内部控制怎样实现对管理基础结构的改变

2017-03-13 03:02

中国注册会计师 2017年1期

内部控制怎样实现对管理基础结构的改变

王静段骆

管理主体的基础结构是指假设在不存在完整的内部控制框架的情况下，企业所进行的经营活动过程及其管理结构。内部控制的实现方式不是建立在独立于管理基础结构、并与其并列运行的一种管理模式。实际上，内部控制只有通过与这种基础结构进行有效的整合并融为一体才可能发挥作用。因此，改造、改善管理基础结，使之有益于增加内部控制的有效性成为本文关注的问题。

一、管理基础结构的构成

管理基础结构是为经营活动服务的，其要素包括：战略制定、组织结构、职能管理、制度规范和企业文化等。不同企业之间基础结构的形成过程、表现形式和发挥作用的状态差异明显，其作用于经营活动的效果也各不相同。从有利于内部控制发挥作用的角度考察，管理基础结构应当具有以下特征：

1．战略设计有利于企业经营优势的发挥，企业的经营活动处于可以持续的状态。在一家处于破产边缘的企业推行内部控制，可能是不现实的。

2．组织结构设计符合企业战略规划和管控模式的要求，三者之间不存在明显的不相适应的状态。企业设置了履行监督职能的部门，其职责范围安排不存在令人不快的限制，专业能力也不会导致产生履行职责的限制。

3．职能管理的能力能够保证对经营活动关键事项的管理处于基本合理的状态——这种能力的具备依赖于关键管理人员的专业素质和管理经验，据此可以判断企业的管理骨干在正常情况下能够胜任自己的工作。

4．制度规范体系完整并运行效果良好。企业在制度规范的体系设计和控制设计两个方面都具备了较好的能力，并通过有效的制度评审等措施促进了制度改善和制度创新。

5.在企业文化的相关要素中，员工的职业道德、制度意识和经营理念等不存在重大瑕疵，能够有机地融入经营活动中，并与得到广泛认同的一般商业文化保持一致性。

对内部控制的建立和实施而言，对以上管理基础结构的描述是一种较为理想的状态。即便如此，它与内部控制的实施要求也不会完全适应。而对那些管理基础结构相对较弱的企业来讲，改造管理基础结构的任务则更为迫切。

从笔者的内部控制咨询的经验来看，企业（多指国有企业）中这种不相适应的状态主要表现在以下四个方面：

第一，对企业高级管理层的约束过于弱化。对他们的监管约束主要来自于外部的诸如廉洁自律等方面的纪律性规定，此类规定的实施过度依赖于举报系统发挥作用的效果，而且对违纪行为的监察和处理实质上是在一个十分封闭的系统内进行的，其公平性、客观性具有明显的不确定性。而在企业内部设立的监管机构，由于从属关系、独立性的局限，其发挥作用可能性则进一步降低。

第二，职能管理没有建立共同的价值取向。在企业内部，职能管理的效率即与组织结构、管理能力相关，也与部门的价值取向相关。从实际情况看，追求部门价值最大化的倾向较为普遍，其结果是实现部门目标的重要性优先于实现企业目标的重要性，进而造成部门之间的协调障碍、管理低效率和资源浪费。

第三，制度管理尚不具备体系的特征。一般企业的制度管理多停留在制度规范的编制阶段，对制度管理的体系建设缺乏思考。尤其是制度管理的执行体系、评审体系、监督与责任追究体系没有建立起来，其制度管理的效果可想而知。

第四，与企业文化相关的员工诚信、职业道德和制度意识被诟病较多。员工诚信和道德方面的瑕疵是一部分风险产生的根源，这会导致增加控制成本的考虑。员工的制度意识薄弱，则会导致监督成本的增加。

二、内部控制框架是一个整合管理基础结构的工具

COSO的内部控制整合框架的整合对象是与内部控制相关的基础理论，其目的是为相关的教育机构、审计师和企业内部的管理人员及其他相关者提供一套关于内部控制的关键原则和概念、共同语言、明晰的方向和指南，以利于人们相互之间的交流。同时，该框架对内部控制的关键要素的概括，则为相关人员建立和评价内部控制提供了标准。

然而，从实践的角度考察，内部控制框架的研究存在一个重要不足：它虽然指出了内部控制不是叠加在管理基础结构上的一个新的系统，只有和管理基础结构整合在一起才能发挥作用，但却没有具体叙述整合的基本方法，也没有提及对管理基础结构的改善要求，导致意图引进内部控制框架的企业既缺少方法论的指引，又缺少实战的指南。这也是内部控制框架在我国运用不顺利的原因之一。

根据笔者的观察和思考，COSO的内部控制框架不仅是一个整合内部控制理论的结果，还是一个整合管理基础结构的有效工具。这是由以下因素决定的：

1.从企业内部的管理需求看，内部控制的价值已经得到企业的广泛认同，企业希望自己的管理过程是置于有效的内部控制监督之下的。

2.从管理基础结构的现状看，企业的管理基础结构本身存在许多薄弱环节，多数管理者对这种缺陷不是不能发现，而是对改善的目标和路径不清晰、不熟悉。

3.从内部控制的理论价值看，一是通过对内部控制目标的概括，为企业的经营活动和职能管理提供了共同价值观，这不仅有利于为职能管理提供行动指南，还有助于克服或减轻部门壁垒的影响。二是在内部控制设计和实施过程中，大量运用了成熟的管理工具，如：战略管理、目标管理、授权控制、流程再造、预算管理、抽样技术等。这会促使企业在不同的职能领域寻求运用新的管理工具，促进管理水平的提升。三是通过对内部控制关键要素的概括，为企业改善管理基础结构建立了标准。

通过以上对企业意愿、管理现状和内部控制理论价值的分析，可以大致了解内部控制作为一种整合工具所能发挥作用的范围和途径。

三、内部控制整合的程序和方法

按照系统论的观点，系统的功能是由系统的结构决定的。一些企业的管理基础结构存在一个明显的结构性缺陷是：企业的经营系统与专业管理子系统之间、以及各专业管理子系统之间，没有建立明确的“共同价值观”，致使各业务单元的目标取向和控制方式的确立多具个性化，缺少一致性。在内部控制框架建立起来之后，新旧系统的相容性并不会自动解决，如果不对管理基础结构进行必要的整合，必然影响整个管理系统（包括内部控制框架和管理基础结构）的运行。那种以为只要内部控制一枝独秀，就能实现内部控制的主要目标的想法，是不切实际的。

内部控制整合是指从企业内部控制实施的实际需要出发，以内部控制框架为标准对管理基础结构进行再设计，通过在管理基础结构中全面植入内部控制的关键要素和控制标准，完成对原有管理系统的改造，为内部控制的有效运行建立制度保障。

（一）内部控制整合的一般程序

企业的内部控制整合不是各个部门、岗位的自发性安排，它应该是经过专业部门设计、并经过恰当层级批准的管理大纲和实施方案。整合的一般程序包括：

1.成立整合项目组。

2.编制、批准整合方案和计划。

3.描述整合的总体目标和阶段性目标。

4.描述整合的一般性要求。

5.描述整合的专业性要求，包括：（1）组织结构设计、岗位设计，部门及岗位职责设计；（2）管理规范编制的结构和要点；（3）风险评估与风险应对流程设计；（4）有利于内部控制监督的信息系统设计；（5）公司所有检查监督活动的统一规划。

6.项目组成员培训。

7.针对部门的整合业务指导。

8.整合成果评估。

（二）内部控制整合的主要方法

内部控制整合的过程和方法不可能是一成不变的，它会因为管理基础结构的不同和演变而具有不同特色。因此，本文叙述的整合方法仅适合某些特定的企业。

1．控制环境整合要点

企业的控制环境（此处不包括经营环境的内容）是一种持续的客观存在。对控制环境的评价角度和标准是各项子元素的完整性和符合性，找出遗漏和欠缺。在控制环境要素中，企业应当对以下三个方面的问题给予充分的关注：

第一，在企业的治理结构不足以预防高层舞弊时，通常会意味着企业的内部控制不会取得成功。此时的解决之道不是另辟它径，而只能是寻求治理结构的完善。

第二，员工的诚信和道德水准与控制成本呈负相关关系。内部控制无法解决员工诚信和道德问题，它可以发挥的作用在于把对特定岗位的道德需求书面化、公开化，并对违反道德的行为给予必要的惩罚，以起到警示和震慑作用。对企业来说，对道德的要求和约束是长期存在的，此时需要做的就只是完善它，并固化其中行之有效的方法。

第三，员工的制度意识在部分企业普遍缺失，这会导致丧失内部控制的效率和效力，并造成监督成本的增加。如果对内部控制的政策和程序没有敬畏之心，任意违反的现象就会十分普遍。没有敬畏之心，是因为不会付出代价。所以，恰当的、必然会实施的处罚是必要的。对铤而走险者，只能绳之以法。

2.风险评估整合要点

一般而言，企业并不是没有风险意识，而只是不了解或不习惯对风险进行系统评估的方法。企业实际需要掌握的知识和技术主要是：

第一，进行系统的风险评估的基础条件是流程梳理，风险存在于流程中的控制点。所以，流程梳理的质量决定了风险评估的系统性。

第二，风险是一种不确定性，每一种不确定性都会有一个或一个以上的结果。所有的结果都是依据经验假设的，假设是否完整、正确则取决于个人或集体的判断。结果可能发生，也可能不发生。

第三，所谓风险评估就是分析不确定性发生的可能性和影响程度。在绝大多数情况下，对风险发生的可能性进行定性分析就足够了。大部分所谓定量分析，其实都是建立在定性分析的基础之上的。即使计算了概率，对企业决策的帮助也十分有限。

第四，风险应对是针对不确定性做出的控制方式设计和其它预防性安排。根据笔者的观察，在大型企业中，控制不足的情形虽然也时有发生，但过度控制的状况更加普遍。在中小企业中，控制不足的情形更加突出。

3.控制活动整合要点

企业开展控制活动的基础是建立政策和程序。确定应该做什么的是政策，叙述政策实现路径的是程序。

第一，任何改善都是以缺陷分析为基础的，管理基础结构的改善也离不开控制缺陷的分析。缺陷分析的作用在于调整或重新规划控制方式。

第二，为进行有效控制而制定政策和程序是一项重要的活动。企业的内部控制政策和程序通常都会以《内部控制手册》作为载体。一般情况下，企业原有的制度和其它管理规范与内部控制的要求可能相差甚远。主要是两者的覆盖范围不同、控制目标与控制措施的相关性不同、控制方式与控制标准不同、控制要素的安排和概念运用不同。

第三，内部控制的政策和程序不仅是一个执行标准，同时还是一个评价标准。这两者都要求相关文件的叙述应当足够清晰，不存在任何理解上的歧义，在必要时使用定量描述。

第四，权限设计应当从整体上考虑，覆盖企业层面和业务层面。权限设计既是一种权力安排，也是一种职责安排，其基本要求是达到权力和职责的合理分割与协调。

4.信息沟通整合要点

内部控制对信息沟通的要求并不是建立一个独立的信息系统，而是要求在企业信息系统中能够有效获取相关的信息。

第一，一个完整的计算机信息系统并不是有效的内部控制的必要条件。是否建立这样一个系统，应当考虑企业的规模、运营的特征和成本效益原则。

第二，为提高信息处理的效率，应当对信息进行分类。笔者认为，应按照管理的层级进行分类，即：治理结构需要的信息、决策层需要的信息、管理层需要的信息和执行层需要的信息。

第三，信息处理涉及到职责分配和管理权限，应把它作为管理过程的一部分，而不是企业内部控制机构的专有职责。

5.检查评价整合要点

检查评价是内部控制的最后一个要素，但不是最不重要的一个要素。

第一，由于内部控制检查评价范围较广泛，必然会造成企业内部的部分检查业务重复或重合。企业应当安排一个部门对所有检查事项进行统一计划，以减少资源浪费。

第二，在对内部控制的检查评价方面，内部审计部门具有长期的经验和规范的程序，其它管理部门也在自身的管理实践中形成了自己的特色。内部控制的检查评价作为一项新业务，应当集众家之长，结合自身表达和报告的需要建立新的规范，并在企业统一推行。

第三，检查评价的必要性显得十分突出时，可能意味着内部控制的实施存在结构性缺陷。这时不能仅仅考虑加大检查力度，还应当分析具体原因。

四、内部控制整合之后的扩增价值

因为内部控制整合而形成的管理基础结构的改善，称之为内部控制的扩增价值，主要体现在以下几个方面：

1.内部控制为企业制度植入了新的元素

企业制度的缺陷包括设计缺陷和执行缺陷。在制度的设计方面，一般仅对立法宗旨做概况的描述，对制度应当实现的控制目标考虑不充分，导致制度安排的控制措施与控制目标的相关性不足，即使制度得到完全执行，也可能无法实现控制目标。此外，在业务程序、管理职责与权限等方面安排也缺少一致性的考虑。在制度的执行方面，对执行情况的检查评价、违规问题的责任追究也多流于形式，导致制度的整体执行状况不佳。企业在按照内部控制框架的要求对制度结构进行改造后，制度设计和执行的质量均有改观。

2.内部控制促进了流程化管理思想在企业的形成和运用

内部控制手册的主要描述工具和控制方法是流程，这使流程管理的思想及其工具在企业得到了一次广泛的普及和运用。

3.内部控制使企业的授权体系趋于完善

国内的许多企业，特别是中小企业，对权限设置的考虑一般比较粗放，而内部控制的建立要求权限设置与具体的管理业务相对应，这为企业系统地梳理管理权限提供了难得的机会和成熟的方法。

4.内部控制使一些管理工具和方法得到普及

在某种意义上，内部控制可以理解为管理工具和管理方法的集合。它对其它管理工具和方法进行了广泛的借鉴和应用，包括：目标管理、战略管理、流程优化、审计技术、抽样技术、信息技术等，这使企业在运用和固化这些管理工具、方法时受益匪浅。

5.内部控制使企业得到一个知识管理的载体

许多企业对知识管理重要性的认识并不深刻，对知识管理的途径和方法也知之甚少，其后果是企业千辛万苦形成和积累的各种有益的管理知识没有得到价值确认和传承。这些知识可能因员工流失、岗位变动等原因而丧失。而内部控制的建立使企业在公司层面、业务层面的最佳实践以制度、流程的形式固化下来，成为知识管理和普及的有效载体。

6.内部控制规划了企业三基工作的基本框架

企业三基工作是实施专业管理的基础，但多数企业在这方面的表现可以概括为“难提升、易滑坡”，企业也一直没有成熟的解决措施。内部控制基于控制点管理的需要，系统描述了三基工作建立的标准、执行的标准、检查的标准和评价的标准，这为企业按照新的思路改善基础工作提供了有效的方法。

通过对内部控制扩增价值及其现实路径的分析，为我们准确理解内部控制与管理基础结构的关系提供了一个新的视角。从实战的角度看，没有价值发现，就不会有价值认同；没有价值认同，就不会有实践指南。

内部控制在设计和执行过程中实现的扩增价值，和内部控制的初始价值一样，最终也会成为管理基础结构的一部分，并赋予管理基础结构更加完善的功能，这将有利于促进融合了内部控制关键要素的新型管理模式的形成。

作者单位：湖北中信会计师事务所