企业法人治理控制是企业内部控制的基础,也是企业内部控制实施的动力来源。在我国,尤其是国有企业,法人治理不完善,造成内部人控制,使治理控制机制失效;管理层凌驾,使企业内部控制机制和规则轻易被打破;组织结构行政化,使管理控制机制僵化;表里不一的文化,使企业缺乏良好的内部控制实施氛围。
在国有企业完善内部控制建设时,应当与国有企业法人治理完善结合起来,提高董事会和管理层在内部控制建设中的责任,改善企业内部控制的控制环境,强化内部控制机制。在法人治理不完善的阶段,有必要充分发挥国资委的股东代表功能,加强国资委对国有企业的内部控制的监督和指导。
(五)以财务报告内部控制的评价为突破口
美国萨班斯方案强调,企业管理层必须定期对企业内部控制的有效性进行评价,注册会计师必须对企业管理层的内部控制评价的客观性和企业内部控制运行的有效性发表鉴证意见。随后的PACOB的审计准则第2号,是与财务报表审计相关的财务报告的内部控制的审计,说明美国上市企业的内部控制的外部评价是基于企业财务报告内部控制的评价。美国本土公司在404审计过程中,将近77%的问题与财务程序相关。由于期末财务报告流程对财务报告、注册会计师关于内部控制审计意见的形成非常重要,因此它始终都是一个重要的业务流程。
内部控制的评价和考核是完善企业内部控制、提高内部控制执行力的基础。企业内部控制评价包括内部评价和外部评价。在我国,企业内部控制评价只有遵守法规的要求,才能使企业高度重视、完善内部控制的重要性、提高企业内部控制的效能。
企业内部控制评价的外部实施方,最可依赖的受托方是注册会计师。企业内部控制的概念是广泛的,它有利于提高企业的管理控制水平;但企业的行业特性和实施基础是千差万别的,因而企业内部控制的评价是很复杂的。注册会计师全面评价企业的内部控制是不恰当的,也是不现实的;注册会计师对企业内部控制评价应当是基于财务报告内部控制的审计,才是可行的,也是更有实践意义的,因而注册会计师对财务报告的内部控制审计有专业优势;另外,基于国有企业会计信息失真和财务舞弊的风险,对企业财务报告内部控制审计是企业内部控制完善的关键。
三、国际内部控制最新发展对我国企业内部控制和风险管理的影响企业内部控制与风险管理是难以区分的。一方面,内部控制是因为风险而存在,企业若没有风险就没必要有内部控制,企业内部控制是企业风险管理的重要内容;另一方面,不论理论上还是实践上,企业内部控制的发展极大地推动了企业风险管理的发展,这一点可以从COSO内部控制框架与企业风险管理框架的关系便可清晰发现。企业内部控制的发展,核心是控制企业的风险、提高企业可持续发展能力,因而,为了提高我国企业内部控制和风险管理水平,结合国际内部控制和风险管理的最新发展,中国企业尤其是国有企业应当高度重视以下问题:
(一)加强对控制环境的管理
按COSO内部控制框架的定义,控制环境包括企业的诚信和道德观、管理层的管理理念和经营风格、员工胜任能力、公司的董事会和审计委员会、组织结构及权责分配、人力资源政策和实践等要素。控制环境是内部控制其他因素的基础,直接影响着企业员工的控制意识,决定了企业的基调。2004年度美国公司披露的财务报告内部控制缺陷主要体现在技术层面,即财务系统与程序。在控制环境等方面的内部控制缺陷比例相对较低。而与美国公司相比,我国在美上市公司可能同样存在一些技术层面的问题,但更大的挑战来自公司的控制环境。过去,中国公司普遍缺乏强化内部控制标准的环境,致使一些公司尽管建立了内部控制机制,但缺乏规范和齐全的内部控制标准,这也是很多公司付出了巨大的合规成本,但仍面临无法确定能否顺利过关的重要原因之一。404条款看似简单的背后,牵扯着公司整体内部控制流程和财务体系的重整。
