內部控制是現代企業加強經濟管理,提高經營效率,保護資產安全完整,實現經營方針和目標的有效工具和手段。在經濟發達國家的企業中,內部控制被廣泛采用,并日趨完善,在企業管理中發揮著積極的作用。
健全有效的內部控制被看作是一種解決很多問題的有效方法,例如內部控制可以把公司保持在實現一系列目標并完成公司使命的軌道上,這些目標從早期的財務信息質量到后來的提高經營的效率效果、再到今天的戰略目標、經營目標、財務報告目標以及合法性目標等多重目標。
第一節 內部控制的產生和發展
一、國外內部控制的產生和發展
根據朱榮恩(2002)的研究,內部控制概念的演變大致可分為四個歷史階段:20世紀40年代前;40年代末至80年代;80年代至90年代;90年代之后 。
1、20世紀40年代前
這一階段,人們一般采用內部牽制(Internal Check)這一概念。例如美國著名審計學家蒙哥馬利(Robert H. Montgomery)在其《蒙氏審計學》第二到第五版中一直都是用內部牽制一詞,直到1940年的第六版開始才提出“內部控制”這個術語。而《柯氏會計辭典》(Kohler’s Dictionary for Accountant)將內部牽制定義為:“以提供有效的組織和經營,并防止錯誤和其他非法業務發生的業務流程設計。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權力的方式進行組織上的責任分工,每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制。設計有效的內部牽制以便使每項業務能完整正確地經過規定的處理程序,而在這規定的處理程序中,內部牽制機能永遠是一個不可缺少的組成部分”。
一般來說,內部牽制機能的執行可以分為以下四類:
①實物牽制。例如把保險柜的鑰匙交給兩個以上的工作人員持有。要打開保險柜,就必須同時使用這兩把以上的鑰匙。
②機械牽制。例如銀庫的大門必須按照既定的程序操作才能打開,否則就無法打開,甚至會自動報警。
③體制牽制。例如把每項業務分別安排給不同的部門或人員去處理,從而預防錯誤和舞弊的發生。
④簿記牽制。例如定期將總賬和明細賬進行核對。
內部牽制的思想建立在以下兩個基本的假設基礎之上:
一是兩個或兩個以上的部門或人員無意識地犯同樣錯誤的機會相對較小;
二是兩個或兩個以上的部門或人員有意識地合伙舞弊的可能性大大低于單獨一個部門或人員舞弊的可能性。
直到今天,內部牽制的思想仍然在內部控制理論中占有重要的地位,我們經常提到的職責分工、不相容職務相分離等,就是這一思想的集中體現。
2、20世紀40年代至70年代
這一階段,人們開始使用“內部控制”這一術語,并逐步將內部控制納入到審計程序中來,應該說內部控制的發展與審計人員法律責任的不斷加強有密切的關系。美國早在1933年的證券法(Securities Act)中就明確規定,審計人員如被發現所審查并簽署的財務報表中含有不實的重大事項或漏報導致誤解的重大事項,必須對委托人由此而蒙受的損失負責。這不得不提發生在20世紀30年代的著名麥克遜•羅賓(Mecksson & Robbin)藥材公司案件。在此案件中,麥克遜•羅賓公司為取得貸款,偽造了存貨和應收賬款的金額分別達到1000萬美元和900萬美元,而負責審查的普華會計師事務所(Price WaterHouse)竟予以簽署證實,結果貸款方訴至法庭。這一案件經公開聽證,確認麥克遜•羅賓公司的欺詐行為,是由于經理部門共同串謀造成的,會計師事務所按照一般公認審計程序進行了審計,為此不應負法律責任。但最后,普華會計師事務所仍以退還40多萬美元審計費用來了結此事。事后,審計人員檢討了原有審計程序,發現缺少了對內部控制和會計處理程序的審查步驟。為此1939年10月美國注冊會計師協會下屬的審計程序委員會在公布的審計程序公告第1號《獨立注冊會計師對財務報表的審查》中,首次提出會計師在制定審計程序時,應審查企業的內部牽制和控制,并從財務報表審計的角度將內部控制定義為“保護公司現金和其他資產,檢查簿記事務的準確性,而在公司內部采用的手段和方法”。次年10月,美國證券交易委員會(SEC)也正式要求審計人員在簽署的審計報告中,增加以上類似的審計程序內容。
到了40年代后期,各國審計的范圍從早期的財務方面逐步擴展到管理領域,在審計工作中更加強調內部控制的評審問題。1949年美國注冊會計師協會下屬的審計程序委員會發布了《審計準則暫行公告》(Tentative Statement of Auditing Standards),其中“現場工作準則”第二條規定:“要適當研究和評價現行的內部控制,以決定其可依賴和作為制定審計程序的依據”。在該準則首次發布時,雖然在研究文獻中已經出現內部控制的名詞,但均沒有作出權威性的定義。為了彌補這一缺陷,該審計委員會的一個小組委員會于1949年做出題為《內部控制:一種協調制度要素及其對管理層和獨立注冊會計師的重要性》的報告,首次對內部控制作了如下的權威定義:“內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施,這些方法和措施用于保護企業的資產,檢查會計信息的準確性,提高經營效率,推動企業堅持既定的管理方針。”該報告是從企業經營管理的角度來定位內部控制的,已經超出了直接與會計和財務部門功能有關的內容范疇,包括預算控制、標準成本、中期報告、統計分析、培訓計劃等內容,這種范圍和內涵廣泛的定義,當時被普遍認為是對認識內部控制這一重要概念的重大貢獻,尤其對管理當局加強其管理工作來說,具有極其重要的意義。但該定義范圍看起來太過廣泛,從內部制度評審作為注冊會計師的一種法律責任考慮,顯然提供的指導過少,因此注冊會計師要求對內部控制定義進行修改。
1958年10月,美國注冊會計師協會下屬的審計程序委員會頒布了第29號審計程序公告(SAP29),對內部控制定義作了正式修改,把內部控制分為內部會計控制(Internal Accounting Control)和內部管理控制(Internal Administrative Control),前者的目標包括保護企業資產的安全完整和檢查會計數據的準確性和可靠性;而后者的目標則包括提高經營的效率和堅持貫徹既定的管理方針。根據公告的定義,內部控制被表述為:“從廣義上講包括下列既有會計又有管理特征的控制:
會計控制包括組織規劃的所有方法和程序,這些方法和程序與資產安全和財務記錄可靠性有直接的聯系,包括諸如授權和批準制度、從事財務記錄和簿記與從事經營或財產保管職務分離的控制,財產的實物控制和內部審計。
管理控制包括組織規劃的所有方法和程序,這些方法和程序主要與經營效率和貫徹管理方針有關,通常只與財務記錄有間接的聯系,包括如統計分析、時機研究、業績報告、員工培訓計劃和質量控制”。
1963年,審計程序委員會在第33號審計程序公告(SAP33)中進一步指出:注冊會計師應主要檢查會計控制,而不是所有管理控制。只有當注冊會計師考慮管理控制對審查的財務報表可靠性有重大影響時,才可能去檢查管理控制。
上述內部控制定義的修訂較為明確地指出了注冊會計師的審計責任范圍,但由于對內部控制的兩種目標內涵往往有不同的理解,可能會在審計工作中引起某些爭議。為此,美國注冊會計師協會所屬審計準則委員會于1972年12月公布了第1號審計準則公告(SAS1),對內部控制進行了重新解釋:“管理控制包括(但不限于)組織規劃以及與管理當局進行經濟業務授權的決策過程有關的程序和記錄。這種授權是與完成該組織目標的職責直接有關的一種管理職能,也是建立經濟業務的會計控制的起點。
會計控制包括組織規劃以及與保護資產安全和財務報表可靠性有關的程序和記錄,因此它在設計上應能合理保證:
(1)按管理當局的一般的或特定的授權進行活動;
(2)經濟業務的記錄必須做到:編制財務報表要遵循公認會計原則,或適用于這些報表的其他標準,保護資產會計責任的記錄;
(3)只有經管理層授權才能接近資產;
(4)賬面載明的資產要和實存資產在合理的間隔期間進行核對,對發生的任何差異采取適當的措施”。
在20世紀40年代到70年代這一期間,是內部控制概念的形成、解釋、修改、再修改的過程,可以說是在審計職業蓬勃發展的背景下,伴隨著審計實務中不斷應用內部控制及其審查技術,以及審計法律責任的增強、審計人員對自身職業安全的考慮而不斷發展的。
3、20世紀80年代至90年代
在此階段,內部控制的概念開始被審計界廣泛接受,并為各國國家審計、內部審計甚至國際審計會計組織所認可和引用,例如最高審計機關國際組織(INTOSAI)在1986年發表的《總聲明》中提出:“內部控制完整的財務和其他控制體系,包括組織結構、方法程序和內部審計。它由管理層根據總體目標建立,目的在于幫助企業的經營活動合理化,具有經濟性、效率性、效果性;保證管理決策的貫徹;維護資產和資源的安全;保證會計記錄的準確和完整;并提供及時、可靠的財務和管理信息”。
與此同時,會計審計界對內部控制的研究重點也逐步從一般涵義向具體內容深化。1988年美國注冊會計師協會發布第55號審計準則公告(SAS55)《在財務報表審計中對內部控制結構的考慮》,自1990年1月起取代1972年發布的SAS1,在SAS55中,首次以內部控制結構(Internal Control Structure)一詞取代原有的“內部控制”一詞,同時在內容上比以前更實在,條理更清楚。根據SAS55的論述,“企業的內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序。”與此同時,公告將內部控制結構的具體內容闡述為以下三個部分:
(1)控制環境(Control Environment)
是指對建立、加強或削弱特定政策和程序效率發生影響的各種因素,具體包括:
①管理者的思想和經營作風;
②企業組織結構;
③董事會及其所屬委員會,特別是審計委員會發揮的職能;
④確定職權和責任的方法;
⑤管理者監控和檢查工作時所用的控制方法,包括經營計劃、預算、預測、利潤計劃、責任會計和內部審計;
⑥人事工作方針及其執行;
⑦影響本企業業務的各種外部關系,如由銀行指定代理人的檢查等。
環境控制反映了董事會、管理層、股東和其他人員對控制的態度、認識和行動。
(2)會計制度(Accounting System)
會計制度規定各項經濟業務的鑒定、分析、歸類、登記和編報的方法,明確各項資產和負債的經營管理責任。健全的會計制度應當包括下列內容:
①鑒定和登記一切合法的經濟業務;
②對各項經濟業務進行按時和適當的分類,作為編制財務報表的依據;
③將各項經濟業務按適當的貨幣價值計價,以便列入財務報表;
④確定經濟業務發生的日期,以便會計分期記錄;
⑤在財務報表中恰當表述經濟業務以及有關的披露內容。
(3)控制程序(Control Procedures)
是指管理層所制定的方針和程序,用以保證達到一定的目的。它包括:
①經濟業務和經濟活動的批準權;
②明確各個人員的職責分工,防止有關人員對正常業務進行圖謀和隱匿各種錯誤和弊端。職責分工包括:指派不同人員分別承擔批準業務、記錄業務和保管資產的職責;
③憑證和賬單的設置和使用,應保證業務和活動得到正確的記載。例如在銷售業務中對發貨憑證進行預先編號,以控制發貨業務;
④財產及其記錄的接觸使用,要有保護措施,例如接觸電腦程序和檔案資料要經過授權批準;
⑤對已登記的業務及其計價要進行復核,例如,常規的賬證、賬賬、賬表、賬實復核,銀行存款余額調節表的編制,電算化控制等。
與SAS1闡述的內部控制內容相比,SAS55有兩個明顯的改變:一是正式將內部控制環境納入到內部控制的范疇;二是不再區分會計控制和管理控制。這些改變反映了內部控制理論研究的新動向,因此可被視為內部控制理論研究的一個新的突破性成果。
4、20世紀90年代之后
進入90年代,內部控制的研究進入了一個嶄新的階段,其中美國“反對虛假財務報告委員會”(即Treadway委員會)下屬的由美國會計學會(AAA)、注冊會計師協會(AICPA)、國際內部審計師協會(IIA)、財務經理人協會(FEI)和管理會計師協會(IMA)等組織參與的“發起組織委員會”(Committee of Sponsoring Organizations, 簡稱COSO)于1992年發布、并于1994年增補的報告“內部控制——整體框架”(Internal Control—Integrated Framework)是這個階段的標志性成果,并具有廣泛的適用性。
1996年AICPA發布第78號審計準則公告(SAS78),全面接受了COSO報告的內容,并從1997年1月起取代1988年發布的SAS55。新準則將內部控制定義為:“由企業的董事會、管理層和其他人員實現的過程,旨在為下列目標提供合理保證:(1)財務報告的可靠性;(2)經營的效率和效果;(3)遵循適用的法律法規”。從內容上看,該準則將內部控制劃分為五個部分,即控制環境、風險評估(Risk Assessment)、控制活動、信息與溝通(Information & Communication)、監控(Monitoring)。
(1)控制環境:指構成一個單位的控制氛圍,是影響內部控制其他成分的基礎。包括:
①員工的誠實性和道德觀;
②員工的勝任能力;
③董事會或審計委員會;
④管理理念和經營方式;
⑤組織結構;
⑥授予權利和責任的方式;
⑦人力資源政策和實施。
(2)風險評估:指管理層識別和分析對經營、財務報告、合法合規性目標有影響的內部或外部風險,包括風險識別和風險分析。風險識別包括對外部因素(如行業發展、技術進步、競爭、經濟變化等)和內部因素(如員工素質、公司活動性質、信息系統處理的特點等)進行檢查。風險分析涉及估計風險的重大程度、評價風險發生的可能性、考慮如何管理風險等內容。
(3)控制活動:指對所識別的風險采取的必要措施,以保證單位目標得以實現的政策和程序,實踐中控制活動的形式多種多樣,一般來說主要包括以下各類:
①業績評價:是指將實際業績與其他標準如前期業績、預算、同行業水平等進行比較;將不同系列的數據相互聯系,如經營數據和財務數據,對功能或運行業績進行評價。這些評價活動對實現企業經營的效果和效率非常有用,但一般與財務報告的可靠性和公允性相關程度不高。
②信息處理:指保證業務在信息系統中正確、完全和經授權處理的活動。信息處理控制可分為一般控制和應用控制兩類。一般控制與信息系統設計和管理有關,如保證軟件完整的程序、信息處理時間表、系統文件和數據維護等。應用控制則與個別數據在信息系統中的處理方式有關,例如保證業務的正確性和已經恰當的授權的程序。
③實物控制:也稱為資產和記錄接近控制,這些控制活動包括實物安全控制、對計算機以及數據資料的接觸予以授權、定期盤點以及將控制數據予以對比。實物控制中防止資產被盜竊的程序與財務報告的可靠性有關,例如在編制財務報告時,管理層僅僅依賴于存貨的永續盤存記錄,則存貨的接近控制與審計有關。
④職責分離:指將各種功能性職責分離,以防止單獨作業的雇員從事或隱藏不正常行為,例如會計業務處理中的業務授權、業務執行、會計記錄、實物保管、獨立稽核等職責就應恰當地予以分離。
(4)信息與溝通:指為了使員工能執行其職責,企業必須識別、捕捉、交流外部和內部的信息。外部的信息如市場占有率、法規的要求、客戶投訴情況等;內部信息則主要指會計制度的相關內容,即由管理層建立的記錄和報告經濟業務和事項、維護資產、負債和所有者權益的方法和記錄。有效的會計制度應包括:
①可以確認所有有效業務的方法和記錄;
②序時詳細記錄業務以便于歸類,提供財務報告;
③采用恰當的貨幣價值來計量;
④確定業務發生時期以保證業務記錄于恰當的會計期間,在財務報告中予以恰當披露;
溝通的內容和方式非常廣泛,包括橫向、縱向的溝通,具體內容包括使員工了解在會計制度中各自的工作如何與他人相聯系,如何對上級報告例外情況等;而溝通的方式可以采用政策手冊、財務報告手冊、備查簿、口頭交流或管理示例等。
(5)監控:指評價內部控制質量的過程,即對內部控制的運行情況及改進活動進行評價,如內部審計對內部控制進行測試和改進;與外部人員、團體進行交流等。
監控活動由內部審計或相似職能的部門或人員通過定期、不定期的檢查和評價來完成,內容涉及內部控制的設計合理性和執行有效性,同時將檢查結果與有關人員進行交流,并提出改進建議,以保證內部控制按照設計的要求有效執行,并隨環境的變化而不斷改進。
