1.内部控制概述
1.1内部控制的发展过程
萌芽期——内部牵制
内部控制的发展期——内部会计控制与内部管理控制
内部控制的成熟期——内部控制结构和内部控制整体架构
1.1.1萌芽期——内部牵制
内部牵制,是“为提供有效的组织和经营,并防止错误和其他非法业务发生而制定的业务流程。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制”(《柯氏会计辞典》)。内部牵制以查错防弊为目的,以职务分离和账目核对为手法,以钱、账、物等会计事项为主要控制对象。
例如,早在古罗马时代,对会计账簿实施的“双人记账制”——某笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的,即是典型的内部牵制措施。
1.1.2发展期——内部会计控制与内部管理控制
(一)二十世纪40-60年代
美国审计程序委员会下属的内部控制专门委员会于1949年发表了题为 《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,对内部控制首次做出了如下权威定义:“内部控制是企业所制定的旨在(1)保护资产、(2)保证会计资料可靠性和准确性、(3)提高经营效率,(4)推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。此定义强调,内部控制
(1)不只限于与会计和财务部门直接有关的控制方面,它还包括预算控制、成本控制、定期报告经营情况、进行统计分析并将统计报告送交有关部门、制定培训计划以培训有关人员使其能够履行职责(走出了单纯的财务会计领域);以及
(2)设立内部审计部门以保证管理部门所制定的各种程序的准确性,并保证其得到贯彻执行等内容。(提出自我监督)
该委员会同时将内部控制划分为“会计控制”和“管理控制”两大类—即将与前两个目标即保护资产和保证会计资料可靠性和准确性有关的控制划分为内部会计控制,而将与后两个目标即提高经营效率、保证管理部门所制定的各项政策得到贯彻执行有关的控制归入内部管理控制。
(二)二十世纪70年代
1972年,美国准则委员会(ASB)《审计准则公告》在第1号公告中,对管理控制和会计控制提出并通过了今天广为人知的定义:
(1)内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证:经济业务的执行符合管理部门的一般授权或特殊授权的要求;经济业务的记录必须有利于按照一般公认会计原则或其他有关标准编制财务报表,以及落实资产责任;只有在得到管理部门批准的情况下,才能接触资产;按照适当的间隔期限,将资产的账面记录与实物资产进行对比,一经发现差异,应采取相应的补救措施。
(2)内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计控制的起点。
重大突破:提出了授权、组织的概念,是内控制度的一大突破。
这种以会计控制为主的定义,虽为独立审计界认可,却屡屡遭到管理人员代言人的攻击。他们指出,这些定义把精力过多地放在纠错防弊方面,过于消极和狭窄,不具备主动性。
1.1.3内部控制的成熟期——内部控制结构和内部控制整体架构
(一)内部控制结构
1988年4月美国注册会计师协会发布的《审计准则公告第55号》取代1972午发布的《审计准则公告第1号》。该公告首次以“内部控制结构”一词取代原有的“内部控制”一词,而且公告提出的内部控制内容比以前更为实在,条理更加清楚。该公告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。
以“财务报表审计对内部控制结构的考虑”为题的《审计准则公告第55号》指出:“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”,并且明确了内部控制结构的内容,包括控制环境、会计系统和控制程序。
(1)控制环境。
所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括:
管理者的思想和经营作风;
企业组织结构;
董事会及其所属委员会,特别是审计委员会发挥的职能;
确定职权和责任的方法;
管理者监控和检查工作时所用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计;
人事工作方针及其执行、影响本企业业务的各种外部关系。例如由银行指定代理人的检查等。
(2)会计系统。
会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法,明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标:
鉴定和登记一切合法的经济业务;
对各项经济业务按时进行适当分类,作为编制财务报表的依据;
将各项经济业务按适当的货币价值计价,以便列入财务报表;
确定经济业务发生的日期,以便按照会计期间进行记录;
在财务报表中恰当地表述经济业务以及对有关内容进行揭示。
(3)控制程序。
控制程序指管理当局所制订的用以保证达到一定目的的方针和程序。它包括下列内容:
①细分经济业务和经济活动的批准权,明确各个人员的职责分工,防止有关人员对正常业务图谋不轨的隐藏错弊。职责分工包括:指派不同人员分别承担批准业务、记录业务和保管财产的职责。坚持不相容职责应相互分离。
②凭证和账单的设置和使用,应保证业务和活动得到正确的记载:对财产及其记录的接触和使用要有何保护措施;对已登记的业务及其计价要进行复核。
上述内部控制结构的内容与1972年颁布的内部控制定义相比有两个明显的改动:一是正式将内部控制环境纳入内部控制范畴,二是不再区分会计控制和管理控制。内部控制从保守走向开放。
(二)内部控制整体架构
1992年,美国COSO委员会[][wu_lian1]在进行专门研究后提出专题报告:《内部控制一一整体架构》,也称COSO报告。经过两年的修改,1994年COSO委员会提出对外报告的修改篇,扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制,得到了美国审计署 (General Accounting 0ffice,GAO)的认可。与此同时,AICPA则全面接受COSO报告的内容,于1995年据以发布了《审计准则公告第78号》(SAS No.78),并自1997年1月起取代了《审计准则公告第55号》。
COSO报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务会计报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
(1)控制环境,其内容有管理者的经营风格和经营理念、董事会及审计委员会、组织结构与权责分派体系、员工的品行与素质、人力资源政策及执行、管理控制方法、外部影响;
(2)风险评估,包括;包括外部风险和内部风险评估。
任何企业都时刻面临来自组织内外部的各种风险;在实施计划的过程中,企业内外部的相关因素可能发生变化,甚至发生重大变化,风险处处存在并给组织目标的实现带来威胁。企业必须对其面临的各种风险并据此确定内部控制的重点。企业外部的风险主要包括政治、经济、社会、文化与自然等方面。如环境的变化、新技术的应用等。内部风险主要来自决策失误、执行不力、生产故障等。
环境和风险评估是提高企业内部控制效率和效果的关键。这是知识经济信息社会所带来的必然影响。
(3)控制活动,包括交易授权、职责划分与职务分离、业务流程与操作规程、业务记录、规章制度、控制标准(计划、定额、指标、标准等)、独立检查等。
(4)信息与沟通,将计划执行情况及时反馈给管理者,以便管理者对已达到的目标水平与预期目标进行比较分析。这种信息反馈的速度、准确性如何,直接影响到内部控制指令的正确性和纠偏措施的准确性。包括确认记录有效的经济业务、采用恰当的货币价值计量、在财务报告中恰当揭示。
(5)监控,监控是评价期间内部控制业绩质量的进程,它是对企业内部控制整体框架及其运行情况的跟踪、监测和调节,以自始至终确保其有效性。包括自我控制与内部审计。
自我控制指每个企业的管理部门和各级人员定期或不定期地对各自执行内部控制制度的情况进行检查,分析和评估其有效性及实施的效率效果,以期更好地达成内部控制的目标。
内部审计主要从事两方面的工作,一是财务审计,即对各个责任中心责任报表的真实性进行审核,以确保经营者能够获得真实的业绩报告;二是管理审计,即对企业的各级管理制度及其运行进行调查和评价,完善和发展企业内部管理,保证经营者制订的各项政策在各个责任中心得到贯彻执行。通过对自身内部控制的评价,可以找出内部控制的薄弱环节,帮助管理者改善企业经营管理,提高经营效率,从而提高企业的经济效益。
(三)COSO报告下的内部控制新发展 内部控制理论的发展经过了内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。1992年,COSO颁布了《内部控制——整体框架》报告,受到了世界理论界与实务界的广泛关注,被世界上许多企业所采纳,也被国内有关内部控制的权威规定所借鉴。同时,理论界与实务界对内部控制框架也提出了一些改进性建议,强调内部控制框架与企业风险管理相结合。应企业风险管理的迫切需要,吸收了风险管理的研究成果,结合《萨班斯——奥克斯法案》(Sarbanes——Oxley Act),2004年9月COSO委员会颁布了《企业风险管理——总体框架》(Enterprise Risk Management——Integrated Framework)新报告。新报告涵盖内部控制框架的内容,其范围和内容比内部控制框架的范围更广泛。新报告给出了企业风险管理的明确定义:企业风险管理是一个过程,该过程由企业董事会、管理层和其他员工共同参与,应用于战略制定,贯穿于企业各层级和部门,为识别影响企业的潜在事项和在风险偏好范围内管理风险而设计,为企业目标的实现提供合理保证;提出了内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控八个相互联系要素。同以往的内部控制理论及研究成果相比,新报告提出了许多新的、有价值的观点。主要体现在:
(1)清晰的风险管理流程
与以往内部控制理论相比,新报告首次提出了清晰风险管理的流程:目标制定——事项识别——风险评估——风险反应——控制活动。这一流程处于企业内部环境提供的规则和结构的背景下,借助于信息与沟通进行,并处于监控之下。新报告针对不同目标分析其相应风险,自然将目标设定设为风险管理流程的重要步骤。目标确定后对影响目标实现的内部与外部的潜在事项进行识别,区分机遇与风险。存在潜在正面影响的事件代表机遇,存在潜在负面影响的事件是风险。通过事项识别,引导管理层全面考虑机遇与风险,使战略和目标不被偏离。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从风险发生可能性以及将会带来的影响进行评估。风险反应方案有四种:规避、减少、共担和接受风险。企业管理者应在企业风险偏好的前提下,比较不同方案的潜在影响,考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后,企业高层管理者应从总体角度考虑所选择的所有风险反应方案组合后对企业的总体影响。控制活动包括制定的相关政策和程序,目的是为了保证正确执行风险反应方案。
(2)将风险管理扩展到战略层面,并将战略与风险偏好保持一致
新报告除了以往内部控制框架中设定的经营目标、财务报告目标和合法性目标的三个企业目标外,又增加了战略目标。战略目标的层次高于其他三类目标。企业风险管理应用于实现这四类目标的过程中,应用于企业战略制定阶段,这样风险管理范围与内容扩展到战略高度。这是新报告与其他风险管理的重要区别。