首页>网上期刊>期刊名称>期刊内容> 正文

内部控制质量的保证:风险观、监督与软控制并重

2008-4-7 11:1 《交通财会》·王桂莲 【 】【打印】【我要纠错

——由法国兴业银行交易丑闻引发的思考

  一、法国兴业行交易丑闻概况

  据参考消息2008年1月26、30和31日报道,法国兴业银行从去年开始,31岁的电脑高手期货交易员热罗姆。凯维埃尔预计股市将出现上涨并投入超过个人授权许可的巨额资金进行交易。由于全球主要股市大幅下跌,导致在欧洲期货市场上的投资失误,造成了巨额损失。损失出现后,他通过修改银行电脑系统数据,编造交易掩盖其投资失误;他利用在监控交易的安全控制部门工作时获得的知识来逃避监管。他知道何时进行安全检查,实际上他就是他自己的监管者。维埃尔因违反信托合同、滥用计算机和造假已接受正式调查。凯维埃尔对调查人员说,他的一系列交易活动是从2005年他判断市场要走跌时开始的。这样一位资历较浅的人能掌握这么巨额的资金,其内部控制系统令人质疑,也引发了人们对兴业银行管理层信誉问题的新关注。在金融监管已经不断加强的今天,兴业银行的内部稽核制度何在?管理层的监管何在?风险控制何在?内部控制制度何在?

  这不禁令人深思:为何欺诈再次发生,且愈演愈烈?自英国巴林银行非法交易案以来,金融监管已经加强,但在3年前,我国的中航油集团新加坡子公司在原油期货交易中亏损了5.5亿美元。现今法国的兴业银行的损失约70亿美元。事实上,期货交易本质上就是瞬息万变、极具风险性的。在加强法律监管的同时,如何加强内部控制系统的监督,化解或降低风险带来的损失?如何加强软控制?即用新的眼光重新认识内部控制已经成为各国政府和社会有关机构关注的内部控制研究的新课题。下面对去年法国和美国内部控制研究的状况及差异进行对比,分析法国兴业银行的内部控制存在的问题,探讨提高内部控制质量的新视野、新举措。

  二、2007年法国与美国内部控制建设的主要成果及对比

  (一)美国国际会计师联合会发布“基于风险观的内部控制”①

  美国国际会计师联合会(IFAC)②的专业会计师(PAIB)委员会于2007年8月发布了“基于风险观的内部控制”访谈文章。采访了10位高层资深的专业会计人员,主题包括:各类组织的风险的性质;如何建立一个关注驱动业绩和帮助战略目标实施的内部控制系统;提供有助于各个组织思考改善其内部控制方法的成功故事。其核心内容主要包括:

  1.基于风险观是内部控制系统建设的关键所在

  认为风险是阻碍我们实现战略目标的一切事情。风险管理和内部控制是同一枚硬币的两个方面。参加访谈的资深专业会计人员大多认为:强有力的内部控制系统对一个企业经营管理至关重要,是构成一个经营整体必不可少的一部分。内部控制帮助管理当局设计、实施和保持控制,内部审计则确保管理当局的指挥棒到位,保证所有状况都是适当的。内部审计必须得到董事会、审计委员会和高管当局的支持。内部审计经理要帮助管理当局理解所面临的各种风险,既有战略上的也有政治上的,要设法消除各种可预见的风险,并迅速及时地做出反应。CFO是内部控制效率的监管人。内部控制是一种责任,建立正确的政策和程序并确保持续地进行适当地监督,将有助于降低日常管理费用并巩固和增强已构筑的竞争优势。

  2.观念的转变:对内部控制的谨慎依赖转变为主动的风险管理文化。

  参加访谈的人员表明:尽管每个组织各不相同,但是风险管理本质上的东西已超越了不同的经营类型和风格的各类组织。企业风险管理之所以是成功的,是因为它真正增加了管理当局的风险意识,加深经理人员对风险的理解。但具体风险管理的方法和范围并不要求整齐划一,不是命令或指示,而是由每个经营公司自己做出选择。但最重要的问题是保持效果的同时要保持效率,使二者之间保持一个健康的紧张度。

  现在内部控制必须由过去为了企业自身的缘故对内部控制谨慎的依赖转变为以企业风险管理和内部控制制度为目的、我们“能做”什么的一种文化。对于我们面临挑战和打算承担的各种风险进行适当的风险评估,能使我们做出明智的决策,有助于合理分配企业资源,实现可能的最好的效果。

  3.要勇于面对内部控制系统存在的问题

  内部控制的过程作为一个整体的过程,不只需要专业管理人员,也需要相关业务的风险管理人员与之配套,否则风险就会产生,而且不易引起人们的注意。如进行产品开发时,需要引进的不只是产品开发的人,而且也需要风险管理的人与之相配合。

  内部控制系统面对的最大的挑战总是来自于职业雇员与技术雇员这些人。他们对其专注的业务、技术领域有一个强烈而长期的认同,而对于管理控制他们很快就变得厌倦。当这种情况出现时,他们就会毫不犹豫地绕过控制系统。工程师是这样,财务人员也是这样。出于他们自身的考虑,让他们重视这个系统是很困难的,但从他们工作的环境看,他们不得不把这个系统看作是有用的。这确实是一个难题。

  4.内部控制系统对企业成功的影响

  成功是把系统产生的可能性进行转换。风险管理和控制环境不是一种约束,而是一个可操作的概念。最终决定控制环境的成功是人的格调。如果花时间和金钱能确保招聘的新人是最合适的人力资源,那么控制系统的成本将会戏剧性地降低。

  5. 从失败中学习经验和教训

  缺乏适当的责任是系统失败的原因之一;另外,员工的变动可能对企业造成伤害,所以控制系统保护的不应只是物质资产,还要保护人力资产。员工的质量是非常重要的。投资于人并对其设立较高的期望和责任,会产生意想不到的效果,得到期望的“投资回报”。

  (二)美国COSO发布内部控制监督指南讨论稿

  美国COSO③于2007年9月17日发布了“内部控制系统监督指南”(Guidance on Monitoring Internal Control Systems,下面简称指南)的讨论稿,该指南更加充分地开发了COSO的“内部控制——整体框架”的监督要素,适合各类组织改善其内部控制系统的质量。COSO认为,各组织在按照COSO的内部控制——整体框架适当地设计监督要素,发挥内部控制系统的功能时,通常未能充分利用监督要素或对此使用不当。该讨论稿旨在改进对有效的监督模块的理解,进一步阐明建立正确监督的原则,其目的是帮助各组织开发监督程序,更好地促进内部控制系统运行的效率和效果。该指南并不是如何监督的详细说明书,而是旨在帮助各类组织采取内部控制框架时应具有整体的监督观,确认对效果有关键影响的各个要素,通过监督识别具体的控制弱点并对其减缓或消除。有效的内部控制系统的最终的目标是在管理影响组织目标的各种风险时,适当地追求机遇。监督是一种运用成本效益的方法为内部控制系统持续有效提供及时的信息。其主要内容如下。

  ⒈ 监督及其基本原理

  监督是由适当的人员对控制的设计和运行所进行的恰当的、适时的评估,以及采取必要的行动。内部控制系统有助于各组织实现其目的和目标;使管理当局能够应对内部和外部环境的变化,提高效率,降低风险的损失,保证财务报告的可靠性以及法律法规的遵循④,但这有个前提:即当内部控制有效时,管理当局和董事会就能对实现一个组织的目的和目标起到合理的保证作用;反之,无论是管理当局还是董事会都不能对组织的目的和目标起到合理的保证作用。因而各个组织需要拥有一个随着时间的推移,适时地评估其内部控制系统的机制,这个机制就是监督⑤。

  监督活动和控制活动既有区别又有联系。控制活动是有助于保证管理当局的指令得以贯彻的各种方针和程序,它有助于确保针对企业实现目标的各种风险采取行动。控制活动以各种功能、在整个组织上下、各个层面存在,它们包括诸如各种各样的审批、授权、核查、核对、对经营业绩的复核、资产的安全以及职责的分工等。有些监督活动也能起到控制活动的作用,反之亦然。一项活动或过程如果只是在适时地发现和更正各种错误的范围内,则属于控制活动。例如,审核一项例外报告。如果只是出于识别和更正那些与错误有关的例外,则属于控制活动;反之,如果对同样事项审核是出于进一步查明造成这些错误的可能的控制弱点的根本原因,并帮助改进控制活动,以防止其后的控制失败, 则属于监督活动。

  COSO在2006年小的公众公司财务报告内部控制指引⑥中提出了的20个基本原则,其中关于监督作了如下描述:

  (1)持续的监督和(或)单独的评估使管理当局能够确定是否内部控制的各个要素随着时间的过去仍能持续地发挥功能。⑦其中持续的监督是指在正常的经营过程中,服务于监督内部控制效果的有关各种活动,包括正常的管理和监督活动;对比、调节以及其他日常活动。单独评估则尝试通过评估某一个特定时期或时点的控制,对控制运行的可靠性做出推断。单独评估能充分利用持续的监督中运用的所有的技术,不过单独评估运用的不多,而且经常用于控制运行中紧急的抽样调查。

  (2)应该能够识别内部控制的各种弱点,并以一种适时的方式向能采取更正行动的各方负责人进行交流,必要的要报告给管理当局和董事会。

  2. 高层对监督要有正确的基调

  如果监督导致的对控制弱点的识别和更正在影响组织的目标实现之前就已采取,说明监督是有效的。有效的监督有助于保证和促进良好的内部控制的运行。无效的监督终将导致内部控制系统的崩溃。

  各类组织要在高层建立正确的监督基调,表达整个组织对监督人、对内部控制重要性以及有关监督作用的期望。

  3.影响监督的效率和效果的主要因素

  (1)建立一个对实施监督有效的控制环境。具体包括:管理高层强调监督的重要性;有效的组织结构作为保证,任命具有适当的技术和威信的人执行监督作用。

  (2)对监督程序进行优先排序。主要根据在管理和缓和风险方面控制的重要性来进行,从而抓住主要矛盾;并且应具有将监督资源在基本的风险层面恰当地进行分配的能力。

  (3)建立交流结构,对监督的各种结果(包括控制的各种弱点),以适当和适时的方式向恰当的人报告,采取必要的更正行动。

  4.监督者应具备的条件

  监督者影响监督的效果。监督人决定监督什么、如何监督,以及对通过评估监督的信息得出关于控制效果的结论负责。无论企业规模大小,监督人为了设计和实施适当的监督程序,必须具有适当的技术、知识以及对控制所要减缓的风险的专业的理解。

  5.监督结果交流的重要性

  有效的监督与收集和分析适当的信息有关,有说服力的信息(persuasive information)帮助得出内部控制效果的结论。对已发现的控制的弱点要报告给负责控制运行的人,并且至少要向高一级的层次报告,从而使得适当的人能够对问题的严重性进行评估。适当地评估控制弱点的严重性,并及时的报告给可能进行更正的恰当层面,有助于保护组织并保持实现组织目标的能力。

  (三)法国内部控制报告框架的主要内容

  法国于2007年1月由法国金融监督管理局发布内部控制指引框架,一是为了统一各公司内部控制报告的披露内容,使之便于投资者理解;二是为上市公司提供一套比较实用的管理工具;三是为了应对COSO报告。具体框架包括四个部分内容:

  1.简介。对内部控制框架的主要内容等进行介绍。在这部分指出该框架主要是提出内部控制的一般原则,而不是要求强制执行的规定,更不是替代相关法律的规定;该框架主要是为了提高各上市公司董事会主席内部控制报告的可比性,以方便投资者阅读。

  2.内部控制系统的构成。一般由五个部分组成:

  (1)权责分明的组织架构系统;

  (2)内部信息发布系统;

  (3)风险确认与分析系统;

  (4)恰当地控制运营过程及减少相关风险的活动;

  (5)对内部控制程序的持续监督检查系统。

  为了保证所有控制系统对实现公司目标是相关和恰当的,需要对所有内部控制系统进行监督和检查。一般而言,由管理部门实施这一检查,主要包括对所有已记录事故的分析,对控制活动执行效果以及内部审计人员的工作等进行监督检查。

  3. 财务报告内部控制程序应用指南。这部分内容是整个内部控制指引框架的重点。它适用除银行保险业以外的其他行业的所有企业单个财务报表及集团公司的合并财务报表的编制,内容涉及到内部控制的所有控制要点。与财务信息的编制和处理相关的内部控制程序(即财务报告内部控制,以下称为“财务报告内部控制”),主要包括会计信息生成程序、财务报表的编制和与内部有关单位的沟通。财务报告内部控制的目的是保证:(1) 财务信息遵守了适用的准则;(2)高级管理人员或管理委员会对财务信息的生成能够正确地给予指导;(3)公司的资产得到保护;(4)尽可能发现欺诈和财务报告问题;(5)所收到的信息以及用于内部控制的信息是可靠的;(6)财务报表及其他提供给市场的信息是可靠的。

  4.附录。包括有关财务报告的内部控制的问卷调查以及内部控制指引框架工作组介绍等。

  法国内部控制指引框架的特点如下:一是该框架是以财务报告内部控制程序为主,虽然内部控制指引框架不仅限于财务报告内部控制程序,并且框架控制范围与对外披露财务报表的范围相配套。二是内部控制报告由董事会主席签发,但对内部控制系统进行构建、指导和监督的则是管理层。管理层向董事会报告公司内部控制系统的主要情况。

  (四)法国内部控制框架与美国COSO框架、SOX法案的比较。

  基于上面的介绍,不难看出法国和美国的框架有共性的地方,但差异也较明显,总的来看,美国的模式由1992年发布整体框架,经过2006年发布的财务报告内部控制指引的补充以及2007年内部控制监督指南的深化,加之2002年SOX法案的强硬规则以及随后不断的修改和调整,已经成为一种理想的和有效的模式,而法国的模式在有效性上会有所不及。二者的差别主要表现在:

  1.适用范围不同。COSO的内部控制整体框架适用于各种类型和规模的组织,而法国的财务报告内部控制程序应用指南则适用于除银行保险业以外的其他行业的所有企业单个财务报表及集团公司的合并财务报表的编制。法国兴业银行的交易丑闻无疑值得反思。

  2.强制性不同。法国内部控制框架不是要求强制执行的规定,更不是替代相关法律的规定;而SOX是在美国上市的大公司必须遵循的法规。从法国兴业银行的交易丑闻中难以看出其内部控制的作用。

  3.对财务信息的内部控制程度的要求不同。法国内部控制指引框架对财务信息的内部控制程度的要求不如SOX法案要求深入和详细。这尽管可以相对减少内部控制系统的启动和执行成本,但一旦发生巨额亏损,影响将不堪设想。

  4.内部控制的监督人和组织安排不同。法国内部控制框架需要对所有内部控制系统进行监督和检查。一般而言,由管理部门实施这一检查。这与COSO内部控制监督指南不同。它对于在高管层面以下进行的控制的监督,可由管理当局的人员或由他们任命的人员进行监督。然而对于直接由高管进行的控制,以及设计用于防止或检查高管越权的控制则不能由高管直接监督或直接报告,在这种情况下,监督应该由董事会(通常通过审计委员会或内部审计)进行。事实上,在两权分离的现实面前,证明董事会对管理当局的监督是必要的。

  5.内部控制报告责任人不同。法国内部控制框架指引的规定是内部控制报告由董事会主席签发,但对内部控制系统进行构建、指导和监督的则是管理层。管理层向董事会报告公司内部控制系统的主要情况。显然这容易造成责任不明。SOX法案的404节要求经理人员对保持“适当的财务报告内部控制和程序”负责,公司高管要证实财务报告的可靠性,要求公司的审计师对之进行鉴证。企业必须建立独立的审计委员会。显然这规定的重要性不言而喻。因为大多数公司丑闻与管理当局的参与或默许有关。法国兴业银行的欺诈丑闻中管理当局应该负何种责任值得深思。

  三、 提高内部控制系统的质量必须关注监督和软控制

  无论何种内部控制的框架,都是为了化解风险,抓住机遇,更好地实现内部控制的效果,否则内部控制就失去了存在的意义。

  1.加强监督作用要寻找最适宜作监督工作的人。发挥监督作用就要求任命有胜任能力(Competence)和不受个人感情影响(Objective or objectivity)的客观性的人。能力指的是一个监督人对控制和有关的过程的知识,包括控制应该如何运行?构成控制弱点的是什么?客观性既与用于监督所产生的信息有关,又与监督人的品性有关。对具有客观性的人所提供的信息和(或)履行监督程序,无需担心有个人的倾向,他们也不会为了个人的利益或自保而操纵信息。同时配备恰当的组织结构,明确监督的责任。

  2.软控制与硬控制并重,彻底改变只重视硬控制而忽视软控制的传统做法。软控制与硬控制的区别主要在于它们的落实和监督。硬控制是有型的,更经得起自动化检验;而软控制由于它们无形的特点,则要求更加关注人的行为。行为是显示雇员的一系列能力的结果,由于能力与人有关,因而引入软控制是为了管理与人有关的风险。兴业银行年轻的交易员给银行造成的损失,充分说明软控制是其有待加强的薄弱的环节。尽管对软控制进行量化有一定的困难,但它仍不失为可以信赖的风险管理的工具。人的行为是影响内部控制效果的关键。首先高度的责任感无论在董事会层面还是就一般员工而言要比规则的控制有效得多。那么企业的监督者,如内部审计师和专家们在评估经营风险时是否对这种最有价值的、最易变动的资源给予足够的重视了呢?或者对人的行为有积极的影响的控制给予高度重视了呢?如何在有形的、可以计量的传统的硬控制占主导地位的情况下加强软控制,这对监督者仍是有些困难,是目前需要加强的重点。但是对企业而言,拥有好的内部控制系统,首先要拥有好的人,然后保证这些人仍然好,这只能靠软控制起作用。因为规则和程序有助于改善财务报告的可靠性和对相关法律法规的遵循以及降低相关的风险,但它们对实现组织经营的效率和效果、对化解与人有关的风险却不明显,这个目标只能通过人的干涉和介入,诸如领导力、忠诚和责任、能力以及高度的道德价值观来实现。因此,监督者应该同样地致力于帮助组织开发这些丰富的资源的巨大潜力,实现组织的最高目标。

  3.发展麦格雷戈的X理论和Y理论,用彼德。得鲁克的新观点:对不同的人进行不同的管理。约束感、参与感与决策感并重,解决好对雇员的激励与控制问题。给那些理想的员工充分的授权,使其成为决策者之一;对有意绕行控制系统的员工开展必要的教育,并通过建立和加强软控制的检测达到控制的目的。