在国内知名企业中，从前几年的郑州亚细亚、广东国投等知名企业的衰败破产，到郑百文财务造假及董事被罚款处罚、南方证券的政府接管重组、四川长虹被美国APEX公司巨额诈骗、银广夏财务舞弊事件、中航油在新加坡违规交易导致重大损失等，都给企业董事会及高层治理者敲响了加强内部控制的警钟

　　文/刘自敏 杨丹

　　从2001年开始，国内上市公司的年报中，每年均有超过50%以上的公司在其年报中提出加强内部控制制度，从2001－2006年，中国证监会做出的上市公司处罚中，40%以上是由董事责任不明确或董事未能合理履行责任引发的。2002年开始美国接连爆发安然、世通、欧洲Parmalat等大型跨国公司丑闻，表面上这些事件的主要责任是内部审计委员会和外部审计机构的失职，但从公司治理的角度分析，董事会的失职和责任不明晰和内部控制失效大量累积直至爆发才是最根本的原因。

　　内部控制与董事责任密不可分，董事责任是良好运行的内部控制的基础和依据，有效的内部控制有利于董事责任的完善和明晰，从而促进公司治理的发展。因为内部控制和董事责任具有：

　　●目标一致性

　　建立内部控制的目标在于：(1)建立和完善符合现代治理要求的内部组织结构，形成科学的决策、执行和监督机制，确保企业经营治理目标的实现；(2)建立行之有效的风险控制系统，强化风险治理，确保企业各项业务活动的健康运行；(3)堵塞漏洞、消除隐患，防止并及时发现和纠正各种欺诈、舞弊行为，保护企业财产的安全完整；(4)规范企业会计行为，保证会计资料真实、完整，提高会计信息质量；(5)确保国家有关法律和企业内部规章制度的贯彻执行。

　　清楚界定董事责任的目标在于：(1)确保公司恰当地经营；(2)确保公司不会有财务违规现象，使董事会能提供一个“真实而公平”的公司财务业绩；(3)确保公司实现利润最大化及综合实力的提高。

　　可见，董事责任与内部控制存在最终目标的一致性，都是为了企业高效顺利的运转，从决策层与执行层不同角度去保证。

　　●产生的基础都是委托－代理关系

　　公司治理结构中的董事责任是在企业所有权和经营权分离的基础上产生的委托－代理关系契约；内部控制作为系统的制约机制，实施所有者对经营者及经营者对经营过程的控制，其根源是所有者与经营者间、上下级间的代理行为。“代理”的目的都是为了提高企业的经营治理效果。因此，可以说，董事责任是股东对董事会成员的委托－代理，而内部控制则是董事成员与经理层及高中级经理与中低级经理间的委托－代理。

　　●两者相辅相成、相互促进

　　清楚的董事责任有利于内部控制制度的建立和执行；健全的内部控制系统也将促进董事责任的合理承担。在当前逐渐完善的内部控制执行及评价基础上，内部控制系统的良好执行必然将对董事责任的明晰和执行产生良好促进作用，因为这为董事是否良好履行职责又产生了一个更完善的评价工具。

　　我们再看董事责任驱动下内部控制的执行框架，企业的公司治理中，公司治理的对象有两重含义：一、董事会，对其治理来自股东和其他利害相关者，目标在于公司的重大战略决策是否恰当；二、经理人员，对其治理来自董事会，目标在于公司经营治理是否恰当。对二者的判定标准在于是否执行了相应的受托责任(Fiduciary Duty)。董事会作为由股东选举出来的机构，被制定出来系统阐述公司的政策、批准战略计划、核准重要的交易、确认董事会的规模和新董事的提名。对于董事责任，我们从两个纬度进行分析，从执行董事、非执行董事的纬度进行分析(含经理选择、经理报酬、监控经理、战略决策等)。另一方面，从各委员会(监督委员会、薪酬委员会、财务委员会、人事委员会等)进行分析。

　　现代意义上的内部控制是在长期的经营活动过程中，随着企业对内加强治理和对外满足社会需要而逐渐产生并发展起来的自我检查、自我调整和自我制约的系统。伴随内部控制实践的逐渐丰富，内部控制理论的发展也经历了一个漫长的过程，先后出现了“内部牵制”、“内部控制制度”、“内部控制结构”和“内部控制－整体框架”、“全面风险治理框架”等几个阶段。而其中由Treadway委员会(COSO)(1992，1994，2004)发布的《内部控制—总体框架》将公司治理及董事会与内部控制紧密地联系在了一起，我国企业目前大部分也处于“内部控制系统－整体框架”的构建与实施阶段。1996年美国注册会计师协会全面接受COSO的报告，2001年12月安然公司发生造假丑闻后，美国通过了萨班斯－奥克斯利(Sarbanes-Oxley)法案，在该法案颁布后，再次强调了董事会在内部控制中的地位和作用。而全面风险治理框架是在“内部控制－整体框架”的基础上，于2004年9月提出的企业风险治理的整合概念。

　　对于内部控制系统的实施，我们可按照我国企业目前采用最多的COSO提出的报告《内部控制－整体框架(Internal Control－Integrated Framework)》进行分析。在此基础上构建董事责任驱动下内部控制的执行框架。

　　在企业设计基于董事责任的内部控制框架及系统时，首先应该将控制目标与相应董事的职能与责任联系起来，这样有利于企业内部控制系统从实施的高端和起点保证其质量，从而在内部控制高效和失效时企业均能追根溯源，从而迅速制定相关措施，促进企业高速发展。另一方面，在传统内部控制的基础上，从COSO报告的五个方面入手，这些不同的控制点，可以避免出现控制中会计财务等相关内容的重点控制，而非财务活动等的控制缺失，从而保证企业及董事会经理层各司其责，最终保证企业全面内部控制的实施。

　　内部控制实施可以分为两个层次：第一层次是内部控制要素层实施；第二层次是内部控制作业层实施。根据COSO报告，内部控制要素包括控制环境、风险评估、控制活动、信息与沟通、监督五个子系统。每一要素又分为更多的项目。作业层级评价标准主要是控制活动子系统要素的细化，比如控制活动子系统是确保董事会及治理阶层的指令得以实现的政策和程序，旨在帮助企业保证其已针对“使企业目标不能实现的风险”采取了必要的行动。控制活动是针对控制点而制定的，企业一般根据其生产经营活动的特点来设计控制活动。企业在此两层的基础上形成企业内部控制报告，以定期检查审核企业的内部控制运行情况。

　　企业的内部控制报告主要包括两个方面的内容：一方面是要素层的董事会治理控制，针对董事会及其成员在公司治理及控制中主要承担着要素层的全面、总体的控制，他们从诸如监督、战略决策等宏观层面实施内部控制系统，从而为作业层的具体实施业务提供指导，作为控制系统某一方面整体的控制实施的框架，要素层的控制具有导向作用，因此显得尤为重要，他们实施的是否有效直接对作业层产生指导性的影响；另一方面是治理层的治理控制，在要素层的指导下，以治理层为首的企业员工实施治理控制的职能，治理层对不同部门的某一具体业务负

[1] [2] 下一页