论文部分内容阅读
一个有效的内部控制系统,如同完善的法人治理结构一样,是公司高效运作的基础。长期以来,我国多数企业没有意识到内部控制的重要性,对内部控制的概念模糊,再加上公司治理结构上的先天不足以及组织结构、人员素质等方面的原因,致使企业内部控制普遍薄弱。政府主管部门已经意识到这个问题。2000年11月,中国证监会发布了《公开发行证券公司信息披露编报规则》,要求公开发行证券的金融机构应建立健全内部控制制度。财政部近期也发布了《内部会计控制基本规范(征求意见稿)》等相关文件,对企业内部控制问题作出专门规定。这表明在继公司法人治理结构后,我国政府管理部门已将加强企业内部控制提上了议事日程,对改善我国企业的内部控制现状、促进现代企业制度的建立、完善上市公司信息披露和保证资本市场有效运行来说,有着非常重要的意义。内部控制已成为我国理论界和企业界所广泛关注的热点问题。
对内部控制的认识,很多企业还停留在职务分离和账户核对的层次上,尚未认识到内控机制与现代企业制度的深刻内在联系,自然也就未能意识到内部控制在公司治理和经营管理中的地位和作用。我国企业要在建立现代企业制度的基础上取得实质性进展,就必须在不断规范公司治理结构的同时,建立一套健全、有效的内部控制机制。本文作者介绍了近百年来欧美企业内部控制理论和实践发展的脉络,详细阐述了企业内部控制原理和结构,为企业构建内部控制系统提供了基本思路。
——编者
一、内部控制的整体框架思想
所谓内部控制,是指企业为了保证各项业务活动的有效进行,确保资产的安全完整,防止欺诈和舞弊行为,实现经营管理目标而制定和实施的一系列具有控制职能的方法、措施和程序。内部控制制度的设计与实施,是公司财务管理与控制的一项非常重要的基础工作。企业的内部管理控制系统包括为保证企业正常经营所采取的一系列必要的管理措施。内部控制的总括性目标应定位在取得经营效果和效率、保证财务报告的可靠性及遵循适当的法规上,其职能不仅包括企业管理层用来授权与指挥进行购货、销售、生产等经营活动的各种方式、方法,也包括核算、审核、分析各种信息资料及报告的程序与步骤,还包括为对企业经济活动进行综合计划、控制和评价而制定或设置的各项规章制度。
1992年COSO委员会(Committee of Sponsoring Organizations of the Treadway Commission)提出并于1994年修改的《内部控制──整体框架》中对内部控制作了如下的描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。
㈠ 内部控制的构成要素
内部控制的构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。具体包括:
⒈控制环境(control environment)。内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,它们既是构成环境的重要要素之一,又与环境相互影响,相互作用。环境要素是推动企业发展的引擎,也是其他一切要素的核心。
⒉风险评估(risk appr-aisal)。企业必须制定目标,该目标必须和销售、生产、采购、财务等作业相结合。为此,企业必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适时加以处理。
⒊控制活动(control activity)。企业必须制定控制的政策及程序,并予以执行,以帮助管理层保证“为实现其控制目标的实现,其用以辨认并用以处理风险所必须采取的行动业已有效落实”。
⒋信息和沟通(information and communication)。围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。
⒌监督(monitoring)。整个内部控制的过程必须施以恰当的监督。通过监督活动在必要时对其加以修正。
COSO委员会同时提出,企业所设定的目标是一个企业所努力的方向,而内部控制组成要素适用于所有的目标类别,每一个组成要素也与每一个目标有关。对于任何企业或企业中的任何部门,内部控制都极为重要。
㈡内部控制整体框架思想的新观点
与以往的内部控制理论及研究成果相比,COSO委员会提出了许多新的、有价值的观点。
⒈明确对内部控制的“责任”。在内部控制发展史上,COSO报告第一次明确地阐述了内部控制的制定与实施的责任问题。该报告认为,不仅仅是管理人员、内部审计或董事会,组织中的每一个人对内部控制都负有责任。确立这种组织思想有利于将企业的所有员工团结一致,使其主动地维护并改善企业的内部控制,而不是与企业管理层相互对立,被动地执行内部控制。
⒉强调内部控制应该与企业的经营管理过程相结合。COSO报告认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由组织的某一个单位或部门进行,或由若干个单位、部门共同进行。内部控制不是某个事件或某种状况,而是散布在企业作业中的一连串行动,是企业经营过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上;它使经营过程发挥其应有的功能,并监督企业经营过程的持续进行。换言之,内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
⒊强调内部控制是一个“动态过程”。内部控制是对企业的整个经营活动进行监督与控制的过程,企业内部控制不是一项制度或一个机械的规定,企业经营管理环境的变化必然要求企业内部控制越来越趋于完善;内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
⒋强调“人”的重要性。企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。COSO报告特别强调,内部控制受企业董事会、管理层和其他员工的影响,并通过企业内部员工所做的行为及所说的话完成。只有人才可能制定企业的目标,并设置控制的机制;反过来,内部控制影响着人的行动。
⒌强调“软控制”的作用。所有的内部控制都是针对“人”而设立和实施的,企业内部会因此形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。相对于以前的内部控制研究成果而言,COSO报告更加强调“软控制”的作用。软控制主要是指那些属于精神层面的事物,如高级管理层的管理风格、管理哲学、企业文化、内部控制意识等。
⒍强调风险意识。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,风险管理是企业面临的重要课题之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层次都会遭遇风险,管理层必须密切注意各层次的风险,并采取必要的应对措施。
⒎糅合了管理与控制的界限。在COSO报告中,控制已不再是管理的一部分,管理与控制的职能与界限已经模糊。
⒏强调内部控制的分类及目标。COSO报告单独对内部控制的目标进行了解析和阐释。目标的设定是管理过程的一个重要部分,它虽然不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。制定目标的过程不是控制活动,但其对内部控制的意义重大,直接影响到内部控制是否有存在的必要。COSO报告将内部控制的目标分为3类:与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面。
⒐明确指出内部控制只能做到“合理”保证。COSO报告认为,不论设计及执行有多么完善,内部控制都只能为管理层及董事会提供达成企业目标的合理保证;而目标达成的可能性,还要受内部控制的先天条件所限制。
⒑提出了成本与效益原则。COSO报告明确指出,内部控制要建立在成本效益原则的基础上,应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。内部控制并不是要消除任何滥用职权的可能性,而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态(即经济原则)的机制。因此,没有不花钱的内部控制,也不存在完美无缺的内部控制。
二、内部控制与现代企业制度
按现代企业制度的要求,企业内部控制具有以下主要特征:
㈠内部控制发展的主线是保证资产安全和会计信息真实
内部控制与会计有着天然的血缘关系,会计系统应建立在内部控制程序基础之上,以保证会计数据的可靠性;另一方面,内部控制程序利用可靠的会计数据来保证资产的安全,并监督各部分的业务。
从审计学发展的角度来看,内部控制制度被应用于审计也是出于保证会计信息真实性的目的。企业规模的扩大和企业结构的复杂化迫使注册会计师必须寻找既能保证审计质量又能降低审计成本的方法。鉴于这种指导思想,注册会计师认识到了抽样审计可以与内部控制制度结合起来,从而使审计方式逐渐演进成以评审内部控制制度为切入点,从传统的审计阶段进入到现代审计阶段。
㈡内部控制目标是现多元化趋势
从内部控制目标和内容的演进进程来看,现代企业制度下的内部控制已不是传统意义上的查弊或纠错,而是涉及到企业的各个方面,成为公司控制权结构的具体体现,这一点与企业组织形式的演化及治理结构的发展是一致的。
在独资企业中,剩余索取权和剩余控制权也是合一的,有限责任公司和股份有限公司从理论上讲也可以做到剩余索取权和剩余控制权的合一,但这里的“一”指的是由若干名合伙人或股东构成的整体而非个人,因而仍然存在着共有产权问题。公司制企业出现后,剩余索取权和剩余控制权在一定程度上产生了分离,随之产生了代理风险和“搭便车”问题,内部控制由此产生,但其职能仅表现为保护资产和查弊纠错。
在现代公司制度下,以保护资产和查弊纠错为内容的内部控制显然不能满足需要,以更新内部控制结构为主体的内部控制机制应运而生。这种内部控制制度,将促进企业贯彻经营方针以及提高经营效率纳入其中。这是公司治理结构对内部控制提出的要求。
关于内部控制结构的目标及内容构成,美国有关专家对78家公司进行了调查,结果如表1所示。
调查结果显示,作为公司治理结构中控制权合约安排的内部控制,无论在目标上还是在内容构成上,都远远超出了传统的内部控制制度;“人本主义”作为构建内部控制机制的信条已越来越多地被企业接受,道德品行并不单纯只是内部控制的环境要素,它也日益成为内部控制结构的有机组成部分。
一般地,内部控制应当实现以下基本目标:
⒈建立和完善符合现代管理要求的内部组织结构,形成科学的决策机制、执行机制和监督机制,确保企业经营管理目标的实现。
⒉建立行之有效的风险控制系统,强化风险管理,确保单位各项业务的健康运行。⒊堵塞漏洞,消除隐患,防止并及时发现各种欺诈、舞弊行为,保护单位财产的安全完整。
⒋规范企业会计行为,保证会计资料真实、完整,提高会计信息质量。包括:保证业务活动按照适当的授权进行;保证企业所有交易和事项以正确的金额、在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求;保证对资产和记录的接触、处理均应经过适当的授权;保证账面资产与实存资产定期核对相符。
⒌确保国家有关法律法规和企业内部规章制度的贯彻执行。
㈢企业内部控制的核心是财务控制的会计控制
最初的内部控制实际上就是会计控制,自从20世纪60年代内部控制被分为内部会计控制与内部管理控制后,内部会计控制指与会计工作、会计信息直接有关的控制。在市场经济环境下,通过资金筹集和运作谋求效益的最大化,永远是企业管理的主旋律。尽管内部控制的目标呈多元化趋势,会计控制在内部控制中的核心地位始终没有动摇过。从企业实践来看,内部控制制度建设过程中也正是围绕着会计控制这一核心来抓的:从保证资产安全和信息真实着手做好基础工作,在此基础上采用预算管理、内部审计等控制措施,以保证管理的科学性和经营目标的实现。
三、内部控制框架的构建
构建企业内部控制框架,可考虑从控制环境、会计系统和控制程序这个基本要素入手①。这些基本要素按照一定的结构有机结合起来而构成的系统就是内部控制的外在表现形式。
(一)控制环境
控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,它反映了企业董事会和管理层关于内部控制对公司重要性的态度。它是一种氛围,塑造企业文化,影响企业员工的控制意识,影响企业内部各成员实施控制的自觉性,决定其他控制要素能否发挥作用,是内部控制其他要素作用的基础。控制环境直接影响到企业内部控制的贯彻和执行,以及企业经营目标和整体战略目标的实现。
控制环境包括以下因素:
1.董事会
现代企业法人治理结构的一个显著特征就是经营权与所有权的分离。虽然从理论上可以将对经营者的控制机制分为以资本市场、产品市场及法律规章制度为主体的外部控制机制和以董事会为主体的内部控制机制,但外部控制机制并不能替代内部控制机制的功能。董事会是公司内部控制系统的核心,它负责为企业管理层制订游戏规则。
董事会对公司负有重要的受托管理责任。对内部控制而言,一个积极、主动参与的董事会是相当重要的。但是,只有当董事会拥有技术、才能和智慧并能进行适当管理时,它才能适当履行其监控、引导和监督的责任。董事会应对公司内部控制的建立、完善和有效运行负责。
加强企业内部控制,首先要加强董事会的建设,发挥董事会的作用和潜能,使股东及其他利益团体的利益真正受到保护。
2.企业经理层的素质、品行和企业文化
管理者素质和品行在企业经营管理中起绝对重要的作用,直接影响到企业的行为,并进而影响到企业内部控制的效率和效果。在比较发达的市场经济体系中,一般都已形成一个较为成熟的职业经理市场,企业管理者自我完善和自我提高的激励和约束机制比较健全。
企业制定的任何制度都不可能超越设立这些制度的人,以及企业内部那些创造、管理与监督制度的人员的操守及价值观。企业管理者的操守、价值观是构成控制环境的一个基本要素。管理者的管理哲学及管理风格,包括对待经营风险的态度和控制经营风险的方法,企业为实现预算、利润和其他财务及经营目标而对管理的重视程度,对会计报表所持的态度和所采取的行动等,都会影响内部控制的成效。企业管理层的操守、管理哲学和管理风格还会直接影响到下级员工的道德行为、思维方式和品行,从而对企业内部控制的效率、效果产生深远的影响。因此,内部控制结构的建立,必须考虑与员工道德水准和价值观念的承接性。
企业管理者应制定持续的针对关键管理人员和会计人员的、具有操作性的道德规范与行为准则方案,督促他们履行企业道德惯例,从而在企业运营中按照较高的道德标准来增强员工的责任感。
企业文化是具有本企业特征的基本信念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方式、行为方式的总和。企业文化对企业经营管理产生着深远的影响,也不可避免地影响着企业的内部控制。企业管理者应该注重对企业文化的培养和优化。企业在培养自身文化时,应避免一种只注重内部和短期的企业文化,积极塑造一种健康的文化氛围,使其与公司的战略目标保持一致。
3.组织结构与权责分配体系
组织结构是公司计划、协调和控制经营活动的整体框架。企业组织结构建设的好坏直接影响到企业的经营成果和内部控制效果。良好的组织必须以执行工作计划为使命,并具有清晰的职位“层次顺序”、流畅的“意见沟通渠道”和有效的“协调合作体系”。
但是,组织结构只是给企业的经营运作与控制提供了一个合理的框架,真正进行这些工作的主要还是企业员工。因此,企业组织设立的另一项重要任务就是权责分派。权责分派所要解决的主要是授权和分配责任问题。合理的权责分派体系应该明确界定员工所享有权利的上限,企业的某些政策和关键员工需要具备的知识和经验,以及企业应给予员工的资源等。
4.预算控制
预算是保证内部控制结构运行质量的监督手段,预算控制是内部控制的重要方式。一般地说,预算管理是将企业的目标及其资源配置方式以预算方式加以量化,并使之得以实现的企业内部活动或过程的总称。
预算管理是由预算编制、预算执行与控制、预算考评等环节构成。在现实条件下,预算之所以成为内部控制的重要方式,原因就在于在复杂的层级结构组成的企业中,由于信息不对称而引起企业目标在各层级间的分解后或者决策权在各层级间的分享后而产生偏离。
按现行公司治理结构的规定,预算方案的制定权在董事会,组织实施权在经理层。但在实践中,大多数企业的预算是由企业经理层组织编制,报董事会批准后实施的。由于信息不对称,董事会也不太可能对预算提出实质性意见,董事会在预算管理中职权弱化的现象十分突出,从而滋生了预算管理中的“内部人控制”现象。针对这种情况,应在董事会中设立预算管理委员会的专门机构,具体负责对预算制定和预算执行过程进行监督。只有这样,才能使预算管理权真正掌握在董事会手中。
5.人力资源政策和实务
一个好的人力资源政策和实务,能确保执行公司政策和程序的人员具有胜任能力和正直品行,并影响到每一个人的业绩和表现。公司必须雇用足够的人员并给予其足够的资源,使其能完成所分配的任务,这是建立合适控制环境的基础。除必要的工作能力之外,公司雇员还应该具有一定的职业道德水准。
公司雇员的胜任能力和正直性在很大程度上取决于公司有关雇佣、训练、待遇、业绩考评及晋升等政策和程序的合理程度。行之有效的人力资源政策,对培养企业员工、提高员工素质、更好地贯彻内控制度能起到很大的促进作用。
㈡会计系统
企业会计系统既是制定决策的一个信息来源,也是内部控制机制的第二个组成要素。
针对内部控制的要求,一个有效的会计系统应能够做到以下几点:⑴确认并记录所有真实的交易;⑵及时、充分、详细地描述交易,以便在会计报表上对交易作适当的分类;⑶计量交易的价值,以便在会计报表上记录其适当的货币价值;⑷确定交易发生的期间,以便为交易记录界定适当的会计期间;⑸在会计报表中适当地表达交易和披露相关事项。
交易是因某经营实体与外界交换资产或劳务,以及公司内部转移或使用资产与劳务而形成的;会计系统的核心是处理交易。公司的会计系统应为每笔交易提供一个完整的“审计轨迹”或“交易轨迹”。所谓交易轨迹是指通过编码、交叉索引和连结账户余额与原始交易数据的书面资料所提供的一连串的迹象。
保留交易轨迹对于公司管理层和利益关联方都很重要。比如说,公司管理层可使用交易轨迹来答复顾客或供应商有关账户余额的询问;内部审计部门或注册会计师也可使用交易轨迹来核证和追查交易。
(三)控制程序
内部控制的第三个要素是控制程序。控制程序是由为合理保证公司目标的实现而建立的政策和程序组成的。控制程序可应用于某种交易,也可以融合应用于控制环境或会计系统的特定组成部分。
以下列举几种常见的特定控制程序:
1.交易授权
不能简单地将授权(delegation of authority)理解为“这件事交给你”。企业中的授权是指上级委派给下属一定的权力,使下属在一定的监督下,有相当的自主权和行动权;授权者对于被授权者有指挥和监督的权力,被授权者对授权者负有报告及完成任务的责任。交易授权程序的主要目的在于保证交易是管理人员在其授权范围内才产生的。
授权有一般授权与特别授权之分。前者指授权处理一般性的交易,而后者则指授权处理非常规交易事件(比如重大资产处置等),也可用于超过一般授权限制的常规交易(比如同意在特定情形下,对某个不符合一般信用条件的客户赊购商品)。企业管理层对某项交易的“授权”和员工对交易的批准是不同的。例如,信用部门的员工可以在管理人员授权的信用政策范围内,批准个别客户赊购。
2.风险评估
环境控制和风险评估,是提高企业内部控制效率的关键。企业内部控制制度不可能脱离其赖以生存的环境及企业内外部的各种风险因素;控制与风险的概念是紧密相联的,正如房间的前后门,企业选择哪道“门”进入“房间”,取决于它的经营环境以及该企业怎样看待它的业务、怎样界定其战略重点等。制定风险管理目标是控制过程的一个重要环节,因此,企业要在整个组织内部制定协调一致的目标,找出企业关键性风险要素,设置关键控制点②。
企业进行风险评估一般要经过风险辨别、分析、管理和控制等过程。特别要注意的是,当企业内外部环境发生变化时,风险最容易发生,因此,企业应加强对环境改变时的事务管理。
SWOT(strength, weakness, opportunities and threats)分析是一种常用的风险分析方法。企业按照这种方法分析自身的优势与劣势,长处与短处;分析外界的机会和威胁,考虑自己的生存机遇。企业在日常的内部控制过程中应该时时进行SWOT分析,以将其内部控制目标不能达成的风险降至最低。
3.职责划分
职责划分控制程序是指对某交易涉及的各项职责进行合理划分,使某一个人的工作能自动地相互检查另一个人或更多人的工作。职责划分的主要目的是为了预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。
从控制的观点看,如某员工在履行其职责的正常过程中可能发生错误或舞弊,并且内部控制又难以发现他的舞弊,那么可以认为这些职责是不相容的。对不相容的职责必须实行职责划分,这是内部控制一个基本原则。
职责划分会影响3种认定的控制风险:第一,将资产保管与资产会计记录的掌管相分离,可以降低盗窃的风险,因为盗窃者无法通过减少资产的记录来掩盖盗窃真相。第二,将处理现金支出交易与银行调节账户相分离,可以降低不记录支票付款的风险,因为在调节过程中可发现这种风险。第三,付款凭单的批准与支票签发相分离,可以降低支票书写出错的风险。
4、信息流动与沟通
企业应按某种形式及其在某个时间内,辨别、取得适当的信息,并加以沟通,以使员工顺利履行其职责。
信息系统不仅处理企业内部所产生的各种信息,同时也处理企业与外部的事项、活动,以及与环境等有关的信息。企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部一个重要的特定控制程序,是企业内部控制的一个组成部分。
一个有效的企业信息系统,应能保证企业内部每个人都清楚地知道其所承担的特定职责。每名员工不仅必须了解内部控制制度的有关方面,这些方面如何生效以及自己在内部控制制度中所担负的责任,一旦有非正常事项发生,除了要关注该事项外,还必须能够分析发生原因,并采取适当的措施。
信息沟通系统不仅要有向下的沟通渠道,还应有向上的、横向的以及对外界的沟通渠道。具体来说:首先,企业管理层要向全体员工发布有关认真履行各自控制职责的明确信息,使其了解自己在控制系统中的地位和作用。其次,企业要有一条自下而上报告重大信息的有效途径,即建立开放、畅通的信息反馈渠道,以便发现内部控制系统的薄弱环节,并及时采取相应的补救措施。最后,建立反映行为责任履行情况的报告系统,对于企业实施内部控制尤其重要。
5.内部审计与独立稽核
企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动来实现的。因此,要确保内部控制制度被切实地执行,并且保证良好的执行效果,内部控制就必须被监督。监督可通过日常的、持续的监督活动来完成,也可以通过进行个别的、单独的评估来完成,或者将二者结合。
在内部控制的监督过程中,内部审计、独立稽核和控制自我评估这些职能发挥着重要作用。
(1)内部审计
在公司治理结构中,内部审计机构的职责除了包括审核企业会计账目外,还包括稽核、评价内部控制制度是否完善和企业内部各组织结构执行指定职能的效率,并向企业最高管理部门提出建议和报告。在企业各个层级的人员中,内部审计人员具有极其重要而又特殊的地位。内部审计既是企业内部控制的一个部分,也是监督内部控制其他环节的主要力量。内部审计的作用不仅在于监督企业经营业务是否符合内控程序、评价内部控制是否有效,而且内部审计人员还应该提出完善内部控制和纠正错弊的建议,帮助企业进行“软控制”环境的营造,成为内部控制过程设计的顾问。
目前我国企业中内部审计机构的设置情况多样,大多数企业只设立审计部,有些上市公司同时设立审计委员会和审计部。审计部的定位方面,有的是由监事会领导,有的是由总经理领导,也有的是由财务总监(或总会计师)、分管财务工作的副总经理领导。在董事长和总经理分设的情况下,如将审计部只置于总经理的领导之下,董事会对经理层就缺乏相应的监督措施,也就无法保证我国《会计法》规定的“单位负责人对本单位的会计工作和会计资料的真实性、完整性负责”的条款落到实处。
监事会、审计委员会和审计部分别对股东会、董事会和财务总监负责,同时三者之间还存在着一种业务指导关系。对于规模不大、业务活动比较简单的公司,也可只设审计部,但审计部应对董事会负责,并在业务上受监事会指导。之所以选择这种制度安排,原因在于在公司治理结构的约束机制中,董事会是决策机构,这一机构肩负着保证公司管理行为的合法性和可信性职责。从我国公司治理实践来看,审计部对董事会而不是向总经理负责的这一制度安排,能有效改变董事会职权弱化、“内部人控制”现象严重的局面。另外,审计部在业务上接受监事会的指导也能够对董事会产生一定程度的制衡作用。
(2)独立稽核
一般地讲,独立稽核是指验证由另一个人或部门执行的工作和验证所记录金额估价的正确性。内部审计就是一种典型的内部稽核。但应该指出的是,独立稽核是存在于企业管理流程的每一个环节的,并不仅仅限于内部审计。
独立稽核与许多认定有关。如:人工计算稽核发票、工资计算表及存货汇总表的正确性;比较现有资产和有关记录,包括银行存款余额调节表、零用现金盘点表及实物存货记录等;管理层复核汇总账户余额详细情况的报告,如应收账款的账龄分析表。
(3)控制自我评估
在国外,企业内部控制的一个新趋势是实行“控制自我评估(CSA, control self appraisal)”。控制自我评估是指由企业自身不定期或定期地对其内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制目标。这一做法的基本特征是:关注业务的过程和控制的成效;由管理部门和员工共同进行;用结构化的方法开展评估活动。
CSA是为提高企业内部控制的自我意识所作的努力,这种活动经常以务虚会或研讨会的形式进行。CSA的目的是使人们了解哪里存在缺陷以及可能发生的后果,然后让他们自己采取行动改变这种状况,而不是坐等内部审计人员站出来。研究表明,实施CSA的方法对于企业加强管理、提高效率、改进流程和控制风险都有着积极的作用。
对内部控制的认识,很多企业还停留在职务分离和账户核对的层次上,尚未认识到内控机制与现代企业制度的深刻内在联系,自然也就未能意识到内部控制在公司治理和经营管理中的地位和作用。我国企业要在建立现代企业制度的基础上取得实质性进展,就必须在不断规范公司治理结构的同时,建立一套健全、有效的内部控制机制。本文作者介绍了近百年来欧美企业内部控制理论和实践发展的脉络,详细阐述了企业内部控制原理和结构,为企业构建内部控制系统提供了基本思路。
——编者
一、内部控制的整体框架思想
所谓内部控制,是指企业为了保证各项业务活动的有效进行,确保资产的安全完整,防止欺诈和舞弊行为,实现经营管理目标而制定和实施的一系列具有控制职能的方法、措施和程序。内部控制制度的设计与实施,是公司财务管理与控制的一项非常重要的基础工作。企业的内部管理控制系统包括为保证企业正常经营所采取的一系列必要的管理措施。内部控制的总括性目标应定位在取得经营效果和效率、保证财务报告的可靠性及遵循适当的法规上,其职能不仅包括企业管理层用来授权与指挥进行购货、销售、生产等经营活动的各种方式、方法,也包括核算、审核、分析各种信息资料及报告的程序与步骤,还包括为对企业经济活动进行综合计划、控制和评价而制定或设置的各项规章制度。
1992年COSO委员会(Committee of Sponsoring Organizations of the Treadway Commission)提出并于1994年修改的《内部控制──整体框架》中对内部控制作了如下的描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。
㈠ 内部控制的构成要素
内部控制的构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。具体包括:
⒈控制环境(control environment)。内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,它们既是构成环境的重要要素之一,又与环境相互影响,相互作用。环境要素是推动企业发展的引擎,也是其他一切要素的核心。
⒉风险评估(risk appr-aisal)。企业必须制定目标,该目标必须和销售、生产、采购、财务等作业相结合。为此,企业必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适时加以处理。
⒊控制活动(control activity)。企业必须制定控制的政策及程序,并予以执行,以帮助管理层保证“为实现其控制目标的实现,其用以辨认并用以处理风险所必须采取的行动业已有效落实”。
⒋信息和沟通(information and communication)。围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。
⒌监督(monitoring)。整个内部控制的过程必须施以恰当的监督。通过监督活动在必要时对其加以修正。
COSO委员会同时提出,企业所设定的目标是一个企业所努力的方向,而内部控制组成要素适用于所有的目标类别,每一个组成要素也与每一个目标有关。对于任何企业或企业中的任何部门,内部控制都极为重要。
㈡内部控制整体框架思想的新观点
与以往的内部控制理论及研究成果相比,COSO委员会提出了许多新的、有价值的观点。
⒈明确对内部控制的“责任”。在内部控制发展史上,COSO报告第一次明确地阐述了内部控制的制定与实施的责任问题。该报告认为,不仅仅是管理人员、内部审计或董事会,组织中的每一个人对内部控制都负有责任。确立这种组织思想有利于将企业的所有员工团结一致,使其主动地维护并改善企业的内部控制,而不是与企业管理层相互对立,被动地执行内部控制。
⒉强调内部控制应该与企业的经营管理过程相结合。COSO报告认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由组织的某一个单位或部门进行,或由若干个单位、部门共同进行。内部控制不是某个事件或某种状况,而是散布在企业作业中的一连串行动,是企业经营过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上;它使经营过程发挥其应有的功能,并监督企业经营过程的持续进行。换言之,内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
⒊强调内部控制是一个“动态过程”。内部控制是对企业的整个经营活动进行监督与控制的过程,企业内部控制不是一项制度或一个机械的规定,企业经营管理环境的变化必然要求企业内部控制越来越趋于完善;内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
⒋强调“人”的重要性。企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。COSO报告特别强调,内部控制受企业董事会、管理层和其他员工的影响,并通过企业内部员工所做的行为及所说的话完成。只有人才可能制定企业的目标,并设置控制的机制;反过来,内部控制影响着人的行动。
⒌强调“软控制”的作用。所有的内部控制都是针对“人”而设立和实施的,企业内部会因此形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。相对于以前的内部控制研究成果而言,COSO报告更加强调“软控制”的作用。软控制主要是指那些属于精神层面的事物,如高级管理层的管理风格、管理哲学、企业文化、内部控制意识等。
⒍强调风险意识。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,风险管理是企业面临的重要课题之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层次都会遭遇风险,管理层必须密切注意各层次的风险,并采取必要的应对措施。
⒎糅合了管理与控制的界限。在COSO报告中,控制已不再是管理的一部分,管理与控制的职能与界限已经模糊。
⒏强调内部控制的分类及目标。COSO报告单独对内部控制的目标进行了解析和阐释。目标的设定是管理过程的一个重要部分,它虽然不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。制定目标的过程不是控制活动,但其对内部控制的意义重大,直接影响到内部控制是否有存在的必要。COSO报告将内部控制的目标分为3类:与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面。
⒐明确指出内部控制只能做到“合理”保证。COSO报告认为,不论设计及执行有多么完善,内部控制都只能为管理层及董事会提供达成企业目标的合理保证;而目标达成的可能性,还要受内部控制的先天条件所限制。
⒑提出了成本与效益原则。COSO报告明确指出,内部控制要建立在成本效益原则的基础上,应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。内部控制并不是要消除任何滥用职权的可能性,而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态(即经济原则)的机制。因此,没有不花钱的内部控制,也不存在完美无缺的内部控制。
二、内部控制与现代企业制度
按现代企业制度的要求,企业内部控制具有以下主要特征:
㈠内部控制发展的主线是保证资产安全和会计信息真实
内部控制与会计有着天然的血缘关系,会计系统应建立在内部控制程序基础之上,以保证会计数据的可靠性;另一方面,内部控制程序利用可靠的会计数据来保证资产的安全,并监督各部分的业务。
从审计学发展的角度来看,内部控制制度被应用于审计也是出于保证会计信息真实性的目的。企业规模的扩大和企业结构的复杂化迫使注册会计师必须寻找既能保证审计质量又能降低审计成本的方法。鉴于这种指导思想,注册会计师认识到了抽样审计可以与内部控制制度结合起来,从而使审计方式逐渐演进成以评审内部控制制度为切入点,从传统的审计阶段进入到现代审计阶段。
㈡内部控制目标是现多元化趋势
从内部控制目标和内容的演进进程来看,现代企业制度下的内部控制已不是传统意义上的查弊或纠错,而是涉及到企业的各个方面,成为公司控制权结构的具体体现,这一点与企业组织形式的演化及治理结构的发展是一致的。
在独资企业中,剩余索取权和剩余控制权也是合一的,有限责任公司和股份有限公司从理论上讲也可以做到剩余索取权和剩余控制权的合一,但这里的“一”指的是由若干名合伙人或股东构成的整体而非个人,因而仍然存在着共有产权问题。公司制企业出现后,剩余索取权和剩余控制权在一定程度上产生了分离,随之产生了代理风险和“搭便车”问题,内部控制由此产生,但其职能仅表现为保护资产和查弊纠错。
在现代公司制度下,以保护资产和查弊纠错为内容的内部控制显然不能满足需要,以更新内部控制结构为主体的内部控制机制应运而生。这种内部控制制度,将促进企业贯彻经营方针以及提高经营效率纳入其中。这是公司治理结构对内部控制提出的要求。
关于内部控制结构的目标及内容构成,美国有关专家对78家公司进行了调查,结果如表1所示。
调查结果显示,作为公司治理结构中控制权合约安排的内部控制,无论在目标上还是在内容构成上,都远远超出了传统的内部控制制度;“人本主义”作为构建内部控制机制的信条已越来越多地被企业接受,道德品行并不单纯只是内部控制的环境要素,它也日益成为内部控制结构的有机组成部分。
一般地,内部控制应当实现以下基本目标:
⒈建立和完善符合现代管理要求的内部组织结构,形成科学的决策机制、执行机制和监督机制,确保企业经营管理目标的实现。
⒉建立行之有效的风险控制系统,强化风险管理,确保单位各项业务的健康运行。⒊堵塞漏洞,消除隐患,防止并及时发现各种欺诈、舞弊行为,保护单位财产的安全完整。
⒋规范企业会计行为,保证会计资料真实、完整,提高会计信息质量。包括:保证业务活动按照适当的授权进行;保证企业所有交易和事项以正确的金额、在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求;保证对资产和记录的接触、处理均应经过适当的授权;保证账面资产与实存资产定期核对相符。
⒌确保国家有关法律法规和企业内部规章制度的贯彻执行。
㈢企业内部控制的核心是财务控制的会计控制
最初的内部控制实际上就是会计控制,自从20世纪60年代内部控制被分为内部会计控制与内部管理控制后,内部会计控制指与会计工作、会计信息直接有关的控制。在市场经济环境下,通过资金筹集和运作谋求效益的最大化,永远是企业管理的主旋律。尽管内部控制的目标呈多元化趋势,会计控制在内部控制中的核心地位始终没有动摇过。从企业实践来看,内部控制制度建设过程中也正是围绕着会计控制这一核心来抓的:从保证资产安全和信息真实着手做好基础工作,在此基础上采用预算管理、内部审计等控制措施,以保证管理的科学性和经营目标的实现。
三、内部控制框架的构建
构建企业内部控制框架,可考虑从控制环境、会计系统和控制程序这个基本要素入手①。这些基本要素按照一定的结构有机结合起来而构成的系统就是内部控制的外在表现形式。
(一)控制环境
控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,它反映了企业董事会和管理层关于内部控制对公司重要性的态度。它是一种氛围,塑造企业文化,影响企业员工的控制意识,影响企业内部各成员实施控制的自觉性,决定其他控制要素能否发挥作用,是内部控制其他要素作用的基础。控制环境直接影响到企业内部控制的贯彻和执行,以及企业经营目标和整体战略目标的实现。
控制环境包括以下因素:
1.董事会
现代企业法人治理结构的一个显著特征就是经营权与所有权的分离。虽然从理论上可以将对经营者的控制机制分为以资本市场、产品市场及法律规章制度为主体的外部控制机制和以董事会为主体的内部控制机制,但外部控制机制并不能替代内部控制机制的功能。董事会是公司内部控制系统的核心,它负责为企业管理层制订游戏规则。
董事会对公司负有重要的受托管理责任。对内部控制而言,一个积极、主动参与的董事会是相当重要的。但是,只有当董事会拥有技术、才能和智慧并能进行适当管理时,它才能适当履行其监控、引导和监督的责任。董事会应对公司内部控制的建立、完善和有效运行负责。
加强企业内部控制,首先要加强董事会的建设,发挥董事会的作用和潜能,使股东及其他利益团体的利益真正受到保护。
2.企业经理层的素质、品行和企业文化
管理者素质和品行在企业经营管理中起绝对重要的作用,直接影响到企业的行为,并进而影响到企业内部控制的效率和效果。在比较发达的市场经济体系中,一般都已形成一个较为成熟的职业经理市场,企业管理者自我完善和自我提高的激励和约束机制比较健全。
企业制定的任何制度都不可能超越设立这些制度的人,以及企业内部那些创造、管理与监督制度的人员的操守及价值观。企业管理者的操守、价值观是构成控制环境的一个基本要素。管理者的管理哲学及管理风格,包括对待经营风险的态度和控制经营风险的方法,企业为实现预算、利润和其他财务及经营目标而对管理的重视程度,对会计报表所持的态度和所采取的行动等,都会影响内部控制的成效。企业管理层的操守、管理哲学和管理风格还会直接影响到下级员工的道德行为、思维方式和品行,从而对企业内部控制的效率、效果产生深远的影响。因此,内部控制结构的建立,必须考虑与员工道德水准和价值观念的承接性。
企业管理者应制定持续的针对关键管理人员和会计人员的、具有操作性的道德规范与行为准则方案,督促他们履行企业道德惯例,从而在企业运营中按照较高的道德标准来增强员工的责任感。
企业文化是具有本企业特征的基本信念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方式、行为方式的总和。企业文化对企业经营管理产生着深远的影响,也不可避免地影响着企业的内部控制。企业管理者应该注重对企业文化的培养和优化。企业在培养自身文化时,应避免一种只注重内部和短期的企业文化,积极塑造一种健康的文化氛围,使其与公司的战略目标保持一致。
3.组织结构与权责分配体系
组织结构是公司计划、协调和控制经营活动的整体框架。企业组织结构建设的好坏直接影响到企业的经营成果和内部控制效果。良好的组织必须以执行工作计划为使命,并具有清晰的职位“层次顺序”、流畅的“意见沟通渠道”和有效的“协调合作体系”。
但是,组织结构只是给企业的经营运作与控制提供了一个合理的框架,真正进行这些工作的主要还是企业员工。因此,企业组织设立的另一项重要任务就是权责分派。权责分派所要解决的主要是授权和分配责任问题。合理的权责分派体系应该明确界定员工所享有权利的上限,企业的某些政策和关键员工需要具备的知识和经验,以及企业应给予员工的资源等。
4.预算控制
预算是保证内部控制结构运行质量的监督手段,预算控制是内部控制的重要方式。一般地说,预算管理是将企业的目标及其资源配置方式以预算方式加以量化,并使之得以实现的企业内部活动或过程的总称。
预算管理是由预算编制、预算执行与控制、预算考评等环节构成。在现实条件下,预算之所以成为内部控制的重要方式,原因就在于在复杂的层级结构组成的企业中,由于信息不对称而引起企业目标在各层级间的分解后或者决策权在各层级间的分享后而产生偏离。
按现行公司治理结构的规定,预算方案的制定权在董事会,组织实施权在经理层。但在实践中,大多数企业的预算是由企业经理层组织编制,报董事会批准后实施的。由于信息不对称,董事会也不太可能对预算提出实质性意见,董事会在预算管理中职权弱化的现象十分突出,从而滋生了预算管理中的“内部人控制”现象。针对这种情况,应在董事会中设立预算管理委员会的专门机构,具体负责对预算制定和预算执行过程进行监督。只有这样,才能使预算管理权真正掌握在董事会手中。
5.人力资源政策和实务
一个好的人力资源政策和实务,能确保执行公司政策和程序的人员具有胜任能力和正直品行,并影响到每一个人的业绩和表现。公司必须雇用足够的人员并给予其足够的资源,使其能完成所分配的任务,这是建立合适控制环境的基础。除必要的工作能力之外,公司雇员还应该具有一定的职业道德水准。
公司雇员的胜任能力和正直性在很大程度上取决于公司有关雇佣、训练、待遇、业绩考评及晋升等政策和程序的合理程度。行之有效的人力资源政策,对培养企业员工、提高员工素质、更好地贯彻内控制度能起到很大的促进作用。
㈡会计系统
企业会计系统既是制定决策的一个信息来源,也是内部控制机制的第二个组成要素。
针对内部控制的要求,一个有效的会计系统应能够做到以下几点:⑴确认并记录所有真实的交易;⑵及时、充分、详细地描述交易,以便在会计报表上对交易作适当的分类;⑶计量交易的价值,以便在会计报表上记录其适当的货币价值;⑷确定交易发生的期间,以便为交易记录界定适当的会计期间;⑸在会计报表中适当地表达交易和披露相关事项。
交易是因某经营实体与外界交换资产或劳务,以及公司内部转移或使用资产与劳务而形成的;会计系统的核心是处理交易。公司的会计系统应为每笔交易提供一个完整的“审计轨迹”或“交易轨迹”。所谓交易轨迹是指通过编码、交叉索引和连结账户余额与原始交易数据的书面资料所提供的一连串的迹象。
保留交易轨迹对于公司管理层和利益关联方都很重要。比如说,公司管理层可使用交易轨迹来答复顾客或供应商有关账户余额的询问;内部审计部门或注册会计师也可使用交易轨迹来核证和追查交易。
(三)控制程序
内部控制的第三个要素是控制程序。控制程序是由为合理保证公司目标的实现而建立的政策和程序组成的。控制程序可应用于某种交易,也可以融合应用于控制环境或会计系统的特定组成部分。
以下列举几种常见的特定控制程序:
1.交易授权
不能简单地将授权(delegation of authority)理解为“这件事交给你”。企业中的授权是指上级委派给下属一定的权力,使下属在一定的监督下,有相当的自主权和行动权;授权者对于被授权者有指挥和监督的权力,被授权者对授权者负有报告及完成任务的责任。交易授权程序的主要目的在于保证交易是管理人员在其授权范围内才产生的。
授权有一般授权与特别授权之分。前者指授权处理一般性的交易,而后者则指授权处理非常规交易事件(比如重大资产处置等),也可用于超过一般授权限制的常规交易(比如同意在特定情形下,对某个不符合一般信用条件的客户赊购商品)。企业管理层对某项交易的“授权”和员工对交易的批准是不同的。例如,信用部门的员工可以在管理人员授权的信用政策范围内,批准个别客户赊购。
2.风险评估
环境控制和风险评估,是提高企业内部控制效率的关键。企业内部控制制度不可能脱离其赖以生存的环境及企业内外部的各种风险因素;控制与风险的概念是紧密相联的,正如房间的前后门,企业选择哪道“门”进入“房间”,取决于它的经营环境以及该企业怎样看待它的业务、怎样界定其战略重点等。制定风险管理目标是控制过程的一个重要环节,因此,企业要在整个组织内部制定协调一致的目标,找出企业关键性风险要素,设置关键控制点②。
企业进行风险评估一般要经过风险辨别、分析、管理和控制等过程。特别要注意的是,当企业内外部环境发生变化时,风险最容易发生,因此,企业应加强对环境改变时的事务管理。
SWOT(strength, weakness, opportunities and threats)分析是一种常用的风险分析方法。企业按照这种方法分析自身的优势与劣势,长处与短处;分析外界的机会和威胁,考虑自己的生存机遇。企业在日常的内部控制过程中应该时时进行SWOT分析,以将其内部控制目标不能达成的风险降至最低。
3.职责划分
职责划分控制程序是指对某交易涉及的各项职责进行合理划分,使某一个人的工作能自动地相互检查另一个人或更多人的工作。职责划分的主要目的是为了预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。
从控制的观点看,如某员工在履行其职责的正常过程中可能发生错误或舞弊,并且内部控制又难以发现他的舞弊,那么可以认为这些职责是不相容的。对不相容的职责必须实行职责划分,这是内部控制一个基本原则。
职责划分会影响3种认定的控制风险:第一,将资产保管与资产会计记录的掌管相分离,可以降低盗窃的风险,因为盗窃者无法通过减少资产的记录来掩盖盗窃真相。第二,将处理现金支出交易与银行调节账户相分离,可以降低不记录支票付款的风险,因为在调节过程中可发现这种风险。第三,付款凭单的批准与支票签发相分离,可以降低支票书写出错的风险。
4、信息流动与沟通
企业应按某种形式及其在某个时间内,辨别、取得适当的信息,并加以沟通,以使员工顺利履行其职责。
信息系统不仅处理企业内部所产生的各种信息,同时也处理企业与外部的事项、活动,以及与环境等有关的信息。企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部一个重要的特定控制程序,是企业内部控制的一个组成部分。
一个有效的企业信息系统,应能保证企业内部每个人都清楚地知道其所承担的特定职责。每名员工不仅必须了解内部控制制度的有关方面,这些方面如何生效以及自己在内部控制制度中所担负的责任,一旦有非正常事项发生,除了要关注该事项外,还必须能够分析发生原因,并采取适当的措施。
信息沟通系统不仅要有向下的沟通渠道,还应有向上的、横向的以及对外界的沟通渠道。具体来说:首先,企业管理层要向全体员工发布有关认真履行各自控制职责的明确信息,使其了解自己在控制系统中的地位和作用。其次,企业要有一条自下而上报告重大信息的有效途径,即建立开放、畅通的信息反馈渠道,以便发现内部控制系统的薄弱环节,并及时采取相应的补救措施。最后,建立反映行为责任履行情况的报告系统,对于企业实施内部控制尤其重要。
5.内部审计与独立稽核
企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动来实现的。因此,要确保内部控制制度被切实地执行,并且保证良好的执行效果,内部控制就必须被监督。监督可通过日常的、持续的监督活动来完成,也可以通过进行个别的、单独的评估来完成,或者将二者结合。
在内部控制的监督过程中,内部审计、独立稽核和控制自我评估这些职能发挥着重要作用。
(1)内部审计
在公司治理结构中,内部审计机构的职责除了包括审核企业会计账目外,还包括稽核、评价内部控制制度是否完善和企业内部各组织结构执行指定职能的效率,并向企业最高管理部门提出建议和报告。在企业各个层级的人员中,内部审计人员具有极其重要而又特殊的地位。内部审计既是企业内部控制的一个部分,也是监督内部控制其他环节的主要力量。内部审计的作用不仅在于监督企业经营业务是否符合内控程序、评价内部控制是否有效,而且内部审计人员还应该提出完善内部控制和纠正错弊的建议,帮助企业进行“软控制”环境的营造,成为内部控制过程设计的顾问。
目前我国企业中内部审计机构的设置情况多样,大多数企业只设立审计部,有些上市公司同时设立审计委员会和审计部。审计部的定位方面,有的是由监事会领导,有的是由总经理领导,也有的是由财务总监(或总会计师)、分管财务工作的副总经理领导。在董事长和总经理分设的情况下,如将审计部只置于总经理的领导之下,董事会对经理层就缺乏相应的监督措施,也就无法保证我国《会计法》规定的“单位负责人对本单位的会计工作和会计资料的真实性、完整性负责”的条款落到实处。
监事会、审计委员会和审计部分别对股东会、董事会和财务总监负责,同时三者之间还存在着一种业务指导关系。对于规模不大、业务活动比较简单的公司,也可只设审计部,但审计部应对董事会负责,并在业务上受监事会指导。之所以选择这种制度安排,原因在于在公司治理结构的约束机制中,董事会是决策机构,这一机构肩负着保证公司管理行为的合法性和可信性职责。从我国公司治理实践来看,审计部对董事会而不是向总经理负责的这一制度安排,能有效改变董事会职权弱化、“内部人控制”现象严重的局面。另外,审计部在业务上接受监事会的指导也能够对董事会产生一定程度的制衡作用。
(2)独立稽核
一般地讲,独立稽核是指验证由另一个人或部门执行的工作和验证所记录金额估价的正确性。内部审计就是一种典型的内部稽核。但应该指出的是,独立稽核是存在于企业管理流程的每一个环节的,并不仅仅限于内部审计。
独立稽核与许多认定有关。如:人工计算稽核发票、工资计算表及存货汇总表的正确性;比较现有资产和有关记录,包括银行存款余额调节表、零用现金盘点表及实物存货记录等;管理层复核汇总账户余额详细情况的报告,如应收账款的账龄分析表。
(3)控制自我评估
在国外,企业内部控制的一个新趋势是实行“控制自我评估(CSA, control self appraisal)”。控制自我评估是指由企业自身不定期或定期地对其内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制目标。这一做法的基本特征是:关注业务的过程和控制的成效;由管理部门和员工共同进行;用结构化的方法开展评估活动。
CSA是为提高企业内部控制的自我意识所作的努力,这种活动经常以务虚会或研讨会的形式进行。CSA的目的是使人们了解哪里存在缺陷以及可能发生的后果,然后让他们自己采取行动改变这种状况,而不是坐等内部审计人员站出来。研究表明,实施CSA的方法对于企业加强管理、提高效率、改进流程和控制风险都有着积极的作用。