中國內部審計2001.9
內部控制理論與實務的發展(一)
南京審計學院副院長、教授 李鳳鳴
1999年10月31日通過修訂的《會計法》第三十七條規定“會計機構內部應當建立稽核制度”并實行內部牽制制度。這是我國第一次將建立內部控制制度進行了立法,比美國晚了49年,美國在1950年制定的預算及會計法案中規定:“各機關應負責對各種款項、財產及其他資產的有效控制,會計記載等應經由適當的內部稽核”。這是世界上第一次將內部控制列入政府法規。1978年,美國又在有關法令中指出:在管理方面——迫切的主要任務,是對內部控制要有合適的制度。繼美國之后各國政府均十分重視對內部控制的建設與立法,對內部控制的認識也不斷提高。如日本企業界認為,隨著企業破產成為社會問題以來,對企業內部管理方面的審查也就嚴格起來,即使企業在經營效果上達到了考核的標準,但從內部管理角度來看,需要重新徹底加以評價的企業還是很多的,理應把加強內部管理和控制作為改善企業素質的重要措施。
由美國會計師協會、美國會計學會、內部稽核協會、管理會計人員協會和財務負責人協會組成的COSO委員會,邀集各界精英歷經多年研究于1992年出版了《內部控制——整體架構》一書。該書詳盡地闡述內部控制的定義、目的、分類及組成要素,澄清了一些錯誤的觀點。更重要的是本書提供了一套通用的評估工具及方法,以指引企業如何從管理過程中進行內部控制評估,其評估結果除可協助企業塑造重視操守及充滿活力的企業文化外,各行各業更可藉以辨認可能影響企業實現目標的風險,進而建構預警及防范機制,將該影響降至最低程度,以合理確保達到企業目標的。
《最佳內部控制評估實務——自我評估與風險評估》是在《內部控制——整體架構》出版三年半后開始研究的。由國際內部審計協會的研究基金會于1997年刊出。該書主要闡述了控制模式要點,自我評估實務,風險評估實務,評估作業與報告方法,整合新實務到組織的方法。列舉了歐美25家大型企業所實施評估的范例,其中涵蓋了自我評估和實施。本報告強調評估COSO所有的五個組成要素與三類目標(或是COCO二十項基準評估項目);將自我評估納入評估范疇,將其從傳統與內部審計的“主客”關系,提升至相互合作的“伙伴”關系;風險評估是思考過程中評估的基礎,大多數的控制評估實務都是根據風險評估思考過程而建立的;實施控制已轉變為企業文化,其實施將改變每一位參與控制過程個人的心智,實施控制組織的所有員工了解他們是內部控制的“所有人”,并且認為內部控制是一種他們職務中不可分割的一部分;組織中每一位經理或每一位員工都應納入內部控制訓練,使他們學習自我評估的方法,學習到風險評估的思考過程;根據各個組織現有文化與所處競爭環境、主要執行人員的個性、以及該組織本身才具有的一些因素來實施控制模式;實施對柔性控制的評估增加附加價值或超過預期效益。
內部控制的概念與作用
一、為什么要設置內部控制
近代內部控制產生于18世紀產業革命以后,它是企業大規模化及資本大眾化的結果。18世紀末期,美國鐵路公司為了控制、考核遍及全國的客運、貨運業務,采用了“內部稽核制度”。20世紀初期,西方資本主義經濟得到了較大發展,股份有限公司的規模有了擴大,生產資料的所有者和經營者相互脫離。美國一些企業在非常激烈的競爭中,逐步摸索出一些組織、調節、制約和檢查企業生產活動的辦法,為了防范和揭露錯誤,按照人們主觀的設想,建立了“內部牽制制度”,使經濟活動及經濟事項的處理均要經過兩個或兩個以上的部門或個人,形成制約機制,減少錯誤和弊端的發生。20世紀30年代,世界性的經濟大危機,迫使很多企業為求生存,免遭破產厄運,將內部牽制的范圍進一步擴大到所有的業務管理活動。50年代以后,由于世界經濟競爭的激化,促使內部控制擴展到企業內部的各個領域。內部控制的存在與發展,并非僅僅是外部審計人員的主觀意愿,而是經濟組織本身及管理部門的需要,內部控制不僅是一切審計工作的基礎,而且是一切企業管理工作的基礎。管理部門都不愿意看到由于錯誤、舞弊或根據不可靠的財務信息及管理信息作出決定而遭受損失;內部控制正是這樣一種工具,它幫助管理部門盡可能地實現企業有條不紊和高效的運作,以保證經濟組織達到既定的管理目標。
根據COSO報告的觀點,內部控制之所以設置,就是促使企業在邁向獲利目標的路上,達成其管理理念,并把前進中的意外風險減到最少。內部控制可提升效率、減少損失資產的風險、保證財務報表的可靠性,以及遵循法令。
因為內部控制可用來達成許多重要的目標,所以被愈來愈多的人視為解決多種潛在問題的方法之一。
二、什么是內部控制
美國會計師協會于1949年就內部控制進行過定義,在50年間又不斷地對其進行修訂,并規定了會計控制和管理控制的涵義。
(一)方法論
美國職業會計師協會所屬的審計程序委員會,1949年對內部控制第一次提出的概念是:內部控制包括經濟組織的計劃及經濟組織為保護其財產。檢查其會計資料的準確性和可靠性,提高經營效率,保證既定的管理政策得以實施而采取的所有方法和措施。1973年,對會計控制所下的定義是:會計控制包括組織的計劃及保護該組織的財產和保證財務記錄的可信性有關的程序和記錄。對管理控制所下的定義是:管理控制則包括組織的計劃和為提高經營效率、保證企業既定的管理政策的實施而采取的所有措施和方法。
(二)工具論
世界最高審計機關組織內部控制準則中,對內部控制所下的定義是:內部控制系為達成管理目標,提供合理保證的管理工具。內部控制包括組織計劃,以及為達成配合組織任務,保護資源,遵循法律、規章及各項管理作業規定,提供值得信賴的財務及管理資料而采取的管理態度、方法、程序及評量措施。
1.內容有:計劃管理的態度、方法、程序,評量措施。
2.目標包括:保護資源,以避免因浪費、舞弊、管理不當、錯誤、欺詐及其他違法事件而遭致的損失;配合組織任務,使各項作業均能有條不紊,且更經濟有效地運作,并提高產品與服務的質量;遵循法律、規章及各項管理作業規定;提供值得信賴的財務及管理資料,并能適時恰當地揭露有關資料。
(三)過程論
1992年COSO報告中認為;內部控制系為達成某些特定目標而設計的過程。即內部控制是一種由
企業董事會、管理階層與其他人員執行。由管理人員階層所設計為達成營運的效果及效率,財務報導的可靠性和相關法令的遵循提供合理保證的過程。
上述定義反映的基本觀念是:
1、內部控制是一個過程。內控是達成結果的方法,而其本身不是結果。
2、內部控制因人而產生效果,是由“人”執行的。并非僅是政策手冊與表格,而是來自組織內每一個階層的人。
3、可預期內控只能為企業管理階層及董事會提供合理的保證,而非絕對保證。
4、內控配合不同的類別,以一種、多種或重疊性的類別達成多項目標:
營運——有效率及效果地使用資源;
財務報導——與編制可資信賴的對外財務報表有關;
遵循法令——與企業個體遵循相關。
(四)元素論
COCO研究小組,通過對COC0報告三年來研究,邊寫邊改,形成了更精簡、更具動態、更多使用管理階層語言的一份較容易接受的報告。
內部控制由該等組織元素組成(包括組織資源、系統、過程、文化、結構與作業),而將這些資源結合在一起以支援組織成員達成組織的目標。
內部控制是為支援組織成員達成營運的效果與效率,內部與外部報導的可信賴程度,遵行相關法規以及內部政策辦法等目標,而采取的組織資源、系統、過程、文化、結構與作業。COSO報告闡述的內部控制的涵義,更具動態和管理階層導向。
無論怎樣對內部控制定義,但都必須滿足以下兩個前提:一是建立可滿足不同范圍需求的共同定義;二是提出一企業可用來評估其控制制度及決定如何改善的標準。這兩個標準在任何企業,不論規模大小,公營或民營,是否以營利為目的,均可適用。內部控制被廣泛地定義成一個過程,這個過程受企業的董事會、管理階層及其他人員影響,設計這個過程,為下列各類目標的達成提供合理的保證:營運的效果及效率;財務報導的可靠性;對相關法令的遵循。
第一類的內部控制,是討論企業的基本業務目標,包括績效、盈利與保障資產的安全;第二類的內部控制,則與編制可靠的對外公開財務報表有關。這些財務報表包括期中財務報表、簡明財務報表,以及由這些財務報表衍生而出的財務資訊,如:宣告的盈余。第三類的內部控制,則與企業遵循相關法律及行政命令有關。這種分類方式區分出三種不同,但卻又重疊的控制,是針對不同人的不同需求,而且也為了引導這些人的注意,以滿足他們的不同需求。
三類內部控制運作的有效程度,可以不同。如果董事會及管理階層能對三類內部控制中的一類提出合理保證,則該類控制可被判斷為有效;①他們了解企業營運目標被達成的程度;②對外財務報表之編制體系可靠;③相關法令系被遵循。
由于內部控制是一個過程,故其有效性是此過程在特定時點的狀態(STATE)或情況(CONDI-TION)。
三、內部控制的作用
根據COSO報告的觀點,內部控制能幫助一個企業達成其績效及盈利目標,預防資源的損失,能幫助企業保證其財務信息可靠、遵循相關的法令,避免企業的名聲受損及其他后果。總而言之,內部控制能幫助企業實現其目標,避免意外的發生。
內部控制具有統合的作用,制約與激勵作用及促進作用。恰當地運用內部控制,能促進財產安全管理和各種資源的有效使用;有利于提高會計及其他信息的可信性和可靠性;有利于減少不必要的開支,提高盈利水平,避免意外風險;有利預防和減少差錯和舞弊行為;有利于保證授權和法定責任的完成。
四、內部控制不能做什么
內部控制只能提供合理的保證,而不能提供絕對的保證,對內部控制不應該存在不切實際的期望。
有人認為內部控制能保證一個單位的成功,或者說,內部控制能保證單位基本業務目標一定能達成,或者至少能保證其存活或繼續經營等。事實是,即使內部控制為有效,最多也只能幫助單位達成一些目標。內部控制所能做的,是把企業達成或未達成目標的進度資訊告訴管理階層,但不能把一位先天不良的經理人轉變為優秀經理人;此外,政府的
政策或計劃、競爭對手的行為,或經濟情況的轉變,都不在管理階層的控制范圍之內。所以,內部控制不能保證企業一定會成功,甚至連企業不滅亡,也無法保證。
也有人認為內部控制能保證財務報導的真實可靠和各項法令的遵循。事實上,這種看法也沒有根據。不論一個內部控制制度設想多周到,執行多徹底,也只能就企業目標的達成,對管理階層及董事會提供合理的擔保,不能提供絕對的擔保。達成的可能性受到內部控制充無限制的影響。
1、內部控制受到成本的限制。一般來說控制程序的成本不能超過風險或錯誤可能造成的損失或浪費,否則,再好的控制措施和方法也將失去降低成本的意義。
2.內部控制不能限制串通作弊的行為。不相容職務分離可以避免單獨個人作弊的行為,但不能防止兩個以上的人或部門合伙舞弊的行為。
3、內部控制不能有效防止人為差錯。因為內部控制不能防止工作人員的粗心大意、精力分散、身體不適,理解錯誤、判斷失誤,歪曲、曲解指令等。
4、內部控制不能有效防止管理越權行為及濫用職權。
5.制度更新跟不上經營管理的變化,過去的控制措施對新出現的業務無能為力。
