时间:2023-06-05 09:56:09
解决中国的国营企业问题尚需要深入触动微观机制的最本质的问题,即企业的控制问题。体制改革不是万能的,要紧的是微观机制的改造。我国企业的根本出路在于强化企业的内部控制。
转变经营观念,增强控制意识,提高管理水平,是我国企业迎接市场竞争的基本前提。只在宏观经济范围提控制还不够,也不能在微观经济中片面以改革取代控制。其实,变革本身就意味着一定的风险。片面强调改革组织结构的重要性,忽视了控制方式的跟进和强化,就使公司的改革同微观治理机制相脱离。
强化企业的内部控制已经成为发达国家治理公司的重要手段,在国际上的研究已日渐成熟。三大目标和五大组成部分构造了内控系统的整体框架,帮助人们更全面和更深刻地理解内控及其控制对象,使企业能够以内控为有力武器,从控制环境、风险评估、控制活动、信息与交流和监督评审五方面开展工作,为实现各项操作性目标、信息性目标和遵从性目标而自觉奋斗。
国际先进内控理论和实践的发展启示我们:要正确理解内控与管理的关系、内控与风险管理的关系和内控与内部审计的关系。我们要呼唤企业的控制意识,理直气壮地强化企业的内部控制。
经过二十年的改革实践,人们逾来逾感到强化管理的重要,也在积极探索如何才能加强管理。内部控制的概念被国际同仁所强调,引起了中国金融界,特别是银行界的关注。自从1997年人民银行发出“加强金融机构内部控制的指导原则”以来,各商业银行和非银行金融机构普遍开展了整章建制的工作。这一工作已取得了初步成绩,但是新形势下的内控工作尚处于起步阶段,这项工作又常被误解为仅仅是金融机构的事,生产企业的管理层对内部控制缺乏认识。其实,所有制及其组织结构并不是现代企业最本质的东西,最本质的是企业内部的控制文化和控制机制,中国国营企业的根本出路在于强化其内部控制。在这方面发达国家已经研究和创造出了一套比较完整的理论和方法,中国企业界的迫切任务是运用先进的内控理论和方法,强化内部控制,提高管理水平。
本文通过对部分国际先进内控理论和原则的分析,阐明内控的内涵及其与管理和内部审计(稽核)的关系,分析内控对公司治理的重要作用,以便促使经营管理者加强有效控制。
一、转变观念
转变经营观念,增强控制意识,提高管理水平,是我国企业界进行市场竞争的必要条件,也是金融机构向商业化金融机构演变的基本前提。
1.体制改革的作用是有限度的:近二十年来,举国上下议论最多的话题莫过于改革了。“以改革带动发展”也被一些地方当作战略口号指导各项工作。我们一直批评计划经济制度管得太严太死,却淡漠了经济活动内部的至关重要的控制机制,特别是微观领域的经济单元(包括金融与非金融企业)的自我控制意识逐渐淡化。且不说国际理论界对计划经济和市场经济的争论尚未休止,倒是应该指出,并非一切进步都只是靠了改革才取得的。如果政治的稳定和宏观经济的控制不是同改革并驾齐驱,中国的局面远不会象今天这样好。许多问题的解决又是改革本身力所未能及的。突出的一个例子就是国营企业的经营管理。是我们对企业改革重视得不够吗?从中央到地方,从政府到企业,不知为改善企业倾注了多少人力、物力和财力。是改革的力度不够吗?从利改税到企业转制,从破产兼并到减员增效,各项法规和措施层出不穷。为什么许多企业始终建立不起自我约束的机制?用经济学家的话来说,也就是不能硬化企业的“预算约束”。显然,只在宏观经济范围提控制还不够,也不能在微观经济中片面以改革取代控制。其实,体制改革不是万能的,变革本身就意味着一定的风险。
2.转变经营管理观念:内部控制在不同的经济体制下有不同的内涵,尽管其中的某些内容会有一致性。在计划经济体制下,国有企业的控制模式为实现国家计划服务。由于国家计划规避了大部分市场风险,国营企业的控制方式具有浓厚的行政管理色彩。现在,企业的控制模式为社会主义市场经济服务,在新的形势下有两种倾向值得注意:一是一部分人习惯于甚至满足于传统的经营管理方式,认为只要能够规范化操作就行了,不必考虑是否先进。这就混淆了不同性质经济中的企业在服务对象和控制方式上的不同。二是虽然大家意识到改革的必要性,但是容易片面强调改革组织结构的重要性,忽视了控制方式的跟进和强化。这就使公司的改革同微观治理机制相脱离。不论是维持传统的经营管理方式,还是片面以改革取代控制的观念,都已经被实践证明是有害的。
3.转变对内控目的的认识:搞清内控的含义,并理解内控的目的,对经营管理和内审都有直接的指导意义。内部控制的概念经过了由“部分控制论”向“全部控制论”的发展。“部分控制论”认为内控包括:1)经济业务的有关内部会计控制;或者,2)内部牵制(会计)和内部审计两部分。这种认识的一个缺陷是,内控只与资产管理有关,而与行政、业务管理无关。“全部控制论”克服了这个缺陷,认为控制内容已超越会计和财务范围,渗透到经营的各个方面和管理的全过程。
内控目的论的发展也经过了下述阶段:1)“三目的论”认为,内控是为了保护单位的财产,会计记录的准确可靠和及时提供可靠的财务信息。2)“四目的论”认为,内控除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率。
上述发展的启示在于,对内控的检查评价应有别于传统的思路,并且目的要明确和全面,检评要完整和深入。
4.跟上国际内控研究的步伐:同计划经济相比,市场经济的发展更加仰仗于微观机制的作用。发达的市场经济国家非常重视对公司治理的研究,大大促进了公司治理结构趋向合理化。公司治理理论研究的是资金的供给者如何采取措施,确保其投资取得回报。强化内控已经成为发达国家治理公司的重要手段。
国际上比较有名的内控模式有英国的Cadbury、美国的COSO和加拿大的COCO。它们从不同的角度剖析公司的经营管理活动,为营造良好的内控框架提供了一系列的趋于一致的政策和建议。其中尤以美国的COSO模式从理论到操作方法上阐述了一整套完整的内控框架。巴塞尔银行监管委员会(Basle)又在这些先进模式和实际经验的基础上,于1998年提出了建设银行内控系统框架的十三项原则。我国银行和非银行金融机构以及大量的非金融性企业在经济体制改革以来的许多失控的教训表明,跟上国际内控研究和发展的步伐,不断完善自身的内控机制,是十分必要的。
二、充分理解内部控制的内涵
内部控制有其科学的定义和丰富的内容。只有深刻理解内控的内涵才能明确如何强化内控。
1.准确理解内部控制的定义:不同部门的人从不同的角度对内控会有不同的看法。现代内控理论试图提出能被普遍接受的内控定义,以便满足不同单位的需要。美国审计权威机构COSO(1994)的定义是:内控是一个受某单位不同层次的人影响的过程,而设计这一过程是为了实现下述三大目标提供合理的保证:经营的效果和效率;财会报告的可靠性;对现行法规的遵守。
巴塞尔银行监管委员会参照各国的有关理论,在内控定义中进一步强调董事会和高级管理层对内控的影响,组织中的所有各级人员都必须参加内控过程,对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中还把管理信息包括了进来,明确要求实现财务和管理信息的可靠性、完整性和及时性。
表1 关于内部控制的三大目标的表述
COSO 的内控目标
Basle 的内控目标
1
经营的效果和效率
操作性目标:各种活动的效果和效率
2
财会报告的可靠性
信息性目标:财务和管理目标的可靠性、完整性和及时性
3
对现行法规的遵守
遵从性目标:遵从现行法律和规章制度
资料来源:美国COSO(1994);巴塞尔银行监管委员会(1998)。
这三大目标满足不同的需要,又相互交叉。显然,内控是保证各项业务发展的,而不是妨碍其发展的。在操作性目标中,经营的“效果”是根据实际产出与预期计划的产出比较而言的;经营的“效率”是根据实际产出与实际投入比较而言的。此外,公司或银行不能为实现经营性目而不遵从法规,也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
这是一种“全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明:
1)内控是一种程序,它意味着向某一终点努力,但不是终点本身;
2)内控是用来取得一种或多种互相区分而又紧密联系的目标;
3)内控受人的影响,而不只是政策、守则或表格;
4)只能期待内控为公司管理层提供合理的保证,而不是绝对的保证。
内控的明确而科学的定义为各种单位提供了比较一致的标准,以便各单位能够评价其控制系统和决定如何加强控制。经营管理部门和内审部门应该参照有关法规和实施细则,设定一些具体的标准,认真考察被检查单位的内控系统,看其是否合理地确保了这些目标的实现。如果不能,总是可以从内控的某些方面找出问题的。一家银行或公司内控抓得好不好,可以从上述三大目标加以总体考核:它的董事会和高级管理层是否合理地确保了他们理解该单位实现其操作性目标的程度?它的财务报告和各项管理信息是不是可靠、完整和及时地被草拟和提供了?它的各项活动是否遵从了现行的法律和规章制度?这些方向性的标准无疑是对一个单位比较有力的鞭策。细化这些标准,对内控的深入考核更有益处。
由此可见,审计部门以往所提的“合规性审计(稽核)”、“效益性审计(稽核)”和帐务检查等等都属于专项审计,也都有一定的片面性。审计(稽核)工作的重心应当转向对内部控制的审计再监督,而对内控的检查评价有别于传统的审计思路,其目的要明确和全面,检评要完整和深入。
2.从总体上把握内部控制系统的框架:重要的是,现代内控理论赋予了内控广范的职能,把内控置于很高的层面上,从而强化了内控的作用。1994年COSO认为内部控制涵盖了五大组成部分的丰富内容:控制环境、风险评估、控制活动、信息与交流和监督评审。而1998年巴塞尔委员会则在控制环境中强调了管理层的督促(oversight)和控制文化;在风险评估方面将风险的识别和风险的评估并举;在控制活动方面又突出了职责分离的重要性;该委员会特别对信息与交流作了更多的解释;除了监督评审活动之外,还把缺陷的纠正这种被COSO认为并非内控的活动也归纳为内控活动。巴塞尔委员会还在上述内控的五大组成部分之外,增加了监管当局对内控的检查和评价,把它作为内控的另一不可忽视的内容。
表2 关于内部控制的五大组成部分的表述
# COSO的分析
Basle的分析
1
控制活动
管理层的督促与控制文化
2
风险评估
风险的识别与评估
3
控制活动
控制活动与职责分离
4
信息与交流
信息与交流
5
监督评审
监督评审活动与缺陷的纠正
资料来源:同上。
不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式,而把内控视为多维立体的空间,促使人们全面深入地理解控制和控制对象,分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念:这五大组成部分和三大目标是紧密相联的,就象一个人体的细胞包含了人体的各种信息那样,一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。
三大目标和五大组成部分构造了内控系统的整体框架,现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象,使人们能够以内控为有力武器,为实现三大目标自觉奋斗。
3.全面理解内控五大组成部分的内容:内控已经被COSO从理论上分析成为下述完整的有机结合的整体,并且得到了巴塞尔委员会的认同和发展。
1)控制环境:控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟,还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内控的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。巴塞尔委员会有关管理监督和控制文化方面的原则包括:
1.董事会应当负责批准并定期审查整个经营战略和重大政策;理解经营的主要风险,确定这些风险的可接受水平,保证高级管理层采取必要步骤,识别,衡量,评审和控制风险;批准组织的结构;并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面,董事会负有最终的责任。
2.高级管理层负责执行由董事会批准的战略和政策,维护一种组织结构,能够明确责任、授权和报告关系;确保所委派的责任能有效地执行;确定适当的内控政策;并监督评审内控系统的充分性和有效性。
3.董事会和高级管理层负责按照高标准促进员工的职业道德(ethics)和完整性(integrity),在机构中建立一种控制文化(control culture),在各级人员中强调和说明内控的重要性。公司机构中的所有人员都需要理解和发挥他们在内控程序中的作用。
2)风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险(如银行要面对信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉(reputation)风险)。需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险。
3)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。有关控制活动和职责分离的原则包括:
1.控制活动应当是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构,明确定义各经营级别的控制活动。这些活动应当包括高层审查;对不同部门或处室的活动的适当控制;物理控制;检查对敞口限额的遵从情况;对违规经营的跟进情况; 批准和授权制度;查证核实与对帐(reconciliation)制度。
2.有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突(conflicting responsibilities)。要识别和尽力缩小有潜在利益冲突(conflicts of interest)的地方,并遵从谨慎的和独立的监督评审。
4)信息与交流:存在于所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。
在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。有关的原则包括:
1.一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据,以及关于外部市场中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获(accessible),并能以前后一致的形式规范地提供使用。
2.有效的内控需要建立可靠的信息系统,涵盖公司的全部重要活动。这些系统,包括那些以某种电子形式存储和使用的数据的系统,都必须受到安全保护和独立的监督评审,并通过对突发事件的充分安排加以支持。
3.有效的内控系统需要有效的交流渠道,确保所有员工充分理解和坚持现行的政策和程序,影响他们的职责,并确保其他的相关信息传达到应被传达到的人员。
5)监督评审:是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。
监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当遵循下述原则:
1.应当不断地在日常工作中监督评审内控的总体效果。对主要风险的监督评审应当是公司日常活动的一部分,并且各级经营层和内部审计人员应当定期予以评价。
2.对内控系统应当进行有效和全面的内部审计。内审要独立进行,应得到适合的培训,并配备称职和得力的人员。内审作为内控系统监督评审的一部分,应当向董事会或其审计委员会直接报告工作,并向高级管理层直接报告。
3.不论是经营层或是其他控制人员发现了内控的缺陷,都应当及时地向适当的管理层报告,并使其得到果断处理。应当把有关物质的内控缺陷报告给高级管理层和董事会。
此外,巴塞尔委员会还针对监管当局对内控系统的评价提出,银行的监管人员应当要求所有的银行,不论其规模如何,都具有有效的内控系统,而且其内控系统符合他们的表内外活动的性质、复杂性和内在的风险;内控制度应当随银行所处环境和条件的改变而得到调整。凡监管者确定某银行的内控系统不能充分或有效地针对银行的具体风险内容(例如,不能涵盖巴塞尔委员会内控文件所载的全部原则),监管者应当采取适当的行动。
以上五大组成部分与前述三大目标有机地相结合,构成了内控的完整体系。COSO是为各行各业提出这一思路的。尽管巴塞尔委员会的内控原则主要是针对银行业的,国内外的金融和非金融机构在体制结构上也有所区别,我国的企业工作者仍然很有必要适应形势,转变观念,从内控的三大目标出发,去考察本单位上述五大组成部分的各个方面,看是否建立了健全的内控制度,而且,这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路,按照这个有机结合的整体去设计。
三、关于内部控制与管理的关系
不了解内控与管理的关系,就不可能充分加强内控工作。内审或审计人员在检查监督的过程中,时常发现被查单位的管理层对内控认识比较肤浅,也不甚了解内控与管理、内控与内审是什么关系。有人认为管理就是内控,抓了管理,内控自然就到位了,因而也没有必要特别强调内控。也有人认为内控是内审(稽核)部门的工作,抓内控应该由内审部门牵头。有些内部或外部的审计人员在进行内控检查的时候,也因认识模糊而无从下手。因此,很有必要搞清内控与管理的关系。
1.管理的内涵及其与内控的同异
从广义上讲,管理是管理者确立目标和战略,并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要执行聘用合同,为公司或银行的所有者的利益确定明确的管理目标,包括全局整体性目标和各项业务活动水平上的目标,然后制定各种战略和实施计划。管理者要以一定的组织形式为依托,以一定的规章制度为依据,采取种种方法去实现既定的目标。管理者有责任控制局面,并解决和纠正在监督检查各项经营管理活动中所发现的问题和错误,包括对有问题责任人的追究和处罚。由于所定的目标和战略计划会对管理单位(如企业)的行为产生影响,管理科学运用科学的原则和分析性方法,研究企业的行为。在发达国家,不论学术界还是实业界都日益重视公司治理结构的研究,以求实现投资者应得的回报。先进正确的管理方法加上计算机的广泛运用,大大促进了管理的合理化和效率。
广义上的管理涵盖比内控更为广泛的内容,并不是所有的管理活动都是内控活动,也并不是说非内控性的管理活动就都不重要了。比如,设定目标的决策就是一种很重要的管理责任,为内控提供了前提条件。在国外,公司的所有者代表(董事会)也要参与甚至领导这种决策。但是,重大目标的最初设定并不是在内控的工作范围之内。同样,许多管理方面的具体决策和一般性活动并不都代表内控。
然而,问题的关键并不在这里,而在于内控是管理中至关重要的部分(critical components)。管理的学问就在于抓住管理活动中的那些对实现目标至关重要的部分,也就是毛泽东所说的“研究任何过程……要用全力找出它的主要矛盾”。比如,COSO等理论所描述的内控内容中都列举了许多控制要素和风险,这些都是管理者必须关注的地方。又如,尽管COSO认为错误的纠正行动不应属于内控活动,但是巴塞尔委员会却将其列为内控的范围。原因很显然,纠正错误已成为管理的一项重要内容,直接影响到目标的实现。同理,战略计划和风险管理这些本来被COSO视为非内控性活动,却被巴塞尔委员会分析为内控范围之内的活动了。尽管目标的最初设定是内控的前提条件,但是内控并没有完全放弃对这方面的关注,内控的重要职能之一又是监督目标的设定和实现过程。至于业务活动水平上的目标的设立,虽然也被COSO视为非内控性的活动,但在COSO提出的内控操作方法中(例如在其《参考手册》和《内部控制与风险评估工作表》中),这些目标都是内控所关注的重要内容。下表仅从一个侧面说明了这个问题:
资料来源:同上。
2.风险管理与内部控制的关系
风险是针对目标而言的。风险实际上就是可能妨碍目标实现的种种问题和困难。这样看来,风险的概念就扩大了。比如,一个武士在张弓搭箭,射向猎物的时候,他的目标是射中猎物,而他的风险就存在于他射击猎物的全过程。首先,他本人的素质,他的精、气、神,他的体力和视力。其次,他的弓箭的质量。再次,猎物的大小、距离和移动速度。此外,狩猎时的环境、气候条件(风速)等外部干扰因素,也构成对击中目标的风险。对一家公司而言,风险既预示着机遇,又会影响其竞争能力,并影响其维持融资的能力以及保持和提高其产品与服务质量的能力。
风险是如此之广泛,以至于有人认为风险管理就是内部控制,甚至风险管理包括了内控。把两者混淆的问题在于没有看到内控是管理的更本质性的内容(essential part)。
诚然,风险管理是整个管理活动系列的重要组成部分。一般可指风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等等。风险管理的一系列具体活动并不都是内控要做的。特别是内控并不负责风险管理目标的具体设立,这是管理过程起始阶段的活动。风险评估是对可能发生的不利条件或事件进行评价,并做出完整的专业性鉴定的一种系统过程。当然,风险评估首先要注意目标问题,因为,没有明确的目标,也谈不上目标实现的风险。但是在目标方面,内部控制并不是目标的制定活动,而是对目标制定的评价工作,特别是对目标和战略计划制定当中风险的评估,风险管理目标的设立为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动,比如,对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。
内部控制强调评估经营管理活动中突出的风险点(当然,这些风险点不是固定不变的),建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险,又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为,内控的过程涵盖了公司所面对的,并在公司内由各级人员所经营的所有的内部和外部的风险。
然而现实中的风险管理却很实在,巴塞尔委员会指出,风险管理不同于内控之处在于,典型的风险管理比较关注特定业务的战略的评审,旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。在我国一些银行里,风险管理往往被狭义地理解为授信或部分业务(如信贷)的授权管理;广义的风险不仅有信贷风险,还包括国家与转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和信誉风险等等。而广义的风险管理又似乎难以真正落实到银行的某一具体业务或管理部门,成为它的责任。其结果,我国的银行实业界尚不存在广义的风险管理的概念。不少银行不能对各种风险进行总体研究和控制,甚至连统一授信都难以在一些银行里真正实现。
不过,现实情况中的风险管理一方面有其特有的内涵和现实的范畴,另一方面也在某些内容上与内控相交叉。在上节中,COSO认为风险管理不属于内控的范围,而是非内控性的管理活动,这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中,与内控相交叉,属于内控强化过程中的管理活动。
然而,内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中,管理层的监督并不是没有,而是远远没有强调到某种“控制文化”的程度。“信息与交流”和“监督评审与缺陷的纠正”这两大内容的内控也没有达到现代内控原理的要求。特别应该指出,风险管理的全部活动都在内控的监督评审之下,不外乎一些国内外专家认为,内控涵盖了风险管理。内控的确处在比风险管理更高的层次上,尽管内控并没有超出广义管理的大范围。下图从现实考察的角度勾略了内控同广义的管理和现实的风险管理的关系。
图2 内部控制同广义的管理和现实的风险管理的关系
四、正确处理内控与内审的关系
各商业银行和非银行金融机构在开展整章建制的工作中曾经出现过一些问题,有些问题反映在处理内控与稽核的关系上。例如,认为内控主要是稽核部门的事,应该由稽核部门牵头此项工作。有的银行干脆在稽核部门内设立了“整章建制处”,负责领导全行的整章建制工作。有些认识往往来自高级管理层。稽核人员也存在一些模糊认识。生产性企业也同样会遇到此类问题。澄清认识,转变观念,正确处理内控与内审的关系,对于加强企业内控实属必要。
1.内控首先是经营管理部门的工作
内部控制是公司(包括金融机构和非金融企业)合理保证其各项目标实现的动态过程。内控程序涉及工作目标的确立,风险的识别和分析,针对风险研定控制措施,并对所采取的控制活动进行监督评审等等。这些控制业务显然首先是各级经营管理部门的基本职责。本文所指的经营管理部门有别于内审监察部门。后者尽管也是内控组织体系的重要环节,但是独立于前者之外。
在实际工作中,内控工作往往被领导委派给内审(稽核)部门去计划和安排,原因是多方面的。首先,金融系统的内控文件是由人民银行原来的稽核监督部门下达的。一些单位在接到文件后,没有注意区别商业机构和央行在职能上的本职区别,也没有理解内控工作的内涵,而简单地把内控任务交办给本单位的稽核系统。其次,具体业务部门有重业务经营,轻管理控制的传统倾向。有些业务和管理部门习惯于执行各种业务的“硬指标”,而把内控(例如整章建制工作)作为“软任务”推给“综合部门”去应付。第三,尽管各经济实体中都存在内控制度和控制机制,但是其控制系统有不同程度的缺陷。例如,在控制的组织结构上,的确缺少一个专司内控的综合管理部门;而也确有文件把稽核部门称为“内控综合管理部门”。第四,在专业银行体制下,稽核部门曾经是缺乏权威性的比较薄弱的部门,银行在商业化的过程中虽然提高了该部门的地位,但在许多单位里仍显现不出稽核部门足够的重要性。在一些综合部门相互踢皮球的情况下,任务也难免被分派到稽核部门。这些问题在生产企业里也存在。
经营管理部门首先要重视内控,只有把内控视为本身的基本职责,才能把这项工作当作硬任务去安排。因此,在整章建制中,人民银行曾明确指示各金融机构,组成专门的领导班子(如内部控制委员会)去领导和组织这项系统工程。而内审部门应当独立于这项领导工作之外,才能真正起到对工作的监督作用。
2.内控主要是经营管理部门的工作
内控作为一项系统工程,已经在发达国家形成了一套完整的有机结合的理论体系和严谨的操作方法,很值得我国在国营企业(特别是国有金融机构)改制和再造其内部治理结构时予以借鉴。
内控的大部分工作都是经营管理部门的重要职责。首先,合乎标准的内控需要公司营造良好的“控制环境”,使员工树立正确的价值观,遵守正常的职业道德,而公司的管理层又能够以恰当的管理风格和正确的激励机制,引导员工创造一种良好的企业文化,特别是控制文化。同时,设计适应业务发展的组织结构,配备合格的经营管理人员,制定合理和严格的规章制度,确立正确的目标和战略决策系统等等,也都是加强内控的必要环境条件。
第二,“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析,而满足于执行指令。这种方式给国营企业和金融机构在转轨过程中带来了巨大的损失。金融系统近年来存在秩序混乱,案件频频,经营亏损的现象,其重要原因之一就是风险管理落后。风险的防范有大量工作要做,包括对内部和外部的风险进行判别和预测,分析风险发生的可能性和概率;并在此基础上研究化解风险的种种控制措施。
第三,当风险已被发现之后,经营管理者还需要调动机构和人员,切实执行所制定的“控制活动”,以便防范和化解风险,合理保证经营管理目标的实现。这方面的工作是十分细致的,包括高层检查,直接管理,信息加工,实物控制,确定指标,职责分离等等。
第四,在信息科技突飞猛进地发展的时代,“信息与交流”是经营管理中的另一不容忽视的职能。在把有关的内部和外部控制信息搜集整理出来以后,经营管理者要利用可靠信息为实现目标服务,并向适当的部门和负责人进行交流。
如果把如此丰富的内控工作统统推给审计或稽核部门去做,一个直接的恶果就是削弱了经营管理部门的风险意识和控制觉悟,使他们满足于计划经济体制下的行政指令的执行方式,而无意面对复杂多变的竞争形势。另外的一个后果是使审计人员不务内审业务,而去参与经营管理活动,自然分散了审计人员的注意力,也削弱了审计的独立性。因此,控制活动是公司日常经营管理工作的不可分割的一部分。
3.对内控的检查评价主要是经营管理部门的工作
“监督评审”是内控体系的第五大重要组成部分,其主要内容是对上述内控活动,包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。重要的是认识到这种检查评价不仅首先不是,而且主要不是内审(稽核)部门的工作。
对内控情况进行监督评审犹如设立一道道防线,而第一道检查监督的防线就应由经营管理部门的各级负责人监守,包括设置和执行岗位内部和岗位之间的相互牵制,进行前后台和部门之间的平衡制约等等,并应不断在日常工作中监督评审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究,把大量主要的风险问题在第一道防线予以切实解决。这里,他们不仅要深刻地自我评价所开展的控制活动,还要提出改进控制和进一步化解风险的措施,并交上级主管验证。这种自我评价要规范化和制度化,必要时应实行离岗检查和交叉检查的制度。在实际中,这种工作往往被以工作忙、人手少或成本高而忽略掉了。例如把对离任负责人的评审统统推给内审(稽核)部门进行“离任稽核”,不仅加重了内审负担,而且常使该项工作流于形式。恰恰是疏于自我检查和评价,造成部分管理人员有章不循,一些基层单位问题成堆。
财会部门应当形成化解风险的第二道防线,财会人员负责行使后台监督的重要职能。业务的每一项收付和债权债务的发生都会在帐面上反映出来,这本身就是一种监督;会计人员在会计核算中保证这种反映的真实、准确和完整,并有责任以会计资料为依据,控制企业经济活动按预定计划目标进行,并报告所发现的违法违规的财务事件;财务主管在会计科目设置、帐务汇总和财务报表分析后也可以发现经营管理活动中的种种问题,促使企业遵守国家法律和政策,加强经济核算,改善经营管理,完善现代企业制度,提高经济效益。财会部门不仅要把第一道防线上遗漏掉的大量问题尽力查找出来,而且要从管理会计的角度,在更深层次和更大范围内(例如在跨部门乃至全单位范围)发现问题,研究对策,预测风险,并提供信息。目前,财会部门在金融系统中的权威性是有的,不过,一些财会部门忙于一般性会计核算,加上种种原因造成责任心不强,尚未充分发挥会计监督的职能和管理会计的职能。
如果认为对内控的检查评价只是内审(稽核)部门的工作,上述两道化解风险的重要防线就会被忽略甚至取消。这一方面会大大削弱各单位防范风险的意识和能力,而且另一方面会因为大大加重内审部门的工作负担,而必然降低内审工作的质量,提高内审方面的监督成本。
4.内审监察部门对内控的再监督负有极其重要的责任
如果我们把内控的“监督评审”职能视为内控“宝塔”上的最高级的部分,那么内审(稽核)监察工作就应该处于内控宝塔的尖顶部位。所谓“再监督”就是在前述两道防线之后的第三道防线,每一个公司都应当设立这一战线。对于风险较高的金融机构来说,这第三道防线更是必不可少的。其重要性不仅仅在于内审(稽核)已经变成了最后一道防线。尽管从监督职能的角度来看,内审监察部门的工作量应大大少于经营管理部门的自我监督检查和财会部门的管理监督,但是,内审监察部门的独立性和应有的权威性,加上其组织系统的垂直性,赋予了该部门行使对内控进行再监督和再评价的特殊重要的职能。这种重要性主要表现在稽核监察人员在严密的计划和组织之下,能够独立地按照法人要求,有选择地对内控的各方面行使其检查职能,并能够将检查评价结果直接地反映到高级管理层乃至最高级领导人,然后有权督促内审监察建议的落实。为了强化内审监察部门的监督职能,许多西方的金融机构都成立了独立于经营管理活动之外的内部审计(稽核)委员会。
改革开放之后,企业面临种种风险。在经济生活日益货币化和证卷化的过程中,国有专业银行也正在商业化,同时,各种金融机构象雨后春笋般地涌现出来。新的形势要求金融机构和生产企业的内审工作从传统的以对帐目和会计凭证进行核查为主,转向以对内控制度及其执行情况进行检查为主的审计方式上来。审计人员应认识到这一带根本性的变革,具有对现代内控理论和方法的超前认知,并把对内控水平不高的单位和内控意识不强的人员(特别是管理层)进行咨询服务作为内审工作职责和应尽的义务,帮助这些单位和人员转变观念,加强内部控制。
有人认为内审(稽核)部门在经营管理部门的内控制度尚不健全的情况下去进行内控检查评价是“皇帝不急,急死太监”。这种认识忽视了审计部门有促进被检查单位完善其内控制度的重要作用。其实,大多数单位都有内控制度,只是其完善程度不同和执行情况不同。虽然内控水平的提高要靠经营管理部门进行大量实实在在的工作,但是,审计人员不能等待被检查单位的内控制度完善之后再去审计,而检查评价本身就是在促进被审计单位完善其内控制度,提高内控水平。现在,越来越多的经营管理者认识到加强内控的重要性,审计人员的任务就是要多在这方面提供咨询服务,以先进有效的内控检评方法,有计划和有重点地对各级经营管理部门(包括人事部门和行政部门)的内控制度及其执行情况进行再监督检查。这里,检查的方法要规范,力求采用先进技术手段,并将检查评价结果独立地和及时地报告有关负责人和部门。同时,审计人员应向被审计单位提出改进内控的建设性意见,督促这些单位改进内控状况。
当然,在组织结构上内审监察部门并非独立于内控的整体框架之外,内审监察部门也属于控制环境的一部分,其本身也需要对自身的各种内部和外部的风险进行评估,并相应采取认真的自我控制措施,在进行信息与交流的同时加强自我检查和评价。在稽核人员和内审部门比较薄弱的单位尤其要注意这方面的工作。
总之,内控不仅首先不是,而且主要不是内审监察部门和人员的责任;内控的检查评价也主要不是他们的责任;但同时,对内控的再监督又是内审监察部门义不容辞的重要职责。今后,中央银行在向金融机构(特别是商业银行)布置内控任务的时候,应该区别它们的经营管理部门和内审监察部门的不同职能;而金融机构本身在接受央行指示或任务时,也应理解两者之间的区别, 并在执行中注意保持内审工作的独立性。 正确认识内控与内审的关系会推动各单位(特别是金融机构)的整章建制等内控制度建设工作,进一步加强各项业务的内控,从而提高经济效益和在市场上的竞争力。
五、内部控制的国际发展趋势及其启示
巴塞尔委员会制定的银行内部控制的十三项原则反映了在内控建设方面的下述国际发展趋势:
1.强调高级领导层的控制责任(Tune at the top)。首先,董事会充分理解公司的主要风险,正确设定风险的可接受水平;并定期督导高级管理层识别,估量,监督和控制这些风险;确保内控系统的有效性;建立独立的审计委员会帮助董事会行使这方面的职责。其次,高级管理层负责制定识别,估量,监督和控制风险的程序,通过维护某种组织结构去明确职责、权限和报告关系;确保职责的有效执行;制定有效的内控政策;并监督评审内控的充分性和有效性。
2.大力提倡和营造一种“控制文化”。一方面董事会和高级管理层负责促进在道德和完整性方面的高标准,并在机构中建立一种文化,向各级人员强调和说明内控的重要性。另一方面企业中的所有员工都需要理解他们在内控程序中的作用,并在程序中充分发挥他们的作用。有效的内控系统的一项实质性内容就是建立强有力的控制文化。
3.企业要充分关注对全部风险的评估。特别要明确银行是承担风险的机构,生产企业也需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险,并对企业不能够控制的风险采取正确的防范措施。
4.控制活动已被当作企业日常工作的不可分割的一部分,而不是对经营管理的额外补充。有效的内控系统能够迅速采取应变措施,避免不必要的成本;建立适当的控制结构,明确定义各经营级别的控制活动。特别强调适当分离职责;识别和尽力缩小有潜在利益冲突的地方;并遵从谨慎的和独立的监督评审。
5.发达国家非常强调企业的信息与交流。首先是保证信息的完整性、可靠性和可获性,并且信息应能够前后连贯一致。其次是信息系统应受到安全保护和独立的监督评审,防止突发事件;特别注意有效地控制电子信息系统和信息技术的使用。另外,建立有效的交流渠道,确保相关信息的正确传达。
6.企业应当注意加强监督评审活动,并强调缺陷的纠正。企业经营管理人员应不断地而不是间断性地在日常工作中监督评审企业内控的总体效果和主要风险;对内控制度定期进行独立、有效和全面的内部审计,并将结果向高级领导层直接报告;及时报告并果断处理所发现的内控缺陷。
7.对内控制度的评价已成为企业内审监督门的日常监管工作和现场检查监督的一部分。内审监督部门和外部审计机构应要求企业具有有效的内控制度,充分和有效地化解企业的风险(特别是主要风险);监督部门应检查高级领导层的内控态度、内部审计部门的有关工作和外部审计的检查结果等等,对不合要求的企业采取措施。
当然,内部控制既有重要作用,又不是万能的,也有其固有的局限性。例如,1。企业的内控应能合理地确保基本经营目标的实现;但不能把一个本质上很坏的经营者变好,不能左右政府政策和计划的改变,以及竟争对手的行为和客观经济条件的变化。2。内控应能确保财务报告的可靠和合法合规,但不能绝对保证做到这一点,而只能合理保证。这些目标的实现受到内控制度内在的限制,包括决策者失误和决策错误导致的经营中断。控制还可能被两个或两个以上的人合谋制约。管理层也有能力践踏内控制度。此外,内控制度的设计还受到人、财、物等资源的约束。
国际先进内控理论与实践的发展起码给了我国企业界三点重要的启示:
1.要正确理解内控与管理的关系,进一步认识并高度重视内控在管理活动中的重要地位,由公司决策层和部门领导带头,动员各级员工营造良好的控制文化,在内控理论与实践相结合的基础上形成共识和共同语言,按照内控的三大目标和五大组成部分,以规范的内控操作方法,实行对经营管理中各种风险的逐级控制,提高经营管理水平。
2.要正确理解内控与风险管理的关系,进一步确立内控在整体管理中的重要地位,按照国际规范的内控原则和系统框架,尽快建立适合中国国情的企业内控组织结构,如建设内控的执行系统(内部控制委员会)和监督系统(内部审计委员会),尽快在体制上明确高级管理层在这方面的责任,加强对内、外部所有风险的总体研究和控制。
3. 要正确理解内控与内部审计的关系,明确内控主要是经营管理部门的责任,对内控的检查评价也主要是经营管理部门的责任;同时,内部审计部门要把工作的重点尽快转向对经营管理的内控系统进行有效的和全面的审计再监督,并在监督评审中注意保持独立性,建议和敦促经营管理部门纠正控制的缺陷。
当前,我们迫切需要呼唤企业的内部控制意识,需要理直气壮地在微观经济中加强管理和控制。要让人们明白:改革不是万能的,企业应下大决心,花大力气,整章建制,严肃纪律,把控制的水平提起来,让改革和控制一同成为企业化解风险,创造效益的武器。
常有意义的是,内部控制还有一套系统的和操作性很强的方法,作者已经发表文章作了介绍,本文不再赘述。
参考资料:
巴塞尔银行监管委员会(1997)“有效银行监管的核心原则”,《金融时报》,7月30日。
巴塞尔银行监管委员会(1998)《银行金融机构内部控制系统的框架》, 9月,英特网。
人民银行(1997)“加强金融机构内部控制的指导原则”。
Committee of Sponsoring Organization of the Treadway Commission(COSO)(1994): Internal Control
- Integrated Framework, in two volumes.
李凤鸣(1998) 《内部控制设计》,经济管理出版社。
杨树滋(1997) “关于内部控制系统评审的几个问题”,《金融稽核监督研究》,总第7期。
Haiqun Yang (1995): Banking and Financial Control in Reforming Planned Economies, Macmillan Press.
杨海群(1995) “论银行的控制与被控制”,《经济研究》,第5期。
杨海群(1999) “稽核评价金融机构内部控制状况”, 《金融稽核监督研究》,第1期。
【关键词】 监控; 内部监督; 设计缺陷
内部监督作为内部控制的基本要素之一,对于内部控制的有效运行,以及内部控制的不断完善起着重要的作用。美国COSO委员会的《内部控制框架》和《企业风险管理框架》中均规定监控为其构成要素。监控这一概念实际与我国《企业内部控制基本规范》中作为内部控制基本要素之一的内部监督的概念是一致的。
一、《内部控制框架》中的监控
根据《内部控制框架》使用的监控的概念,是指对内部控制在一定时期内的运行质量进行评估的过程。监控是通过持续监控活动、个别评价或两者的结合实现对内部控制运行进行监控。通过持续监控和个别评价的结合,能够保证内部控制体系在一定时期内保持其有效性。
(一)持续监控活动
持续监控活动发生在经营活动过程之中,内含于企业管理活动之中,它包括日常管理和监控活动,以及员工在履行其职责时所采用的其他行动。持续监控活动嵌入企业日常的重复的经营活动之中,对企业经营活动实施实时的监控,能够动态地应对环境的变化。持续监控活动涉及内部控制各个要素的主要方面。持续监控活动通常能够及时发现问题,相对于个别评价更为有效。
(二)个别评价
个别评价是从某一角度对内部控制进行测评,它直接关注内部控制的系统有效性。个别评价的范围和频率主要取决于风险评估和持续监控程序的有效性,对于应对优先考虑的风险的内部控制和对降低风险最为重要的内部控制,一般应当经常地进行评价。在企业主要战略或管理层发生变更、进行重大的收购或处置,或者经营或财务信息处理方法发生重大变化的情况下,一般需要对整个内部控制系统进行评价,此时应当关注企业所有重要活动有关的每一内部控制构成要素,其评价范围应当根据所需要实现的内部控制目标来确定。
个别评价通常采用自我评价形式,即由负责某一业务或职能的人员负责对其活动的内部控制的有效性进行评价,也可以聘请注册会计师等中介机构进行内部控制的个别评价。企业内部审计机构通常将对内部控制进行评价作为其常规性的职责,或根据企业董事会等上级机构的要求进行内部控制的评价。
《内部控制框架》要求进行内部控制评价时,评价者应当了解企业各项经营活动以及所针对的内部控制的每个构成要素,掌握内部控制体系实际运行情况,并分析内部控制体系的设计和运行测试的结果。此外,《内部控制框架》还要求对评价过程进行合理的记录,并强调对内部控制体系有效性进行评价时,应当考虑编制和保存内部控制相关记录的情况,为有效性评价提供支持。
(三)报告缺陷
对内部控制进行监控所发现的问题应当向上报告,其中严重的问题应当及时上报企业管理层和董事会。《内部控制框架》将内部控制体系中值得注意的一种状态定义为缺陷,明确了报告缺陷的内容,要求不仅要报告特定的交易或事项,更需要报告重新评价可能发生错误的内部控制。
二、《企业风险管理框架》中的监控
与《内部控制框架》中的监控概念相同,监控作为企业风险管理的要素之一,在企业风险管理中通过持续的监控活动、个别评价以及两者的结合,对风险管理构成要素的存在和运行进行评估。
持续监控活动存在于企业管理活动过程之中,它实时地、动态地应对企业变化的情况,并植根于企业之中。持续监控活动一般由经营管理人员或职能部门的管理人员实施。
个别评价是用于对企业风险管理的有效性提供合理保证而进行的评估活动。持续监控活动有效性越高,则越不需要个别评价。个别评价范围和频率,由管理当局根据本企业的情况作出决定,它取决于企业风险的重大性以及风险应对和管理风险过程中相关内部控制的重要性。当企业的主要战略或管理当局发生变更、进行收购或外置、经济或政治情况发生变化,以及经营或信息处理方法变更时,则需要对企业风险管理进行全面评价。进行全面评价时,应当着眼于风险管理在战略制订以及相关重大活动中的应用。企业风险管理中,个别评价有关的评价主体、评价过程和方法等内容与《内部控制框架》的内容基本相同。
关于缺陷报告,《企业风险管理框架》将缺陷定义为企业风险管理中值得注意的一种情况,它表示一个发现的、潜在的或实际的缺点,或者一个强化企业风险管理以提高企业目标实现可能性的机会。企业风险管理缺陷的信息主要来源于企业风险管理本身,来源于对企业风险管理的个别评价,此外还来源于企业外部。报告的内容包括所有已经识别的影响企业制定和执行战略,以及设定和实现其目标的企业风险管理缺陷;所识别的提高企业实现目标可能性的机会等。报告的渠道既包括向直接的上级报告,也包括越级报告。
三、《企业内部控制基本规范》中的内部监督
我国《企业内部控制基本规范》中作为内部控制构成要素之一的内部监督,实际上等同于上述监控概念。企业在设计内部控制制度时,由于当时认识的局限或者考虑不周等原因,设计出的内部控制不可能完美无缺;在内部控制实际运行过程中,由于实际情况发生变化、或由于员工对内部控制制度理解上的差异,也可能使内部控制不能很好地发挥其应有的作用,导致内部控制实际运行中或多或少地存在着这样或那样的问题。为此需要对内部控制运行情况实施必要的监督检查,发现其不足和问题乃至于缺陷,从而完善内部控制,提高内部控制的有效性。因此,内部监督是保证内部控制体系有效运行和逐步完善的重要措施。
根据我国《企业内部控制基本规范》,企业在建立和实施内部控制过程中,应当根据以下要求,结合自身经营活动的特点和实际情况,开展内部控制的内部监督:
(一)建立内部监督制度
内部监督制度是企业指导进行内部监督的规范,也是企业开展内部控制内部监督的依据。企业应当根据《企业内部控制基本规范》等的要求,制定内部控制监督制度。在内部监督制度中,应当明确内部审计机构等类似其他监督机构的职责,明确内部审计机构与和其他内部机构之间的关系,明确开展内部监督的程序、方法和要求等。
(二)开展日常监督和专项监督
根据《基本规范》,内部监督包括日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查,它实际上就是持续监控活动。日常监督应当与企业日常的经营活动相结合,整合于企业的经营活动过程之中,与日常经营活动结合起来进行;对于发现的内部控制缺陷,应当及时向有关方面报告
并提出解决问题的方案,对存在的问题予以纠正。
专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一方面或者某些方面进行的有针对性的监督检查,大致与个别评价的概念相当。企业应当定期拟定内部控制专项监督计划,确定当期专项监督的内容和对象。对于专项监督的范围和频率,企业应当根据风险评估结果以及日常监督的有效性等予以确定。对于用于控制风险评价结果确认为具有重要性的风险的内部控制以及关键业务的内部控制,应当优先对其进行专项监督。对于专项监督中发现内部控制存在的问题,要及时向有关方面报告,提出完善内部控制的意见和建议,并监督对内部控制进行完善。
(三)制定内部控制缺陷认定标准并对内部控制缺陷进行认定和报告
企业在对内部控制进行内部监督发现内部控制缺陷时,需要对内部控制的缺陷进行认定和报告。为此,企业应当根据自身的实际情况,制定本企业内部控制缺陷认定标准。另外,在对内部控制进行内部监督的过程中,根据确定的标准对内部监督所发现的内部控制缺陷进行认定,分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。企业还应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。
内部控制缺陷包括设计缺陷和运行缺陷。所谓设计缺陷,是指缺少为实现控制目标所必需的控制,或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷,即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。所谓运行缺陷,是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而产生的内部控制缺陷,即内部控制不能按照建立阶段的意图运行,或运行中错误很多,或实施内部控制的人员不能正确理解内部控制的内容和目标等而产生的内部控制缺陷。某一企业的内部控制体系虽然设计得很完善,但由于实施过程中的偏差,导致内部控制运行缺陷。内部控制的缺陷可以是单项的缺陷,也可以是多项组合的缺陷。
按照内部控制缺陷影响整体控制目标实现的严重程度,内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。重大缺陷是指一个或多个一般缺陷的组合,可能严重影响内部控制整体的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大,须引起企业管理层关注。除重要缺陷和重大缺陷以外的其他缺陷,则为一般缺陷。
(四)开展内部控制有效性的自我评价
内部控制的自我评价是对整个内部控制系统进行的评价活动,可以等同于个别评价。企业对内部控制活动进行日常监督和专项监督,前者结合各项业务活动分散进行内部监督,后者针对企业内部某一特定业务或某一特定领域或部门进行局部内部监督。由于企业内部控制体系是一个整体,内部控制体系的各组成部分相互配合发挥作用,因此还需要对企业内部控制整个系统整体进行评价,以论证其有效性。企业应当结合日常监督和专项监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。
一、内部审计在内部控制中的作用
(一)财务审计转变为管理审计内部控制注重管理控制与会计控制的结合。内控会计目标为增强会计信息的可靠性与相关性,当前赋予会计控制新内涵,即管理会计控制与财务会计控制。财务审计关注点为会计控制内容,确认制定会计控制制度的情况,并进行评价与监督。传统内部审计则主要基于账项开展财务审计,对财务事项充分关注,专业审计人员按照相关规定对会计资料、程序以及控制情况进行检查和测试,进而对财务报表的真实性进行评价,以确保其透明度与可靠性。同时还要查看企业资产的完整性、组织权益的保障情况等,进而对受托人财务责任进行确认和解脱,将内部审计查错防弊目标充分体现。当前市场经济快速发展且企业组织结构也产生变革,促使建立在会计控制基础上的财务审计会发展至建立在管理控制基础上的管理审计。
(二)对内部控制进行评价与监督一方面,当企业管理活动与内控完全融合时企业内控运行过程就等同于企业经营管理过程。内部审计人员应将内部控制原有限制充分考虑进来以评价内部控制,同时还要充分围绕内控目标,对企业会计制度、控制环境、交易授权以及机构设置等内控内容进行考量,审查内控执行状况,评价内控有效性、合法性以及健全性,提升会计信息的可信度。因此对内控进行评价,促进内控程序的修订与完善是内部审计重要作用之一。另一方面,内部控制具有整体性,包括文化、程序以及制度等,结合系统论相关观点,系统持续改进与运转效率均密切关联于监督,因此在风险管理框架中都把监督当做主要内容,并将其放于最顶端。内部审计就是对内部控制进行再控制,在企业内部中内部审计不会参与任何经营管理活动,但是对内部控制又极为熟悉,因此在内部控制中内部审计充分发挥监督作用。
二、强化内部控制中内部审计作用的途径
(一)强化内审队伍建设,增强人员综合素质现代内部审计职能的完善对于审计人员也提出更高要求,例如知识广博、技能多元化、专业知识扎实并了解一定的法律与管理知识等。同时,内审人员还要充分了解企业发展经营目标、战略、计划,并掌握各项管理职能。因此企业一定要培训内审人员,将其内审职能充分发挥,提升管理效果。首先要对内审人员结构进行优化,重在提升其职业道德素质与责任感;其次对知识结构进行完善,加快知识更新速度。可开展类型多样的培训,开展再教育,使其职业责任感与专业操作技能得以持续提升;最后实行科学合理的考核机制,以评价内审人员的工作效果,并联系于绩效奖金,激发员工工作积极性,进而提升内审工作的效率与质量。
(二)坚持成本效益原则,增强内审机构独立性外国经验认为内审机构最好设置在董事会或者下设审计委员会中,可将内部控制中内审作用充分发挥出来。但是在设置机构层级时一定要遵循成本效益原则,尤其时当前我国诸多企业不具备规模经济以建设独立性强的内部审计机构,因此在建设内审组织层级时不能采用一刀切方式,各个企业应充分结合自身实际开展。不管哪种组织层级,都应做到以下内容:内部审计章程需先经由董事会批准,内审负责人需直接报告董事会内审相关情况,并有共同研究问题的机会;内审人员有权利参加董事会或者高层举行的关联于内审机构职责会议;董事会直接负责内审负责人的任免、考核以及薪酬,使其独立性更强。
(三)实行全面质量管理,适当外包内部审计在提升内部审计工作效果时应重点考虑内部审计质量。我国相关规定中明确了内部审计机构管理人员应该采取何种措施监督内审工作人员,但是仅靠监督无法实现全面质量管理的要求。可适当开展内部审计外包工作,即将企业内部审计工作外包给会计事务所专业人员。分析价值链得知内部审计对于企业而言价值重大,若企业价值链分析内审后发现其无法为企业带来效益,那么企业可放弃设置单独的内部审计部门,选择外包方式。这其中不包含国家法规强制性要求需设立独立内审机构的企业。若企业已经设立内部审计机构,但是由于内审人员在某些项目中专业素质较低无法胜任则可将该项目外包出去,这不仅与成本效益原则相符,也可在极大程度上避免内审工作人员由于专业知识低下或者技能缺陷而导致企业陷入内审风险。
(四)对内部审计方式进行创新1、要对内控有关的法律法规予以健全优化当前我国颁布的与内控有关的法规主要为部门规章,领域则主要为会计,尚未构建内控整体框架。此时应结合我国国情对内控相关法律法规体系进行完善。2、对内部审计准则体系进行完善制定审计准则时需确保其水准高,同时还要注重严肃性与可行性,以对内部审计行为进行规范,提升工作质量。同时企业应基于自身实际制定内部审计办法,为实际内审工作提供指导。3、创新内部审计方式传统内部审计的开展主要依靠手工操作,随着科学技术的快速发展,现代企业已经普遍使用计算机技术,在内审工作中也要充分使用审计软件,以提升内审效率与质量。
三、结束语
总而言之,内控工作任重道远,需要不断推陈出新。而在内控工作中内部审计作用巨大,可对内部控制进行再控制,并有效发挥评价、监督、咨询以及防舞弊的作用。为此需构建一支高素质的内审队伍,提升人员专业操作技能与职业道德素质,同时还要创新内审方法,增强内审机构独立性,并结合企业实际情况适当采用内审外包法,以促使内部审计在内部控制中发挥更大作用,增强企业价值。
作者:余泓慧单位:上海立信会计学院
注册会计师应当制定对内部控制有效性实施审核的工作计划,以确定内部控制测试和证价的程序和范围。在编制审核计划时,应当考虑以下因素:(1)影响被审核单位所在行业的情况等;(2)被审核单位的经营情况;(3)被审核单位最近在经营和内部控制方面的变化;(4)被审核单位依据控制标准评价内部控制有效性的方法;(5)对确定与内部控制重大缺陷有关的重要性水平、固有风险及其他因素的初步判断;(6)支持管理当局关于内部控制有效性认定证据的类型和范围;(7)为实现控制目标而设计的特定控制的性质及其在内部控制整体中的重要性;(8)对内部控制有效性的初步判断;(9)从其他专业服务中了解的有关被审核单位内部控制的情况。
如果被审核单位涉及多个经营场所,注册会计师编制审核计划需考虑的因素与执行会计报表审计相似,可选择某些场所的内部控制进行了解和测试。在选择测试的经营场所时,注册会计师应特别考虑以下因素:(1)不同场所经营活动和内部控制的相似性;(2)会计处理的集中程度;(3)控制环境的有效性,尤其是管理当局对各个场所授权的控制和进行有效监督的能力;(4)各场所发生的交易及相关资产的性质和金额。
被审核单位是否拥有内部审计是注册会计师编制审核计划需要考虑的又一重要因素。注册会计师需要评价内部审计人员的能力、独立性、工作的完成程度等对制定审核计划的影响。
注册会计师根据已制订的审核计划,实施以下程序:(1)了解内部控制设计;(2)评价内部控制设计的适当性;(3)测试和评价内部控制执行的有效性。
注册会计师通过询问被审核单位的管理层及员工、检查有关文件、观察经营活动获取某些内部控制的信息。值得注意的是,注册会计师应当关注内部控制设计的合理性和完整性。注册会计师评价内部控制设计合理性和完整性的着眼点在于特定内部控制能否防止或发现与会计报表认定有关的重大错报,
在测试内部控制执行的有效性时,注册会计师应当关注该项内部控制如何执行、由谁执行以及是否得到一贯执行,并实施以下审核程序:(1)询问被审核单位的监管者和职员;(2)检查有关文件;(3)观察经营活动;(4)重新执行相关内部控制。
注册会计师对测试时间的判断往往会随着控制的性质以及特定控制和特殊政策的实施而改变。注册会计师应当据此合理确定拟执行内部控制测试的性质、时间和范围。
注册会计师在评价特定内部控制未得到遵循的风险时,应考虑以下因素:(1)交易的数量和性质是否发生变化,以致对特定内部控制的设计和执行产生不利影响;(2)内部控制是否发生变化;(3)特定内部控制对其他控制有效性的依赖程度;(3)执行或监控内部控制的关键人员是否发生变动;(4)特定内部控制的执行是依赖人工还是电子设备;(5)特定内部控制的复杂程度;(5)特定控制目标是否依赖于多项内部控制。
如果被审核单位管理当局在做出内部控制认定前已对内部控制作了改进,则注册会计师无需考虑被替换的控制程序,只需考虑改进后的内部控制是否已运行了适当的时间,能否实现特定控制目标。
一、内部控制执行的含义
内部控制执行是指内部控制体系并实施后,由各级管理人员和全体员工有组织地系统地遵照体系规定动作和标准具体落实并将体系转化为实际控制能力,使执行客体(业务)朝控制方向运行,实现控制目标的过程。内部控制执行强调的是“落实”和“保障落实”。
二、内部控制执行在内部控制活动中的重要性
抓好内部控制执行,对发挥内部控制体系的作用、为企业实现经营目标提供合理保证至关重要。
1.从内部控制本身的要义来看,内部控制是“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”,它强调的是控制过程的实施和落实,因此,执行是内部控制的重要内涵和根本要求,绝不能将内部控制看成是一堆静态的手册和制度。
2.从内部控制本身的局限性来看,由于可能存在、串通舞弊、人为错误、成本限制、非经常事项的不适性、修订不及时等情况的局限,内部控制只能为企业目标的实现提供合理保证,而非绝对保证,不能认为建立内部控制就高枕无忧了。
3.从内部控制执行的地位来看,内部控制执行是内部控制体系实施的关键环节,没有内部控制执行或不能很好的执行,内部控制体系即便设计得再科学,也不可能有良好的控制效果。换而言之,一套科学有效的内部控制体系如果不去执行或执行不到位,就会成为一纸空文,更不可能对企业加强管理、防范风险和实现经营目标发挥保证作用,也就失去了存在的价值。总之,体系建设是执行的基础和前提,而执行是体系的“灵魂”,执行决定着内部控制体系的存在价值。
三、实践中内部控制执行存在的主要问题
“重设计、轻执行”几乎成为企业内部控制体系建设和实施过程中的一个通病。主要反映在三个方面:
1.是内部控制制度执行不足。有的企业虽然建立了内部控制制度,但只是将制度“写在纸上、贴在墙上、挂在嘴上、没有具体落实在行动上”,形成了说和做“两层皮”。
2.是内部控制的严肃性不足。一些企业在处理经济业务时不完全按规定的内部控制程序和标准执行,强调灵活性和具体情况具体办理,使内部控制失去了应有的刚性。
3.是缺乏内部控制执行的激励约束机制。在内部控制实施过程中,相当一部分企业没有将内部控制的执行情况纳入业绩考核评价和奖惩制度体系中,导致员工认为执行与否无关紧要,削弱了员工执行内控制度的自觉性和警觉性,在很大程度上降低了内部控制的效能。
分析上述问题的根源,客观地说,受到了“重生产、轻管理”、“重外延扩张、轻内涵发展”、“重自力、轻制度约束”、“重头脑指挥、轻科学管理”等粗放管理习惯思维定式的影响。这些问题不解决,必然会危及内部控制体系的实施和企业生产经营各项工作的健康运行。
四、内部控制执行的措施
为了确保内部控制体系的各项制度和规范得到有效执行,实现“设计有效、执行有力”,应以系统控制的观点和方法论抓好内部控制执行的各项工作。
1.健全内部控制组织机构,明确职责权限
主要是依托企业管理组织系统,构建完整、稳定、持续完善的内部控制组织体系,完成纵向层级、横向机构设置以及目标责任确立、权限分配和规范运行关系等工作,具体解决内部控制“责任主体是谁、谁来组织执行、谁来具体执行,谁来监督执行,以及相互关系和职责权限”的问题
2.完善内部控制执行的机制建设,为有力执行提供保障
根据控制活动的需要,内部控制执行机制应当包括:宣传培训机制、监督检查机制、责任机制和奖惩机制。
内部控制培训机制要明确培训对象和目标:
(1)企业高层管理人员:了解内控与风险管理的相关理论、组成要素及要求;理解内控与风险管理的意义;掌握本职的职责、权限和应具备的职业道德等。
(2)内控工作人员:全面掌握内控与风险管理理论知识和方法,为内控与风险管理体系的建设、执行和维护提供充足的人力资源。
(3)内控岗位(业务)操作人员:了解内控与风险管理的作用和相关知识;熟知岗位职责和应具备的职业道德;掌握内控与风险管理文件的相关内容,必须知道有哪些制度、涉及哪些流程、流程操作的程序、哪些属于关键控制、关键控制如何操作、有什么控制证据等,为控制制度的严格执行奠定基础。
内部控制监督检查是内部控制的有机组成部分,是体系架构的重要支撑,是促进内部控制有力执行的重要手段。无论是美国上市地《萨班斯-奥克斯利法案》还是国内的《企业内部控制基本规范》,都从法律高度对实施内部控制监督检查做出明确规定,同时要求制定相关程序和方法(即内部控制监督检查机制)。
内部控制奖惩机制是以考核为基础,以利益驱动为手段,旨在奖优罚劣和调动积极性,促进责任意识转换为实际执行能力,形成努力实现控制目标内在动力的一整套制度、办法和运行程序。
内部控制奖惩机制包含以下要素:考核评价、奖惩制度、奖惩活动、效果评估。
内部控制责任机制是以内部控制组织体系为基础,旨在明确责任、落实责任、纠正过失,构建清晰、严明的工作责任环境,促进内部控制责任到位和执行能力提升的一整套制度、办法和运行程序。
内部控制责任机制包含以下要素:
(1)责任定位:确定谁是主体责任人、谁是从属责任人,谁是管理责任者、谁是执行责任者,各负什么责任。
(2)责任确认:以适当的方式和载体,由首要责任者或组织与责任人确认责任,即责任接受与固化。
(3)责任履行:按照履行责任制度和相关要求实施内部控制工作,执行相关程序和标准,即责任的实际体现。
(4)责任追究:
①发现导致内部控制失效的重大缺陷和实质性漏洞或发生重大风险事件的,追究有关单位主要领导和相关人员的责任(法律责任、经济责任、管理责任等)。
②对发现的一般性缺陷,要强化岗位工作人员的考核和培训。
③对关键岗位不能适应工作要求的,要及时调整工作岗位。
3.明确内部控制执行要求,落实控制措施
主要是对内部控制活动中的各层面内控执行人员明确规范和要求,为控制活动的“规定动作和应有操作”落实到位提供标准,具体解决“做什么、怎么做、按什么标准做、做到什么程度才算有效”的问题。
(1)公司层面执行要求
制的严格执行是确保内控体系有效运行的意识基础,对公司层面的执行提出要求是实现内控意识形成的最基本手段,只有公司各级员工深刻领会并理解内部控制公司层面的各项要求,才能将内控意识融入到具体的控制活动中去,使内部控制的效果得到最大发挥。
公司层面执行要求涉及对内控工作人员和内控执行人员两个方面的要求。内控工作人员是指各级从事内控管理工作的人员,即各级内控部门人员;内控执行人员是指公司范围内的各层面员工高管人员、各部门相关人员、普通员工。
[关键词]内部控制;本质;结构;要素
[中图分类号]F275 [文献标识码]A [文章编号]1005-6432(2010)52-0046-01
1 内部控制的概念
财政部2008年的《企业内部控制基本规范》中,对内部控制进行了重新定义:“由企业董事会、监事会、经理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动。①企业战略;②经营的效率和效果;③财务报告及管理信息的真实、可靠和完整;④资产的安全完整;⑤遵循国家法律法规和有关监管要求。”同时,《基本规范》认为,企业建立与实施内部控制,应当遵循全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。
2 内部控制的本质与结构
企业组织关系包括设立关系和运行关系,这两种关系决定了企业内部控制的本质,而内部控制的本质决定了内部控制的基本结构。在企业组织关系中,在发起设立时会形成平等的契约关系,以此为基础所形成的企业内部控制的本质是制衡。而在运行时会形成科层的等级关系,以此为基础所形成的企业内部控制的本质是监督。制衡和监督既相互区别又相互联系,而且制衡是监督发挥效用的基础。制衡和监督的不同特征决定了内部控制的结构存在差异。一般来说,当涉及企业相关利益主体和企业内部各分工主体的利益被侵蚀时,应以制衡的方式形成内部控制,而涉及企业不同层次主体确定的责任目标不被实现时,应以监督的方式形成内部控制。
3 内部控制要素
3.1 内部环境
内部环境是企业实施内部控制的基础,企业应当从以下几个方面来创造良好的内部环境。首先,企业应当建立规范的公司治理结构和议事规则,明确各部门在财务工作中的权责,只有企业全员共同努力,才能使公司的内部控制制度落到实处。其次,应当成立专门的机构来具体负责组织协调内部控制的建立。另外,应该在董事会下设立审计委员会来负责审查企业内部控制的具体情况,监督内部控制是否切实在工作中实施,以及企业内部控制的自我评价情况等。最后,企业应合理设置内部机构,明确职责权限、加强内部审计工作、加强企业文化建设和员工培训,强化他们的风险意识和法制观念。
3.2 风险评估
企业应当根据自身实际情况,设定内部控制目标,并持续不断地收集相关信息,及时进行风险评估。在风险评估的过程中,准确判断出与企业相关的内、外部风险,同时确定其风险承受度,进而采取对应的措施,制定风险严重程度的先后顺序,有效降低风险程度;根据风险分析的结果,权衡风险与收益,确立合理、完善的风险应对策略;同时,在企业的经营情况发生变化时,应及时调整风险应对策略。
3.3 信息与沟通
信息与沟通能够使企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部与外部之间进行有效沟通。企业应当建立合理的信息与沟通制度,明确内部控制相关信息的处理程序,同时对内部控制的相关信息进行筛选、整合,提高信息的有效性。企业还应建立反舞弊机制、举报投诉制度等,使企业更加有效地掌握信息。
3.4 内部监督
一、内部控制存在的问题
(一)控制环境薄弱
1、董事会定位不明,缺乏分工。董事会对一个公司负有重要的受托管理责任。我国上市公司的法人治理结构在形式上是完整的,但在实际运作中有很大的弊端。一人身兼董事长和总经理为数不少,而董事长又是控股大股东方出任,而且国内董事会基本是唯董事长命令是从,因此,董事会毫无顾忌地执行控股大股东意志也是很常见的现象。可见,这种所谓的公司治理结构不过是给中小股民作个样子罢了,起不到任何作用。
2、内控人员素质不高。如果企业内部行使控制职能的人员在心理上、技能上和行为方式上不能达到实施内部控制的基本要求,对内部控制的程序或措施经常误解,那么,再好的内控制度也很难发挥作用。
3、不注重企业文化建设。成功的企业文化在短期内造成的对员工士气的鼓舞作用会帮助企业渡过暂时的难关,从而带来企业经济效益的回升从长远发展来看,企业文化在潜移默化中发挥的效用是一个企业成长壮大和持久发展的决定因素,在市场大潮中发挥着无可替代的作用,是提升企业核心竞争力的决定性基因。如,美国通用电气公司、日本松下电器公司。如果没有一个好的企业文化,企业的员工士气不足,企业缺乏凝聚力,这样企业很难有好的经营效益。
(二)内部监督失灵或没有内部监督。在内部控制的监督过程中,有两项职能发挥着重要作用,一是内部审计;二是内部控制的自我评估。十几年来,我国内部审计事业取得了长足进展,目前大部分国有企业及上市公司成立了内部审计机构,但仍然存在很多问题,内部审计人员的素质参差不齐,许多企业的内部审计部门形同虚设,不能发挥其应有作用。内部控制的自我评估在我国基本没有形成气候,这一点在国有企业表现得更明显。因为,国有企业本身就缺少建立内部控制的源动力,企业制定内部控制制度也只是为了满足有关部门的要求。
(三)风险意识薄弱。现实中,我国企业对风险的认识、管理,无论是在主观意识方面,还是在风险管理机制建设方面,都显得远远不够。同时,企业面临着更大的环境变化和生存风险,主要有:市场风险、产品风险、经营风险、投资风险、外汇风险、人事风险、体制风险、购并风险、自然灾害风险、公关危机、政策风险、外交风险等。无论何种风险,企业都应建立可以辨认、分析和管理的风险机制,以加强管理。但我国企业缺乏这种机制,出现盲目扩张等风险。
(四)信息披露不完全。内部控制信息的披露有助于信息需求者的决策,也有助于提高企业完善自身内部控制的责任意识,更有助于提高企业财务报告的质量。但现实中,由于对内部控制信息披露缺乏强制性和普遍性的明确规定,对披露形式缺乏统一要求,使上市公司在内部控制信息披露上存在较大的选择性和随意性。
二、解决内部控制存在问题的对策
(一)优化企业内部控制环境
1、设立独立董事制度。独立董事是指独立于股东且不在公司内部任职的董事,即不代表出资人也不代表公司管理层,能客观公正地对公司战略决策、生产经营决策作出独立判断,有利于公司内部的检查、监督、评价,避免单位负责人在控制中的随意性和互相串通现象。有效实施独立董事制度,关键是要保证独立董事的独立性、明确独立董事的权利义务、确保独立董事的有效参与活动。
2、要有先进的管理控制方法和高素质的管理人才。管理控制方法的好坏直接影响到企业的控制效果及经营效率。它包括制定企业各项规章制度和规划,并对它的执行过程进行控制和监督。无论制度本身如何完善,制度的执行最终还是由企业不同岗位的员工来完成,如果没有一支具有良好素质的员工队伍,企业的目标便不能得以实现。因此,企业必须采取一定的控制措施以保证员工素质满足其岗位的要求,满足企业生存、发展的要求,具体控制措施包括:合理的招聘程序、具有针对性的员工培训计划、岗位轮换制度等。
3、加强企业文化建设。当今时代迫切要求我们重视“企业文化”的开发与建设,大力提高企业的文化品位和文化附加值,把智力和知识注入到企业发展之中,注入到企业管理之中,以文化激活生产力,提升竞争力,推进企业实现超常规、高速度、跨越式发展。加强企业文化建设必须把握好以下几个问题:(1)关于继承与创新;(2)关于企业文化与生产管理;(3)关于企业领导倡导和员工积极参与;(4)关于博采众长与以我为主。
(二)强化和完善内部监督机制。尽管企业设立各项制度安排、进行权责分工、进行目标管理、采取各项控制程序,但监督是必需的。为了确保内部控制制度得到全面、准确的实施,必须建立内部控制机制,推进内部控制的落实。财政、税务、审计、人民银行、证券监管、保险监管等部门应当按照有关法律、行政法规规定的职责,对有关单位的会计资料实施监督检查。同时,大力发展注册会计师事业,充分发挥其独立超然的特性,履行社会公证和监督职能,使会计人员一方面受法规制度的规范,另一方面受注册会计师的公证监督。另外,要发动全社会参与会计监督。鼓励与支持广播电视、报刊等新闻媒体对企业(特别是上市公司)违法违纪行为曝光,以充分发挥舆论监督的作用。
1.凭证编号
凭证编号是企业常用的控制方法。它可以控制企业签发的凭证数量,以及相应的交易涉及的其他文件,如支票、发票、定单、存货收发证明的使用情况,便于查询,避免重复、遗漏;更重要的是,编号的连续性在一定程度上减少了企业人员舞弊的可能性(如截取银行收款凭证、贪污等)。
2.复式记账
复式记账能够将企业已有的经济业务相互联系地、全面地记入有关账户,使各账户完整地、系统地反映各会计要素具体内容的增减变动情况和结果。通过借贷平行可以确定会计账面记录无误,从而提供了保证会计信息正确的可能性。
3.统一会计科目表
在实行国家统—一级会计科目的基础上,企业应根据经营管理需要,统一设定明细科目,特别是集体性公司更有必要统一下级公司的会计明细科目,以便于统一口径、统一核算、有效分析。企业可以列一张有全部会计科目(包括资产、负债、收益、收入、费用)的清单,并附有每个账户的内容说明。一般包括科目编号、名称、级别、类别等几个方面。
4.会计政策
对于主要的会计政策,国家也有统一规定,但这些规定往往带有选择性,如应收账款坏账准备比例、固定资产折旧方法等等。从内部控制及管理要求出发,企业必须具有统一的会计政策,尤其是整个集团(包括各子公司)统一某些会计政策,以便于汇总管理和考核。
5、结账程序
结账是一项将账簿记录定期结算或结转的账务工作,包括收入、费用的结算,资产、负债、所有者权益的结转。企业可运用网络图来设计结账的工作步骤、内容、完工时间、有关责任人,以保证结账工作顺利进行。控制结账程序能够保证企业会计处理的及时完成,并且能及时发现错误加以改正。随着网络技术的推广,一些企业将某一经济业务的会计处理动态地反映在局域网上,实时监控结账的进度。
五、实物保护控制
内部控制的各种方式都具有保护资产安全的作用,这里所述实物保护是指对实物资产的安全保护,其主要内容有;
(-)限制接近
限制接近主要指严格限制无关人反对资产的接触,只有经过授权批准的人员才能够接触资产。限制接近包括限制对资产本身的直接接触和通过文件批准的方式对资产使用或分配的间接接触。
1.限制接近现全
现金收支的管理应该局限于特定的出纳员。这些出纳员要与控制现金余额的会计记录人员和登记应收账数的人员相分离。可以设立单独封闭的出纳室或带领抽屉的收银机来保护现金的安全。零五现金的支出可以通过由指定人员管理小组备用金的方法加以控制。
2.限制接近其他易变现资产
其他易变现资产,如应收票据和有价证券,一般应采用确保两个人同时接近资产的方式加以控制,例如由银行等第三方保管易变现资产。在处理保管的易变现资产时,要求由两名管理人负共同签名等等。
3.限制接近存货
在制造业和批发企业中,存货的实物保护可由专职的仓库保管员控制,设置分离、封闭的仓库区域,以及工作时间之内和工作时间之后控制进入厂区等方式实现。在零售企业中,存货的实物保护可以通过在营业时间中和营业时间后控制接近库房的方式(如使用夜盗警铃、发放有限的钥匙)来实现。另外,对贵重商品使用带销的营业柜,以及聘用专人日常巡视和采用某些监控设备等也是实物保护控制的措施之一。
(二)定期金点
定期盘点指对资产进行定期盘点并将盘点结果与会计记录进行比较。
1.定期与记果核对
实物资产盘点并与会计记录核对一致在很大程度上保证了资产的安全,虽然我们并不排除实物资产和会计记录存在相同错误的可能。为保证盘点时资产的安全,通常可以先盘点实物,再核对账册,以防止金盘资产的流失。
2.差异调查
实物盘点结果与有关会计记录之间的差异应由独立于保管和记录职务的人员进行调查。盘点结果与会计记录如果不一致,可能说明资产管理上出现错误、浪费、损失或其他不正常现象。为防止差异再次发生,应通过详细调查查明原因、查明责任,并根据资产性质、现行的制度以及差异数额、原因采取诸如加强保护控制、惩罚不称职员工等改进措施。
需要说明的是,我们可以根据资产性质来确定盘点频率,显然,动产权之不动产,可林带品较之不可携带品,消费品收之生产用品,货币性资产较之非货币性资产的盘点频率要高得多。
(三)记录保护
会计应妥善保管各种文件资料(尤其是资产、财务、会计等资料)。首先,应该严格限制接近会计记录的人员,以保持保管、批准和记录职务分离的有效性。其次,会计记录应妥善保存,尽可能减少记录受损、被盗或被毁的机会。再次,某些重要资料(如定期的财务报告)应留有后备记录,以便在遭受意外损失或毁坏时重新恢复,这一点在当前计算机处理的条件下,尤为重要。
(四)财产保险
通过资产投保(如火灾险、盗窃险、责任险或一切险)来增加实物资产受损后补偿的程度或机会,从而保护企业的实物安全。
(五)财产记录监控
建立资产个体档案,对资产的增减变动仪及时、全面地记录,同时加强对财产的所有权证的管理。企业可考虑改进低值易耗品全额推销方式,保留部分价值于账面(如1元),使其价值纳入财务报表体系内,以确保账实一致。
六、职工素质控制
内部控制的成效关键在于职工素质的合格程序,职工素质控制的目的在于保证职工忠诚、正立、勤奋、有效的工作能力,从而保证其他内部控制有效实施。职工素质控制的要点有:
(-)招聘程序
严格的招聘程序是保证职工应有素质的重要环节。人事部门须对应聘人员进行细致的调查,通过审阅应聘人员的教育和工作经历、与以前受聘单位的联系、面试等方法评估应聘人员的技术培训和所掌握的技能情况,调查其以往有无不诚实行为和公职情况的发生。
(二)作业标准
建立完善的作业标准,使每个职工都知道应遵循的行为要求,用作考核评价职工行为的依据。建立作业标准有利于企业处理业务规范化、标准化,有助于揭露不正常的经济活动。
(三)培训计划
制定职工培训计划,按职工的工作岗位说明和程序手册进行定期培训,帮助他们提高业务素质,保证各级人员更好地完成规定的任务。
(四)考核奖惩
企业应定期对职工业绩进行考核。对工作勤奋、业绩突出的职工予以表彰和晋升;对能力不足的职工应及时调整其工作岗位;对,甚至造成企业损失的职工应予以批评、降级甚至解聘。
(五)信用保险
企业可以建立职业信用保险机制,如与重要岗位的员工(如销售、采购、出纳等)鉴定信用承诺书;重要岗位员工可采取推荐人制度;甚至可以办理商业信用保险。实施了信用保险制度后,不仅能在遭受财产损失时取得赔偿,而且还具有一定的制止犯罪的威慑作用。
【关键词】内部控制 外部化 外部控制 合规性 效益性
健全和完善企业内部控制制度是进一步贯彻《会计法》的要求。内部控制作为一项复杂的企业运作保障机制,其制度的完善和贯彻执行决非纯粹的企业内部事务,它与企业外部控制机制密切相关。并且随着企业控制手段的日益丰富,现代企业内部控制呈现出外部化的发展趋势。为何会产生内部控制的外部化现象,我们应当如何看待这一现象,本文对此阐述了笔者的一点意见。
一、关于内部控制外部化成因的思考
内部控制的思想产生于十八世纪中后期,它是企业规模化发展和资本结构复杂化、大众化的必然产物。随着经营权与所有权的分离,企业中逐渐形成了投资者与经营者两大利益集团,由于他们目标利益函数的差异,实践中出现了利益冲突的问题。投资者为了确保企业经营者的行为符合自身的利益而采用了一些制约、协调、纠谬的方法和制度,这就形成了早期简单的内部控制。此后随着企业形式的进一步发展,管理层结构日趋复杂,高层管理者亦希望通过类似的控制制度监督中、下层管理者,并能有效的提高企业的经营效率。通过近百年的实践,最终逐渐形成了现代企业的内部控制理论。
1994年由美国注册会计师协会、内部审计师协会、美国会计学会和管理会计协会等组成的“发起组织委员会”(COSO)将内部控制定义为“由企业董事会、经理阶层和其他员工实施的,为运营的效率和效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。它主要包括:控制环境、风险评估、控制活动、信息和沟通、监督等几个方面的内容。”根据这一定义,内部控制是由企业各层经营管理人员共同执行的,其中处于不同层级的管理者掌握着不同的控制权力并承担相应的责任,同时相邻层级之间存在着控制和被控制的关系。对某些层级的内部控制而言,由于需要采用特殊的控制手段和方法以达到特定的控制效果,因而逐渐引入了一定数量的外部控制,亦即产生了内部控制的外部化。所谓的内部控制的外部化是指企业采用外部控制程序在某些环节上替代内部控制,以达到对其特殊的控制效果的过程。它既包括控制参与者的外部化,也包括控制程序及方法的外部化。换言之,企业既可以通过利用外部的专职人员参与内部控制,也可以直接使用外部控制的程序、方法来代替内部控制,二者均属于内部控制的外部化。笔者认为,内部控制的外部化是由多方面的原因造成的,其中主要包括:社会分工专业化、企业对管理高效率的追求、内部控制自身的不完善性、政府经济管理职能的运作等。
1 社会分工专业化和企业对高管理效率的追求促进了内部控制外部化的发展。根据科斯的理论,“企业经营倾向于扩张直到企业内部组织一笔额外交易的成本等于通过在公开市场上完成同一笔交易的成本或在另一个企业中组织同样交易的成本为止。”这就是说,如果企业内某项事务的交易成本大于将其交由外部组织来完成的交易成本时,企业倾向于放弃此业务。随着社会化分工的发展,企业将由自己完成成本较高或效率较低的业务推向外部,从而形成企业间的分工与合作,这种企业生产的专业化有助于形成合理的资源配置与高效率的生产模式。企业内部控制与外部控制的分工、合作也遵循着这样的原理。一方面,伴随着企业管理结构的复杂化,企业内部控制的范围、层次必然增加,企业投入内部控制过程的资源所形成的内部控制的交易成本,也必然相应增加。当此成本的增加一旦超过了由内部控制所带来的效益或者比同等效果的外部控制成本还高时,企业有可能放弃内部控制程序,而以同等效果且成本较低的外部控制程序来代替。另一方面,某些内部控制程序由企业自己完成效率较低,而某些外部组织可能由于专业化程度较高或者专有资源(包括人力资源)较为丰富,从事此类业务更具效率,所以企业就会寻求外界的帮助,希望借助于外部控制来提高企业管理的效率。由此便引发了内部控制的外部化进程。
当然,企业内部控制的外部化并非以外部控制代替所有的内部控制,这也是由社会分工专业化的理论所决定的。社会分工的发展历史已经证明,绝对的专业化并未带来绝对高的生产效率。如果把外部控制视为内部控制复杂化后所剥离产生的业务,外部控制和内部控制一样也需要占用一定数量的资源,企业单纯采用外部控制是不符合成本效益原则的。例如现代外部审计就是建立在对企业内部控制符合性测试基础上的抽样审计。这样的审计模式是外部控制与内部控制的很好的结合,它充分利用了内部控制的效率,避免了复杂的全面审计,节约了审计的成本。同样,当企业只存在内部控制时,由于企业的经营业绩、财务报告等信息缺乏中立性的独立验证,投资者特别是潜在投资者对其缺乏信任,企业在资本市场中难以取得低成本的资金来源;当企业完全依靠外部控制时,由于缺乏自我监督约束机制,企业中往往普遍存在舞弊行为或出现低效率现象,而又不能得到及时准确的控制,最终企业会产生较大的管理成本。所以只有将内部控制与外部控制相结合,才能使企业最有效的利用有限的管理资源完成高效率的控制任务。总之,社会分工的专业化和对高管理效率的追求促使企业主动放弃了一部分内部控制程序,转而采用了外部控制,这就在一定程度上促进了内部控制的外部化。
2 政府经济管理职能的履行推动了内部控制的外部化。由内部控制的定义可知,保证企业高效、合规的生产经营是内部控制的重要的目标。而这一目标恰好与政府宏观经济管理的职能不谋而合,所以内部控制体系的完善不可能仅是企业自身的事务,它必然会映射出政府管理职能对其产生的影响。政府为了履行经济管理职能,更好地运用宏观手段管理企业经营,会不断的出台宏观政策加以指导,其中不乏关于内部控制的规定。纵观各国内部控制的发展,政府对内部控制外部化的促进作用集中体现在对内部控制制度的制定上。绝大多数国家都针对内部控制问题由政府机关或其他机构制定相关的原则性规定,内部控制的实施必须严格以此为纲领。例如,美国政府为了完善内部控制制度先后多次将民间机构制定的有关规定纳入法律条文,或者通过其他形式进行加强。这种由政府或其他机构制定内部控制原则的行为本身就是一种内部控制的外部化表现。
另外,很多制定内部控制制度的机构和人员本身就是外部控制活动的执行者,由他们制定的内部控制制度必然会充分的反映出外部化的要求。当前,许多规定都强调了外部控制对内部控制的约束性和验证性。例如,我国1996年12月的《独立审计具体准则第9号———内部控制和审计风险》中要求注册会计师必须审查企业内部控制的情况;在2000年的《公开发行证券公司信息披露编报规则》中也明确提到注册会计师必须对内部控制制度及风险管理系统的完整性、合规性和有效性进行评价,提出改进建议,并以内部控制评价报告的形式加以披露。在政府的强烈影响之下,企业必然会在某些内部控制过程或环节上加大外部控制的应用范围。例如有些企业内部审计部门及人员与外部审计机构相互配合共同对企业实施控制;有的则直接与会计师事务所签订协议,由其参与企业的内部审计。这在客观上促进了内部控制的外部化发展。
3 内部控制的缺陷需要通过外部化加以弥补。内部控制的性质是内向型服务,是企业自我约束的重要机制。正是由于其内向服务的属性决定其在独立性方面存在缺陷,这较为突出的表现在内部控制的机构设置、领导形式等的定位问题上。正是由于企业可自主决定内部控制机构的设立、人员配置、工作的中心和范围等重要内容,所以其独立性必然会受到影响。关于企业内部审计的定位问题,当前主要有以下几种情况:一、由监事会领导;二、由董事会领导;三、有高级管理层领导。从理论上讲,由于监事会向股东大会负责,其控制权限较大受到的阻力相对较小,由其领导的内部审计具有较高的独立性;由董事会或者高级管理层领导的内部审计则独立性相对较弱。但是,在现实中大多数规模不大、业务活动简单的企业都采用了后两种形式的内部审计,因而其内部控制的监督很大程度上只是董事会或高级管理者对中、下层职能管理部门的监督控制,而高层管理者自身缺乏约束,这样的内部控制就是不完整的,缺乏独立性。即便由监事会作为内部审计的领导机构,也难以保证其人员在实质与精神上的独立性,因而内部控制的独立性和审计结论的可靠性往往受到怀疑。另外,内部控制人员并非专业的审计或管理人员,即使其中立性得到保证,其专业能力仍会受到怀疑。
当前,企业投资者和资本市场都相对独立于企业经营管理之外,他们在很大程度上只能依靠企业的控制机制对企业经营决策加以监督。而他们所希望的控制不仅是针对企业一般管理者的行为,而且也能对高层管理者甚至是董事会的管理、决策行为加以有效的控制。而这种要求对于独立性较差、人员专业能力有限的内部控制而言是很难胜任的。与内部控制相反,外部控制则具有独力性强、人员专业能力有保障的优点,并且有相当专业化的资源配置,因而外部控制承担某些环节上的控制职能更为合适,可以有效的弥补内部控制的缺陷。总之,内部控制自身的缺陷也需要外部控制的参与,以对其不足之处加以弥补。
其实,内部控制的外部化还受到许多因素的共同影响。内部控制与外部控制之间存在着极为密切的关系,在许多领域中内部控制是与外部控制相结合共同参与企业的监督约束,甚至在部分领域外部控制取代了内部控制。由上面的分析,笔者认为,内部控制的外部化是社会经济发展的必然选择,也是现代企业制度完善的必然要求,恰当的处理将有利于企业的健康发展。
二、关于如何处理内部控制外部化的思考。
1 关于内部控制外部化的重点在于对企业高层管理者的控制。按照理论的观点,现代企业是以契约形式组成的多层次委托———关系的集合体。所有权和经营权的分离是现代企业的重要特征,股东的大众化使得股东放弃了经营权,而以委托的方式将资产托付于高层管理者经营。在此二者之间形成了第一层委托关系。企业规模的大型化和业务的多元化、复杂化又使得高层管理者不得不再次通过授权委托中、下层管理者对部分业务和职能部门加以管理,各管理层之间又形成了第二层、第三层的委托关系。一般而言,在各种企业单位中,第一层委托关系最具有共性,也就是说,所有者与高层管理者之间的委托关系是最一般化的,仅是所有权与经营权之间的委托,它受行业、企业特征的影响较小。相反,高层管理者与中、下层管理者之间的委托关系则更具有企业的特色。不同的组织结构、企业文化、管理方式以及企业类型和规模都会影响到管理层之间的委托关系。
从公司治理的角度看,“公司治理机制辐射两方面内容:一是企业与股东及其他利益相关者之间的责权利分配,在这一层中,股东要授权给管理当局管理企业、采取措施保证管理当局从股东利益出发管理企业、能够获取足够的信息判断股东期望是否能真正得到实现,并在管理当局损害股东权益时有权采取必要行动;二是企业董事会及高级管理层为履行对股东的承诺,承担自己应有职责所形成的责权利在内部各部门及有关人员之间的责权利分配。”公司与股东之间的关系具有一般化的属性,而企业内部各管理层间的关系往往缺乏共性。所以笔者认为,内部控制的重点应当是企业内各层管理者之间的监督、约束、协调等工作。因为不同企业各具特点,只有企业自己的管理者和员工才能做到真正了解其实际情况,对比较复杂的内部管理工作采用内部控制就更具针对性和适应性,便于查找深层弊端,及时进行反馈。而且企业高层管理者与中、下层管理者之间的利益冲突相对较少,高级管理者对下属的控制也相对简单,同时这种管理的信息属于企业内部信息,不需要向外部披露,因而可以内部控制为主不必过于严格追求其独立性。
与此相对,内部控制外部化的重点则应放在对高级管理者的控制上。首先,股东与高层管理者之间存在较大的利益冲突,单纯依靠监事会等内部控制程序难以保证其控制结果。其次,高层管理者具有相对多的权利,其获取不正当利益或做出其他不合规行为的渠道和手段更为丰富和隐蔽,这对控制的要求较高,因而需要具有相当专业能力的外部控制程序对其加以约束。再次,股东对经营者的控制信息往往是需要对外公布的信息,这就要求控制必须具有较高的中立性。最后,由于股东与高层管理者之间的关系具有共性,适应于外部控制的实施。
2 内部控制外部化的内容主要是对经营管理合规性的控制。根据COSO的定义,内部控制的目标有二:一是保证财务报告的可靠性,企业运行遵守法律规定,即合规性;二是提高企业经营效果和效率,即效益性。内部控制的各项职责和内容亦应据此确定。例如企业往往设置内部审计、会计监督等机构,利用岗位分工、授权复核、预算控制等方法,对企业经营加以控制来保证其合规性;同时也会利用业绩考核、成本核算、风险效益分析、职工培训、奖惩等多种方法提高企业的效益。
对于内部控制外部化而言,其内容主要是对企业合规性进行控制。首先,从外部控制的历史来看,对合规性的控制,如CPA审计、财税检查等产生较早,形成了较为完善的理论和实践方法体系。对企业合规性的审核工作采用外部控制,则更具专业化和效率,其结果也更容易得到社会的认可。由于外部控制在合规性审查方面的优势决定了内部控制在此内容上的作用相对较弱,从而形成了外部化为主的局面。关于效益性的外部控制产生发展则较晚,对其控制的手段方法较为有限。并且由于企业性质特点不同,造成企业效益低下的原因可能多种多样,外部控制程序往往难以及时、准确的完成控制任务。当然也应当看到,现代企业管理咨询、经营策划等服务行业正在快速发展,这将有助于促进对企业效益性问题的控制和管理。但就目前来看,外部控制参与企业内部控制仍是以合规性控制为主要内容。
综上所述,企业内部控制的外部化发展是由社会分工专业化、企业对经济效益的追求以及内部控制自身缺陷等原因共同决定的,它是内部控制发展的合理趋势。对此笔者认为,将企业中适合于外部控制的环节及部分内容转由外部控制来完成,一方面可以提高企业管理的专业化程度和管理效率,促进内部控制质量的提高;另一方面也为外部控制提供了更多的业务空间,这必然有助于外部控制的发展壮大。所以内部控制的外部化是一条有益于提高企业控制水平的重要途径。
参考文献
1 科斯 论生产的制度结构 上海三联书店,1994
2 李健 公司治理论 北京:经济科学出版社,1999
3 阎达五 杨有红 内部控制框架的构架 会计研究,2001;2
4 朱荣恩 建立和完善内部控制的思考 会计研究,2001;1
1、明确规定处理各种经济业务的职责分工和程序方法。企业要健全和强化内部组织机构,是企业经济活动进行计划、指挥和控制的组织基础,其核心问题是合理的职责分工。在一般情况下,处理每项经济业务的全过程,或者在全过程的某几个重要环节都规定要由两个部门或两个以上部门、两名或两名以上工作人员分工负责,起到相互控制的作用。
2、明确资产记录与保管的分工。规定管钱、管物、管帐人员的相互制约关系,旨在保护资产的安全完整。另外,现金收付的复核制,物资收发的复秤制、复点制等,也都是防错防弊的内部控制制度。
3、明确规定保证会计凭证和会计记录的完整性和正确性要求。对各种自制原始凭证,在格式、份数、编号、传递程序、各联的用途、有关领导和经办人签章、明细数同合计数及大小写数字一致等方面作出规定。对各种账簿记录,要求帐证的一致或保持一定统驭关系的规定;还有会计核算中规定的双线核对、余额明细核对、各种报表相关数字核对,以及由此而规定的内部稽核制度等。
4、明确规定建立财产清查盘点制度。为了保证财产物资的安全和完整,除规定物资保管员对每项物资进行收付后,要实行永续盘存办法核对库存帐实外,还要规定财产物资的局部清查和全面清查制度,以保证帐卡物相符或及时处理发生的差错。
5、明确规定计算机财务管理系统操作权限和控制方法:
(1)计算机代替手工填制记账凭证是比较容易的,比手工制作的凭证更规范、效率更高。
(2)电算化可以提高会计工作效率和会计工作的水平。
(3)对会计电算化进行内部控制,主要是对存取权限进行控制。
以上就是小编给大家分享的内部控制包括的内容,希望大家会喜欢。
(来源:文章屋网 )
关键词:内部控制签证 内部控制审计 时间思路
近年来我国针对本国的国情以及发展情况,要求公众公司管理阶层应对的内部控制进行自我评价,同时也要做出对外的报告,而且要求年报审计会计应对以上管理层的行为做处鉴证,并出具相应的报告。近年来我国内部控制审计和控制鉴证不仅引起了我国监管部门的关注,同样也引起学术界高度的重视,越是关注度高,就约会引起争议,对于这个问题,我国还存在着无多理论和实际问题,有待我们进行进一步的研究。
一、了解我国内部控制审计和内部控制鉴证的政策变化
中国内部控制审计鉴证政策变迁和美国方面存在着不约而同的一样的地方,两者都是通过从最初的财务报表审计中的内部控制评价发展到内部控制审核,最后发展到内部控制审计和内部控制鉴证的过程。但是我国对强制中小板和创业板公司并没有给出什么硬性要求,这两类的公司主要采取择机实施的方式,而大范围的针对主板上市公司。我国对主板和中小板的要求是实施内部审计,实施控制内部鉴证主要是针对创业板的公司。那么不仅会引起了内部控制审计和内部控制鉴证不同,还会引起内部控制审计与内部控制鉴证执行情况的不同,等等一系列问题的探究。
二、内部控制鉴证与内部控制审计的对比
(一)在概念上区分内部控制鉴证和内部控制审计的不同
从《中国注册会计师鉴证业务基本准则》里比较清洗的表明,鉴证业务只是注册会计师对鉴证对象的具体信息作出具体的结论,可以不断的增强人民群众对鉴证对象的有关信息的信任度,这只是其中的一项任务。鉴证任务种类繁多,除了包括审计任务、审阅任务等基本的鉴证任务等,还具体到内部控制鉴证和内部控制审计。由中国《企业内部控制审计指引》可看出,内部控制审计主要负责会计事务所接受企业内部控制,进行审计并反映出行对应的建议。由此可见,内部控制审计归属于审计业务。
(二)在行为上区分内部控制审计与内部控制鉴证的不同
从行为的角度上着手,内部控制审计与内部控制鉴证既存在着相同之处,也具有一定的差异。二者都遵循《中国注册会计师鉴证业务基本准则》为行动准则,与内部控制鉴证业务还是有不同之处,内部控制审计必须严格遵守《企业内部控制审计指导》,而内部控制鉴证则要遵守《其他鉴证业务准则》。
(三)内部控制审计与内部控制鉴证在主体及对象上的差异
单从主题上说,二者主体相同,无论是内部控制审计还是内部控制鉴证,都鼓励上市公司实施会计师事务所实施的他们内部控制鉴证与审计。但是在对象上来看,内部控制审计和内部控制鉴证存在着差异。责任方设定鉴证对象信息的形式,被使用者们所获得,注册会计师只负责对鉴定对象进行有效的评价,也可以采取直接从责任方得到鉴证对象的认定。
(四)内部控制审计和内部控制鉴定在风险上的差异
内部鉴证业务的保证程度受具体的情况而定,在保证内部控制鉴证的活动中,对注册会计师提供了具体的要求,要求注册会计师将鉴证风险针对鉴证后的内部控制,降低到这个业务公司能够承受的范围,应当保持应有的职业谨慎。内部控制审计在业务风险上相比较内部控制鉴定来说,业务风险较高,保证程度也较为合理。
(五)其他方面的比较
与内部控制审计相比,内部控制鉴定在收集程序的性质、时间和范围等方面都要受到严重的限制,这就说明在在证据收集程度要求上内部控制鉴证和内部控制审计有很大的不同。而且在证据收集的数量上也有不同的要求,内部控制审计的所需要的数量较多,内部控制见证要求的数量较少。除此之外。审计师在二者之间担任的责任也大不相同,审计司在内部控制计单人的责任相对来说更高。还有就是内部控制审计业务收费与内部控制鉴证来比,也相对较高。
三、内部控制鉴证与内部控制审计的实施现状
(1)我国多数公司公司都采取足一年一次的内部控制审计报告的方式,并且在长期发展中逐渐提高,但是依旧避免不了占少数比例的公司无法满足这一要求。
(2)近年来,有关内部控制审计和内部控制鉴证的研究大量涌现,由此也发现了不少问题,例如审计、鉴证依据不统一,审计、鉴证报告名称不一致和业务类型有差异等等问题,随着相关规范的实施和完善,上市公司内部控制报告也随之不断地规范,,这些问题也在慢慢地解决当中。
四、有关于内部控制鉴证与内部控制审计更好发展的对策
通过对上文的论述,我们很容易就会发现,内部控制鉴证的要求高于内部控制审计的要求,两者在概念范畴、适用的行为规范、业务对象、保证程度和业务报告以及业务风险上都存在着很大的差异。创业板公司相比较主板和中小板的公司来说,具有规模小和风险高等不利因素,这就导致了在内部控制鉴证与内部控制审计的执行上,创业版公司在执行上更费力一些,出现的不足也相对来说更多一些。因此要结合现实中的问题和情况,采取有效的针对性措施,可以让所有不同版块都可以很好的实现对公司内部控制鉴证与内部控制审计的实施。
(一)完善内部控制审计准则和内部控制鉴证的准则
中小板和创业板和主板相比,存在着很多的差异,尤其是创业板,有带有规模小、风险高等多种不利因素,使内部控制审计与内部控制鉴证有实施造成一定的障碍。而我国现有的制度、规范又很少考虑到创业板公司的特点,实际操作方式也没有明确的了解。所以,必须对现状进行观察,对所有不同板块的特点和优缺点以及差异进行整合,使制定出来的内部控制标准能够适应不同板块,包括所有的内部控制的应用、内部控制的自我评价、内部控制鉴证、审计等具体内容。
(二)审计师应该明确内部控制鉴证和内部控制审计之间的区别和联系,需要审计师自己的正确理解
内部控制审计和内部控制鉴证大不相同,在实际的具体要求中也一样存在着极大的差异,既涵盖业务风险、保证程度和业务报告等方面,也要非常注重两者之间的联系,比如二者的主体都是会计师事务所,两者的主要目的都是对内部控制发表有效的意见和建议。审计师既是内部控制审计的主体,也是内部控制见证的主体,又同时都是二者的出具方。所以要加强审计师对内部控制审计和内部控制见证的认识,只有对内部业务进行充分的理解,才能把工作效果实现最大化。
(三)相关公司提高内部控制审计意识和内部控制鉴证意识
目前不少公司还是存在着对内部控制鉴证与内部控制审计存在着就是在找麻烦的误区,所以为了促进二者的实施,要从根本上认识到二者的重要性,增强公司自身的意识。
五、结束语
虽然内部控制审计与内部控制鉴证存在着很多争议,也存在着很大的不足之处和缺点,但是在政府和相关公司的共同努力下,这项事业一定能蓬勃发展,取得明显的成效。
参考文献:
[1]方红星,戴捷敏.公司动机、审计师声誉和自愿性内部控制鉴证报告――基于A股公司2008―2009年年报的经验研究[J].会计研究,2012,02:87-95+97
[2]李明辉,张艳.上市公司内部控制审计若干问题之探讨――兼论我国内部控制鉴证指引的制定[J].审计与经济研究,2010,02:38-47
内部控制测评与审计项目中的其他工作相比,缺乏严格的是非和优劣标准,加之内部控制概念中一些“软”因素的存在,内部控制测评更加依赖审计人员的专业判断。制定国家审计机关内部控制测评准则,对内部控制测评业务进行规范和指导就显得十分必要。
制定国家审计机关内部控制测评准则应注意下列几个:
现实性和前瞻性相结合
审计准则是对审计人员及其审计行为的规范。其作用有三:(-)对审计人员及其审计行为提出规范性要求,起规范作用;(二)对审计人员执行审计业务提供指南,起指导作用;(三)作为衡量审计人员审计工作水平的标准,在审计人员与有关各方发生争执时,是审计人员自我辩护的有力工具,起保护作用。因此,审计准则应该是对审计人员及其行为的最低要求,应该来自于现实的审计实践,同时又要高于审计实践的水平,反映审计实践的趋势,具有一定的前瞻性。
毋庸质疑,制定我国国家审计机关内部控制测评准则,也应充分考虑其现实性和前瞻性的问题。
一方面,要充分考虑我国的审计实践水平。我国的现实情况是,审计实务中广泛应用了内部控制测评,但缺乏系统性和规范性,制定内部控制测评准则应充分考虑这一客观事实,将准则建立在现实的审计工作的基础上。否则,一味按照理论上的要求,将内部控制测评准则制定得要求过高,实践中缺乏可操作性,就会失去制定准则的意义。
另一方面,要提出高于实践的要求。审计准则的重要作用就是对审计实践进行规范和指导,这就要求审计准则必须高于现实的实践,如将实践中的做法不加提升,直接写入准则,准则的作用就不能体现,也不成其为准则。内部控制测评在我国实践和理论上差距很大,因此制定这个准则尤其要注意这一点。
借鉴最新成果
目前,国际上广泛认可的内部控制概念有两个:
1.1988年美国注册师协会发布的第55号《审计准则说明书》(SAS55)提出的内部控制结构的概念。该说明书将内部控制定义为“为合理保证实现公司的具体目标而建立的一系列政策和程序”。该说明书认为,内部控制结构由控制环境、会计系统和控制程序三个要素组成。会计系统是内部控制的关键因素,也是审计人员要直接利用的因素。控制程序是保证内部控制结构有效运行的机制。
2.1992年美国反对虚假财务报告委员会的赞助组织委员会(COSO)发布了《内部控制——整体框架》的报告,提出了内部控制整体框架的概念。包括下列五个相互关联的要素:(l)控制环境,设定一个的基调,企业成员的控制意识,它是内部控制其他要素的基础。(2)风险评估,是企业对实现其目标的相关风险的确认和,形成风险管理的基础。(3)内部控制活动,是帮助保证管理当局的指令得以贯彻实施的政策和程序。(4)信息交流,是以一种确保人们履行其职责的形式和时眼来确认、捕捉和交换信息。(5)监督,是评价一定时期内内部控制质量的一个过程。
比较这两个概念,我们发现二者没有本质上的区别,只是前者偏重于财务方面,后者旨在向有关各方提供一个公认的内部控制框架,更加强调内部控制中人的重要作用、确认和分析风险以及内部审计监督。我们在制定内部控制测评准则时,究竟按照上述两种概念框架中的哪一种来写,应由我国审计实践中应用内部控制的水平和我国市场的发展趋势来决定。
笔者认为,制定内部控制测评准则可以建立在对后者概念的阐释基础上,同时在具体方面充分体现我国内部控制的经验。原因有二:(l)既然二者没有本质的区别,考虑到在我国市场经济不断完善和法制不断健全的情况下,被审计对象面临的各种风险增大和建立规范化运作机制的趋势,突出强调内部控制中的风险意识和人的重要作用是十分必要的。(2)国家审计的业务范围既包括财务审计、合规性审计,又包括绩效审计,涉及各种机构和组织,所以,采用的内部控制概念应是一个能够为各方都比较认可的概念,1992年COSO的概念恰好可以满足这种要求。
与民间审计准则相协调
注册师协会颁布的《独立审计具体准则第9号:内部控制与审计风险》中采用了 1988年美国注册会计师协会第 55号审计准则说明书中的概念,将内部控制的分为控制环境、会计系统和控制程序三个部分,把内部控制的固有限制以及这三个部分的主要测试内容都详细地列出来。可以看出,这份准则主要是针对财务审计的,内部控制测评的目的是为了使审计人员更好地选择审计程序,降低审计风险。
如前所述,国家审计的业务范围除财务审计、合规性审计外,还包括绩效审计。在传统财务审计领域,国家审计与民间审计的职责是相同的,在内部控制测评方面的要求方面也应该是相同的,因此,如何处理好国家审计内部控制测评准则和民间审计内部控制测评准则的关系,既要避免不必要的重复和有可能导致的水平不一致,又要兼顾国家审计的所有业务种类,是制定我国国家审计机关内部控制测评准则过程中值得注意的一个。
撇开民间审计准则,国家审计准则按照所采用的内部控制概念的框架,结合我国的具体实践,对内部控制测评的内容作出详细的规定,是解决这个问题的最佳方案。但应注意在财务审计方面与民间审计的协调和衔接问题,凡是民间审计准则中有规定,而且其水平要求又合理的部分,可以直接拿来为我所用,对于国家审计有特殊要求或者民间审计准则的规定不尽合理或未涉及的部分可重新制定、修改和补充完善,但前提是必须进行调查,以切实保证制定出的审计准则合理又自成体系。
关注不同的侧重点
最高审计机关国际组织(INTOSAI)内部控制测评准则中要求:
“内部控制测评应根据所开展的审计类型来进行:
常规性(财务)审计中,内部控制测评应针对帮助维护资产的安全、保证会计记录的准确性和完整性的控制方面;
合规性审计中,内部控制测评应针对帮助管理者遵循法规方面的控制上;
绩效审计中,内部控制测评应帮助被审计单位按照节约、讲究效率和效果的方式履行业务,坚持管理方针,及时公允地编制财务和管理信息上。
内部控制测评的范围应根据审计的目标和拟依赖的程度而定。
