美国注册会计师协会的文献界定了会计控制概念,而公司的经理们创立并在实践中运用着管理控制概念,这两个概念形成鲜明的对照。如果对这两种善于内部控制的不同解释的同时并行这一事实视而不见,那么任何设计内部控制系统的企图都是短视的,同时也是徒劳的。于是,人们提出了内部控制结构和整体架构的概念。
(一)内部控制结构
1988年4月美国注册会计师协会发布的《审计准则公告第55号》,规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》,首次以内部控制结构(InternalControlStructure)一词取代原有的“内部控制”一词,而且文告提出的内部控制内容比以前更为实在,条理更加清楚。该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。
以“财务报表审计对内部控制结构的考虑”为题的《审计准则公告第55号》指出:“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”,并且明确了内部控制结构的内容,具体如下。
1.控制环境
所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括管理者的思想和经营作风;企业组织结构;董事会及其所属委员会,特别是审计委员会发挥的职能;确定职权和责任的方法;管理者监控和检查工作时所用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行、影响本企业业务的各种外部关系。例如由银行指定代理人的检查等。
2.会计系统
会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法,明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标:鉴定和登记一切合法的经济业务;对各项经济业务按时进行适当分类,作为编制财务报表的依据;将各项经济业务按适当的货币价值计价,以便列入财务报表;确定经济业务发生的日期,以便按照会计期间进行记录;在财务报表中恰当地表述经济业务以及对有关内容进行揭示。
3.控制程序
控制程序指管理当局所制订地,用以保证达到一定目的的方针和程序。它包括下列内容:经济业务和经济活动的批准权;明确各个人员的职责分工,防止有关人员对正常业务图谋不轨的隐藏错弊。职责分工包括:指派不同人员分别承担批准业务、记录业务和保管财产的职责;凭证和账单的设置和使用,应保证业务和活动得到正确的记载;对财产及其记录的接触和使用要有何保护措施;对已登记的业务及其计价要进行复核。
上述内部控制结构的内部与1972年颁布的内部控制定义相比有两个明显的改动:一是正式将内部控制环境纳入内部控制范畴,二是不再区分会计控制和管埋控制。这些改变可以说是反映了70年代后期以来内部控制实务操作和理论研究的一个新动向。
(二)内部控制整体架构
1992年,美国“反虚假财务报告委员会”(NationalCommissiononFraudulentReportinG),所属的内部控制专门研究委员会发起机构委员会(CommitteeofSponsorinGOrGanizationsoftheTread-WayCommission,简称COSO委员会),在进行专门研究后提出专题报告:InternalControlInteGratedFrameWork,也称COSO报告。经过两年的修改,1994年COSO委员会提出对外报告的修改篇,扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制,得到了美国审计署(GeneralAccountinGOffice,GAO)的认可。与此同时。AICPA则全面接受COSO报告的内容,于1995年据以发布了《审计准则公告第78号》,并自1997年1月起取代了《审计准则公告第55号》。
COSO报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
1.控制环境
内部控制的内容,归根结底是由基本要素组成的。这些要素及其构成方式,决定着内部控制的内容与形式。设计内部控制,可以根据企业特征和需求(例如企业规模、业务构成、管理水平等),对内部控制要素加以有机组合。控制环境提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其他内部控制组成要素的基础。
控制环境的因素具体包括以下七个方面。
(1)诚信的原则和道德价值观。无论是企业最高管理层还是其他成员都应当做到:严格一致地保持诚信行为和道德标准;不要盲目追求不切实际的目标,以致形成不必要的压力;对敏感职位之间的财务分工要准确明晰,以避免造成偷窃资产或隐藏不佳绩效的引诱;加强企业的内部审核制度;发挥董事会的职能,使其客观监督企业的高层管理阶层;提供道德方面的指导,使所有雇员在一般和特定环境下能够保持正确的判断;制作文字化的行为准则和政策声明,将其传达给全体雇员;将诱发人们不诚实、非法和不道德行为的动机降至最低。
(2)评定员工的能力。管理部门须制定正式或非正式的职务说明书,逐项分析并规定各工作岗位所须具备的知识和技能。
(3)董事会和审计委员会。组成这两个机构须考虑的因素主要包括:成员的经验,相对于管理层的独立性,外部董事的比例,其成员参与管理的程度,所采取措施的适宜性,对管理层提出问题的深度和广度,他们与内部、外部审计人员的关系实质。
(4)管理哲学和经营风格。主要考虑:对待和承担经营风险的方式,依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通,对财务报告的态度和所采取的措施,对信息处理以及会计功能、人员所持的态度,对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。
(5)组织结构。企业的组织结构是指为公司活动提供计划、执行,控制和监督职能的整体框架。具体应考虑:组织结构的合适性,及其提供管理企业所需信息的沟通能力;各主管人员所负责任的适当性;按照主管人员所担负的责任,判断其是否具备足够的知识及丰富的经验;当环境改变时,企业配合改变其组织结构的程度;员工,尤其是负责管理及监督职能的员工人数的充足程度。
(6)责任的分配与授权。强调对于组织内的全部活动要合理有效地分配职责和权限,并为执行任务和承担职责的组织成员特别是关键岗位的人员,提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配,要使所有员工知道他们的工作行为职责担负形式和认可方式,与达成组织目标的联系。
(7)人力资源政策及实务。内部控制是由人来进行并受人的因素影响,保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践,是内部控制有效的关键因素之一。具体包括:有完善的招聘与选拔方针及操作性程序;对新员工进行企业文化和道德价值观的导向培训;对违反行为准则的任何事项,制订纪律约束与处罚措施;对业绩良好的员工,制订具有奖励和激励作用的报酬计划,并避免诱发不道德行为;根据阶段性的业绩评估结果,对员工予以晋升、指导以及奖罚。
2.风险评估
每个企业都面临来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。
(1)目标。企业的整体目标,通常是由企业的理念及其所追求的价值所决定的,而与之相配合的是企业下一级各部门的具体目标。整体目标主要是:营运目标,包括绩效和获利目标及保障资产的安全,使其免受损失;财务报告目标,防止对外报送不真实的财务报告;遵循目标,企业遵循国家的相关法律法规。
(2)风险。辨识和分析风险的过程是一种持续及反复的过程,也是有效内部控制的关键组成要素,管理阶层须谨慎注意各部门阶层的风险,并采取必要的管理措施。企业的风险一般是由外部因素和内部因素所产生的。外部因素包括:科技发展,顾客的需求或预期改变,竞争,新的法律和行政命令,自然灾害,经济环境改变等。内部因素包括信息系统处理的中断,聘用员工的品质、培训方法及激励制度,经理人员的责任改变,企业活动的性质以及员工可接近资产的程度,董事会或监事会不够坚定或无效等。
(3)环境变化后的管理。经济、产业及管理的环境都是会改变的,企业的活动应随之改变。因此,风险评估中最基本的部分,就是如何辨认已发生的改变,并采取必要的行动。这些改变因素包括行业环境的改变,新员工,业务迅速成长,新科技,新业务、产品、作业,公司重组,国外业务等。
3.控制活动
企业管理层辨认和识别风险,继之应针对这种风险发出必要的指令。控制活动是确保管理层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现,这主要包括以下六个方面。
(1)高层经理人员对企业绩效进行分析。管理阶层记录经营活动(如市场的扩展、生产过程改良、成本的控制)的结果,然后再与预算、预测、前期及竞争者的绩效相比较,以衡量目标达成的程度和监督计划(如新产品开发、合资经营、融资行为)的执行情况。
(2)直接部门管理。负责某一部门的经理人员复核自己所负责部门的业绩报告,检查本部门各业务活动的情况,以便辨认趋势。
(3)对信息处理的控制。对信息系统的控制活动可分为两类:第一类是一般控制(GeneralControl),包括对资料中心运作的控制;对系统软件的控制;存取安全的控制,对应用系统的发展及维护的控制,它帮助管理阶层确保系统能持续、适当的运转;第二类是应用控制(ApplicationControl),包括输入控制、输出控制、应用软件中的电算化步骤及相关的人工程序。
(4)实体控制。保护设备、存货、证券、现金和其他资产的实体安全,定期盘点并与控制记录所显示的金额相比较。
(5)绩效指标的比较。把不同的几套数据资料(如经营数据与财务数据)相互比较,分析它们之间的关系,然后再进行调查与纠正。以存货为例,其绩效指标包括购货价差、订单中“紧急订货”比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势,辨认采购作业的目标无法达成的原因。
(6)分工。分工即指将责任划分,再将不相容职务分派给不同的员工,以降低错误或不当行为的风险。
4.信息与沟通
企业在其经营过程中,需按某种形式辨识、取得确切的信息,并进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。
(1)信息系统。信息系统处理企业内部信息和外部信息。内部信息资料包括采购资料、销售交易资料、内部营业活动资料和内部生产过程资料;外部信息资料包括显示本企业产品的需求发生改变时,某种特定市场或行业的经济资料,用于企业生产的商品的资料,显示顾客偏好的市场情报,竞争对手产品开发活动的信息,立法机关与行政机关所发布的信息。企业建立良好的信息系统,必须做到:建立良好的信息系统支持策略,信息系统与企业营运应有效的结合;选择更新信息系统的最佳时间;有很好的信息品质。
(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。内部沟通需要做到:所有的员工,特别是那些负有重要营业责任或财务管理责任的员工,除了得到用以管理其负责活动的重要资料以外,还应当清楚地得到来自最高管理层需要谨慎承担内部控制责任的信息;必须让每个人清楚地知道个人所担负的特定任务,了解内部控制制度的各项规定、它们如何生效,以及他在控制系统中所扮演的角色及所承担的责任;员工在其执行任务时,一旦有非预期的事项发生,除了要注意该事项本身之外,还应当注意导致该事项发生的原因,如此才有办法辨认潜在缺失,采取行动,并预防再度发生;员工必须知道他所负责的活动是怎样与他人的工作发生关联的;员工必须拥有在组织中向上沟通重要信息的方法。外部沟通应做到:顾客和供应商能经过开放的沟通管道输入重要的信息;与相关的外部团体沟通,以便获悉关于本企业内部控制功能的重要信息;外部审计人员对企业营业、相关业务问题及控制系统审计后,可以提供给管理阶层及董事会重要的控制信息;政府主要机关(如银行或保险机关)所报道的复核或检查的结果,可以有效的弥补控制的缺失。
5.监督
内部控制系统需要被监督。监督是由适当的人员,在适当及时的基础上,评估控制的设计和运作情况的过程。监督活动由持续监督、个别评估所组成,其可确保企业内部控制能持续有效的运作。