[摘要]本文从控制论原理出发,对内部控制作了多层面的理解;在研究了内部控制理论的最新进展,即 COSO报告出台的背景、具体内容及创新特点之后,提出该报告对构建我国企业内部控制综合框架的启发和借鉴意义体现在五个方面,即完善企业的控制环境、进行全面的风险评估、设立良好的控制活动、加强信息流动与沟通、加强企业的内部监督;同时建议有关部门和团体制定企业内部控制准则或指南,为企业内部控制建设提供一个框架和参考依据。
新修订的《会计法》十分强调企业内部控制制度的建设问题。企业经营失败、会计信息失真及不守法经营在很大程度上都可归结为企业内部控制的缺失或失效。研究企业内部控制的理论与实务就成了最紧迫的课题之一。但是目前学界对内部控制的认识还不足、不统一,甚至存有不少错误。我们拟从控制论的一般原理和国际上企业内部控制理论的最新发展出发,谈谈对我国企业内部控制建设的看法。
一、对内部控制的理解
内部控制理论的发展经过了一个漫长的时期,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。内部牵制思想以账目间的相互核对为主要内容并实施岗位分离,这在早期被认为是确保所有账目正确无误的一种理想控制方法。内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制(或称内部业务控制)两个部分,前者在于保护企业资产、检查会计数据的准确性和可靠性;后者在于提高经营效率、促使有关人员遵守既定的管理方针。西方学术界在对内部会计控制和管理控制进行研究时,逐步发现这两者是不可分割、相互联系的,因此在20世纪80年代提出了内部控制结构的概念,认为“企业的内部控制结构包括为合理保计企业特定日标的实现而建立的各种政策和程序”[1],并上明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面。在90年代美国提出内部控制整体框架思想,并逐步将各界对内部控制的认识统一起来。目前,我国理论界和实务界对同部控制的认识还很不统一[2]。其中,多数学者对内部控制的认识停留在内部控制制度和内部控制结构阶段;还有很多人认为内部控制即是内部监督。实务界许多人士以为内部控制就是一堆堆的手册、文件和制度;也有些企业认为内部控制就是内部成本控制、内部资产安全性控制等;有的企业则对内部控制还没有概念,巨人集团衰败、沈阳飞龙集团“失踪”、郑州亚细亚关门。广东国投倒闭等事件都说明了这一点。
我们认为,根据控制论的一般原理,控制是作用者对被作用者的一种能动作用,被作用者按照作用者的这种作用而行动,并达到系统的预定目标。因此,可以从以下几个方面来理解内部控制。其一,内部控制具有一定的目的性,为达成某种或某些目标而实施。其二,内部控制是为了达到某个成果些目的而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身一种手段而非一种目的;其三,内部控制个是某个事件或某种状况,而是散布在企业作业中的一连串行动,是企业经营过程的一部分,与经营过程结合在一起,使经营过程发挥其应有的功能,并监督着企业经营过程的持续进行。换言之,内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。其四,内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。其五,企业中的每一个员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。其六,所有的内部控制都是针对“人”而设立和实施构,企业内部会因此形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
二、内部控制理论的最新进展
20世纪70年代中期,与内部控制有关的活动大部分集中在制度的设计和审计方面,重在改进内部控制制度的方法和提高审计的质量和效率效果。1973年至1976年对水门事件的调查使得立法机关与行政机关开始注意到内部控制问题。水门案专案检查官办公室及美国证券交易委员会(SEC)所进行的调查分别显示,过去不少美国大公司进行了违法的国内捐款、可疑或违法的国外支付(包括贿赂外国政府官员)。针对这些调查的结果,美国国会于1997年通过了《反国外贿赂法》(简称(FCPA)。FCPA除了具有反贿赂的条款外,还规定了与会计及内部控制有关的条款。因此,FCPA通过立法之后,企业都陆续开始设立内部控制。很多职业团体及主管机关也就内部控制的不向层面进行研究,发布指南。如,美国注册会计师协会(AICPA)所属审计人员责任委员会发布了《报告、结论与建议》,并颁布了审计准则公告第30号(1980)、第43号(1982)、第48号(1984)[3]:财务经理人员协会(FEI)发布了《美国公司之内部控制:现状》[4]:SEC拟订强制公司对其内部会计控制提出报告书,即《管理阶层对内部会计控制的报告书》[5];内部审计人员协会(IIA)发布了内部审计准则公告第1号《控制:观念及责任)[6],等等。
1985年,由AICPA、美国审计总署(AAA)、FEI、IIA及管理会计师协会(IMA)[7]共同赞助成立了全国舞弊性财务报告委员会,即 Tread-way委员会,该委员会所探讨的问题之一就是舞弊性财务报告产生的原因,其中包括内部控制不健全问题。两年之后,Treadway委员会提出报告则,并提出了很多有价值的建议。虽然Treadway委员会本对内部控制提出结论,但它的报告立刻引起了很多组织的回应[9]。基于Tdreadway委员会的建议,其赞助机构又组成了一个专门研究内部控制问题的委员会,COSO委员会。1992年,COSO委员会提出报告《内部控制——整体框架》,1994年进行了增补。COSO委员会提出,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。具体包括:
1、控制环境(controlenvironment)。任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,它们既是构成环境的重要要素之一,又与环境相互影响、相互作用。环境要素是推动企业发展的引擎,也是其他一切要素的核心。
2、风险评估(risk appraisal)。企业必须制定目标,该目标必须和销售、生产、行销、财务等作业相结合。为此,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适时加以处理。
3、控制活动(control actiVty)。企业必须制定控制的政策及程序,并予以执行,以帮助管理阶层保证“为保证其控制目标的实现,其用以辨认并用以处理风险所必须采取的行动业已有效物实”。
4、信息和沟通(Information and communicati)。围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。
5、监督(moni-toring)。整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。COSO委员会同时提出,企业所设定的目标是一个企业努力的方向,而内部控制组成要素则是为实现或达成该目标所必需的条件,两者之间存在直接的关系。每一个组成要素适用于所有的目标类别,每一个组成要素也与每一个目标都有关。对于任何企业或企业中的任何部门,内部控制都极为重要。
同以往的内部控制理论及研究成果相比,COSO报告提出了许多新的、有价值的观点。体现在:
1、明确对内部控制的“责任”。在世界内部控制发展史上,COSO报告第一次明确地阐述了内部控制的制定与实施的责任问题。该报告认为,不仅仅是管理人员、内部审计或董事会,组织中的每一个人都对内部控制负有责任。确立这种组织思想有利于将企业的所有员工团结一致,使其主动地维护及改善企业的内部控制,而不是与管理阶层相互对立,被动地执行内部控制。
2、强调内部控制应该与企业的经营管理过程相结合。COSO报告认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由组织的某一个单位或部门进行,或由若干个单位或(及)部门共同进行。内部控制是企业经营过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。
3、强调内部控制是一个“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程,企业的经营活动是永不停止的,企业的内部控制过程也因此不会停止。企业内部控制木是一项制度或一个机械的规定,企业经营管理环境的变化必然要求企业内部控制越来越趋于完善,内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
4、强调“人”的重要性。COSO报告特别强调,内部控制受企业的董事会、管理阶层及其他员工影响,透过企业之内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标,并设置控制的机制。反过来,内部控制影响着人的行动。
5、强调“软控制”的作用。相对于以前的内部控制研究成果而言,COSO报告更加强调“软控制”的作用。软控制主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。
6、强调风险意识。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,对风险的管理是现代企业的主旋律之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遭遇风险,管理阶层须密切注意各层级的风险,并采取必要的管理措施。
7、揉和了管理与控制的界限。在COSO报告中,控制已不再是管理的一部分,管理和控制的职能与界限已经模糊。
8、强调内部控制的分类及目标。COSO报告单独对内部控制的目标进行了解析和阐释。目标的设定是管理过程的一个重要部分,虽然它不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。制定目标的过程不是控制活动,但其对内部控制的意义重大,直接影响到内部控制是否有存在的必要。COSO报告将内部控制目标分为三类:与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面。
9、明确指出内部控制只能做到“合理”保证。COSO报告认为:不论设计及执行有多么完善,内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。而目标达成的可能性,尚受内部控制之先天条件所限制。
10、成本与效益原则。COSO报告明确指出,内部控制要建立在成本与效益原则的基础上。内部控制并不是要消除任何滥用职权的可能性,而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态(即经济原则)的机制。因此,没有不花钱的内部控制,也不存在完美无缺的内部控制。
三、启示与借鉴
“他山之五,可以攻玉”,COSO报告对我国具有一定的启发和借鉴意义。我们以为,在构建我国企业内部控制综合框架时,亦可从以下方面着手:
完善企业的控制环境
1、加强和完善企业内部控制,首先应注意企业内部控制环境的建设。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。它是一种氛围,塑造企业文化,影响企业员工的控制意识,影响企业内部各成员实施控制的自觉性,决定其他控制要素能否发挥作用,是内部控制其他要素作用的基础。控制环境直接影响到企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现。影响控制环境的因素是多方面的:
(1)董事会。现代企业法人治理结构的一个显著特征就是经营权与所有权的分离。虽然,从理论上说,对经营者的控制机制可分为两大类:一是以资本市场、产品市场及法律规章制度为主体的外部控制机制;二是以董事会为主体的内部控制机制。但理论和实践均已证明,外部控制机制并不能取代内部控制机制的功能。相比之下,董事会应该是约束经营者日常行为,实现事前帕累托最优的最合适的手段[10]。因为,董事会是公司内部控制系统的核心,它负责为公司经理制定搏弈的规则。对内部控制而言,一个积极、主动参与的董事会是相当重要的。但是,只有当董事会拥有技术、才能和智慧,并能进行适当的管理时,才能适当履行其监控、引导和监督的责任。目前,我国很多上市公司在形式上建立了董事会、监事会,聘任了总经理班子,但在实际工作中,董事会在表现上还存在许多误区,真正的法人治理结构并未建立。董事会的监控作用严重弱化,“董事”不“懂事”,经常只有一个“虚职”,且缺少必要的常设机构。“东方锅炉”一例,在很大程度上就是因为实施公司经营决策的董事会与从事公司日常经营事务的总经理班子在企业的实际管理中职责重复、“一套人马两块牌子”[11]。加强企业内部控制,首先要加强董事会的建设,发挥董事会的作用和潜能,使股东及其他利益团体的利益真正受到保护。在市场经济发达国家的企业中,董事会一直很受重视,其挑选条件极为苛刻,在内部董事与外部董事的搭配及组成等方面都极为严格。
(2)企业管理者的素质。管理者素质在企业经营管理中起绝对重要的作用,素质不同,对企业发展所产生的影响也完全不同。管理者的素质直接影响到企业的行为,进而影响到企业内部控制的效率和效果。在许多西方国家,由于市场经济比较完善,基本上已形成一个比较成熟的经理人才市场。我国这方面的起步比较晚,还未形成一个约束、监督与激励经理人员的外部机制,因此管理者自我完善和自我提高的动力和压力比较小。“巨人危机”爆发后,在全国掀起了轩然大波。中国人民银行马上派了一个工作组到珠海检查,检查结果让人吃惊——巨人集团投向银行贷一分钱!到1996年底,巨人大厦修建所用的1.6亿资金,都是靠公司自有资金和卖楼花所得收入提供的[12]。这体现了时下我国很多企业的一个通病:缺乏现代资本运营的理念及技术,缺乏长远的内部控制观念。如果巨人集团内部财务制度健全,理财循环的内部控制制度完善,就不至于此。因此,应尽快提高企业管理者的素质。当然,企业管理者的素质不仅仅指知识与技能,还包括操守、道德观、价值观、世界观等各方面。
(3)管理者的品行及管理哲学。企业制定的任何制度都不可能超越设立这些制度的人,企业内部控制的有效性同样也无法超越那些创造、管理与监督制度的人的操守及价值观。操守及价值观是构成控制环境的一个基本要素。管理阶层的管理哲学及管理风格,包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等,都深深地影响着内部控制的成效。以郑州亚细亚集团为例。1997年初,郑亚集团新任董事长对集团进行调查时,发现郑亚集团机构根本无人主持运作,长期没人召集会议,自上而下的管理者对集团的性质、状况、资产分布情况一问三不知。管理人员都忙于私事,有的开饭店,有的搞娱乐城。而这些人不仅不为自己的行为汗颜,却说“集团有的领导把老婆孩子都办成美国绿卡了,随时都做好走的准备,我们只不过沾亚细亚一点小光,怕什么?”正因为管理阶层的操守和价值观若此,才导致了那亚集团的悲剧。管理人员的操守、管理哲学与管理风格对于企业内部控制的效率和效果影响深远,直接影响到下级员工的道德行为、思维方式和品行。因此,企业高层领导人除了自身起表率作用以外,还要引导其员工做道德范围内的事。
(4)企业文化。管理者的素质、操守和管理哲学等对于塑造企业文化具有直接的影响。企业文化是随着现代工业文明的发展,企业组织在一定的民族文化传统中逐步形成的具有本企业特征的基本信念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方式和行为方式的总和。企业文化往往是现存的一种无形的力量,影响企业成员的思维方法和行为方式。在企业成长过程中,文化对企业产生的许多影响都被埋入企业行为的原始部位,处于行为动机的意识层面之下,以致于文化的作用往往被人们所忽视。但由于文化本身所具有的特性(无形性、软约束性、相对稳定性和连续性),使企业文化始终以一种不可抗拒的方式影响着企业。它具有一种很强的凝聚力,不仅可以促进企业的发展,阻止企业的衰败[13],同时还可以推进企业隐入困境。例如,郑亚集团领导人员的操守及管理哲学,事实上最终已形成一种企业文化,阻碍着企业的发展,阻碍着企业内部控制发挥作用。企业文化在企业经营管理中的重要性,使其不可避免地影响着企业的内部控制。我国企业的经营管理者应该注重对企业文化的培养与优化。企业在培养自身的文化时,应避免一种只注重内部和短期的企业文化,保持一种健康的文化氛围,使其与公司的战略目标趋于一致。企业文化包括道德及行为标准以及如何在实务中沟通与强化该标准。企业中正式的政策文件等只能书面表明管理阶层想让什么发生,而企业文化则决定什么会发生。
(5)组织结构与权责分派体系。企业经营的目的在于实现其整体目标,一个企业的组织结构则在于提供规划、执行、控制和监督活动的框架。企业组织结构建设的好坏直接影响到企业的经营成果及控制效果。构建组织结构的一个重要方面,在于界定关键区域的权、责以及建立适当的沟通管道。良好的组织必须以执行工作计划为使命,并具有清晰的职位“层次顺序”、流畅的“意见沟通”管道、有效的“协调”与“合作”体系[14]。但是,组织结构只是给企业的经营运作与控制提供了一个合理的框架,真正进行这些工作的主要还是企业员工。因此,企业组织设立的一项重要任务就是权责分派。权责分派包括指派进行营运活动的权与责以及建立沟通管道和设立授权方式等。此项规定关系到个人和团队在遭遇和解决问题时的主动性,也关系到员工所享有权利的上限,企业的某些政策和关键员工需要具备的知识及经验,以及企业应给予员工的资源等。
(6)信息系统。企业应设立一个良好的信息与沟通系统。一个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如,企业会计系统的每一个环节都是一个控制的过程。一般而言,企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主,提供有关企业财务方面的信息,而管理信息系统还提供很多非财务的信息。一个健全的信息系统应该能够提供质量较高的信息,所谓高质量,是指内容适当、及时、正确且可取得。
(7)人力资源政策及实务。COSO报告特别强调“人”在内部控制中的作用。一个企业的人力资源政策直接影响到企业中每一个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻和执行内部控制有很大的帮助。
2、进行全面的风险评估
环境控制和风险评估,是提高企业内部控制效率和效果的关键。当今社会经济环境的风云变化,企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的执行也深受影响。对于内部控制的研究不可能脱离其赖以存在的环境及企业内外部各种风险因素,而须从环境及其风险的分析入手。控制和风险的概念紧密相联,正如前后门,都通向同一房间,一个组织选择哪道门进入房间取决于它的经营环境以及该组织怎样看待它的业务、怎样界定其战略重点等。
若巨人集团考虑到生物工程可能会遭受的风险,就不会将巨人大厦的资金来源孤注一掷于生物工程;若然,“标王”秦池就不会将自己的身家都投入广告活动。国外对风险评估早已非常重视。战略管理中常用的“SWOT”(strensth,weaktess,oPPortuni-ties and threats)分析法,就是风险分析的一种,企业应该对内分析自身的优势与劣势,长处与短处,对外分析外界的机会和威胁,考虑自己的生存机遇。不仅企业在战略目标的制定过程中要进行“SWOT”分析,而且在企业日常的内部控制过程中也应该时时这样做,才能将内部控制目标达不成的风险降至最低。企业进行风险评估一般须经历风险辨别、分析、管理、控制等过程。特别要注意的是,当企业内外部环境发生变化时,风险最容易发生,因此企业应加强对环境改变时的事务管理。
3、设立良好的控制活动
控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助企业保证其已针对“使企业目标不能达成的风险”,采取了必要行动。控制活动出现在整个企业内的各个阶层与各种职能部门,包括诸如核准、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。一般而言,控制活动包括两个要素:政策和程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。政策可能书面规定,也可能只是一个口头的指令而已,但无论政策是否做成书面,都应该前后一贯地、彻底地加以执行。同时程序也不应该只是机械地被动地予以执行。
控制活动是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。企业一般根据其经营活动的五大循环即采购循环。销售循环对款循环、收款循环和理财循环等分别设计其控制活动。例如,企业的采购循环就应注意请购单、订购单、采购单等的授权与审批,要注意对采购的单价、质量、数量等的审核等。
4、加强信息流动与沟通
在谈及控制环境时,我们已提出,一个良好的信息系统有助于提高内部控制的效率和效果。企业须按某种形式及在某个时间之内,辨别、取得适当的信息,并加以沟通,使员工顺利履行其职责。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部控制的一项要素,是企业内部控制过程的一个部分。
如果企业能够策略性地使用信息系统,则意味着该企业可能会成功,反之则否。据笔者所知,江西一家国有企业购买了一火车槽车重油,进厂一夜后无人验收,尔后这列载有近30吨重油的槽车又被当空车返回了铁路部门。这样的信息沟通体系,是无法希望其内部控制能有很高的效率和效果的。
一个良好的信息系统应能确保组织中每个人均清楚地知道其所承担的特定职务。每位员工都必须了解内部控制制度的有关方面;这些方面如何生效以及在控制制度中所扮演的角色、所担负的责任以及所负责的活动怎样与他人的工作发生关联等;员工需知道企业期望他们作出哪种行为、哪种行为被接受、哪种行为不被接受;员工还需知道在其执行职责时,一旦有非预期的事项发生,除了要注意该事项本身之外,尚应注意导致该事项发生的原因。一个良好的信息沟通系统不仅要有向下的沟通管道,还应有向上的、横向的以及对外界的信息沟通管道。企业会计系统是企业信息系统最为重要的组成部分。企业的会计系统为企业提供成本信息、营运信息、生产信息、库存信息等。因此,企业应加强会计系统及其他方面的信息沟通体系的建设。
5、加强企业的内部监督
前已述及,企业内部控制是一个过程,这个过程系通过纳入管理过程的大量制度及活动实现的。因此,要确保内部控制制度被切实地执行且执行的效果良好、内部控制能够随时适应新情况等,内部控制就必须被监督。监督是一种随着时间的推移而评估制度执行质量的过程。监督可通过日常的、持续的监督活动来完成,也可以通过进行个别的、单独的评估来实现,或两者结合。
在内部控制的监督过程中,有两项职能发挥着重要作用。
(1)内部审计。在企业各个层级的人员中,就内部控制而言,内部审计人员具有极其重要而又特殊的地位。内部审计既是企业内部控制的一个部分,也是监督内部控制其他环节的主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命。美国著名内部控制专家迈克尔·海默教授(Michael hammr)曾说过:“内审机构应将自己视为公司的一种资源。在帮助管理当局更有效地达至预期控制目标的过程中发挥作用。内部审计师的使命将从简单的‘我们实施审计’向‘我们帮助创建一些程序,以期达到组织成功所需要的内部控制水平’的方向发展。”因此,审计部门的作用不仅在于监督企业的内部控制是否被执行,还应该帮助组织进行“软控制”环境的营造,成为内部控制过程设计的顾问,建议管理当局建立一种健康积极的组织文化,使成员能自觉把办事准确和职业道德放在首位。十几年来,我国内部审计事业取得了长足的进展,目前大部分国有企业及上市公司成立了内部审计机构,但仍然存在很多问题。内部审计人员的素质参差不齐,许多企业的内部审计部门甚至形同虚设,不能发挥其应有的作用。因此,我国企业内部审计建设亟需加强。
(2)控制自我评估。在国外,企业内部控制的一个新趋势是实行“控制自我评估”意指每个企业不定期或定期地对自己的内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。CSA的基本特征是:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展评估活动。CSA是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计CSA的目的是使人们了解哪里存有缺陷以及可能引至的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员站出来。研究表明,实施CSA的方法对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。为此,我国企业可试行定期或不定期地进行CSA,以便经常发现和解决内部控制过程中出现的问题。
以上五个方面是COSO报告给我们的启示。不过,应当指出的是,内部控制的加强不是短期内就能完成的,也不是单靠企业自身的努力就可以达到的。国家应该给企业塑造一种重视、开发和研究内部控制的宏观环境。笔者建议我国的立法机关或其他职业团体对我国企业的内部控制进行全面的研究,或制定准则,或提出指南,给企业的内部控制建设提供一个框架和参考依据。此外,外界也可以给企业管理者以适当的压力和动力,让其自觉提高和完善企业的内部控制。