截至2010年5月20日,滬深兩市A股1820家上市公司,在其2009年年報或招股說明書(2010年新上市公司)中均認為,其建立和實施了內部控制制度。更何況,監管當局明確要求“企業建立健全內部控制制度”。
如果內部控制不是制度,企業該怎樣建立健全?“內部控制是制度”似乎是一個不用證明、顯而易見的命題。但正是這一近乎公理的命題成為阻礙我們正確理解內部控制諸多問題的一層迷霧。
內部控制究竟是什么?
那么,內部控制究竟是什么?根據1992年COSO(美國科索委員會)對內部控制的權威定義。內部控制是一個由企業董事會、管理層和其他員工實施的,為經營的效率效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現提供合理保證的過程。如果撇開所有的修飾語,這一定義可以簡化為“內部控制是過程”。
如果我們的理解僅限于此,那么,我們還沒有揭示出COSO所講的內部控制究竟是什么?先看COSO的表述,在分析內部控制是一個過程時,COSO指出:“組織中各單位或各職能部門內部或跨單位或職能部門所實施的經營過程,都是通過計劃、執行和監控等基本的管理過程來加以管理的。內部控制是這些過程的一部分,并與它們整合在一起。內部控制能讓這些管理過程發揮作用,并對其實施和持續的關聯性進行監控。內部控制是一個管理工具,而不是管理的替代品”(COSO,1992)。
COSO講到了管理過程,有必要結合管理學對管理職能的界定來做進一步分析。“管理理論之父”亨利·法約爾認為管理有五大職能,即計劃、組織、指揮、協調和控制等職能。他認為:“在一個企業里,控制就是要證實一下是否各項工作都與已定計劃相吻合,是否與下達的指示及已定原則相吻合。控制的目的在于指出工作中的缺點和錯誤,以便加以糾正并避免重犯”(H·法約爾,1982)。
美國著名管理學家史蒂芬·羅賓斯認為管理有四大職能,即計劃、組織、領導和控制。他認為控制職能是指監控計劃執行、比較分析偏差、糾正錯誤,確保計劃順利實施(Robbins,1994)。通過對比分析,筆者發現,COSO對內部控制的解釋與管理學中對“控制”的解釋并無不同,它們都講了要保證計劃的實施,都講了要對偏差進行監控。
我們之所以稱“控制”為“內部控制”是相對于外部監管而言的,強調的是企業自身應該重視對其經營管理活動的有效監控。
因此,雖然我們可以要求企業建立健全內部控制系統,但是,內部控制本身卻不能獨立地成為一個制度。按照建立健全內部控制的要求設計的制度,應該以其所規范的對象和內容來命名,如“董事會議事規則”、“總經理工作細則”、“預算管理制度”、“固定資產管理制度”等等。企業的管理制度只有一套,不可能還有一套命名為“內部控制制度”的所謂制度。
綜上所述,內部控制就是“控制”,是職能,而不是制度。
內部控制與公司治理、風險管理是何關系?
研究內部控制,繞不開的一個話題是內部控制與公司治理、風險管理的關系。理論界圍繞這一問題已經進行了大量的研究,觀點不一。其中,有些研究側重于制度實施,譬如,謝志華(2007)提出了“整合論”;池國華(2009)提出了基于戰略導向與系統整合的企業內部控制規范實施機制。有些研究側重于理論探討。譬如,閻達五、楊有紅(2001)提出了“環境論”,即內部控制框架與公司治理機制的關系是內部管理監控系統與制度環境的關系;李連華(2005)提出了“嵌合論”,他認為內部控制與公司治理之間存在交叉重合的部分;楊雄勝(2005)提出了“基礎論”,即內部控制是實現公司治理的基礎設施。而關于內部控制與風險管理之間的關系,謝志華(2007)認為二者在實質上是相同的。COSO(2004)認為風險管理涵蓋內部控制,其表述是:“內部控制是企業風險管理不可分割的一部分。”筆者發現,現有研究之所以存在較大爭議,主要原因在于這些研究中都或隱或現地存在著一個不適當的假設,即先驗地認為內部控制是制度。這樣,現有文獻就不可避免地陷入了為一個本不存在的制度尋找存在的理由和落腳點的尷尬境地。
筆者認為,內部控制并非制度,而是一項管理職能。那么,企業建立和實施的制度包括哪些?內部控制和公司治理、風險管理究竟是何關系?從廣義上講,治理和管理制度可以不分彼此。因此,企業的治理和管理制度中都滲透著內控思想,體現著控制職能的要求。不存在內部控制與公司治理誰包含誰,誰是環境誰是基礎,或哪些部分是交叉重疊的問題;也不存在內部控制與公司治理的產生誰先誰后的問題。二者水乳交融合為一體。
如何看待內部控制和風險管理之間的關系?我們從COSO的兩個框架談起。COSO《企業風險管理—— —整合框架》顧名思義是一套研究如何控制風險的理論,其研究對象是風險及其控制。
而COSO《內部控制—— —整合框架》也是一套關于控制的理論。作為管理職能中的關鍵要素而滲透在各項管理制度中的控制職能,也是為了控制風險。所以,《內部控制—— —整合框架》研究的對象也是風險及其控制問題。
可以說,這兩個整合框架只是在命名上考慮問題的側重點有所不同,而實質上具有一致性。用內部控制,是從管理職能上來講的,側重于強調控制職能的發揮;講風險管理則是從控制的對象上來講的,側重于強調風險控制的重要性,二者涵義相同。那么,為什么COSO認為風險管理涵蓋內部控制?對此,我們可以將《企業風險管理—— —整合框架》看成是對《內部控制—— —整合框架》的發展。這與內部控制是一個不斷發展的過程的思想是相符的。
按照上述理解,我們就能解釋國際標準化組織《ISO31000風險管理—— —原則與指南》、中華人民共和國國家標準《GB/T24353-2009風險管理—— —原則與實施指南》、國資委《中央企業全面風險管理指引》和財政部等五部委《企業內部控制基本規范》之間的協調問題了。它們所規范的對象都是企業的風險管理,可以綜合考慮這些規范的要求來設計企業的治理和管理制度,不需要分別建立幾套所謂的制度以滿足這些規范的要求。
