【摘要】本文根据对亚新科集团内控制度现场研究的顿悟,从现代企业实务出发,指出COSO报告和巴塞尔委员会的有关文件对内控制度只强调评价而忽略设计和执行的缺陷,并对内控制度概念予以补充和扩展。其新颖之处在于将“作业”及其相关概念(诸如作业管理、供应链、价值链、流程再造等相关管理方法和ERP、CIMS、Internet、办公室自动化等新兴信息技术)引进到内控制度,特别提出内控制度是最优化、最简捷和最理性的作业标准或作业程序的观点。其次,根据扩充的内控概念,演绎出总体设计思路和单项设计思路。前者针对一个集团或子公司而言,其方法包括三维立体的静态结构、过程循环式的动态结构和常规/非常规事件结构;后者针对单个内控项目而言,其设计方法包括按部门、按项目和按流程。

【关键词】内控制度内控制度设计作业

一、引言

过去几年,我国会计以至整个管理领域对内控制度的需求日益强烈。其根源并不是控制一词所具有的“治人”与“治于人”的含义对人们的诱惑,而是在国外成功经验和惨痛教训的刺激下,我国党和政府机关、企业及其他各类营利或非营利组织越来越倾向于将内控制度当作治本的手段,用来遏制领导干部贪污腐败、堵塞国有企业资产流失的漏洞、规避企业及其他营利或非营利组织的经营风险和制止虚假企业会计信息流入证券市场以至整个社会等等。国家有关部门、营利组织已经制订并实施与内控制度相关的法规或政策:

1986年财政部颁发《会计基础工作规范》,其中对内控制度作了明确规定;

1999年全国人民代表大会通过新《会计法》,将内控制度当作保障会计信息“真实和完整”的基本手段之一;

2001年6月财政部《内部会计控制———基本规范(试行)》和《内部会计控制规范———货币资金(试行)》;

2000年11月证监会《公开发行证券公司信息披露编报规则》,要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度,在招股说明书正文中专设一部分,用来说明其内控制度的完整性、合理性和有效性;

1997年1月中国注册会计师协会实施《独立审计具体准则第9号──内部控制与审计风险》,以便于会计师事务所评估审计风险,提高审计效率,保证执业质量;

1997年1月国家审计署实施《中华人民共和国国家审计基本准则》,其中将对内控制度的测试当作“作业准则”予以规定;

中纪委、中组部等近几年也了一些相当于内控制度的文件(如“收支两条线”的规定)。

营利组织特别是“三资”企业大多有一套成文的内控制度。例如接受我们咨询的亚新科集团(亚91洲战略投资集团公司的简称),已经建立起比较完备的内控体系,按篇幅计算超过150万字,其中还不包括质量控制项目。

不言而喻,我国内控制制度建设已具备相当的规模,取得重要成果。但是,还必须清醒地看到:第一,党和国家有关部门以及各类组织的相关文件中所谓的内控制度在概念上并不统一;第二,我国还没有形成内部控制的整体框架(结构、内容和联系);第三,我国现存内控制度只注重制度的文字编写环节,严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等方面;第四,在内控制度设计上明显存在着各自为政、就事论事的倾向;第五,与西方国家相比还有很大的差距。

我们认为,我国内控制度之所以存在着这些缺陷,其原因就是我们尚未注意如何界定概念和理清设计思路的问题。本文由此立论,做一些初步探讨,希望对弥补这些缺陷有所裨益。

二、何谓内控制度

(一)西方人的界定内控制度是外来语,英语为InternalControlSystem。美国是内控制度最发达的国家,像巴塞尔委员会这样的国际性银行组织对内控制度也特别关注,过很多相关的、有价值的文件。在西方,内控制度的概念具有历史性,是逐渐发展和完善起来的。

11934年美国《证券交易法》使用“内部会计控制”的术语,作为根除“大危机”中虚假会计信息泛滥的根本措施之一。

21949年,美国注册会计师协会(AICPA)在一份特别报告中,首次将内部控制界定为“一个企业为保护资产完整、保证会计数据的正确和可靠、提高经营效率、贯彻管理部门既定决策,所制订的政策、程序、方法和措施。”[1]按照这个定义,内部控制一开始就突破了财务会计的范围,包括了成本、预算等项内容。

31958年会计程序委员会《独立审计人员评价内部控制的范围》的报告,其中将内部控制分为内部会计控制和内部管理控制,[2]这就是人们所熟知的内部控制制度“二分法”的由来。

41986年最高审计机关国际组织(INTOSAI)在第12届国际审计会议上发表《总声明》,赋予内部控制新的涵义,即“作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。它是由管理者根据总体目标而建立的,目的在于帮助企业的经营活动合理化,具有经济性、效率性和效果性;保证管理决策的贯彻;维护资产和资源的安全;保证会计记录的准确和完整,并提供及时、可靠的财务和管理信息。[3]”这个概念相当的宽泛,几乎达到无所不包的地步。

51988年AICPA《审计准则公告第55号》,将内部控制界定为“为合理保证企业特定目标的实现而建立的各种政策和程序”,在结构上由控制环境、会计制度和控制程序三个要素组成。

61992年COSO委员会①《内部控制———整体框架》的报告,即著名的COSO报告;1995年,AICPA又以《审计准则公告第78号》的形式发表。COSO报告提出:“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。”[4]同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架,得到公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可,因而成为迄今最权威的内部控制的概念。

71997年巴塞尔委员会《银行组织中内控制度的框架》的报告,将COSO报告提出的内控制度的02①包括美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、内部审计协会(IIA)、管理会计师协会(IMA)整体框架成功地应用于银行业,并演绎出适合银行业但具有一定普遍性的十三条原则②。该报告实际上是对巴林银行失控案例的积极反应,但同时也将内控制度的范围推广到无以复加的地步。

(二)我国的提法

在我国,由谁在哪部文献中首先使用内部控制概念已无从查考,但在正式法规中首先有实际意义的使用似应确定为1986年财政部颁发的《会计基础工作规范》。该规范只提到内部会计控制,并定义为“单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序”。这个定义为嗣后财政部的其他内控文件以及《会计法》所沿袭。值得注意的是,在这些文件及《会计法》中基本上将内部会计控制当作会计监督的一部分。实际上英语“Controls”作为名词的复数形式可以翻译成“监督”,那么,“InternalControls”完全可以翻译成“内部监督”。

中注协的内控概念的外延比较宽泛,在其1997年实施的《独立审计具体准则第九号———内部控制与审计风险》中称内部控制为“被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序”,“包括控制环境、会计制度和控制程序”。该定义是审计的概念,它明显地套用了AICPA在1988年提出的内控定义。

证监会、国家审计署、中组部、中纪委等部门的内部控制概念与上述两种大同小异,但似乎是“各有所司”:证监会主要防范上市公司及金融、保险机构的会计信息失真;国家审计署主要防范政府机关和国有事业单位资产流失和信息失真;中纪委和中组部主要防范领导干部贪污腐败,诸如此类。

很明显,我国内控制度的概念受西方影响很大,中注协的概念明显地套用了AICPA在1988年提出的内控定义。而财政部有意识地将有关文件限定在会计控制的范围,除了行政权限的考虑之外,也表明我们对其他内控制度及其与会计控制的关系的认识还不成熟。

(三)我们的观点

我国内控制度在概念上基本套用西方的。西方的内控概念概括起来无非是上文所说的“三个目标”、“五个要素”、“十三条原则”。但是,西方内控概念大多由实务界特别是审计和经济监管组织所界定,因而描述性的多,对本质的揭示不够充分,同时以现成的内控制度为前提,强调对内控制度的评价,忽略了如何设计和执行内控制度③。对企业来说,这些被忽略的东西正是第一位的。