新用户扫码下载
扫码下载APP
及时接收最新考试资讯及
备考信息
企业内部控制设计(一)
清华大学会计研究所陈关亭博士在国家会计学院开办的第四期财务总监高级研修班上作了题为《企业内部控制设计》的报告。共分三讲:内部控制概论、国外内部控制范例、内部控制设计。
第一讲内部控制概论
一、内部控制的历程
内部控制,在内部牵制的基础上,由企业管理人员在经营管理实践中创造;并审计人员理论总结而逐步完善的自我监督和自行调整体系。在其漫长的产生和发展过程中,大体经历了萌芽期、发展期和成熟期三个历史阶段。
(一)萌芽期一一内部牵制
内部控制,作为一个专用名词和完整概念,直到本世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中,早已存在着内部控制的基本思想和初级形式,这就是内部牵制(Internal check)。例如,在古罗马时代,对会计账簿实施的“双人记账制”——某笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的,即是典型的内部牵制措施。
纵观该时期的内部牵制,它基本是以查错防弊为目的,以职务分离和账目核对为手法,以钱、账、物等会计事项为主要控制对象。其概念基本如《柯氏会计辞典》(Kohler‘s Dictionary for Accountant)的定义,即“为提供有效的组织和经营,并防止错误和其它非法业务发生而制定的业务流程。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工,每项业务通过正常发挥其它个人或部门的功能进行交叉检查或交叉控制”。
(二)发展期一一内部会计控制与内部管理控制
1934年美国《证券交易法》,首先提出了“内部会计控制” (Internal accounting control system)的概念。其中指出:证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统:a.交易依据管理部门的一般和特殊授权执行;b.交易的记录必须满足GAAP或其他适当标准编制财务报表和落实资产责任的需要;c.接触资产必须经过管理部门的一般和特殊授权;d.按适当时间间隔,将财产的账面记录与实物资产进行对比,并对差异采取适当的补救措施。
!936年美国会计师协会发布的《注册会计师对财务报表的审查》文告,以及1947年《审计准则暂行公告》(TSAS),出于改进审计方式的需要,提出了以内部控制(Internal Control)为基础的审计程序。但这期间,无论在审计文献中还是在其他管理著作中,均没有关于内部控制概念的权威性定义。
1.第一个具有权威性的定义
为了赋予内部控制一个准确完整的定义,审计程序委员会下属的内部控制专门委员会经过两年研究,于1949年发表了题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,对内部控制首次做出了如下权威定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。
此定义强调,内部控制不只限于与会计和财务部门直接有关的控制方面,它还包括预算控制、成本控制、定期报告经营情况、进行统计分析并将统计报告送交有关部门、制定培训计划以培训有关人员使其能够履行职责,以及设立内部审计部门以保证管理部门所制定的各种程序的准确性,并保证其得到贯彻执行等内容。此外内部控制还包括其他领域的一些活动,例如,具有工程性质的时动分析以及在检查系统中运用的质量控制,基本上属于生产部门的活动。
2.定义的第一次修正
上述范围广泛的内部控制定义及其解释的发布,当时被普遍认为是对内部控制这一重要概念的重大贡献。但该报告所定义的内部控制概念,其内容如此宽泛,以致包括了审计人员对审查内部控制所不原、也不可能承担的职责。从与委托人讨论什么是良好的会计和经营方法的角度考虑,他们感到1949年的定义非常合适,但从承担为制定审计方案而对内部控制进行检查的责任角度考虑,他们感到这一定义范围过宽。该委员会的解决方式,是将内部控制划分为“会计控制”和“管理控制”两大类——即将与前两个目标即保护资产和保证会计资料可靠性和准确性有关的控制划分为内部会计控制,而将与后两个目标即提高经营效率、保证管理部门所制定的各项政策得到贯彻执行有关的控制归入内部管理控制。于是1953年10月,审计程序委员会(CAP)又发布了《审计程序公告第19号》(SAP No.19),对内部控制作了如下划分:“广义地说,内部控制按其热点可以划分为会计控制和管理控制;1)会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成;会计控制包括授权与批准制度;记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。2)管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系,包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等”。
可见,所以把内部控制分为会计控制和管理控制,是为了按照公认审计标准来规范内部控制检查和评价的范围。对此,1963年,审计程序委员会在《审计程序公告第33号》的结论是:独立审计师应主要检查会计控制。会计控制一般对财务记录产生直接的、重要的影响,审计人员必须对它做出评价。管理控制通常只对财务记录产生间接的影响,因此,审计人员可以不对其作评价。但是,如果审计人员认为,某些管理控制对财务记录的可靠性产生重要的影响,那么他要视情况对它们进行评价。例如,在某种特定的情况下,生产部门、销售部门和其他业务部门的统计分析需要给予评价。
3.定义的第二次修正
第一次修正后的定义,大大缩小了注册会计师的责任范围,但人们认为对“会计控制”的保护资产和保证财务记录可靠性这两点仍然可能发生误解。即对“保护”一词作广义的解释可能会使人们产生这样一种印象:“决策过程中的任何程序和记录都可以包括在会计控制的保护资产概念中”。为了避免这种宽泛的解释,1972年美国注册会计师协会(AICPA)对会计控制又提出并通过了一个较为严格的定义:“会计控制是组织计划和所有与下面直接有关的方法和程序:1)保护资产,即在业务处理和资产处置过程中,保护资产遭过失错误、故意致错或舞弊造成的损失。2)保证对外界报吉的财务资料的可靠性。”
4.定义的第三次修正
1972年,美国准则委员会(ASB)《审计准则公告》的制定者,循着《证券交易法》的路线进行研究和讨论,在第1号公告(SAS No.1)中,对管理控制和会计控制提出并通过了今天广为人知的定义:
(1)内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证:经济业务的执行符合管理部门的一般授权或特殊授权的要求;经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表,以及落实资产责任;只有在得到管理部门批准的情况下,才能接触资产;按照适当的间隔期限,将资产的账面记录与实物资产进行对比,一经发现差异,应采取相应的补救措施。
(2)内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计控制的起点。
上述内部控制定义的演变反映出两个重点:第一,当前注册计师在开展其审计工作时所运用的会计控制概念,是一种纯技术的、专业化的、适用范围具有严格规定性的、防护色彩很浓的概念,它的主要宗旨是预防和发现错弊;第二,自审计程序委员会于1949年提出第一个内部控制定义起,人们为完善该定义作了不懈的努力,以至于今天的内部控制定义与1949年的定义有天壤之别。
这种以会计控制为主的定义,虽为独立审计界认可,却屡屡遭到管理人员代言人的攻击。他们指出,这些定义把精力过多地放在纠错防弊上,过于消极和狭窄。凯罗鲁斯先生对于代表独立审计界观点的《特别咨询委员会关于内部会计控制的报告》,只表示有保留地同意。他认为,该报告对内部会计控制范围的讨论受现存审计文献的影响太大。凯罗鲁斯主张,内部控制范围和目标应予以扩展,以便它们更能够适应管理部门的需要。他极为主张,审计准则委员会所纳入“内部会计控制环境”的某些因素应该是设计合理、运行有效的内部会计控制系统不可分割的一个组成部分。这些因素包括:(1)组织计划,(2)责任的确定和授权,(3)预算程序和预算控制,(4)员工雇用计划和财务人员培训计划;(5)保证所有参与经济业务授权、记录、保护资产、报告财务信息的职员保持较高的行为道德水准的方法和措施。从管理人员(和其它有关第三方)的角度来看,会计控制和管理控制之间的区别并不大,甚至根本没有区别。特别是那些置身于企业经营活动的人们,他们很难接受这种区分。1980年3月在“内部审计师协会”代表大会的发言中,凯罗鲁斯先生把美国注册会计师协会在1958年将1949年的内部控制定义区分为会计控制和管理控制的行为描绘为“将美玉击成了碎片”。他声称,在这块美玉完全修复以前——我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。
(三)成熟期——内部控制结构和内部控制整体架构
美国注册会计师协会的文献界定了会计控制概念,而公司的经理们创立并在实践中运用着管理控制概念,这两个概念形成鲜明的对照。如果对这两种善于内部控制的不同解释的同时并行这一事实视而不见,那么任何设计内部控制系统的企图都是短视的,同时也是徒劳的。于是,人们提出了内部控制结构和整体架构的概念。
1.内部控制结构(Internal Control Structure)
1988年4月美国注册会计师协会发布的《审计准则公告第55号(SAS N0.55),规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构(Internal Control Structure)一词取代原有的“内部控制”一词,而且文告提出的内部控制内容比以前更为实在,条理更加清楚。该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。
以“财务报表审计对内部控制结构的考虑”为题的《审计准则公告第55号》指出:“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”,并且明确了内部控制结构的内容,具体如下:
(1)控制环境
所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括:管理者的思想和经营作风;企业组织结构;董事会及其所属委员会,特别是审计委员会发挥的职能;确定职权和责任的方法;管理者监控和检查工作时所用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行、影响本企业业务的各种外部关系。例如由银行指定代理人的检查等。
(2)会计系统
会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法,明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标:鉴定和登记一切合法的经济业务;对各项经济业务按时进行适当分类,作为编制财务报表的依据;将各项经济业务按适当的货币价值计价,以使列入财务报表;确定经济业务发生的日期,以便按照会计期间进行记录;在财务报表中恰当地表述经济业务以及对有关内容进行揭示。
(3)控制程序
控制程序指管埋当同所制订的用以保证达到一定目的的方针和程序。它包括下列内容:经济业务和经济活动的批准权;明确各个人员的职责分工,防止有关人员对正常业务图谋不轨的隐藏错弊;职责分工包括:指派不同人员分别承担批准业务、记录业务和保管财产的职责;凭证和账单的设置和使用,应保证业务和活动得到正确的记载:对财产及其记录的接触和使用要有何保护措施;对已登记的业务及其计价要进行复核。
上述内部控制结构的内部与1972年颁布的内部控制定义相比有两个明显的改动:一是正式将内部控制坏境纳入内部控制范畴,二是不再区分会计控制和管埋控制。这些改变可以说是反映了70年代后期以来内部控制实务操作和理论研究的一个新动向。
2.内部控制整体架构(Internal Control一Integrated Framework)
1992午,美国“反对虚假财务报告委员会”(National Commission on Fraudulent Reporting),所属的内部控制专门研究委员会发起机构委员会(Committee of Sponsoring Organizations of the Tread-way Commission,简称COSO委员会),在进行专门研究后提出专题报告:《内部控制一一整体架构(Internal Control一Integrated Framework)》,也称COSO报告。经过两年的修改,1994年COSO委员会提出对外报告的修改篇,扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制,得到了美国审计署(General Accounting Office,GAO)的认可。与此同时。AICPA则全面接受COSO报告的内容,于1995年据以发布了《审计准则公告第78号》(SAS N0.78),并自1997年1月起取代了《审汁准则公告第55号》。
COSO报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
归结上述文献,我们认为:内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性,而自行检查、制约和调整内部业务活动的自律系统。其贯穿于经营活动的全部过程,包括控制环境、风险评估、控制活动、信息与沟通,监督等要素,并受企业董事会、管理阶层及其他人员影晌。
需要指出的是,内部控制并不仅限于企业单位,同样也存在于其他各类经济组织和行政事业单位中。只是作为一种经济组织,企业这种典型形式比较具有代表性,因而,本文主要以企业对象研究内部控制,但其原埋及评价的方法同样也适用于其他各类经济组织和行政事业单位之中。
二、内部控制的要素
内部控制的内容,归恨结底是由基本要素组成的。这些要素及其构成方式,决定着内部控制的内容与形式。设计内部控制,可以根据企业特征和需求(例如企业规模、业务构成、管理水平等),对内部控制要素加以有机组合。我们认为,COSO报告提出的内容控制五项要素,具有较强的理论可取性和实践可行性,本文将以此为基础,简要阐述内部控制的要素及其结构。
(一)控制环境
控制环境提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:
(1)诚信的原则和道德价值观。无论是企业最高管理层还是其它成员都应当做到:严格一致地保持诚信行为和道德标准;不要盲目追求不切实际的目标,以致形成不必要的压力;对敏感职位之间的财务分工要准确明细,以避免造成偷窃资产或隐藏不佳绩效的引诱;加强企业的内部审核制度;发挥董事会的职能,使其客观监督企业的高层管理阶层;提供道德方面的指导,使所有雇员在一般和特定环境下能够保持正确的判断;制作文字化的行为准则和政策声明,将其传达给全体雇员;将诱发人们不诚实、非法和不道德行为的动机降至最低。
(2)评定员工的能力。管理部门须制定正式或非正式的职务说明书,逐项分析并规定各工作岗位所须具备的知识和技能。
(3)董事会和审计委员会。组成这两个机构须考虑的因索主要包括:成员的经验;相对于管理层的独立性;外部董事的比例;其成员参与管理的程度;所采取措施的适宜性;对管理层提出问题的深度和广度;他们与内部、外部审计人员的关系实质。
(4)管理哲学和经营风格。主要考虑:对待和承担经营风险的方式;依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通;对财务报告的态度和所采取的措施;对信息处理以及会计功能、人员所持的态度;对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。
(5)组织结构。企业的组织结构是指为公司活动提供计划、执行,控制和监督职能的整体框架。具体应考虑:组织结构的合适性,及其提供管理企业所需信息的沟通能力;各主管人员所负责任的适当性;按照主管人员所担负的责任,判断其是否具备足够的知识及丰富的经验;当环境改变时,企业配合改变其组织结构的程度;员工,尤其是负责管理及监督职能的员工人数的充足程度。
(6)责任的分配与授权。强调对于组织内的全部活动要合理有效地分配职责和权限,并为执行任务和承担职责的组织成员特别是关键岗位的人员,提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配,要使所有员工知道:他们的工作行为,以及职责担负形式和认可方式,与达成组织目标的联系。
(7)人力资源政策及实务。内部控制是由人来进行并受人的因素影响,保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践,是内部控制有效的关键因素之一。具体包括:有完善的招聘与选拔方针及操作性程序;对新员工进行企业文化和道德价值观的导向培训;对违反行为准则的任何事项,制订纪律约束与处罚措施;对业绩良好的员工,制订具有奖励和激励作用的报酬计划,并避免诱发不道德行为;根据阶段性的业绩评估结果,对员工予以晋升、指导以及奖罚。
(二)风险评估
每个企业都面临来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件,是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。
(1)目标。企业的整体目标,通常是由企业的理念及其所追求的价值所决定的,而与之相配合的是企业下一级各部门的具休目标。整体目标主要是:营运目标,包括绩效和获利目标及保障资产的安全,使其免受损失;财务报告目标,防止对外报送不真实的财务报告;遵循目标,企业遵循国家的相关法律法规。
(2)风险。辨识和分析风险的过程是一种持续及反复的过程,也是有效内部控制的关键组成要素,管理阶层须谨慎注意各部门阶层的风险,并采取必要的管理措施。企业的风险一般是由外部因素和内部因素所产生的。外部因素包括:科技发展;顾客的需求或预期改变;竞争;新的法律和行政命令;自然灾害;经济环境改变等。内部因素包括:信息系统处理的中断;聘用员工的品质、培训方法及激励制度;经理人员的责任改变;企业活动的性质以及员工可接近资产的程度;董事会或监事会不够坚定或无效等。
(3)环境变化后的管理。经济、产业及管理的环境都是会改变的,企业的活动应随之改变。因此,风险评估中最基本的部分,就是如何辨认已发生的改变,并采取必要的行动。这些改受因素包括:行业环境的改变;新员工;业务迅速成长;新科技;新业务、产品、作业;公司重组;国外业务等。
(三)控制活动
企业管理阶层辩识风险,继之应针对这种风险发出必要的指令。控制活动,是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现,这主要包括:
(1)高层经理人员对企业绩效进行分析。管理阶层记录经营活动(如:市场的扩展、生产过程改良、成本的控制)的结果,然后再与预算、预测、前期及竞争者的绩效相比较,以衡量目标达成的程度和监督计划(如:新产品开发、合资经营、融资行为)的执订情况。
(2)直接部门管理。负责某一部门的经理人员复核自己所负责部门的业绩报告,检查本部门各业务活动的情况,以便辨认趋势。
(3)对信息处理的控制。对信息系统的控制活动可分为两类,第一类是一般控制(general control),它帮助管理阶层确保系统能持续、适当的运转;第二类是应用控制(application control),它包括应用软件中的电算化步骤及相关的人工程序。(一般控制包括:对资料中心运作的控制;对系统软件的控制;存取安全的控制;对应用系统的发展及维护的控制。(应用控制包括:输入控制;输出控制)。
(4)实体控制。保护设备、存货、证券、现金和其它资产的实体安全,定期盘点并与控制记录所显示的金额相比较。
(5)绩效指标的比较。把不同的几套数据资料(如:经营数据与财务数据)相互比较,分析它们之间的关系,然后再进行调查与纠正。以存货为例,其绩效指标包括:购货价差、订单中“紧急订货”比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势,辨认采购作业的目标无法达成的原因。
(6)分工。分工即指将责任划分,再将不相容职务分派给不同的员工,以降低错误或不当行为的风险。
(四)信息与沟通
企业在其经营过程中,需按某种形式辨识、取得确切的信息,并进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。
(1)信息系统。信息系统处理企业内部信息和外部信息。内部信息资料包括采购资料、销售交易资料、内部营业活动资料和内部生产过程资料;外部信息资料包括显示本企业产品的需求发生改变时,某种特定市场或行业的经济资料,用于企业生产的商品的资料,显示顾客偏好的市场情报,竞争对手产品开发活动的信息,立法机关与行政机关所发布的信息。企业建立良好的信息系统,必须做到;建立良好的信息系统支持策略,信息系统与企业营运应有效的结合;选择更新信息系统的最佳时间;有很好的信息品质。
(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。内部沟通需要做到:所有的员工,特别是那些负有重要营业责任或财务管理责任的员工,除了得到用以管理其负责活动的重要资料以外,还应当得到来自最高管理层需谨慎承担内部控制责任的清楚信息;必须让每个人清楚的知道个人所担负的特定任务,了解内部控制制度的各项规定、它们如何生效,以及他(她)在控制系统中所扮演的角色及所承担的责任;员工在其执行任务时,一旦有非预期的事项发生,除了要注意该事项本身之外,还应当注意导致该事项发生的原因,如此才有办法辨认潜在缺失,采取行动,并预防再度发生;员工必须知道他(她)所负责的活动是怎样与他人的工作发生关联的;员工必须拥有在组织中向上沟通重要信息的方法。外部沟通应做到:顾客和供应商能经过开放的沟通管道输入重要的信息;与相关的外部团体沟通,以便获悉关于本企业内部控制功能的重要信息;外部审计人员对企业营业、相关业务问题及控制系统审计后,可以提供给管理阶层及董事会重要的控制信息;政府主要机关(如:银行或保险机关)所报道的复核或检查的结果,可以有效的弥补控制的缺失。
(五)监督
内部控制系统需被监督。监督是由适当的人员,在适当及时的基础下,评估控制的设计和运作情况的过程。监督活动由持续监督、个别评估所组成,其可确保企业内部控制能持续有效的运作。
(1)持续的监督活动。持续的监督活动在营运过程中发生,它包括例行的管理和监督活动,以及其他员工为履行其职务所采取的行动。持续监督活动包括:负责营运的管埋阶层(operating managerment)在履行其日常的管理活动时,取得内部控制系统持续发挥功能的资料,当营运报告、财务报告与他们所得到的资料有大偏离时,可对报告提出质疑;来自外界团体的沟通,可以验证内部信息的正确性,并能及时反映问题的所在;适当的组织机构及监督活动,可用来辨识缺失;各个职务的分离,使不同员工之间可以彼此相互检查,以防止舞弊;把信息系统所记录的资料同实际资产核对;内、外部稽核人员定期提出强化内部控制系统的建议;培训课程、规划会议和其他会议,可把控制是否有效的重要信息反馈给管理阶层;定期要求员工陈述他们是否了解企业的行为准则,并加以遵守,对于负责业务和财务的员工,则要求他们陈述某些特定控制是否都予执行,管理阶层或内部稽核人员还必须验证这些陈述是否确实。
(2)个别评估。尽管持续监督程序可以有效的评价内部控制体系,但企业有时需要组织例外评估以直接监视控制系统的有效性,这种做法可评估持续性监督程序。评估的范围和频率,视风险的大小及控制的重要性而定。
(3)报告缺陷。内部控制的缺失应由下往上报告,某些缺失应报告给高层管理阶层及董事会知道。
三、内部控制的组合
上述内部控制要素,按照不同的标志可以组合成不同的集合,也即按照不同分类标准可以划分为不同的类别形态,籍此可以揭示不同形式内部控制的特征和功能。内部控制的组合方式或者分类形式,除了按照控制目标为标志,划分为会计控制和管理控制外(见上文),还可按照其他标志组合为下列类别。
(一)按照控制内容为标志,可划分为一般控制和应用控制
1.一般控制
一般控制,是指对企业经营活动赖以进行的内部环境所实施的总体控制,因而亦称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等项内容。这类控制的特征,是并不直接地作用于企业的生产经营活动,而是通过应用控制对全部业务活动产生影响。
2.应用控制
应用控制,是指直接作用于企业生产经营业务活动的具体控制,因此亦称业务控制,如业务处理程序中的批准与授权、审核与复核、以及为保证资产安全而采用的限制接近等项控制。这类控制的特征,在于它们构成了生产经营业务处理程序的一部分,并都具有防止和纠正一种或几种错弊的作用。
(二)按照控制地位为标志,可划分为主导性控制和补偿性控
1.主导性控制
主导性控制,是指为实现某项控制目标而首先实施的控制。如凭证连续编号可以保证所有业务活动都得到记录和反映,因此,凭证连续号对于保证业务记录的完整性就是主导性控制。在正常情况下,主导性控制能够防止错弊的发生,但如果主导性控制存在缺陷,不能正常运行时,就必须有其它的控制措施进行补充。
2.补偿性控制
补偿性控制,就是指能够全部或部分弥补主导性控制缺陷的控制。就上例而言,如果凭证没有连续编号,有些业务活动就可能得不到记录。这时,实施凭证、账证、账账之间的严格核对,就可以基本上保证业务记录的完整性,避免遗漏重大的业务事项。因此,“核对”相对于凭证“连续编号”来说,就是保证业务记录完整性的一项补偿性控制。
(三)按照控制功能为标志,可划分为预防式控制和侦察式控制
l.预防式控制
预防式控制,是指为防止错误和非法行为的发生,或尽量减少其发生机会所进行的一种控制。它主要解决“如何能够在一开始就防止错弊的发生”这个问题。例如对业务人员事先作出明确的指示和实施严格的现场监督,就能避免误解指令和发生错弊。
2.侦察式控制
侦察式控制,是指为及时查明已发生的错误和非法行为或增强发现错弊机会的能力所进行的各项控制。它主要是解决“如果错弊仍然发生,如何查明”的问题。例如,通过账账核对、实物盘点,以发现记账错误和货物短缺等。
(四)按照控制时序为标志,可划分为原因控制、过程控制和结果控制
1.原因控制
原因控制,也称事先控制,是指企业单位为防止人力、物力、财力等资源在质和量上发生偏差,而在行为发生之前所实施的内部控制。例如领取现金支票前的核准、报销费用前的审批等。
2.过程控制
过程控制,也称事中控制,是指企业单位在生产经营活动过程中针对正在发生的行为所进行的控制。例如,对生产过程中使用材料的核算,对在制造产品的监督和对加工工艺的记录等。
3.结果控制
结果控制,也称事后控制,是指企业单位针对生产经营活动的最终结果而采取的各项控制措施,例如对产出产品的质量进行检验,对产品数量加以验收和记录等。
此外,内部控制还可按照管理目标、业务循环和职能部门等标志,划分为相应类别的组合形式。需要说明的是,各种类型的内部控制,在实际工作中多是交叉存在的。同一种内部控制措施,在不同划分标志下,也可转化为不同的类型形态。
四、内部控制的局限
内部控制作为企业自我调节和自行制约的内在机制,处于单位中枢神经系统的重要位置,可以说没有健全完善的内部控制,就很难组织起现代化的社会大生产活动,也就谈不上现代化的企业生产和经营管理。健全有效的内部控制,不仅能保证企业会计信息的真实正确、财务收支的有效合法和财产物资的安全完整,还能保证企业经营活动的效率性、效果性以及企业经营决策和国家法律法规的贯彻执行。但任何事物都不是尽善尽美的,内部控制也同样存在其固有的、不可避免的局限性。一般而言,内部控制的局限性主要表现为:
1.如果企业内部行使控制职能的管理人员滥用职权、蓄意营私舞弊,即使具有设计良好的内部控制,也不会发挥其应有的效能。内部控制作为企业管理的一个组成部分,它理所当然地要按照其管理人员的意图运行,尤其是企业负责人的决策更是起决定作用。决策出了问题,贯彻决策人意图的内部控制也就失去了应有的控制效能。
2.如果企业内部不相容职务的人员相互串通作弊,与此相关的内部控制就会失去作用。内部控制的一条重要原则就是将不相容职务进行分离。在实际工作中,如果处于不相容职务上的有关人员相互串通、相互勾结,失去了不同职务相互制约的基本前提,内部控制也就很难发挥作用。
3.如果企业内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。内部控制是由人建立的,也要由人来行使的,如果企业内部行使控制职能的人员在心理上、技能上和行为芳式上未能达到实施内部控制的基本要求,对内部控制的程序或措施经常误解、误判,那么再好的内部控制也很难充分发挥作用。
4.企业实施内部控制的成本效益问题也会影响其效能。控制环节越多、控制措施越复杂,相应的控制成本也就越高,同时也会影响企业生产经营活动的效率。因此,在设计和实施内部控制时,企业必然要考虑控制成本与控制效果之比。当实施某项业务的控制成本大于控制效果而产生损失时,就没有必要设置控制环节或控制措施,这样某些小错弊的发生就可能得不到控制。
5.内部控制一般都是针对经常而重复发生的业务而设置的,而且一旦设置就具有相对稳定性,因此如果出现不经常发生或未预计到的经济业务,原有控制就可能不适用,临时控制(如实行专门的审批、报告和执行程序来处理临时性或突发性业务)则可能不及时,从而影响内部控制的作用。
第一讲内部控制概论
一、内部控制的历程
内部控制,在内部牵制的基础上,由企业管理人员在经营管理实践中创造;并审计人员理论总结而逐步完善的自我监督和自行调整体系。在其漫长的产生和发展过程中,大体经历了萌芽期、发展期和成熟期三个历史阶段。
(一)萌芽期一一内部牵制
内部控制,作为一个专用名词和完整概念,直到本世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中,早已存在着内部控制的基本思想和初级形式,这就是内部牵制(Internal check)。例如,在古罗马时代,对会计账簿实施的“双人记账制”——某笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的,即是典型的内部牵制措施。
纵观该时期的内部牵制,它基本是以查错防弊为目的,以职务分离和账目核对为手法,以钱、账、物等会计事项为主要控制对象。其概念基本如《柯氏会计辞典》(Kohler‘s Dictionary for Accountant)的定义,即“为提供有效的组织和经营,并防止错误和其它非法业务发生而制定的业务流程。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工,每项业务通过正常发挥其它个人或部门的功能进行交叉检查或交叉控制”。
(二)发展期一一内部会计控制与内部管理控制
1934年美国《证券交易法》,首先提出了“内部会计控制” (Internal accounting control system)的概念。其中指出:证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统:a.交易依据管理部门的一般和特殊授权执行;b.交易的记录必须满足GAAP或其他适当标准编制财务报表和落实资产责任的需要;c.接触资产必须经过管理部门的一般和特殊授权;d.按适当时间间隔,将财产的账面记录与实物资产进行对比,并对差异采取适当的补救措施。
!936年美国会计师协会发布的《注册会计师对财务报表的审查》文告,以及1947年《审计准则暂行公告》(TSAS),出于改进审计方式的需要,提出了以内部控制(Internal Control)为基础的审计程序。但这期间,无论在审计文献中还是在其他管理著作中,均没有关于内部控制概念的权威性定义。
1.第一个具有权威性的定义
为了赋予内部控制一个准确完整的定义,审计程序委员会下属的内部控制专门委员会经过两年研究,于1949年发表了题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,对内部控制首次做出了如下权威定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。
此定义强调,内部控制不只限于与会计和财务部门直接有关的控制方面,它还包括预算控制、成本控制、定期报告经营情况、进行统计分析并将统计报告送交有关部门、制定培训计划以培训有关人员使其能够履行职责,以及设立内部审计部门以保证管理部门所制定的各种程序的准确性,并保证其得到贯彻执行等内容。此外内部控制还包括其他领域的一些活动,例如,具有工程性质的时动分析以及在检查系统中运用的质量控制,基本上属于生产部门的活动。
2.定义的第一次修正
上述范围广泛的内部控制定义及其解释的发布,当时被普遍认为是对内部控制这一重要概念的重大贡献。但该报告所定义的内部控制概念,其内容如此宽泛,以致包括了审计人员对审查内部控制所不原、也不可能承担的职责。从与委托人讨论什么是良好的会计和经营方法的角度考虑,他们感到1949年的定义非常合适,但从承担为制定审计方案而对内部控制进行检查的责任角度考虑,他们感到这一定义范围过宽。该委员会的解决方式,是将内部控制划分为“会计控制”和“管理控制”两大类——即将与前两个目标即保护资产和保证会计资料可靠性和准确性有关的控制划分为内部会计控制,而将与后两个目标即提高经营效率、保证管理部门所制定的各项政策得到贯彻执行有关的控制归入内部管理控制。于是1953年10月,审计程序委员会(CAP)又发布了《审计程序公告第19号》(SAP No.19),对内部控制作了如下划分:“广义地说,内部控制按其热点可以划分为会计控制和管理控制;1)会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成;会计控制包括授权与批准制度;记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。2)管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系,包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等”。
可见,所以把内部控制分为会计控制和管理控制,是为了按照公认审计标准来规范内部控制检查和评价的范围。对此,1963年,审计程序委员会在《审计程序公告第33号》的结论是:独立审计师应主要检查会计控制。会计控制一般对财务记录产生直接的、重要的影响,审计人员必须对它做出评价。管理控制通常只对财务记录产生间接的影响,因此,审计人员可以不对其作评价。但是,如果审计人员认为,某些管理控制对财务记录的可靠性产生重要的影响,那么他要视情况对它们进行评价。例如,在某种特定的情况下,生产部门、销售部门和其他业务部门的统计分析需要给予评价。
3.定义的第二次修正
第一次修正后的定义,大大缩小了注册会计师的责任范围,但人们认为对“会计控制”的保护资产和保证财务记录可靠性这两点仍然可能发生误解。即对“保护”一词作广义的解释可能会使人们产生这样一种印象:“决策过程中的任何程序和记录都可以包括在会计控制的保护资产概念中”。为了避免这种宽泛的解释,1972年美国注册会计师协会(AICPA)对会计控制又提出并通过了一个较为严格的定义:“会计控制是组织计划和所有与下面直接有关的方法和程序:1)保护资产,即在业务处理和资产处置过程中,保护资产遭过失错误、故意致错或舞弊造成的损失。2)保证对外界报吉的财务资料的可靠性。”
4.定义的第三次修正
1972年,美国准则委员会(ASB)《审计准则公告》的制定者,循着《证券交易法》的路线进行研究和讨论,在第1号公告(SAS No.1)中,对管理控制和会计控制提出并通过了今天广为人知的定义:
(1)内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证:经济业务的执行符合管理部门的一般授权或特殊授权的要求;经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表,以及落实资产责任;只有在得到管理部门批准的情况下,才能接触资产;按照适当的间隔期限,将资产的账面记录与实物资产进行对比,一经发现差异,应采取相应的补救措施。
(2)内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计控制的起点。
上述内部控制定义的演变反映出两个重点:第一,当前注册计师在开展其审计工作时所运用的会计控制概念,是一种纯技术的、专业化的、适用范围具有严格规定性的、防护色彩很浓的概念,它的主要宗旨是预防和发现错弊;第二,自审计程序委员会于1949年提出第一个内部控制定义起,人们为完善该定义作了不懈的努力,以至于今天的内部控制定义与1949年的定义有天壤之别。
这种以会计控制为主的定义,虽为独立审计界认可,却屡屡遭到管理人员代言人的攻击。他们指出,这些定义把精力过多地放在纠错防弊上,过于消极和狭窄。凯罗鲁斯先生对于代表独立审计界观点的《特别咨询委员会关于内部会计控制的报告》,只表示有保留地同意。他认为,该报告对内部会计控制范围的讨论受现存审计文献的影响太大。凯罗鲁斯主张,内部控制范围和目标应予以扩展,以便它们更能够适应管理部门的需要。他极为主张,审计准则委员会所纳入“内部会计控制环境”的某些因素应该是设计合理、运行有效的内部会计控制系统不可分割的一个组成部分。这些因素包括:(1)组织计划,(2)责任的确定和授权,(3)预算程序和预算控制,(4)员工雇用计划和财务人员培训计划;(5)保证所有参与经济业务授权、记录、保护资产、报告财务信息的职员保持较高的行为道德水准的方法和措施。从管理人员(和其它有关第三方)的角度来看,会计控制和管理控制之间的区别并不大,甚至根本没有区别。特别是那些置身于企业经营活动的人们,他们很难接受这种区分。1980年3月在“内部审计师协会”代表大会的发言中,凯罗鲁斯先生把美国注册会计师协会在1958年将1949年的内部控制定义区分为会计控制和管理控制的行为描绘为“将美玉击成了碎片”。他声称,在这块美玉完全修复以前——我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。
(三)成熟期——内部控制结构和内部控制整体架构
美国注册会计师协会的文献界定了会计控制概念,而公司的经理们创立并在实践中运用着管理控制概念,这两个概念形成鲜明的对照。如果对这两种善于内部控制的不同解释的同时并行这一事实视而不见,那么任何设计内部控制系统的企图都是短视的,同时也是徒劳的。于是,人们提出了内部控制结构和整体架构的概念。
1.内部控制结构(Internal Control Structure)
1988年4月美国注册会计师协会发布的《审计准则公告第55号(SAS N0.55),规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构(Internal Control Structure)一词取代原有的“内部控制”一词,而且文告提出的内部控制内容比以前更为实在,条理更加清楚。该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。
以“财务报表审计对内部控制结构的考虑”为题的《审计准则公告第55号》指出:“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”,并且明确了内部控制结构的内容,具体如下:
(1)控制环境
所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括:管理者的思想和经营作风;企业组织结构;董事会及其所属委员会,特别是审计委员会发挥的职能;确定职权和责任的方法;管理者监控和检查工作时所用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行、影响本企业业务的各种外部关系。例如由银行指定代理人的检查等。
(2)会计系统
会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法,明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标:鉴定和登记一切合法的经济业务;对各项经济业务按时进行适当分类,作为编制财务报表的依据;将各项经济业务按适当的货币价值计价,以使列入财务报表;确定经济业务发生的日期,以便按照会计期间进行记录;在财务报表中恰当地表述经济业务以及对有关内容进行揭示。
(3)控制程序
控制程序指管埋当同所制订的用以保证达到一定目的的方针和程序。它包括下列内容:经济业务和经济活动的批准权;明确各个人员的职责分工,防止有关人员对正常业务图谋不轨的隐藏错弊;职责分工包括:指派不同人员分别承担批准业务、记录业务和保管财产的职责;凭证和账单的设置和使用,应保证业务和活动得到正确的记载:对财产及其记录的接触和使用要有何保护措施;对已登记的业务及其计价要进行复核。
上述内部控制结构的内部与1972年颁布的内部控制定义相比有两个明显的改动:一是正式将内部控制坏境纳入内部控制范畴,二是不再区分会计控制和管埋控制。这些改变可以说是反映了70年代后期以来内部控制实务操作和理论研究的一个新动向。
2.内部控制整体架构(Internal Control一Integrated Framework)
1992午,美国“反对虚假财务报告委员会”(National Commission on Fraudulent Reporting),所属的内部控制专门研究委员会发起机构委员会(Committee of Sponsoring Organizations of the Tread-way Commission,简称COSO委员会),在进行专门研究后提出专题报告:《内部控制一一整体架构(Internal Control一Integrated Framework)》,也称COSO报告。经过两年的修改,1994年COSO委员会提出对外报告的修改篇,扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制,得到了美国审计署(General Accounting Office,GAO)的认可。与此同时。AICPA则全面接受COSO报告的内容,于1995年据以发布了《审计准则公告第78号》(SAS N0.78),并自1997年1月起取代了《审汁准则公告第55号》。
COSO报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
归结上述文献,我们认为:内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性,而自行检查、制约和调整内部业务活动的自律系统。其贯穿于经营活动的全部过程,包括控制环境、风险评估、控制活动、信息与沟通,监督等要素,并受企业董事会、管理阶层及其他人员影晌。
需要指出的是,内部控制并不仅限于企业单位,同样也存在于其他各类经济组织和行政事业单位中。只是作为一种经济组织,企业这种典型形式比较具有代表性,因而,本文主要以企业对象研究内部控制,但其原埋及评价的方法同样也适用于其他各类经济组织和行政事业单位之中。
二、内部控制的要素
内部控制的内容,归恨结底是由基本要素组成的。这些要素及其构成方式,决定着内部控制的内容与形式。设计内部控制,可以根据企业特征和需求(例如企业规模、业务构成、管理水平等),对内部控制要素加以有机组合。我们认为,COSO报告提出的内容控制五项要素,具有较强的理论可取性和实践可行性,本文将以此为基础,简要阐述内部控制的要素及其结构。
(一)控制环境
控制环境提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:
(1)诚信的原则和道德价值观。无论是企业最高管理层还是其它成员都应当做到:严格一致地保持诚信行为和道德标准;不要盲目追求不切实际的目标,以致形成不必要的压力;对敏感职位之间的财务分工要准确明细,以避免造成偷窃资产或隐藏不佳绩效的引诱;加强企业的内部审核制度;发挥董事会的职能,使其客观监督企业的高层管理阶层;提供道德方面的指导,使所有雇员在一般和特定环境下能够保持正确的判断;制作文字化的行为准则和政策声明,将其传达给全体雇员;将诱发人们不诚实、非法和不道德行为的动机降至最低。
(2)评定员工的能力。管理部门须制定正式或非正式的职务说明书,逐项分析并规定各工作岗位所须具备的知识和技能。
(3)董事会和审计委员会。组成这两个机构须考虑的因索主要包括:成员的经验;相对于管理层的独立性;外部董事的比例;其成员参与管理的程度;所采取措施的适宜性;对管理层提出问题的深度和广度;他们与内部、外部审计人员的关系实质。
(4)管理哲学和经营风格。主要考虑:对待和承担经营风险的方式;依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通;对财务报告的态度和所采取的措施;对信息处理以及会计功能、人员所持的态度;对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。
(5)组织结构。企业的组织结构是指为公司活动提供计划、执行,控制和监督职能的整体框架。具体应考虑:组织结构的合适性,及其提供管理企业所需信息的沟通能力;各主管人员所负责任的适当性;按照主管人员所担负的责任,判断其是否具备足够的知识及丰富的经验;当环境改变时,企业配合改变其组织结构的程度;员工,尤其是负责管理及监督职能的员工人数的充足程度。
(6)责任的分配与授权。强调对于组织内的全部活动要合理有效地分配职责和权限,并为执行任务和承担职责的组织成员特别是关键岗位的人员,提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配,要使所有员工知道:他们的工作行为,以及职责担负形式和认可方式,与达成组织目标的联系。
(7)人力资源政策及实务。内部控制是由人来进行并受人的因素影响,保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践,是内部控制有效的关键因素之一。具体包括:有完善的招聘与选拔方针及操作性程序;对新员工进行企业文化和道德价值观的导向培训;对违反行为准则的任何事项,制订纪律约束与处罚措施;对业绩良好的员工,制订具有奖励和激励作用的报酬计划,并避免诱发不道德行为;根据阶段性的业绩评估结果,对员工予以晋升、指导以及奖罚。
(二)风险评估
每个企业都面临来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件,是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。
(1)目标。企业的整体目标,通常是由企业的理念及其所追求的价值所决定的,而与之相配合的是企业下一级各部门的具休目标。整体目标主要是:营运目标,包括绩效和获利目标及保障资产的安全,使其免受损失;财务报告目标,防止对外报送不真实的财务报告;遵循目标,企业遵循国家的相关法律法规。
(2)风险。辨识和分析风险的过程是一种持续及反复的过程,也是有效内部控制的关键组成要素,管理阶层须谨慎注意各部门阶层的风险,并采取必要的管理措施。企业的风险一般是由外部因素和内部因素所产生的。外部因素包括:科技发展;顾客的需求或预期改变;竞争;新的法律和行政命令;自然灾害;经济环境改变等。内部因素包括:信息系统处理的中断;聘用员工的品质、培训方法及激励制度;经理人员的责任改变;企业活动的性质以及员工可接近资产的程度;董事会或监事会不够坚定或无效等。
(3)环境变化后的管理。经济、产业及管理的环境都是会改变的,企业的活动应随之改变。因此,风险评估中最基本的部分,就是如何辨认已发生的改变,并采取必要的行动。这些改受因素包括:行业环境的改变;新员工;业务迅速成长;新科技;新业务、产品、作业;公司重组;国外业务等。
(三)控制活动
企业管理阶层辩识风险,继之应针对这种风险发出必要的指令。控制活动,是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现,这主要包括:
(1)高层经理人员对企业绩效进行分析。管理阶层记录经营活动(如:市场的扩展、生产过程改良、成本的控制)的结果,然后再与预算、预测、前期及竞争者的绩效相比较,以衡量目标达成的程度和监督计划(如:新产品开发、合资经营、融资行为)的执订情况。
(2)直接部门管理。负责某一部门的经理人员复核自己所负责部门的业绩报告,检查本部门各业务活动的情况,以便辨认趋势。
(3)对信息处理的控制。对信息系统的控制活动可分为两类,第一类是一般控制(general control),它帮助管理阶层确保系统能持续、适当的运转;第二类是应用控制(application control),它包括应用软件中的电算化步骤及相关的人工程序。(一般控制包括:对资料中心运作的控制;对系统软件的控制;存取安全的控制;对应用系统的发展及维护的控制。(应用控制包括:输入控制;输出控制)。
(4)实体控制。保护设备、存货、证券、现金和其它资产的实体安全,定期盘点并与控制记录所显示的金额相比较。
(5)绩效指标的比较。把不同的几套数据资料(如:经营数据与财务数据)相互比较,分析它们之间的关系,然后再进行调查与纠正。以存货为例,其绩效指标包括:购货价差、订单中“紧急订货”比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势,辨认采购作业的目标无法达成的原因。
(6)分工。分工即指将责任划分,再将不相容职务分派给不同的员工,以降低错误或不当行为的风险。
(四)信息与沟通
企业在其经营过程中,需按某种形式辨识、取得确切的信息,并进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。
(1)信息系统。信息系统处理企业内部信息和外部信息。内部信息资料包括采购资料、销售交易资料、内部营业活动资料和内部生产过程资料;外部信息资料包括显示本企业产品的需求发生改变时,某种特定市场或行业的经济资料,用于企业生产的商品的资料,显示顾客偏好的市场情报,竞争对手产品开发活动的信息,立法机关与行政机关所发布的信息。企业建立良好的信息系统,必须做到;建立良好的信息系统支持策略,信息系统与企业营运应有效的结合;选择更新信息系统的最佳时间;有很好的信息品质。
(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。内部沟通需要做到:所有的员工,特别是那些负有重要营业责任或财务管理责任的员工,除了得到用以管理其负责活动的重要资料以外,还应当得到来自最高管理层需谨慎承担内部控制责任的清楚信息;必须让每个人清楚的知道个人所担负的特定任务,了解内部控制制度的各项规定、它们如何生效,以及他(她)在控制系统中所扮演的角色及所承担的责任;员工在其执行任务时,一旦有非预期的事项发生,除了要注意该事项本身之外,还应当注意导致该事项发生的原因,如此才有办法辨认潜在缺失,采取行动,并预防再度发生;员工必须知道他(她)所负责的活动是怎样与他人的工作发生关联的;员工必须拥有在组织中向上沟通重要信息的方法。外部沟通应做到:顾客和供应商能经过开放的沟通管道输入重要的信息;与相关的外部团体沟通,以便获悉关于本企业内部控制功能的重要信息;外部审计人员对企业营业、相关业务问题及控制系统审计后,可以提供给管理阶层及董事会重要的控制信息;政府主要机关(如:银行或保险机关)所报道的复核或检查的结果,可以有效的弥补控制的缺失。
(五)监督
内部控制系统需被监督。监督是由适当的人员,在适当及时的基础下,评估控制的设计和运作情况的过程。监督活动由持续监督、个别评估所组成,其可确保企业内部控制能持续有效的运作。
(1)持续的监督活动。持续的监督活动在营运过程中发生,它包括例行的管理和监督活动,以及其他员工为履行其职务所采取的行动。持续监督活动包括:负责营运的管埋阶层(operating managerment)在履行其日常的管理活动时,取得内部控制系统持续发挥功能的资料,当营运报告、财务报告与他们所得到的资料有大偏离时,可对报告提出质疑;来自外界团体的沟通,可以验证内部信息的正确性,并能及时反映问题的所在;适当的组织机构及监督活动,可用来辨识缺失;各个职务的分离,使不同员工之间可以彼此相互检查,以防止舞弊;把信息系统所记录的资料同实际资产核对;内、外部稽核人员定期提出强化内部控制系统的建议;培训课程、规划会议和其他会议,可把控制是否有效的重要信息反馈给管理阶层;定期要求员工陈述他们是否了解企业的行为准则,并加以遵守,对于负责业务和财务的员工,则要求他们陈述某些特定控制是否都予执行,管理阶层或内部稽核人员还必须验证这些陈述是否确实。
(2)个别评估。尽管持续监督程序可以有效的评价内部控制体系,但企业有时需要组织例外评估以直接监视控制系统的有效性,这种做法可评估持续性监督程序。评估的范围和频率,视风险的大小及控制的重要性而定。
(3)报告缺陷。内部控制的缺失应由下往上报告,某些缺失应报告给高层管理阶层及董事会知道。
三、内部控制的组合
上述内部控制要素,按照不同的标志可以组合成不同的集合,也即按照不同分类标准可以划分为不同的类别形态,籍此可以揭示不同形式内部控制的特征和功能。内部控制的组合方式或者分类形式,除了按照控制目标为标志,划分为会计控制和管理控制外(见上文),还可按照其他标志组合为下列类别。
(一)按照控制内容为标志,可划分为一般控制和应用控制
1.一般控制
一般控制,是指对企业经营活动赖以进行的内部环境所实施的总体控制,因而亦称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等项内容。这类控制的特征,是并不直接地作用于企业的生产经营活动,而是通过应用控制对全部业务活动产生影响。
2.应用控制
应用控制,是指直接作用于企业生产经营业务活动的具体控制,因此亦称业务控制,如业务处理程序中的批准与授权、审核与复核、以及为保证资产安全而采用的限制接近等项控制。这类控制的特征,在于它们构成了生产经营业务处理程序的一部分,并都具有防止和纠正一种或几种错弊的作用。
(二)按照控制地位为标志,可划分为主导性控制和补偿性控
1.主导性控制
主导性控制,是指为实现某项控制目标而首先实施的控制。如凭证连续编号可以保证所有业务活动都得到记录和反映,因此,凭证连续号对于保证业务记录的完整性就是主导性控制。在正常情况下,主导性控制能够防止错弊的发生,但如果主导性控制存在缺陷,不能正常运行时,就必须有其它的控制措施进行补充。
2.补偿性控制
补偿性控制,就是指能够全部或部分弥补主导性控制缺陷的控制。就上例而言,如果凭证没有连续编号,有些业务活动就可能得不到记录。这时,实施凭证、账证、账账之间的严格核对,就可以基本上保证业务记录的完整性,避免遗漏重大的业务事项。因此,“核对”相对于凭证“连续编号”来说,就是保证业务记录完整性的一项补偿性控制。
(三)按照控制功能为标志,可划分为预防式控制和侦察式控制
l.预防式控制
预防式控制,是指为防止错误和非法行为的发生,或尽量减少其发生机会所进行的一种控制。它主要解决“如何能够在一开始就防止错弊的发生”这个问题。例如对业务人员事先作出明确的指示和实施严格的现场监督,就能避免误解指令和发生错弊。
2.侦察式控制
侦察式控制,是指为及时查明已发生的错误和非法行为或增强发现错弊机会的能力所进行的各项控制。它主要是解决“如果错弊仍然发生,如何查明”的问题。例如,通过账账核对、实物盘点,以发现记账错误和货物短缺等。
(四)按照控制时序为标志,可划分为原因控制、过程控制和结果控制
1.原因控制
原因控制,也称事先控制,是指企业单位为防止人力、物力、财力等资源在质和量上发生偏差,而在行为发生之前所实施的内部控制。例如领取现金支票前的核准、报销费用前的审批等。
2.过程控制
过程控制,也称事中控制,是指企业单位在生产经营活动过程中针对正在发生的行为所进行的控制。例如,对生产过程中使用材料的核算,对在制造产品的监督和对加工工艺的记录等。
3.结果控制
结果控制,也称事后控制,是指企业单位针对生产经营活动的最终结果而采取的各项控制措施,例如对产出产品的质量进行检验,对产品数量加以验收和记录等。
此外,内部控制还可按照管理目标、业务循环和职能部门等标志,划分为相应类别的组合形式。需要说明的是,各种类型的内部控制,在实际工作中多是交叉存在的。同一种内部控制措施,在不同划分标志下,也可转化为不同的类型形态。
四、内部控制的局限
内部控制作为企业自我调节和自行制约的内在机制,处于单位中枢神经系统的重要位置,可以说没有健全完善的内部控制,就很难组织起现代化的社会大生产活动,也就谈不上现代化的企业生产和经营管理。健全有效的内部控制,不仅能保证企业会计信息的真实正确、财务收支的有效合法和财产物资的安全完整,还能保证企业经营活动的效率性、效果性以及企业经营决策和国家法律法规的贯彻执行。但任何事物都不是尽善尽美的,内部控制也同样存在其固有的、不可避免的局限性。一般而言,内部控制的局限性主要表现为:
1.如果企业内部行使控制职能的管理人员滥用职权、蓄意营私舞弊,即使具有设计良好的内部控制,也不会发挥其应有的效能。内部控制作为企业管理的一个组成部分,它理所当然地要按照其管理人员的意图运行,尤其是企业负责人的决策更是起决定作用。决策出了问题,贯彻决策人意图的内部控制也就失去了应有的控制效能。
2.如果企业内部不相容职务的人员相互串通作弊,与此相关的内部控制就会失去作用。内部控制的一条重要原则就是将不相容职务进行分离。在实际工作中,如果处于不相容职务上的有关人员相互串通、相互勾结,失去了不同职务相互制约的基本前提,内部控制也就很难发挥作用。
3.如果企业内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。内部控制是由人建立的,也要由人来行使的,如果企业内部行使控制职能的人员在心理上、技能上和行为芳式上未能达到实施内部控制的基本要求,对内部控制的程序或措施经常误解、误判,那么再好的内部控制也很难充分发挥作用。
4.企业实施内部控制的成本效益问题也会影响其效能。控制环节越多、控制措施越复杂,相应的控制成本也就越高,同时也会影响企业生产经营活动的效率。因此,在设计和实施内部控制时,企业必然要考虑控制成本与控制效果之比。当实施某项业务的控制成本大于控制效果而产生损失时,就没有必要设置控制环节或控制措施,这样某些小错弊的发生就可能得不到控制。
5.内部控制一般都是针对经常而重复发生的业务而设置的,而且一旦设置就具有相对稳定性,因此如果出现不经常发生或未预计到的经济业务,原有控制就可能不适用,临时控制(如实行专门的审批、报告和执行程序来处理临时性或突发性业务)则可能不及时,从而影响内部控制的作用。
下一篇:谈企业内部控制制度的建立
实务学习指南
距6月报税结束还有天
新用户扫码下载
京公网安备 11010802023314号