公司制企業(yè)內(nèi)部控制流程完善路徑

貴州職業(yè)技術學院 辜明華

根據(jù)薩班斯法案的相關規(guī)定，上市公司除了要報告內(nèi)部控制系統(tǒng)的有效性之外，還需要對內(nèi)部控制系統(tǒng)的有效運行負責。企業(yè)在內(nèi)部管理中要對該條例承擔相應的責任是其中最具有挑戰(zhàn)性的方面之一。中國企業(yè)的內(nèi)部控制近年來發(fā)展尤為迅速，但是與發(fā)達國家的差距仍然較大。本文通過挖掘內(nèi)部控制理論與404條款的內(nèi)在聯(lián)系，把內(nèi)部控制理論發(fā)展的趨勢及框架與404條款的執(zhí)行實務相結(jié)合，證明404條款相關規(guī)定反映了內(nèi)部控制理論的發(fā)展趨勢，并分析了404條款對于公司制企業(yè)改善經(jīng)營（效果和效率）的作用，以及中國的公司制企業(yè)如何借鑒404條款來改善內(nèi)部控制流程。

一、薩班斯法案404條款與內(nèi)部控制的聯(lián)系

（一）管理層對內(nèi)部控制的評價 薩班斯法案404條款以“管理層對內(nèi)部控制的評價”為標題，反映出條款把內(nèi)部控制評價作為加強內(nèi)部控制首要內(nèi)容的思想。在具體條款中，每一條都涉及了內(nèi)部控制評價的不同方面。如果從內(nèi)部控制評價的角度重新閱讀404條款，就會總結(jié)出如下信息點：管理層確保內(nèi)部控制程序充分有效；管理層對于保證內(nèi)部控制的有效性負有責任；管理層要評估管理程序的有效性；管理層要出具內(nèi)部控制評價報告；擔任公司年報審計的會計公司應當對內(nèi)部控制評價報告進行測試和評價，并出具評價報告。于是404條款對于內(nèi)部控制評價的規(guī)定形成了如下的邏輯流程。從內(nèi)部控制評價的邏輯流程圖可以發(fā)現(xiàn)，執(zhí)行內(nèi)部控制評價的主體有兩個方面：公司管理層和第三方獨立審計公司。

圖1 內(nèi)部評價邏輯流程圖

（二）自評和獨立審計的評估思路 有效的內(nèi)部控制系統(tǒng)的評審工作，是不斷完善內(nèi)部控制系統(tǒng)的重要組成部分，也給CEO和CFO對外簽署的聲明提供了強有力的保障。在內(nèi)部控制系統(tǒng)的評審工作組織上，法案要求實現(xiàn)自評和獨立審計相結(jié)合。盡管自評和獨立審計各自的側(cè)重點及其責任主體不同，但在具體業(yè)務操作上，自評和獨立審計的工作思路和方法是基本相同的，都是遵循COSO架構的內(nèi)部控制程序評估的流程、思路和測試方法。

評審人員首先選擇內(nèi)部控制程序進行評審，然后要評價設計的健全性，如果健全，則對其運行的有效性進行測試，最后綜合運行測試和設計測試，對內(nèi)部控制系統(tǒng)的有效性和健全性進行評價。如果設計測試的結(jié)果不健全，則直接對內(nèi)部控制系統(tǒng)進行評價，而不再進行有效性測試。

圖2 內(nèi)控程序評估流程圖

內(nèi)部控制系統(tǒng)評估包含兩點：首先確保測試健全，即設計的測試可以全面覆蓋現(xiàn)有的內(nèi)部控制流程，不健全的測試無法測出內(nèi)部控制流程是否有效，這也需要在評估中進行反映；其次，運行健全的測試程序，根據(jù)測試結(jié)果判斷內(nèi)部控制流程是否有效，在評估中記錄結(jié)論。對內(nèi)部控制進行評價，針對的目標是確定內(nèi)部控制程序是否有效。這里面反映出，404條款所承認的邏輯前提是，有效的內(nèi)部控制程序可以合理保證經(jīng)營的有效性和效率，并增加財務報告的可信度。這同時也從側(cè)面證實了404條款與COSO整體架構的內(nèi)在一致性。由于強調(diào)對于內(nèi)部控制程序有效性的評價，盡管主觀上公司把遵守404條款視為一個帶有行政管理和合規(guī)性性質(zhì)的工作來做，但客觀上是一個不錯的機會，可以對公司業(yè)務流程有效性進行改進，因為對于內(nèi)部控制程序有效性的評估可以提高內(nèi)部控制流程的效果和效率。因此可以得出，404條款對于內(nèi)部控制發(fā)展的最大貢獻是通過評估內(nèi)部控制程序的有效性，來提高內(nèi)部控制流程的效果和效率，并改進公司的業(yè)務流程，最終實現(xiàn)經(jīng)營的效率和有效性。

二、薩班斯法案404條款對我國企業(yè)的借鑒

（一）404條款對我國公司制企業(yè)的啟示

（1）我國內(nèi)部控制理論的發(fā)展現(xiàn)狀及不足。隨著中國經(jīng)濟體制改革的深入和現(xiàn)代企業(yè)制度的逐步建立，內(nèi)部管理和內(nèi)部控制得到了越來越多企業(yè)的重視，國家有關部門和審計組織也開始加強內(nèi)部控制理論的研究。盡管如此，中國的內(nèi)部控制理論與西方發(fā)達國家還有很大差距。綜合起來，中國內(nèi)部控制理論的缺陷主要體現(xiàn)在以下幾個方面：缺乏統(tǒng)一的內(nèi)部控制理論指導；還沒有形成內(nèi)部控制的整體理論框架；理論和實踐沒有緊密結(jié)合，現(xiàn)存內(nèi)部控制制度只注重制度的文字編寫環(huán)節(jié)，忽略了實施流程。

（2）我國公司制企業(yè)的內(nèi)部控制現(xiàn)狀及缺陷。包括：企業(yè)管理者重開發(fā)、重生產(chǎn)，輕內(nèi)部管理，未在整個企業(yè)經(jīng)營管理的高度來考慮財務內(nèi)部控制；內(nèi)部控制還沒有覆蓋各個部門和環(huán)節(jié)的系統(tǒng)，還有薄弱點和空白點；企業(yè)雖然制定了不少內(nèi)部控制規(guī)章制度，但大部分僅是紙上談兵，流于形式，或者管理力度層層遞減，得不到認真切實的執(zhí)行；片面強調(diào)財務內(nèi)部稽核和內(nèi)部審計的作用，而忽視了企業(yè)其它部門在內(nèi)部控制各個環(huán)節(jié)應發(fā)揮的作用。

（二）確立科學的內(nèi)部控制程序評估思路

（1）風險評估。COSO框架主要包括企業(yè)風險管理的目標、要素和執(zhí)行層次。根據(jù)COSO框架，在企業(yè)的內(nèi)部控制體系中風險評估要素包括：目標設定、風險識別、風險評價和風險對策。按照404條款的合規(guī)性要求，公司管理層在評價企業(yè)內(nèi)部控制體系的同時，需要對與財務報告相關的風險點進行評價，判斷是否已在符合上述要求的內(nèi)部控制體系控制之下。這里包含了一個按照風險大少決定內(nèi)部控制實施成本的思想：風險愈大，內(nèi)部控制實施成本愈大,因為內(nèi)部控制的作用之一是防護功能，即規(guī)避風險的功能。

（2）評估內(nèi)部控制效果。一是內(nèi)部控制設計的有效性。評估設計的有效性說明一個內(nèi)部控制系統(tǒng)的設計是否恰當，是否可以及時地防止或發(fā)現(xiàn)重要會計科目和披露事項中的重大錯報。這個評估應該包含：公司層面上普遍的內(nèi)部控制，管理層應該評估內(nèi)部控制的其中四個要素，即控制環(huán)境，風險評估，信息和溝通以及監(jiān)督；與范圍內(nèi)流程的所有相關認定有關的特定交易層面上的內(nèi)部控制活動。在評估設計有效性時，管理層應該考慮：內(nèi)部控制和業(yè)務的風險之間的整合（即業(yè)務流程和相關的內(nèi)部控制在取得管理層的預期目標和管理風險方面是否有效），內(nèi)部控制是否可以滿足信息處理目標和保證相關的財務報表認定內(nèi)部控制的頻率：內(nèi)部控制是否可以及時檢查和防范確認的風險，即在某些情況下，一個檢測性的內(nèi)部控制可能就足夠了，但是在另一些情況下，公司應該確保它有充分的預防性內(nèi)部控制；執(zhí)行內(nèi)部控制人員的知識經(jīng)驗和實施內(nèi)部控制的流程相關的職責分工；及時傳達控制活動中的例外事件；在內(nèi)部控制執(zhí)行中使用信息的可靠性；內(nèi)部控制包含的期間。二是需要進行運行有效性測試的內(nèi)部控制。管理層必須確定和記錄需要運行有效性測試的內(nèi)部控制。確定準備測試的內(nèi)部控制自然會和設計有效性的評估聯(lián)系起來。這需要大量的判斷，沒有量化的公式或說明性的核對表可供管理層參考。對于所有重要的經(jīng)營場所和具有重大特殊風險的經(jīng)營場所，管理層必須對與其相關的所有重要的會計科目和披露事項的所有財務報表認定對應的內(nèi)部控制進行測試。雖然一種內(nèi)部控制可能會針對某個特定的認定，但是通常將預防性和檢查性內(nèi)部控制結(jié)合起來才是最有效的。

（三）借鑒內(nèi)部控制程序評估的一般方法

（1）界定——評估的起點。界定包括確定必需的記錄以及針對各披露事項、重要會計科目和公司各經(jīng)營場所業(yè)務流程的內(nèi)部控制情況所進行的控制測試的時間、性質(zhì)和范圍。界定的目的是識別重要業(yè)務流程/循環(huán)和應記錄和測試的經(jīng)營場所。

其一，確定業(yè)務流程/循環(huán)。業(yè)務流程/循環(huán)是內(nèi)部控制評估的基礎，管理層通過了解和記錄業(yè)務流程/循環(huán)，能夠確定內(nèi)部控制方面的潛在不足（指沒有與實現(xiàn)信息處理目標相應的內(nèi)部控制），以及明確可實現(xiàn)信息處理目標/CAVR（準確性、完整性、有效性和接觸限制)的內(nèi)部控制工作。

上市公司實施404條款項目的目的之一是明確對公司外部財務報告中披露事項和重要會計科目進行相關財務報表認定的控制程序。管理層應通過從合并財務報表和附注開始，執(zhí)行上述每一步驟，并最終明確對應于財務報表認定相關的控制活動和程序來達到這一目標。

對于那些不以提供公開財務報表為目的的非上市公司而言，確定業(yè)務流程/循環(huán)同樣是必要的，其方法不一定要遵循上述流程，而是根據(jù)最初確定的內(nèi)部控制目的找到合適的方法。但是由于財務報表本身的功能，即使是非上市公司，依據(jù)財務報表，也同樣能發(fā)現(xiàn)哪些業(yè)務對企業(yè)是至關重要的。因此下面繼續(xù)以財務報表作為確定依據(jù)為例進行論證，最終目的是確定企業(yè)重要的業(yè)務流程/循環(huán)，以便作為內(nèi)部控制的對象。

其二，對業(yè)務子流程/子循環(huán)進行風險評估。在界定之后的下一個步驟就是明確在子流程/子循環(huán)中可能造成財務報表重大錯報的風險（對于非上市公司，則可能是其他財務成果未能如實反映經(jīng)營現(xiàn)狀而造成的風險）。用風險評估結(jié)果來評估對各領域的測試工作的時間、性質(zhì)和范圍。比如，有些公司擁有較大的固定資產(chǎn)余額，但從性質(zhì)上講，不需要對余額進行過多的判斷，因此其風險較低。風險評估需要大量的主觀判斷，應由那些具備豐富的相關風險知識和流程的管理層人員完成。

其三，經(jīng)營場所的確定覆蓋率。在各個業(yè)務的工作場所要合理地規(guī)劃，管理層應確定對哪些經(jīng)營場所進行內(nèi)部控制評估。管理者應考慮下列幾大要素，來確定應進行評估的經(jīng)營場所或業(yè)務單位：主要經(jīng)營地點的的財務和經(jīng)營情況；主要經(jīng)營地點的風險意外的發(fā)生；主要經(jīng)營地點的確定；操作流程的內(nèi)部控制程序的集中處理；共享服務環(huán)境中所占的比重。界定結(jié)束后，就可以在應執(zhí)行內(nèi)部控制的經(jīng)營場所，確定和測試內(nèi)部控制。

（2）記錄——有效內(nèi)部控制的證據(jù)。404條例規(guī)定要加強領導層對于企業(yè)財務的相關報告文獻進行有效的控制和管理，以更好地支持、評估企業(yè)的內(nèi)部管理成果。從另一方面來看，健全和完善內(nèi)部管理監(jiān)控的記錄是提高內(nèi)部管理監(jiān)控的必然要求。因此完整記錄的思想值得所有公司制企業(yè)采納。

（3）測試——對于內(nèi)部管理監(jiān)控的實施效果確定。為了確定企業(yè)的內(nèi)部管理監(jiān)控的有效性如何，需要在每個重要經(jīng)營地點運營中的風險和內(nèi)部監(jiān)控做出檢測，檢測的內(nèi)容要包含檢測對象的一切相關認定的內(nèi)部控制的五個要素。檢測過程包括4個關鍵的過程：

其一，確認將要接受測試的內(nèi)部控制。測試的目的是檢測一切相關的關鍵會計的科目、業(yè)務操作的流程、主要的經(jīng)營地點，其中也包括內(nèi)部監(jiān)管的五個要素，這些都成為內(nèi)部監(jiān)管的重要成分。內(nèi)部監(jiān)管對于各項檢測的實施計劃的靈活性有很大的幫助，能更好地提升檢測的有效性，讓檢測更加方便。測評和監(jiān)管管理環(huán)境、有效資訊的傳遞、風險要素的測評和管理元素的內(nèi)部控制管理的效果的評定還要借助更多的評價手段。這是因為控制活動比內(nèi)部控制要素更容易區(qū)分重要程度的不同。管理層要對控制目標進行重要性的評估，以便確定哪些內(nèi)部控制活動需要接受測試。

其二，確定由誰來執(zhí)行測試。管理層確定由誰來執(zhí)行測試的依據(jù)是：實施這個工作的從業(yè)者要擁有一定的能力和評判問題的客觀性的眼光，實施的過程證據(jù)資料是否可以充分地驗證管理層的測評。

其三，創(chuàng)立和實施檢測的方案。檢測的方案是記錄檢測和檢測的最終結(jié)果的主要元素，檢測的方案要能夠提供出可以檢測控制有效的結(jié)果，對于實施方案的關鍵元素要有確定性的標準。等待檢測中的主要管理：檢測按實施的方式分類成咨詢、審核、二次實施、重查，明確檢測的內(nèi)容和檢測的預期效果；檢測實施流程的相關設定，檢測的方案要切實落實程序和相關的支持性資料的獲取，管理的項目應該包括由確定實施檢測的主體對象、檢測的時間、審核的地點等。在特殊的情況下檢測一般包括的主要活動：咨詢、觀察、復合和二次實施。把2個或大于2個的檢測相融合使用，這樣所帶來的效果比簡單地使用一種檢測手段的效果更加顯著。相對來說會計操作流程以及風險在檢測中更重要，這就要求企業(yè)要積極地采用檢測的手段來獲取相關的資料信息佐證

其四，評估檢測的最終預期結(jié)果。一般而言，內(nèi)部控制或者監(jiān)督管理是否是可靠的落實，需要進行評估。而且，也需要較高程度地保證內(nèi)部控制在有效地進行。企業(yè)為了達到評估檢測的預期結(jié)果，不得不選擇較小的例外率。在檢測中要是出現(xiàn)例外事項，管理層要及時對所出現(xiàn)的例外事項進行有效的評價分析和細致調(diào)查，對此管理者也可以確定其并沒有有效地實施內(nèi)部管理。

（4）內(nèi)部管理短板的評價。對內(nèi)部管理短板的評價和相關的報告文獻是一個慢慢發(fā)展的領域，這一領域的發(fā)展要求管理層能做出較高的評價、判定。

其一，內(nèi)部管理短板的地位。內(nèi)部管理短板可以具體細分為常規(guī)內(nèi)部管理短板、關鍵短板和致命性的短板。常規(guī)內(nèi)部管理短板指在管理層內(nèi)部管理控制的實施過程和設計中處理不善，不能有效地防范發(fā)現(xiàn)問題，那么就會出現(xiàn)常規(guī)內(nèi)部管理短板。關鍵短板指對于企業(yè)公認的企業(yè)相關的金融會計的細則要求和對外數(shù)據(jù)的處理、記錄會造成很大的影響，一個企業(yè)中可能存在多個關鍵短板，這是由于企業(yè)報告的處理能力缺陷所導致的。致命性的短板指對于企業(yè)的年度報告和中期財務報告出現(xiàn)重要的毛病卻不能及時發(fā)現(xiàn)，這是個致命的缺陷。

其二，內(nèi)部管理短板識別、評價的階段。內(nèi)部管理短板識別、評價階段的最終目標是為了確定內(nèi)部管理短板的風險費用和彌補方案。通過內(nèi)部管理短板進行識別評價，企業(yè)從事實上達到了改善內(nèi)部控制流程和業(yè)務流程的目的。要是企業(yè)的管理層以為內(nèi)部管理短板造成的財務報表認定或風險方案已經(jīng)有了，則管理層要對其進行檢查。這個補償性內(nèi)部管理是有效的，還應對內(nèi)部控制缺陷進行分類，以確定缺陷產(chǎn)生原因，如管理職能失效，發(fā)現(xiàn)涉及高級管理層的任何程度的舞弊行為，控制環(huán)境失效，等等。但是由于在內(nèi)部控制目的上的區(qū)別，中國非上市公司制企業(yè)并非必須對內(nèi)部控制缺陷進行分類，通過這一步驟可以達到很好的反饋目的，幫助企業(yè)預防風險。

綜上所述，界定、記錄、測試、評估和報告是上市公司執(zhí)行評價內(nèi)部控制作用的步驟項目的流程，包括財務資料報告和中國公司制企業(yè)等，這些都可以借鑒來作為改善內(nèi)部控制流程的指導框架。具體實施哪些步驟，要針對各個公司的內(nèi)部控制現(xiàn)狀和需要解決的現(xiàn)存問題，制定改善目標，然后選擇有針對性的程序來實施。

［1］陳麗蓉：《薩班斯法案對財務呈報行為的綜合影響》，《財會通訊》2009年第12期。

［2］從曉華：《薩班斯法案及其影響》，《中國農(nóng)業(yè)會計》2010年第13期。

［3］丁平：《加強企業(yè)采購供應的內(nèi)部控制》，《有色金屬工業(yè)》2009年第12期。