1.不同内部控制目标体系的比较
在我国内部控制规范体系中,内部控制建设目标可以归纳为:战略目标、经营目标、合规目标、资产安全目标和财务报告目标等五个目标。
在国际上,COSO在2013版的《内部控制整合框架》(以下简称IC)列举了三种类别的目标,即运营目标、报告目标(包括财务报告目标和非财务报告目标)和合规目标。同时,COSO在《企业风险管理整合框架》(以下简称ERM)中将风险管理的目标分成四类,即战略目标、经营目标、报告目标和合规目标。
比较上述三大体系的目标,可以发现我国内部控制体系目标有如下特点:
第一,整合了IC和ERM框架。不管是1992版本还是2013版本,IC都没有纳入战略目标,并且COSO强调“战略设定、战略目标和风险容量是ERM的范畴,而不属于IC的范畴”,因此,我国的内部控制目标是综合IC和ERM框架的要求,对企业实施内部控制体系提出了更高要求。
第二,强调资产安全目标。资产安全目标在IC和ERM中均被视为是经营目标的子目标而没有单列。我国的基本规范之所以强调资产安全目标,并单独作为一个内部控制目标,主要是因为国有资产的增值保值是我国特有的国情。
第三,没有强调非财务报告目标。IC2013更新了原有IC中的财务报告目标,采用了ERM中的报告目标,拓宽了报告的外延范围,强调合理保证非财务报告和内部管理报告等信息的真实完整。
因此,我国内部控制体系实际上约等同于ERM。但是,IC强调“确定目标”是“内部控制的前提条件”(即“目标既定论”),而不属于内部控制本身;ERM强调“应用于战略制定并贯穿于企业之中”(即“目标设定论”),并体现在其风险管理八要素中的目标设定、事项识别等要素中。所以,不能简单将全面风险管理的八要素视为内部控制五要素的细分。
2.内部控制目标的实务分类
《小型企业内部控制规范(征求意见稿)》规定:“企业可以综合评估自身战略安排、资源条件、管理水平以及外部监管要求,合理确定分阶段的工作目标。阶段性目标可以是实现某一内部控制目标,也可以是实现某几个内部控制目标。”
我国内部控制规范虽然明确了五个目标,但对大多数企业来说,一次性围绕五个目标进行建设容易走入流于形式的窠臼,因此,适当的方法是对五个目标进行切割和排序,由易到难逐渐推进内部控制的建设工作。
从内部控制实务的角度看,IC的报告目标可以拆解为财务报告目标和非财务报告目标。其中非财务报告目标可以作为信息与沟通要素融入到相应的战略目标、经营目标和合规目标中。
同时,资产安全目标也可以拆解为两部分,即“用于保护资产安全且与财务报告可靠性目标相关的控制”和“其他资产安全相关的控制”。对于前者可纳入财务报告目标的内部控制建设中;对于后者则可纳入经营目标的内部控制建设中。
经过上述重分类后,从建设和实施的角度,可以将内部控制建设目标界定为:财务报告目标、合规目标、经营目标和战略目标等四个目标。其内涵各不相同,因此梳理和确定上述具体目标体系的方法也不尽相同(详见拙文《分阶段长效内部控制建设方法初探》,《财务与会计》2016年第13期)。
3.从一般内部控制目标到具体内部控制目标
不管是IC的“目标既定论”还是ERM的“目标设定论”,都说明没有清晰的目标体系就不存在真正的内部控制建设。内部控制规范明确的五目标属于一般内部控制目标,适用于所有行业的所有企业。但是,在具体到某一家企业进行内部控制建设时,需要将一般内部控制目标转换成具体的内部控制目标。例如,财务报告及相关信息真实完整是一般内部控制目标,具体内部控制目标则是每个报表科目的存在或发生、完整性、权利和义务、估价或分摊、披露和揭示等认定。合规目标的具体内部控制目标也可以从一般性法律法规和行业性法律法规中梳理得到。制定资产目标、经营目标和战略目标的具体内部控制目标相对比较有难度。前两者重点在企业经营管理的3E,即经济性、效率性和效果性;战略目标则侧重于衡量企业流程的质量,即流程的产出是否达到了流程客户(包括内部客户和外部客户)的要求。
内部控制建设是否能体现企业的特色,关键就在于内控建设是基于一般内部控制目标开展的,还是基于具体内部控制目标开展的。如果是基于一般内部控制目标开展,则会围绕部门职责和流程来进行风险评估,建设成果可能很丰富,但因为没有深入业务,对经营效率和效果以及战略提升的帮助并不很大,因而无法让企业高管层满意。
基于具体内部控制目标的建设,则是以企业KPI为核心,构建绩效指标体系,并对指标体系进行风险评估,进而优化流程。在据以绩效指标进行风险评估时,往往会发现很多基于职能和流程无法发现的风险,例如在对销售指标进行风险评估时,可能会发现销售人员的销售技巧不足导致业务开发业绩不达标。