基于COSO框架的A公司内部控制评估研究
2011-11-29张峰
周 眙 张峰
(中国人民大学商学院 北京100872)
基于COSO框架的A公司内部控制评估研究
周 眙 张峰
(中国人民大学商学院 北京100872)
本文以COSO框架的内部控制理论为基点,对公司内部控制现状进行了评估分析并提出了相应对策。通过实例研究,尝试构建上市公司内部控制的评估框架体系,以期为上市公司内部控制提供参考。
COSO框架 内部控制 评估体系
一、引言
由于对内部控制的建设与执行不足,对于内部控制的评估工作目前在我国基本处于一个缺位的状态,只有极少数规范企业有针对本企业内部控制建设和执行情况进行测试评价的评估机制。COSO报告是目前国内外最为权威的内部控制理论,其内涵与外延比以往何一个内控概念都要深刻和宽泛。根据COSO内部控制框架的定义,内部控制是受企业董事会、管理层和其他人员的影响,被设计出来为运行的效率和效果、财务报表的可靠性、法律法规的遵循性提供合理保证的流程。内部控制包括控制环境、风险评估、控制活动、信息与沟通和监督五个基本要素。本文的主要研究目标在于:基于COSO内部控制框架,通过对内部控制诊断评估方法的研究,解决内部控制诊断评估的以下问题:其一,内部控制评估要点的问题;其二,内部控制评估要点的评价内容问题;其三,内部控制评估要点的应用问题。
表1 调查问卷统计结果样板表
表2 调查问卷统计结果表
二、研究设计及调查结果分析
(一)A公司概况 A公司的主要经营房地产开发,销售商品房;物业管理;新技术及产品项目投资;企技术开发服务咨询;出租办公用房、商业用房。按深圳证券交易所《上市公司行业分类结果》属房地产开发企业。
(二)内部制度现状评价方法 通过发放并统计调查表、访谈、对各种文件研究,将公司各方面人员指出的风险与缺陷整理出脉络,从中分析它们的相关性与紧要性,明确公司当前应当在哪些领域做出改进,并根据范围选定建议主题。现状调研方法:针对目标企业A房地产公司的具体情况,依据问题调查的评价思路组织诊断评估工作。为了比较完整记录调查过程,保证诊断评估结果的有理有据、有据可查,保证诊断评估过程的可重复执行性和可验证性,在诊断过程中设计一套与内部控制(控制环境、信息与沟通、监督)相配套的内部控制调查问卷。最大部分的诊断评估工作将围绕着内部控制调查问卷进行,可以说只要把问卷的每一项按照要求填写,就基本完成了调查取证的工作。除了调查问卷外,还进行了一些正式访谈或临时访谈,访谈的内容也是围绕内部控制评估要点来展开。调查对象及问卷发放回收:在整个初期的调查过程中,调查对象有基层员工、中层主管、部门经理、高层经理人、董事。针对公司中高层管理人员发放调查表33份(收回有效问卷23份),在调查过程中正式访谈32人次以及多次临时访谈。调查问卷内容:调查问卷的问题内容主要围绕内部控制评估要点的内容来展开,对于每个评估要点都有相应的评价内容。统计方法:分别统计董事、高级经理、部门经理和员工的调查结果,以及合并的调查结果。以下为统计样例:
在按四类(董事、高级、部门经理、员工)口径统计内部控制表现的基础上,主要以合并调查结果综合形成公司内控的现状评价,从中得出公司在当前乃至今后的运营中应解决的问题。
(三)A房地产公司内部控制现状评估 经过问卷调查得到如下结果:
(1)A房地产公司内部控制调查结果分析。全部董事都认为公司在诚信原则与道德价值观、管理哲学与风格、治理结构都是做得不错的,没有出现问题,认为已经出现问题的有:组织与授权、信息与沟通、监督,而其中最严重的是信息有关的内部控制,至少有超过60%的董事认为信息的系统构建以及其他方面已经出现问题。超过40%的董事认为组织与授权未来很可能会出现问题。在高级经理类群里,认为已经出现问题的选项还是集中在:组织与授权的责权结构、信息系统的构建、信息的传递(超过40%的高级经理认为这些方面已经出现问题)。在部门经理类群里,认为公司内部控制已经出现不少问题,超过40%的认为信息和沟通已经出现问题,差不多30%认为组织与授权已经出现问题。在员工类群里,调查表显示员工们地选择是比较分散,超过30%的认为主要有诚信原则与道德价值观的诱因不能消除、职务能力的模型构建、信息的分析与处理、持续监督的资产核查这些方面已经出现问题。从上面的调查表可以看出,超过30%认为的已经出现问题的选项有:信息的系统构建、信息的获取与使用、组织与授权的责权结构、信息的分析与处理以及信息的传递。低于10%的问题有:诚信原则和道德价值观和经营风格以及治理结构的所有评估要点;组织与授权的纵向结构;职务能力要求的模型应用;外部沟通;持续监督的信息反馈、系统组织与职能、对外部信息的使用、审计人员的能力与地位;个别评估的范围与频率、督察人员能力与地位。按照调查表的合并部分,主要以选A(已经出现问题)答案的比例,再加上访谈记录来对A房地产公司的内部控制现状做出评价。我们首先认为:超过30%选A答案的选项是公司目前急需解决的问题;低于30%大于10%是应该密切关注的问题;低于10%的选项是以后几年需要解决的问题。然后,在访谈中我们了解到,普遍反映组织与授权和信息与沟通已经严重影响到公司的运营。因为责权的不明确,以致公司在项目的成本管理和进度管理中总是出现相同的问题,学习成本太高。信息系统的问题是一个全方面的问题,而在房地产行业中,对信息的把握是非常关键的一个环节,从初期的项目获取到最后的市场营销都对内部和外部信息有着很大的依赖。另外,在访谈中,绝大部分都认为诚信原则和道德价值观、治理结构都是没问题的,并且认为以后可能会出问题的也占很少一部分。可以看出,公司的运营环境和企业文化都是不错的。总的来说,公司的运作环境是比较好的,只是公司的责权结构以及信息平台的构建及使用出现了比较大问题,是我们必须立刻解决的。
(2)A房地产公司内部控制现状评价。从上面的调查我们可以看到A公司的控制环境中的诚信原则与道德价值观、管理哲学与经营风格、治理结构还是比较好的,但是组织与授权、职务能力要求方面却已明显出现问题。通过访谈,我们了解到这些问题主要是由下面几个原因引起的:公司管理层组合来自于有近十多年的国有企业,受原来国有企业的传统影响,对公司事物的判断取决于长官意志,并没有西方企业的民主思想,这也是公司内部控制不能有效执行的重要因素,也将是企业长期稳定健康发展的障碍。在A公司中,尽管至今没有因为领导的这种长官意识而出现重大事故,但是在房地产行业,尤其在项目获取这一项,要是经常是由某个领导说了算,迟早是会出问题并且是大问题。在A公司的管理层,施工安全是第一位的,如何确保项目进度是第二位。其管理哲学及经营风格主要体现在企业可接受风险的程度排序依次为内部控制、施工进度、施工安全,也就是说,一定的内部控制风险是可以为管理层所接受的。而在关键岗位的人员轮换方面,如在采购业务、财务、数据处理、资产管理等岗位都不可能实现。人员的配备也不有利于内部控制的实施。在对待财务报告的态度方面,管理层对数据处理和会计职能的态度以及对财务报告可靠性和安全性的关心程度也是有限的。而对财务报告的态度包括对会计处理方法、会计原则的运用、财务信息的披露和会计记录的重视程度也不能达到公司内部控制标准。A公司是在组织结构设置的基础上,设立授权的方式,明确各部门或各岗位及其人员的权力和所承担的责任。在公司里,组织结构是公司内部控制任务的承担部门,岗位是部门控制任务落实的最小单位,权限是各部门和岗位执行控制任务的条件,责任是部门、岗位和人员执行控制任务的基本保证。在A公司,总公司与子公司的权责分派存在一定的缺陷,总公司现在还是比较集权的,从而子公司即项目公司的运营在一定程度上总会出现这样或那样的问题,就算有问题也不能及时得到解决,使得成本大大增加。在各部门之间也出现权责不分明、权责分派不恰当的问题,如采购材料一直是由采购部门全权负责,但是材料采购标准是必须由设计部门来做的,要不就会出现材料采购回来用不上的现象。另外,A公司的内部控制的实施的核心力量仍然是公司的管理层、关键的职能部门及关键控制岗位的员工。没有外部支持,内部控制中的关键点就显得尤为重要,如何在如此少的人员的情况下,既要保证正常的生产,又要保证内部控制制度的有效运行,对公司管理层来说,是个极大的挑战,也是体现公司管理水平的重要标志。A公司目前还没有建立一个比较系统的信息系统,每个信息板块都是独立的,这不但会有很高的学习成本,还严重危害了公司的灵活运转。在A公司,采购信息、成本信息、进度信息、市场信息都是由不同的部门来分开处理的,由于信息不能及时的传递,造成的重复成本是难以估量的。财务信息也是独立的,除了提供信息披露,并没有对公司的提高经营效率提供应有的作用。所以,在A公司信息系统的构建是内部控制当前必须解决的问题。在A公司,信息沟通的方式为自上而下的模式,员工很难将自己对公司的想法或是建议向上有效地反映,同样,对在工作中发现的控制缺陷,也很难把握沟通尺度,不能确定反映的问题是否会触犯管理层的利益。在A公司,缺乏有效的沟通机制也是制约内部控制的重要障碍。因为员工不能将自己的想法和意识与他人(包括上级领导)进行有效的交流和沟通,势必会影响员工的工作积极性和创新能力,对其在工作发现的问题和隐患,也就没有有效的解决途径,对内部控制制度来说,存在着极大的风险。比如在每年的年度工作计划制定工作,员工自身无法参与到来年工作计划的制定过程中,只能是领导怎么安排,自己怎么去实行,而不是个互动的过程,不是上下级双方共同探讨明年的工作计划,对员工来说缺乏挑战性和成就感。在A公司,由于管理层只关心项目的进度,对项目建设期间的各部门内部控制自查的工作没有足够的重视,导致各部门按照各自对内部控制制度的理解来开展工作,是否存在内部控制方面的漏洞,没有合适的标准来衡量,也没有人来对照检查执行情况。另外,在A公司,内部审计机构的功能并没有得到真正的发挥,现在的内部审计只是对财务报告的审计,缺少对各类经营活动例如项目获取等的风险评估做出应有的审计,公司无形之中的经营风险并没有得到有效的控制。而要防范公司经营或是项目建设期间的内部控制风险,就必须要有来自上面及外部的监督,没有监督,就很难保证内部控制制度被正确有效地执行。
(四)A房地产公司内控改进建议 我们仅对A房地产公司目前急需解决的问题即超过30%认为已经出现问题的选项做出分析和提出改进建议.目前急需解决的问题有:信息的系统构建、信息的获取与使用、组织与授权的责权结构、信息的分析与处理以及信息的传递。(1)信息与沟通。在信息的系统构建这个选项,超过80%的董事和50%的经理(包括高级经理和部门经理)认为已经出现问题,由此可以看信息的系统构建已经是个严重问题。在我们的访谈中了解到,现有的信息系统根本不能满足公司现有业务的发展,因为信息的不畅通已经造成巨大损失,信息系统的构建和完善已经是刻不容缓的事。在公司的信息系统构建时确保信息系统设计的适用性,当前公司首先需建立市场信息系统、采购信息系统、成本管理信息系统、进度管理信息系统。在这些信息系统的构建中,应该有高层的参与,各相关部门也要参与设计,对相关人员进行必要的培训。在信心的获取及使用这个选项中,超过60%的董事和42%的经理认为已经出现问题,我们在访谈中了解到:现有的信息需求识别和获取能力不足以支持将来产品策划、采购、项目营销等许多环节;公司也缺乏专门的职能对实现业务、财务目标的信息需求进行识别;财务对账正常进行,但由于人员精力受限,在业务活动中监控不足。信息的获取及使用已经影响到正常开展业务的效率,解决此问题也是当务之急。在信息的分析与处理选项中,超过60%的董事和17%的经理认为已经出现问题,另外,超过30%的员工也认为已经出现问题。在访谈中了解到:因为公司的决策权相对收得较紧,所以流向高管的信息缺乏充分的分析和筛选;系统和信息源的缺陷,使信息处理的结果难为战略决策、实际业务、风险管理服务信息;分析的职能不够专业,有时只是上级的要求才着手一些分析工作,缺乏对目标和效果的要求。而房地产业是一个对信息质量和信息速度依赖很强的行业,从项目获取、建筑安装到最后产品营销都必须对公司内外的信息有比较全面的掌握。在信息的传递选项中,超过60%的董事和33%的经理认为已经出现问题,在访谈中我们了解到:对报告的流转没有足够细致的时间规定,所以审批经常会有拖沓;公司缺乏信息传递的平台,不同项目之间出现许多重复犯错,重复学习的现象;信息传递不够正式,许多只是通过管理层的口头指示,以致出现问题无法追究责任。总的来说,主要还是缺少一个信息传递的平台,所以本公司的信息既不能及时传递,也没达到充分利用信息的效果。对于信息的传递给出如下建议:关于信息的传递,我们需要做好的主要有两点:一是做好信息传递流程的规定,二是能保证传递流程的实行。在信息的传递改进时,需要对全体信息需求进行的分析归类来设置相应的流程,对信息传送途径的两个端点涉及的所有部门、传送时间、传送信息的类型和性质进行明确设置。从调查中可以看出,信息系统是A公司整个内部控制中最薄弱的环节,也是必须立刻要解决的问题,我们建议公司成立专门的信息系统部门,由公司高层牵头,多部门参与。(2)组织与授权的责权结构。在组织与授权的责权结构选项中,超过60%的董事和33%的经理认为已经出现问题,在访谈中我们了解到:相对于制度规定的权责设置,实际执行过程中的权力显著向公司高级管理层更集中,员工虽被要求承担诸如成本、进度等方面的责任,但实际缺乏与之配套的权力。而这也造成制度规定的绩效考核制度难以实行,即实际上的无责。在公司运营过程中,已经出现过因权责不对等而无法进行奖励和惩罚的事,合理的责权结构也是目前提高员工士气所必需的。对于组织与授权的责权结构我们给出如下建议:责权结构主要建立各层次、各部门在权力和责任方面的分工及相互关系。在本公司要做到有合理的责权结构就必须做到以下几点:部门经理和公司职员的责任和权限被清晰的定义;所有员工的权力和责任是对等的,只有职责没有职权或权限太小,职责承担人的积极性、主动性都会受到约束,只有职权而没有相应责任必将导致权力滥用和“瞎指挥”;员工应该具备与其权责相匹配的经验和能力;建立基于员工权责的绩效考核制度,并能切实实行。另外,在梳理公司的权、责、利体系,使三者协调匹配的同时,公司也应给予员工成长的空间,对于非道德层面的错误,应允许员工犯错。
三、结语
本文研究发现:其一,内部控制评估要点的问题。通过对国内外内部控制不同理论和实践的比较,我们确定了以COSO内部控制框架作为内部控制评价标准,并且通过在A房地产公司的验证中取得了初步的成功。应该说是基本解决了该问题,但是该标准距离作为行业或所有企业的通用标准还有待进一步完善;其二,内部控制评估要点的应用问题。针对目前存在的内部控制评价和应用脱节的问题,通过对A房地产公司内部进行诊断评估,并针对评估的结果提出了完善内部控制的建议。通过研究目标与研究结果的对比,虽然说在有些方面还不能说是完美,但也取得了一定的成果。本课题最大的突破在于具有一个比较系统化的内部控制评估体系是对内部控制诊断评估的一个比较全面的解决方案,具有比较强的可操作性和系统性。内部控制诊断评估是一个新兴的课题,无论在理论研究和实践应用中,都还有很多有待完善的地方。本文的评价结果还在一定程度上依赖于评价人员的主观判断,内部控制的固有缺陷也影响到待我们诊断评估结果,对于这一点需要对内部控制诊断评估进行更加深入的研究。
[1]牛成喆:《COSO框架下的内部控制》,经济科学出版社2005年版。
[2]《深圳证券交易所上市公司内部控制指引》(2006年)。
[3]王立勇:《杜绝内患——企业内部控制系统分析》,中国经济出版社2004年版。
[4]李凤鸣:《内部控制学》,北京大学出版社2002年版。
[5]李凤鸣:《内部控制评价》,中国时代经济出版社2002年版。
[6]〔美〕斯蒂芬著,刘霄仑主译:《超越COSO》,中信出版社2004年版。
[7]〔美〕COSO制定发布,张宜霞译:《企业风险管理——应用技术》,东北财经大学出版社2006年版。
[8]潘秀丽:《企业内部控制研究》,中国财政经济出版社2005年版。
[9]COSO.1994.InternalControl-integrated Framework.
周 眙(1983-),女,天津市人,中国人民大学商学院博士研究生
张 峰(1978-),男,河南涟源人,中国人民大学商学院硕士研究生
(编辑 聂慧丽)
