2016年
财会月刊(7期)
改革探索
WSR视阈下公司内部控制的风险控制分析

作  者
董红杰(副教授)

作者单位
郑州成功财经学院会计系,河南巩义451200

摘  要

    【摘要】基于内部控制有效性运作是一个全员参与的系统工程,本文采用WSR系统方法论分别从三个层面(W、S、R)剖析了影响内部控制有效性的风险因素,并提出相应层面的风险管理措施,这种新的研究视角为我国内部控制体系在上市公司中有效运行提供了一种实践意义上的指导。
【关键词】内部控制;风险控制;WSR系统方法论
【中图分类号】DF436           【文献标识码】A           【文章编号】1004-0994(2016)07-0032-4一、引言
2002年美国《萨班斯——奥克斯利法案》(SOX)的颁布,开启了全球内控时代。我国财政部五部委于2008年和2010年发布《企业内部控制基本规范》和《企业内部控制配套指引》,标志着适应我国企业实际情况、融合国际先进经验、以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的中国企业内部控制体系在法律法规层面上基本建成。公司内部控制体系是保证内部控制五目标实现的重要制度安排。从目标和内容来看,内部控制是风险管理的组成部分,内部控制可以有效降低公司财务风险、诉讼风险(袁晓波,2010;毛新述、孟杰,2013;戴文涛等,2014)。
从内部控制的发展来看,社会各界对公司各类风险的防范推动了内部控制制度的发展。基于我国政府近年来不断加强上市公司内部控制体系建设的制度安排和内部控制体系有效运行的系统性特点,本文以新的研究视角——WSR系统方法论对内部控制体系有效运行的风险控制分层剖析,并提出相应的风险管理措施。
二、WSR系统方法论和公司内部控制系统运作特点
1. WSR系统方法论。WSR系统方法论是“物理——事理——人理”方法论的简称,该理论由中国著名科学家顾基发教授和英国朱志昌博士于1994年提出。“物理——事理——人理”的含义是:“物理”主要是指物质运动的机制和原理,主要用来解决物理方面的问题;“事理”是指做事的道理,主要解决怎样投入人、财、物去达成目标;“人理”是指做人的道理,具体内容详见右上表。WSR不仅是方法论,而且在解决复杂问题的过程中凸显出系统工程的思想。

 

 

 

 


2. 内部控制系统工程。内部控制在以下五个方面体现出系统工程思想:①内部控制的主体是“全员”,全员控制、人人都是控制者是内部控制的显著特征。②内部控制的客体是“全面的”,它覆盖了企业及其所属单位的各种业务和事项。③内部控制的目标是“多元化”,包括合规目标、资产目标、报告目标、经营目标和战略目标,从本质上讲,内部控制属于企业的一项管理活动,而任何管理活动均有目标。④内部控制的方法是“全方位的”,包括经济、制度、法律等控制手段。⑤内部控制是一个过程,既包括内部控制体系的设置和建设过程,也包括内部控制的实施、执行和监督过程,还包括对内部控制结果的考核、分析过程,以及对内部控制体系的不断改进、完善过程(张民胜等,2014)。
《企业内部控制基本规范》将内部控制要素分为内部环境、风险评估、控制活动、信息与沟通和内部监督五大组成部分,内部控制五要素既相对独立又相互联系,构成一个有机统一体,其构成框架如下页图1所示。三、WSR视角的内部控制风险控制分析
COSO报告(2004)认为,内部控制基本构成要素的存在和有效运行是确保内部控制有效性的关键。笔者基于上文对WSR系统方法论的解释,尝试用WSR的思想来剖析内部控制有效性的风险因素(见图2),即内部控制五要素中客观存在的物理风险、内部控制系统运作的有效管理过程中存在的风险、内部控制有效执行过程中人与人之间的冲突与矛盾所导致的风险。

 

 

 

 

 

 


(一)基于W层面内部控制的风险控制分析
1. 基于W层面的内部控制的风险因素分析。根据WSR系统方法论,内部控制有效性的物理风险因素指公司内部控制的必要条件或者物质资源存在的缺陷,主要包括组织机构不完善、岗位职责不规范、会计系统与信息系统有待改进等物质资源的缺陷导致的公司各类风险。主要包括如下风险:
(1)组织结构不完善导致的代理风险、舞弊风险、战略风险。①没有规范的治理结构,董事会、监事会和经理层的权责利失衡、监督不到位,可能会产生管理层与股东之间的利益冲突或大股东侵占中小股东利益的代理问题以及管理层凌驾于公司内控之上的机会主义行为。②内部监督机构设置不完备导致的舞弊风险。企业因规模、产权性质、组织形式不同,其内部监督机构的设置也有所差别,但是内部监督机构的独立性是内部控制有效性的关键,若行使专职监督职能的内部审计机构和其他监督机构缺乏独立性则会导致内部控制制度疏于监督而流于形式,舞弊风险增加。③董事会未下设战略管理委员会,或未指定相关机构负责公司发展战略管理工作,则会因公司发展战略不明确或实施不到位而导致企业盲目发展,或丧失发展机遇和动力;而发展战略过于激进则会导致企业过度扩张,引发经营失败的风险。
(2)岗位职责不规范所导致的舞弊风险。不相容职务未分离,如授权与执行、执行与审核、执行与记录、保管与记录等岗位未恰当分离,则会产生串通舞弊风险。另外,如果没有明确设定常规授权和特别授权的权限范围、审批程序和相应责任,可能会存在资金挪用或串通舞弊的风险。
(3)会计系统和信息系统不完善所致的财务错报风险、信息不对称风险。在利用财务软件对已经发生的经济业务进行确认、计量、记录、报告的过程中是否对软件及时升级与维护,另外操作权限的设置是否合理、功能板块与公司实际业务是否相匹配、网络安全措施是否恰当等均会在一定程度上导致公司的财务错报风险。此外,公司的信息系统缺失或规划不合理,则会造成信息不对称,进而影响公司经营管理效率,加大经营风险。如果信息系统的开发不符合内部控制要求,授权不当、运行维护和安全措施不到位,则会影响经过集成、转化而来的内部控制信息的准确性。
2. 基于W层面的内部控制风险管理措施。由制度经济学可知,内部的制度或规则(包括正式规则、非正式习俗)以及实施方式决定了企业的经济绩效。新制度经济学的代表人物道格拉斯·诺斯认为:有效的经济组织是经济增长的关键,制度高于一切,任何一套规则都好于无规则。针对W层面存在的公司各类风险,W层面的风险管理措施主要体现在对内部控制制度的不断完善方面。
(1)针对组织结构不完善的风险应对措施。建议按照《企业内部控制应用指引第1号——组织机构》和《公司法》的相关规定,建立规范的、相互制衡的组织结构、业务流程图、岗位说明书和权限指引等内部管理制度文件,使员工了解和掌握组织结构及权责分配情况,正确履行职责。董事会下设战略管理委员会,专门负责公司发展战略管理工作,以降低战略管理风险。董事会下设预算管理委员会,履行全面预算管理职责,降低预算管理风险。
(2)针对岗位职责权限设置不规范所致的各类风险的应对措施。全面梳理公司的业务流程,不断完善具体业务的相关制度文件,加强相关业务的归口管理。参照《企业内部控制应用指引》,全面梳理各业务流程和可能存在的风险点,不断完善各业务相关的管理制度,明确相关岗位的职责权限和归口管理部门,使公司业务流程不断规范化、制度化,力求做到实务完善制度,制度指导实务”。
(3)针对信息系统不完善风险的应对措施。参照《企业内部控制应用指引第17号——内部信息传递》并结合企业信息与沟通现状,全面梳理内部信息传递过程中的薄弱环节,继续完善内部信息传递机制,明确内部信息传递的内容、保密分级、传递方式或渠道、传递范围以及各层级的职责权限等。参照《企业内部控制应用指引第18号——信息系统》并结合企业信息系统现状,制定信息系统建设整体规划,继续对现有信息系统进行开发、运行与维护,对信息系统建设实施归口管理,明确相关单位的职责权限。建议采用办公自动化系统(OA系统)来实现事务处理、信息管理和决策支持功能,主要包括工作流系统(流程审批)、公文系统(收文管理和发文管理的自动化)、项目管理系统、CRM系统(包括产品、销售、合同、收款、采购、库存、供应商、客户、回访等要素的客户关系管理系统)、人力资源系统、行政办公系统、知识库、在线交流、日常工作安排等。
(二)基于S层面的内部控制的风险控制分析
1. 基于S层面的内部控制有效性的风险因素分析。WSR方法论中“事理”是指做事的道理,运用到内部控制有效性的风险因素分析的研究中,具体体现在计划职能方面的战略目标定位能力,组织职能方面的预算管理的组织协调能力,领导职能方面的领导能力、沟通能力,控制职能方面的风险评估能力、风险控制能力等方面。相应风险体现在如下方面:
(1)战略目标不恰当定位所致的战略风险。战略目标是企业最高层次的目标和内部控制的终极目标,是企业现在及未来的发展思路和具体安排,是企业管理层实现经营目标的行动指南。经营风险来源于对公司战略目标产生不利影响的重大情况、外界环境变化或不恰当的战略目标。负责发展战略管理工作的部门是否能在充分调研、科学分析预测和广泛征求意见的基础上制定出恰当的战略规划直接影响企业战略风险水平。
(2)预算管理的组织协调不当导致的各类风险。内部控制的运作是全员参与、多部门协作的系统工程,内部控制系统的组织协调能力,可以由公司的全面预算管理能力来体现。按照拟定预算目标→分解预算目标→严控超预算和不合规预算→通报预算执行情况→预算执行考核等具体步骤开展各部门的具体业务。预算管理能力在一定程度上体现了组织协调能力,从预算编制、预算执行到预算考核,涉及治理层、监督层、管理层、基层员工等各个层级,组织协调能力将影响到各类风险发生的可能性。
(3)领导对内部控制不重视的态度导致的内部控制环境风险。领导风格、领导对内部控制的态度、领导的风险偏好等给内部控制的执行定下了基调,影响着企业员工的风险控制意识、内部控制活动的实施和控制责任的履行。如果领导重视内部控制,注重诚信和道德价值观念,对内部控制的相关制度文件率先执行,那么员工对内部控制的执行力就较好,否则会加大公司的各类风险。
(3)风险识别、控制措施的不足引发的风险。风险识别是风险评估中最重要的环节,如果缺乏对内外部风险环境的认识,会引发公司的各类风险。例如,外部风险要素方面:技术发展会影响企业的研发活动,顾客的需求变化会引发产品的开发风险或价格风险,新法律政策会影响公司的战略经营状况,经济环境的改变会影响企业的经营活动和投资活动等。再如,内部风险要素方面:财务信息系统的升级引发操作性风险,公司经营活动性质改变会引发经营风险或专业胜任能力不足风险等。
风险控制能力方面:内部控制措施主要包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制。这些控制方法在使用的过程中与实际业务流程是否匹配,能否及时发现实际执行中的漏洞并及时纠错,都直接或间接地影响到风险控制的能力。例如,预算控制不当所导致的经营风险、战略风险。不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目经营;预算编制不科学、预算目标不合理,可能导致企业资源浪费或发展战略难以实现;预算缺乏刚性、执行不力、考核不严,会导致预算管理流于形式。
2. 基于S层面的内部控制风险管理措施。运用管理学理论,把计划、组织、领导、控制的职能融入内部控制有效运作的过程中,优化其系统运作流程。主要措施如下:
(1)恰当定位战略目标。战略目标是企业最高层次的目标,其余目标是建立在战略目标基础上的业务层面的目标。隶属于董事会的战略管理委员会按照《企业内部控制应用指引第2号——发展战略》的要求,综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业竞争对手状况、可利用资源水平和自身优劣势等影响因素,采用SWOT分析方法,制定出符合企业发展的战略目标,并进一步分解为阶段性具体目标、工作任务,确定实施路径。
(2)加强预算管理的组织协调能力。加强预算编制管理,依据公司发展战略和年度生产经营计划,综合考虑预算期内的经济政策、市场环境因素,明确预算编制依据,按照上下结合、分级编制、逐级汇总的原则,编制年度全面预算。加强预算执行管理,明确预算指标分解方式、预算执行审批指标分解方式,将预算指标层层分解,从横向和纵向落实到内部各部门、各环节和各岗位,形成全方位的预算执行责任体系,严格监控预算执行情况,对超预算或不符合预算要求的支出,实施严格的审批制度。同时,预算管理机构应加强与各预算执行单位的沟通,运用财务信息和其他相关资料监控预算执行进度,定期召开预算执行分析会议,研究、解决预算执行中发现的问题。加强预算执行考核,对各预算执行单位和个人进行考核,切实做到有奖有惩,奖罚分明。(3)强化领导对内部控制的重视。领导对内部控制的重视程度、价值理念是内部控制有效性的基础。治理层和管理层应加强对内部控制的重视,在体现诚信和道德价值观念的企业文化落实时,管理层要身体力行,起到表率作用。
(4)多角度控制公司风险。控制是监控、比较和纠正工作绩效的过程,有效的控制可以保证各项活动圆满完成。常见的控制方式有前馈控制、同期控制、反馈控制和信息控制等。内部控制常见的七种控制方法大多体现为同期控制和反馈控制。例如,不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制更多体现为同期控制,即对业务流程的期中控制;预算控制体现为全程控制;运营分析控制和绩效考评控制更多体现为反馈控制。鉴于大多数控制方法偏向同期控制和反馈控制,较少涉及前馈控制,本文建议加强前馈控制手段,通过建立风险预警机制和突发事件应急机制,根据企业业务性质,搜集并识别内外部风险,构建风险预警模型,对各类风险的量化指标进行综合评判,并以此评判结果设置预警区间,评价各类风险状态偏离预警线的强弱程度,向决策层发出风险预警信号并提出相应的风险控制措施。
管理者需要在正确的时间利用适量的信息来监控组织活动和测量组织绩效,制定妥善的行动方案。信息的及时性和有效性是管理层正确决策的关键,建议强化对OA办公自动化系统的利用,将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,合理设定用户的操作权限、规范操作流程、加强信息系统运行与维护管理,跟踪、发现和解决信息系统中存在的问题,避免出现信息孤岛现象。
(三)基于R层面的内部控制的风险因素分析
1. 基于R层面的内部控制有效性的风险因素分析。WSR方法论中“人理”是指做人的道理,“全员参与”是内部控制的显著特征,内部控制的有效性在于全员贡献意愿,如何调动员工的能动性,企业文化的价值引导和合理的绩效考评制度是关键。
(1)企业文化缺失导致的各类风险。缺乏积极向上的企业文化,可能会导致员工丧失对企业的信心和认同感,使企业缺乏凝聚力和竞争力;缺乏开拓创新、团队协作和风险意识,可能导致企业发展目标难以实现;忽视企业间的文化差异和理念冲突,可能导致并购重组失败;缺乏诚实守信的经营理念,可能发生舞弊事件,造成企业损失,影响企业信誉。 
(2)绩效考评制度不合理导致的人才流失风险、经营风险、机会主义风险、财务舞弊风险。绩效考评结果是员工薪酬以及职务晋升、评优、降级、调岗、辞退的衡量标准之一,而薪酬体现员工的绩效。如果没有科学的考核指标体系、定期考核评价不客观,可能会导致人才流失、经营效率低下。另外,绩效考评制度很可能会对管理层造成压力,促使其采取行动改善财务业绩,或歪曲财务报表、美化报表业绩,由此增加了财务报表重大错报风险。
2. 基于R层面的内部控制风险管理措施。内部控制风险管理实质上是对人的管理,员工是企业风险管理的核心。内部控制的有效性是企业长远发展的有力保障,激发全员参与内部控制的热情、贯彻全员风险管理意识、因人而异地设置激励机制、实现每个参与者的个体目标是推动个体努力的关键。巴纳德认为:“组织的生命活力,在于组织成员贡献力量的意愿,……意愿的持续性,还取决于成员个人在实现目标的过程中所获得的满足感”。具体理论运用参见图3。

 

 

 

 

 

 

 

如果个体感到在努力与绩效之间、绩效与奖赏之间、奖赏与个人目标的满足之间存在密切关系,那么他就会努力工作。然而,个人绩效水平会受到个人能力和目标绩效评估系统的影响,要实现内部控制目标、加强全员风险管理意识,建议设计目标绩效评估系统时要考虑员工的风险控制因素,并将其作为绩效评估标准之一。图3中,虚线部分第①条线索针对个人绩效进行的组织奖惩要考虑“强化理论”和“公平理论”,体现赏罚分明、公平公正的原则。当个体由于工作绩效而获得奖励满足了与其个人目标相一致的主导需求时,就会提高自己的贡献意愿(参照马斯洛的需求层次理论)。第②条线索主要是针对高成就需求者,他们受到的激励不是来自于组织对其的绩效评估或组织提供的奖励,而是来源于能够给他们提供责任感、成就感,认真完成工作的内在驱动力,其努力与个人目标之间直接相连。因此,包含风险控制任务的工作要求可能对高成就需求者更具有挑战性。

主要参考文献:
顾基发,唐锡晋.物理—事理—人理系统方法论:理论与应用[M].上海:上海科技教育出版社,2006.
张长胜,候君邦,秦学昌.企业内部控制[M].北京:北京大学出版社,2014.