制的設計和運行所進行的恰當的、適時的評估,以及采取必要的行動。內部控制系統有助于各組織實現其目的和目標;使管理當局能夠應對內部和外部環境的變化,提高效率,降低風險的損失,保證財務報告的可靠性以及法律法規的遵循④,但這有個前提:即當內部控制有效時,管理當局和董事會就能對實現一個組織的目的和目標起到合理的保證作用;反之,無論是管理當局還是董事會都不能對組織的目的和目標起到合理的保證作用。因而各個組織需要擁有一個隨著時間的推移,適時地評估其內部控制系統的機制,這個機制就是監督⑤。

監督活動和控制活動既有區別又有聯系??刂苹顒邮怯兄诒WC管理當局的指令得以貫徹的各種方針和程序,它有助于確保針對企業實現目標的各種風險采取行動。控制活動以各種功能、在整個組織上下、各個層面存在,它們包括諸如各種各樣的審批、授權、核查、核對、對經營業績的復核、資產的安全以及職責的分工等。有些監督活動也能起到控制活動的作用,反之亦然。一項活動或過程如果只是在適時地發現和更正各種錯誤的范圍內,則屬于控制活動。例如,審核一項例外報告。如果只是出于識別和更正那些與錯誤有關的例外,則屬于控制活動;反之,如果對同樣事項審核是出于進一步查明造成這些錯誤的可能的控制弱點的根本原因,并幫助改進控制活動,以防止其后的控制失敗,則屬于監督活動。

COSO在2006年小的公眾公司財務報告內部控制指引⑥中提出了的20個基本原則,其中關于監督作了如下描述:

(1)持續的監督和(或)單獨的評估使管理當局能夠確定是否內部控制的各個要素隨著時間的過去仍能持續地發揮功能。⑦其中持續的監督是指在正常的經營過程中,服務于監督內部控制效果的有關各種活動,包括正常的管理和監督活動;對比、調節以及其他日?;顒?。單獨評估則嘗試通過評估某一個特定時期或時點的控制,對控制運行的可靠性做出推斷。單獨評估能充分利用持續的監督中運用的所有的技術,不過單獨評估運用的不多,而且經常用于控制運行中緊急的抽樣調查。

(2)應該能夠識別內部控制的各種弱點,并以一種適時的方式向能采取更正行動的各方負責人進行交流,必要的要報告給管理當局和董事會。

2.高層對監督要有正確的基調

如果監督導致的對控制弱點的識別和更正在影響組織的目標實現之前就已采取,說明監督是有效的。有效的監督有助于保證和促進良好的內部控制的運行。無效的監督終將導致內部控制系統的崩潰。

各類組織要在高層建立正確的監督基調,表達整個組織對監督人、對內部控制重要性以及有關監督作用的期望。

3.影響監督的效率和效果的主要因素

(1)建立一個對實施監督有效的控制環境。具體包括:管理高層強調監督的重要性;有效的組織結構作為保證,任命具有適當的技術和威信的人執行監督作用。

(2)對監督程序進行優先排序。主要根據在管理和緩和風險方面控制的重要性來進行,從而抓住主要矛盾;并且應具有將監督資源在基本的風險層面恰當地進行分配的能力。

(3)建立交流結構,對監督的各種結果(包括控制的各種弱點),以適當和適時的方式向恰當的人報告,采取必要的更正行動。

4.監督者應具備的條件

監督者影響監督的效果。監督人決定監督什么、如何監督,以及對通過評估監督的信息得出關于控制效果的結論負責。無論企業規模大小,監督人為了設計和實施適當的監督程序,必須具有適當的技術、知識以及對控制所要減緩的風險的專業的理解。

5.監督結果交流的重要性

有效的監督與收集和分析適當的信息有關,有說服力的信息(persuasiveinformation)幫助得出內部控制效果的結論。對已發現的控制的弱點要報告給負責控制運行的人,并且至少要向高一級的層次報告,從而使得適當的人能夠對問題的嚴重性進行評估。適當地評估控制弱點的嚴重性,并及時的報告給可能進行更正的恰當層面,有助于保護組織并保持實現組織目標的能力。

(三)法國內部控制報告框架的主要內容

法國于2007年1月由法國金融監督管理局內部控制指引框架,一是為了統一各公司內部控制報告的披露內容,使之便于投資者理解;二是為上市公司提供一套比較實用的管理工具;三是為了應對COSO報告。具體框架包括四個部分內容:

1.簡介。對內部控制框架的主要內容等進行介紹。在這部分指出該框架主要是提出內部控制的一般原則,而不是要求強制執行的規定,更不是替代相關法律的規定;該框架主要是為了提高各上市公司董事會主席內部控制報告的可比性,以方便投資者閱讀。

2.內部控制系統的構成。一般由五個部分組成:

(1)權責分明的組織架構系統;

(2)內部信息系統;

(3)風險確認與分析系統;

(4)恰當地控制運營過程及減少相關風險的活動;

(5)對內部控制程序的持續監督檢查系統。

為了保證所有控制系統對實現公司目標是相關和恰當的,需要對所有內部控制系統進行監督和檢查。一般而言,由管理部門實施這一檢查,主要包括對所有已記錄事故的分析,對控制活動執行效果以及內部審計人員的工作等進行監督檢查。

3.財務報告內部控制程序應用指南。這部分內容是整個內部控制指引框架的重點。它適用除銀行保險業以外的其他行業的所有企業單個財務報表及集團公司的合并財務報表的編制,內容涉及到內部控制的所有控制要點。與財務信息的編制和處理相關的內部控制程序(即財務報告內部控制,以下稱為“財務報告內部控制”),主要包括會計信息生成程序、財務報表的編制和與內部有關單位的溝通。財務報告內部控制的目的是保證:(1)財務信息遵守了適用的準則;(2)高級管理人員或管理委員會對財務信息的生成能夠正確地給予指導;(3)公司的資產得到保護;(4)盡可能發現欺詐和財務報告問題;(5)所收到的信息以及用于內部控制的信息是可靠的;(6)財務報表及其他提供給市場的信息是可靠的。

4.附錄。包括有關財務報告的內部控制的問卷調查以及內部控制指引框架工作

組介紹等。

法國內部控制指引框架的特點如下:一是該框架是以財務報告內部控制程序為主,雖然內部控制指引框架不僅限于財務報告內部控制程序,并且框架控制范圍與對外披露財務報表的范圍相配套。二是內部控制報告由董事會主席簽發,但對內部控制系統進行構建、指導和監督的則是管理層。管理層向董事會報告公司內部控制系統的主要情況。

(四)法國內部控制框架與美國COSO框架、SOX法案的比較。

基于上面的介紹,不難看出法國和美國的框架有共性的地方,但差異也較明顯,總的來看,美國的模式由1992年整體框架,經過2006年的財務報告內部控制指引的補充以及2007年內部控制監督指南的深化,加之2002年SOX法案的強硬規則以及隨后不斷的修改和調整,已經成為一種理想的和有效的模式,而法國的模式在有效性上會有所不及。二者的差別主要表現在:

1.適用范圍不同。COSO的內部控制整體框架適用于各種類型和規模的組織,而法國的財務報告內部控制程序應用指南則適用于除銀行保險業以外的其他行業的所有企業單個財務報表及集團公司的合并財務報表的編制。法國興業銀行的交易丑聞無疑值得反思。

2.強制性不同。法國內部控制框架不是要求強制執行的規定,更不是替代相關法律的規定;而SOX是在美國上市的大公司必須遵循的法規。從法國興業銀行的交易丑聞中難以看出其內部控制的作用。

3.對財務信息的內部控制程度的要求不同。法國內部控制指引框架對財務信息的內部控制程度的要求不如SOX法案要求深入和詳細。這盡管可以相對減少內部控制系統的啟動和執行成本,但一旦發生巨額虧損,影響將不堪設想。

4.內部控制的監督人和組織安排不同。法國內部控制框架需要對所有內部控制系統進行監督和檢查。一般而言,由管理部門實施這一檢查。這與COSO內部控制監督指南不同。它對于在高管層面以下進行的控制的監督,可由管理當局的人員或由他們任命的人員進行監督。然而對于直接由高管進行的控制,以及設計用于防止或檢查高管越權的控制則不能由高管直接監督或直接報告,在這種情況下,監督應該由董事會(通常通過審計委員會或內部審計)進行。事實上,在兩權分離的現實面前,證明董事會對管理當局的監督是必要的。

5.內部控制報告責任人不同。法國內部控制框架指引的規定是內部控制報告由董事會主席簽發,但對內部控制系統進行構建、指導和監督的則是管理層。管理層向董事會報告公司內部控制系統的主要情況。顯然這容易造成責任不明。SOX法案的404節要求經理人員對保持“適當的財務報告內部控制和程序”負責,公司高管要證實財務報告的可靠性,要求公司的審計師對之進行鑒證。企業必須建立獨立的審計委員會。顯然這規定的重要性不言而喻。因為大多數公司丑聞與管理當局的參與或默許有關。法國興業銀行的欺詐丑聞中管理當局應該負何種責任值得深思。

三、提高內部控制系統的質量必須關注監督和軟控制

無論何種內部控制的框架,都是為了化解風險,抓住機遇,更好地實現內部控制的效果,否則內部控制就失去了存在的意義。

1.加強監督作用要尋找最適宜作監督工作的人。發揮監督作用就要求任命有勝任能力(Competence)和不受個人感情影響(Objectiveorobjectivity)的客觀性的人。能力指的是一個監督人對控制和有關的過程的知識,包括控制應該如何運行?構成控制弱點的是什么?客觀性既與用于監督所產生的信息有關,又與監督人的品性有關。對具有客觀性的人所提供的信息和(或)履行監督程序,無需擔心有個人的傾向,他們也不會為了個人的利益或自保而操縱信息。同時配備恰當的組織結構,明確監督的責任。

2.軟控制與硬控制并重,徹底改變只重視硬控制而忽視軟控制的傳統做法。軟控制與硬控制的區別主要在于它們的落實和監督。硬控制是有型的,更經得起自動化檢驗;而軟控制由于它們無形的特點,則要求更加關注人的行為。行為是顯示雇員的一系列能力的結果,由于能力與人有關,因而引入軟控制是為了管理與人有關的風險。興業銀行年輕的交易員給銀行造成的損失,充分說明軟控制是其有待加強的薄弱的環節。盡管對軟控制進行量化有一定的困難,但它仍不失為可以信賴的風險管理的工具。人的行為是影響內部控制效果的關鍵。首先高度的責任感無論在董事會層面還是就一般員工而言要比規則的控制有效得多。那么企業的監督者,如內部審計師和專家們在評估經營風險時是否對這種最有價值的、最易變動的資源給予足夠的重視了呢?或者對人的行為有積極的影響的控制給予高度重視了呢?如何在有形的、可以計量的傳統的硬控制占主導地位的情況下加強軟控制,這對監督者仍是有些困難,是目前需要加強的重點。但是對企業而言,擁有好的內部控制系統,首先要擁有好的人,然后保證這些人仍然好,這只能靠軟控制起作用。因為規則和程序有助于改善財務報告的可靠性和對相關法律法規的遵循以及降低相關的風險,但它們對實現組織經營的效率和效果、對化解與人有關的風險卻不明顯,這個目標只能通過人的干涉和介入,諸如領導力、忠誠和責任、能力以及高度的道德價值觀來實現。因此,監督者應該同樣地致力于幫助組織開發這些豐富的資源的巨大潛力,實現組織的最高目標。

3.發展麥格雷戈的X理論和Y理論,用彼德。得魯克的新觀點:對不同的人進行不同的管理。約束感、參與感與決策感并重,解決好對雇員的激勵與控制問題。給那些理想的員工充分的授權,使其成為決策者之一;對有意繞行控制系統的員工開展必要的教育,并通過建立和加強軟控制的檢測達到控制的目的。