组织文化是符合以下三个特征的一些基本假设与信念:为组织成员共有的;无意识地起作用;确定了组织对自身和环境的视为当然的基本看法Edgar H.Schein.Organizational Culture and Leadership[M].San Francisco: Jossey-Bass,1985:6.。组织文化具体体现在以下几个指标上:和员工的关系;对顾客和其他外部人的态度;违反法律和规章的频率;处于组织金字塔最顶端人员的素质;财政稳健政策;提供产品或服务的质量;危机处理和公共形象等。组织文化直接影响内部控制。组织文化越强,组织的控制意识越强。一个有较强控制意识的组织通常意味着有较好的控制环境和内部控制有效运行得更高保证Stephen J. Root.超越COSO:加强公司治理的内部控制[M].付涛,卢远瞩,黄翠竹译.北京:清华大学出版社,2004:47.。企业是组织形式之一,企业文化是企业的经营理念、经营制度依存于企业而存在的共同价值观念的组合。企业内部控制制度的贯彻执行有赖于企业文化的支持与维护,因为企业文化是一个企业的中枢神经,它将企业员工的思想观念、思维方式、行为方式进行统一和融合,使员工自身价值的体现和企业发展目标的实现达到有机的结合。魏杰(2002)认为,各项制度都有失效的时候,而当制度失效时,企业经营靠的就是企业文化。
保护投资者利益仅仅保证投资者获得投资回报和保证公司的质量是不够的。从长远着想,公司的诚信才是投资者利益保护的根本性问题。COSO主张,诚信和道德价值观是一个主体内部环境的关键要素,它影响着其他构成要素的设计、管理和监控。作为主体中的居于支配地位的人员,CEO 们往往确定了道德基调。董事会职位的候选人在决定是否接受提名时,越来越密切地关注高层管理层的诚信和道德价值观。“高层的基调”经常被认为是可靠的对外信息披露的关键因素。例如:一家以制药业出名的上市公司,其中一家分厂的厂长是一位非常严谨的老人。该厂出产的板蓝根总是亏损,而且卖出去的越多,亏得越多,因为他从不让技术人员在药中兑水。当内审人员开玩笑地爆出这一消息时,大家都说,这可比广告更吸引人。上海证券交易所在其网站增加了“上市公司诚信记录”栏目,详细披露历年沪市公开谴责信息。自2001年4月以来,先后有61家沪市公司,477名(次)公司董事、监事和高级管理人员遭上交所公开谴责王晓梅,姜付秀.投资者利益保护效果评价研究[J].会计研究,2007,(5):78.。
需要指出的是,仅靠诚信是不够的。Root认为,诚实和正直既不是能把一个公司和竞争对手区分开来的因素,也不能保证经营目标的实现,尽管缺乏诚实和正值必然会失败。拥有诚实管理层的公司之所以会成功,是因为它们的管理层比竞争者更有创新意识、更灵活、更有适应能力和更有创造能力。他们在应用新技术和新方法来改进流程、产品和服务上做得更好Stephen J. Root.超越COSO:加强公司治理的内部控制[M].付涛,卢远瞩,黄翠竹译.北京:清华大学出版社,2004:9.。
在良好的企业文化基础上所建立的内部控制制度,必然会成为人们的行为规范,并得到很好的贯彻执行。内部控制让企业中所有的人都平等的存在,只有岗位不同,没有高低之分,这是一种内部控制文化。王竹泉、隋敏(2009)的“企业文化+控制结构”二元论就与此类似。
企业文化还包括人力资源政策。COSO报告强调教育背景、前期工作经验、过去的成就、有关诚信和道德行为的证据,以便雇佣资质最好的个人美国COSO制定发布.企业风险管理——整合框架[M].方红星,王宏译.大连:东北财经大学出版社,2005:41.。《基本规范》第十六条规定,人力资源政策应当包括下列内容:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;掌握国家秘密或重要商业秘密的员工离岗的限制性规定;有关人力资源管理的其他政策。《基本规范》第十七条规定,企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
④ 信息与沟通机制
信息与沟通是指及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部与企业外部有关各方的沟通机制等。控制过程被视为前馈控制与反馈控制的结合,而信息在其中起到了重要的作用。特别是当多个系统交互控制时,信息沟通能协调各个控制系统之间的冲突。
许多美国公司在董事会或审计委员会监督之外还提供,并且让员工知道,直接向首席内部审计师、法律顾问或其他能接近董事会的高层官员沟通的渠道,而法律和法规也日益呼吁公司建立这些机制。
在我国企业中,信息沟通不畅是个很严重的问题。以瀛海威公司为例,它把互联网带入了中国,为中国百姓开启了通向信息高速路的大门,然而该公司内部却缺乏应有的信息传递与沟通渠道。一位经理曾抱怨道:“公司曾要求我们在3个月内拿出10个高水准的游戏软件,可要知道,人家美国做一个《帝国时代》花了3年时间。”在瀛海威公司的员工中流传很广的一句话是:“我们知道2000年以后我们会赚钱,可我们不知道现在应该做什么。”一位离职的员工说:“公司缺少一种畅所欲言的气氛。”COSO报告认为,向上沟通的渠道也很重要,它能带来相关信息并使员工感到舒服美国COSO制定发布.企业风险管理——整合框架[M].方红星,王宏译.大连:东北财经大学出版社,2005:38.。而在中国,向上沟通却很困难,一是人们没有这个习惯;二是没有设置比较好的向上沟通的渠道。2010年“两会”期间,全国政协常委、人口资源环境委员会主任张维庆在政协小组讨论会上也指出,现在“说真话越来越难”,因为了解情况的渠道不畅通,难以听到真实的情况。管理者和雇员之间良好的沟通以及雇员对生产控制活动的参与,能保证雇员有高度的自觉性。雇员的积极参与往往会改善组织中团队工作的氛围,从而减少质量缺陷、提高生产效率、节约能源等。这种在雇员中自发形成的行为比僵化的控制措施更有效。
(2)控制环境的性质
从要素的涵义来看,笔者认为,要成为一个要素应当同时具备三个条件:是系统必不可少的组成部分如前所述,内部控制信息披露在本质上是一个信息系统。;有具体的内容;与整个系统和其他要素的关系是直接作用,而不是间接影响的。这样,从信息披露视角出发,COSO五要素中的控制环境和信息与沟通就不能成为独立的要素。因为它们与内部控制过程以及COSO其他要素之间是一种间接影响的关系。其中,控制环境是影响、制约内部控制建立与执行的各种内部因素的总称;信息与沟通是实施内部控制的重要条件。前已述及,控制环境包括了信息与沟通,那么控制环境的性质到底是什么呢?
会计主体、持续经营、会计分期和货币计量是会计的四大前提或假设。实际上,会计假设就是为企业会计信息披露限定了一个理想的“会计环境”——一个持续经营的主体在人为划分的期间提供以货币信息为主的会计信息。假设和要素是两个概念,属前提与构成要件两个层面。就像一棵树,树根、树干、树枝、树叶、花、果实是要素;而气候、土壤、水分、肥料是假设。同理,组织结构、公司治理、企业文化和信息与沟通为企业内部控制信息披露限定了一个理想的“控制环境”。因而,理想的控制环境是内部控制报告的基础和前提条件,应归属于假设层面。换句话说,如果连控制环境都存在问题或缺陷的话,高质量的内部控制信息披露就无从谈起,内部控制报告也失去了存在的意义,更谈不上对内部控制报告进行自我评价与外部审核了。
由财务报告可知,假设方面的信息不应在财务报表内确认,而应于表外披露。同理,控制环境的相关信息亦不应在内部控制报告内披露,而应作为其他内部控制信息,于内部控制报告之外披露。因为公司治理是控制环境的核心内容,故本著建议将与控制环境相关的内部控制信息放在年度报告中的“公司治理结构”部分进行披露。若公司实际的控制环境与理想的控制环境之间存在较大差异,应详细披露控制环境中存在的问题或缺陷。在这种情况下,可不必披露内部控制报告,等到企业整改完成后,实际的控制环境接近理想的控制环境标准时,再恢复内部控制报告的披露。这样,可避免内部控制报告“形而上学”的问题;同时,也向市场传递了这样一种信息,即上市公司对待内部控制的态度是务实的,对待内部控制信息披露的态度是诚恳的,对待投资者的态度是负责的。若控制环境方面出现较大变化,如组织结构的调整、企业文化的建立等,也应进行详细披露;若公司实际的控制环境与理想的控制环境之间不存在较大差异,且每期亦无显著变化,上市公司可简单披露甚至不必披露该信息,从而节约披露成本。
2.内部控制报告要素的构成
目前,上市公司所披露的内部控制信息比较分散。单独的“内部控制自我评价报告”,年度报告中的“公司治理结构”、“监事会报告”、“董事会报告”或“重要事项”,甚至单独的“独立董事关于公司对外担保等情况的专项说明及独立意见”中都可以找到内部控制信息的影子。这使得投资者阅读起来有一定难度,有时还会造成内部控制信息的重复出现,从而降低内部控制信息在整个信息披露体系中的地位。之所以出现这样的状况,主要是因为在披露内部控制信息时,没有一条清晰的线索。
(与控制环境相关的内部控制信息)
控制环境具体情况组织
结构报告期新组建了内部审计部门,配备了专门的审计人员,负责实施内部控制的监督和检查工作;收购了W公司,目前的组织结构是新组建的,随着时间的推移将会予以必要的调整。公司治理(以ST四环2009年度内部控制自我评价报告为例)针对第三届董事会、监事会已到期的问题,公司于20X1年12月8日召开了20X1年第一次临时股东大会,审议通过了《关于XYZ公司董事会换届选举的议案》和《关于XYZ公司监事会换届选举的议案》。
针对四个专门委员会均仅有两名成员的问题,公司于20X1年12月9日召开第四届董事会第一次会议,审议通过了《关于选举第四届董事会各专门委员会委员的议案》。
针对独立董事履职不到位的问题,公司于 20X1年 8月 27日召开第三届董事会第二十三次会议,审议通过了《关于修改<独立董事工作制度>的议案》,增加了“独立董事年报工作制度”。另外,公司于 20X1年12月8日召开20X1年第一次临时股东大会,选举了3名新的独立董事。
针对财务总监存在兼职且履职不到位的问题,公司于 20X1年9月4日召开第三届董事会临时会议,审议通过了《关于免除WW先生为公司财务总监的议案》和《关于拟聘任XX先生为公司财务负责人的议案》。
企业
文化在前一年度的基础上增加笃守诚信,创造卓越为核心的公司文化等(以浦发银行为例)。人力资源部门努力向原W公司员工灌输本公司的企业文化。控制环境具体情况信息与沟通针对报告期内,公司及其董事因年报业绩修正预告滞后而受到深交所通报批评处分的问题,公司相关部门和人员已找到原因,并对责任人进行了批评,以杜绝此类事件发生。在此基础上,公司进一步加强了与投资者和潜在投资者之间的沟通力度,努力提高信息披露的质量和标准,提高透明度,进一步促进投资者对公司的了解和认同,保证所有投资者平等获得信息。(以ST皇台2009年度内部控制自我评价报告为例)任何企业的核心都是它的雇员。COSO报告指出,企业内部控制依靠牵制和制衡,包括职责的分离以及不会“睁一只眼,闭一只眼”的员工美国COSO制定发布.企业风险管理——整合框架[M].方红星,王宏译.大连:东北财经大学出版社,2005:115.。所以,内部控制体系的建立和实施离不开“人”这一载体。企业中的每一个员工都扮演着双重角色,既是企业内部控制的主体,要对其所负的责任实施控制;同时又是企业内部控制的客体,要受到企业内部其他员工的控制和监督。也就是说,人控制,控制人。缪艳娟认为,企业在目标实现过程中会面临各种风险,包括内部风险和外部风险,内部风险的产生主要源于人,而外部风险最终也需要由人来应对和控制缪艳娟.企业内部控制研究:制度视角[M].大连:东北财经大学出版社,2009,(12):68.。但是,人的概念是多方面的,有“经济人”、“政治人”、“社会人”等等。在内部控制中,与其说人是内部控制的要素,不如说人与人之间的经济利益关系才是内部控制的要素。从信息披露视角,笔者将内部控制报告划分为风险评估、控制活动和监督与修正三要素英国1994年的Cadbury报告认可了COSO1992的5个基本控制要素,但将其中的“监控”扩展为“监控与修正活动”。笔者正是借鉴了Cadbury报告的观点。。其中,风险评估使经济利益能够在可接受的风险范围内流入企业;控制活动使经济利益能够在企业内部正常流动,而且控制活动是有联系地、有秩序地进行的;监督与修正则是对经济利益在企业中流动的效果进行评估的过程。风险评估、控制活动和监督与修正三要素也突出了事前、事中和事后控制的时间顺序。按照这种顺序进行披露,可以使内部控制报告的条理更为清晰,便于阅读。同时,这种划分与会计要素的划分标准达成一致——均是以经济利益为主线,会计要素体现着经济利益流动的状态,内部控制要素体现着经济利益流动之所以呈现出这种状态而非另一种状态的原因。两种信息相互依存,信息使用者可以将两种信息结合起来,以帮助其做出正确的决策。
(1)风险评估