一、內部控制的定义:
什么是内部控制?不同部门的人从不同的角度对内部控制会有不同的看法。
美国审计权威机构COSO(1994)的定义是:内部控制是一个受某单位不同层次的人影响的过程。具体包括:
1、内部控制是一种程序,它意味着向某一终点努力,但不是终点本身;
2、内部控制是用来取得一种或多种互相区分而又紧密联系的目标;
3、内部控制受人的影响,而不只是政策、守则或表格;
4、只能期待内部控制为公司管理层提供合理的保证,而不是绝对的保证。
国内学者大多认为内部控制是指由企业董事会、管理者和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目的而提供合理保证程序或过程。
二、內部控制的内容
内部控制涉及企业生产经营的控制环境、风险评估、监督决策、信息与交流以及自我监督等方面,从总体上透视了企业生产的各个环节。其有效实施会促使企业生产管理登上一个新台阶,促进企业经营流程的合理化和规范化。
(1)控制环境:控制环境是推动控制工作的发动机,是所有其他内部控制组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟,还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内部控制的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内部控制的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
(2)风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估原则强调有效的内部控制系统,需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司所面对的全部风险(如企业要面对财务风险、经营风险、市场风险、法律风险和声誉风险)。需要不时调整内部控制,以便恰当地处理任何新的或过去不加控制的风险。
(3)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。
(4)信息与交流:存在于所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。
(5)监督评审:是经营管理部门对内部控制的管理监督和内审监察部门对内部控制的再监督与再评价活动的总称。
监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内部控制缺陷的报告和对政策程序的调整等等。
三、內部控制的目的:
内部控制目的论的发展经过了下述阶段:
1、“三目的论”认为:内部控制是为了保护单位的财产,会计记录的准确可靠和及时提供可靠的财务信息。
2、“四目的论”认为:内部控制除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率。巴塞尔委员会把内部控制的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中还把管理信息包括了进来,明确要求实现财务和管理信息的可靠性、完整性和及时性。
国内学者归纳起来认为:内部控制的目的是指内部控制想要达到的目标,大致包括:
①保护企业资产的安全、完整及对其的有效使用。
②保证会计信息及其他各种管理信息的存在、可靠和及时提供。
③保证企业制定的各项管理方针、制度和措施的贯彻执行。
④尽量压缩、控制成本、费用,减少不必要的成本、费用,以求企业达到更大的盈利目标。
⑤预防和控制且尽早尽快查明各种错误和弊端,以及及时、准确地制定和采取纠正措施。
⑥保证企业各项生产和经营活动有秩序有效地进行。
建立有效的内部控制制度对于防止、及时发现和纠正生产、经营运行过程中的各种错弊现象及不法行为有其特殊作用,对涉及投资、生产、经营、财务等各个方面和各个环节进行全方位、全过程的管理控制,对完善现代企业制度,依法治企,满足监管要求,控制风险,加强基础工作、提高管理水平,促进各项生产经营活动进一步规范、有序运行,保证整体经营目标的实现等,都有极其重要的意义。
四、内部控制存在的问题:
近年来,在强调建立现代企业制度,完善法人治理结构的同时,理论和实务界不约而同地把治理的重点瞄向加强企业内部控制,强化企业自身的“免疫”和“抗干扰”能力上。然而,还有相当一部分企业未意识到内部控制的重要性,对内部控制存在许多误解,甚至概念模糊,治理结构先天不足,再加上内部控制固有的局限性,使企业内部控制薄弱,经济业务随意性大,缺乏有效的内部控制审计机制。主要表现在:
1、内部控制制度不健全:
目前,多数企业的内部控制制度不够全面,没有覆盖所有的部门和人员,没有渗透到企业各个业务领域和各个操作环节,使中小企业会计工作秩序混乱、核算不实而造成会计信息失真现象极为严重。如不少企业常规票据分管制度、重要空白凭证保管使用制度、会计人员分工中的“内部牵制”原则均没有建立,甚至一些小企业没有正规的财会部门,会计、出纳、审核等事项由一个人包办。原始凭证的取得或填制本身就不合法,以此为依据编制的记账凭证、登记的账簿、出具的会计报表及一系列的会计分析等也就毫无意义。一些企业人为捏造会计数据,设置“小金库”,乱摊成本,隐瞒收入,虚报利润,恶意逃避税收等。所有这些,都与企业内部控制制度不健全密切相关。
2、内部控制审计缺失:
内部控制审计是企业内部控制制度的一个重要组成部分。据调查,为数不少的企业没有设置内部审计机构, 更谈不上内部控制审计。即使具有内审机构的企业,其内部控制审计也往往会被忽略。
五、解决问题的方法:
1、建立健全内部控制体系
任何企业的控制活动都存在于一定的控制环境之中,控制环境的好坏,直接影响到企业内部控制的遵循和执行,以及企业经营目标、整体战略目标的实现。加强和完善企业内部控制,应注意企业内部控制环境的建设,包括经营管理的理念、方式和风格,组织机构,授权和分配责任的方法,管理控制方法,人力资源管理政策和实务,外部环境的影响等。只有建立良好的内部控制环境,才能保证制度的真正落实,才能真正达到内部控制的目的。
(1)建立组织规划控制机制
组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面:一是法人的治理结构问题,涉及董事会、监事会、经理的设置及相关关系,二是管理部门设置及其关系,对财务管理来说,就是如何确定财务管理的广度和深度,由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有:授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离:(1)授权批准职务与执行业务职务相分离。
(2)业务经办职务与审核监督职务分离。
(3)业务经办职务与会计记录职务分离。
(4)财产保管职务与会计记录职务分离。
(5)业务经办职务与财产保管职务相分离。
要建立健全组织规划控制,目前必须解决两个问题:
(1)设立管理控制机构。例如,目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。
(2)推行职务不兼容制度,杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人,董事会和总经理班子人员重叠。在上市公司中,这一问题虽有了较大的改变,但从公司制企业的总体上看,仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。因此,建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设,避免关键管理人员重叠等等。
2、建立会计系统控制
会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规,制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序,实行会计人员岗位责任制,建立严密的会计控制系统。会计系统控制主要包括:
(1)建立健全内部会计管理规范和监督制度,且要充分体现权责明确、相互制约以及及时进行内部审计的要求。
(2)统一会计政策,尽管国家制定了统一的会计制度,但其中某些会计政策是可选的。因此,从企业内部管理要求出发,必须统一执行所确定的会计政策,以便统一核算汇总分析和考核,企业会计政策可以专门文件的方式予以颁布。
(3)统一会计科目,在实行国家统一一级会计科目的基础上,企业应根据经营管理需要,统一设定明细科目,特别是集团性公司更有必要统一下级公司的会计明细科目,以便统一口径,统一核算。
(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法,遵循会计制度规定的各条核算原则,使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。
3、授权批准、财产保全控制
授权批准是指企业在处理经济业务时,必须经过授权批准以便进行控制,授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定,一般授权时效性较长;而特殊授权是对办理例外业务时权力、条件和责任的规定,一般其时效性较短。不论采用哪一种授权批准方式,企业必须建立授权批准体系,其中包括:
(1)授权批准的范围,通常企业的所有经营活动都应纳入其范围。
(2)授权批准的层次,应根据经济活动的重要性和金额大小确定不同的授权批准层次,从而保证各管理层有权亦有责。
(3)授权批准的责任,应当明确被授权者在履行权力时应对哪些方面负责,应避免责任不清,一旦出现问题又难咎其责的情况发生。
(4)授权批准的程序,应规定每一类经济业务审批程序,以便按程序办理审批,以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权,经办人员也必须在授权范围内办理经济业务。
财产保全控制包括:
(1)限制直接接触,限制直接接触主要指严格限制无关人员对实物资产的直接接触,只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。
(2)定期盘点,建立资产定期盘点制度,并保证盘点时资产的安全性。通常可采用先盘点实物,再核对账册来防止盘盈资产流失的可能性,对盘点中出现的差异应进行调查,对盘亏资产应分析原因、查明责任、完善相关制度。
(3)记录保护,应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管,避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录,以便在遭受意外损失或毁坏时重新恢复,这在当前计算机处理条件下尤为重要。
(4)财产保险,通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会,从而保护实物的安全。
(5)财产记录监控,对企业要建立资产个体档案,资产增减变动应及时全面予以记录。加强财产所有权证的管理,改革现有低值易耗品等核销模式,减少备查簿的形式,使其价值纳入财务报表体系内,从而保证账实的一致性。
4、完善内部控制审计机制
内部审计控制是内部控制的一种特殊形式,它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构,在某种意义上讲是对其他内部控制的再控制。审计作为企业客观、公正的管理部门,在建立现代企业制度,完善法人治理结构,实现经营机制的转换,加强企业管理,提高企业经济效益等方面发挥着重要作用。企业内部控制的建立,为审计人员提供了新的审计任务,即如何对企业内部控制进行审计呢?
(1)确定审计重点,编制内部控制审计计划
a、审计部门根据本企业的工作目标和重点,提出内部控制审计的重点内容和重点审计单位,编制年度、半年内部控制审计计划,并根据实际工作出现的新情况和新问题及时对计划进行调整、修改和补充。
b、根据上级部门和有关领导直接布置的专项工作制定专项内部控制审计计划。
(2)组建内部控制审计工作组。
根据内部控制审计工作的性质、业务量、难度及时间进度,并结合有关领导及部门对内部控制审计任务的特殊要求和规避原则,组织有经验的审计人员和聘请有关专家,组建内部控制审计工作组,任命工作组组长,并对工作组成员提出任务性质、工作量、完成时间、注意事项等要求,同时进行审计前有关法律法规、主要业务培训,为现场审计打好基础。
(3)编制内部控制审计方案。
a、内部控制审计工作组组长负责编制内部控制审计方案。
b、内部控制审计方案主要内容包括内部控制审计的目的、审计的时间、审计的范围、审计的方式、审计的内容、人员的分工等。其中审计的内容包括:合规性审计、全面性与系统性审计、内部牵制及不相容审计、权责和奖惩审计、成本效益审计、可操作性审计等等。
c、内部控制审计方案要保证能够使审计工作达到预期效果。
(4)下达审计通知
内部控制审计工作组于实施现场审计前2-3日向被审计单位下达内部控制审计通知书,通知书中明确被审计单位需要准备的资料、参加审计人员,同时要求被审计单位要有一名审计工作协调员,负责审计联络工作及有关事项。
(5)进行现场审计
内部控制审计工作组进驻现场后,要召开审计进点会,向被审计单位说明审计的任务,提出具体要求,并听取有关情况汇报。审计人员按照内部控制审计方案中确定的审计方法和步骤、范围和数量及分工,采用查阅、询问、核对、盘点、分析性复核、审阅证据、穿行测试和实地观察等方法,根据现场确定的审计重点,对照内部控制规定的业务流程步骤、控制点和监督检查方法,抽取一定的经济业务对被审计单位或部门的内部控制进行测试,检查内部控制是否执行以及执行的程度。
审计人员将测试情况(包括存在的问题和被检查单位或部门已有的改正措施)记录于工作底稿,被审计单位和部门负责人或当事人在工作底稿上签字确认。此外,内部控制审计组组长还应指定专人复核工作底稿,提出复核意见,必要时重新进行测试。
最后,审计组组长负责召集小组成员对审计情况进行讨论和总结,以测试记录为依据,按照内部控制评价方法,从不相容职务是否在实质上做到相互分离、是否在授权批准范围内履行职责以及是否一贯有效的执行等方面,对所检查的控制点和流程进行评价,分析被审计单位内部控制制度存在的缺陷和漏洞,评价该单位内部控制的成效,初步形成审计意见和建议,并将评价结论记录于工作底稿,审计组组长对审计评价结果负责。审计组将检查、评价结论告知被审计单位或部门负责人,并与其充分讨论沟通,交换意见,被审计单位负责人对审计、评价结论提出书面反馈意见并签字确认,对存在的问题限期整改。
(6)撰写审计报告
内部控制审计工作组对审计工作底稿、工作记录、相关证据进行汇总整理,完善审计意见,撰写审计报告,审计报告应包括被审计单位的基本情况、审计发现的问题、改进建议和审计评价结论、奖惩意见等。内部审计工作组组长审定审计报告并签字。
通过上述实施内部控制审计过程,可以为完善内部控制审计机制提供帮助。
六 实施内部控制过程中须注意的几个问题
为适应现代社会经济环境的发展,内部控制必须由“维持现状”向“改善现状”转变,由重“纠偏”向重“引导”转变。因此,在内部控制实施过程中,有以下几个问题需要关注:
1.控制对象与内容的可控性。控制的核心问题是控制对象与内容可控,进而才能通过调整行为标准来改善现状。从理论上讲,控制的对象既包括正在使用或发生的资源与活动,也包括已经使用或发生的资源与活动,还有未来将要使用或发生的资源与活动。
2.控制环节的相互影响。组织中的每个成员分布在流程中相互连接的不同环节,各个控制点正在进行的活动不是孤立的,其控制效果既受以往完成的活动状况的影响,也对将来状态及效果产生影响。如果控制过程过分追求责任控制,使每个组织成员只关心自己行为的直接后果而无视处于流程中的下一控制环节所带来的连带效应,必然导致组织内部不协调,增加不必要的管理损耗。因此,现代内部控制在立足未来、改善现状的同时,必须考虑整体效果并树立系统观念。
3.业绩衡量的操作性。业绩是控制的结果体现,对业绩的正确衡量有利于判断控制的效果以及指明未来改善的方向。判断所设定指标对特定主体是否可控,美国管理会计学界曾提出三条标准,即指标可衡量性、主体可知性和可影响性。但实践中,即使设定了符合需要的指标,也很难对业绩进行准确恰当的衡量。主要有三个方面的原因:首先,在执行组织目标、预算的过程中存在着各种不确定性;其次,对于规模庞大、结构复杂的组织来说,很难明确区分单个部门或个人对业绩的贡献程度;另外,控制环节的相互影响也使某一环节对组织目标实现的影响程度很难界定。可以说,组织中难以自上而下形成强有力的自我控制意识与业绩衡量的模糊性有着相当大的关系。所以,恰当解决业绩衡量的模糊性问题是促进组织控制文化形成的关键。
4.信息系统建设。传统的内部控制系统强调权力的制衡,而忽视信息系统的建设。但正如COSO报告《内部控制整体框架》(1992)中指出的,信息与沟通是内部控制要素的重要组成部分,相当于组织内部控制有效运行的神经中枢系统。管理基于信息,控制也要基于信息。信息的集成、传递的滞后会导致事前因实际后果未知而无法控制;事中因无法获得实时信息而无力控制;事后缺少反馈信息而无可控制。信息技术与业务活动的有效结合,使获取实时信息成为可能,有助于强化事前控制与事中控制,提高组织的快速反应能力。因此,信息系统的建设是现代内部控制体系建设中的重要内容。
七、结束语
总之,通过建立健全内部控制体系、完善内部控制审计机制,可以为企业建立公司治理结构,确立董事会在内部控制系统中的核心地位,增强企业的竞争实力,提高企业的经济效益。(
