16企业集团内部控制制度
1企业集团内部控制制度【课前案例】“中航油”事件与集团内部控制中国航油(新加坡)股份有限公司成立于 1993 年,是中国航油集团的海外控股子公司。该公司成立之初,经营比较困难。但自 1997 年以来,该公司凭借对国内进口航油市场的实质性垄断,净资产由 16.8 万美元增至 2003 年的 1.28亿美元,6 年间增长了 762 倍,一跃成为股市上的明星。此期间,公司还成功地在新加坡交易所主板市场上市,成为中国首家利用海外自有资产在国外上市的企业,2002 年被评为新加坡“最具透明度的上市公司” ,其总裁陈久霖也被世界经济论坛评为“亚洲经济新领袖” 。然而正是这样一家具有辉煌前景的公司,与 2004 年 11 月突然向新加坡最高法院申请破产保护,原因是公司在此前的石油衍生品交易中出现约 5.5 亿美元的巨额亏损。随着对该案件的深入调查发现,导致“中航油”破产重组的直接原因确实是石油衍生品交易的失败,但究其根本则是中航油集团内部控制的严重失效。(一)内部控制环境失效。内部控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。在中航油新加坡公司中,总裁陈久霖个人权力过大,公司的决策基本上由其一人决定,监管机制形同虚设,缺乏有效的制衡。同时,其个人独裁主义也加大了企业的风险,在石油衍生品交易中,他固执独断地将筹码押在油价下跌上,结果随着油价的持续上涨,公司亏损惨重,但他仍然孤注一掷,赌油价回落时可以翻身。到 2004 年 10 月,公司亏损累计 1.8 亿美元,现金全部耗尽。另外,在中航油公司的人事政策上,陈久霖曾两次调开集团派驻的财务经理,并另聘财务经理听命于他,这说明人事控制几乎没有起到应有的作用。(二)风险控制形同虚设。事实上.中航油公司是设有风险控制体系的,但其巨亏的事实充分说明了其风险控制形同虚设。 “中航油”的风险管理手册是聘请安永会计师事务所为其编制的,设有风险管理委员会及软件监控系统,并规定当损失超过一定数额时,必须上报母公司董事会,但实际上却从未上报。另外, “中航油”共有 10 位交易员,其中有一条规定是:任何导致 50 万美元以上损失的交易将自动平仓.那么损失的最大上限应该是 500 万美元。但是, “中航油”最终的亏损额高达 5.5 亿美元.由此可见, “中航油”根本没有严格执行这项风险控制,所谓的风险控制体系几乎形同虚设。(三)母公司监控缺位。从“中航油”事件所披露的资料可以看出,作为母公司的中国航油集团时子公司的监控严重缺位。 “中航油”的石油衍生品交易从 2003 年下半年起违规进行了一年多,在此期间甚至向母公司提供假账,但母公司对此却毫不知情,监管的松散程度可见一斑。而在 2004 年 10 月该交易发生巨亏,陈久霖向仕公司求助时,集团公司不但没有阻止该项违规交易,反而以私募方式卖出部分股份,向其提供资金用于补仓,无视风险的做法使亏损进一步加大。 (四)内部监督失灵。企业内部控制是一个过程,为了保证这个过程的良好运行,需要一个完善的内部监督机制。但在中航油公司中任何决策几乎都是2由总裁陈久霖一人说了算,不仅董事会形同虚设,内部审计人员更是毫无发言权,甚至由集团派驻的财务经理也两次被陈久霖调开,而这本应引起集团公司高度警觉的行为却没有得到任何重视.足见其内部监督机制的失灵。由此可见,中航油集团在内部控制的各个要素上都存在严重的缺陷,并最终导致了无可挽回的后果,同时也可以看出,内部控制的成败与企业的成败息息相关,尤其是对企业集团而言,加强内部控制,完善内部控制系统是十分必要且必须的一项任务。第一节 内部控制概述一、内部控制的发展历程一般认为,内部控制的发展经历了四个阶段,即内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段。(一)内部牵制阶段内部控制在 20 世纪 30.40 年代得到会计职业界青睐以前,一直是以“内部牵制”的形式存在于实务工作中。 柯氏会计辞典将内部牵制定义为:“以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。 ”内部牵制基于两个或两个以上个人或部门同时发生相同差错或者发生共同舞弊的概率较小的前提,将审批、执行、记录、审查和实物保管等职能在不同的个人和部门之间进行分配,以减少差错或舞弊的可能。 内部牵制最早的实践可追溯到文明古国时代。在古埃及,通过建立严格的内部控制制度,提高了财产的安全性。按制度规定,一个官吏的记录必须与其他官吏的记录相一致。记录官登记的会计账簿须经仓库监督官加以检查。在中国的周代,内部控制、预算和审计程序等方面很严格,司会按随机抽样法对预算旬报加以审查,月报和年报应接受详细审查,各政府机关应做成反映其政绩的年度报告,它们亦需由大臣加以审查等。在古希腊,每位政务官的记录在卸任时,均应接受政府审计官的审查。在古罗马,财务官之间确立了复杂的检查和复核制度,比如在从国库支付金钱之前要求出具认可书和正式的支付命令书,通常管理现金的官吏不拥有这种批准支出的权力,公共会计书由财务监督下的审计官检查等。(二)内部控制制度阶段1934 年美国证券交易法提出内部会计控制的概念。1936 年美国注册会计师协会发布独立注册会计师对财务报告审查的文告,首次提出审计师在制定审计程序时,应考虑的一个重要因素是审查企业的内部牵制和控制,企业的会计制度和内部控制越好,财务报表需测试的范围越小,并提出在大型企业中,抽查测试范围要由审计人员根据其审计专业知识和内部牵制与控制的范围来决定。基于麦克逊罗宾药材公司案件等,1939 年 10 月美国注册会计师协会( CICPA)的审计程序委员会(CAP)公布了审计程序文告(SAP)第 1 号 ,对修改的标准化审计报告中首次增加了对内部控制审查的内容,以后又在多个文3件与法令中多次明确了以内部控制为基础的审计程序。1949 年 CICPA 在一份研究成果中给出内部控制的第一个权威定义:由组织的计划和组织内部为保障资产、检查会计数据的准确性和可靠性、提高经营效率和鼓励坚持规定的经营政策而采取的所有协调方法和措施组成。这个定义被认为是宽泛的,超越了那些与财务、会计部门的职能直接相关的事务,它对财务报表审计中内部控制检查到什么程度缺乏指导。1958 年,在 CICPA 下属 CAP 发布的第 29 期 SAP 中,将内部控制划分为会计控制和管理控制,给出了相应的定义,并在第 33 期 SAP 中指出,注册会计师在财务报表审计中仅需对会计控制及某些可能与财务记录有关的管理控制进行评估。虽然直到 20 世纪中叶内部控制的概念和内容才开始得到系统的研究,但是内部控制的实践早在 19 世纪上半期伴随机器大工业的发展而逐渐丰富,如斯普林菲尔德兵工厂的内部专业化和会计核算、检查监督方法,美国大型铁路公司的层级制、内部管理程序和会计、统计方法,杜邦公司的经营预算、固定资本预算和基于投资报酬率的杜邦分析模型,通用汽车公司的销售报告和弹性预算等。(三)内部控制结构阶段20 世纪 80 年代中期,银行、储蓄和贷款机构、证券公司发生了濒临破产的事件,会计职业界被指责未能适当地向投资者发出警报。为此,1988 年 CAP的接任者 ASB(审计准则委员会)发布了一系列 SAS(审计准则文告) ,其中扩大了注册会计师所负责任的范围,并且重新表述了内部控制的组成,即包括控制环境、会计系统和控制程序三个要素,同时废止对会计控制和管理控制的划分。其中控制环境是指对特定控制政策和程序的建立、加强和有效实施有重大影响的一组因素的统称,包括管理哲学和经营方式、组织结构、审计委员会、人事政策和程序、授权和分配责任的方法、内部审计职能部门、外部影响等;会计系统是指为确认、汇总、分析、分类、记录和报告公司交易,并保持对相关资产和负债的受托责任而建立的方法和记录,包括会计科目表、会计手册和标准会计分录、业务凭证制度、业务检查、交易处理方法等;控制程序是指为了保证公司目标的实现而建立的政策和程序,包括人员的胜任能力、政策和程序手册、计划、预算和业绩报告、分权制经营、资产保护、定期盘点存货、清点现金和证券等。(四)内部控制整体框架阶段1992 年,由 AICPA (American Institute of Certified Public.Accountants) 、AAA( American Accounting Association) 、FEI(Financial Executive Institute) 、IIA(Institute of Internal Auditors)和 NACA(National Association of Cost Accountants)现在的IMA(Institute of Management Accountants) 共同发起的 Treadway 委员会下属的 COSO(Committee of Sponsoring Organization)发布了内部控制-整体框架 ,1994 年进行了微小修改,纳入部分与保障资产安全有关的控制,以适应美国审计总署(GAO)的要求。 COSO 框架将内部控制定义为由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循等目标的达成而提供合理保证的过程。COSO 框架包括以下五项要素(如图 9-1 所示) ;4图 9-1内部控制-整体框架五要素关系图(1)控制环境。任何企业的核心是企业中的人及其活动,人的活动在环境中进行,他们既是构成环境的重要要素之一,又与环境相互影响和作用。环境要素是推动企业发展的引擎,也是其他一切要素的核心。(2)风险评估。企业必须了解并应对其面临的风险,必须设定目标,将企业的销售、生产和营销、财务和其他活动融为一体,才能使该企业各个部门齐心协力地运作,还必须建立识别、分析和管理相关风险的机制。(3)控制活动。它是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。(4)信息与沟通。围绕在控制活动周围的是信息和沟通系统,这些系统可以使企业员工获得并交换那些执行、管理和控制企业经营所需的信息。(5)监督。必须监督整个控制过程,并根据需要作出修改,这样内部控制系统才能够作出动态反应,随着条件的改变而变化。COSO 框架提出了如下有价值的观点:(1)明确对内部控制的责任。提出不仅是管理人员、内部审计或董事会,组织中每一个人都对内部控制负责任。(2)强调内部控制应与企业经营管理过程相结合。提出内部控制是企业经营过程的一部分,与经营过程结合在一起,而不是凌驾于企业基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。(3)强调内部控制是一个动态过程。提出内部控制是对企业的整个经营管理活动进行监督与控制的过程,企业经营活动不停止,企业内部控制过程也不会停止。(4)强调“人”的重要性。强调内部控制受企业董事会、管理阶层及其他员工影响,透过人所做的行为及所说的话而完成。只有人才能制定企业的目标;并设置控制机制。 、反过来,内部控制影响着人的行动。(5)强调“软控制”作用。软控制是指那些属于精神层面的事物,如高层管理人员的管理风格、管理哲学、企业文化、内部控制意识等。(6)强调风险意识。提出所有企业,不论规模、结构、性质或产业,其组织的不同层级都会遭遇风险,管理阶层须密切注意各层级的风险,并采取必要的管理措施。 (7)糅合了管理与控制的界限。在 COSO 框架中,控制已不再是管理的一部分,管理和控制的职能与界限已经模糊。除 COSO 框架外,COCO 框架也是很有影响力的内部控制框架。另外,由于IT 的快速发展,信息不仅成为企业中最为宝贵的资产之一,而且 IT 在组织中5逐渐扮演一个能够 影响全局、影响到治理层面的角色,对企业的内部控制和公司治理产生了深刻的影响,有关组织对 IT 条件下内部控制问题也给予了极大的关注,并专门针对 IT 在企业中应用的 控制问题,提出了相应的 IT 内部控制模型,其中以信息系统审计与控制协会(ISACA)下属的 IT 治理研究所(ITGI)发布的信息及相关技术控制目标 (Control Objectives for Information and related Technology,简称 COBIT) 、美国注册会计师协会(AICPA)和加 拿大特许会计师协会(CICA)发布的 Trust Services 框架以及内部审计师协会(IIA)发布 的电子系统保证与控制 (Electronic System Assurance and Control,简称 eSAC)为代表。1.COCO 框架加拿大特许会计师协会( CICA)在 1995 年颁布了 COCO(Criteria of Control Board)框架,COCO 框架使用“控制”而不是“内部控制” ,这是与COSO 框架的重要区别之一,其控制指南是一种更为广泛的概念化方法。COCO 框架把控制看作是组织要素,包括组织的资源、系统、流程、结构和任务,这些要素组合到一起能够支持人们实现组织目标,并制定了一套共 20 条可用于评估具体内部控制目标的具体准则,认为这些准则使得评估能够针对具体内部控制目标而不是目标类型进行。COSO 框架在其内部控制定义中有意地忽略了某些管理活动,包括目标设定、战略计划、风险管理和纠错行动。而 COCO 却把这些 活动作为其控制概念的一部分。2.信息及相关技术控制目标 (COBIT)COBIT 是 ISACA 下属的 ITGI 提出的 IT 治理模型。所谓 IT 治理是指企业或政府 是否采用有效的机制,使得 IT 的应用能够完成组织赋予它的使命,同时平衡 IT 与过程 的风险,确保实现组织的战略目标。COBIT 是 ISACA 基金会为解决“如何衡量信息系 统质量”而研究开发的一个标准,是一个适应 IT 治理需要和确保信息与信息系统完整性的综合内部控制模型,其使命是为业务经理和审计师们的日常应用而研究、开发、公布和推广的一套一般公认的、权威的、最新的和国际化的 IT 控制目标体系。COBIT 在其发展过程中参考了全球超过 40个组织和机构有关 IT 和控制的标准,如 COSO、COCO、国际标准化组织(ISO) 、经济合作与发展组织(OECD) 、欧盟委员会等有关 IT 的标准、框架、指南和最佳实践等,是一个目前在国际上被广泛承认和接受的 IT 内部控制 开放性标准。COBIT 的最初版本是 1996 年发布的,随后进行了多次修订。COBIT4.0(2005 年发布)提出了 7 个标准来评估 IT 资源满足信息的运营要求的程度,这些标准是信息的效果、效率、机密性、完整性、可用性、合法性以及可靠性;并把 IT 资源分为人、应用系统、设备、技术、数据 5 类;还将 IT流程分成 4 个领域:计划和组织、获取和实施、交付和支持、监控,这 4 个领域又可细分为 34 个流程、318 个控制目标。COBIT 认为控制是为合理保证实现公司目标和防止、检测和纠正无法预测事件而制定的政策、程序、标准和组织机构。由此可以看出,与 COSO 框架不同的是,它的重点集中于利用 IT 来达到企业的目标和实施内部控制,这是对COSO 等传统的内部控制框架的补充和发展。这个框架通过应用中强调 IT 和企业目标一致、IT 帮助企业运营和最大化收益、IT 资源被负责的运用以及 IT 风险被适当的管理来达成 IT 治理。COBIT4.0 将企业的内部控制和 IT 的应用融为一体,对于企业建设有关 IT6条件下的内部控制极具参考价值。3.Trust Services 框架Trust Services 是 AICPA 和 CICA 在 2003 年 4 月发布的评价网络信任服务和系统信任服务的原则框架,以代替以前系统信任服务框架(SysTrust)2.O版本和网络信任服务框架 3.O 版本。Trust Services 框架将信息系统控制的标准分为 5 个:安全性、可获得性、过程完整性、隐私安全性和保密性,并将其标准和原则归入了 4 个方面进行评价:政策、沟通、程序和监督。Trust Services 框架是用来识别 IT 给企业带来的风险和机会,并且可以评价企业信息系统控制有效性的,它可以定义一个在特定的时间和环境条件下无实质性错误进行运营的比较可靠的系统,所以用它的标准来设立 IT 条件下的内部控制关键点,从而发展相应的 IT 内部控制模型很有价值。虽然和 COBIT 框架以及COSO 框架相比,Trust Services 框架目前应用的企业还不广泛,但这个框架比非常全面的 COBIT 框架相对狭义从而可能更加实用。4.电子系统保证与控制 (eSAC) 针对信息系统的内部控制问题 1977 年 IIA 发布了题为“系统可审计性和控制” (Systems Auditability and Control,简称 SAC)的报告,为了强调基于计算机的信息系统对内部控制系统的作用和冲击,IIA 在 2001 年发布了一套修订后的指南 eSAC,为管理层和审计师理解、评估与减轻技术风险提供了新的框架。eSAC 模型的核心部分是紧密联系在一起的 4 类内部控制目标:运营、报告、合规和资产安全;5 个电子商务的保证目标:可用性、能力、功能性、可保护性和可负责性;以及 5 个基础的要素:人、技术、过程、投资和沟通;组织的使命、价值、战略和目标推动这一核心部分产生三个结果:成效、声誉和学习;这一核心部分的顶端是 5 个外部市场力量:顾客、竞争、管制者、公众和所有者;底端是 3 个外部相互协同因素:代理商、供应商和同盟。eSAC 报告提出,传统的控制观点在现在的电子信息系统和网络的环境下已经不再适用了,因为现在需要将基础设施和商业应用过程联系起来考虑,在这样的环境下对于控制过程可以分为一般控制及应用控制,一般控制包括保护数据的安全性和保密性、项目及记录的安全性以及物理安全性;应用控制包括授权的交易被完整的记录,所有的交易只被系统处理一次、交易处理和记录的准确性等。二、内部控制整体框架的拓展-企业风险管理-整合框架COSO内部控制-整合框架作为 SEC、PCAOB、AICPA 等各大权威机构和GAO 认可的内部控制整体框架,无论是在美国还是在全球都具有广泛的影响力。由于内部控制-整合框架存在包括没有从企业全局与战略的高度来关注企业风险等局限,特别是以安然事件为首的一系列会计舞弊丑闻的爆发,促使美国颁布了萨班斯一奥克斯利法案 (Sarbanes-Oxley Act of 2002,SOX) ,要求递交年报公司的管理层对财务报告的内部控制进行报告,同时,要求注册会计师对管理层的评估进行认证和报告,并依法案成立了 PCAOB(上市公司会计监管委员会) ,这些促成 2004 年 COSO 颁布了企业风险管理-整合框架(ERM) ,对内部控制-整合框架进行了拓展。ERM 将企业风险管理定义为:企业风险管理是一个由企业董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次与部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面、7流程化的风险管理过程,它为企业目标实现提供合理保证。ERM 是具有三个维度的有机整体,三个维度是目标、要素和企业层级(见图 9-2) 。 风险管理目标有 4 个:战略目标、经营目标、报告目标和合规目标。要素有 8 个:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。企业层级包括整个企业、各职能部门、各条业务线及下属各子公司。三个维度的关系是:8 个要素都是为企业的 4 个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上 8 个要素人手进行风险管理。图 9-2 风险管理框架三维矩阵企业风险管理-整合框架的八大风险管理要素含义分别是:内部环境-包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。目标设定-为管理当局识别影响目标实现的潜在事项提供前提,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。事项识别-识别影响主体目标实现的内部和外部事项,区分风险和机会。风险评估-通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险应对-管理当局选择风险应对策略,即回避、承受、降低或者分担风险,采取一系列行动便把风险控制在主体的风险容限和风险容量以内。控制活动-确保风险应对措施得以有效落实而制定和执行的政策和程序。信息与沟通-使员工能履行其职责的方式和时机去识别、获取和沟通相关信息,包括信息在主体中的向上、平行和向下流动。监督-进行全面监督,必要时加以修改。监督可以通过持续的管理活动来完成,也可以借助个别评价,或者两者兼而有之。ERM 框架相比 COSO内部控制-整合框架 ,无论在内容还是范围上都有所扩大和提高,表现在:(1)提出一个新的观念-风险组合观。企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。(2)增加一类目标,并扩大了报告目标的范畴。企业风险管理框架比COSO 框架增加了战略目标,该目标的层次比其他三个目标更高。COSO 框架中的8财务报告目标只与公开披露财务报表的可靠性相关,而企业风险管理框架中的报告目标则覆盖了企业编制的所有报告。(3)针对风险度量提出两个新概念-风险偏好和风险容忍度。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。(4)增加了三个风险管理要素-“目标制定” 、 “事项识别”和“风险反应”,对其他要素的分析更加深入,范围上也有所扩大。具体如下:目标制定。由于针对不同目标分析其相应的风险,因此目标制定自然就成为风险管理的首要步骤。事项识别。与 COSO 框架相比,风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自企业内部和外部的、可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。风险反应。风险管理框架提出对风险的四种反应方案:规避、减少、共担和接受风险,作为风险管理的一部分,管理者应比较不同方案的潜在影响,并且应在企业风险容忍度范围内,考虑风险反应方案的选择。风险评估。风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差的情形下的估计值或者事项的分布等技术来分析,最好能够找到与风险相关的目标一致的计量单位进行计量,将风险与相关的目标联系起来。信息和沟通。风险管理框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据,其收集数据的详细程度则视企业风险识别、评估和反应的需要而定,并保证将风险维持在风险偏好的范围内。 三、我国关于内部控制规范的建设1997 年 5 月中国人民银行颁布的加强金融机构内部控制的指导原则是我国第一个关于内部控制的行政规定;1999 年 7 月实施的会计法是我国第一部体现内部会计控制要求的法律;作为会计法的配套法规之一,财政部于 2001 年 6 月颁布了内部会计控制规范-基本规范(试行) ,随后又颁布了一系列专门的内部控制规范,虽然仍限于内部会计控制的范畴,但为内部控制规范的建设开创了良好的局面,中国注册会计师协会也发布.了独立审计准则第 9 号-内部控制与审计风险;2006 年国务院国有资产监督管理委员会的中央企业全面风险管理指引 、上海证券交易所的上市公司内部控制指引 、深圳证券交易所的上市公司内部控制指引等也陆续颁布。这些规范的发布和实施,对于加强企业内部控制工作有着重要意义。为了进一步加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据国家有关法律法规,2008 年 6 月 28 日,财政部、证监会、审计署、银监会、保监会联合发布了被称为中国版的萨班斯一奥克斯利法案-企业内部控制基本规范 ,自 2009 年 7 月 1 日起在上市公司范围内施行,鼓励非上市的大中型企业执行,小企业和其他单位可以参照本规范建立与实施内部控制。与基本规范配套的有关具体规范和应用指南等随后将陆续发布。9第二节 企业集团内部控制的目的和设置原则按照 COSO 报告的观点,内部控制是由董事会、管理层和员工共同设计并实施的,旨在为实现组织目标提供理论依据的过程,它由相互关联的五项要素构成。其目标体系包括三类:第一类目标致力于企业基本的商业目标,其出发点是企业的生产经营,是为管理者服务的(即经营的效率与效果) ;第二类目标致力于企业基本的财务报告信息目标,其出发点是保护企业外部投资者的利益,是为外部投资者服务的(即财务报告的可靠性) ;第三类目标致力于企业基本的法规目标,其出发点是要符合相关的法律和法规,是为监管者服务的(即法律法规的遵循性) 。而从企业集团来看,企业内部控制与单个企业有很大的不同。企业集团内部控制到底是什么?其设置的目的和原则有哪些?本节我们将主要讨论上述问题。一、企业集团内部控制的概念企业集团内部控制有两个层次的含义,企业集团作为企业的一种形式,需要有其总括的内部控制,这一层次内部控制由集团董事会、管理层和员工共同设计并实施的,旨在为实现集团整体目标提供理论依据的过程。另一层次内部控制是专指由企业集团总部管理层、子公司经理和员工共同设计并实施的,旨在为实现集团整体目标而对子公司进行的控制活动和制度。前一层次内部控制属于广义企业集团内部控制,与单个企业内部控制相似,后一层次内部控制属于狭义的企业集团内部控制,为企业集团内部控制的特殊形式。 企业集团内部控制的概念和层次可以用图 9-3 来表示:图 9-3 企业集团治理结构、内部控制示意图从图 9-3 中我们可看出,狭义的企业集团内部控制与单个企业最大的不同,在于其下属的控制对象不是企业部门和单位,而是具有法人地位的子公司。因此,如何通过集团内部控制制度规定,保证子公司的行动在集团可控范围之内,进而实现控制目标,而又不影响子公司的合法权利,成为集团内部控制的难点问题。10二、企业集团内部控制的目标企业集团类型不同,其内部控制侧重的目标不同。目前我国理论界对企业集团内部控制目标的研究出发点不同,因而没有形成一致的结论。主要有以下几种观点。(一)风险控制观点风险控制观认为,企业集团投资于子公司,但并不直接参与子公司的经营,而是将经营权授予子公司经理,由于代理关系的存在,母公司的投资可能存在风险,为控制风险,母公司需要建立一系列控制措施以限制子公司经理的机会主义行为给母公司带来的损害。这些控制措施就是集团企业的内部控制。按照这一观点,集团企业内部控制的主要目的,在于控制子公司经理层的行动给予公司带来的风险,从而降低集团投资风险。这一观点看到了集团企业中存在的特定的代理关系以及这一关系产生的特定风险,并为此采取措施。但这一观点没有考虑到集团企业内部控制还是整个企业集团授权、指挥、组织的依据,从而限制了集团企业内部控制作用的发挥。(二)行动控制观点行动控制观认为,在集团企业背景下,集团总部需要有一定的控制权限,控制子公司的管理行动与母公司保持一致,从而产生协同效应。为确保对子公司行动的控制,集团总部需要制定一系列措施确保母公司的意志在子公司得到实现,这些措施就是集团企业的内部控制。按照这一观点,集团企业内部控制主要目的,在于确保母公司的控制权。这一观点看到了集团公司产生效率的根本原因,并试图通过内部控制确保母公司的控制,但它忽视了内部控制风险防范和规范职能的作用,从而降低了内部控制的效能。(三)制度控制观点制度控制观点认为,企业集团内部控制是企业集团内部的一些制度,其作用是为了确保企业内部作业有章可循,从而产生效率。这一观点看到了内部控制的表现形式特征,也部分地说明了内部控制的目的与企业效率有关。但这一观点只看到了内部控制的形式特征,没有看到内部控制的本质,从而不利于企业集团内部控制的完善。本书认为,企业集团的内部控制目标是多维的。从核心角度来看,企业集团内部控制的目的是为集团效率的提高而服务的。但在集团各种管理活动中它表现为不同的目的:在风险控制中它发挥风险防范作用;在控制行为中它发挥协调行动作用。因此,企业集团在制定各种内部控制制度时,要充分注意内部控制的各种目标和作用,从而确保内部控制的完善。三、企业集团内部控制设置的主要原则企业集团建立与实施内部控制,应当遵循下列原则。 (一)全面性原则内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。从企业集团来看,应为各个子公司的不同业务分别制定控制制度,而不是简单的一个概括制度,以确保控制有效。(二)重要性原则内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。从11企业集团来看,要充分考虑不同子公司的业务风险程度,针对高风险的行业和作业,制定更详细的控制制度;对于风险比较低的业务和项目,可适当降低控制复杂程度,确保运行成本的降低。(三)制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。从企业集团来说,各子公司之间关系复杂,母公司和子公司之间又存在多层次管理,因此为确保集团控制效率,要在确保集团统一行动的基础上,制定有制约、有协调的控制机制,确保各项业务的运行安全和效率。(四)适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。从企业集团角度来说,各子公司在行业、规模、技术上存在着很多的差异,集团在制定内部控制时,要充分考虑这些差异,分别制定各子公司的内部控制制度。(五)成本效益原则内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。内部控制的制定和运行需要有一定的支出,如果制度过于详细,控制行动过多,不仅会产生大量的支出,还会影响整体经营活动的顺利进行,进而降低企业的效率。企业集团应充分考虑各个子公司重要活动的关键点,对关键作业进行详细控制,而非关键作业可适当降低控制详细程度。第三节 企业集团内部控制的主要形式和主要内容一、企业集团内部控制的主要形式在我国目前存在的众多企业集团中,由于各企业集团的组建背景、组建过程,以及现实运行机制都不尽一致,加之企业集团在我国的发展从总体上看仍不成熟,所以在控制结构的建立与完善方面,不仅具体做法不同,而且迄今还没有较为完美的控制结构体系。从我国企业集团与其核心企业关系上看,大体上有两种类型:一是集权型或依托型;二是分权型或独立型。(一)集权型或依托型的内部控制模式这类控制模式又称“一套班子、两块牌子”的控制模式,是指核心企业的领导班子和职能机构就是企业集团的领导班子和职能机构,换言之就是企业集团的领导班子和职能机构依托于核心企业,不存在独立于核心企业之外的集团领导班子和职能机构,只是核心企业的牌子和企业集团的牌子并存,亦即对外采用两个不同的名称,在不同的场合采用不同的牌子。企业集团中的母公司统一管理子公司财务决策,子公司没有财务决策权。具体构成如下:核心企业(或集团公司)的有关职能处室就是集团本部的职能部门,核心企业的厂长(或经理)就是集团的董事长(或董事长兼总经理) ,集团本部仅根据自身业务的需要设置少量的、与业务有关的协调部门。其优点在于:控制层次少,机构和人员较精简,易于提高工作效;核心企业因具有雄厚的实力作后盾,故权威大,易于协调、指挥集团和各成员企业的12生产经营活动;财务管理效率高,利于企业集团发挥整体资源的整合优势,提高整体资源的利用效益。当然,这种控制模式也不可避免地表现出了其固有的局限性:集团核心层和核心企业的关系比较含糊,它不是通过核心层去带动整个集团的经营,而是由核心企业去控制各个成员企业的经营活动内部控制层次不清,核心企业因其独特地位还容易造成核心企业与集团其他成员企业之间关系紧张的局面;核心企业本身的任务就十分繁重,再兼管整个集团的工作,工作量骤增,容易造成失误;财务管理权限高度集中于母公司容易挫伤子公司经营的积极性,抑制子公司的灵活性和创造性;决策的压力集中于母公司,母公司一旦决策指挥失败而导致子公司的破产或清算,会在很大程度上破坏“有限责任”这一原则。这也会使母公司财务陷入困境,无法理清母子公司间的财务利益关系。(二)分权制或独立型内部控制模式这类控制模式又称“两套班子、两块牌子”的控制模式,是指以集团总部为基础建立一套独立的控制机构,负责对整个集团的生产经营活动进行统一协调。在这类控制结构中, 、核心企业的作用仍较大,但已不是通过自己的领导班子和职能机构去直接控制整个集团的生产经营活动了。它和企业集团都各自拥有自己的牌子;子公司拥有充分的财务管理决策权,而母公司对子公司实行以间接管理方式为主的财务体制。具体来说,在集团与其核心企业之间表现为各自相对独立关系的企业集团中,集团与其核心企业各自设有一套独立的专门管理机构,从事各自的生产经营的管理活动,并各自拥有自己的牌子。这种模式的具体结构是:企业集团的最高决策、管理机构由各成员企业的主要领导组成董事会(或称管理委员会) 。各成员企业的领导在协商的基础上,共同对集团的重大问题作出决策,实施对集团的战略管理。其优点在于:由于不存在集团对核心企业的依赖性,因而集团的控制决策就容易做.到客观公正,易于避免各成员企业之间的矛盾和冲突;集团内部各职能机构之间不仅职责明确,而且整个集团的控制层次也非常清楚,也有利于提高控制效率;子公司有充分的积极性,决策快捷,易于捕捉商业机会,增加创利机会。同时,也能减轻母公司的决策压力,减少母公司直接干预有负面效应。这种控制模式,强调了集团总部在控制上的统一性和权威性,因而对于集团经营的开展是很有意义的。但是,这种控制模式也并非完美无缺,其缺点是:难以在短期内形成一个指挥灵、效率高的强有力的集团控制系统;采用这类控制结构有较高的要求,如集团总部是一个实体而非虚体,构成单位必须在实际上而不能仅仅在名义上已实现资产一体化;难以统一指挥和协调,有的子公司因追求自身利益而忽视甚至损害公司的整体利益;不利于发挥母公司财务调控功能,不能及时发现子公司面临的风险和存在的重大问题,从而造成子公司“内部人控制”问题。二、企业集团内部控制的主要内容企业集团内部控制的基本内容概括起来有以下几点。 (一)组织结构控制组织结构控制是指企业集团通过对子公司管理层设立部门和组织,并针对部门、组织设立岗位,针对每个岗位设立相应的职责和义务,确保集团企业的目标层层分解落实,转化为行动。组织结构控制主要解决两个层面的问题,一13是企业集团与成员企业的集权与分权关系,企业集团应明确分、子公司在投资、融资、人事等方面的权限;二是集团本身的公司治理结构问题,即股东大会、董事会、监事会、经理等之间的组织规划。应当使股东大会、董事会和经理之间保持相互制衡。(二)会计系统控制会计系统控制是集团企业确保财务会计信息真实及时的重要措施,包括财务制度、会计处理程序、会计报告制度、财务分析制度等。企业集团应依据会计法和会计准则、统一会计制度等,建立本集团的财务与会计制度,规定账务处理和采用