现代企业内控制度:概念界定与设计思路「摘要」本文根据对亚新科集团内控制度现场研究的顿悟,从现代企业实务出发,指出COSO报告和巴塞尔委员会的有关文件对内控制度只强调评价而忽略设计和执行的缺陷,并对内控制度概念予以补充和扩展。其新颖之处在于将“作业”及其相关概念(诸如作业管理、供应链、价值链、流程再造等相关管理方法和ERP、CIMS、Internet、办公室自动化等新兴信息技术)引进到内控制度,特别提出内控制度是最优化、最简捷和最理性的作业标准或作业程序的观点。其次,根据扩充的内控概念,演绎出总体设计思路和单项设计思路。前者针对一个集团或子公司而言,其方法包括三维立体的静态结构、过程循环式的动态结构和常规/非常规事件结构;后者针对单个内控项目而言,其设计方法包括按部门、按项目和按流程。一、引言过去几年,我国会计以至整个管理领域对内控制度的需求日益强烈。其根源并不是控制一词所具有的“治人”与“治于人”的含义对人们的诱惑,而是在国外成功经验和惨痛教训的刺激下,我国党和政府机关、企业及其他各类营利或非营利组织越来越倾向于将内控制度当作治本的手段,用来遏制领导干部贪污腐败、堵塞国有企业资产流失的漏洞、规避企业及其他营利或非营利组织的经营风险和制止虚假企业会计信息流入证券市场以至整个社会等等。国家有关部门、营利组织已经制订并实施与内控制度相关的法规或政策:1986年财政部颁发《会计基础工作规范》,其中对内控制度作了明确规定;1999年全国人民代表大会通过新《会计法》,将内控制度当作保障会计信息“真实和完整”的基本手段之一;2001年6月财政部发布《内部会计控制———基本规范(试行)》和《内部会计控制规范———货币资金(试行)》;2000年11月证监会发布《公开发行证券公司信息披露编报规则》,要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度,在招股说明书正文中专设一部分,用来说明其内控制度的完整性、合理性和有效性;1997年1月中国注册会计师协会实施《独立审计具体准则第9号──内部控制与审计风险》,以便于会计师事务所评估审计风险,提高审计效率,保证执业质量;1997年1月国家审计署实施《中华人民共和国国家审计基本准则》,其中将对内控制度的测试当作“作业准则”予以规定;中纪委、中组部等近几年也发布了一些相当于内控制度的文件(如“收支两条线”的规定)。营利组织特别是“三资”企业大多有一套成文的内控制度。例如接受我们咨询的亚新科集团(亚91洲战略投资集团公司的简称),已经建立起比较完备的内控体系,按篇幅计算超过150万字,其中还不包括质量控制项目。不言而喻,我国内控制制度建设已具备相当的规模,取得重要成果。但是,还必须清醒地看到:第一,党和国家有关部门以及各类组织的相关文件中所谓的内控制度在概念上并不统一;第二,我国还没有形成内部控制的整体框架(结构、内容和联系);第三,我国现存内控制度只注重制度的文字编写环节,严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等方面;第四,在内控制度设计上明显存在着各自为政、就事论事的倾向;第五,与西方国家相比还有很大的差距。我们认为,我国内控制度之所以存在着这些缺陷,其原因就是我们尚未注意如何界定概念和理清设计思路的问题。本文由此立论,做一些初步探讨,希望对弥补这些缺陷有所裨益。二、何谓内控制度(一)西方人的界定内控制度是外来语,英语为InternalControlSystem。美国是内控制度最发达的国家,像巴塞尔委员会这样的国际性银行组织对内控制度也特别关注,发布过很多相关的、有价值的文件。在西方,内控制度的概念具有历史性,是逐渐发展和完善起来的。11934年美国《证券交易法》使用“内部会计控制”的术语,作为根除“大危机”中虚假会计信息泛滥的根本措施之一。21949年,美国注册会计师协会(AICPA)在一份特别报告中,首次将内部控制界定为“一个企业为保护资产完整、保证会计数据的正确和可靠、提高经营效率、贯彻管理部门既定决策,所制订的政策、程序、方法和措施。”[1]按照这个定义,内部控制一开始就突破了财务会计的范围,包括了成本、预算等项内容。31958年会计程序委员会发布《独立审计人员评价内部控制的范围》的报告,其中将内部控制分为内部会计控制和内部管理控制,[2]这就是人们所熟知的内部控制制度“二分法”的由来。41986年最高审计机关国际组织(INTOSAI)在第12届国际审计会议上发表《总声明》,赋予内部控制新的涵义,即“作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。它是由管理者根据总体目标而建立的,目的在于帮助企业的经营活动合理化,具有经济性、效率性和效果性;保证管理决策的贯彻;维护资产和资源的安全;保证会计记录的准确和完整,并提供及时、可靠的财务和管理信息。[3]”这个概念相当的宽泛,几乎达到无所不包的地步。51988年AICPA发布《审计准则公告第55号》,将内部控制界定为“为合理保证企业特定目标的实现而建立的各种政策和程序”,在结构上由控制环境、会计制度和控制程序三个要素组成。61992年COSO委员会①发布《内部控制———整体框架》的报告,即著名的COSO报告;1995年,AICPA又以《审计准则公告第78号》的形式发表。COSO报告提出:“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。”[4]同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架,得到公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可,因而成为迄今最权威的内部控制的概念。71997年巴塞尔委员会发布《银行组织中内控制度的框架》的报告,将COSO报告提出的内控制度的02①包括美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、内部审计协会(IIA)、管理会计师协会(IMA)整体框架成功地应用于银行业,并演绎出适合银行业但具有一定普遍性的十三条原则②。该报告实际上是对巴林银行失控案例的积极反应,但同时也将内控制度的范围推广到无以复加的地步。(二)我国的提法在我国,由谁在哪部文献中首先使用内部控制概念已无从查考,但在正式法规中首先有实际意义的使用似应确定为1986年财政部颁发的《会计基础工作规范》。该规范只提到内部会计控制,并定义为“单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序”。这个定义为嗣后财政部发布的其他内控文件以及《会计法》所沿袭。值得注意的是,在这些文件及《会计法》中基本上将内部会计控制当作会计监督的一部分。实际上英语“Controls”作为名词的复数形式可以翻译成“监督”,那么,“InternalControls”完全可以翻译成“内部监督”。中注协的内控概念的外延比较宽泛,在其1997年实施的《独立审计具体准则第九号———内部控制与审计风险》中称内部控制为“被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序”,“包括控制环境、会计制度和控制程序”。该定义是审计的概念,它明显地套用了AICPA在1988年提出的内控定义。证监会、国家审计署、中组部、中纪委等部门的内部控制概念与上述两种大同小异,但似乎是“各有所司”:证监会主要防范上市公司及金融、保险机构的会计信息失真;国家审计署主要防范政府机关和国有事业单位资产流失和信息失真;中纪委和中组部主要防范领导干部贪污腐败,诸如此类。很明显,我国内控制度的概念受西方影响很大,中注协的概念明显地套用了AICPA在1988年提出的内控定义。而财政部有意识地将有关文件限定在会计控制的范围,除了行政权限的考虑之外,也表明我们对其他内控制度及其与会计控制的关系的认识还不成熟。(三)我们的观点我国内控制度在概念上基本套用西方的。西方的内控概念概括起来无非是上文所说的“三个目标”、“五个要素”、“十三条原则”。但是,西方内控概念大多由实务界特别是审计和经济监管组织所界定,因而描述性的多,对本质的揭示不够充分,同时以现成的内控制度为前提,强调对内控制度的评价,忽略了如何设计和执行内控制度③。对企业来说,这些被忽略的东西正是第一位的。我们认为,补充下列几点十分重要:1内控制度首先是一种授权体系和责任体系。内控制度发生在社会领域的各类组织中。在抽象的意义上,控制就是A委托B按照A的意图将A的事情办好。这就是代理人说中的委托代理关系。委托过程实际上是授权和指派责任的过程。由于现代各类组织层级多、结构复杂,因而在各类组织中,控制或者内部控制所体现的委托代理关系实际上是一种授权体系和责任体系。责任源于授权,而授权必须解决两个问题:(1)权利来源。为什么A有委托B的权利?谁有可能是A或B呢?在市场经济条件下,资本的权利、提供经费的权利是控制权的基本来源之一。(2)权利的运作。如果B是若干人时,权利的运作就成了问题。西方人强调在高度透明的前提下,将同一权力下授给若干人,按照相互制衡、相互监督的原则运作权利。东方人则强调当事人对相互之间的事务的直接介入,所谓“您中有我,我中有您”。A对B的控制在小规模的组织中基本上是直接的,随着组织规模的增大,控制的间接性越强,授权体系和责任体系越复杂。至于B为什么接受A的委托,则是因为B受到个人利益的驱动,也就是B可以从接受A的委托中得到好处。2内控制度是一种最优化、最简捷和最理性(合乎逻辑)的作业方式或作业标准。一个组织的运营过程是由一系列作业组成。所谓作业是指“具有特定目的的一个事件、一项任务或一件工作的基本单位”。作业是相对的概念,还可以说一项作业由若干任务组成,而若干项作业又可以组成一个流程。作业可以按照不同标志进行分类,其中最流行的是将作业分成与单位产出相关的作业、与产出批量相关的作业、与产出类别相关的作业、与基础设施相关的作业。而与基础设施相关的作业也称为与组织相关的作业,并进一步分成结构性作业和程序性作业。将作业概念引进到内控制度,具有重大意义。依此为基础,可以直接引进适时制(JIT)、作业管理(ABM)、作业链、价值链、供应链等最新的管理方法,使内控制度成为优化、简捷和理性的作业标准。同时也表明内控制度不仅“治病”,而且可以“保健”。将内控制度当作作业标准,就可以按照控制论或管理控制的循环步骤,执行内控制度,实现内控制度的目标。3在外延上,内部控制包括会计(财务)控制、管理控制、业务控制和法规执行控制。会计(财务)控制的目标是保证财务报告的可靠性,管理控制的目标是保证管理目标即效率和效果的实现,法规执行控制的目标是保证法规的贯彻执行。这三个目标与COSO报告完全一致。那么,我们为什么又增加一项业务控制呢?一个重要的原因是会计控制的对象为货币以及与货币有关的物,管理控制的对象为人,业务控制的对象为物。业务控制与会计控制或管理控制可能重叠,但会计控制或管理控制都不能完全涵盖业务控制。此外,法规执行控制是其他三项控制的前提条件。4内部控制是衡量组织风险的基础。内控制度是一种标准,而风险就是对标准的偏离程度。对一个组织来说,将内控制度设计的越符合实际,该组织的风险越小。三、内部控制制度总体设计研究内控制度的概念的目的在于为内控制度的设计提供理论指导。现代企业的内控制度是一个体系。所谓体系是指一个有结构或由若干因素组成的整体。因此,我们将内控制度的设计分成总体设计和单项设计。前者说明一个现代企业的内控制度的整体结构或组成要素的设计,后者说明构成该整体结构中的每个要素内容的设计。我们认为,内控制度的整体设计可采用三条思路:(一)三维立体的静态结构一个现代企业的内控制度在总体上应该是组织、项目和流程三个方面的综合,具有三维立体性。1关于项目维度所谓项目,是指内控制度的基本单位。亚新科集团除质