内部控制的相关概述

    2 内部控制相关概述.

    

    理论来源于实践,使其成为来源基础,从而进一步指导实践的发展.唯有通过理论和实践的共同发展才能推动社会的不断进步.本章将对相关的内部控制管理相关理论论予以简单概括,并在结合A公司实际情况的基础上进行理论上的升华和探索,以期为A公司更好的发展和完善的内部控制体系提供先进的理论支撑.

    

    2.1内部控制基本概念.

    

    对企业内部控制管理理论进行深入研究和挖掘,不仅能够显着改善企业内部控制管理中存在的问题,从而提高企业内部信息的质量,保障企业员工和相关投资者的合法权益,使公司治理制度更加完善,而且对于企业本身的经营管理来说能够加强其业务控制,提高企业的管理水平和管理的效率,从而最终促进企业经济效益和社会效益的提升.

    

    2.1.1内部控制定义.

    

    (1)COSO委员会对内部控制的定义.

    

    美国COSO委员会成立于1985年,这个委员会负责制定有关大型和小型企业实施内部控制系统的指南[2].

    

    1992年9月,COS?委员会率先发布了《内部控制--整合框架》.1994年又对其进行了相关补充工作,因此形成了《内部控制框架》,也称之为COSO内部控制框架.

    

    根据美国COSO委员会对内部控制的定义,可以认为内部控制就是"企业董事会、管理层及其他利益相关者为实现企业运营的效率和效益,保证财务报告的可靠性质量和竭力遵守适用的法律法规而提供科学合理并能保证其实施的相关程序.[2]"因此,COSO委员会认为从企业风险管理的角度出发,对企业进行内部控制显得十分必要.但是企业在实施内部控制的过程中,必须注意以下几点:

    

    ①一个企业尽管拥有完备的内部控制体系,但也不能促使平庸的企业管理层变得多卓越.

    

    ②企业的内部控制体系不可能是完备的、没有缺陷的,或多或少会存在出现错误及差错的风险,因此可以说尽管企业实施了自认为比较完善的内部控制体系,也有可能出现由于企业内部管理层或其他人员的蓄意破坏和逃避监控而使其内控体系失效.

    

    ③各个类型的企业在建立适合自身实际情况的内部控制体系时,都会面临一个企业资源支持受限制的问题.

    

    (2)美国上市公司会计监管委员会对内部控制的定义.

    

    依据美国上市公司会计监管委员会(PCAOB)发布的第5号审计准则规定,执行审计工作的注册会计师对被审计企业的财务报表进行审计时必须将财务报告中有关内部控制的内容纳入审计范围,同时在财务报告中应该包含企业管理层对企业内部控制的评估意见[3].企业财务报告内部控制这一整套流程中,应该包含以下相关政策及程序:

    

    ①企业应当认真仔细保管详尽程度准确、适当以及能够公允地体现出企业相关交易记录;②企业按照公认会计准则编制企业财务报告,另外企业的收支准则必须按照企业董事会和管理层的授权才能制定,这样将会为财务报告的准备恰当提供合理保障;③为了及时发现或者预防企业财务报告中的对企业发展有重大影响的并且未经公司董事会及管理层授权的相关交易来提供合理保障[3].

    

    (3)特恩布尔委员会对内部控制的定义.

    

    1992年,英国在颁布《综合守则》之后就设立了特恩布尔委员会.特恩布尔委员会对财务报告的总体要求是,公司董事会赢制定和执行一整套完善的企业内控体系,并定期对该内控体系进行复核和完善[4].

    

    (4)中国《企业内部控制基本规范》对内部控制的定义.

    

    财政部等五部委发布的内控基本规范中,提出内部控制就是由企业董事会、监事会、管理层和企业全体员工共同执行的、并最终目的是实现内部控制目标的一整套流程.企业内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和结果,促进企业实现发展战略[5].

    

    从上述不同组织对于内部控制的定义中可以得出,内部控制不仅仅是企业财务的查漏防弊的一个方面,它已经渗透到了企业管理中的各个相关的领域,企业内部控制管理呈多元化发展,研究更加深入广泛.更重要的是,国内外理论界和实务界对于企业内部控制管理的认识达到了前所未有广泛一致的程度,都认为企业内部控制管理对于企业的发展、竞争力的增强和企业价值的提升有促进和保障作用.企业通过科学的内部控制管理能够改善企业的管理、提高企业的运营效率,从而促进企业价值的提升.

    

    2.1.2内部控制的目标和原则.

    

    (1)内部控制的目标.

    

    关于内部控制的目标,不同的机构有不同的i全释和解读.美国COSO委员会认为,企业内部控制需要实现保证企业经营效果和效率、保证财务报告真实可靠及对现行的法律法规的合规性的遵循三大目标[2].随后COSO委员会又发布了《企业风险管理框架》,在风险管理框架中增加了企业发展的战略目标,企业战略目标优于其他目标,从而体现企业战略发展目标的重要性.巴塞尔委员会则将企业内部控制的目标一分为三,包括操作性目标、信息性目标和遵从性目标.具体而言,企业内部控制的操作性目标是指保证企业各项活动的效果和效率;信息性目标要求企业的会计管理和财务报告的真实可靠、及时完整;遵从性目标是要求企业遵守现行的法律法规,保证企业的生产经营合法合规[6].企业内部控制的根本目标就是促进企业实现自身的发展战略,从而超越了传统的内部控制主要是为会计审计服务的目标[5].中国《企业内部控制基本规范》虽然颁布较晚,但是在借鉴国际权威机构的基础上并未全部照搬企业内部控制目标的标准,这充分体现了我国内部控制管理工作的循序性和内部管理目标体系的层次性.具体而言可以认为企业内部控制最根本的目标是保证企业战略发展目标的实现,其他多种目标都为根本目标服务.

    

    简而言之,企业内部控制管理的目标主要包括合法合规性目标、财务报告真实完整性目标、经营效率效果有效性目标和企业的发展战略目标.

    

    内部控制管理的合法合规性目标是指通过企业内部控制管理,使得企业的各项经营管理活动都符合国家相关的法律法规的规定,并得到有力的执行.财务报告真实完整性目标是指通过企业的内部控制管理,保证企业提供的财务报告信息及时、完整和真实可靠,唯有通过有效的内部控制,才能保证财务报告的真实性、可靠性和完整性.企业想要实现其发展战略目标,更加需要通过企业内部控制管理,强化企业经营管理的风险意识,制定相应的对策,为企业实现发展目标提供必要的保障.

    

    (2)内部控制的原则.

    

    企业实施内部控制管理时,必须遵循所在国家的相关法律法规和政策,根据企业的实际情况,与外部环境相结合,建立适合企业具体特点的内部控制管理体系.中国财政部等部委发布的《企业内部控制基本规范》中指出,企业建立与实施内部控制应当遵循以下5个原则:

    

    ①全面性原则.内部控制应当贯穿企业整个具体事务的决策、执行和监督全过程,从而覆盖企业整体内部事务.

    

    ②重要性原则.内部控制应当建立在对企业各项事务全面控制的基础上,并重点关注企业的核心业务领域和具备高风险的事项.

    

    ③制衡性原则.内部控制应当在公司治理结构、组织机构设置及企业相关业务流程等方面相互制约、共同监督,但是也要保证企业各项业务的运营效率.

    

    ④适应性原则.内部控制应当与企业自身的规模、生产经营的业务范围、企业在市场上的竞争地位和相关风险水平相吻合,并根据企业发展状况和市场的变化及时调整内部控制体系.

    

    ⑤成本效益原则.企业实施内部控制充分权衡内部控制的实施成本的实施后的预期收益,以实现运用最小的成本实现有效的企业内部控制效果.

    

    2.1.3内部控制的组成要素.

    

    中国《企业内部控制基本规范》认为,企业内部控制包括控制环境、风险评估、控制活动、信息与沟通和监督五个要素⑴.

    

    企业内部控制管理有效是指实现了内部控制管理的三个目标,如果实现一个内部控制目标,那么说明这一目标的内部控制是有效的,考察内部控制管理是否有效的准则是考察其内部控制的五要素是否完整.企业内部控制五要素在企业内部控制管理中的关系如图2.1所示.

    

    

    (1)控制环境.

    

    内部控制的控制环境决定了企业的发展基调,决定能否直接培养企业员工的内控意识.内控体系的控制环境是其构建的基本规则,是风险评估、控制活动、信息沟通及内部监督建立的基础.一般而言,控制环境不仅包括企业员工职业技能、道德及员工诚信度,还包括企业管理层的管理哲学、整个企业的生产经营风格及企业各项制度如人事管理制度、权责分配制度等,更包括公司董事会确定的生产经营目标及重点等.

    

    (2)风险评估.

    

    企业的风险评估不仅来自于企业自身内部,还来自于企业外部环境,这是每个企业都面临的风险问题.一个企业进行风险评估的前提条件就是为了保持企业的生产经营目标在企业的各个层次中的衔接恰当和一致.风险评估是对相关的风险识别,进而分析其特点及影响等以使其为企业的生产经营目标服务的一系列程序,这是企业进行风险管理的前提和基础.

    

    (3)控制活动.

    

    控制活动是企业根据风险评估结果,采用相应的控制措施,将企业的风险控制在可控范围之内.具体而言,内控体系中的控制活动是指能够帮助企业管理层的决策在企业内部有效执行的相关制度和程序.控制活动不仅能够帮助企业为应对风险采取必要的措施,更能使企业生产经营目标得以实现.控制活动体现在如董事会或管理层的批准、授权及财务部门的查证、复核等活动的整个企业生产经营活动的不同管理层次和不同的业务部门中.

    

    (4)信息与沟通.

    

    信息与沟通是企业及时、准确地收集、整理与各类企业生产经营管理相关的各类信息,并以正确适合的方式将这类信息在企业内部及企业与外部之间进行有效传递、及时沟通和正确应用的过程⑴.企业内外部相关的生产经营信息必须被确认、需要及时捕获并以合理的方式在企业内部进行有效传递,以促使企业员工正确履行自己的工作职责.

    

    企业的管理信息系统能够生成企业生产经营、财务数据等符合会计信息质量的各种报告,这样能够帮助企业管理层更好地管理和运营企业.企业的管理信息系统不仅需要处理企业内部生产经营信息,还得考虑与企业的生产经营决策和对外报送的财务报告相关.

    

    的外部因素等.所谓有效的沟通,从广义上说就是信息传递不仅是从上自下的单方面传递,而且还包括自下而上的反馈和横向之间的沟通.企业内的所有员工都必须从公司管理层获取明确和及时的信息,以保证企业员工自身能保质准时履行其控制职责.企业员工在整个的信息沟通过程中必须准确理解自身在企业内控体系中的地位和职责,准确理解企业员工自身行为与其他员工之间的工作关系,还有重要的一点就是企业员工必须拥有自下而上的传递企业重要信息的渠道和方法.与此同时,企业与外部之间如供应商、客户、政府以及股东之间也需要进行及时、有效沟通.

    

    (5)内部监督.

    

    企业的内控体系不仅需要前述四个要素的支撑,整个体系还需要被企业监督执行,也就是说企业应该拥有对内控体系进行有效性的评估全过程.企业可以通过完善合理的监控、科学自主评估或者两者兼具来实现对企业内控体系的监督.在企业的日常生产经营的过程中,需要完善合理的监控行为,其中就包括企业生产经营的日常管理和监督、员工和管理层履行职责的相关行为.科学自主评估活动的频率和深度得依赖于企业风险评估和企业日常生产经营监控程序的有效程度.企业建立的内控体系中出现的缺陷应该由员工自下而上及时汇报,特别严重的问题应直接上报企业的管理层或董事会进行讨论.

    

    企业内部控制体系中的这五项要素是个相互区别、相互联系的有机整体,通过这五个要素的整合能够使企业对不断变化的内外部环境自动识别并处理好.企业内控体系的建立与企业自身的生产经营行为是密不可分的,正是由于企业自身基本的商业动机和目的的存在而显得有意义.当内控体系成为企业内部生产经营架构中的一个核心组成部分以及内控思想深入企业员工内心成为企业的基本理念时是最有效的.一旦内控体系变得最为有效,就可以支持企业的生产经营产品和服务的质量和主动授权,从而节约企业不必要的各项开支,而且能够对内外部环境的剧烈变化迅速准确地做出正确的反应.

    

    2.2内部控制的演变和发展.

    

    2.2.1国外内部控制的演变及发展.

    

    (1)内部控制的起源.

    

    内部控制这一概念被正式提出是在20世纪,但是在公元前,在人们的日常经济行为中,内控思想的萌芽早已渗透其中.根据《圣经》的记载,自公元前1800年伊始,已经出现了对各个城邦及种族的公共财产进行双重保管、城邦的管理者中各项职责分工明确、对管理者诚实守信的品格要求等类似内部控制雏形的形式逐步出现.在西欧的古罗马时期,在会计记账方面一个很大的改进就是双人记账法的出现.各项财务的支出、授权、批准以及复核制度就是从这个时期发展而来,并且被后人不断发展和完善.到了18世纪的英国工业革命时期,产生了现代内部控制管理制度.当时的工场或小作坊由于需要向外部人员展示自身生产经营的安全和生产设施的健全,这些所有者需要定期将其财务概况、其生产经营成果和自身的内部控制状况等向借款人和相关的投资者进行报告,从而更好的为借款人和投资者的投资决策进行服务[7].在英国工业革命时期,第一次提出了内部会计控制(Internal Accounting Control)这一概念,随后在会计和财务管理领域得到了广泛应用.值得一提的是1912年,R.H.蒙哥马利在他的新书《审计--理论与实践》一书中首次提出了内部牵制的设想,他对内部牵制的定义为:一个人不能单独完全支配一个账户,其他人也不能独立一个人对这个账户进行控制,这就是所谓的内部牵制[8].自此以后,随着人类经济社会的不断发展和实践,内部控制的内涵不断深入和完善.

    

    (2)内部控制的发展历程.

    

    20世纪以来,全球内部控制理论的发展大致可分为内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段及内部控制风险管理阶段,这五个阶段是逐步深入和不断完善的,目前已发展到了内部控制研究的最新发展阶段,具体如图2.2所示.

    

    

    ①内部牵制阶段(20世纪40年代前).

    

    内部牵制是内部控制制度的根本做法,它以查错防弊为基本目的.早在古埃及时期,在埃及法老的统治之下,国库进行实物收发就有严格和正式的各项手续制度.举例而言,对于进入国家银库的谷物、金钱及其他各种实物,均由一名官员记录,此时还有另一名官员负责在旁边观察,最后由第三名官员核对前面两名官员的记录数字.这三名官员各司其职,相互牵制和监督,从而来防止记录错误和舞弊现象的发生,这就产生了内部牵制的最初形式.

    

    在15世纪末的意大利手工作坊,借贷复式记账法应运而生,直到19世纪末期,这种借贷复式记账法一直被认为是保证账账相对、账实相对的理想牵制手段.

    

    进入到20世纪初,随着西方资本主义的迅猛发展,企业的所有权与经营权逐渐分离,特别是逐步成为世界第一大国的美国,其一些企业逐步建立了符合现代企业发展的"内部牵制制度".这项制度规定进行经济业务必须由两个或两个以上的员工或部门进行,以此来揭露和防范错误.值得一提的是在1934年,美国《证券交易法》开始使用"内部会计控制"这一术语.对于内部牵制阶段,内部控制的目的就是查错防弊,其主.

    

    要手段是账户核对和各个职务分离,将各个会计事项作为主要控制事项.但是这一阶段的牵制并没有形成一个整体概念,仅仅是粗放的内部控制形式和阶段.

    

    ②内部控制制度阶段(20世纪40年代至70年代).

    

    在内部控制制度阶段,起到巨大推动作用的是1933年世界经济大萧条危机.内部控制也进一步得到发展,从对单独活动进行控制发展到对企业的全部经济活动进行系统的控制,并且这些控制的范围也大大超过了财务管理与会计工作.1949年,美国注册会计师协会(AICPA)的审计程序委员会发布了《内部控制,一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告,在这份报告中第一次对内部控制的定义做出了阐释:内部控制就是企业为了实现其生产经营目标,保护企业各项财产安全、确保企业会计资料准确可靠,并以此来提高企业的运营效率、确保企业制定的生产经营政策方针、各项职能规划与企业总体战略规划保持一致的一切手段和措施[3].从这个定义中可以看出,企业进行内部控制不仅仅局限于与财务及会计部门有直接关联的控制层面,内部控制还控制着企业的预算、成本、财务报告、内部成本分析等各项程序和活动的正确真实和可靠,并在行动上保证其内容得到贯彻执行.随后这个委员会于1958年10月又发布了《审计程序公告第29号》,这份公告中明确将内部控制分为两个部分,其中就包括内部会计控制盒内部管理控制[3].

    

    ③内部控制结构阶段(20世纪80年代至90年代).

    

    在20世纪80年代,世界经济受到利率大幅波动、投机现象严重、企业管理不善及管理体制不健全等多种复杂因素的影响,大量企业及财务机构相继破产.经过调查分析,绝大部分破产的原因是因为财务机构的审计人员不能通过之前的常规审计准则检查出企业的财务舞弊状况.因而在这个情况下,美国几大职业团体联合会决定共同组建一个名为美国欺诈性财务报告的委员会,这个委员会的职责就是考察企业的财务报告作假削弱企业财务报告完整性的程度,以及确定注册会计师在发现这个作假舞弊中需承担的责任,并进而确定可能会产生作假舞弊行为的公司.1987年美国欺诈性财务报告委员会发布报告称在所调查舞弊财务报告中,50%是由于内部控制的失效,并敦促各职业团体一起合作研究内部控制的概念.

    

    美国注册会计师委员会于1988年发布了《审计准则文告第55号》,在这个文告中首次提出内部控制结构的f[念,并将内部控制结构从"制度二分法"调整为"结构分析法",这次调整的具体内容包括控制环境、会计制度和控制程序三个要素.这是内部控制史上的一个重大的改变,标志着内部控制环境被正式纳入内部控制范畴.

    

    ④内部控制整体框架阶段(20世纪90年代至21世纪初).

    

    进入20世纪90年代后,美国出现了一批舞弊性财务报告以及有些企业突然宣布破产的事件,这直接导致人们对上市公司的财务报告制度和企业内部控制的恰当性提出疑问,这也促使人们对于内部控制研究发展到内部控制整体框架阶段.美国COSO委员会于1992年提出并于1994年修改的《内部控制--整体框架》中提出了内部控制的新概念,认为内部控制体系是由控制环境、风险评估、控制活动、信息与沟通和内部监督五个要素构成[2].美国COSO委员会提出这一内部控制整体框架,使得公司董事会、政府管理部门、股东、供应商、债权人、客户、审计人员及研究学者广泛认可这一框架,并因此成为了最权威的关于内部控制方面的概念解释.这一报告标志着国际上对于内部控制的研究进入了一个整体框架研究的新阶段.

    

    ⑤内部控制风险管理阶段(21世纪初至今).

    

    2003年8月,美国COSO委员会又发布了《企业风险管理框架》,在内部控制整体框架的增加了风险管理这一框架,并且之前的内部控制五要素增加到了基于风险管理的八要素,这在一定程度上更加凸显了企业以风险导向的内部控制管理的理念.经过一年多的努力,美国COSO委员会于2004年9月正式发布了《企业风险管理框架》终稿,明确提出企业管理的重心将以风险管理活动为核心,摈弃了之前的以内部控制为中心的内控体系,与此同时,将之前的内部控制五要素予以进一步充实和加以细分,扩充为基于风险管理的八要素,这样就使得企业的内部控制与风险管理活动能有机融合,并很好的扩展了内控体系的意义.这新形成的基于风险管理的内部控制八要素依次为内部环境、目标制定、事项识别、风险反应、控制环境、风险评估、信息和沟通以及监督.美国COSO委员会的内部控制新框架不仅扩展了内部控制的内容,更加使得内控体系的目标、要素与组织层级间形成了一个相互联系、作用显着的有机整体.企业进行风险管理的目的就是为了识别企业在运营中的各个潜在事件,在企业风险的承受范围内对其进行控制和管理,为实现企业的发展目标来提供合理的保证.对于企业的风险管理,可以认为是一个组织行为过程,这个过程将会受到公司董事会、企业管理层和企业员工的共同影响,风险管理也可以应用在企业发展战略的制定实施过程中,贯穿于企业整个生产经营的全过程.

    

    2.2.2国内内部控制发展状况.

    

    中国内部控制理论的引进和研究起步较晚,其整体构架及审计评价体系尚未形成.

    

    我国的内部控制管理仍以政府为主导,通过政府颁布的法规从外部要求企业进行内部控制.

    

    2008年6月,由财政部、证监会、审计署、银监会、保监会以财会2008年7号文件的形式联合下发了《企业内部控制基本规范》,这是我国首部较成熟的统一内部控制规范,实现了与国际接轨[5].2010年4月26日,财政部联合其他五部委等联合发布了《企业内部控制配套指引》.《企业内部控制--基本规范》和《企业内部控制配套指引》共同构成了中国企业内部控制规范体系,并规定从2011年1月1日起首先从在境内外同时上市的公司实行,2012年将实行范围扩大到在中国上市的所有企业.

    

    我国许多组织和部门对企业内部控制的要求都在相关规范中予以明确,企业也通过这些规范不断深化与发展对内部控制的认识,内部控制的实践由此走向成熟.