一、内部控制的概念和相关理论
(一)内部控制的概念体系
内部控制是形成一整套具有控制职能的方法、措施,并且让其规范化和系统化,使之成为一个较为完整的体系。企业内部控制是以专业的管理制度为基础,以防范风险和有效监管为目标,通过全面建立过程控制体系、描述关键控制点以流程形式直接表达生产经营业务过程而形成的管理规范。
(二)内部控制的理论框架
COSO委员会的报告《内部控制——整体框架》提出,为了实现内部控制的有效性,需要五个方面的要素支持:控制环境,风险评估,控制活动,信息与沟通和监督。这五要素之间是不可分割相互联系的有机整体。
1、控制环境:控制环境设定了一个组织的基调,影响其员工的控制意识。它是内部控制的其他所有构成要素的基础,为其提供了秩序和结构。控制环境的要素包括:主体员工的诚信、道德价值观和胜任能力;管理层的理念和经营风格;管理层分配权力和责任、组织和开发其员工的方式;以及董事会给予的关注和指导。
2、风险评估:每个主体都面临来自外部和内部的必须加以评估的多种风险。风险评估的前提是确立在不同层次上的相互衔接、内在一致的目标。风险评估就是识别和分析与实现目标相关的风险,从而为确定应该如何管理风险奠定基础。由于经济、行业、监管和经营条件将会持续变化,因此需要有识别和应对与这些变化有关的特殊风险的机制。
3、控制活动:控制活动是指那些有助于保证管理层的指令得到贯彻执行的政策和程序。它们有助于确保采取必要的措施来处置实现主体目标的风险。控制活动发生在整个组织之中,遍及所有的层级和所有的职能。它们包括诸如审批、授权、验证、调节、经营业绩评价、资产保护和职责分离等一系列活动。
4、信息与沟通:必须以适当的方式在一定的时间范围内识别、获取和沟通有关的信息,以便员工能够履行其责任。信息系统生成包含经营、财务以及与合规有关的信息的报告,从而使经营和控制企业成为可能。它们不仅处理内部生成的信息,还处理与知情的经营决策和对外报告所需的外部事项、行为和情形有关的信息。有效的沟通还必须是广义的,即信息必须在组织内自上而下、平行以及自下而上地传递。所有员工都必须从最高管理层那里获得控制责任必须严格履行的明确信息。他们必须了解他们自己在内部控制体系中的作用,以及个人的活动与其他人的工作之间的关联。他们应该有向上传递重要信息的途径。此外,与外部各方,例如客户、供应商、监管者以及股东之间也需要有效的沟通。
5、监控:需要对内部控制体系进行监控,一个不断对内部控制体系的运行质量进行评估的过程。它可以通过持续监控活动、个别评价或两者的结合来实现。持续监控发生在经营过程中。它包括日常的管理和监控活动,以及员工在履行其职责过程中所采取的其他行动。个别评价的范围和频率主要取决于对风险的评估和持续监控程序的有效性。对于内部控制的缺陷,应该自下而上进行汇报,性质严重的应该向最高管理层和董事会报告。
(三)内部控制理论的发展历程
20世纪70年代中期,与内部控制有关的活动大多数集中在制度的设计和审计方面,主要是改善内控制度的方法和提高审计的质量。1973年至1976年对水门事件的调查让立法机关与行政机关注意到内部控制问题。水门案专案检查官办公室及美国证券交易委员会所进行的调查显示,不少美国大公司在过去进行了违法的国内捐款或违法的国外支付。针对这些调查的结果,美国国会在1997年通过了《反国外贿赂法》(简称(FCPA)。FCPA除了具有反贿赂的条款外,还规定了与会计及内部控制有关的条款。因此,FCPA通过立法之后,企业都相继展开设立内部控制。很多职业团体及主管机关也对内部控制进行研究,发布指南。
1985年,由AICPA、美国审计总署、FEI、IIA及管理会计师协会共同赞助成立了全国舞弊性财务报告委员会,即 Tread-way委员会,该委员会所探讨的问题之一就是舞弊性财务报告产生的原因,其中包括内部控制不健全问题。1987年,Tread-way委员会提出报告,并提出了很多有价值的建议。虽然Tread-way委员会本对内部控制提出结论,但它的报告立刻引起了很多组织的回应。基于Tread-way委员会的建议,其赞助机构又组成了一个专门研究内部控制问题的委员会,COSO委员会。1992年,COSO委员会提出报告《内部控制——整体框架》,两年后进行了增补。COSO委员会提出,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。
二、企业内部控制的现状及发展
(一)国外研究现状
美国内部控制的研究成果
(1)内部牵制阶段。该时期内部控制的主要特点是:任何的个人或者部门不能单独的控制任何组织上的责任分工,每项业务需要进行交叉检查或控制。
(2)内部控制制度阶段。该时期AICPA的审计程序委员会在《内部控制:一种协调制度及其对管理当局和独立注册会计师的重要性》的报告中首次给内部控制下了一个具有权威性的定义:“内部控制使企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”之后,又对这个定义进行了三次的修订。该阶段完成了实践和理论完善的两大使命。
(3)内部控制结构阶段。1988年AICPA发布的审计准则公告第55号《会计报表审计中对内部控制结构的关注》中第一次采用内部控制结构替代内部控制,指出“企业的内部控制构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”这是内部控制理论研究的一个突破性的研究成果。
(4)内部控制整体框架阶段。COSO报告将内部控制定义为:“内部控制是由企业董事会、 经理阶层和其他员工实施的, 为营运的效果和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程” 。旧COSO报告(要素五分法)。这五大要素包括:控制环境、风险评估、控制活动、信息与沟通、监督。
(5)最新成果:全面风险管理。COS0委员会在2001年成立了企业风险管理项目咨询委员会,并开始对其进行研究COSO委员会在2003年7月颁布了《企业风险管理——整体框架》征求意见稿,并于2004年9月29日颁布正式稿。COSO委员会在ERM内容摘要中,将内部控制与风险管理相互融合,明确指出了内部控制是企业风险管理不可分割的部分,ERM涵盖 了内部控制,但并不是对内部控制框架的取代。
(二)国内研究现状
1、从时间上看。我国对内部控制的研究,主要集中于二十世纪初。这是基于美国资本市场上发生的几宗财务丑闻和企业内部控制的反思而推出的相关的法律和政策,所以对美国财务丑闻的分析和研究,还有提出的政策文章就层出不穷。这也体现出来了我国内控研究人员具有前瞻性,能从国外的事故中得到经验教训,并且避免这样的错误发生,美国在法律的制定和政策出台中一直都是做的比较前沿,在内控制度中也先出台了COSO报告,后来SOX法案的颁布和COSO委员会出台的ERM,现在也都是规范内部控制的标准。除美国以外,我国也发生过如“银广夏”“中航油事件”等事件,针对这些案件,在专门的期刊上也都有深入的研究分析,同时也有针对我国的关于内控理论和实践的探讨。这也提现了研究要有前沿性,也要有现实意义。
2、从内部控制的角度看。大体上可以分为理论和应用研究。一般从下面几个角度来探讨:(1)从内部控制的概念方面探讨。(2)内控与公司的治理关系方面。(3)在内部控制制度的建设应用研究方面。
(三)内部控制发展的新趋势
巴塞尔委员会制定的银行内部控制的若干原则反映了在内控建设方面的下述国际发展趋势:
1. 对内控制度的评价已成为企业内审监督部门的日常监管工作和现场检查监督的一部分。
2. 大力提倡和营造一种“控制文化”。
3. 强调高级领导层的控制责任。
4. 内控活动已被当作企业日常工作的不可分割的一部分,而不是对经营管理的额外补充。
三、我国内部控制存在的主要问题
(一)控制环境方面存在的问题
1. 内部控制认识存在偏差。人们对于内部控制的管理仅仅限定在管理控制和会计控制中,很少考虑环境控制,这是在内部控制认识方面存在的偏差。
2. 董事会作用发挥不充分。一般来说,股东对董事会的监督作用寄予很大期望。但是,目前在董事会监督方面我国存在虚拟化现象。另外,虽然在我国上市公司董事会成员都有几名独立的董事,但是其作用并不如想象中那么大。
3. 内部审计方面存在不足。同社会审计和政府审计相比较,我国的内部审计不管是在法律法规方面,还是在机构设置、人员数量以及业务建设和职能作用的发挥上都是落后的,同西方的内部审计相比,差距更大。
4. 人事政策不合理。如果企业的核心人员素质低,在处理事情中以个人或是少部分的利益最大化为标准,那么他们就不会想要完善企业的内控环境。在人力资源方面,也就建立不了一个成熟的流转机制和激励机制,从而就会产生恶化内部控制环境的现象。
5. 组织结构、授权和分配责任的方法不合理。适当的管理控制方法有利于评价经济活动的效率和效果,可大大增强组织的控制意识,有助于建立良好的内部控制环境。在很多企业内部,由于管理层的个人控制使授权、分配责任和管理控制的方法在运用上出现失误或者根本不用。
(二)风险评估方面存在的问题
1. 内部控制和风险管理难以有机结合。有些企业内部控制和风险管理两项职能完全独立,各自为政,未能形成灵活有效的互补机制,不能相互融合、渗透。
2. 评估工作定位偏离内控目标。目前企业的内控评估侧重于发现内控缺陷,注重内控的执行。该定位偏离于保证内控信息的真实可靠、资产的完整、提高企业经营效率和效果的目标。
3. 难以调动全体员工的积极性。许多单位缺少宣传教育和培训,员工的风险意识差,有些单位的内控评估方式一经确定就多年不变,导致员缺少参与评估的积极性。
4. 评估人员能力不足。风险管理是近几年才发展起来的,内控审计人员的风险管理经验和对风险辨识、分析、应对等方面的不足,使其难以全面而客观的对风险进行有效地管理和把握。
5. 评估整改工作不到位。许多企业只是在形式上对内控的缺陷进行整改,别没有真正的落实,执行力度不够,导致在评估中反复出现同样的内控缺陷,很大程度上降低了内控评估风险防范的作用。
(三)控制活动方面存在的问题
1. 不相容职务分离控制。不相容职务是指同一个人担任容易产生错误或者导致舞弊可能性的职务。所以要从人员的职务分配方面来实施不相容职务分离控制,防止舞弊和错误的产生。
2. 预算控制。预算时用数量形式反映的企业在未来一定期间的经营活动所要达到的目标,是控制和考核企业一定期间经营活动的依据。企业实施全面的预算管理制度是预算控制的基本要求,需要明确各单位在预算管理中的职责,使预算在制定、审定、下达以及执行中形成规范的控制体系。
3. 会计系统控制。会计系统是一个对外的报告系统,同时也是一个对内的报告系统。对外时要求其按照相关的法律法规对外披露财务信息和其他的相关信息;对内时要求其向管理的有关部门提供经营决策需要的有关信息,为企业的经营活动和经营目标的实现打好基础。
(四)信息系统与沟通方面存在的问题
1. 管理信息化观念落后。近年来很多企业尤其重视生产的信息化、制造工艺的自动化,并且大量购买先进的自动化生产高精设备。但是,在管理信息化方面却投入的很少,重视程度不高,并且管理手段落后,使计算机网络技术在企业管理方面的使用率低,各个业务环节的管理信息系统的水平也相对落后。
2. 缺乏高度集成的信息化系统。对于企业来说,一个完善的信息化系统,能够准确地提供供产销和人财物等信息。目前,我国企业还是缺乏一个完善的系统。由于没有成熟的信息集成平台,造成了企业的管理层和作业层的信息共同不顺畅,每个业务环节的信息交流整合受阻。在这种情况下,即使管理者有需要,也因为不能够全面及时的了解业务的进展情况,从而不能排解其中隐藏的风险,不能及时有效的实施对企业的控制。
3. 沟通渠道落后。企业的信息传递经常不能实现及时的交流和资源的共享。企业在做预算时,由预算部门组织各业务部门一起讨论,才能把各部门相关数据收集起来共享和交流。平时,各个业务部门的信息都是独立的,这极大弱化了供需链上各环节的相互影响力。相互制约可以控制企业的顺利营运,也可以实现企业各业务环节信息的有效沟通和满足管理控制的需要。
原创文章,作者:Editor,如若转载,请注明出处:https://www.diyilunwen.com/lwfw/qygl/2276.html