警惕企业内控外化

　　2001年年末，美国多家大公司爆出会计造假丑闻，美国国会迅速做出反应，于2002年通过著名的“萨克斯法案”。该法案404条款有两点重要规定：一是公司董事会和管理当局要对公司内部控制（简称“内控”）的建立和有效性负有责任；二是受聘公司年终财务审计的注册会计师要对公司内控的有效性出具评价报告，并与公司年终财务审计报告一同发布。显然，404条款所隐含的假设是：公司外部利益相关者可以通过有效的内控制度来防范或至少缓解公司会计造假、经济舞弊和贪腐。其结果，内部控制变身为外部控制！

　　美国的做法直接影响到我国。2006年财政部停止“内部会计控制规范”的制定，转而会同证监会、审计署、银监会、保监会，在财政部设立“企业内部控制标准委员会”（简称“委员会”），启动企业内控标准的制定工作。委员会设秘书处，负责设计企业内控标准草案。内控标准草案经财政部及其他有关部门领导审定、会签后联合发布实施。目前，《企业内部控制基本规范》已发布实施，预计后续将有18项应用指引、1项评价指引和1项审计指引发布，并于2011年1月1日全部实施。如果不出意外，我国也会借鉴美国的经验，至少用法律的形式要求上市公司和大型国有企业，在贯彻企业内部控制基本规范和指引过程中，建立健全内部控制，并经由中介机构出具评价报告，与年终财务审计报告一同发布。简言之，我国内控制度也将变身为外部控制！

　　问题是在内部控制性质已经变化的环境中，我国企业应该如何应对呢？我们认为以下四点特别值得注意：

　　我国内部控制仍具浓厚的中国特色

　　我们注意到，404条款强调了内部控制的重要性，但并未界定何谓内部控制。我们还注意到，美国五家最有影响力的民间职业团体联合成立了一个组织，简称考索委员会（COSO），专门研讨内部控制的设计和实施中的重大问题，1992年发表的报告《内部控制框架》和2004年发表的报告《全面风险管理框架》，在国际范围内堪称是最权威的内部控制文献，但对美国企业无任何约束力。也就是说，美国企业的内部控制由企业设计，在设计时，对考索报告可以参考也可以不参考，只要内部控制有效（或者“不出事儿”）并经得住注册会计师评价，就符合404条款。

　　我国企业内部控制的特点就是，国家对内部控制的影响比美国大，在内部控制设计时我国不如美国企业的灵活性大。我国企业建立内部控制首先落实国家的基本规范和指引，然后再将根据自己企业情况设计的内部控制与之衔接起来。这里最重要的是企业、国家和注册会计师之间的监管权责的划分问题。由于我国各企业情况千差万别，国家的基本规范和指引只能是防范会计造假、经济舞弊和贪腐所必要的但不是充分的条件，在这样的情况下，如果企业发生违规违法的问题，其监管责任有可能说不清楚。这是对即将发布实施的基本规范和指引的重要观察点之一。

　　企业内部控制的设计

　　未来我国企业内部控制有两个来源：一是国家的基本规范和指引；二是企业本身设计。但这两者之间不是相互独立，而是一个有机整体。因此，内部控制的设计在逻辑上可有三种方法：一是基于国家基本规范和指引向外拓展；二是基于企业单独设计，然后与国家基本规范和指引合并，并剔除重复部分；三是前两种兼而有之的混合方法。我们主张用第二种方法。

　　应该说，我国一些企业所设计的内部控制，其水平和有效性不比美国的企业差。中国石油和亚新科集团是两个突出典型，值得其他企业借鉴。这两家企业与国家的基本规范和指引一样，都主要基于两个考索报告，但中国石油按五要素分别设计，加上大纲和框架共七个分册，而亚新科集团则按项目设计，共有87个项目。有趣的是，中国石油的每个分册或要素都涵盖着若干项目，而亚新科的每个项目都包括着五个要素。另外，这两家公司都基于流程理念设计控制活动，但中国石油的设计思路更为清晰。其基本思路是：从企业或单位流程中选定关键流程；从关键流程中选定关键作业；寻找关键作业的主要风险；寻找主要风险的应对措施；控制活动的记录与归档。其中风险应对措施的核心是分权、牵制和透明。

　　会计报表与内部控制的对应关系

　　内部控制不仅防范会计造假、经济舞弊和贪腐，而且是保障会计报表或财务信息及其对应资产真实完整的根本。从美国的历史看，内部控制最初出现在1934年的《证券法》，指的是内部会计控制，与会计报表完全对应，后来证明这种单纯的内部会计控制是无效的，所以才有考索委员会的出现。1992年的考索报告，在将内部控制框架界定为五个要素的同时，特别在内部会计控制之外，拓展出管理（效率与效果）控制和法律法规的控制。2004年考索报告，尽管称为《全面风险管理框架》，但实际上是1992年考索报告的“豪华版”，加之内部控制的目的就是防范风险，而防范风险的基本工具就是内部控制，因而风险管理与内部控制无异于同一事物的两个侧面。《全面风险管理框架》走得更远，不仅将框架要素扩展为八个，而且还增加了战略控制、并将财务信息的控制推广到对所有信息的控制。我国放弃内部会计控制，并在借鉴考索报告的基础上重新设计企业内部控制标准，所基于的考虑应该与美国相同。

　　必须指出的是，由此一来内部控制的范围则远远超出了会计，是一个由战略控制、管理（效率与效果）控制、信息（含会计）控制和法律法规控制组成的体系，在企业当中，内部控制“就是管理，就是一切”。那么，谁、或者哪个部门来牵头制定和实施内部控制？如果首席财务官或者财务部门牵头，在现有企业治理结构下，首席财务官或财务部门的权力是远远不够的，在未来权力分配上必须有所倾斜，此其一。其二，注册会计师的评价应该针对企业全部内部控制，而不仅仅是内部会计控制，这很有可能超出注册会计师知识和技能的范围。有迹象表明，美国注册会计师倾向评价与会计报表相关的内控制度，这将对内部控制的作用大打折扣，因此我们建议我国注册会计师要对全部内控制度进行评价，但要在加强注册会计师知识拓展培训的同时，企业还应设立专门的内部控制评价机构与注册会计师评价相配合。其三，在战略、管理、信息和法律法规四项内部控制中，法律法规是必要条件，而战略则处于主导地位，管理控制和信息控制要符合企业战略控制的需要，如何在法律法规的基础上将战略控制贯彻到管理控制和信息控制之中，并具有可操作性，依然是未来建立和实施内部控制过程中极具挑战性的问题，亟待企业研究解决。

　　内部控制实施

　　任何企业都必须有一个管理控制系统，即管理当局启动和领导企业成员向着战略目标行进并最终实现战略目标的机制，包括控制标准、对控制标准执行的监控以及对控制标准执行结果的奖惩。为了有效地实施内部控制，企业内部控制必须作为控制标准的一部分，必须与奖惩相结合，简言之必须成为管理控制系统的有机组成部分，加以考核。问题在于如何将管理控制系统与内部控制有机结合呢？我们注意到，管理控制系统的控制标准有两个基本部分：一是结果控制标准，基于平衡计分卡（BSC）原理设计；二是过程控制标准，基于流程改进或再造（BPI/R）理念设计。而所谓内部控制，就其标准而言就是过程控制标准，因此实务上将内部控制与管理控制系统的控制标准结合起来没有技术问题，只需要转变观念。其次，用同样的思路来解决内部控制与奖惩结合问题也变得容易了，也就是不必单独设计内部控制的奖惩制度，而是在管理控制系统的奖惩资源中辟出一定的份额或权重，与内部控制对应起来即可。最后，经验告诉我们，我国大型企业的内部控制除了国家的基本规范和20个指引之外，可能还有上百或者几百个自己设计的内部控制，按照成本效益原则，如此众多的内部控制是否值得、是否有可能纳入考核并与奖惩挂钩？答案是肯定的，原因之一是企业都是有层级、有结构的，当上百或几百的内部控制作为责任按组织结构、组织层级指定下去之后，每个责任者所负责的内部控制数量可能就很少了；原因之二，如果在关键流程基础上设计内部控制，那么按照著名流程再造大师哈默的说法，一个企业或单位的关键流程大约在七个左右。也就是说，对特定考核对象来说，将内部控制列为考核内容，并不会因为增加考核内容而得不偿失或不可操作；原因之三，亚新科集团从2005年就将内部控制列入子公司经理考核内容，并将内部控制结果与奖惩挂钩，调动了子公司经理执行内部控制的积极性和主动性，效果非常正面。

警惕企业内控外化

　　2001年年末，美国多家大公司爆出会计造假丑闻，美国国会迅速做出反应，于2002年通过著名的“萨克斯法案”。该法案404条款有两点重要规定：一是公司董事会和管理当局要对公司内部控制（简称“内控”）的建立和有效性负有责任；二是受聘公司年终财务审计的注册会计师要对公司内控的有效性出具评价报告，并与公司年终财务审计报告一同发布。显然，404条款所隐含的假设是：公司外部利益相关者可以通过有效的内控制度来防范或至少缓解公司会计造假、经济舞弊和贪腐。其结果，内部控制变身为外部控制！

　　美国的做法直接影响到我国。2006年财政部停止“内部会计控制规范”的制定，转而会同证监会、审计署、银监会、保监会，在财政部设立“企业内部控制标准委员会”（简称“委员会”），启动企业内控标准的制定工作。委员会设秘书处，负责设计企业内控标准草案。内控标准草案经财政部及其他有关部门领导审定、会签后联合发布实施。目前，《企业内部控制基本规范》已发布实施，预计后续将有18项应用指引、1项评价指引和1项审计指引发布，并于2011年1月1日全部实施。如果不出意外，我国也会借鉴美国的经验，至少用法律的形式要求上市公司和大型国有企业，在贯彻企业内部控制基本规范和指引过程中，建立健全内部控制，并经由中介机构出具评价报告，与年终财务审计报告一同发布。简言之，我国内控制度也将变身为外部控制！

　　问题是在内部控制性质已经变化的环境中，我国企业应该如何应对呢？我们认为以下四点特别值得注意：

　　我国内部控制仍具浓厚的中国特色

　　我们注意到，404条款强调了内部控制的重要性，但并未界定何谓内部控制。我们还注意到，美国五家最有影响力的民间职业团体联合成立了一个组织，简称考索委员会（COSO），专门研讨内部控制的设计和实施中的重大问题，1992年发表的报告《内部控制框架》和2004年发表的报告《全面风险管理框架》，在国际范围内堪称是最权威的内部控制文献，但对美国企业无任何约束力。也就是说，美国企业的内部控制由企业设计，在设计时，对考索报告可以参考也可以不参考，只要内部控制有效（或者“不出事儿”）并经得住注册会计师评价，就符合404条款。

　　我国企业内部控制的特点就是，国家对内部控制的影响比美国大，在内部控制设计时我国不如美国企业的灵活性大。我国企业建立内部控制首先落实国家的基本规范和指引，然后再将根据自己企业情况设计的内部控制与之衔接起来。这里最重要的是企业、国家和注册会计师之间的监管权责的划分问题。由于我国各企业情况千差万别，国家的基本规范和指引只能是防范会计造假、经济舞弊和贪腐所必要的但不是充分的条件，在这样的情况下，如果企业发生违规违法的问题，其监管责任有可能说不清楚。这是对即将发布实施的基本规范和指引的重要观察点之一。

　　企业内部控制的设计

　　未来我国企业内部控制有两个来源：一是国家的基本规范和指引；二是企业本身设计。但这两者之间不是相互独立，而是一个有机整体。因此，内部控制的设计在逻辑上可有三种方法：一是基于国家基本规范和指引向外拓展；二是基于企业单独设计，然后与国家基本规范和指引合并，并剔除重复部分；三是前两种兼而有之的混合方法。我们主张用第二种方法。

　　应该说，我国一些企业所设计的内部控制，其水平和有效性不比美国的企业差。中国石油和亚新科集团是两个突出典型，值得其他企业借鉴。这两家企业与国家的基本规范和指引一样，都主要基于两个考索报告，但中国石油按五要素分别设计，加上大纲和框架共七个分册，而亚新科集团则按项目设计，共有87个项目。有趣的是，中国石油的每个分册或要素都涵盖着若干项目，而亚新科的每个项目都包括着五个要素。另外，这两家公司都基于流程理念设计控制活动，但中国石油的设计思路更为清晰。其基本思路是：从企业或单位流程中选定关键流程；从关键流程中选定关键作业；寻找关键作业的主要风险；寻找主要风险的应对措施；控制活动的记录与归档。其中风险应对措施的核心是分权、牵制和透明。

　　会计报表与内部控制的对应关系

　　内部控制不仅防范会计造假、经济舞弊和贪腐，而且是保障会计报表或财务信息及其对应资产真实完整的根本。从美国的历史看，内部控制最初出现在1934年的《证券法》，指的是内部会计控制，与会计报表完全对应，后来证明这种单纯的内部会计控制是无效的，所以才有考索委员会的出现。1992年的考索报告，在将内部控制框架界定为五个要素的同时，特别在内部会计控制之外，拓展出管理（效率与效果）控制和法律法规的控制。2004年考索报告，尽管称为《全面风险管理框架》，但实际上是1992年考索报告的“豪华版”，加之内部控制的目的就是防范风险，而防范风险的基本工具就是内部控制，因而风险管理与内部控制无异于同一事物的两个侧面。《全面风险管理框架》走得更远，不仅将框架要素扩展为八个，而且还增加了战略控制、并将财务信息的控制推广到对所有信息的控制。我国放弃内部会计控制，并在借鉴考索报告的基础上重新设计企业内部控制标准，所基于的考虑应该与美国相同。

　　必须指出的是，由此一来内部控制的范围则远远超出了会计，是一个由战略控制、管理（效率与效果）控制、信息（含会计）控制和法律法规控制组成的体系，在企业当中，内部控制“就是管理，就是一切”。那么，谁、或者哪个部门来牵头制定和实施内部控制？如果首席财务官或者财务部门牵头，在现有企业治理结构下，首席财务官或财务部门的权力是远远不够的，在未来权力分配上必须有所倾斜，此其一。其二，注册会计师的评价应该针对企业全部内部控制，而不仅仅是内部会计控制，这很有可能超出注册会计师知识和技能的范围。有迹象表明，美国注册会计师倾向评价与会计报表相关的内控制度，这将对内部控制的作用大打折扣，因此我们建议我国注册会计师要对全部内控制度进行评价，但要在加强注册会计师知识拓展培训的同时，企业还应设立专门的内部控制评价机构与注册会计师评价相配合。其三，在战略、管理、信息和法律法规四项内部控制中，法律法规是必要条件，而战略则处于主导地位，管理控制和信息控制要符合企业战略控制的需要，如何在法律法规的基础上将战略控制贯彻到管理控制和信息控制之中，并具有可操作性，依然是未来建立和实施内部控制过程中极具挑战性的问题，亟待企业研究解决。

　　内部控制实施

　　任何企业都必须有一个管理控制系统，即管理当局启动和领导企业成员向着战略目标行进并最终实现战略目标的机制，包括控制标准、对控制标准执行的监控以及对控制标准执行结果的奖惩。为了有效地实施内部控制，企业内部控制必须作为控制标准的一部分，必须与奖惩相结合，简言之必须成为管理控制系统的有机组成部分，加以考核。问题在于如何将管理控制系统与内部控制有机结合呢？我们注意到，管理控制系统的控制标准有两个基本部分：一是结果控制标准，基于平衡计分卡（BSC）原理设计；二是过程控制标准，基于流程改进或再造（BPI/R）理念设计。而所谓内部控制，就其标准而言就是过程控制标准，因此实务上将内部控制与管理控制系统的控制标准结合起来没有技术问题，只需要转变观念。其次，用同样的思路来解决内部控制与奖惩结合问题也变得容易了，也就是不必单独设计内部控制的奖惩制度，而是在管理控制系统的奖惩资源中辟出一定的份额或权重，与内部控制对应起来即可。最后，经验告诉我们，我国大型企业的内部控制除了国家的基本规范和20个指引之外，可能还有上百或者几百个自己设计的内部控制，按照成本效益原则，如此众多的内部控制是否值得、是否有可能纳入考核并与奖惩挂钩？答案是肯定的，原因之一是企业都是有层级、有结构的，当上百或几百的内部控制作为责任按组织结构、组织层级指定下去之后，每个责任者所负责的内部控制数量可能就很少了；原因之二，如果在关键流程基础上设计内部控制，那么按照著名流程再造大师哈默的说法，一个企业或单位的关键流程大约在七个左右。也就是说，对特定考核对象来说，将内部控制列为考核内容，并不会因为增加考核内容而得不偿失或不可操作；原因之三，亚新科集团从2005年就将内部控制列入子公司经理考核内容，并将内部控制结果与奖惩挂钩，调动了子公司经理执行内部控制的积极性和主动性，效果非常正面。