一、内部控制的定义
二、内部控制的目标
三、关于内部控制规范内容范围的思考
四、内部控制框架构建应主意的问题
五、企业应把握内部控制的发展趋势
六、企业应探索内部控制审计的新路子
内 容 摘 要
中国证监会2000年11月发布的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立、健全内部控制制度,并在招股说明书正文中专设一部分,对其内部控制制度的完整性、合理性和有效性做出说明。同时规定,商业银行、保险公司、证券公司还应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,提出改进建议,并应内部控制评价报告的形式做出报告。财政部最近也发布了《内部会计控制基本规范》等有关文件将对单位内部控制问题做出专门规定。
内部控制制度研
中国证监会2000年11月发布的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立、健全内部控制制度,并在招股说明书正文中专设一部分,对其内部控制制度的完整性、合理性和有效性做出说明。同时规定,商业银行、保险公司、证券公司还应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,提出改进建议,并应内部控制评价报告的形式做出报告。财政部最近也发布了《内部会计控制基本规范》等有关文件将对单位内部控制问题做出专门规定。 一、内部控制的定义 我国在独立审计准则中将内部控制定义为:内部控制是指企业为了保证业务活动的有效进行,保证资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序,由控制环境、会计系统和控制程序组成。 1963年美国审计程序委员会在其发布的"审计程序第23号文件"中,首次将内部控制划分为内部会计控制和内部管理控制。美国管理会计师协会1994年《内部控制结构》将内部控制定义为:"内部控制是这样一个整体系统,由管理者建立的,旨在以一种有序的和有效的方式进行公司的业务,确保其与管理政策和规章的一致,保护资产,尽量确保记录的完整性和正确性。"COSO委员会1992年提出并于1994年修改的《内部控制-整体框架》中对内部控制作了如下描述,内部控制是由企业董事会,经理阶层和其他员工实施的,为营运的效率效果,财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。 二、内部控制的目标 内部控制目标是内部控制存在及存在形式的根本,也是建立内部控制框架以及考核、评价内部控制的指导性参照物。《企业内部会计控制——基本规范》中,将内部控制的目标归为五个方面,其中除了包含原有的确保经营目标的实现、防止发现纠正错误于舞弊、保证财产安全、保证会计资料的真实完整、确保各项法规及内部控制制度的执行外,还强调了:建立风险控制系统,强化风险管理,确保单位各项业务活动的健康运行。对风险控制系统的建立作为独立的内部控制的一项目标,与我国当前的企业在运转过程中忽视风险的控制,有时甚至存在盲目使用资金等隐藏巨大风险的运营行为有关,非常适合我国的需要,也能够在很大程度上促进公司治理机构的完善加快国有企业改革的完善。 按照COSO报告,内部控制的目标包括:取得经营效果和效率;保证财务报告的可靠性;保证遵循适当的法规。可以看出COSO委员会对控制的目标包括的内容更为宽泛,尤其是取得经营效果和效率,企业达到这一目标要涉及企业方方面面的活动,也涉及到对经营取得效果的考核和对经营效率评价标准的取向问题。 我国内部控制目标的定位主要局限与保证业务活动的有效进行,防错纠弊,会计资料的真实、合法与资产的安全和完整。这种目标定位相对低调。从长远来看,随着经济的不断发展和企业状况的不断改善,目标定位应有相应的提高。不仅需要借鉴国际上有关内部控制的目标定位,同时也需考虑中国国情,立足于中国企业的现实,从改善中国企业现状和完善公司治理的角度出发,应既遵循适当的前瞻性与发展性,同时又有立足与现实的稳定性与可操作性,从而给中国的内部控制规范以一个适当的目标定位。 三、关于内部控制规范内容范围的思考 内部控制理论在西方经过近一个世纪的发展,成熟于COSO报告的五大要素,即控制环境、风险评估、控制活动、信息与沟通以及监督。这是西方成熟市场经济以及发达资本市场条件下企业内部控制需考虑的要件。我国内部控制的内容范围与COSO报告相比,还有相当的距离。《企业内部会计控制基本规范》的构成并未以要素的形式存在,而是直接列出了内部控制的内容,这些内容包括:货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制,并且每一条条款都将制定相应的具体规范。可以看出我国内部控制规范内容主要集中与会计领域。《会计法》,《企业内部会计控制基本规范》等法律规范主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重与企业的会计责任方面。《内部会计控制规范-基本规范》中的突出部分是强调了建立风险控制系统,强化风险管理,确保单位各项业务活动的健康运行,对风险控制系统的建立作为独立的内部控制的条款加以强调。第二十四条规定:风险控制要求单位树立风险意识,针对各个风险控制点,建立有效的风险管理系统,通过风险预警、风险识别、风险评估风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制。并且在每一具体业务的控制条款中都增加了有关防范风险的要求。强调风险控制,强化风险管理,与我国当前企业在运转过程中忽视风险控制,造成巨大隐患甚至损失有关,适合当前的现实需要,也能够在很大程度上促进国有企业的改革和公司治理结构的完善。 随着社会主义市场经济的发展,企业的权利与义务在逐步规范中执行到位,其在社会经济生活中将发挥越来越大的作用,相应的与企业内部控制相关的内容在范围上也会越来越宽泛。企业的外围环境文化理念,经营哲学等控制环境因素与风险因素都应纳入企业内部控制的范围来予以考虑。我们的观点是,既不能不中国现实,照搬成熟市场经济条件下国外企业内部控制的要素理论,也不能局限于中国现有的内部控制规范的内容范围。以中国现有的有关内部控制法规的内容来看,作为企业外部条件的控制环境与风险评估部分相对较弱,在今后内部控制范围的制定中需加以强调。 四、内部控制框架构建应主意的问题 1、健全管理机构 .内部控制的建设体现在两个方面:一是健全的机构,这是内部控制机制产生作用的硬件要素;二是个内部机构、各经办人员间的科学分工与牵制,这是内部控制机制产生作用的软件要素。目前必须解决两个问题:(1)设立管理控制机构。例如,目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。(2)推行职务不兼容制度,杜绝高层管理人员交叉任职,交叉任职主要体现在董事长和总经理为一人,董事会和总经理班子人员重叠。 2、建立具有操作性的道德规范与行为准则。内部控制制度的执行者是包括高层管理人员在内的全体员工,激励和约束的对象也是企业的员工,员工的道德水准和价值观念长期被认为是内部控制环境的重要因素,要求内部控制结构的建立要考虑员工道德水准和价值观念的承接性,实践表明,基于环境现状而构建内部控制机制是一种被动性的做法,故此,英美等国越来越多的公司将道德规范和行为准则的建设直接纳入内部控制结构的内容。 3、关于内部控制外部化所谓的内部控制的外部化是指企业采用外部控制程序在某些环节上替代内部控制,以达到对其特殊的控制效果的过程。它包括控制参与者的外部化,也包括控制程序及方法的外部化。换言之,企业即可以通过利用外部人员的专职人员参与内部控制,也可以直接使用外部控制的程序、方法来代替内部控制,二者均属于内部控制的外部化。笔者认为,内部控制的外部化是由多方面的原因造成的,其中主要包括:社会分工专业化,企业对管理高效率的追求、内部控制自身的不完善性、政府经济管理职能的运作等。
4、以推进企业信息化管理进程为契机,构筑内部控制创新的控制平台。保证内部控制有效运转的前提,是要求信息传导和反馈的快捷准确,通过信息化手段整合企业资源,以便提高内部控制效率和优化内部控制流程。因此,企业应当关注并实施企业资源计划(ERP,即Enterprise Resources Planning),根据企业的具体情况,选择适合自己的ERP软件系统,利用ERP系统进行有效的判断、决策和控制。ERP的基本功能在于把企业全部业务涉及到的资源整合起来,企业内每一个员工都被明确地赋予在内部控制中所应承担的职责,并且通过信息和沟通系统,使每一个人都能顺畅、快捷地获取他们在执行、控制经营过程中所需要的信息,并交换这些信息。ERP的这种整合功能使资源的利用效率得以提高。而且在整合的过程中,企业运作层面的供应、生产、销售交易资料,只要是与财务有关的,都会在财务系统中自动生成,变革了财务资料的处理和存储方式,无须再由手工开立相应的会计凭证,彻底改变了财务信息滞后于业务运作信息的问题,实现财务分析和业务运作的同步进行。通过财务系统对企业各业务流程的实时监控,如物料需求管理、存货管理和销售管理等,能够提供一个连结账户余额与原始交易数据的完整的交易轨迹,及时指导各业务的运作,一旦有非正常情况发生,除了予以特别关注外,必须分析问题发生的原因,并采取适当的处理措施,使内部控制动态化。内部控制的过程就是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
五、企业应把握内部控制的发展趋势 1.知识经济带来了内部控制理论基本原则的根本变革。未来的内部控制应着眼于增强企业的应变能力和学习能力。 2.知识经济资讯与沟通在内部控制中的地位更加凸显。建立一个统一、高效、开放的资讯与沟通系统,是其他一切控制运行的平台,应当成为企业内部控制的重中之重。 3.非正式组织和非正式制度的作用将得到足够的重视。企业的非正式组织和非正式制度应当纳入未来的内部控制体系。 4.对内部控制进行持续的监控不再有存在的必要。注重对工作绩效进行评价成为可行的控制方式,定期检查绩效评估的标准是否仍然有效,也就成为对内部控制进行监督的更好方式。 5.控制环境对内部控制的效果影响更大,并升华为企业文化。书面的政策文件的影响越来越微弱,企业应通过主动建立和加强良性的控制环境,引导、激励人们正确地履行责任,实现企业的目标,将外来的压力变成人们内在的动力。在这个过程中,控制环境逐渐与企业文化融合。 六、企业应探索内部控制审计的新路子 (一)明确内部控制与内部审计的关系 内部控制既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具,也是审计人员用以确定审计程序的重要依据。反过来,内部审计还能为改进内部控制提供建设性意见。在审计的发展过程中,对内部控制的重视与信赖,加速了现代审计方法的变革,节约了审计时间和审计费用,同时也扩大了审计范围, 完善了审计的职能。在确定内部控制与审计的关系时,应当明确以下三点: 1.在审计人员执行审计作业时,不论被审计单位规模大小,都应当对相关的内部控制进行充分的了解。 2.审计人员应根据其对被审计单位内部控制的了解,确定是否进行符合性测试以及将要执行的符合性测试的性质、时间和范围。 3.对被审计单位内部控制的了解和符合性测试,并非审计作业的全部内容。内部控制良好的单位,审计人员可能评估其控制风险较低而减少实质性测试程序,但绝不能完全取消实质性测试程序。
(二)明确内部控制审计的必要性 开展内部控制审计是中油集团公司、中国石油股份公司审计工作的重要内容,同时也是与国际先进内部审计接轨的必然要求。目的是要使企业的生产经营活动能够按照预定的目标和方式,在有效的控制下规范运作。通过内部控制审计,监督、检查、纠正和处理执行过程中出现的偏差和错误,使内部控制更趋于完善。 (三)明确内部控制审计的主要内容、程序、方法和技术 1.内部控制审计的主要内容。 (1)对内部控制符合有效性的测试。主要包括投资控制审计、成本费用控制审计、资金控制审计、物资采购控制审计、市场准入控制审计、合同管理控制审计、劳动人事控制审计。 (2)对内部控制进行综合测试和评价。主要包括对内部控制与企业本期主要生产经营目标一致性、内部控制成本效益性进行测评;对内部控制健全性、科学合理性进行评价。 2.内部控制审计的程序。 内部控制审计应执行检查控制的程序,直接参与重要的生产经营活动,如介入重大工程、物资采购项目等的招投标过程,介入公司预算的制定、执行和修改过程,介入市场准入的审批过程,介入重大合同的签订过程等。通过积极的参与,在生产经营过程中及时发现、纠正偏差和错误,反馈内部控制存在的缺陷,起到预防和规避经营风险的重要作用 内部控制外部化的重点则应放在对高级管理者的控制上。首先,股东与高层管理者之间存在较大的利益冲突,单纯依靠监事会等内部控制程序难以保证其控制结果。其次,高层管理者具有相对多的权利,其获取不正当利益或做出其他不合规行为的渠道和手段更为丰富和隐蔽,这对控制的要求较高,因而需要具有相当专业能力的外部控制程序对其加以约束。再次,股东对经营者的控制信息往往是需要对外公布的信息,这就要求控制必须具有较高的中立性。最后,由于股东与高层管理者之间的关系具有共性,适应于外部控制的实施。 内部控制外部化的内容主要是对经营管理合规性的控制。根据COSO的定义,内部控制的目标有二;一是保证财务报告的可靠性,企业运行遵守法律规定,即合规性;二是提高企业经营效果和效率,即效益性。内部控制的各项职责和内容亦应据此确定。例如企业往往设置内部审计、会计监督等机构,利用岗位分工、授权复核、预算控制等方法,对企业经营加以控制来保证其合规性;同时也会利用业绩考核、成本核算、风险效益分析、职工培训、奖惩等多种方法提高企业的效益。 因此,笔者认为,将企业中适合与外部控制的环节及部分内容由外部控制来完成,一方面可以提高企业管理的专业化程度和管理效率,促进内部控制质量的提高;另一方面也为外部控制提供了更多的业务空间,这必然有助与外部控制的发展壮大。
参 考 文 献
1、吕先培: 《审计学》 西南财经大学出版社, 2005年出版 2、罗绍德: 《成本会计学》 西南财经大学出版社, 2004年出版3、刘明辉: 《财务管理》 中国财政经济出版社, 2003年出版4、李殿富: 《会计制度设计》 中央广播电视大学出版社 2004年出版5、杨有红: 《经济法基础》 经济科学出版社, 2003年出版
