上市金融企业内部控制有效性的研究

摘 要:随着内部控制系统的日趋复杂,内部控制有效性的传统评价方法已暴露出很大的局限性,其效果评价己无法令人满意。本文通过分析上市金融企业内部控制的可行性及其有效率低所存在的问题,提出了对评价指标进行筛选甄别,改进评价的方法,并通过实例验证了这些指标的可靠性,从而建立一套可行的内部控制效果评价指标体系,同时建立相应的基于模糊数学方法的评价模型,为内部控制效果评价提供一个客观可行的评价方法,在本文最后提出了改善上市金融企业内部控制有效性的对策建议。

关键词:上市金融企业;内部控制;有效性研究;模糊数学方法

中图分类号:F271文献标识码:A文章编号:1003-9031(2010)01-0071-07

内部控制的有效运作是社会主义市场经济建设顺利进行的保障,是减少资源浪费建立节约型社会的一个重要途径,是提高上市金融企业经营管理效率的需要,是其防范风险的有效途径,是降低代理成本的主要途径,也是降低会计信息不对称提高会计信息价值的保障。无论是从宏观经济运行还是微观角度分析,完善的内部控制对于上市金融企业是必不可少的。一家有投资价值的金融企业不仅需要良好的经营业绩和发展前景,还必须拥有良好的内部控制制度。随着我国金融市场的发展,如何在上市金融企业治理中完善内部控制,探寻对内部控制有效性的合理评价,是当前应对金融危机的重要手段。

一、上市金融企业内部控制的可行性分析

内部控制的定义在COSO(全国虚假财务报告委员会下属的发起人委员会)的描述中为“由主体的董事会管理层和其他人员实施的,用来为经营效果和效率、财务报告的可靠性、遵守适用的法律法规三类目标的实现提供合理保证的一个过程”。[1]中国人民银行颁布的《加强金融机构内部控制的指导原则》将金融内部控制定义为:金融企业为完成工作目标和防范金融风险,对各职能部门及其工作人员从事的业务活动进行风险控制,而制定的管理方法、措施和程序。[2]可见,上市金融企业为了有效地化解和防范金融风险,维护正常的金融秩序,除了实行严格的金融监管以外,自身还必须健全有效的内部控制体系。

一般情况下,不同上市金融企业的内部控制系统运行在不同的有效性水平上,同样,某一特定内部控制系统在不同时点的运行可能也不同。[3]尽管内部控制是一个过程,其有效性却是该过程在某一时点的状态或情形。对一项具体的控制活动来说,如果仅仅是对在某一个时点的有效性进行评价,那么这里的有效性是指该项控制活动在这一时点的状态或情形。但是,从本质上来说上市金融企业内部控制是一个整体系统,而整体系统的有效性就必须具有一定的稳定性,只评价某一个时点的有效性并没有太大的价值和意义。内部控制是为相关目标乃至上市金融企业目标的实现提供合理保证,而相关目标的实现都存在一个过程,所以,上市金融企业内部控制的评价应当是对内部控制在某个期间有效性的评价,是对其内部控制的各方面因素的综合评判。

此外,内部控制是上市金融企业的一种自律行为。JamesRoth、DonaldEspersen[4]指出:财务报告内部控制评价模型是一种内部控制评价体系,但此种说法无法真实全面地反映现实中内部控制失效的表现,比如财务报告没有公允反映上市金融企业的资产状况、经营成果和现金流量,这样的财务报告不具有可靠性,也没有遵守适用的法律法规,这类后果可能是主观因素导致的,因为管理层的控制意识是企业内部各种条件和环境的组合,管理层的态度决定了企业的态度和行为。[5]比如管理层有意粉饰报表,在经营亏损时希望稳定投资者信心以维持股票价格,这种情况在其他上市公司中也很普遍,可以归结为管理层凌驾于内部控制之上导致内部控制失效。但是,如果上市金融企业要进行一项重大经营决策,按照内部控制制度的要求,应该是由公司多个部门开会集体决策,可由于种种原因内部控制制度没有得到执行,而由领导个人决策,最后导致了企业亏损,或者该由个人决策的问题变成了集体决策,错过了市场机遇,增加了决策成本,其最终表现不属财务信息失真。

所以在研究上市金融企业内部控制有效性时,要结合现实中的情况综合考察。即是通过财务指标分析推测企业的财务报表是否存在重大错报风险,但仅仅依靠财务指标的分析是不够的,需要找其它范畴的数据,如对于建立了员工定量绩效评估体系的上市金融企业,可以根据绩效评估结果来分析内控有效性。如果上市金融企业的员工在创新金融产品时严格进行事先的理论论证,严格进行产品的市场调查,签订规范的买卖合同,完善金融产品的风险控制和售后服务,这一系列措施杜绝了吃回扣的行为,这即为一套内部控制制度。企业可通过对员工在此类环节的行为进行评分,最后计算出一个加权平均分,得出的数据即可反映内部控制的有效性。因此,本文设计的模型充分考虑了当前我国上市金融企业内部控制低效或失效的原因,选择影响内部控制有效性的关键指标,建立基于模糊数学方法的内部控制有效性评价模型。

二、上市金融企业内部控制低效的原因分析

目前,我国上市金融企业内部控制系统效率普遍不高甚至无效,实际营运中金融风险隐患较大,弱化了我国市场防范金融风险的能力。通过大量的事实总结可得,上市金融企业内部控制低效的原因有如下几点。

(一)缺乏良好的控制环境

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。[6]控制环境是上市金融企业内部的一种控制氛围,又称控制文化。控制环境决定了企业的基调,影响着整个机构内员工的控制意识,影响着企业内部控制的贯彻和执行以及内部控制目标的实现,是上市金融企业内部控制的核心。市场上大多数金融企业普遍缺乏一个良好的控制环境,其具体表现为公司法人治理结构不完善、组织结构设置不合理、人力资源政策及实务不完善、管理者的素质偏低、管理层的管理哲学存在问题等。

(二)风险评估意识不强

上市金融企业在市场经济环境中,不可避免会遇到各种风险,内部控制的动力源于风险防范并构成风险管理的必要环节,[7]因此风险评估是提高上市金融企业内部控制效率和效果的关键。内部控制的建立需要与风险管理并存且结合,上市金融企业应建立风险评估机制,如投资风险评估、信用风险评估等。当今社会经济环境复杂多样,企业间竞争越来越激烈,经营风险不断提高,其内部控制的执行也深受影响。因此所有的风险都需设立相应的控制点加以防范。然而,从上市金融企业的现状来看,其风险评估意识并没有随着经济环境的变化而提到应有的高度,反而处于普遍比较低的层次,甚至停留在计划经济条件下卖方市场的水平上。具体主要体现在以下方面:第一,对市场认识不足,对形势认识不足。企业内部控制的制定未充分考虑审慎经营、防范和化解风险的出发点。第二,过分自信、乐观。过度关注自身的优势,不考虑劣势,愿意看到外在的机会,没意识到潜在的威胁。第三,应变能力差,缺乏有效的风险管理机制,抗险能力低。例如,某些上市金融企业在发展过程中,由于沿袭了传统的经营管理方式,满足于执行指令,忽视了对风险的识别和分析,结果造成巨大亏损。更让人担忧的是,大多数上市金融企业遭受巨大亏损后,依然没有进一步防范风险的意识,或者这些企业存在侥幸心理,利用各种非法手段拖延解决问题,借此找到捷径或其它路径将问题解决。然而,没有采用科学的防范和补救措施,该类的上市金融企业终究会迅速地被金融市场所淘汰。

(三)缺乏适当的控制活动

控制活动是确保管理层的指令得以实现的政策和程序,旨在帮助上市金融企业保证其针对“使目标不能达成的风险”[8]采取必要行动,是内部控制得以实现的重要组成部分。控制活动是针对关键控制点而制定的,一般包括授权和批准、职责划分、设计和运用适当的凭证、恰当的安全措施、独立的检查和评价等。为了保证控制目标的实现,为了保证其指令被贯彻执行,上市金融企业必须制定控制政策及程序,并予以执行,管理阶层必须确保其辨认并用以处理风险的行动已经有效落实。在一些上市金融企业中,或者不存在内部控制活动,或者即使存在所谓的政策和程序也是名存实亡,没有人去执行、考核、检查,或者没有人认真地去执行、考核、检查,而只是搞形式、走过场,其执行效果差,控制活动未发挥其实际作用,最终不能确保管理层的指令得以实现。

(四)信息交流与反馈不及时

目前上市金融企业的信息交流与反馈不够准确和及时,相关性也不高。虽然现行的规范制度提出了若干与信息控制相关的要求,但大多只是针对一些特殊的信息进行的规范,所涉及的范围也比较狭窄,无论是横向沟通和纵向沟通,很大程度上由于执行者在理解上存在偏差,实际运用时缺少理论指导,导致信息不对称或虚假,这对于内部控制的完整性、合理性及有效性都是非常不利的,并且容易造成信息安全问题。上市金融企业在进行内部控制自我评估、内部审计及社会监督机构在对内部控制进行审计时也无较可靠的信息作为参考依据,不利于其内部控制体系的完善和发展,不能适应现代企业管理的需要。

(五)监督评价与纠正能力弱

内部控制有效性需要保证具备查错纠弊、会计资料的真实合法和保证业务活动的有效进行等功能。[9]对上市金融企业来说,如果单纯从会计、审计的角度监督评价与纠错,其关注的范围便仅仅局限于上市金融企业作业层的控制,使得内控体系变得狭隘、简单、不灵活。因为很多独立董事和审计委员会的委员缺乏开阔的视野,导致过多地考虑现行条件的限制,侧重于对内部控制的准则、条例的监督与修改,惧怕承担责任,无法形成对内部控制系统高层乃至整体的把握,不能起到良好的监督作用,背离了上市金融企业内控中监督的本质。

三、模型设计

(一)内部控制体系评价指标的选择

内部控制有效性评价中的指标选择是个非常关键的问题。本文进行内部控制效果评价时所用指标主要是根据COSO报告的内部控制要素为基础,结合我国现存在上市金融企业内部控制有效性不高的因素分析,建立上市金融企业评价指标体系(见表1)。

除了表1列出指标之外,还有许多指标涉及上市金融企业经营管理的各个方面。为了能够比较全面、准确地从诸多指标中选择出有效的评价指标,本文主要从横向和纵向两方面来进行选择。横向看是指失效企业与同行业正常企业之间进行比较,选择能够将失效企业与正常企业区分开来的指标;纵向看主要是指失效企业内部多年的指标数据,这些指标数据只有部分年份是舞弊的,可将舞弊年份与正常年份区分开,也是有效评价内部控制效果的指标。

(二)基于模糊数学方法的模型构建

从上述指标的选择过程来看,影响内部控制的因素本身以及因素之间的相关性都是比较粗略的,要想运用较为具体的一些因子分析方法或相关因素分析模型,并不能很好地证明各个要素的影响程度如何,其综合结果反而不准确。而模糊数学方法本身对数据的来源客观性的条件不是非常严格,更接近实际情况,同时该方法又可以通过运算将数据处理得更科学化、标准化,使结论具有更强的说服力。整个模型的原理通俗易懂,计算相对简单明了,检验得出的结论可行性也较好,能够简明扼要地说明问题本质,从而避免了实证分析走向繁琐复杂导致问题说明混乱的情况发生,也避免了严格条件设定下得出的结论实际应用可行性差。基于模糊数学方法的模型原理如下。

1.目标集的建立。目标集表示评价某个项目效果时所选择的重要影响因素。将表1中的评价指标归为控制环境能力指标、风险评价能力指标、控制活动能力指标、信息与沟通能力指标和监督能力指标五大类因素,这五大类指标构成一级评价指标,各个具体的指标就构成了二级评价指标,用U={u1,u2,……un}表示。第一层级U={u1,u2,u3,u4,u5},u代表总目标—企业内部控制有效性,u1,u2,u3,u4,u5分别代表一级指标控制环境能力指标、风险评价能力指标、控制活动能力指标、信息与沟通能力指标和监督能力。第二层级U={u11,u12,……u1j},U={u21,u22,……u2j},……,U={u51,u52,……u5j},j代表各个要素下的类别的序数。

2.评语集的建立。评语集表示被评价项目的优差程度。用V={v1,v2,……vn}表示该评语集,本模型将V1,V2,…V5定义为 优、良、一般、较差、差五个档次。为了反映计分的结果,再设分数集F=(f1,f2,f3,f4,f5,)T这是一个列向量,按等差打分法,以1分为满分,f1,f2,f3,f4,f5对应1,0.85,0.7,0.55和0.4分。

3.权重集的确定和建立。权重集W={w1,w2,……wn}表示指标在所属层次中的重要程度。通过构造两两判断矩阵来实现。对于各个二级指标,本文选取专家法①确定其权重。将每一个层级上的要素去处,由专家按1-9标度法,对每两个要素之间的相对重要性程度进行判断,将判断结果计入矩阵中。对全部专家的判断结果加权,就可以得到矩阵A=(aij)n×n,再用解特征根的方法,求得每个要素所占的比重,并通过一致性检验。

为了避免出现U1比U2重要,U2比U3重要,U3比U1重要这种不合逻辑的结果,还要对上述表中判断的逻辑性进行一致性检验。即计算?姿max,一致性指标C.I,一致性比例C.R(=C.I/R.I,R.I为平均随机一致性指标,可查表)当C.R<1时,矩阵判断的一致性是可以接受的。

4.利用模糊运算,进行综合评价。从U到V的模糊关系,用模糊评价矩阵R表示:R=|rij|,其中,rij表示第i评价指标因素对第j级评语的隶属度。其计算结果为评价人员对第三层次的指标进行评价,再进行加权。第二层次准则的评价矩阵是由第三层次的指标进行模糊综合运算而成,第一层次准则的评价矩阵,通过第二层次的评价矩阵进行模糊综合运算而求得。

从U到V的模糊综合运算,求得评价模型B,B=WoR=(b1,b2……,bn),在该模糊矩阵的乘法运算采用主要因素决定性模型M=(∧,∨)。即乘法运算采用逻辑乘∧(min)和逻辑加∨(max),在对权重和评价值比较后,取最小值为行向量值,而后在列向量的几个最小值中取最大值。当 时,则采用归一化处理。

由于存在三层级的指标,所以必须进行三次模糊综合运算才能得出对内部控制的综合评价向量。

5.评价结果和结论。利用B与F分数集(列向量)的乘积,根据公式S=B×F计算最终评价结果S。根据评价模型B和最终结果S对综合业绩进行分析,得出最终结论。

需要指出的是,本模型采用专家评分在一定程度上反映了实际情况,评判结果也较符合实际。但专家一般是凭经验给出权重,往往带有一定的主观性,可能存在不客观反映的情况,导致评判结果“失真”,同时,本模型在专家人数小于30时才比较适合用加权统计法计算权重。

四、实证分析

(一)选取实例进行分析检验

1.权重的确定方法。选取江苏省某上市金融企业进行调查,获得其内部控制体系的相关信息进行分析评价。征询16位专家意见,对每两个要素之间的相对重要性程度进行判断,将判断结果计入矩阵中。对全部专家的判断结果加权,就得到矩阵A=(aij)n×n,再用解特征根的方法,求得每个要素所占的比重,并通过一致性检验。根据这样的方法,得出第一层次的要素的相对重要性判断结果和计算权重,如表2。

同样的方法可以确定其他各级指标的权重,如表3。

2.进行模糊运算和综合评价。由表3得:第一个要素(控制环境U1)的第一个类别(组织结构)下的三个评价指标标记为u111,u112,u113,

又因为权重 (见表5.2),所以用 计算得 ,作归一化处理,得到 , 是对 的评价向量,乘以分数列向量 ,得到代数值0.9367,评语为优,表明该金融企业的组织文化比较优秀。类似地计算可得 ,则 又 ,故 ,

由上述方法同理可得:

内部控制体系综合评价得分为0.8965分,评语为优,说明该上市金融企业内部控制的总体有效性水平为优,内部控制的各个要素有效,但并不是完全有效的,个别环节仍然存在相对薄弱的环节,其原因可能是内部控制的设计不恰当,或者是在执行中存在不一致问题。

(二)实证分析的结论

通过上述实证分析可得出内部控制有效性强的决定因素有以下几方面。

首先,对于一个上市金融企业的内部控制体系而言,控制环境的影响较大,尤其是在控制环境的子因素中,人力资源政策与实务的影响力已日益明显,以前的研究大都侧重于对董事会与审计委员会独立性的关注,而本文分析表明,对员工进行科学管理和绩效评估也是非常重要的,且重要性在实际情况中表现更为突出。

其次,风险评估和控制活动对内部控制有效性的影响力比较接近。过去许多研究者和企业常常把财务指标看成是内部控制有效性评价中最重要的核心因素,这种观点夸大了财务信息的影响力,从本文模型计算得出的结果来看,财务信息只是诸多因素中影响较为平实的一个,上市金融企业应该更重视控制活动的有效性,这对企业本身管理层的控制能力提出了较高的要求。

再次,在信息化时代,内部控制有效性同样需要分享大量准确及时、相关度高的信息,以及对这些信息的处理、交流与反馈。其中如何全面调动上市金融企业内部各部门信息和历史信息的沟通,如何把握企业与外部信息的关系,利用时机发展自身,都是需重视并主动反应的。

最后,监督评价和纠错能力也是必不可少的。监督活动要保持其持续性,评估要保证其合理性,而及时的纠错和有效修正和改进也是必须的,整个监督应当力求完善、客观、真实。

五、对策建议

综上所述,本文对如何提高上市金融企业内部控制性的有效性提出如下对策建议。

(一)加强控制环境建设

1.加强组织结构建设。组织机构是内部控制的重要载体,在整个管理系统中起着“骨架”作用。科学合理的设置内部机构与岗位、确定机构与岗位职责以及各个机构、各个岗位间的相互关系,是对人流、物流、信息流实现有效内部控制的基本前提。应在分析这些因素的基础上,合理设置组织体系;对各个机构和岗位分别授予其完成任务所必需的权利,分清各自的职责,使每一项业务的各个环节都有相应的机构和员工负责。

2.完善人力资源政策,提高其实际应用的效率。上市金融企业和众多企业相似,其核心因素是人,风险的确立基础是经营所处的环境和内部环境中的人们如何看待风险,如何着手控制风险。上市金融企业内部环境的好坏直接影响到企业内部控制的贯彻和执行,以及企业具体经营目标和整体战略目标的实现。人力资源政策与实务是内部环境的主要部分,并影响着内部环境的其它要素。因此,管理当局应积极建立风险管理机制、制定企业的风险偏好、形成经营风格并分配权力和责任,以增加决策的科学性和透明性。同时要加快建立使董事会、监事会、经理层三者相互制衡的治理结构,规范建立管理层的委托代理关系。

(二)进行全面的风险评估

1.设立与风险偏好一致的经营目标。随着经济、行业和经营条件的不断发展,每个企业都面临来自外部和内部的不同风险,尤其是上市金融企业面临风险的不确定性更大。评估风险的先决条件是制定目标,管理当局根据既定的任务或远景来制定战略目标,选择企业的战略并制定与战略相联系的相关目标。当管理当局能识别潜在影响目标之前,董事会负责审批企业目标,管理层负责实现目标。即是说,良好的内部控制体系应保证管理当局有一个适当操作的过程,确保董事会采取恰当的方法制定合适的目标,以支持企业的远期目标,使之与企业的风险偏好保持一致,这样的经营目标能为企业的发展起到更好的导向作用。

2.对于风险的识别管理过程是持续及反复的。管理当局应当在充分考虑所有事件发生的可能性及其产生的影响效果的情况下,对风险作出评估,所以上市金融企业有必要设有专门的风险评估机构,组织确认和分析与企业目标实现相关的风险的过程。即通过对风险程度的评估,确认影响工作目标的主要风险,以采取有效的控制措施,保证目标的实现。同时,为了适应不断变化的环境,风险评价要多次进行,形成持续性的过程。在实际操作中,风险的最初评估和后来的评估不一致,因而企业的风险评估部门必须收集大量必要的信息和资料,支持自己的风险评价决策。上市金融企业只有掌握越多的信息,才能做出更正确的判断,才可应付复杂多变的局势。

(三)建立良好的控制活动

控制活动是指控制机构通过风险评估程序确认风险后,确保管理阶层指令得以实现的政策和程序,比如信息处理、职责分离、实物控制、业绩评价和独立核查等。它们存在于整个组织、各个层次中,也存在于各种职能中。在制定控制活动时,关键是抓住重要控制点,要以风险评估结果为设计基础,提高控制活动的针对性。不同企业的经营活动与外部环境不尽相同,风险也存在很大差别,因此控制活动的设计应充分考虑金融企业自身风险的特点,不能盲目照搬其他企业的程序。针对上市金融企业而言,对于已经发现的风险,要充分考虑可能采取各种控制措施的成本与收益的平衡,并设计各种不同措施贯穿于控制活动的事前、事中与事后。同时,要充分考虑最佳控制措施与企业现状的差距,以及企业现有人员与系统对控制措施变化的接受程度。对于不能一步到位的控制活动,上市金融企业应考虑如何在风险得到有效控制的前提下,采取变通措施,分阶段实施,一步步达到较理想的状态。只有当管理层和全体员工将控制活动视为日常运作中必不可少的组成部分时,内部控制才是最有效的。

(四)充分及时的信息与沟通

1.建立有效的信息系统。上市金融企业在经营过程中必须识别和捕捉确切的信息,并进行交流与沟通。充分、及时、准确的信息是内部控制得以落实的基础。机构的高级管理层必须建立起有效的信息系统,处理机构内部所产生的财务信息、运作信息、合规性信息等,以及外部影响决策的事项、活动和环境等外部信息。要建立良好的信息系统支持策略,有效结合信息系统和机构营运,拥有良好的信息品质,尽可能地向不同层次的管理者提供详尽程度不同信息,并经过适当的筛选,保证信息的相关性、及时性和准确性,帮助管理者及时采纳相应措施,做出快速准确的决策。

2.内部沟通与外部沟通并存。上市金融企业主体的各个层级都需要借助信息来识别、评估和应对风险。信息的获得在于每个社会组织内部成员之间及其与外部组织的有效沟通上。无论是来自企业内部各部门之间的沟通,还是来自于外部的利益相关者(如消费者、股东、债权人)的交流,有关信息都应被加以识别、分析和反馈,以支持企业的经营决策、战略需要,并最终实现企业利益的最大化,及时地汇报给管理层甚至董事会,使其能有效地处理和解决问题。

(五)加强监督评价与纠正管理

1.加强对内部控制的监督。为了保证上市金融企业内部控制制度能有效实施,并使之不断完善,企业必须定期和不定期地对内部控制制度的执行情况进行检查与考核,以观察其是否有效执行,执行中的效果如何,存在什么问题,从而不断修改或调整有关控制环节和措施,促使内部控制日趋合理有效。内部控制的监督机制要注重自我监督与独立评估并重。一方面,企业应考虑建立和完善内部审计职能,使内部审计的独立评估成为企业内部控制监督机制中的重要力量,切实依靠内部监督人员通过对关键控制点的控制,对内部控制体系的运作进行日常监督;另一方面,企业还应着重建立有效的监察机制,避免各种舞弊迹象的出现。

2.增强内部审计管理。完善信息传递与披露制度,准确及时并最大限度地获取和运用来自上市金融企业内外部的相关信息是实现有效内部控制的前提。完善信息传递与披露制度,可以解决委托人与代理人之间信息不对称问题,推动公司治理与内部控制良性互动,实现企业各利益主体之间的协调与制衡,以及科学决策高效经营,尤其是发现内部控制潜在的或显现的薄弱环节,及时采取相应预防或纠正措施,防止上市金融企业承受巨大的风险。■

参考文献:

[1]The Committee of Sponsoring Organization of the Treadway Commission 1992.Internal Control—Integrated Framework .cn/qkpdf/hnjr/hnjr201001/hnjr20100118-2.pdf" style="color:red" target="_blank">原版全文 推荐访问： 内部控制 有效性 上市 金融 研究